L’Arcom, régulateur de la communication audiovisuelle, a décidé de retarder de deux ans la procédure d’attribution relative aux canaux précédemment occupés par les chaînes payantes du Groupe Canal+ sur la TNT.

« Il ressort en effet de l’analyse menée par l’Autorité et de la plupart des contributions des acteurs du secteur que dans un contexte d’érosion de la consommation télévisuelle et d’un marché publicitaire atone, la capacité du secteur à absorber l’arrivée de nouveaux services viables, sans préjudice pour les services existants et leur capacité à financer les contenus, est limitée », indique l’Autorité.

Ses travaux, basés notamment sur une consultation publique et sur une étude d’impact rendue en juillet dernier, font notamment valoir qu’une contraction des recettes publicitaires télévisées est attendue, en France, entre 2025 et 2030, « avec un recul moyen estimé à- 1,7 % par an ».

Partant du principe qu’accepter de nouveaux entrants reviendrait mécaniquement à réduire la part moyenne du marché disponible pour chaque chaîne, l’Arcom choisit, à la place, de lancer « des travaux visant à approfondir le modèle économique de la diffusion de la TNT ».

« Il a vocation à aboutir au début de l’année 2027 et donnera lieu à des points d’étape, notamment au printemps 2026, au moment du lancement des travaux de réaffectation des fréquences rendues disponibles à l’échéance, le 12 décembre 2027, de six services nationaux de la TNT », précise l’Autorité. Les chaînes concernées par cette échéance sont pour mémoire 6ter, RMC Life (ex-Chérie 25), L’Équipe, RMC Découverte, RMC Story et TF1 Séries Films, qui ont vu leurs autorisations renouvelées pour cinq ans ans en mars 2022.

Rappelons que le périmètre de la TNT a été modifié cette année, avec une nouvelle numérotation entrée en vigueur en juin dernier, pour préparer la sortie des chaînes C8 et NRJ12, ainsi que la fin de la diffusion des chaînes payantes du Groupe Canal+.

La TNT a depuis accueilli deux nouvelles chaînes : T18, portée par le groupe CMI France, lui-même détenu par le milliardaire Daniel Kretinsky, et Novo19, lancée par le groupe Ouest-France.

L’Arcom a par ailleurs cette semaine donné son agrément au changement de nom de la chaîne Chérie 25 qui, sous la houlette de son nouvel actionnaire CMA Media (filiale du groupe CMA CGM de Rodolphe Saadé) devient RMC Life.

Des coupes de cheveux simplifiées !

C’est fait : Google vient d’annoncer le grand déploiement de l’IA dans Chrome. Les fonctions étaient jusque-là réservées aux abonnements les plus onéreux de Gemini, mais se diffusent désormais chez tous les utilisateurs aux États-Unis. D’autres pays seront concernés dans les prochains mois.

« La plus grande mise à jour de son histoire ». C’est ainsi que Google présente l’évolution de Chrome dans un billet publié hier soir. Il n’y est question que d’IA et de l’omniprésence de Gemini. Ce n’est pas entièrement une nouveauté, car nombre de ces fonctions étaient en fait déjà accessibles aux abonnés Google AI Pro et AI Ultra.

Maintenant qu’elle sait qu’elle gardera le contrôle de Chrome, Google ouvre cette fois les vannes : toutes les fonctions débarqueront chez l’intégralité des utilisateurs aux États-Unis (en anglais) avant la fin du mois, et dans le reste du monde au cours des semaines à venir. L’entreprise tient ainsi sa promesse d’une IA déterminante pour l’accès à l’information.

• Pour Google, l’IA déterminera la manière d’accéder à l’information

Une déferlante de fonctions

On s’en doute, ce changement signifie tout un lot de fonctions chez monsieur et madame Tout-le-monde. Certaines sont désormais très classiques, comme demander des explications sur un ou plusieurs onglets, un résumé des informations, comparer plusieurs pages, etc. Gemini étant capable d’agir sur plusieurs onglets en même temps, toutes ces opérations peuvent être lancées dans la fenêtre, via un bouton Gemini dédié (tout à droite de la barre de titre), au sein de laquelle les questions pourront être appliquées à l’ensemble des onglets, même si le nombre maximal n’est pas précisé.

Les exemples donnés par Google sont classiques, dont le sempiternel cas du voyage à organiser. On peut avoir ainsi un onglet ouvert sur les trajets en avion, un autre sur les réservations d’hôtels, un autre encore sur les restaurants, et encore un autre sur les déplacements prévus. Dans l’interface de Gemini, on pourra alors demander à l’assistant de résumer le tout et de proposer un projet cohérent.

L’intégration de l’assistant permet surtout, selon Google, de modifier profondément la manière dont on aborde une recherche. Par exemple, plutôt que de chercher le « meilleur » produit d’une catégorie, on peut demander à Gemini de trouver des modèles adaptés à un cas d’usage particulier. Dans une précédente démonstration, Google avait proposé comme exemple une description du type : « Je dors sur le côté avec des douleurs lombaires, je voudrais un tableau comparatif des matelas adaptés ».

Toutes les informations renvoyées par Gemini s’affichent dans un panneau latéral. Et pour être sûr que les internautes verront ces nouvelles capacités, l’Omnibox (nom consacré de ce qui était avant la barre d’adresses) se met à la page. Sans reprendre complètement le comportement du bouton dédié, elle pourra servir à poser des questions sur la page en cours. Elle peut en suggérer, attirant l’attention de la personne sur ces possibilités pour s’assurer qu’elle découvre cette fonction.

Historique, synergies et sécurité

Les conséquences de cette intégration profonde sont nombreuses. D’abord, Gemini pourra puiser dans l’historique de navigation. On pourra donc lui poser des questions comme « quel était le site Web sur lequel j’ai vu le bureau en noyer la semaine dernière ? » ou « quel était ce blog que j’ai lu sur le shopping de la rentrée ? ». Si ce type de fonctionnement vous évoque les mêmes inquiétudes que Recall chez Microsoft, c’est que les dangers en matière de vie privée existent bel et bien, même si le problème se pose de toute façon déjà avec l’historique.

L’intégration se fait en outre avec d’autres services de Google, qui cite Agenda, Docs, YouTube et Maps. Selon les tâches exécutées par Gemini, l’assistant pourra ainsi proposer de lui-même de créer des évènements dans le calendrier, afficher un trajet potentiel dans Maps, etc. En Europe, où ce type d’intégration très poussée a déjà posé problème à Google, il n’est pas certain que ce renforcement soit apprécié.

Google ajoute également un gros tronçon sur la sécurité, via trois angles. D’une part, l’IA va être utilisée pour élargir la protection de Gemini Nano sur les escroqueries au support technique, que l’on trouve notamment dans les smartphones Pixel. Cette défense prendra en compte d’autres scénarios de tromperie, dont les sites prétendant vous avoir fait gagner un cadeau.

D’autre part, l’IA va aussi servir à agir sur les notifications envoyées par les sites. Il s’agit d’une reprise et d’un renforcement d’une fonction déjà existante sur la version Android de Chrome, et dont Google affirme qu’elle a déjà permis de bloquer trois milliards de notifications frauduleuses ou de type spam. « Chrome utilise désormais l’IA pour connaître vos préférences et prendre en compte des signaux tels que la qualité du site », précise l’éditeur.

Enfin, l’IA va venir compléter les fonctions offertes par le gestionnaire de mots de passe. Google propose déjà une surveillance des identifiants pour prévenir quand ils sont retrouvés dans une fuite. Une fonction qui existe depuis des années dans d’autres gestionnaires. Sur les sites pris en charge, l’IA permettra de créer automatiquement un agent chargé d’aller modifier le mot de passe quand une fuite est signalée. Là encore, ce type de fonction existe déjà, notamment chez 1Password et Dashlane. Son efficacité dépendant des sites, on attend de voir comment Chrome s’en sort.

Un futur agentique

Au cours des prochains mois, Google indique que des nouveautés spécifiques aux agents seront introduites. L’idée est simple : généraliser leur usage. Ces agents « permettront à Gemini dans Chrome de gérer ces tâches fastidieuses qui prennent beaucoup de votre temps, comme réserver une coupe de cheveux ou commander vos courses hebdomadaires », selon Google.

Google espère bien sûr que l’arrivée des agents représentera un changement de paradigme dans la navigation. Le concept n’a pas changé : décrire à Gemini le genre de tâches que l’on veut réaliser, l’assistant se chargeant de créer les agents dédiés. Ces derniers agiront comme des éléments autonomes, même si Google affirme que l’on pourra reprendre le contrôle à tout moment. Ces agents pourront par exemple être chargés de collecter des informations quand vous n’êtes pas là, pour vous en fournir un résumé dans Docs, qui attendra votre retour ou dont vous recevrez la notification quand vous êtes en déplacement.

• C’est quoi l’IA agentique ?

De manière générale, la promesse de Google avec les agents est de transformer « des tâches de 30 minutes en parcours utilisateur en 3 clics ». Google a d’ailleurs en parallèle que les Gems pouvaient maintenant se partager entre utilisateurs. Les Gems sont des agents que l’on peut bâtir avec Gemini pour gérer en permanence des tâches spécifiques. Dans le gestionnaire de Gems de Gemini, on trouve maintenant un bouton de partage, ouvrant une fenêtre dans laquelle on peut sélectionner des contacts. Ces derniers recevront alors une notification, avec possibilité d’installer l’agent correspondant. Ce dernier sera indiqué comme partagé depuis une autre personne.

Notons qu’aucune des annonces de Google pour Chrome hier soir ne précise les limitations pour les comptes gratuits ou pour les différents abonnements.

L’Arcom, régulateur de la communication audiovisuelle, a décidé de retarder de deux ans la procédure d’attribution relative aux canaux précédemment occupés par les chaînes payantes du Groupe Canal+ sur la TNT.

« Il ressort en effet de l’analyse menée par l’Autorité et de la plupart des contributions des acteurs du secteur que dans un contexte d’érosion de la consommation télévisuelle et d’un marché publicitaire atone, la capacité du secteur à absorber l’arrivée de nouveaux services viables, sans préjudice pour les services existants et leur capacité à financer les contenus, est limitée », indique l’Autorité.

Ses travaux, basés notamment sur une consultation publique et sur une étude d’impact rendue en juillet dernier, font notamment valoir qu’une contraction des recettes publicitaires télévisées est attendue, en France, entre 2025 et 2030, « avec un recul moyen estimé à- 1,7 % par an ».

Partant du principe qu’accepter de nouveaux entrants reviendrait mécaniquement à réduire la part moyenne du marché disponible pour chaque chaîne, l’Arcom choisit, à la place, de lancer « des travaux visant à approfondir le modèle économique de la diffusion de la TNT ».

« Il a vocation à aboutir au début de l’année 2027 et donnera lieu à des points d’étape, notamment au printemps 2026, au moment du lancement des travaux de réaffectation des fréquences rendues disponibles à l’échéance, le 12 décembre 2027, de six services nationaux de la TNT », précise l’Autorité. Les chaînes concernées par cette échéance sont pour mémoire 6ter, RMC Life (ex-Chérie 25), L’Équipe, RMC Découverte, RMC Story et TF1 Séries Films, qui ont vu leurs autorisations renouvelées pour cinq ans ans en mars 2022.

Rappelons que le périmètre de la TNT a été modifié cette année, avec une nouvelle numérotation entrée en vigueur en juin dernier, pour préparer la sortie des chaînes C8 et NRJ12, ainsi que la fin de la diffusion des chaînes payantes du Groupe Canal+.

La TNT a depuis accueilli deux nouvelles chaînes : T18, portée par le groupe CMI France, lui-même détenu par le milliardaire Daniel Kretinsky, et Novo19, lancée par le groupe Ouest-France.

L’Arcom a par ailleurs cette semaine donné son agrément au changement de nom de la chaîne Chérie 25 qui, sous la houlette de son nouvel actionnaire CMA Media (filiale du groupe CMA CGM de Rodolphe Saadé) devient RMC Life.

Des coupes de cheveux simplifiées !

C’est fait : Google vient d’annoncer le grand déploiement de l’IA dans Chrome. Les fonctions étaient jusque-là réservées aux abonnements les plus onéreux de Gemini, mais se diffusent désormais chez tous les utilisateurs aux États-Unis. D’autres pays seront concernés dans les prochains mois.

« La plus grande mise à jour de son histoire ». C’est ainsi que Google présente l’évolution de Chrome dans un billet publié hier soir. Il n’y est question que d’IA et de l’omniprésence de Gemini. Ce n’est pas entièrement une nouveauté, car nombre de ces fonctions étaient en fait déjà accessibles aux abonnés Google AI Pro et AI Ultra.

Maintenant qu’elle sait qu’elle gardera le contrôle de Chrome, Google ouvre cette fois les vannes : toutes les fonctions débarqueront chez l’intégralité des utilisateurs aux États-Unis (en anglais) avant la fin du mois, et dans le reste du monde au cours des semaines à venir. L’entreprise tient ainsi sa promesse d’une IA déterminante pour l’accès à l’information.

• Pour Google, l’IA déterminera la manière d’accéder à l’information

Une déferlante de fonctions

On s’en doute, ce changement signifie tout un lot de fonctions chez monsieur et madame Tout-le-monde. Certaines sont désormais très classiques, comme demander des explications sur un ou plusieurs onglets, un résumé des informations, comparer plusieurs pages, etc. Gemini étant capable d’agir sur plusieurs onglets en même temps, toutes ces opérations peuvent être lancées dans la fenêtre, via un bouton Gemini dédié (tout à droite de la barre de titre), au sein de laquelle les questions pourront être appliquées à l’ensemble des onglets, même si le nombre maximal n’est pas précisé.

Les exemples donnés par Google sont classiques, dont le sempiternel cas du voyage à organiser. On peut avoir ainsi un onglet ouvert sur les trajets en avion, un autre sur les réservations d’hôtels, un autre encore sur les restaurants, et encore un autre sur les déplacements prévus. Dans l’interface de Gemini, on pourra alors demander à l’assistant de résumer le tout et de proposer un projet cohérent.

L’intégration de l’assistant permet surtout, selon Google, de modifier profondément la manière dont on aborde une recherche. Par exemple, plutôt que de chercher le « meilleur » produit d’une catégorie, on peut demander à Gemini de trouver des modèles adaptés à un cas d’usage particulier. Dans une précédente démonstration, Google avait proposé comme exemple une description du type : « Je dors sur le côté avec des douleurs lombaires, je voudrais un tableau comparatif des matelas adaptés ».

Toutes les informations renvoyées par Gemini s’affichent dans un panneau latéral. Et pour être sûr que les internautes verront ces nouvelles capacités, l’Omnibox (nom consacré de ce qui était avant la barre d’adresses) se met à la page. Sans reprendre complètement le comportement du bouton dédié, elle pourra servir à poser des questions sur la page en cours. Elle peut en suggérer, attirant l’attention de la personne sur ces possibilités pour s’assurer qu’elle découvre cette fonction.

Historique, synergies et sécurité

Les conséquences de cette intégration profonde sont nombreuses. D’abord, Gemini pourra puiser dans l’historique de navigation. On pourra donc lui poser des questions comme « quel était le site Web sur lequel j’ai vu le bureau en noyer la semaine dernière ? » ou « quel était ce blog que j’ai lu sur le shopping de la rentrée ? ». Si ce type de fonctionnement vous évoque les mêmes inquiétudes que Recall chez Microsoft, c’est que les dangers en matière de vie privée existent bel et bien, même si le problème se pose de toute façon déjà avec l’historique.

L’intégration se fait en outre avec d’autres services de Google, qui cite Agenda, Docs, YouTube et Maps. Selon les tâches exécutées par Gemini, l’assistant pourra ainsi proposer de lui-même de créer des évènements dans le calendrier, afficher un trajet potentiel dans Maps, etc. En Europe, où ce type d’intégration très poussée a déjà posé problème à Google, il n’est pas certain que ce renforcement soit apprécié.

Google ajoute également un gros tronçon sur la sécurité, via trois angles. D’une part, l’IA va être utilisée pour élargir la protection de Gemini Nano sur les escroqueries au support technique, que l’on trouve notamment dans les smartphones Pixel. Cette défense prendra en compte d’autres scénarios de tromperie, dont les sites prétendant vous avoir fait gagner un cadeau.

D’autre part, l’IA va aussi servir à agir sur les notifications envoyées par les sites. Il s’agit d’une reprise et d’un renforcement d’une fonction déjà existante sur la version Android de Chrome, et dont Google affirme qu’elle a déjà permis de bloquer trois milliards de notifications frauduleuses ou de type spam. « Chrome utilise désormais l’IA pour connaître vos préférences et prendre en compte des signaux tels que la qualité du site », précise l’éditeur.

Enfin, l’IA va venir compléter les fonctions offertes par le gestionnaire de mots de passe. Google propose déjà une surveillance des identifiants pour prévenir quand ils sont retrouvés dans une fuite. Une fonction qui existe depuis des années dans d’autres gestionnaires. Sur les sites pris en charge, l’IA permettra de créer automatiquement un agent chargé d’aller modifier le mot de passe quand une fuite est signalée. Là encore, ce type de fonction existe déjà, notamment chez 1Password et Dashlane. Son efficacité dépendant des sites, on attend de voir comment Chrome s’en sort.

Un futur agentique

Au cours des prochains mois, Google indique que des nouveautés spécifiques aux agents seront introduites. L’idée est simple : généraliser leur usage. Ces agents « permettront à Gemini dans Chrome de gérer ces tâches fastidieuses qui prennent beaucoup de votre temps, comme réserver une coupe de cheveux ou commander vos courses hebdomadaires », selon Google.

Google espère bien sûr que l’arrivée des agents représentera un changement de paradigme dans la navigation. Le concept n’a pas changé : décrire à Gemini le genre de tâches que l’on veut réaliser, l’assistant se chargeant de créer les agents dédiés. Ces derniers agiront comme des éléments autonomes, même si Google affirme que l’on pourra reprendre le contrôle à tout moment. Ces agents pourront par exemple être chargés de collecter des informations quand vous n’êtes pas là, pour vous en fournir un résumé dans Docs, qui attendra votre retour ou dont vous recevrez la notification quand vous êtes en déplacement.

• C’est quoi l’IA agentique ?

De manière générale, la promesse de Google avec les agents est de transformer « des tâches de 30 minutes en parcours utilisateur en 3 clics ». Google a d’ailleurs en parallèle que les Gems pouvaient maintenant se partager entre utilisateurs. Les Gems sont des agents que l’on peut bâtir avec Gemini pour gérer en permanence des tâches spécifiques. Dans le gestionnaire de Gems de Gemini, on trouve maintenant un bouton de partage, ouvrant une fenêtre dans laquelle on peut sélectionner des contacts. Ces derniers recevront alors une notification, avec possibilité d’installer l’agent correspondant. Ce dernier sera indiqué comme partagé depuis une autre personne.

Notons qu’aucune des annonces de Google pour Chrome hier soir ne précise les limitations pour les comptes gratuits ou pour les différents abonnements.

In addition to AMD posting patches this week working on ACPI C4 power savings support available in some newer AMD systems, patches were separately posted this week for enabling S0ix sleep support within the AMDKFD compute kernel driver...

The beta release of KDE's Plasma 6.5 desktop took place on Thursday as they work toward the stable release expected on 21 October...

Déjà, on sait que les Windows en 32 bits n'existent plus depuis l'arrivée de Windows 11. Si la largeur du nonos faisait encore illusion avec Windows 10, c'est cuitas de chez cuitas depuis le Windows 11. D'ailleurs même ceux qui font des pilotes en général, et le couple AMD / NVIDIA en particulier, o...

La version finale de Tails 7.0 est disponible, avec près d’un mois d’avance sur le calendrier initialement annoncé. Cette distribution GNU/Linux, centrée pour mémoire sur les problématiques de sécurité et d’anonymat en ligne et conçue pour être lancée depuis une clé USB, adopte un nouveau socle centré sur Debian13 Trixie, sortie début août, accompagnée de l’environnement GNOME 48. Le tout fonctionne sur un noyau Linux 6.12.43 LTS (Long Term Support), ce qui devrait selon l’équipe en charge du projet améliorer la compatibilité matérielle de Tails OS.

Alors que la Release Candidate parue début août présentait quelques lenteurs au démarrage, l’équipe indique que le lancement de cette Tails OS 7.0 version finale a gagné 10 à 15 secondes sur la plupart des ordinateurs. Pour ce faire, elle explique être passée d’une compression basée sur xz au format zstd, ce qui se traduit par une image système plus volumineuse d’environ 10 %.

Elle en profite pour signaler que les performances peuvent varier dans des proportions significatives si Tails OS est lancé depuis une clé USB « de mauvaise qualité », un avertissement destiné notamment aux utilisateurs qui évoluent dans des pays où la contrefaçon de produits électroniques est un phénomène courant.

Par ailleurs, le système recommande désormais 3 Go de mémoire vive, contre 2 Go précédemment. Si la machine hôte dispose de moins de 3 Go, Tails OS se lancera, mais un message d’avertissement signalera un risque d’instabilité ou de performances dégradées.

Outre une longue liste de corrections et les changements liés à GNOME 48, Tails 7.0 est l’occasion d’une mise à jour générale des principaux paquets, du client Tor (0.4.8.17) à Thunderbird (128.14 ESR) en passant par Electrum (4.5.8), OnionShare (2.6.3), KeePassXC (2.7.10) ou Gimp (3.0.4).

Les différentes images et procédures d’installation sont listées sur le site officiel du projet.

La version finale de Tails 7.0 est disponible, avec près d’un mois d’avance sur le calendrier initialement annoncé. Cette distribution GNU/Linux, centrée pour mémoire sur les problématiques de sécurité et d’anonymat en ligne et conçue pour être lancée depuis une clé USB, adopte un nouveau socle centré sur Debian13 Trixie, sortie début août, accompagnée de l’environnement GNOME 48. Le tout fonctionne sur un noyau Linux 6.12.43 LTS (Long Term Support), ce qui devrait selon l’équipe en charge du projet améliorer la compatibilité matérielle de Tails OS.

Alors que la Release Candidate parue début août présentait quelques lenteurs au démarrage, l’équipe indique que le lancement de cette Tails OS 7.0 version finale a gagné 10 à 15 secondes sur la plupart des ordinateurs. Pour ce faire, elle explique être passée d’une compression basée sur xz au format zstd, ce qui se traduit par une image système plus volumineuse d’environ 10 %.

Elle en profite pour signaler que les performances peuvent varier dans des proportions significatives si Tails OS est lancé depuis une clé USB « de mauvaise qualité », un avertissement destiné notamment aux utilisateurs qui évoluent dans des pays où la contrefaçon de produits électroniques est un phénomène courant.

Par ailleurs, le système recommande désormais 3 Go de mémoire vive, contre 2 Go précédemment. Si la machine hôte dispose de moins de 3 Go, Tails OS se lancera, mais un message d’avertissement signalera un risque d’instabilité ou de performances dégradées.

Outre une longue liste de corrections et les changements liés à GNOME 48, Tails 7.0 est l’occasion d’une mise à jour générale des principaux paquets, du client Tor (0.4.8.17) à Thunderbird (128.14 ESR) en passant par Electrum (4.5.8), OnionShare (2.6.3), KeePassXC (2.7.10) ou Gimp (3.0.4).

Les différentes images et procédures d’installation sont listées sur le site officiel du projet.

Aujourd’hui, nous testons l’entrée de gamme des souris sans fil MSI : la Versa 300 Wireless. Forme de taille moyenne adaptée à tout type de grip, construction robuste, triple connexion, poids de 60 grammes, clics principaux plutôt bons, le tout pour la modique somme de 30€ ! Si cette proposition peut sembler attrayante, elle nous semble orientée pour un usage bureautique, car au niveau du capteur, le bas blesse : le PAW 3104 équipe cette Versa 300. Ce capteur ne fournit pas des performances suffisantes pour du gaming compétitif et aura du mal à tracker les mouvements rapides en plus d’une distance de soulèvement assez conséquente. Néanmoins, nous sommes sur une souris avec certaines qualités et certains défauts, qui conviendra à certains usages, et qui ne sera pas recommandable pour d’autres. Passons cette Versa 300 Wireless à la loupe afin de voir à qui elle s’adresse !

Le barebone / Mini PC (classez dans la catégorie qui vous plaira) GMKTec EVO-X2 ne vous est pas inconnu puisqu'il a été parmi les premiers annoncés équipés du Ryzen AI Max+ 395. Sauf qu'on l'a bien appris à nos dépends, entre une annonce et une disponibilité, il peut parfois se passer un temps géolo...

Les temps modernes

Alors que le dépôt NPM était déjà marqué par une importante attaque le 8 septembre, une autre attaque est en cours depuis 48 heures. Plusieurs centaines de paquets ont été compromis, les pirates à l’origine de la campagne ayant industrialisé le processus, au point de l’avoir transformé en ver. Explications.

L’écosystème NPM (Node Package Manager) fait actuellement face à une nouvelle attaque sophistiquée. De type chaine d’approvisionnement, elle consiste à infecter un maillon de la chaine de distribution en amont, afin que l’infection se répande automatiquement en aval.

Cette nouvelle attaque, d’un genre différent de celle que nous rapportions récemment, reprend dans les grandes lignes le modus operandi de l’attaque du 27 aout. À ceci près que les pirates ont entièrement automatisé le processus, conduisant à un vol de nombreuses informations d’authentification et à leur publication dans des dépôts publics, créés automatiquement ici aussi par les pirates.

Ce comportement de ver informatique a donné son nom à cette attaque : Shai-Hulud, en référence au célèbre ver des sables de l’univers de Dune. L’ingénieur Daniel Pereira a été le premier à signaler un problème le 15 septembre, avant que les sociétés Socket et StepSecurity prennent le relai. Elles notaient d’abord que 40 paquets avaient été compromis, avant que le chiffre s’envole progressivement : dans la seule journée du 16 septembre, le nombre avait atteint 200 paquets, avant de grimper à près de 500 en fin de journée.

Que fait Shai-Hulud ?

Le ver est auto-répliquant et a plusieurs missions. La principale est de voler des informations d’authentification et de les publier sur GitHub dans des dépôts créés pour l’occasion et rendus publics, afin que tout le monde puisse piocher dedans.

Plus en détail, le ver commence par analyser l’hôte et son environnement d’intégration continue pour chercher tout ce qui ressemble à un secret (au sens cybersécurité du terme, tout ce qui touche à l’authentification). Le ver scanne également, via Trufflehog, les points de terminaison des métadonnées des environnements cloud principaux (dont AWS et GCP) pour récupérer des jetons d’identification (GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY…).

Vient ensuite l’exfiltration, en deux phases. Le ver crée un dépôt Shai-Hulud sur le compte GitHub compromis et y envoie, via un commit, un fichier JSON collectant tout ce qui a été volé : variables d’environnement, éléments d’authentification, informations système, etc. Via un workflow GitHub Actions, ces informations sont envoyées vers un serveur contrôlé par les pirates. Une copie est écrite dans les logs Actions.

Un mécanisme performant de propagation

Enfin, la phase de propagation. Si le vol d’informations a pu mener à des jetons npm, le ver les utilise pour tenter de s’y répliquer. S’il y parvient, toute la chaine recommence, expliquant que des centaines de paquets aient été compromis. Chaque fois qu’un compte privé est ainsi compromis, il est rendu public par le ver, qui en change les paramètres.

« Les versions compromises incluent une fonction (NpmModule.updatePackage) qui télécharge une archive de paquets, modifie package.json, injecte un script local (bundle.js), recompresse l’archive et la republie, permettant ainsi la trojanisation automatique des paquets en aval », explique la société Socket.

Les recommandations faites aux développeurs sont nombreuses, résume Trend Micro : auditer toutes les dépendances (en particulier les paquets mis à jour récemment), révoquer et faire tourner les informations d’authentification (surtout pour les comptes NPM), surveiller d’éventuels signes de présence de Trufflehog ou d’autres outils de balayage, se tenir au courant avec des sources fiables d’informations (dont le registre officiel de NPM), et renforcer la protection des accès ainsi que les politiques de sécurité. Il est notamment conseillé d’activer l’authentification à facteurs multiples (MFA) pour l’ensemble des développeurs et des points d’accès CI/CD.

Encore et toujours du phishing

Comment toute cette attaque a commencé ? Exactement comme les précédentes : par un e-mail frauduleux, demandant au développeur de renouveler son authentification à deux facteurs. Un lien proéminent l’emmenait vers une page ressemblant trait pour trait à celle de NPM, mais permettait aux pirates de capter le jeton d’authentification et les identifiants. Après quoi, les informations étaient utilisées pour accéder au dépôt et débuter l’infection.

En l’occurrence, c’est le dépôt du paquet ctrl/tinycolor qui a été contaminé en premier. Via une mise à jour malveillante, le paquet contenait une fonction NpmModule.updatePackage) capable d’enchainer les opérations : télécharger un tarball, modifier le fichier package.json, injecter un script local, rempaqueter le tout et le republier. C’est ce comportement qui a été repéré initialement par Daniel dos Santos Pereira. Mais le mal était déjà fait, car ctrl/tinycolor est un paquet populaire : 2,2 millions de téléchargements par semaine en moyenne.

Car les paquets téléchargés et installés sur des postes clients contiennent également une charge utile leur étant destinée. Comme pour l’attaque précédente, on y trouve un voleur de cryptomonnaies, qui permet les interceptions des transferts au sein du navigateur et leur orientation vers des portefeuilles contrôlés par les pirates.

Vers une empreinte durable ?

On ne connait pas encore l’ampleur des conséquences de cette campagne. Shai-Hulud risque cependant de remettre en question le modèle de gestion de nombreux dépôts et accentue les questionnements autour de la sécurité. Toutes les sociétés ayant formulé des recommandations sur le sujet reviennent toujours à deux consignes : la généralisation de l’authentification forte à facteurs multiples et la surveillance continue de l’activité sur les dépôts.

Par le nombre de paquets NPM touchés, l’attaque pourrait également remettre en cause le fonctionnement habituel de l’écosystème open source et à sa confiance inhérente. À une époque où les applications web (encapsulées ou non) sont omniprésentes, une contamination de la chaine d’approvisionnement peut signifier rapidement des millions de machines infectées.

Et si cette contamination vous rappelle, en d’autres circonstances, le fiasco mondial de la panne CrowdStrike, le dépôt de l’entreprise a été touché par Shai-Hulud, de multiples paquets ayant été contaminés.

Pour l’instant, on ignore si l’attaque du 8 septembre peut être considérée comme une première manifestation de la nouvelle. La méthode de départ est la même, mais l’exécution technique semble bien plus sophistiquée aujourd’hui. Dans son déroulement, Shai-Hulud ressemble davantage à l’attaque de fin août, même si – là encore – le périmètre et l’automatisation sont bien supérieurs. Si les auteurs sont les mêmes, alors les attaques précédentes ont peut-être été des galops d’essai.

Les temps modernes

Alors que le dépôt NPM était déjà marqué par une importante attaque le 8 septembre, une autre attaque est en cours depuis 48 heures. Plusieurs centaines de paquets ont été compromis, les pirates à l’origine de la campagne ayant industrialisé le processus, au point de l’avoir transformé en ver. Explications.

L’écosystème NPM (Node Package Manager) fait actuellement face à une nouvelle attaque sophistiquée. De type chaine d’approvisionnement, elle consiste à infecter un maillon de la chaine de distribution en amont, afin que l’infection se répande automatiquement en aval.

Cette nouvelle attaque, d’un genre différent de celle que nous rapportions récemment, reprend dans les grandes lignes le modus operandi de l’attaque du 27 aout. À ceci près que les pirates ont entièrement automatisé le processus, conduisant à un vol de nombreuses informations d’authentification et à leur publication dans des dépôts publics, créés automatiquement ici aussi par les pirates.

Ce comportement de ver informatique a donné son nom à cette attaque : Shai-Hulud, en référence au célèbre ver des sables de l’univers de Dune. L’ingénieur Daniel Pereira a été le premier à signaler un problème le 15 septembre, avant que les sociétés Socket et StepSecurity prennent le relai. Elles notaient d’abord que 40 paquets avaient été compromis, avant que le chiffre s’envole progressivement : dans la seule journée du 16 septembre, le nombre avait atteint 200 paquets, avant de grimper à près de 500 en fin de journée.

Que fait Shai-Hulud ?

Le ver est auto-répliquant et a plusieurs missions. La principale est de voler des informations d’authentification et de les publier sur GitHub dans des dépôts créés pour l’occasion et rendus publics, afin que tout le monde puisse piocher dedans.

Plus en détail, le ver commence par analyser l’hôte et son environnement d’intégration continue pour chercher tout ce qui ressemble à un secret (au sens cybersécurité du terme, tout ce qui touche à l’authentification). Le ver scanne également, via Trufflehog, les points de terminaison des métadonnées des environnements cloud principaux (dont AWS et GCP) pour récupérer des jetons d’identification (GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY…).

Vient ensuite l’exfiltration, en deux phases. Le ver crée un dépôt Shai-Hulud sur le compte GitHub compromis et y envoie, via un commit, un fichier JSON collectant tout ce qui a été volé : variables d’environnement, éléments d’authentification, informations système, etc. Via un workflow GitHub Actions, ces informations sont envoyées vers un serveur contrôlé par les pirates. Une copie est écrite dans les logs Actions.

Un mécanisme performant de propagation

Enfin, la phase de propagation. Si le vol d’informations a pu mener à des jetons npm, le ver les utilise pour tenter de s’y répliquer. S’il y parvient, toute la chaine recommence, expliquant que des centaines de paquets aient été compromis. Chaque fois qu’un compte privé est ainsi compromis, il est rendu public par le ver, qui en change les paramètres.

« Les versions compromises incluent une fonction (NpmModule.updatePackage) qui télécharge une archive de paquets, modifie package.json, injecte un script local (bundle.js), recompresse l’archive et la republie, permettant ainsi la trojanisation automatique des paquets en aval », explique la société Socket.

Les recommandations faites aux développeurs sont nombreuses, résume Trend Micro : auditer toutes les dépendances (en particulier les paquets mis à jour récemment), révoquer et faire tourner les informations d’authentification (surtout pour les comptes NPM), surveiller d’éventuels signes de présence de Trufflehog ou d’autres outils de balayage, se tenir au courant avec des sources fiables d’informations (dont le registre officiel de NPM), et renforcer la protection des accès ainsi que les politiques de sécurité. Il est notamment conseillé d’activer l’authentification à facteurs multiples (MFA) pour l’ensemble des développeurs et des points d’accès CI/CD.

Encore et toujours du phishing

Comment toute cette attaque a commencé ? Exactement comme les précédentes : par un e-mail frauduleux, demandant au développeur de renouveler son authentification à deux facteurs. Un lien proéminent l’emmenait vers une page ressemblant trait pour trait à celle de NPM, mais permettait aux pirates de capter le jeton d’authentification et les identifiants. Après quoi, les informations étaient utilisées pour accéder au dépôt et débuter l’infection.

En l’occurrence, c’est le dépôt du paquet ctrl/tinycolor qui a été contaminé en premier. Via une mise à jour malveillante, le paquet contenait une fonction NpmModule.updatePackage) capable d’enchainer les opérations : télécharger un tarball, modifier le fichier package.json, injecter un script local, rempaqueter le tout et le republier. C’est ce comportement qui a été repéré initialement par Daniel dos Santos Pereira. Mais le mal était déjà fait, car ctrl/tinycolor est un paquet populaire : 2,2 millions de téléchargements par semaine en moyenne.

Car les paquets téléchargés et installés sur des postes clients contiennent également une charge utile leur étant destinée. Comme pour l’attaque précédente, on y trouve un voleur de cryptomonnaies, qui permet les interceptions des transferts au sein du navigateur et leur orientation vers des portefeuilles contrôlés par les pirates.

Vers une empreinte durable ?

On ne connait pas encore l’ampleur des conséquences de cette campagne. Shai-Hulud risque cependant de remettre en question le modèle de gestion de nombreux dépôts et accentue les questionnements autour de la sécurité. Toutes les sociétés ayant formulé des recommandations sur le sujet reviennent toujours à deux consignes : la généralisation de l’authentification forte à facteurs multiples et la surveillance continue de l’activité sur les dépôts.

Par le nombre de paquets NPM touchés, l’attaque pourrait également remettre en cause le fonctionnement habituel de l’écosystème open source et à sa confiance inhérente. À une époque où les applications web (encapsulées ou non) sont omniprésentes, une contamination de la chaine d’approvisionnement peut signifier rapidement des millions de machines infectées.

Et si cette contamination vous rappelle, en d’autres circonstances, le fiasco mondial de la panne CrowdStrike, le dépôt de l’entreprise a été touché par Shai-Hulud, de multiples paquets ayant été contaminés.

Pour l’instant, on ignore si l’attaque du 8 septembre peut être considérée comme une première manifestation de la nouvelle. La méthode de départ est la même, mais l’exécution technique semble bien plus sophistiquée aujourd’hui. Dans son déroulement, Shai-Hulud ressemble davantage à l’attaque de fin août, même si – là encore – le périmètre et l’automatisation sont bien supérieurs. Si les auteurs sont les mêmes, alors les attaques précédentes ont peut-être été des galops d’essai.

Contrairement à la fin programmée du support de Windows 10 par Microsoft, cette annonce ne devrait pas défrayer la chronique. Valve a en effet signalé que le support de sa plateforme Steam sur les éditions 32 bits de Windows serait interrompu au 1er janvier 2026.

« Les installations existantes du client Steam continueront de fonctionner à court terme sur Windows 10 32 bits, mais ne recevront plus de mises à jour d’aucune sorte, y compris les mises à jour de sécurité », indique l’éditeur.

Pourquoi cette mesure ? « Ce changement est nécessaire car les fonctionnalités principales de Steam reposent sur des pilotes système et d’autres bibliothèques qui ne sont pas pris en charge sur les versions 32 bits de Windows », répond Valve.

On peut voir une certaine ironie dans cette décision, remarque The Verge, dans la mesure où le client principal steam.exe, sous Windows, est toujours une application 32 bits, même si la plupart des processus associés sont, eux, en 64 bits.

Cette fin de support programmée ne devrait cependant pas perturber beaucoup les joueurs (ni les éditeurs, dont les choix d’architecture sont indépendants de ceux de la plateforme). D’après les statistiques de Valve, son Steam Hardware Survey, Windows 10 32 bits représente environ 0,01 % du parc installé.

D’autres acteurs du monde logiciel planchent sur la fin programmée du 32 bits, à l’image de Mozilla avec Firefox sous Linux, ou Fedora, chez qui la question s’est posée au printemps.

Cet été, le PCI-SIG a annoncé les grandes lignes des caractéristiques techniques du PCIe 8.0, capable d’atteindre 32 Go/s par ligne, soit 512 Go/s en x16 (avec 16 lignes) et jusqu’à 1 024 Go/s en bi-directionnel (512 Go/s dans chaque sens). C’est simple, depuis le PCIe 1 le débit par ligne est doublé à chaque itération.

La publication de la version 0.3 de cette norme est une étape importante pour le consortium : c’est la première à être disponible pour les membres (qui peuvent donc commencer à travailler dessus). Le consortium confirme au passage le calendrier prévisionnel de 2028.

Le travail sur les connecteurs continue, notamment avec le PCIe Optical Interconnect Solution. Il s’agit pour rappel d’utiliser la fibre optique pour transporter le signal PCIe.

La mise en ligne de la v0.3 est aussi l’occasion pour le PCI-SIG de confirmer des objectifs du PCIe 8.0, notamment sur la latence, la correction d’erreur (FEC ou Forward Error Correction) et la fiabilité. Le PCI-SIG ne donne pour le moment pas plus de détails.

Open(Pravd)AI

Cherchant à satisfaire leurs utilisateurs, les chatbots d’IA générative ont cessé de leur rétorquer qu’ils n’avaient pas de réponse à leurs questions, quitte à raconter n’importe quoi. Dans le même temps, des réseaux de propagande ont ciblé les LLM pour pourrir leurs données d’entraînement, contribuant à aider les IA à raconter n’importe quoi.

Plusieurs médias français se sont récemment fait l’écho d’une étude de la startup de lutte contre la désinformation NewsGuard, avançant que les IA génératives « propagent » et « diffusent » de nombreuses « fake news », qu’elles se tromperaient « une fois sur trois » et seraient « de moins en moins fiables » en matière de lutte contre la désinformation.

Les titres des articles anglophones consacrés à la même étude évoquaient quant à eux le fait que des acteurs malveillants (russes notamment) les instrumentalisent pour « amplifier » leurs désinformations, ce qui n’est pas tout à fait la même chose.

L’étude qu’ils relayaient, intitulée « Le taux de fausses informations répétées par les chatbots d’IA a presque doublé en un an », est bien plus nuancée que ne le laissent entendre les titres des articles en français. L’audit ne consistait pas en effet à demander aux 10 principaux outils d’IA de répondre à des questions d’actualité, mais à tester « leur propension à répéter de fausses affirmations sur des sujets d’actualité ».

Newsguard leur a donc soumis des questions (ou « prompts ») « élaborées à partir d’un échantillon de 10 Empreintes de récits faux, tirées du catalogue de NewsGuard répertoriant les affirmations manifestement fausses qui se propagent en ligne ».

En juillet 2024, NewsGuard avait en effet lancé un « baromètre mensuel des récits faux générés par IA », afin d’évaluer la manière dont les principaux modèles d’IA générative « traitent les affirmations manifestement fausses sur des sujets polémiques ou susceptibles d’être la cible d’acteurs malveillants cherchant à diffuser de fausses informations ».

Son objectif n’est pas de mesurer le taux de fiabilité des chatbots en matière d’accès à l’information, mais de vérifier « si les modèles s’améliorent dans la détection et la réfutation des fausses informations ou s’ils continuent à les répéter ». Et donc, in fine, leur capacité à identifier voire fact-checker des désinformations, une tâche a priori bien plus complexe que celle d’aller chercher des informations, sans les vérifier.

Les chatbots se trompent plus parce qu’ils ont cessé de refuser de répondre

Pour parfaire l’expérience, et s’inspirer des différents types de questions que posent les utilisateurs des chatbots, NewsGuard a testé trois types de requêtes sur chaque récit, « reflétant trois types d’utilisation des outils d’IA en lien avec l’actualité : une question neutre et innocente, une question orientée partant du principe que le récit faux est vrai, et une instruction telle qu’elle proviendrait d’un acteur malveillant cherchant à contourner les garde-fous du chatbot ».

Contrairement à la fin programmée du support de Windows 10 par Microsoft, cette annonce ne devrait pas défrayer la chronique. Valve a en effet signalé que le support de sa plateforme Steam sur les éditions 32 bits de Windows serait interrompu au 1er janvier 2026.

« Les installations existantes du client Steam continueront de fonctionner à court terme sur Windows 10 32 bits, mais ne recevront plus de mises à jour d’aucune sorte, y compris les mises à jour de sécurité », indique l’éditeur.

Pourquoi cette mesure ? « Ce changement est nécessaire car les fonctionnalités principales de Steam reposent sur des pilotes système et d’autres bibliothèques qui ne sont pas pris en charge sur les versions 32 bits de Windows », répond Valve.

On peut voir une certaine ironie dans cette décision, remarque The Verge, dans la mesure où le client principal steam.exe, sous Windows, est toujours une application 32 bits, même si la plupart des processus associés sont, eux, en 64 bits.

Cette fin de support programmée ne devrait cependant pas perturber beaucoup les joueurs (ni les éditeurs, dont les choix d’architecture sont indépendants de ceux de la plateforme). D’après les statistiques de Valve, son Steam Hardware Survey, Windows 10 32 bits représente environ 0,01 % du parc installé.

D’autres acteurs du monde logiciel planchent sur la fin programmée du 32 bits, à l’image de Mozilla avec Firefox sous Linux, ou Fedora, chez qui la question s’est posée au printemps.

Cet été, le PCI-SIG a annoncé les grandes lignes des caractéristiques techniques du PCIe 8.0, capable d’atteindre 32 Go/s par ligne, soit 512 Go/s en x16 (avec 16 lignes) et jusqu’à 1 024 Go/s en bi-directionnel (512 Go/s dans chaque sens). C’est simple, depuis le PCIe 1 le débit par ligne est doublé à chaque itération.

La publication de la version 0.3 de cette norme est une étape importante pour le consortium : c’est la première à être disponible pour les membres (qui peuvent donc commencer à travailler dessus). Le consortium confirme au passage le calendrier prévisionnel de 2028.

Le travail sur les connecteurs continue, notamment avec le PCIe Optical Interconnect Solution. Il s’agit pour rappel d’utiliser la fibre optique pour transporter le signal PCIe.

La mise en ligne de la v0.3 est aussi l’occasion pour le PCI-SIG de confirmer des objectifs du PCIe 8.0, notamment sur la latence, la correction d’erreur (FEC ou Forward Error Correction) et la fiabilité. Le PCI-SIG ne donne pour le moment pas plus de détails.

La nouvelle version de Vivaldi fait une nouvelle fois la part belle à la personnalisation, alors que c’était déjà l’un des points forts du navigateur. La mouture 7.6 permet ainsi de tout personnaliser, jusqu’à la barre d’onglets. On peut modifier le nombre et l’emplacement des éléments (dont tous les boutons), pour aller vers une interface minimaliste, ou au contraire très complète.

Le bouton d’onglets est un autre changement majeur dans Vivaldi. Il apparait à droite de la barre de titre, sous forme d’un rectangle intégrant une flèche vers le bas. Quand on clique dessus, on obtient une liste regroupant tous les onglets actifs, synchronisés, doublons ou encore ceux récemment fermés. Cliquer sur le bouton positionne directement le curseur de la souris dans le champ de recherche, de sorte que l’on peut commencer tout de suite à chercher un site spécifique. Via le menu à trois points, on peut désélectionner les catégories.

L’équipe annonce également des menus contextuels plus propres, comme c’est régulièrement la mode en ce moment dans les navigateurs. Les fonctions ont été rassemblées et réorganisées, les actions principales devant être plus facilement accessibles.

La fonction de recherche existante pour les onglets évolue aussi. On peut se servir d’un opérateur pour chercher spécifiquement dans les onglets ouverts (@t), les signets (@b] ou l’historique (@h). Vivaldi 7.6 propose également un blocage des publicités présenté comme plus efficace, la prise en charge des gestes de balayage sous Windows, ainsi qu’un réveil plus rapide des onglets mis en veille.

• Vivaldi défend l’idée d’un navigateur sans IA en contrepied de ses concurrents

La nouvelle version de Vivaldi fait une nouvelle fois la part belle à la personnalisation, alors que c’était déjà l’un des points forts du navigateur. La mouture 7.6 permet ainsi de tout personnaliser, jusqu’à la barre d’onglets. On peut modifier le nombre et l’emplacement des éléments (dont tous les boutons), pour aller vers une interface minimaliste, ou au contraire très complète.

Le bouton d’onglets est un autre changement majeur dans Vivaldi. Il apparait à droite de la barre de titre, sous forme d’un rectangle intégrant une flèche vers le bas. Quand on clique dessus, on obtient une liste regroupant tous les onglets actifs, synchronisés, doublons ou encore ceux récemment fermés. Cliquer sur le bouton positionne directement le curseur de la souris dans le champ de recherche, de sorte que l’on peut commencer tout de suite à chercher un site spécifique. Via le menu à trois points, on peut désélectionner les catégories.

L’équipe annonce également des menus contextuels plus propres, comme c’est régulièrement la mode en ce moment dans les navigateurs. Les fonctions ont été rassemblées et réorganisées, les actions principales devant être plus facilement accessibles.

La fonction de recherche existante pour les onglets évolue aussi. On peut se servir d’un opérateur pour chercher spécifiquement dans les onglets ouverts (@t), les signets (@b] ou l’historique (@h). Vivaldi 7.6 propose également un blocage des publicités présenté comme plus efficace, la prise en charge des gestes de balayage sous Windows, ainsi qu’un réveil plus rapide des onglets mis en veille.

• Vivaldi défend l’idée d’un navigateur sans IA en contrepied de ses concurrents