SpaceX lave encore plus blanc que blanc

Dans la foulée de son introduction en bourse sur le Nasdaq qui lui a permis de lever plus de 80 milliards de dollars d’argent frais, SpaceX a annoncé mardi son intention d’exercer l’option d’achat posée sur Cursor, ses outils d’orchestration et ses grands modèles de langage dédiés aux développeurs. La transaction sera réalisée en actions dans le courant du troisième trimestre, pour 60 milliards de dollars.

C’est la première annonce stratégique de SpaceX depuis son introduction fracassante en bourse, vendredi dernier. Le groupe d’Elon Musk a en effet signalé (PDF) mardi 16 juin son intention d’exercer, d’ici le troisième trimestre 2026, l’option d’achat posée sur Anysphere, la société qui édite Cursor et ses différents outils d’intelligence artificielle. La transaction devrait être réalisée intégralement en actions, et Cursor a vocation à poursuivre ses activités en tant que filiale détenue par SpaceX.

SpaceX exerce l’option posée fin avril

SpaceX concrétise ainsi l’option posée le 22 avril dernier, date à laquelle le groupe avait annoncé un partenariat étendu avec Anysphere, visant notamment à mettre à profit les infrastructures des datacenters Colossus pour entraîner les modèles développés par Cursor sous ses propres couleurs.

Cursor se présente en effet au départ comme un environnement de développement logiciel (IDE). Parti d’un fork de VS Code (Microsoft), Cursor dispose d’un orchestrateur, indépendant des modèles, et fait depuis quelques mois la part belle aux agents. En parallèle, l’entreprise développe et entraîne depuis fin 2025 ses propres LLM, baptisés Composer et présentés comme particulièrement optimisés pour l’ingénierie logicielle.

Bref, Cursor table sur cette approche intégrée, IDE et modèles spécialisés, pour tailler des croupières aux acteurs plus généralistes de type Anthropic, OpenAI ou même GitHub Copilot. Reste à voir comment les activités xAI (dont Grok) s’interfaceront avec celles de Cursor dans le portefeuille commercial de SpaceX. « Depuis quelques mois, SpaceXAI et Cursor entraînent conjointement un modèle qui sera bientôt disponible dans Cursor et Grok Build », se contente d’indiquer l’acquéreur.

Fin avril, l’annonce d’un accord potentiel avec Cursor était analysée au regard de la future introduction en bourse de SpaceX, et nous la considérions alors comme une forme de légitimation des investissements pharaoniques dans les infrastructures IA consentis par le groupe. Rappelons en effet que les datacenters plombent les finances consolidées du groupe, alors même qu’il enregistre une rentabilité record sur la fourniture d’accès à Internet via Starlink.

• https://next.ink/238580/ce-que-revelent-les-comptes-de-spacex-a-laube-de-son-introduction-en-bourse/

Depuis, l’actualité a montré que SpaceX était enclin à rentabiliser ses investissements : le groupe a annoncé coup sur coup deux contrats de mise à disposition d’infrastructures. D’abord avec Anthropic, pour 1,25 milliard de dollars par mois sur trois ans, puis avec Google, pour 920 millions de dollars par mois.

Positifs pour le cash flow du groupe, ces deux accords ont parfois été interprétés comme un aveu d’échec implicite sur le développement en propre de modèles commerciaux (xAI et Grok n’ayant jamais obtenu une traction commerciale comparable à celle des leaders du marché). L’acquisition de Cursor participe indirectement à démentir cette idée, mais elle confirme que xAI, chez qui les départs se sont multipliés ces derniers mois, a probablement besoin de renforts ou de compétences nouvelles pour rester dans la course.

Un premier rachat largement couvert par une IPO record

SpaceX procèdera donc à l’acquisition de Cursor (sous réserve des habituelles validations réglementaires) par échange de titres. Le nombre exact d’actions de type A (aux droits de vote limités par rapport aux actions de type B détenues en grande majorité par Elon Musk) sera basé sur une moyenne du cours en bourse de SpaceX, pondérée par le volume des échanges, sur les sept jours précédant la conclusion du deal.

Difficile à ce stade de prédire à quel cours s’échangera le titre SPCX aux alentours du troisième trimestre. Introduit vendredi à 135 dollars l’action, le titre a dépassé les 220 dollars mardi 16 juin peu après l’ouverture du Nasdaq suite à l’annonce du rachat de Cursor, avant de se stabiliser sur une hausse tout de même conséquente de 10 % par rapport à la clôture de la séance précédente.

Mardi vers 16h30, sa valorisation s’établissait ainsi à 2 700 milliards de dollars, ce qui place SpaceX dans le top 5 des capitalisations boursières mondiales, devant Amazon (environ 2 650 milliards de dollars à la même heure).

Force est de constater que les marchés ont répondu présents à l’appel de SpaceX : l’opération initiale d’introduction en bourse a été largement sursouscrite, et les banques qui en disposaient ont exercé leurs clauses de surallocation (un dispositif qui permet d’acheter un peu plus d’actions que prévu), ce qui a permis à l’entreprise de lever quelque 85 milliards de dollars d’argent frais.

Plusieurs voix, dans le monde financier, s’étaient pourtant élevées pour dénoncer les risques associés à la valorisation possiblement excessive de SpaceX et à la gouvernance concentrée entre les mains d’Elon Musk. D’aucuns rappellent également le caractère utopiste des promesses formulées par l’entrepreneur, qui a construit tout le narratif de l’IPO autour de la possibilité de placer des centaines de MW de puissance de calcul informatique en orbite et d’ouvrir la voie au voyage interplanétaire.

Une chose est sure, son statut de premier « billionnaire » au monde (fortune personnelle dépassant les 1 000 milliards de dollars) et ses nouvelles obligations liées à la cotation de SpaceX n’ont pas entamé le sentiment d’impunité dont semble jouir Musk sur son réseau social. Le 9 juin dernier, pendant que le tout Wall Street spéculait sur le succès de l’IPO, l’entrepreneur relayait sur X les messages du militant d’extrême-droite Tommy Robinson, appelant à « manifester SOUVENT et FORTEMENT », alors que Belfast était traversée par une vague de manifestations violentes.

SpaceX lave encore plus blanc que blanc

Dans la foulée de son introduction en bourse sur le Nasdaq qui lui a permis de lever plus de 80 milliards de dollars d’argent frais, SpaceX a annoncé mardi son intention d’exercer l’option d’achat posée sur Cursor, ses outils d’orchestration et ses grands modèles de langage dédiés aux développeurs. La transaction sera réalisée en actions dans le courant du troisième trimestre, pour 60 milliards de dollars.

C’est la première annonce stratégique de SpaceX depuis son introduction fracassante en bourse, vendredi dernier. Le groupe d’Elon Musk a en effet signalé (PDF) mardi 16 juin son intention d’exercer, d’ici le troisième trimestre 2026, l’option d’achat posée sur Anysphere, la société qui édite Cursor et ses différents outils d’intelligence artificielle. La transaction devrait être réalisée intégralement en actions, et Cursor a vocation à poursuivre ses activités en tant que filiale détenue par SpaceX.

SpaceX exerce l’option posée fin avril

SpaceX concrétise ainsi l’option posée le 22 avril dernier, date à laquelle le groupe avait annoncé un partenariat étendu avec Anysphere, visant notamment à mettre à profit les infrastructures des datacenters Colossus pour entraîner les modèles développés par Cursor sous ses propres couleurs.

Cursor se présente en effet au départ comme un environnement de développement logiciel (IDE). Parti d’un fork de VS Code (Microsoft), Cursor dispose d’un orchestrateur, indépendant des modèles, et fait depuis quelques mois la part belle aux agents. En parallèle, l’entreprise développe et entraîne depuis fin 2025 ses propres LLM, baptisés Composer et présentés comme particulièrement optimisés pour l’ingénierie logicielle.

Bref, Cursor table sur cette approche intégrée, IDE et modèles spécialisés, pour tailler des croupières aux acteurs plus généralistes de type Anthropic, OpenAI ou même GitHub Copilot. Reste à voir comment les activités xAI (dont Grok) s’interfaceront avec celles de Cursor dans le portefeuille commercial de SpaceX. « Depuis quelques mois, SpaceXAI et Cursor entraînent conjointement un modèle qui sera bientôt disponible dans Cursor et Grok Build », se contente d’indiquer l’acquéreur.

Fin avril, l’annonce d’un accord potentiel avec Cursor était analysée au regard de la future introduction en bourse de SpaceX, et nous la considérions alors comme une forme de légitimation des investissements pharaoniques dans les infrastructures IA consentis par le groupe. Rappelons en effet que les datacenters plombent les finances consolidées du groupe, alors même qu’il enregistre une rentabilité record sur la fourniture d’accès à Internet via Starlink.

• https://next.ink/238580/ce-que-revelent-les-comptes-de-spacex-a-laube-de-son-introduction-en-bourse/

Depuis, l’actualité a montré que SpaceX était enclin à rentabiliser ses investissements : le groupe a annoncé coup sur coup deux contrats de mise à disposition d’infrastructures. D’abord avec Anthropic, pour 1,25 milliard de dollars par mois sur trois ans, puis avec Google, pour 920 millions de dollars par mois.

Positifs pour le cash flow du groupe, ces deux accords ont parfois été interprétés comme un aveu d’échec implicite sur le développement en propre de modèles commerciaux (xAI et Grok n’ayant jamais obtenu une traction commerciale comparable à celle des leaders du marché). L’acquisition de Cursor participe indirectement à démentir cette idée, mais elle confirme que xAI, chez qui les départs se sont multipliés ces derniers mois, a probablement besoin de renforts ou de compétences nouvelles pour rester dans la course.

Un premier rachat largement couvert par une IPO record

SpaceX procèdera donc à l’acquisition de Cursor (sous réserve des habituelles validations réglementaires) par échange de titres. Le nombre exact d’actions de type A (aux droits de vote limités par rapport aux actions de type B détenues en grande majorité par Elon Musk) sera basé sur une moyenne du cours en bourse de SpaceX, pondérée par le volume des échanges, sur les sept jours précédant la conclusion du deal.

Difficile à ce stade de prédire à quel cours s’échangera le titre SPCX aux alentours du troisième trimestre. Introduit vendredi à 135 dollars l’action, le titre a dépassé les 220 dollars mardi 16 juin peu après l’ouverture du Nasdaq suite à l’annonce du rachat de Cursor, avant de se stabiliser sur une hausse tout de même conséquente de 10 % par rapport à la clôture de la séance précédente.

Mardi vers 16h30, sa valorisation s’établissait ainsi à 2 700 milliards de dollars, ce qui place SpaceX dans le top 5 des capitalisations boursières mondiales, devant Amazon (environ 2 650 milliards de dollars à la même heure).

Force est de constater que les marchés ont répondu présents à l’appel de SpaceX : l’opération initiale d’introduction en bourse a été largement sursouscrite, et les banques qui en disposaient ont exercé leurs clauses de surallocation (un dispositif qui permet d’acheter un peu plus d’actions que prévu), ce qui a permis à l’entreprise de lever quelque 85 milliards de dollars d’argent frais.

Plusieurs voix, dans le monde financier, s’étaient pourtant élevées pour dénoncer les risques associés à la valorisation possiblement excessive de SpaceX et à la gouvernance concentrée entre les mains d’Elon Musk. D’aucuns rappellent également le caractère utopiste des promesses formulées par l’entrepreneur, qui a construit tout le narratif de l’IPO autour de la possibilité de placer des centaines de MW de puissance de calcul informatique en orbite et d’ouvrir la voie au voyage interplanétaire.

Une chose est sure, son statut de premier « billionnaire » au monde (fortune personnelle dépassant les 1 000 milliards de dollars) et ses nouvelles obligations liées à la cotation de SpaceX n’ont pas entamé le sentiment d’impunité dont semble jouir Musk sur son réseau social. Le 9 juin dernier, pendant que le tout Wall Street spéculait sur le succès de l’IPO, l’entrepreneur relayait sur X les messages du militant d’extrême-droite Tommy Robinson, appelant à « manifester SOUVENT et FORTEMENT », alors que Belfast était traversée par une vague de manifestations violentes.

Step by step

Dans un arrêt le mardi 16 juin, la Cour de justice de l’Union européenne a estimé que la France pouvait bien, au regard du droit communautaire, obliger des sociétés basées dans un État membre à mettre en place une vérification d’âge. Elle considère cependant que cette mesure ne peut s’appliquer qu’au cas par cas, et non par l’intermédiaire d’une loi générale, qui engloberait par exemple tous les éditeurs de sites pornographiques.

La France et par extension les autres États membres peuvent-ils imposer une obligation de vérification d’âge à des sociétés basées dans un autre pays de l’Union ? Souhaitée de longue date par le gouvernement et inscrite à l’inventaire des missions de l’Arcom dans le cadre de la protection des jeunes publics face au porno, la question se heurte, notamment, au droit européen.

La Cour de justice de l’Union européenne (CJUE) vient justement de rendre un arrêt qui vise à clarifier le débat et devrait alimenter les décisions de justice très attendues dans les différentes affaires qui opposent l’État et l’Arcom à certains éditeurs de sites pornographiques.

Contrôle d’âge et domaine coordonné

En l’occurrence, c’est du Conseil d’État qu’émanaient les questions préjudicielles qui ont poussé la CJUE à plancher plus en détail sur le sujet. En cause, deux sociétés tchèques éditrices de sites X qui contestent devant la plus haute juridiction administrative les mises en demeure envoyées par l’Arcom en invoquant la compétence exclusive du pays d’origine prévue par la directive e-commerce. De ce fait, elles remettent en cause le décret d’application de la loi de 2020 instituant le contrôle d’âge obligatoire.

Cette compétence exclusive renvoie au « principe d’origine » de la directive commerce électronique, qui prévoit qu’une société obéisse aux règles du pays dans lequel elle est implantée pour tout ce qui relève du « domaine coordonné », c’est-à-dire la façon dont le service fonctionne (par opposition à d’autres aspects plus spécifiques comme la fiscalité, la livraison etc.).

Des mesures de restriction prises par un État membre destinataire des services numériques concernés sont envisageables (article 3 de la directive), mais celles-ci doivent être « nécessaires », pour des raisons tels que l’ordre public, la protection des mineurs ou la lutte contre l’incitation à la haine.

Dans ce contexte, le Conseil d’État souhaitait d’abord savoir si l’obligation du contrôle d’âge relevait bien du « domaine coordonné ». Pour légitimer ses mesures, la France argue en effet que le domaine coordonné ne s’applique que pour les règles explicitement harmonisées par la directive européenne. L’obligation du contrôle d’âge n’en faisant pas partie, elle échapperait au principe d’origine. Sur cette question précise, la CJUE dispose que le domaine coordonné « ne se limite pas aux exigences régies par les dispositions d’harmonisation de la directive, mais englobe en principe toute exigence relative à l’accès ou à l’exercice d’un service de la société de l’information », résume-t-elle dans un communiqué (PDF).

OK pour les mises en demeure, mais individualisées…

« Ainsi, l’application par la France des mesures en cause aux fournisseurs établis dans d’autres Etats membres constitue une restriction à la libre circulation des services », résume le juge Thomas von Danwitz. La CJUE ne ferme cependant pas totalement la porte. « Ces mesures peuvent néanmoins être prises, au cas par cas, dans le respect des conditions matérielles et procédurales prévues par la directive », complète le juge.

Pour ce faire, il faut que les « mesures en cause poursuivent des objectifs reconnus par la directive » et apparaissent « proportionnées », ce qui pour la Cour semble plutôt devoir se concrétiser par « des décisions individuelles de mise en demeure ou d’interdiction adoptées sur la base de la législation nationale », plutôt que sur une réglementation appliquée d’office.

« Il s’ensuit qu’une mesure nationale imposant, au prestataire d’un service donné, la mise en place d’un système de vérification de l’âge des utilisateurs des sites pornographiques doit être considérée comme étant proportionnée à l’objectif de protection des mineurs et de la dignité humaine (…) lorsque ce prestataire n’a pas pris les mesures appropriées (…) », écrit notamment la CJUE dans son arrêt.

… et en suivant la procédure

Le tout sous réserve de respecter la procédure. « Avant de prendre de telles mesures, il faut cependant, sauf en cas d’urgence, d’une part, demander à l’État membre d’établissement du prestataire concerné de prendre lui-même des mesures appropriées et, d’autre part, notifier l’intention de prendre celles-ci à la Commission européenne et à cet État membre », résume la Cour, qui après avoir exprimé cet arrêt fondé sur le droit européen, laisse désormais au Conseil d’État le soin de trancher le litige ouvert à l’échelle nationale.

Rappelons que depuis 2020, l’obligation du contrôle d’âge alimente les passes d’armes médiatiques et juridiques. La question connaît d’ailleurs un regain d’intérêt depuis l’été 2025 et les nouvelles promesses formulées par le gouvernement sur la mise en place d’un contrôle d’âge à l’entrée des réseaux sociaux. C’est également à cette époque qu’est entré en vigueur le décret d’application permettant à l’Arcom de sanctionner les éditeurs de sites en cas de non mise en place des mesures techniques de contrôle d’âge, provoquant le boycott de la France (partiellement levé) par Aylo, l’éditeur de Pornhub.

En face, les éditeurs de sites, notamment pornographiques, tentent par tous les moyens de faire invalider les décrets d’application, et n’hésitent pas à jouer la carte du boycott pour faire émerger le sujet dans l’opinion publique. Ils arguent notamment que les dispositifs de contrôle d’âge obligatoire n’ont qu’une efficacité très limitée (un constat, encore, vérifié en février 2026), mais contestent surtout la validité des dispositifs mis en place par la France. Les différentes procédures intentées ont déjà conduit à quelques volte-faces, notamment au niveau du Conseil d’état.

• France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Step by step

Dans un arrêt le mardi 16 juin, la Cour de justice de l’Union européenne a estimé que la France pouvait bien, au regard du droit communautaire, obliger des sociétés basées dans un État membre à mettre en place une vérification d’âge. Elle considère cependant que cette mesure ne peut s’appliquer qu’au cas par cas, et non par l’intermédiaire d’une loi générale, qui engloberait par exemple tous les éditeurs de sites pornographiques.

La France et par extension les autres États membres peuvent-ils imposer une obligation de vérification d’âge à des sociétés basées dans un autre pays de l’Union ? Souhaitée de longue date par le gouvernement et inscrite à l’inventaire des missions de l’Arcom dans le cadre de la protection des jeunes publics face au porno, la question se heurte, notamment, au droit européen.

La Cour de justice de l’Union européenne (CJUE) vient justement de rendre un arrêt qui vise à clarifier le débat et devrait alimenter les décisions de justice très attendues dans les différentes affaires qui opposent l’État et l’Arcom à certains éditeurs de sites pornographiques.

Contrôle d’âge et domaine coordonné

En l’occurrence, c’est du Conseil d’État qu’émanaient les questions préjudicielles qui ont poussé la CJUE à plancher plus en détail sur le sujet. En cause, deux sociétés tchèques éditrices de sites X qui contestent devant la plus haute juridiction administrative les mises en demeure envoyées par l’Arcom en invoquant la compétence exclusive du pays d’origine prévue par la directive e-commerce. De ce fait, elles remettent en cause le décret d’application de la loi de 2020 instituant le contrôle d’âge obligatoire.

Cette compétence exclusive renvoie au « principe d’origine » de la directive commerce électronique, qui prévoit qu’une société obéisse aux règles du pays dans lequel elle est implantée pour tout ce qui relève du « domaine coordonné », c’est-à-dire la façon dont le service fonctionne (par opposition à d’autres aspects plus spécifiques comme la fiscalité, la livraison etc.).

Des mesures de restriction prises par un État membre destinataire des services numériques concernés sont envisageables (article 3 de la directive), mais celles-ci doivent être « nécessaires », pour des raisons tels que l’ordre public, la protection des mineurs ou la lutte contre l’incitation à la haine.

Dans ce contexte, le Conseil d’État souhaitait d’abord savoir si l’obligation du contrôle d’âge relevait bien du « domaine coordonné ». Pour légitimer ses mesures, la France argue en effet que le domaine coordonné ne s’applique que pour les règles explicitement harmonisées par la directive européenne. L’obligation du contrôle d’âge n’en faisant pas partie, elle échapperait au principe d’origine. Sur cette question précise, la CJUE dispose que le domaine coordonné « ne se limite pas aux exigences régies par les dispositions d’harmonisation de la directive, mais englobe en principe toute exigence relative à l’accès ou à l’exercice d’un service de la société de l’information », résume-t-elle dans un communiqué (PDF).

OK pour les mises en demeure, mais individualisées…

« Ainsi, l’application par la France des mesures en cause aux fournisseurs établis dans d’autres Etats membres constitue une restriction à la libre circulation des services », résume le juge Thomas von Danwitz. La CJUE ne ferme cependant pas totalement la porte. « Ces mesures peuvent néanmoins être prises, au cas par cas, dans le respect des conditions matérielles et procédurales prévues par la directive », complète le juge.

Pour ce faire, il faut que les « mesures en cause poursuivent des objectifs reconnus par la directive » et apparaissent « proportionnées », ce qui pour la Cour semble plutôt devoir se concrétiser par « des décisions individuelles de mise en demeure ou d’interdiction adoptées sur la base de la législation nationale », plutôt que sur une réglementation appliquée d’office.

« Il s’ensuit qu’une mesure nationale imposant, au prestataire d’un service donné, la mise en place d’un système de vérification de l’âge des utilisateurs des sites pornographiques doit être considérée comme étant proportionnée à l’objectif de protection des mineurs et de la dignité humaine (…) lorsque ce prestataire n’a pas pris les mesures appropriées (…) », écrit notamment la CJUE dans son arrêt.

… et en suivant la procédure

Le tout sous réserve de respecter la procédure. « Avant de prendre de telles mesures, il faut cependant, sauf en cas d’urgence, d’une part, demander à l’État membre d’établissement du prestataire concerné de prendre lui-même des mesures appropriées et, d’autre part, notifier l’intention de prendre celles-ci à la Commission européenne et à cet État membre », résume la Cour, qui après avoir exprimé cet arrêt fondé sur le droit européen, laisse désormais au Conseil d’État le soin de trancher le litige ouvert à l’échelle nationale.

Rappelons que depuis 2020, l’obligation du contrôle d’âge alimente les passes d’armes médiatiques et juridiques. La question connaît d’ailleurs un regain d’intérêt depuis l’été 2025 et les nouvelles promesses formulées par le gouvernement sur la mise en place d’un contrôle d’âge à l’entrée des réseaux sociaux. C’est également à cette époque qu’est entré en vigueur le décret d’application permettant à l’Arcom de sanctionner les éditeurs de sites en cas de non mise en place des mesures techniques de contrôle d’âge, provoquant le boycott de la France (partiellement levé) par Aylo, l’éditeur de Pornhub.

En face, les éditeurs de sites, notamment pornographiques, tentent par tous les moyens de faire invalider les décrets d’application, et n’hésitent pas à jouer la carte du boycott pour faire émerger le sujet dans l’opinion publique. Ils arguent notamment que les dispositifs de contrôle d’âge obligatoire n’ont qu’une efficacité très limitée (un constat, encore, vérifié en février 2026), mais contestent surtout la validité des dispositifs mis en place par la France. Les différentes procédures intentées ont déjà conduit à quelques volte-faces, notamment au niveau du Conseil d’état.

• France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Le loup dans la bergerie

Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.

Une recherche indépendante, publiée le 11 juin dernier, vient de mettre en lumière un vaste ensemble de vulnérabilités affectant les produits de la marque Aqara. Ce fabricant chinois commercialise pour mémoire une large gamme de capteurs de température, caméras IP, ampoules pilotées, thermostats et autres serrures ou verrous connectés. La bonne intégration de ses produits dans Apple Maison (HomeKit) les rend particulièrement populaires chez les amateurs de domotique.

La plateforme cloud qui sous-tend leur fonctionnement présentait toutefois quelques sérieuses failles en matière de sécurité. L’exploitation combinée de plusieurs d’entre elles créait ainsi une voie pour usurper n’importe quel compte enregistré sur la plateforme Aqara, et donc potentiellement de forger un accès à l’ensemble de l’écosystème domotique d’un utilisateur.

Dix CVE et de nombreux problèmes de configuration

L’une de ces failles a reçu la note maximale de 10.0 dans la base de Common Vulnerabilities and Exposures (CVE) officielle – une sévérité qui reflète son rôle dans la chaîne plutôt que son impact pris isolément, le chercheur lui ayant lui-même attribué 7.5. « La passerelle Aqara IAM/SSO (gw-builder.aqara.com) expose des échanges AES bidirectionnels contre la clé de signature de la plateforme sans authentification », indique la notice associée.

Derrière ce scénario du pire (dont aucune mise en œuvre malveillante n’a été attestée) se cache en réalité un catalogue de failles et de lacunes de sécurité bien plus vastes, comme le présente sur GitHub l’auteur de ces découvertes, le Français Sammy Azdoufal. Ses travaux, confirmés par Tod Beardsley de runZero, ont donné lieu à la publication de dix CVE individuelles, dont quatre sont qualifiées de critiques (note supérieure à 9).

« L’audit a révélé dix vulnérabilités côté produit suffisamment graves pour justifier l’attribution de CVE, ainsi que onze problèmes côté opérateur affectant l’infrastructure d’Aqara (son CRM, ses plateformes CI/opérations internes, sa passerelle IAM, son forum et son GitHub). Les quatre premières CVE sont liées entre elles. Aucune d’entre elles n’atteint individuellement le niveau 10.0. C’est leur enchaînement qui aboutit à ce niveau », décrit Sammy Azdoufal.

Il a découvert ces failles en étudiant l’application mobile dédiée à ses utilisateurs, ce qui lui avait déjà permis de découvrir plus d’un million de babyphones espion basés sur le cloud Meari, et près d’un million de pièces d’identité exposées sur Internet par le fournisseur d’un outil de CRM dédié aux coffee shops et autres cannabis clubs sociaux.

Sammy Azdoufal indique avoir listé et informé Aqara d’un total de 27 défaillances. Le fabricant aurait reconnu et corrigé 26 d’entre elles, laissant de côté l’allusion à un forum Discourse dont les messages et les comptes utilisateurs étaient accessibles sans authentification préalable. « L’un des éléments signalés comme corrigés est un problème structurel (CVE-2026-50091, clés cryptographiques codées en dur intégrées au SDK mobile et au firmware déployé) pour lequel un correctif côté serveur n’est pas architecturalement suffisant », estime de son côté l’auteur de la découverte.

La marque minimise l’impact

Il relate par ailleurs la chronologie de ses échanges avec Aqara, de la première prise de contact, en mars, à la déclaration publique transmise le 11 juin, date de la publication de ses découvertes. Dans cette dernière, telle que reproduite par Sammy Azdoufal, l’entreprise affirme que « la possibilité potentielle de contrôler les appareils des utilisateurs se rapporte à un environnement de test totalement distinct des systèmes de production d’Aqara », et que l’accès « à de véritables appareils ou comptes utilisateurs via l’environnement de test est impossible dans notre architecture, car les environnements ne partagent aucune donnée utilisateur, identifiant ni service backend ».

Des affirmations que réfute le chercheur indépendant. « Le point d’accès de récupération des jetons (famille CVE-2026-50083) a renvoyé 2 969 sessions actives, dont les sessions JWT actives de deux employés d’Aqara. Les environnements de test ne contiennent pas les sessions de travail actives des employés réels », fait-il par exemple valoir.

Nous avons contacté Aqara pour essayer de tirer au clair ces contradictions. En attendant, les utilisateurs de l’application du même nom ont sans doute tout intérêt à révoquer les autorisations tierces qu’ils n’auraient pas eux-mêmes accordées dans les paramètres de leur compte. Ainsi qu’à privilégier les options de contrôle local, notamment via HomeKit, plutôt que de piloter leurs appareils par l’intermédiaire d’un cloud opéré par le fabricant. Un conseil qui vaut sans doute d’ailleurs bien au-delà du cas particulier d’Aqara…

• Domotique « intelligente » : ne nous laissons pas enfermer par nos objets connectés

Le loup dans la bergerie

Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.

Une recherche indépendante, publiée le 11 juin dernier, vient de mettre en lumière un vaste ensemble de vulnérabilités affectant les produits de la marque Aqara. Ce fabricant chinois commercialise pour mémoire une large gamme de capteurs de température, caméras IP, ampoules pilotées, thermostats et autres serrures ou verrous connectés. La bonne intégration de ses produits dans Apple Maison (HomeKit) les rend particulièrement populaires chez les amateurs de domotique.

La plateforme cloud qui sous-tend leur fonctionnement présentait toutefois quelques sérieuses failles en matière de sécurité. L’exploitation combinée de plusieurs d’entre elles créait ainsi une voie pour usurper n’importe quel compte enregistré sur la plateforme Aqara, et donc potentiellement de forger un accès à l’ensemble de l’écosystème domotique d’un utilisateur.

Dix CVE et de nombreux problèmes de configuration

L’une de ces failles a reçu la note maximale de 10.0 dans la base de Common Vulnerabilities and Exposures (CVE) officielle – une sévérité qui reflète son rôle dans la chaîne plutôt que son impact pris isolément, le chercheur lui ayant lui-même attribué 7.5. « La passerelle Aqara IAM/SSO (gw-builder.aqara.com) expose des échanges AES bidirectionnels contre la clé de signature de la plateforme sans authentification », indique la notice associée.

Derrière ce scénario du pire (dont aucune mise en œuvre malveillante n’a été attestée) se cache en réalité un catalogue de failles et de lacunes de sécurité bien plus vastes, comme le présente sur GitHub l’auteur de ces découvertes, le Français Sammy Azdoufal. Ses travaux, confirmés par Tod Beardsley de runZero, ont donné lieu à la publication de dix CVE individuelles, dont quatre sont qualifiées de critiques (note supérieure à 9).

« L’audit a révélé dix vulnérabilités côté produit suffisamment graves pour justifier l’attribution de CVE, ainsi que onze problèmes côté opérateur affectant l’infrastructure d’Aqara (son CRM, ses plateformes CI/opérations internes, sa passerelle IAM, son forum et son GitHub). Les quatre premières CVE sont liées entre elles. Aucune d’entre elles n’atteint individuellement le niveau 10.0. C’est leur enchaînement qui aboutit à ce niveau », décrit Sammy Azdoufal.

Il a découvert ces failles en étudiant l’application mobile dédiée à ses utilisateurs, ce qui lui avait déjà permis de découvrir plus d’un million de babyphones espion basés sur le cloud Meari, et près d’un million de pièces d’identité exposées sur Internet par le fournisseur d’un outil de CRM dédié aux coffee shops et autres cannabis clubs sociaux.

Sammy Azdoufal indique avoir listé et informé Aqara d’un total de 27 défaillances. Le fabricant aurait reconnu et corrigé 26 d’entre elles, laissant de côté l’allusion à un forum Discourse dont les messages et les comptes utilisateurs étaient accessibles sans authentification préalable. « L’un des éléments signalés comme corrigés est un problème structurel (CVE-2026-50091, clés cryptographiques codées en dur intégrées au SDK mobile et au firmware déployé) pour lequel un correctif côté serveur n’est pas architecturalement suffisant », estime de son côté l’auteur de la découverte.

La marque minimise l’impact

Il relate par ailleurs la chronologie de ses échanges avec Aqara, de la première prise de contact, en mars, à la déclaration publique transmise le 11 juin, date de la publication de ses découvertes. Dans cette dernière, telle que reproduite par Sammy Azdoufal, l’entreprise affirme que « la possibilité potentielle de contrôler les appareils des utilisateurs se rapporte à un environnement de test totalement distinct des systèmes de production d’Aqara », et que l’accès « à de véritables appareils ou comptes utilisateurs via l’environnement de test est impossible dans notre architecture, car les environnements ne partagent aucune donnée utilisateur, identifiant ni service backend ».

Des affirmations que réfute le chercheur indépendant. « Le point d’accès de récupération des jetons (famille CVE-2026-50083) a renvoyé 2 969 sessions actives, dont les sessions JWT actives de deux employés d’Aqara. Les environnements de test ne contiennent pas les sessions de travail actives des employés réels », fait-il par exemple valoir.

Nous avons contacté Aqara pour essayer de tirer au clair ces contradictions. En attendant, les utilisateurs de l’application du même nom ont sans doute tout intérêt à révoquer les autorisations tierces qu’ils n’auraient pas eux-mêmes accordées dans les paramètres de leur compte. Ainsi qu’à privilégier les options de contrôle local, notamment via HomeKit, plutôt que de piloter leurs appareils par l’intermédiaire d’un cloud opéré par le fabricant. Un conseil qui vaut sans doute d’ailleurs bien au-delà du cas particulier d’Aqara…

• Domotique « intelligente » : ne nous laissons pas enfermer par nos objets connectés

Trump Mobile, l’opérateur virtuel lancé en juin 2025 par la famille du président des États-Unis, est rapidement revenu sur sa promesse de commercialiser un téléphone « made in USA ». Et pour cause : son premier téléphone, disponible depuis quelques jours dans le commerce, se présente en réalité comme un modèle HTC de 2024, le U24 Pro, légèrement modifié.

L’astuce avait déjà été éventée au printemps lorsque l’appareil a été enregistré auprès de la FCC et que les premiers visuels définitifs ont été rendus publics. Elle a été confirmée mercredi 10 juin à l’issue d’un démontage en règle, réalisé par le site iFixit sous l’œil des caméras de NBC News.

Résultat des courses : sous sa coque dorée ornée de la bannière étoilée, le Trump Mobile T1 dissimule des entrailles héritées de celles du HTC U24 Pro. À l’extérieur, iFixit remarque quelques petits ajustements (la grille des haut-parleurs a été redessinée, comme la partie de la coque qui abrite les capteurs photo dorsaux), mais la carte mère et le design intérieur sont identiques à ce que proposait la marque taïwanaise en 2024.

La configuration a cependant été mise à jour avec une concession patriotique : le Snapdragon 7 Gen 3 qui anime l’ensemble est ainsi accompagné de 12 Go de LPDDR5 et de 512 Go de stockage fournis par l’entreprise américaine Micron, alors que le modèle originel de HTC exploitait une mémoire fournie par SK hynix (Corée du Sud).

Le site spécialisé dans les pièces détachées note par ailleurs que la batterie (produite aux Philippines) présente une capacité légèrement supérieure à celle du smartphone de 2024. La puissance de charge est en revanche limitée à 30 W, là où le U24 Pro acceptait 60 W en entrée.

Compte tenu de ces différents éléments, iFixit conclut qu’il est impossible que le T1 se revendique d’un quelconque label « made in USA », et réserve son jugement quant à la possibilité d’un « assembled in USA », en rappelant que l’assemblage d’un téléphone et les phases finales associées exigent des ressources significatives.

Sur la réparabilité, qui constitue habituellement le critère phare des analyses d’iFixit, le site délivre la note de 3/10, soit la même que celle du HTC U24 Pro en son temps.

Trump Mobile, l’opérateur virtuel lancé en juin 2025 par la famille du président des États-Unis, est rapidement revenu sur sa promesse de commercialiser un téléphone « made in USA ». Et pour cause : son premier téléphone, disponible depuis quelques jours dans le commerce, se présente en réalité comme un modèle HTC de 2024, le U24 Pro, légèrement modifié.

L’astuce avait déjà été éventée au printemps lorsque l’appareil a été enregistré auprès de la FCC et que les premiers visuels définitifs ont été rendus publics. Elle a été confirmée mercredi 10 juin à l’issue d’un démontage en règle, réalisé par le site iFixit sous l’œil des caméras de NBC News.

Résultat des courses : sous sa coque dorée ornée de la bannière étoilée, le Trump Mobile T1 dissimule des entrailles héritées de celles du HTC U24 Pro. À l’extérieur, iFixit remarque quelques petits ajustements (la grille des haut-parleurs a été redessinée, comme la partie de la coque qui abrite les capteurs photo dorsaux), mais la carte mère et le design intérieur sont identiques à ce que proposait la marque taïwanaise en 2024.

La configuration a cependant été mise à jour avec une concession patriotique : le Snapdragon 7 Gen 3 qui anime l’ensemble est ainsi accompagné de 12 Go de LPDDR5 et de 512 Go de stockage fournis par l’entreprise américaine Micron, alors que le modèle originel de HTC exploitait une mémoire fournie par SK hynix (Corée du Sud).

Le site spécialisé dans les pièces détachées note par ailleurs que la batterie (produite aux Philippines) présente une capacité légèrement supérieure à celle du smartphone de 2024. La puissance de charge est en revanche limitée à 30 W, là où le U24 Pro acceptait 60 W en entrée.

Compte tenu de ces différents éléments, iFixit conclut qu’il est impossible que le T1 se revendique d’un quelconque label « made in USA », et réserve son jugement quant à la possibilité d’un « assembled in USA », en rappelant que l’assemblage d’un téléphone et les phases finales associées exigent des ressources significatives.

Sur la réparabilité, qui constitue habituellement le critère phare des analyses d’iFixit, le site délivre la note de 3/10, soit la même que celle du HTC U24 Pro en son temps.

Voici une confiture verte, singulièrement odorante

Près d’un million de pièces d’identité d’amateurs de cannabis du monde entier ont été exposées sur Internet. En cause, le backend de la plateforme Cannabis Club Systems, utilisée par les coffee shops et autres espaces dédiés à la consommation pour gérer leurs membres. Bien que dûment alertée, l’entreprise éditrice, enregistrée en Irlande, a mis de longues semaines à réagir, au mépris de ses utilisateurs et du RGPD.

En novembre 2025, Cannabis Club Systems revendiquait fièrement avoir franchi la barre des 900 établissements clients de sa plateforme dédiée à la gestion des coffee shops, cannabis social clubs et autres structures dédiées à la distribution ou à la consommation de cannabis.

« Nous ne nous contentons pas d’adapter la technologie des dispensaires, nous concevons de A à Z l’infrastructure numérique des cannabis social clubs », déclarait à cette occasion Ahab Thornhill, cofondateur de cette entreprise, qui se revendique d’origine espagnole mais opère sous mentions légales d’une entité irlandaise, Nefos Solutions Ltd.

1 million de fumeurs exposés, dont 104 000 Français

L’infrastructure en question facilite peut-être la gestion commerciale d’un coffee shop, mais elle a souffert pendant au moins plusieurs semaines de graves carences en matière de sécurité. La plateforme associée a en effet exposé pendant plusieurs semaines les informations personnelles ainsi que les pièces d’identité des membres et clients des clubs et coffee shops affiliés.

« Les clubs qui utilisent Cannabis Club Systems proposent de s’inscrire au travers d’une application mobile, qui demande un scan de la pièce d’identité. C’est en regardant le code de cette application que j’ai découvert que le backend de la plateforme n’était absolument pas sécurisé », nous explique Sammy Azdoufal, le « spécialiste IA » qui avait déjà révélé l’affaire des babyphones espion de l’entreprise chinoise Meari.

En explorant les endpoints (points de terminaison) de la plateforme, il découvre où sont stockées les pièces d’identité, et remarque que chaque utilisateur est associé à un identifiant sous forme d’entier séquentiel. Vous devinez la suite : il suffit d’incrémenter l’ID pour passer à l’utilisateur suivant et consulter sa pièce d’identité.

En lançant une boucle sur la base de données concernée, Sammy Azdoufal arrive à la conclusion que la plateforme liste et expose les données de plus d’un million d’amateurs provenant de 40 pays, dont un peu plus de 104 000 détenteurs d’un passeport ou d’une carte nationale d’identité française. Au total, il dénombre 1 082 680 profils enregistrés, dont 985 841 comportent un document officiel. Il compte aussi 377 clubs (dont des adresses très réputées chez les amateurs, comme les fameux coffee shops Bulldog d’Amsterdam), loin des 900 clients revendiqués par Nefos.

« Le modèle CSC [cannabis social club] fonctionne sur le principe de la discrétion. Les membres font confiance au club pour la confidentialité de leurs informations sensibles, car l’alternative serait le marché noir. Cette confiance dépendait de la configuration du serveur de Nefos. Or, Nefos n’a rien configuré du tout », résume l’auteur de la découverte.

Puffpal : l’application qui en savait trop

Outre sa plateforme de gestion, Cannabis Club Systems propose donc une application mobile optionnelle (Android et iOS) baptisée Puffpal, qui permet à l’utilisateur final de découvrir les clubs cannabis les plus proches et de gérer de façon numérique les formalités d’inscription, en scannant sa pièce d’identité.

Suite à notre premier échange avec Sammy Azdoufal, nous avons entrepris d’inspecter directement le code de la version Android, ce qui nous a permis de confirmer que les principaux endpoints de la plateforme étaient effectivement accessibles sans aucune barrière d’authentification côté client.

Le nouveau capitalisme sauvage

L’italien Bending Spoons a déposé lundi 8 juin le document préalable à son introduction à la bourse de New York. L’opération valoriserait le groupe, spécialisé dans la reprise et la restructuration de services numériques, à plus de 20 milliards de dollars. Elle vise à lui donner les moyens de poursuivre sa stratégie d’acquisition, dans une logique de « build-up ».

Acheter des entreprises numériques en difficulté, les restructurer à marche forcée et les consolider au sein d’un groupe pour maximiser les synergies : voilà, résumée sommairement, la stratégie revendiquée par le groupe italien Bending Spoons. Fondé en 2013 à Copenhague puis relocalisé à Milan, celui-ci compte déjà une cinquantaine d’acquisitions à son actif, et ne compte pas s’arrêter en si bon chemin.

Il vient en effet de déposer auprès du gendarme de la bourse des États-Unis le document préparatoire à son introduction en bourse (le formulaire S1) sur le Nasdaq à Wall Street. D’après Reuters, Bending Spoons viserait la fin du mois de juin, et réaliserait son émission de titres sur la base d’une valorisation de l’ordre de 20 milliards de dollars.

S’endetter, acheter, licencier, recommencer

Fin 2025, Bending Spoons (qui tire son nom de la scène de la cuillère pliée dans Matrix) a réalisé coup sur coup l’acquisition de Vimeo pour 1,38 milliard de dollars, d’AOL pour 1,5 milliard, et d’Eventbrite pour environ 500 millions. Pour ce faire, il avait annoncé en octobre une levée de fonds de 710 millions de dollars, sur la base d’une valorisation préalable à 11 milliards de dollars, et l’obtention d’une enveloppe de 2,8 milliards de dollars sous forme de dette bancaire.

Des moyens considérables, mis au service d’une stratégie dite de build-up, ou d’accumulation. Le groupe lève des fonds, ou s’endette, pour racheter des entreprises dont la valeur ne reflète pas le potentiel réel. Il les restructure et consolide leurs activités au sein de sa propre structure, pour profiter au maximum de synergies et d’économies d’échelle. Il se remet ensuite en quête de nouveaux fonds pour réaliser de nouvelles acquisitions, et maximiser l’effet de cette accumulation, etc.

La boulimie de Bending Spoons permet à l’entreprise d’afficher une croissance record : « Grâce à ces investissements, le chiffre d’affaires s’est élevé à 387 millions de dollars en 2023, 671 millions de dollars en 2024, 1,31 milliard de dollars en 2025 et 601 millions de dollars au premier trimestre 2026, soit une croissance annuelle de 73 % en 2024, 95 % en 2025 et 132 % au premier trimestre 2026, et un taux de croissance annuel composé de 84 % de 2023 à 2025 », détaille le groupe dans son S1.

Le volume d’acquisitions réalisées et les calculs comptables associés (coût de la dette, frais de restructuration, amortissement des actifs, etc.) rendent particulièrement complexe l’analyse du niveau de rentabilité réel du groupe. Si l’on écarte les calculs liés à la dette ou aux amortissements, Bending Spoons revendique à ce niveau un résultat opérationnel « ajusté » de 613 millions de dollars en 2025. Les frais réels engagés sur l’année se traduisent cependant par une perte nette de 137 millions de dollars sur la même période.

Dans la logique de Bending Spoons, c’est cependant à quelques années qu’il faut regarder le résultat de ses acquisitions, c’est-à-dire une fois que les frais d’acquisition et de restructuration auront été amortis.

Des rachats suivis de licenciements massifs

Sur ce point, une enveloppe conséquente est allouée aux plans de départ. Bending Spoons, qui fait principalement ses emplettes sur le marché américain, engage quasi systématiquement des coupes franches dans les effectifs des sociétés rachetées.

Fin 2022, Bending Spoons s’offre l’application iPhone FiLMiC et son pendant payant FiLMiC Pro, puis l’outil de notes partagées Evernote début 2023. Les deux équipes sont licenciées, au nom d’un développement repris en interne au siège italien du groupe.

En 2024, Bending Spoons a de la même façon mis la main sur le studio mobile Mosaic Group, puis sur l’application de rencontres sociales Meetup, avant de s’offrir le service de partage de fichiers WeTransfer, puis la plateforme vidéo Brightcove pour quelque 230 millions de dollars. Chez WeTransfer, le changement de propriétaire se traduit par le départ de 75 % des salariés historiques.

Un an plus tard, Bending Spoons rachète Komoot, l’outil allemand de création d’itinéraires et de promenades, pour 300 millions d’euros. Quelques semaines plus tard, les 150 salariés sont remerciés.

La plateforme vidéo Vimeo, rachetée en septembre 2025, ne déroge pas à la règle : après une première réduction immédiate d’environ 10 % des effectifs, la quasi-totalité de l’équipe a été remerciée début 2026. Chez AOL, les licenciements ont aussi commencé : 108 personnes ont par exemple déjà été poussées vers la porte en Virginie.

Restructurer sans déprécier ?

Dans ce contexte de sollicitation du marché, Bending Spoons affirme réussir à restructurer les sociétés qu’elle rachète sans en compromettre l’attractivité, ou l’activité. WeTransfer, par exemple, resterait une machine commerciale efficace, avec 58 millions d’utilisateurs mensuels actifs et 1 million de clients payants en mars 2026.

« En mars 2026, notre portefeuille comptait plus de 500 millions d’utilisateurs actifs mensuels et plus de 9 millions de clients payants mensuels. Le nombre d’utilisateurs actifs mensuels et de clients payants mensuels était respectivement de 111 millions et 3 millions en décembre 2023, de 290 millions et 5 millions en décembre 2024, et de 389 millions et 8 millions en décembre 2025. », détaille l’entreprise.

Bending Spoons affirme avoir identifié plus de 1 000 entreprises cibles de sa frénésie de croissance. « Avec l’IA comme puissant facteur de croissance potentiel, nous pensons être bien positionnés pour assurer notre croissance dans les années à venir.  »

Le nouveau capitalisme sauvage

L’italien Bending Spoons a déposé lundi 8 juin le document préalable à son introduction à la bourse de New York. L’opération valoriserait le groupe, spécialisé dans la reprise et la restructuration de services numériques, à plus de 20 milliards de dollars. Elle vise à lui donner les moyens de poursuivre sa stratégie d’acquisition, dans une logique de « build-up ».

Acheter des entreprises numériques en difficulté, les restructurer à marche forcée et les consolider au sein d’un groupe pour maximiser les synergies : voilà, résumée sommairement, la stratégie revendiquée par le groupe italien Bending Spoons. Fondé en 2013 à Copenhague puis relocalisé à Milan, celui-ci compte déjà une cinquantaine d’acquisitions à son actif, et ne compte pas s’arrêter en si bon chemin.

Il vient en effet de déposer auprès du gendarme de la bourse des États-Unis le document préparatoire à son introduction en bourse (le formulaire S1) sur le Nasdaq à Wall Street. D’après Reuters, Bending Spoons viserait la fin du mois de juin, et réaliserait son émission de titres sur la base d’une valorisation de l’ordre de 20 milliards de dollars.

S’endetter, acheter, licencier, recommencer

Fin 2025, Bending Spoons (qui tire son nom de la scène de la cuillère pliée dans Matrix) a réalisé coup sur coup l’acquisition de Vimeo pour 1,38 milliard de dollars, d’AOL pour 1,5 milliard, et d’Eventbrite pour environ 500 millions. Pour ce faire, il avait annoncé en octobre une levée de fonds de 710 millions de dollars, sur la base d’une valorisation préalable à 11 milliards de dollars, et l’obtention d’une enveloppe de 2,8 milliards de dollars sous forme de dette bancaire.

Des moyens considérables, mis au service d’une stratégie dite de build-up, ou d’accumulation. Le groupe lève des fonds, ou s’endette, pour racheter des entreprises dont la valeur ne reflète pas le potentiel réel. Il les restructure et consolide leurs activités au sein de sa propre structure, pour profiter au maximum de synergies et d’économies d’échelle. Il se remet ensuite en quête de nouveaux fonds pour réaliser de nouvelles acquisitions, et maximiser l’effet de cette accumulation, etc.

La boulimie de Bending Spoons permet à l’entreprise d’afficher une croissance record : « Grâce à ces investissements, le chiffre d’affaires s’est élevé à 387 millions de dollars en 2023, 671 millions de dollars en 2024, 1,31 milliard de dollars en 2025 et 601 millions de dollars au premier trimestre 2026, soit une croissance annuelle de 73 % en 2024, 95 % en 2025 et 132 % au premier trimestre 2026, et un taux de croissance annuel composé de 84 % de 2023 à 2025 », détaille le groupe dans son S1.

Le volume d’acquisitions réalisées et les calculs comptables associés (coût de la dette, frais de restructuration, amortissement des actifs, etc.) rendent particulièrement complexe l’analyse du niveau de rentabilité réel du groupe. Si l’on écarte les calculs liés à la dette ou aux amortissements, Bending Spoons revendique à ce niveau un résultat opérationnel « ajusté » de 613 millions de dollars en 2025. Les frais réels engagés sur l’année se traduisent cependant par une perte nette de 137 millions de dollars sur la même période.

Dans la logique de Bending Spoons, c’est cependant à quelques années qu’il faut regarder le résultat de ses acquisitions, c’est-à-dire une fois que les frais d’acquisition et de restructuration auront été amortis.

Des rachats suivis de licenciements massifs

Sur ce point, une enveloppe conséquente est allouée aux plans de départ. Bending Spoons, qui fait principalement ses emplettes sur le marché américain, engage quasi systématiquement des coupes franches dans les effectifs des sociétés rachetées.

Fin 2022, Bending Spoons s’offre l’application iPhone FiLMiC et son pendant payant FiLMiC Pro, puis l’outil de notes partagées Evernote début 2023. Les deux équipes sont licenciées, au nom d’un développement repris en interne au siège italien du groupe.

En 2024, Bending Spoons a de la même façon mis la main sur le studio mobile Mosaic Group, puis sur l’application de rencontres sociales Meetup, avant de s’offrir le service de partage de fichiers WeTransfer, puis la plateforme vidéo Brightcove pour quelque 230 millions de dollars. Chez WeTransfer, le changement de propriétaire se traduit par le départ de 75 % des salariés historiques.

Un an plus tard, Bending Spoons rachète Komoot, l’outil allemand de création d’itinéraires et de promenades, pour 300 millions d’euros. Quelques semaines plus tard, les 150 salariés sont remerciés.

La plateforme vidéo Vimeo, rachetée en septembre 2025, ne déroge pas à la règle : après une première réduction immédiate d’environ 10 % des effectifs, la quasi-totalité de l’équipe a été remerciée début 2026. Chez AOL, les licenciements ont aussi commencé : 108 personnes ont par exemple déjà été poussées vers la porte en Virginie.

Restructurer sans déprécier ?

Dans ce contexte de sollicitation du marché, Bending Spoons affirme réussir à restructurer les sociétés qu’elle rachète sans en compromettre l’attractivité, ou l’activité. WeTransfer, par exemple, resterait une machine commerciale efficace, avec 58 millions d’utilisateurs mensuels actifs et 1 million de clients payants en mars 2026.

« En mars 2026, notre portefeuille comptait plus de 500 millions d’utilisateurs actifs mensuels et plus de 9 millions de clients payants mensuels. Le nombre d’utilisateurs actifs mensuels et de clients payants mensuels était respectivement de 111 millions et 3 millions en décembre 2023, de 290 millions et 5 millions en décembre 2024, et de 389 millions et 8 millions en décembre 2025. », détaille l’entreprise.

Bending Spoons affirme avoir identifié plus de 1 000 entreprises cibles de sa frénésie de croissance. « Avec l’IA comme puissant facteur de croissance potentiel, nous pensons être bien positionnés pour assurer notre croissance dans les années à venir.  »

La direction interministérielle du numérique (Dinum) a signalé lundi 8 juin après-midi un incident de sécurité constaté au niveau de Tchap, l’application de messagerie sécurisée consacrée à l’été 2025 comme l’outil de référence à utiliser pour toute la fonction publique.

L’incident aurait été constaté la veille, dimanche 7 juin, par l’ANSSI. Celle-ci a « détecté une compromission du service Tchap de messagerie instantanée chiffrée de l’État, à la suite d’une usurpation de compte ».

« A ce stade, le compte à l’origine des requêtes malveillantes a été identifié. Il a été immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant et permettre une analyse approfondie des données auxquelles il a pu accéder. Les investigations se poursuivent, notamment par l’étude des journaux d’événements (logs), pour identifier les conversations auxquelles l’attaquant a pu accéder et la nature des données exfiltrées. », écrit la Dinum.

L’incident n’aurait donc pas affecté les serveurs de la messagerie : il semble localisé au niveau d’un compte utilisateur, qui a donc pu être utilisé pour consulter les salons publics hébergés sur Tchap. Rappelons que cette messagerie est basée sur le protocole Matrix, qui permet un chiffrement bout en bout des échanges. Dans l’implémentation retenue pour Tchap, celui-ci ne concerne cependant pas les conversations publiques.

« Un message a été transmis à l’ensemble des utilisateurs de Tchap rappelant qu’une conversation publique (ou « salon public ») peut être trouvée et rejointe par tout utilisateur et que son contenu n’y est pas chiffré. Conformément aux modalités d’utilisation de Tchap, aucune information personnelle, sensible ou couverte par le secret professionnel ne doit y être échangée : ces échanges doivent être réservés aux salons privés », rappelle à ce sujet la Dinum, qui ajoute avoir notifié l’incident à la Cnil.

Une annonce publiée sur un forum dédié aux vols de données revendiquait, dimanche, l’exfiltration d’un jeu de données issues de la messagerie Tchap comprenant notamment les profils de 73 000 agents avec un certain nombre d’informations professionnelles (email, institution de rattachement, etc.), un solde de 643 000 messages, et de nombreux fichiers multimédias. La véracité de ces allégations n’a pas été confirmée.

• La CNIL confirme un record de fuites de données en 2025 et promet plus de contrôles

La direction interministérielle du numérique (Dinum) a signalé lundi 8 juin après-midi un incident de sécurité constaté au niveau de Tchap, l’application de messagerie sécurisée consacrée à l’été 2025 comme l’outil de référence à utiliser pour toute la fonction publique.

L’incident aurait été constaté la veille, dimanche 7 juin, par l’ANSSI. Celle-ci a « détecté une compromission du service Tchap de messagerie instantanée chiffrée de l’État, à la suite d’une usurpation de compte ».

« A ce stade, le compte à l’origine des requêtes malveillantes a été identifié. Il a été immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant et permettre une analyse approfondie des données auxquelles il a pu accéder. Les investigations se poursuivent, notamment par l’étude des journaux d’événements (logs), pour identifier les conversations auxquelles l’attaquant a pu accéder et la nature des données exfiltrées. », écrit la Dinum.

L’incident n’aurait donc pas affecté les serveurs de la messagerie : il semble localisé au niveau d’un compte utilisateur, qui a donc pu être utilisé pour consulter les salons publics hébergés sur Tchap. Rappelons que cette messagerie est basée sur le protocole Matrix, qui permet un chiffrement bout en bout des échanges. Dans l’implémentation retenue pour Tchap, celui-ci ne concerne cependant pas les conversations publiques.

« Un message a été transmis à l’ensemble des utilisateurs de Tchap rappelant qu’une conversation publique (ou « salon public ») peut être trouvée et rejointe par tout utilisateur et que son contenu n’y est pas chiffré. Conformément aux modalités d’utilisation de Tchap, aucune information personnelle, sensible ou couverte par le secret professionnel ne doit y être échangée : ces échanges doivent être réservés aux salons privés », rappelle à ce sujet la Dinum, qui ajoute avoir notifié l’incident à la Cnil.

Une annonce publiée sur un forum dédié aux vols de données revendiquait, dimanche, l’exfiltration d’un jeu de données issues de la messagerie Tchap comprenant notamment les profils de 73 000 agents avec un certain nombre d’informations professionnelles (email, institution de rattachement, etc.), un solde de 643 000 messages, et de nombreux fichiers multimédias. La véracité de ces allégations n’a pas été confirmée.

• La CNIL confirme un record de fuites de données en 2025 et promet plus de contrôles

SpaceX vient de signer un nouveau client pour les infrastructures IA déployées par xAI, et non des moindres : un document déposé auprès de la SEC révèle que Google s’engage à louer jusqu’à 110 000 GPU NVIDIA opérés par l’entreprise d’Elon Musk, en échange d’un loyer mensuel fixé à 920 millions de dollars.

L’accord court sur une période qui s’étend d’octobre 2026 à juin 2029, soit un montant total de l’ordre de 30,3 milliards de dollars, à laquelle s’ajoute une phase de mise à disposition progressive sur le mois de septembre 2026. Une clause prévoit que Google puisse mettre un terme au contrat sans délai entre octobre et décembre 2026 si SpaceX n’était pas en mesure de lui fournir les capacités promises.

Cet accord, signé le 5 juin, intervient trois jours après que Google annonce son intention de lever prochainement 80 milliards de dollars pour soutenir le développement de ses propres infrastructures de calcul. Le groupe évoquait à cette occasion un carnet de commandes, lié aux activités IA, de l’ordre de 460 milliards de dollars, dont la moitié devant être réalisée sur les 24 prochains mois.

Google, vendeur de cloud, serait donc contraint d’aller louer des ressources chez un concurrent pour honorer ces perspectives ? « Il s’agit d’un accord à court terme et opportun visant à garantir notre capacité transitoire pour répondre à la forte demande de nos clients pour notre plateforme d’agents, Gemini Enterprise, qui a même dépassé nos prévisions », justifie un porte-parole du groupe.

Si les deux entreprises sont concurrentes sur le marché de l’IA, elles sont aussi partenaires : Google détenait en effet 6,11 % de SpaceX à fin 2025, avant la fusion avec l’ensemble formé par X et xAI. À l’issue de ce processus, la firme de Mountain View possèderait environ 5 % du capital de l’entreprise d’Elon Musk d’après les estimations de Bloomberg.

Quoi qu’il en soit, l’annonce tombe à point nommé pour SpaceX, qui prépare activement son introduction en bourse (à 135 dollars l’action pour une valorisation de l’ordre de 1 750 milliards de dollars). Elle souligne en effet la capacité du groupe à générer du chiffre d’affaires à partir de ses investissements liés à l’IA, alors même que ces derniers grèvent significativement la rentabilité de l’entreprise.

• https://next.ink/238580/ce-que-revelent-les-comptes-de-spacex-a-laube-de-son-introduction-en-bourse/

Rappelons que SpaceX a déjà passé un accord similaire avec Anthropic, qui prévoit la mise à disposition des GPU installés dans le datacenter Colossus I en échange d’un loyer fixé à 1,25 milliard de dollars par mois. Reste à voir, si ces deux contrats sont honorés à leur pleine mesure, quelles seront les ressources restant à SpaceX pour entraîner et faire tourner ses propres modèles d’IA.

SpaceX vient de signer un nouveau client pour les infrastructures IA déployées par xAI, et non des moindres : un document déposé auprès de la SEC révèle que Google s’engage à louer jusqu’à 110 000 GPU NVIDIA opérés par l’entreprise d’Elon Musk, en échange d’un loyer mensuel fixé à 920 millions de dollars.

L’accord court sur une période qui s’étend d’octobre 2026 à juin 2029, soit un montant total de l’ordre de 30,3 milliards de dollars, à laquelle s’ajoute une phase de mise à disposition progressive sur le mois de septembre 2026. Une clause prévoit que Google puisse mettre un terme au contrat sans délai entre octobre et décembre 2026 si SpaceX n’était pas en mesure de lui fournir les capacités promises.

Cet accord, signé le 5 juin, intervient trois jours après que Google annonce son intention de lever prochainement 80 milliards de dollars pour soutenir le développement de ses propres infrastructures de calcul. Le groupe évoquait à cette occasion un carnet de commandes, lié aux activités IA, de l’ordre de 460 milliards de dollars, dont la moitié devant être réalisée sur les 24 prochains mois.

Google, vendeur de cloud, serait donc contraint d’aller louer des ressources chez un concurrent pour honorer ces perspectives ? « Il s’agit d’un accord à court terme et opportun visant à garantir notre capacité transitoire pour répondre à la forte demande de nos clients pour notre plateforme d’agents, Gemini Enterprise, qui a même dépassé nos prévisions », justifie un porte-parole du groupe.

Si les deux entreprises sont concurrentes sur le marché de l’IA, elles sont aussi partenaires : Google détenait en effet 6,11 % de SpaceX à fin 2025, avant la fusion avec l’ensemble formé par X et xAI. À l’issue de ce processus, la firme de Mountain View possèderait environ 5 % du capital de l’entreprise d’Elon Musk d’après les estimations de Bloomberg.

Quoi qu’il en soit, l’annonce tombe à point nommé pour SpaceX, qui prépare activement son introduction en bourse (à 135 dollars l’action pour une valorisation de l’ordre de 1 750 milliards de dollars). Elle souligne en effet la capacité du groupe à générer du chiffre d’affaires à partir de ses investissements liés à l’IA, alors même que ces derniers grèvent significativement la rentabilité de l’entreprise.

• https://next.ink/238580/ce-que-revelent-les-comptes-de-spacex-a-laube-de-son-introduction-en-bourse/

Rappelons que SpaceX a déjà passé un accord similaire avec Anthropic, qui prévoit la mise à disposition des GPU installés dans le datacenter Colossus I en échange d’un loyer fixé à 1,25 milliard de dollars par mois. Reste à voir, si ces deux contrats sont honorés à leur pleine mesure, quelles seront les ressources restant à SpaceX pour entraîner et faire tourner ses propres modèles d’IA.

Union sacrée

Réunis au sein de la Browser Choice Alliance, six éditeurs de navigateurs dont Chrome, Opera ou Vivaldi, appellent dans une lettre ouverte Microsoft à mettre fin aux pratiques visant à avantager son propre client, Edge, sur Windows.

« Assez, c’est assez », titrent les six navigateurs réunis au sein de la Browser Choice Alliance (Google Chrome, Opera, Vivaldi, Wavebox, Midori et Waterfox). Mercredi 3 juin, la coalition formée en 2024 a publié une nouvelle lettre ouverte adressée à Satya Nadella, CEO de Microsoft. Elle y réclame, une nouvelle fois, que l’éditeur de Windows mette un terme à toutes les pratiques qui lui permettent d’avantager Edge, son propre navigateur, au détriment des solutions concurrentes.

Liberté de choix

Les fondamentaux du discours sont inchangés pour qui suit l’actualité des navigateurs depuis l’ère Internet Explorer :

« Microsoft tire parti de sa position extrêmement puissante en tant que fournisseur du système d’exploitation omniprésent dans le monde du PC (…) pour inciter les utilisateurs à adopter son navigateur propriétaire, Edge, en recourant à des tactiques qui restreignent, déforment et subvertissent le choix de l’utilisateur. »

Bien que le combat dure depuis plus de vingt ans, Microsoft se rendrait toujours coupable des mêmes pratiques abusives. Les signataires listent ainsi les mesures techniques visant à prévenir la désinstallation d’Edge, l’apparition de messages alarmants lorsque l’utilisateur tente d’installer un autre navigateur ou l’utilisation du système de mise à jour Windows Update pour rétablir Edge comme navigateur par défaut.

Ils dénoncent également la façon dont Teams ou Outlook forcent l’ouverture de liens via Edge même si l’utilisateur a paramétré un autre navigateur par défaut, ou l’ancrage d’Edge sur des fonctionnalités telles que la recherche Windows ou les widgets du système.

Rappelons que, vue d’Europe, la situation n’est pas aussi problématique que ne le décrivent les signataires, vidéos et captures d’écran à l’appui. Microsoft a en effet intégré un certain nombre d’options spécifiques, notamment pour répondre aux exigences de la législation sur les marchés numériques (DMA).

Cette réponse partielle ne satisfait logiquement pas les membres de la coalition qui, face à des pratiques susceptibles de varier dans le temps ou selon les juridictions, appellent à une harmonisation par le haut.

Harmoniser les bonnes pratiques par le haut

Ils demandent ainsi à Microsoft de ne pas empêcher la préinstallation de navigateurs tiers auprès des fabricants de PC, de mettre un terme à tous les dark patterns visant à limiter l’installation d’alternatives à Edge, et de cesser toutes les pratiques favorisant implicitement son propre navigateur :

« Lorsque tous les développeurs de navigateurs – y compris Microsoft – rivalisent de mérite pour offrir aux utilisateurs le navigateur le meilleur et le plus adapté possible, tout le monde en profite : cela stimule l’innovation, améliore les performances et, au final, offre de meilleurs résultats aux millions de personnes qui utilisent quotidiennement un PC pour accéder au Web et aux services Web tels que les applications d’IA. »

La question de l’IA n’est pas anodine : pour les signataires, le segment de l’IA générative est susceptible d’entrainer un regain d’intérêt pour le PC et donc pour les logiciels associés. La question du libre choix de l’utilisateur final serait donc dans ce contexte particulièrement pressante.

Microsoft n’a pas réagi publiquement à cette lettre ouverte, mais sa position est globalement connue : l’éditeur affirme jouer selon les règles et assure ne pas chercher à entraver la concurrence. En attendant, lui aussi semble convaincu que l’IA va constituer un catalyseur pour le monde du PC. Outre Scout, son nouvel agent autonome inspiré d’OpenClaw ou la future plateforme Solara, Microsoft vient ainsi d’annoncer l’intégration prochaine de nouvelles fonctions d’IA dérivées de ses modèles de langage au sein d’Edge.

Union sacrée

Réunis au sein de la Browser Choice Alliance, six éditeurs de navigateurs dont Chrome, Opera ou Vivaldi, appellent dans une lettre ouverte Microsoft à mettre fin aux pratiques visant à avantager son propre client, Edge, sur Windows.

« Assez, c’est assez », titrent les six navigateurs réunis au sein de la Browser Choice Alliance (Google Chrome, Opera, Vivaldi, Wavebox, Midori et Waterfox). Mercredi 3 juin, la coalition formée en 2024 a publié une nouvelle lettre ouverte adressée à Satya Nadella, CEO de Microsoft. Elle y réclame, une nouvelle fois, que l’éditeur de Windows mette un terme à toutes les pratiques qui lui permettent d’avantager Edge, son propre navigateur, au détriment des solutions concurrentes.

Liberté de choix

Les fondamentaux du discours sont inchangés pour qui suit l’actualité des navigateurs depuis l’ère Internet Explorer :

« Microsoft tire parti de sa position extrêmement puissante en tant que fournisseur du système d’exploitation omniprésent dans le monde du PC (…) pour inciter les utilisateurs à adopter son navigateur propriétaire, Edge, en recourant à des tactiques qui restreignent, déforment et subvertissent le choix de l’utilisateur. »

Bien que le combat dure depuis plus de vingt ans, Microsoft se rendrait toujours coupable des mêmes pratiques abusives. Les signataires listent ainsi les mesures techniques visant à prévenir la désinstallation d’Edge, l’apparition de messages alarmants lorsque l’utilisateur tente d’installer un autre navigateur ou l’utilisation du système de mise à jour Windows Update pour rétablir Edge comme navigateur par défaut.

Ils dénoncent également la façon dont Teams ou Outlook forcent l’ouverture de liens via Edge même si l’utilisateur a paramétré un autre navigateur par défaut, ou l’ancrage d’Edge sur des fonctionnalités telles que la recherche Windows ou les widgets du système.

Rappelons que, vue d’Europe, la situation n’est pas aussi problématique que ne le décrivent les signataires, vidéos et captures d’écran à l’appui. Microsoft a en effet intégré un certain nombre d’options spécifiques, notamment pour répondre aux exigences de la législation sur les marchés numériques (DMA).

Cette réponse partielle ne satisfait logiquement pas les membres de la coalition qui, face à des pratiques susceptibles de varier dans le temps ou selon les juridictions, appellent à une harmonisation par le haut.

Harmoniser les bonnes pratiques par le haut

Ils demandent ainsi à Microsoft de ne pas empêcher la préinstallation de navigateurs tiers auprès des fabricants de PC, de mettre un terme à tous les dark patterns visant à limiter l’installation d’alternatives à Edge, et de cesser toutes les pratiques favorisant implicitement son propre navigateur :

« Lorsque tous les développeurs de navigateurs – y compris Microsoft – rivalisent de mérite pour offrir aux utilisateurs le navigateur le meilleur et le plus adapté possible, tout le monde en profite : cela stimule l’innovation, améliore les performances et, au final, offre de meilleurs résultats aux millions de personnes qui utilisent quotidiennement un PC pour accéder au Web et aux services Web tels que les applications d’IA. »

La question de l’IA n’est pas anodine : pour les signataires, le segment de l’IA générative est susceptible d’entrainer un regain d’intérêt pour le PC et donc pour les logiciels associés. La question du libre choix de l’utilisateur final serait donc dans ce contexte particulièrement pressante.

Microsoft n’a pas réagi publiquement à cette lettre ouverte, mais sa position est globalement connue : l’éditeur affirme jouer selon les règles et assure ne pas chercher à entraver la concurrence. En attendant, lui aussi semble convaincu que l’IA va constituer un catalyseur pour le monde du PC. Outre Scout, son nouvel agent autonome inspiré d’OpenClaw ou la future plateforme Solara, Microsoft vient ainsi d’annoncer l’intégration prochaine de nouvelles fonctions d’IA dérivées de ses modèles de langage au sein d’Edge.

Les promesses n'engagent que ceux qui y croient

Le Canard enchaîné a révélé dans son édition du 2 juin 2026 que Doctolib livrait « les infos de ses utilisateurs à des géants américains de l’IA » et que ces données servaient l’entraînement des grands modèles de langage d’acteurs tels que Microsoft, Anthropic ou Google. Contactée par Next, l’entreprise dément fermement ces allégations. Le volume de prestataires sur lequel s’appuie Doctolib peut toutefois légitimement interroger.

Coup de palme à la carotide. Le Canard s’est fendu, dans son édition du 2 juin 2026, d’un article au vitriol au sujet de Doctolib, le poids lourd des services numériques dédiés aux professionnels de santé. Il y affirme notamment que la licorne française « transmet la plupart de ses informations à Google, Microsoft et Anthropic, pour entraîner ses propres modèles d’intelligence artificielle ».

Le Canard évoque notamment la nouvelle offre d’assistant virtuel à la consultation, commercialisée depuis 2024 par Doctolib auprès des professionnels de santé. Cet assistant de consultation, qui figure effectivement au catalogue de l’éditeur, est chargé d’écouter la consultation, après information du patient, et de prendre des notes à la place du praticien, pour ensuite générer de façon autonome compte-rendus et courriers médicaux.

Des données personnelles utilisées à des fins d’entraînement ?

Sur son site commercial, Doctolib affirme que l’ensemble des données associées à ce service « sont hébergées sur des serveurs basés dans l’Union Européenne, certifiés Hébergement de Données de Santé (HDS) ». Ce qui ne convainc pas le palmipède :

« Sauf que ces notes, à en croire la politique de protection des données de l’entreprise, entraînent les modèles d’intelligence artificielle eux-mêmes coachés par Google (Gemini), Anthropic (Claude) et Microsoft (Copilot). Carton rouge ! Même si ces mastodontes stockent leurs datas dans l’Union européenne, la justice américaine peut les forcer à les transmettre outre-Atlantique, ce que Doctolib omet de préciser », écrit le Canard.

Nous avons à notre tour épluché les différents documents contractuels de Doctolib pour tenter de voir plus clairement de quoi il retourne, dans une version Web native ou sous forme de PDF en date de mars 2026. Microsoft, Google et Anthropic apparaissent effectivement au chapitre des « sous-traitants ultérieurs », définis comme des prestataires susceptibles d’avoir accès à des données personnelles collectées par Doctolib à des fins de traitement spécifiques.

Le tableau en question liste plusieurs prestataires spécialisés dans le support client, le marketing ou l’hébergement. Il affiche également une rubrique Autres dans laquelle figurent Microsoft Azure, Anthropic et Google Irlande, à la fois pour l’IA générative Gemini et pour l’outil d’annuaire Google My Business.

Si le service concerné (« fourniture du modèle de LLM ») est explicite, qu’en est-il de la finalité réelle, présentée comme « Analyse et création de contenu à des fins d’automatisation de tâches » ?

Doctolib réfute et avance une protection contractuelle

Contacté par Next, un porte-parole de Doctolib répond que ces deux intitulés « désignent concrètement l’utilisation de leurs modèles pour faire fonctionner des fonctionnalités produit, comme la transcription et la synthèse des consultations médicales, ou l’automatisation de certaines tâches internes ».

Dit autrement, Doctolib exploite donc au moins partiellement des LLM états-uniens dans la production de ses services d’assistance. Est-ce à dire que Google ou Anthropic peuvent entraîner leurs modèles sur les notes médicales concernées ? L’entreprise réfute catégoriquement :

« Les notes de consultation n’entraînent pas leurs modèles d’intelligence artificielle. Ces sociétés interviennent comme prestataires techniques, sur nos seules instructions et dans un cadre contractuel strict qui leur interdit de conserver ou d’exploiter les données pour leur propre compte, et en particulier d’en nourrir leurs propres modèles ».

En réponse au Canard, qui évoque dans son article la question de la portée extraterritoriale de certaines lois états-uniennes – « Même si ces mastodontes stockent leurs datas dans l’Union européenne, la justice américaine peut les forcer à les transmettre outre-Atlantique, ce que Doctolib omet de préciser » – Doctolib nous assure que « les données médicales des patients sont hébergées exclusivement en France et en Allemagne, chiffrées en permanence au repos et en transit ». Même en cas de transfert, les données seraient donc inexploitables, estime l’entreprise, qui stocke ses clés chez Eviden (Atos).

Doctolib admet que certaines données peuvent tout de même servir à des fins d’entraînement, mais l’usage serait limité à l’amélioration de ses « propres modèles », uniquement si le praticien l’a autorisé ou si le patient a consenti. « Cette autorisation comme ce consentement sont demandés séparément, peuvent être retirés à tout moment, et ne donnent en aucun cas aux prestataires le droit d’utiliser ces données pour leurs propres modèles » affirme à ce sujet l’entreprise.

• Doctolib demande à ses utilisateurs de l’aider pour entrainer ses IA

Si certaines données ou notes médicales transitent bien par les serveurs d’Anthropic et de Google à des fins d’inférence, leur non-utilisation par les entreprises concernées serait donc verrouillée contractuellement.

Un détour par les conditions d’utilisation de la startup spécialisée Nabla, qui fournit elle aussi des services de transcription et de synthèse via LLM, révèle d’ailleurs une situation comparable. Sur son site, l’entreprise garantit l’absence totale de « réutilisation des données pour entraîner les modèles », alors qu’une partie de ses traitements est, d’après son propre accord sur la protection des données, réalisée par des modèles tiers sur des serveurs Microsoft.

En définitive, il faudrait donc avoir confiance en la qualité de la relation contractuelle établie entre ces prestataires du monde de la santé et les grands noms de l’intelligence artificielle.

Extension du domaine de la donnée

Du côté du Canard, cette confiance semble entachée par deux circonstances aggravantes. D’abord, une démarche active de lobbying qui aurait motivé 500 000 euros de dépenses en direct en 2025 pour « promouvoir une politique de l’hébergement, de la protection et de la portabilité des données favorable à l’activité de Doctolib  » auprès de parlementaires français, cite l’hebdomadaire. Ensuite, une proximité implicitement taxée de connivence avec l’Élysée, dont le locataire et le patron de Doctolib seraient « copains comme cochons », selon le député Philippe Latombe, cité par le Canard.

D’un point de vue plus technique et sans préjuger de la robustesse de l’infrastructure mise en place par le leader de la réservation médicale, on pourrait s’alarmer de voir la longue liste de prestataires techniques amenés à intervenir sur certains éléments de données personnelles issus de la plateforme Doctolib.

Tout se veut bien sûr cloisonné, mais l’entreprise recense elle-même 33 scénarios de traitements externalisés sur les différents pans de son activité : la relation client chez Salesforce, l’hébergement des données de service chez AWS, les demandes de support chez Atlassian, l’automatisation de la transmission des flux de données chez Zapier, la BI chez Looker, la constitution de fiches des soignants à partir des sources publiques chez Reltio, etc. La fameuse licorne a été épinglée par deux enquêtes entre 2020 et 2021 pour son laxisme en matière de sécurité des données, même si elle s’est toujours défendue de tout manquement.

• Comment les médecins s’emparent de l’IA générative

Les promesses n'engagent que ceux qui y croient

Le Canard enchaîné a révélé dans son édition du 2 juin 2026 que Doctolib livrait « les infos de ses utilisateurs à des géants américains de l’IA » et que ces données servaient l’entraînement des grands modèles de langage d’acteurs tels que Microsoft, Anthropic ou Google. Contactée par Next, l’entreprise dément fermement ces allégations. Le volume de prestataires sur lequel s’appuie Doctolib peut toutefois légitimement interroger.

Coup de palme à la carotide. Le Canard s’est fendu, dans son édition du 2 juin 2026, d’un article au vitriol au sujet de Doctolib, le poids lourd des services numériques dédiés aux professionnels de santé. Il y affirme notamment que la licorne française « transmet la plupart de ses informations à Google, Microsoft et Anthropic, pour entraîner ses propres modèles d’intelligence artificielle ».

Le Canard évoque notamment la nouvelle offre d’assistant virtuel à la consultation, commercialisée depuis 2024 par Doctolib auprès des professionnels de santé. Cet assistant de consultation, qui figure effectivement au catalogue de l’éditeur, est chargé d’écouter la consultation, après information du patient, et de prendre des notes à la place du praticien, pour ensuite générer de façon autonome compte-rendus et courriers médicaux.

Des données personnelles utilisées à des fins d’entraînement ?

Sur son site commercial, Doctolib affirme que l’ensemble des données associées à ce service « sont hébergées sur des serveurs basés dans l’Union Européenne, certifiés Hébergement de Données de Santé (HDS) ». Ce qui ne convainc pas le palmipède :

« Sauf que ces notes, à en croire la politique de protection des données de l’entreprise, entraînent les modèles d’intelligence artificielle eux-mêmes coachés par Google (Gemini), Anthropic (Claude) et Microsoft (Copilot). Carton rouge ! Même si ces mastodontes stockent leurs datas dans l’Union européenne, la justice américaine peut les forcer à les transmettre outre-Atlantique, ce que Doctolib omet de préciser », écrit le Canard.

Nous avons à notre tour épluché les différents documents contractuels de Doctolib pour tenter de voir plus clairement de quoi il retourne, dans une version Web native ou sous forme de PDF en date de mars 2026. Microsoft, Google et Anthropic apparaissent effectivement au chapitre des « sous-traitants ultérieurs », définis comme des prestataires susceptibles d’avoir accès à des données personnelles collectées par Doctolib à des fins de traitement spécifiques.

Le tableau en question liste plusieurs prestataires spécialisés dans le support client, le marketing ou l’hébergement. Il affiche également une rubrique Autres dans laquelle figurent Microsoft Azure, Anthropic et Google Irlande, à la fois pour l’IA générative Gemini et pour l’outil d’annuaire Google My Business.

Si le service concerné (« fourniture du modèle de LLM ») est explicite, qu’en est-il de la finalité réelle, présentée comme « Analyse et création de contenu à des fins d’automatisation de tâches » ?

Doctolib réfute et avance une protection contractuelle

Contacté par Next, un porte-parole de Doctolib répond que ces deux intitulés « désignent concrètement l’utilisation de leurs modèles pour faire fonctionner des fonctionnalités produit, comme la transcription et la synthèse des consultations médicales, ou l’automatisation de certaines tâches internes ».

Dit autrement, Doctolib exploite donc au moins partiellement des LLM états-uniens dans la production de ses services d’assistance. Est-ce à dire que Google ou Anthropic peuvent entraîner leurs modèles sur les notes médicales concernées ? L’entreprise réfute catégoriquement :

« Les notes de consultation n’entraînent pas leurs modèles d’intelligence artificielle. Ces sociétés interviennent comme prestataires techniques, sur nos seules instructions et dans un cadre contractuel strict qui leur interdit de conserver ou d’exploiter les données pour leur propre compte, et en particulier d’en nourrir leurs propres modèles ».

En réponse au Canard, qui évoque dans son article la question de la portée extraterritoriale de certaines lois états-uniennes – « Même si ces mastodontes stockent leurs datas dans l’Union européenne, la justice américaine peut les forcer à les transmettre outre-Atlantique, ce que Doctolib omet de préciser » – Doctolib nous assure que « les données médicales des patients sont hébergées exclusivement en France et en Allemagne, chiffrées en permanence au repos et en transit ». Même en cas de transfert, les données seraient donc inexploitables, estime l’entreprise, qui stocke ses clés chez Eviden (Atos).

Doctolib admet que certaines données peuvent tout de même servir à des fins d’entraînement, mais l’usage serait limité à l’amélioration de ses « propres modèles », uniquement si le praticien l’a autorisé ou si le patient a consenti. « Cette autorisation comme ce consentement sont demandés séparément, peuvent être retirés à tout moment, et ne donnent en aucun cas aux prestataires le droit d’utiliser ces données pour leurs propres modèles » affirme à ce sujet l’entreprise.

• Doctolib demande à ses utilisateurs de l’aider pour entrainer ses IA

Si certaines données ou notes médicales transitent bien par les serveurs d’Anthropic et de Google à des fins d’inférence, leur non-utilisation par les entreprises concernées serait donc verrouillée contractuellement.

Un détour par les conditions d’utilisation de la startup spécialisée Nabla, qui fournit elle aussi des services de transcription et de synthèse via LLM, révèle d’ailleurs une situation comparable. Sur son site, l’entreprise garantit l’absence totale de « réutilisation des données pour entraîner les modèles », alors qu’une partie de ses traitements est, d’après son propre accord sur la protection des données, réalisée par des modèles tiers sur des serveurs Microsoft.

En définitive, il faudrait donc avoir confiance en la qualité de la relation contractuelle établie entre ces prestataires du monde de la santé et les grands noms de l’intelligence artificielle.

Extension du domaine de la donnée

Du côté du Canard, cette confiance semble entachée par deux circonstances aggravantes. D’abord, une démarche active de lobbying qui aurait motivé 500 000 euros de dépenses en direct en 2025 pour « promouvoir une politique de l’hébergement, de la protection et de la portabilité des données favorable à l’activité de Doctolib  » auprès de parlementaires français, cite l’hebdomadaire. Ensuite, une proximité implicitement taxée de connivence avec l’Élysée, dont le locataire et le patron de Doctolib seraient « copains comme cochons », selon le député Philippe Latombe, cité par le Canard.

D’un point de vue plus technique et sans préjuger de la robustesse de l’infrastructure mise en place par le leader de la réservation médicale, on pourrait s’alarmer de voir la longue liste de prestataires techniques amenés à intervenir sur certains éléments de données personnelles issus de la plateforme Doctolib.

Tout se veut bien sûr cloisonné, mais l’entreprise recense elle-même 33 scénarios de traitements externalisés sur les différents pans de son activité : la relation client chez Salesforce, l’hébergement des données de service chez AWS, les demandes de support chez Atlassian, l’automatisation de la transmission des flux de données chez Zapier, la BI chez Looker, la constitution de fiches des soignants à partir des sources publiques chez Reltio, etc. La fameuse licorne a été épinglée par deux enquêtes entre 2020 et 2021 pour son laxisme en matière de sécurité des données, même si elle s’est toujours défendue de tout manquement.

• Comment les médecins s’emparent de l’IA générative

So long, space cowboy

SpaceX a détaillé plus précisément les modalités financières de son introduction en bourse. L’action SPCX sera proposée au marché à 135 dollars, et l’entreprise devrait ainsi pouvoir lever 75 milliards de dollars, sur la base d’une valorisation fixée aux alentours de 1 750 milliards de dollars.

SpaceX a mis à jour mercredi 3 juin son formulaire S-1 déposé auprès des autorités boursières états-uniennes. Cette version amendée, dite « S-1/A 2 » révèle le prix d’introduction envisagé par la société, ainsi que le volume d’actions mis en circulation, ce qui permet de déterminer à la fois la somme d’argent frais que l’entreprise espère réunir sur les marchés, mais aussi la valorisation totale qui sert de point de départ aux calculs. À ce niveau, les rumeurs visaient globalement juste : SpaceX confirme aller chercher 75 milliards de dollars grâce à la mise en circulation de 555 555 555 actions, lancées au prix unitaire de 135 dollars.

SpaceX fixe son prix

Deux éléments sont à noter ici. D’abord, le prix de lancement peut encore évoluer jusqu’à l’introduction proprement dite. Il est cependant peu probable que SpaceX ajuste les curseurs au dernier moment, dans la mesure où la majeure partie de ces actions ont déjà fait l’objet d’accords avec des investisseurs institutionnels.

De ce fait, on ne connait pas à ce stade le volume réel d’actions qui sera mis sur le marché le jour de l’ouverture de la cotation. On sait en revanche qu’environ 27,8 millions d’actions sont réservées à des employés ou à des personnes choisies par la direction (donc par Elon Musk).

Un autre élément inhabituel tient à la façon dont SpaceX fixe un prix d’introduction déterminé, alors que les grandes opérations de ce type donnent généralement lieu à la publication d’une fourchette indicative (par exemple, entre 130 et 150 dollars par action). L’entreprise se sent suffisamment confiante pour imposer que ce soit la demande qui s’adapte à son prix, et non l’inverse.

Une action à 93,6x le chiffre d’affaires 2025

Nous avions déjà analysé les éléments financiers révélés par SpaceX à l’occasion de la publication de la première version de son S1. Les chiffres de l’entreprise révèlent pour mémoire un chiffre d’affaires de 18,7 milliards de dollars en 2025, avec des pertes d’exploitation significatives du côté de l’activité lanceur spatial, dues notamment au programme Starship, qui mobilise d’importantes dépenses d’investissement. Le déficit est creusé dans des proportions sans précédent par l’intégration des activités liées à l’IA (X et xAI ont d’abord été fusionnés avant d’être intégrés à SpaceX). L’entreprise affiche ainsi 4,937 milliards de dollars de pertes sur toute l’année 2025, et 4,276 milliards de dollars sur le seul premier trimestre 2026.

Dans ce contexte, on ne peut donc pas utiliser le traditionnel indicateur du PER (price earning ratio), qui consiste à comparer le cours de l’action à ses bénéfices nets pour mesurer son attrait. On peut en revanche rapporter la valorisation revendiquée par SpaceX (1 750 milliards de dollars) à son chiffre d’affaires, ce qui donne un multiple stratosphérique de 93,6. À titre de comparaison, ce ratio prix/ventes est de l’ordre de 16 pour Tesla (97,5 milliards de dollars de chiffre d’affaires, 1 590 milliards de dollars de valorisation), contre 11,8 pour Apple (rentable) et 40 pour NVIDIA (ultra rentable).

Les investisseurs qui suivent l’IPO n’achètent donc pas l’activité actuelle, mais les promesses de croissance future formulées par l’entreprise. Ces dernières – qui passent pour mémoire par la promesse d’un coût de lancement spatial divisé par 10 grâce à Starship, et par le développement d’une offre d’inférence IA en orbite grâce à des datacenters spatiaux – sont si pharaoniques qu’elles suscitent la défiance de certains investisseurs institutionnels.

Comme chez Tesla, Elon Musk s’octroie dans ce plan financier des bonus en actions significatifs (plusieurs centaines de milliards de dollars d’actions) en fonction d’objectifs eux aussi stratosphériques. Aux conditions financières (franchir certains paliers de valorisation) s’ajoutent ainsi deux conditions plus opérationnelles : réussir à établir une colonie humaine sur Mars avec au minimum 1 million d’habitants, mais aussi installer en orbite l’équivalent de 100 TW de puissance de calcul informatique.

Dans les deux cas, la simple faisabilité technique est largement sujette à caution, mais ces promesses n’ont finalement qu’une valeur symbolique, dans la mesure où même en cas d’échec, Musk conserve l’essentiel de la valeur de SpaceX et la très grande majorité des pouvoirs via ses actions préférentielles.