Ça fait beaucoup là non ?

Dans six mois à peine, Orange commencera l’extinction de son réseau 2G. Fin 2026, aucun des quatre opérateurs ne proposera de 2G, laissant sur le carreau pas moins de 2,8 millions de terminaux. En 2028/2029, ce seront 3,1 millions de terminaux 3G qui subiront le même sort.

Entre mars 2026 et 2029, 2G et 3G tireront leur révérence

L’extinction des réseaux 2G et 3G a été annoncée par Orange début 2022, en même temps que la fin du cuivre. Bouygues Telecom et SFR ont fait des annonces similaires un an plus tard. Free n’a pas de réseau 2G (il passe par celui d’Orange, qui sera fermé à partir de 2026), mais n’a rien annoncé au sujet de la 3G pour l’instant. L’Arcep propose une page dédiée pour suivre le sujet.

Ces réseaux mobiles ont été déployés il y a plus de 20 ans, dans le courant des années 1990 et 2000 respectivement. Les opérateurs justifient cette décision de plusieurs manières, notamment en comparaison avec les technologies récentes que sont les 4G et 5G : faible taux d’utilisation, consommation électrique élevée, sécurité moindre et libération de fréquences.

Pas de souci sur la couverture, la 4G prend le relai

L’Arcep rappelle que la couverture n’est pas un vrai problème : « Plus de 99,8% des sites d’émission 2G et 3G des opérateurs sont équipés de 4G, la 4G couvrant plus de 99,9% de la population métropolitaine. La couverture 4G est donc équivalente au niveau national à celle des réseaux 2G et 3G ».

Bouygues Telecom promet que « toutes les zones actuellement couvertes en 2G ou 3G seront couvertes par le réseau 4G d’ici la fermeture ». Orange affirme que la « couverture mobile ne sera donc pas réduite. Elle sera équivalente partout sur le territoire, y compris dans les zones rurales et de montagne ». Même promesse chez SFR : « aucune incidence sur la couverture mobile ». Free Mobile n’a rien annoncé et ne fait donc aucune promesse.

Mais cette fermeture est aussi le théâtre d’une quasi-guerre froide entre les opérateurs d’un côté et des utilisateurs (au sens large) de l’autre. Nous en parlions il y a quelques mois, la fermeture de la 2G et de la 3G ne concerne pas que des smartphones non compatibles avec la 4G, elle touche aussi le monde de la santé (télésurveillance par exemple), des ascenseurs, des alarmes, des voitures…

• Santé, ascenseurs, alarmes, voitures… pas simple d’éteindre la 2G et la 3G

Chaque camp se défend, une Commission veut joueur les médiateurs…

La Commission supérieure du numérique et des postes tirait la sonnette d’alarme : « l’ensemble des conséquences […] ne semble pas avoir été pris en compte par les opérateurs et les pouvoirs publics ». De son côté, la Commission de l’aménagement du territoire se propose de « jouer un rôle de médiateur » entre les acteurs concernés, mais sans vraiment pouvoir agir ni forcer les opérateurs à revoir leurs plans.

Ces derniers estiment avoir informé et accompagné les utilisateurs « de manière suffisante ». De l’autre, des clients affirment le contraire : « Nous dire « vous n’avez pas anticipé, c’est le sens de l’histoire » ; j’ai presque envie de dire « on ne pouvait pas ou quand on l’a fait, on s’est pris un mur » », estimait Brice Brandenburg (responsable affaires publiques du syndicat des industriels des solutions électriques et numériques du bâtiment). Ambiance…

Un report serait possible, mais la facture serait évidemment salée, « de l’ordre de plusieurs centaines de millions d’euros par année de prolongation » affirmait Lenaïg Catz (directrice de projets couverture numérique et fréquences au sein de la Direction générale des entreprises). Qui devrait alors payer la facture ? Aucun volontaire évidemment.

• Fin des réseaux 2G et 3G : la tension monte entre opérateurs et entreprises utilisatrices

… L’Arcep compte (des millions) de terminaux non compatibles

L’Arcep a décidé de son côté de suivre l’évolution des cartes SIM « 2G » et « 3G/2G » avec un observatoire trimestriel dédié. Il ne s’agit pas de cartes SIM 2G ou 2G/3G seulement, mais de cartes SIM dans un terminal qui n’est pas compatible avec la 4G.

Le premier bilan montre l’ampleur du chantier : on comptait ainsi « au 2e trimestre 2025, 5,9 millions de cartes SIM dans des terminaux compatibles uniquement « 2G » et « 3G/2G » ». Le détail par opérateur n’est pas donné. Le régulateur des télécoms précise que ce nombre à par contre baissé « d’environ un tiers en un an ».

L’échéance se rapproche à grands pas puisque la fermeture de la 2G débutera chez Orange le 31 mars 2026 sur l’Unité urbaine de Bayonne-Biarritz-Anglet. Il ne reste donc que six mois avant le « début de la fin ». Le 12 mai ce sera le cas pour le reste du département des Pyrénées-Atlantiques et dans les Landes. En juin sept autres départements du Sud-Ouest suivront (09, 31, 32, 46, 47, 65 et 82). La généralisation de l’arrêt de la 2G est « prévue à partir de fin septembre 2026 ».

L’observatoire de l’Arcep différencie deux catégories de produits :

• Les terminaux pour des services voix et internet mobile (smartphones et tablettes principalement).
• Les terminaux pour des services Machine to Machine (alarmes, téléassistances…).

2,8 millions de terminaux en 2G seulement, 3,1 millions en 3G

2,7 millions de cartes SIM (soit 3,4 % de l’ensemble des SIM) sont encore dans des terminaux en 2G/3G seulement, dont 1,6 million en 2G uniquement.

Sur le MtoM, 3,2 millions de machines sont concernées (soit 13,1 % du total des SIM MtoM), dont 1,2 million en 2G. Selon l’Arcep et la FFTélécoms, la baisse du nombre de cartes SIM sur le Machine to Machine est « de plus de 18% entre décembre 2024 et juin 2025 ».

Voici le détail par technologie de réseau peu importe le type de terminal : (smartphones, tablette, MtoM…)

• Cartes SIM 2G : 2,8 millions
• Cartes SIM 2G/3G : 3,1 millions
• Total cartes SIM 2G/3G : 5,9 millions

Ça fait beaucoup là non ?

Dans six mois à peine, Orange commencera l’extinction de son réseau 2G. Fin 2026, aucun des quatre opérateurs ne proposera de 2G, laissant sur le carreau pas moins de 2,8 millions de terminaux. En 2028/2029, ce seront 3,1 millions de terminaux 3G qui subiront le même sort.

Entre mars 2026 et 2029, 2G et 3G tireront leur révérence

L’extinction des réseaux 2G et 3G a été annoncée par Orange début 2022, en même temps que la fin du cuivre. Bouygues Telecom et SFR ont fait des annonces similaires un an plus tard. Free n’a pas de réseau 2G (il passe par celui d’Orange, qui sera fermé à partir de 2026), mais n’a rien annoncé au sujet de la 3G pour l’instant. L’Arcep propose une page dédiée pour suivre le sujet.

Ces réseaux mobiles ont été déployés il y a plus de 20 ans, dans le courant des années 1990 et 2000 respectivement. Les opérateurs justifient cette décision de plusieurs manières, notamment en comparaison avec les technologies récentes que sont les 4G et 5G : faible taux d’utilisation, consommation électrique élevée, sécurité moindre et libération de fréquences.

Pas de souci sur la couverture, la 4G prend le relai

L’Arcep rappelle que la couverture n’est pas un vrai problème : « Plus de 99,8% des sites d’émission 2G et 3G des opérateurs sont équipés de 4G, la 4G couvrant plus de 99,9% de la population métropolitaine. La couverture 4G est donc équivalente au niveau national à celle des réseaux 2G et 3G ».

Bouygues Telecom promet que « toutes les zones actuellement couvertes en 2G ou 3G seront couvertes par le réseau 4G d’ici la fermeture ». Orange affirme que la « couverture mobile ne sera donc pas réduite. Elle sera équivalente partout sur le territoire, y compris dans les zones rurales et de montagne ». Même promesse chez SFR : « aucune incidence sur la couverture mobile ». Free Mobile n’a rien annoncé et ne fait donc aucune promesse.

Mais cette fermeture est aussi le théâtre d’une quasi-guerre froide entre les opérateurs d’un côté et des utilisateurs (au sens large) de l’autre. Nous en parlions il y a quelques mois, la fermeture de la 2G et de la 3G ne concerne pas que des smartphones non compatibles avec la 4G, elle touche aussi le monde de la santé (télésurveillance par exemple), des ascenseurs, des alarmes, des voitures…

• Santé, ascenseurs, alarmes, voitures… pas simple d’éteindre la 2G et la 3G

Chaque camp se défend, une Commission veut joueur les médiateurs…

La Commission supérieure du numérique et des postes tirait la sonnette d’alarme : « l’ensemble des conséquences […] ne semble pas avoir été pris en compte par les opérateurs et les pouvoirs publics ». De son côté, la Commission de l’aménagement du territoire se propose de « jouer un rôle de médiateur » entre les acteurs concernés, mais sans vraiment pouvoir agir ni forcer les opérateurs à revoir leurs plans.

Ces derniers estiment avoir informé et accompagné les utilisateurs « de manière suffisante ». De l’autre, des clients affirment le contraire : « Nous dire « vous n’avez pas anticipé, c’est le sens de l’histoire » ; j’ai presque envie de dire « on ne pouvait pas ou quand on l’a fait, on s’est pris un mur » », estimait Brice Brandenburg (responsable affaires publiques du syndicat des industriels des solutions électriques et numériques du bâtiment). Ambiance…

Un report serait possible, mais la facture serait évidemment salée, « de l’ordre de plusieurs centaines de millions d’euros par année de prolongation » affirmait Lenaïg Catz (directrice de projets couverture numérique et fréquences au sein de la Direction générale des entreprises). Qui devrait alors payer la facture ? Aucun volontaire évidemment.

• Fin des réseaux 2G et 3G : la tension monte entre opérateurs et entreprises utilisatrices

… L’Arcep compte (des millions) de terminaux non compatibles

L’Arcep a décidé de son côté de suivre l’évolution des cartes SIM « 2G » et « 3G/2G » avec un observatoire trimestriel dédié. Il ne s’agit pas de cartes SIM 2G ou 2G/3G seulement, mais de cartes SIM dans un terminal qui n’est pas compatible avec la 4G.

Le premier bilan montre l’ampleur du chantier : on comptait ainsi « au 2e trimestre 2025, 5,9 millions de cartes SIM dans des terminaux compatibles uniquement « 2G » et « 3G/2G » ». Le détail par opérateur n’est pas donné. Le régulateur des télécoms précise que ce nombre à par contre baissé « d’environ un tiers en un an ».

L’échéance se rapproche à grands pas puisque la fermeture de la 2G débutera chez Orange le 31 mars 2026 sur l’Unité urbaine de Bayonne-Biarritz-Anglet. Il ne reste donc que six mois avant le « début de la fin ». Le 12 mai ce sera le cas pour le reste du département des Pyrénées-Atlantiques et dans les Landes. En juin sept autres départements du Sud-Ouest suivront (09, 31, 32, 46, 47, 65 et 82). La généralisation de l’arrêt de la 2G est « prévue à partir de fin septembre 2026 ».

L’observatoire de l’Arcep différencie deux catégories de produits :

• Les terminaux pour des services voix et internet mobile (smartphones et tablettes principalement).
• Les terminaux pour des services Machine to Machine (alarmes, téléassistances…).

2,8 millions de terminaux en 2G seulement, 3,1 millions en 3G

2,7 millions de cartes SIM (soit 3,4 % de l’ensemble des SIM) sont encore dans des terminaux en 2G/3G seulement, dont 1,6 million en 2G uniquement.

Sur le MtoM, 3,2 millions de machines sont concernées (soit 13,1 % du total des SIM MtoM), dont 1,2 million en 2G. Selon l’Arcep et la FFTélécoms, la baisse du nombre de cartes SIM sur le Machine to Machine est « de plus de 18% entre décembre 2024 et juin 2025 ».

Voici le détail par technologie de réseau peu importe le type de terminal : (smartphones, tablette, MtoM…)

• Cartes SIM 2G : 2,8 millions
• Cartes SIM 2G/3G : 3,1 millions
• Total cartes SIM 2G/3G : 5,9 millions

Announced last month was the Ubuntu "Dangerous" Desktop Images as a new form of the Ubuntu Linux desktop images that would ship with leading-edge Snaps atop the latest Ubuntu development images... Basically, pulling in the very latest Snaps to go along with the latest Ubuntu development Debian packages...

In addition to working on optimizing the performance of Zink for workstation graphics, Mike Blumenkrantz has also been tackling support for OpenGL mesh shaders with this generic OpenGL-on-Vulkan open-source driver...

La récente officialisation de quatre Ryzen, dont deux d’anciennes générations (jusqu’à celle des Vermeer) n’était pas une anomalie : AMD évolue dans une autre réalité. Et ce paradoxe temporel ne touche pas seulement les CPU, mais aussi les GPU... [Tout lire]

Je m’attendais à pire mais je ne suis tout de même pas déçu. Les différents tarifs de la console GPD Win 5 ont été publiés avant sa mise en ligne en financement participatif sous IndieGogo. 

Trois modèles seront commercialisés par GPD à partir du 25 septembre sur la plateforme de financement participatif. Tous seront équipés d’une puce AMD Strix Halo. L’entrée de gamme (si l’on peut dire) sous Ryzen AI Max 385 avec 32 Go de mémoire vive LPDDR5x-8000 et 1 To de stockage NVMe PCIe 4.0 au format M.2 2280 sera proposé à 1449$ HT. Un prix qu’il faudra saupoudrer de taxes et de frais de port et qui ne propose aucune garantie légale obligatoire. Après son financement participatif, le prix passera à 1599$ HT. Ce qui nous donne quelque chose comme 1630€ avec 20% de TVA.

La première version sous Ryzen AI Max+ 395 avec  32 Go de mémoire vive et 2 To  de stockage sera mis  en vente sur Indiegogo à 1650 $ HT et proposée ensuite ) 1850 $ HT. La plus puissante de toutes, toujours sous Ryzen AI Max+ 395 mais avec 64 Go de mémoire vive LPDDR5x-8000 et un M.2 2280 de 4 To sera lancée à 2120 $ HT puis atteindra les 2268 $ HT en vente directe.

Ces tarifs sont, comment dire, élevés. Très élevés. Les performances seront évidemment au rendez-vous mais la pertinence de l’investissement reste assez floue. D’abord parce que, au mieux, GPD garantira sa Win 5 pendant une année. Ce qui n’est pas l’idéal pour un engin mobile et fragile comme une console. Ensuite, si le côté mobile de ce type d’appareil est assurément un gros avantage. Injecter une somme équivalente à ce que proposent des ordinateurs de jeux plus puissants dans un objet qui ne proposera pas une interface complète reste délicat. La possibilité qu’offrent les interfaces de portables classiques, c’est de pouvoir également s’en servir de plateforme de travail ou de création. Le format console est parfait pour jouer au fond de son canapé. L’employer à autre chose reste délicat. Pour un budget pareil, l’achat qui semble le plus raisonnable est donc du côté des portables classiques, avec 1600€ dans la poche, on commence à trouver des engins très sympathiques et qui disposent d’une garantie de 24 mois.

Paramètres	GPD WIN 5	Steam Deck
Taille d’écran	7″ LTPS à 120 Hz	7–7,4″ LCD / OLED
Processeur (CPU)	AMD Ryzen Al Max+ 395	AMD Custom 0405
Fréquence de base	3.0 GHz	2.8 GHz
Fréquence turbo max	5.1 GHz	3.5 GHz
TDP	45–75 W	15 W
GPU	AMD Radeon 8060S (RDNA 3.5)	GPU personnalisé (RDNA 2)
Fréquence GPU	2.9 GHz	1.6 GHz
Unités d’exécution (CUs)	40	8
Shaders	2560	512
Type mémoire	32 / 64 / 128 Go LPDDR5x 8000 MT/s (quad-canal)	16 Go LPDDR5 5500 MT/s (quad-canal 32 bits)
Type stockage	M.2 2280	M.2 2230
Capacité stockage	1 / 2 / 4 To	64 / 256 / 512 Go / 1 To
Norme bus	PCIe 4.0 × 4	PCIe 3.0 × 2
Protocole transfert	NVMe 1.4	NVMe 1.3
Ports (données/vidéo/charge)	1× USB4 (40 Gbps, plein débit) 1× USB 3.2 Gen2 Type-C (DP 2.1, 10 Gbps) 4× USB 3.2 Gen2 Type-A (10 Gbps, 1 sur appareil, 3 sur dock) 1× USB 3.2 Gen2 Type-C (charge uniquement, via dock) 1× HDMI 2.1 (via dock) 1× RJ45 (via dock) 1× Emplacement Mini SSD 1× Boîtier microSD 1× Port de charge de la batterie	1× USB 3.2 Gen2 Type-C 1× USB 3.1 + 2.0 Type-A (via dock) 1× HDMI 2.0 (via dock) 1× DisplayPort 1.4 (via dock) 1× RJ45 (via dock) 1× Boîtier microSD
Périphériques d’entrée	Joysticks capacitifs Déclencheurs à effet Hall (4096 niveaux) Joystick droit compatible émulation souris	Joysticks potentiométriques en film de carbone Déclencheurs linéaires (1024 niveaux) Joystick droit compatible émulation souris
Capacité batterie	80 Wh (amovible)	50 Wh (intégré)
Charge rapide	180 W CC	Charge rapide PD 45 W
Dimensions	267 × 111,6 × 24,21 mm	298 × 117 × 49 mm
Poids	590 g (câble détachable), 940 g (mode docké)	669 g

GPD met en avant des avantages face au Steam Deck de Valve. Et certes, elle sera plus compacte et plus puissante. Mais un Steam Deck de Valve débute à 419€. C’est presque trois fois moins cher que l’entrée de gamme de la GPD Win 5. On ne pourra pas faire tourner les mêmes jeux dessus mais on pourra jouer en mobilité et il restera plus de 1000€ dans son portefeuille pour acheter un ordinateur portable pour travailler à côté.

La partie immergée de l’iceberg

L’autre problème vient de l’autonomie annoncée. Pour ne pas avoir un engin trop lourd et avec une autonomie correcte, GPD a décidé de sortir la batterie en dehors de sa console. Ainsi, on retrouve une solution qui ne pèse que 590 g sans la batterie et qui grimpe à 940 g avec. Presque 1 kg à trimballer à bout de bras ou un câble qui va vers le secteur.

Sachant que la console est alimentée via une prise jack de type ordinateur portable classique et un bloc secteur de 180 watts. La batterie pourra également être détachée pour alimenter la console depuis une poche via un câble livré. Cela ressemble un peu à un bricolage pour un engin de ce tarif.

En mode haute performances, la GPD Win 5 annonce 2 heures d’autonomie, en mode équilibré elle proposera entre 3 et 4 heures sur batterie. En usage léger, elle pourra grimper à 6.5 heures d’après le fabricant. La puce fonctionnera en mode équilibré dans un TDP de 55 à 75 watts. Ce qui laisse quelques doutes sur l’autonomie annoncée par la marque. Et même si elle est mise en avant avantageusement, c’est une durée assez faible finalement. Tout l’intérêt de cette console est dans sa puissance brute de traitement en mobilité. Mais cette puissance reste hyper limitée en temps et même si on pourra acheter des batteries supplémentaires (93 $ HT sur IGG, 103$ HT ensuite) on ne profitera pas de sessions de plus de deux heures de jeu dans le meilleur – probablement le plus optimiste – des cas.

Si je résume cette console on a une proposition très haut de gamme qui n’a pas beaucoup de bons côtés. Son gros point fort est la puissance qu’elle embarque dans un si petit volume. Les points faibles sont assez nombreux. Son prix pour commencer, mais aussi sa garantie. Il faudra renvoyer un objet qui coute une fortune à l’autre bout du monde en cas de panne. Et pour le moment nous n’avons aucun retour sur l’intégration de cette puce dans un format si compact. En cas de défaut majeur en série, c’est le début d’une aventure passionnante d’échange et de SAV avec la marque. Les ventes sur la plateforme de financement participatif ne proposent absolument aucune garantie légale et il ne s’agira donc que d’une garantie commerciale de la part du fabricant.

Autre souci, l’autonomie : la GPD Win 5 obligera à acheter une batterie secondaire pour jouer en tirant parti réellement des capacités de l’engin, sinon il faudra brider la puce ou lancer des jeux moins gourmands qui sont accessibles à des consoles moins chères. L’autre option est de jouer sur secteur, mais là, il faudra composer avec un bloc d’alimentation de portable de jeu de 180 watts…

J’adore jouer avec mon ordinateur à 1600€ en faisant du vélo

Enfin, et c’est un point plus personnel, je comprends parfaitement l’idée de jouer en mobilité mais j’ai plus de mal avec cette approche de la recherche de l’ultraperformance. Qui a envie de découvrir un jeu pensé et réalisé par des centaines de développeurs et créateurs de tous poils sur un écran de 7 pouces FullHD assis sur la banquette d’un Bus quand il part au boulot ? C’est comme regarder un film en cinémascope sur son smartphone dans le métro. Je suis ravi de pouvoir jouer sur un écran de ce type à des jeux que je connais déjà et dans lesquels je peux avancer parce qu’il y a un côté mécanique assez répétitif sur certaines phases. Mais je n’aurais absolument pas envie de découvrir un futur jeu sur ce type d’affichage. Et, entre nous, qui va oser sortir une console à 1600€ dans le bus ? Qui va la laisser sans crainte au boulot pendant son déjeuner ? Qui va oser simplement l’éloigner de son canapé ?

Bref, cette GPD Win 5 existe, elle est chère et à mon avis, elle se trompe de cible.

Source : GPD qui a fait un très bon travail de traduction en français de sa présentation

GPD Win 5 : une console PC sous Ryzen AI Max+ 395

GPD Win 5 : la console Strix Halo sera vendue à partir de 1448$ © MiniMachines.net. 2025

L’Arcom, régulateur de la communication audiovisuelle, a décidé de retarder de deux ans la procédure d’attribution relative aux canaux précédemment occupés par les chaînes payantes du Groupe Canal+ sur la TNT.

« Il ressort en effet de l’analyse menée par l’Autorité et de la plupart des contributions des acteurs du secteur que dans un contexte d’érosion de la consommation télévisuelle et d’un marché publicitaire atone, la capacité du secteur à absorber l’arrivée de nouveaux services viables, sans préjudice pour les services existants et leur capacité à financer les contenus, est limitée », indique l’Autorité.

Ses travaux, basés notamment sur une consultation publique et sur une étude d’impact rendue en juillet dernier, font notamment valoir qu’une contraction des recettes publicitaires télévisées est attendue, en France, entre 2025 et 2030, « avec un recul moyen estimé à- 1,7 % par an ».

Partant du principe qu’accepter de nouveaux entrants reviendrait mécaniquement à réduire la part moyenne du marché disponible pour chaque chaîne, l’Arcom choisit, à la place, de lancer « des travaux visant à approfondir le modèle économique de la diffusion de la TNT ».

« Il a vocation à aboutir au début de l’année 2027 et donnera lieu à des points d’étape, notamment au printemps 2026, au moment du lancement des travaux de réaffectation des fréquences rendues disponibles à l’échéance, le 12 décembre 2027, de six services nationaux de la TNT », précise l’Autorité. Les chaînes concernées par cette échéance sont pour mémoire 6ter, RMC Life (ex-Chérie 25), L’Équipe, RMC Découverte, RMC Story et TF1 Séries Films, qui ont vu leurs autorisations renouvelées pour cinq ans ans en mars 2022.

Rappelons que le périmètre de la TNT a été modifié cette année, avec une nouvelle numérotation entrée en vigueur en juin dernier, pour préparer la sortie des chaînes C8 et NRJ12, ainsi que la fin de la diffusion des chaînes payantes du Groupe Canal+.

La TNT a depuis accueilli deux nouvelles chaînes : T18, portée par le groupe CMI France, lui-même détenu par le milliardaire Daniel Kretinsky, et Novo19, lancée par le groupe Ouest-France.

L’Arcom a par ailleurs cette semaine donné son agrément au changement de nom de la chaîne Chérie 25 qui, sous la houlette de son nouvel actionnaire CMA Media (filiale du groupe CMA CGM de Rodolphe Saadé) devient RMC Life.

Des coupes de cheveux simplifiées !

C’est fait : Google vient d’annoncer le grand déploiement de l’IA dans Chrome. Les fonctions étaient jusque-là réservées aux abonnements les plus onéreux de Gemini, mais se diffusent désormais chez tous les utilisateurs aux États-Unis. D’autres pays seront concernés dans les prochains mois.

« La plus grande mise à jour de son histoire ». C’est ainsi que Google présente l’évolution de Chrome dans un billet publié hier soir. Il n’y est question que d’IA et de l’omniprésence de Gemini. Ce n’est pas entièrement une nouveauté, car nombre de ces fonctions étaient en fait déjà accessibles aux abonnés Google AI Pro et AI Ultra.

Maintenant qu’elle sait qu’elle gardera le contrôle de Chrome, Google ouvre cette fois les vannes : toutes les fonctions débarqueront chez l’intégralité des utilisateurs aux États-Unis (en anglais) avant la fin du mois, et dans le reste du monde au cours des semaines à venir. L’entreprise tient ainsi sa promesse d’une IA déterminante pour l’accès à l’information.

• Pour Google, l’IA déterminera la manière d’accéder à l’information

Une déferlante de fonctions

On s’en doute, ce changement signifie tout un lot de fonctions chez monsieur et madame Tout-le-monde. Certaines sont désormais très classiques, comme demander des explications sur un ou plusieurs onglets, un résumé des informations, comparer plusieurs pages, etc. Gemini étant capable d’agir sur plusieurs onglets en même temps, toutes ces opérations peuvent être lancées dans la fenêtre, via un bouton Gemini dédié (tout à droite de la barre de titre), au sein de laquelle les questions pourront être appliquées à l’ensemble des onglets, même si le nombre maximal n’est pas précisé.

Les exemples donnés par Google sont classiques, dont le sempiternel cas du voyage à organiser. On peut avoir ainsi un onglet ouvert sur les trajets en avion, un autre sur les réservations d’hôtels, un autre encore sur les restaurants, et encore un autre sur les déplacements prévus. Dans l’interface de Gemini, on pourra alors demander à l’assistant de résumer le tout et de proposer un projet cohérent.

L’intégration de l’assistant permet surtout, selon Google, de modifier profondément la manière dont on aborde une recherche. Par exemple, plutôt que de chercher le « meilleur » produit d’une catégorie, on peut demander à Gemini de trouver des modèles adaptés à un cas d’usage particulier. Dans une précédente démonstration, Google avait proposé comme exemple une description du type : « Je dors sur le côté avec des douleurs lombaires, je voudrais un tableau comparatif des matelas adaptés ».

Toutes les informations renvoyées par Gemini s’affichent dans un panneau latéral. Et pour être sûr que les internautes verront ces nouvelles capacités, l’Omnibox (nom consacré de ce qui était avant la barre d’adresses) se met à la page. Sans reprendre complètement le comportement du bouton dédié, elle pourra servir à poser des questions sur la page en cours. Elle peut en suggérer, attirant l’attention de la personne sur ces possibilités pour s’assurer qu’elle découvre cette fonction.

Historique, synergies et sécurité

Les conséquences de cette intégration profonde sont nombreuses. D’abord, Gemini pourra puiser dans l’historique de navigation. On pourra donc lui poser des questions comme « quel était le site Web sur lequel j’ai vu le bureau en noyer la semaine dernière ? » ou « quel était ce blog que j’ai lu sur le shopping de la rentrée ? ». Si ce type de fonctionnement vous évoque les mêmes inquiétudes que Recall chez Microsoft, c’est que les dangers en matière de vie privée existent bel et bien, même si le problème se pose de toute façon déjà avec l’historique.

L’intégration se fait en outre avec d’autres services de Google, qui cite Agenda, Docs, YouTube et Maps. Selon les tâches exécutées par Gemini, l’assistant pourra ainsi proposer de lui-même de créer des évènements dans le calendrier, afficher un trajet potentiel dans Maps, etc. En Europe, où ce type d’intégration très poussée a déjà posé problème à Google, il n’est pas certain que ce renforcement soit apprécié.

Google ajoute également un gros tronçon sur la sécurité, via trois angles. D’une part, l’IA va être utilisée pour élargir la protection de Gemini Nano sur les escroqueries au support technique, que l’on trouve notamment dans les smartphones Pixel. Cette défense prendra en compte d’autres scénarios de tromperie, dont les sites prétendant vous avoir fait gagner un cadeau.

D’autre part, l’IA va aussi servir à agir sur les notifications envoyées par les sites. Il s’agit d’une reprise et d’un renforcement d’une fonction déjà existante sur la version Android de Chrome, et dont Google affirme qu’elle a déjà permis de bloquer trois milliards de notifications frauduleuses ou de type spam. « Chrome utilise désormais l’IA pour connaître vos préférences et prendre en compte des signaux tels que la qualité du site », précise l’éditeur.

Enfin, l’IA va venir compléter les fonctions offertes par le gestionnaire de mots de passe. Google propose déjà une surveillance des identifiants pour prévenir quand ils sont retrouvés dans une fuite. Une fonction qui existe depuis des années dans d’autres gestionnaires. Sur les sites pris en charge, l’IA permettra de créer automatiquement un agent chargé d’aller modifier le mot de passe quand une fuite est signalée. Là encore, ce type de fonction existe déjà, notamment chez 1Password et Dashlane. Son efficacité dépendant des sites, on attend de voir comment Chrome s’en sort.

Un futur agentique

Au cours des prochains mois, Google indique que des nouveautés spécifiques aux agents seront introduites. L’idée est simple : généraliser leur usage. Ces agents « permettront à Gemini dans Chrome de gérer ces tâches fastidieuses qui prennent beaucoup de votre temps, comme réserver une coupe de cheveux ou commander vos courses hebdomadaires », selon Google.

Google espère bien sûr que l’arrivée des agents représentera un changement de paradigme dans la navigation. Le concept n’a pas changé : décrire à Gemini le genre de tâches que l’on veut réaliser, l’assistant se chargeant de créer les agents dédiés. Ces derniers agiront comme des éléments autonomes, même si Google affirme que l’on pourra reprendre le contrôle à tout moment. Ces agents pourront par exemple être chargés de collecter des informations quand vous n’êtes pas là, pour vous en fournir un résumé dans Docs, qui attendra votre retour ou dont vous recevrez la notification quand vous êtes en déplacement.

• C’est quoi l’IA agentique ?

De manière générale, la promesse de Google avec les agents est de transformer « des tâches de 30 minutes en parcours utilisateur en 3 clics ». Google a d’ailleurs en parallèle que les Gems pouvaient maintenant se partager entre utilisateurs. Les Gems sont des agents que l’on peut bâtir avec Gemini pour gérer en permanence des tâches spécifiques. Dans le gestionnaire de Gems de Gemini, on trouve maintenant un bouton de partage, ouvrant une fenêtre dans laquelle on peut sélectionner des contacts. Ces derniers recevront alors une notification, avec possibilité d’installer l’agent correspondant. Ce dernier sera indiqué comme partagé depuis une autre personne.

Notons qu’aucune des annonces de Google pour Chrome hier soir ne précise les limitations pour les comptes gratuits ou pour les différents abonnements.

L’Arcom, régulateur de la communication audiovisuelle, a décidé de retarder de deux ans la procédure d’attribution relative aux canaux précédemment occupés par les chaînes payantes du Groupe Canal+ sur la TNT.

« Il ressort en effet de l’analyse menée par l’Autorité et de la plupart des contributions des acteurs du secteur que dans un contexte d’érosion de la consommation télévisuelle et d’un marché publicitaire atone, la capacité du secteur à absorber l’arrivée de nouveaux services viables, sans préjudice pour les services existants et leur capacité à financer les contenus, est limitée », indique l’Autorité.

Ses travaux, basés notamment sur une consultation publique et sur une étude d’impact rendue en juillet dernier, font notamment valoir qu’une contraction des recettes publicitaires télévisées est attendue, en France, entre 2025 et 2030, « avec un recul moyen estimé à- 1,7 % par an ».

Partant du principe qu’accepter de nouveaux entrants reviendrait mécaniquement à réduire la part moyenne du marché disponible pour chaque chaîne, l’Arcom choisit, à la place, de lancer « des travaux visant à approfondir le modèle économique de la diffusion de la TNT ».

« Il a vocation à aboutir au début de l’année 2027 et donnera lieu à des points d’étape, notamment au printemps 2026, au moment du lancement des travaux de réaffectation des fréquences rendues disponibles à l’échéance, le 12 décembre 2027, de six services nationaux de la TNT », précise l’Autorité. Les chaînes concernées par cette échéance sont pour mémoire 6ter, RMC Life (ex-Chérie 25), L’Équipe, RMC Découverte, RMC Story et TF1 Séries Films, qui ont vu leurs autorisations renouvelées pour cinq ans ans en mars 2022.

Rappelons que le périmètre de la TNT a été modifié cette année, avec une nouvelle numérotation entrée en vigueur en juin dernier, pour préparer la sortie des chaînes C8 et NRJ12, ainsi que la fin de la diffusion des chaînes payantes du Groupe Canal+.

La TNT a depuis accueilli deux nouvelles chaînes : T18, portée par le groupe CMI France, lui-même détenu par le milliardaire Daniel Kretinsky, et Novo19, lancée par le groupe Ouest-France.

L’Arcom a par ailleurs cette semaine donné son agrément au changement de nom de la chaîne Chérie 25 qui, sous la houlette de son nouvel actionnaire CMA Media (filiale du groupe CMA CGM de Rodolphe Saadé) devient RMC Life.

Des coupes de cheveux simplifiées !

C’est fait : Google vient d’annoncer le grand déploiement de l’IA dans Chrome. Les fonctions étaient jusque-là réservées aux abonnements les plus onéreux de Gemini, mais se diffusent désormais chez tous les utilisateurs aux États-Unis. D’autres pays seront concernés dans les prochains mois.

« La plus grande mise à jour de son histoire ». C’est ainsi que Google présente l’évolution de Chrome dans un billet publié hier soir. Il n’y est question que d’IA et de l’omniprésence de Gemini. Ce n’est pas entièrement une nouveauté, car nombre de ces fonctions étaient en fait déjà accessibles aux abonnés Google AI Pro et AI Ultra.

Maintenant qu’elle sait qu’elle gardera le contrôle de Chrome, Google ouvre cette fois les vannes : toutes les fonctions débarqueront chez l’intégralité des utilisateurs aux États-Unis (en anglais) avant la fin du mois, et dans le reste du monde au cours des semaines à venir. L’entreprise tient ainsi sa promesse d’une IA déterminante pour l’accès à l’information.

• Pour Google, l’IA déterminera la manière d’accéder à l’information

Une déferlante de fonctions

On s’en doute, ce changement signifie tout un lot de fonctions chez monsieur et madame Tout-le-monde. Certaines sont désormais très classiques, comme demander des explications sur un ou plusieurs onglets, un résumé des informations, comparer plusieurs pages, etc. Gemini étant capable d’agir sur plusieurs onglets en même temps, toutes ces opérations peuvent être lancées dans la fenêtre, via un bouton Gemini dédié (tout à droite de la barre de titre), au sein de laquelle les questions pourront être appliquées à l’ensemble des onglets, même si le nombre maximal n’est pas précisé.

Les exemples donnés par Google sont classiques, dont le sempiternel cas du voyage à organiser. On peut avoir ainsi un onglet ouvert sur les trajets en avion, un autre sur les réservations d’hôtels, un autre encore sur les restaurants, et encore un autre sur les déplacements prévus. Dans l’interface de Gemini, on pourra alors demander à l’assistant de résumer le tout et de proposer un projet cohérent.

L’intégration de l’assistant permet surtout, selon Google, de modifier profondément la manière dont on aborde une recherche. Par exemple, plutôt que de chercher le « meilleur » produit d’une catégorie, on peut demander à Gemini de trouver des modèles adaptés à un cas d’usage particulier. Dans une précédente démonstration, Google avait proposé comme exemple une description du type : « Je dors sur le côté avec des douleurs lombaires, je voudrais un tableau comparatif des matelas adaptés ».

Toutes les informations renvoyées par Gemini s’affichent dans un panneau latéral. Et pour être sûr que les internautes verront ces nouvelles capacités, l’Omnibox (nom consacré de ce qui était avant la barre d’adresses) se met à la page. Sans reprendre complètement le comportement du bouton dédié, elle pourra servir à poser des questions sur la page en cours. Elle peut en suggérer, attirant l’attention de la personne sur ces possibilités pour s’assurer qu’elle découvre cette fonction.

Historique, synergies et sécurité

Les conséquences de cette intégration profonde sont nombreuses. D’abord, Gemini pourra puiser dans l’historique de navigation. On pourra donc lui poser des questions comme « quel était le site Web sur lequel j’ai vu le bureau en noyer la semaine dernière ? » ou « quel était ce blog que j’ai lu sur le shopping de la rentrée ? ». Si ce type de fonctionnement vous évoque les mêmes inquiétudes que Recall chez Microsoft, c’est que les dangers en matière de vie privée existent bel et bien, même si le problème se pose de toute façon déjà avec l’historique.

L’intégration se fait en outre avec d’autres services de Google, qui cite Agenda, Docs, YouTube et Maps. Selon les tâches exécutées par Gemini, l’assistant pourra ainsi proposer de lui-même de créer des évènements dans le calendrier, afficher un trajet potentiel dans Maps, etc. En Europe, où ce type d’intégration très poussée a déjà posé problème à Google, il n’est pas certain que ce renforcement soit apprécié.

Google ajoute également un gros tronçon sur la sécurité, via trois angles. D’une part, l’IA va être utilisée pour élargir la protection de Gemini Nano sur les escroqueries au support technique, que l’on trouve notamment dans les smartphones Pixel. Cette défense prendra en compte d’autres scénarios de tromperie, dont les sites prétendant vous avoir fait gagner un cadeau.

D’autre part, l’IA va aussi servir à agir sur les notifications envoyées par les sites. Il s’agit d’une reprise et d’un renforcement d’une fonction déjà existante sur la version Android de Chrome, et dont Google affirme qu’elle a déjà permis de bloquer trois milliards de notifications frauduleuses ou de type spam. « Chrome utilise désormais l’IA pour connaître vos préférences et prendre en compte des signaux tels que la qualité du site », précise l’éditeur.

Enfin, l’IA va venir compléter les fonctions offertes par le gestionnaire de mots de passe. Google propose déjà une surveillance des identifiants pour prévenir quand ils sont retrouvés dans une fuite. Une fonction qui existe depuis des années dans d’autres gestionnaires. Sur les sites pris en charge, l’IA permettra de créer automatiquement un agent chargé d’aller modifier le mot de passe quand une fuite est signalée. Là encore, ce type de fonction existe déjà, notamment chez 1Password et Dashlane. Son efficacité dépendant des sites, on attend de voir comment Chrome s’en sort.

Un futur agentique

Au cours des prochains mois, Google indique que des nouveautés spécifiques aux agents seront introduites. L’idée est simple : généraliser leur usage. Ces agents « permettront à Gemini dans Chrome de gérer ces tâches fastidieuses qui prennent beaucoup de votre temps, comme réserver une coupe de cheveux ou commander vos courses hebdomadaires », selon Google.

Google espère bien sûr que l’arrivée des agents représentera un changement de paradigme dans la navigation. Le concept n’a pas changé : décrire à Gemini le genre de tâches que l’on veut réaliser, l’assistant se chargeant de créer les agents dédiés. Ces derniers agiront comme des éléments autonomes, même si Google affirme que l’on pourra reprendre le contrôle à tout moment. Ces agents pourront par exemple être chargés de collecter des informations quand vous n’êtes pas là, pour vous en fournir un résumé dans Docs, qui attendra votre retour ou dont vous recevrez la notification quand vous êtes en déplacement.

• C’est quoi l’IA agentique ?

De manière générale, la promesse de Google avec les agents est de transformer « des tâches de 30 minutes en parcours utilisateur en 3 clics ». Google a d’ailleurs en parallèle que les Gems pouvaient maintenant se partager entre utilisateurs. Les Gems sont des agents que l’on peut bâtir avec Gemini pour gérer en permanence des tâches spécifiques. Dans le gestionnaire de Gems de Gemini, on trouve maintenant un bouton de partage, ouvrant une fenêtre dans laquelle on peut sélectionner des contacts. Ces derniers recevront alors une notification, avec possibilité d’installer l’agent correspondant. Ce dernier sera indiqué comme partagé depuis une autre personne.

Notons qu’aucune des annonces de Google pour Chrome hier soir ne précise les limitations pour les comptes gratuits ou pour les différents abonnements.

In addition to AMD posting patches this week working on ACPI C4 power savings support available in some newer AMD systems, patches were separately posted this week for enabling S0ix sleep support within the AMDKFD compute kernel driver...

The beta release of KDE's Plasma 6.5 desktop took place on Thursday as they work toward the stable release expected on 21 October...

Déjà, on sait que les Windows en 32 bits n'existent plus depuis l'arrivée de Windows 11. Si la largeur du nonos faisait encore illusion avec Windows 10, c'est cuitas de chez cuitas depuis le Windows 11. D'ailleurs même ceux qui font des pilotes en général, et le couple AMD / NVIDIA en particulier, o...

La version finale de Tails 7.0 est disponible, avec près d’un mois d’avance sur le calendrier initialement annoncé. Cette distribution GNU/Linux, centrée pour mémoire sur les problématiques de sécurité et d’anonymat en ligne et conçue pour être lancée depuis une clé USB, adopte un nouveau socle centré sur Debian13 Trixie, sortie début août, accompagnée de l’environnement GNOME 48. Le tout fonctionne sur un noyau Linux 6.12.43 LTS (Long Term Support), ce qui devrait selon l’équipe en charge du projet améliorer la compatibilité matérielle de Tails OS.

Alors que la Release Candidate parue début août présentait quelques lenteurs au démarrage, l’équipe indique que le lancement de cette Tails OS 7.0 version finale a gagné 10 à 15 secondes sur la plupart des ordinateurs. Pour ce faire, elle explique être passée d’une compression basée sur xz au format zstd, ce qui se traduit par une image système plus volumineuse d’environ 10 %.

Elle en profite pour signaler que les performances peuvent varier dans des proportions significatives si Tails OS est lancé depuis une clé USB « de mauvaise qualité », un avertissement destiné notamment aux utilisateurs qui évoluent dans des pays où la contrefaçon de produits électroniques est un phénomène courant.

Par ailleurs, le système recommande désormais 3 Go de mémoire vive, contre 2 Go précédemment. Si la machine hôte dispose de moins de 3 Go, Tails OS se lancera, mais un message d’avertissement signalera un risque d’instabilité ou de performances dégradées.

Outre une longue liste de corrections et les changements liés à GNOME 48, Tails 7.0 est l’occasion d’une mise à jour générale des principaux paquets, du client Tor (0.4.8.17) à Thunderbird (128.14 ESR) en passant par Electrum (4.5.8), OnionShare (2.6.3), KeePassXC (2.7.10) ou Gimp (3.0.4).

Les différentes images et procédures d’installation sont listées sur le site officiel du projet.

La version finale de Tails 7.0 est disponible, avec près d’un mois d’avance sur le calendrier initialement annoncé. Cette distribution GNU/Linux, centrée pour mémoire sur les problématiques de sécurité et d’anonymat en ligne et conçue pour être lancée depuis une clé USB, adopte un nouveau socle centré sur Debian13 Trixie, sortie début août, accompagnée de l’environnement GNOME 48. Le tout fonctionne sur un noyau Linux 6.12.43 LTS (Long Term Support), ce qui devrait selon l’équipe en charge du projet améliorer la compatibilité matérielle de Tails OS.

Alors que la Release Candidate parue début août présentait quelques lenteurs au démarrage, l’équipe indique que le lancement de cette Tails OS 7.0 version finale a gagné 10 à 15 secondes sur la plupart des ordinateurs. Pour ce faire, elle explique être passée d’une compression basée sur xz au format zstd, ce qui se traduit par une image système plus volumineuse d’environ 10 %.

Elle en profite pour signaler que les performances peuvent varier dans des proportions significatives si Tails OS est lancé depuis une clé USB « de mauvaise qualité », un avertissement destiné notamment aux utilisateurs qui évoluent dans des pays où la contrefaçon de produits électroniques est un phénomène courant.

Par ailleurs, le système recommande désormais 3 Go de mémoire vive, contre 2 Go précédemment. Si la machine hôte dispose de moins de 3 Go, Tails OS se lancera, mais un message d’avertissement signalera un risque d’instabilité ou de performances dégradées.

Outre une longue liste de corrections et les changements liés à GNOME 48, Tails 7.0 est l’occasion d’une mise à jour générale des principaux paquets, du client Tor (0.4.8.17) à Thunderbird (128.14 ESR) en passant par Electrum (4.5.8), OnionShare (2.6.3), KeePassXC (2.7.10) ou Gimp (3.0.4).

Les différentes images et procédures d’installation sont listées sur le site officiel du projet.

Aujourd’hui, nous testons l’entrée de gamme des souris sans fil MSI : la Versa 300 Wireless. Forme de taille moyenne adaptée à tout type de grip, construction robuste, triple connexion, poids de 60 grammes, clics principaux plutôt bons, le tout pour la modique somme de 30€ ! Si cette proposition peut sembler attrayante, elle nous semble orientée pour un usage bureautique, car au niveau du capteur, le bas blesse : le PAW 3104 équipe cette Versa 300. Ce capteur ne fournit pas des performances suffisantes pour du gaming compétitif et aura du mal à tracker les mouvements rapides en plus d’une distance de soulèvement assez conséquente. Néanmoins, nous sommes sur une souris avec certaines qualités et certains défauts, qui conviendra à certains usages, et qui ne sera pas recommandable pour d’autres. Passons cette Versa 300 Wireless à la loupe afin de voir à qui elle s’adresse !

Le barebone / Mini PC (classez dans la catégorie qui vous plaira) GMKTec EVO-X2 ne vous est pas inconnu puisqu'il a été parmi les premiers annoncés équipés du Ryzen AI Max+ 395. Sauf qu'on l'a bien appris à nos dépends, entre une annonce et une disponibilité, il peut parfois se passer un temps géolo...

Les temps modernes

Alors que le dépôt NPM était déjà marqué par une importante attaque le 8 septembre, une autre attaque est en cours depuis 48 heures. Plusieurs centaines de paquets ont été compromis, les pirates à l’origine de la campagne ayant industrialisé le processus, au point de l’avoir transformé en ver. Explications.

L’écosystème NPM (Node Package Manager) fait actuellement face à une nouvelle attaque sophistiquée. De type chaine d’approvisionnement, elle consiste à infecter un maillon de la chaine de distribution en amont, afin que l’infection se répande automatiquement en aval.

Cette nouvelle attaque, d’un genre différent de celle que nous rapportions récemment, reprend dans les grandes lignes le modus operandi de l’attaque du 27 aout. À ceci près que les pirates ont entièrement automatisé le processus, conduisant à un vol de nombreuses informations d’authentification et à leur publication dans des dépôts publics, créés automatiquement ici aussi par les pirates.

Ce comportement de ver informatique a donné son nom à cette attaque : Shai-Hulud, en référence au célèbre ver des sables de l’univers de Dune. L’ingénieur Daniel Pereira a été le premier à signaler un problème le 15 septembre, avant que les sociétés Socket et StepSecurity prennent le relai. Elles notaient d’abord que 40 paquets avaient été compromis, avant que le chiffre s’envole progressivement : dans la seule journée du 16 septembre, le nombre avait atteint 200 paquets, avant de grimper à près de 500 en fin de journée.

Que fait Shai-Hulud ?

Le ver est auto-répliquant et a plusieurs missions. La principale est de voler des informations d’authentification et de les publier sur GitHub dans des dépôts créés pour l’occasion et rendus publics, afin que tout le monde puisse piocher dedans.

Plus en détail, le ver commence par analyser l’hôte et son environnement d’intégration continue pour chercher tout ce qui ressemble à un secret (au sens cybersécurité du terme, tout ce qui touche à l’authentification). Le ver scanne également, via Trufflehog, les points de terminaison des métadonnées des environnements cloud principaux (dont AWS et GCP) pour récupérer des jetons d’identification (GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY…).

Vient ensuite l’exfiltration, en deux phases. Le ver crée un dépôt Shai-Hulud sur le compte GitHub compromis et y envoie, via un commit, un fichier JSON collectant tout ce qui a été volé : variables d’environnement, éléments d’authentification, informations système, etc. Via un workflow GitHub Actions, ces informations sont envoyées vers un serveur contrôlé par les pirates. Une copie est écrite dans les logs Actions.

Un mécanisme performant de propagation

Enfin, la phase de propagation. Si le vol d’informations a pu mener à des jetons npm, le ver les utilise pour tenter de s’y répliquer. S’il y parvient, toute la chaine recommence, expliquant que des centaines de paquets aient été compromis. Chaque fois qu’un compte privé est ainsi compromis, il est rendu public par le ver, qui en change les paramètres.

« Les versions compromises incluent une fonction (NpmModule.updatePackage) qui télécharge une archive de paquets, modifie package.json, injecte un script local (bundle.js), recompresse l’archive et la republie, permettant ainsi la trojanisation automatique des paquets en aval », explique la société Socket.

Les recommandations faites aux développeurs sont nombreuses, résume Trend Micro : auditer toutes les dépendances (en particulier les paquets mis à jour récemment), révoquer et faire tourner les informations d’authentification (surtout pour les comptes NPM), surveiller d’éventuels signes de présence de Trufflehog ou d’autres outils de balayage, se tenir au courant avec des sources fiables d’informations (dont le registre officiel de NPM), et renforcer la protection des accès ainsi que les politiques de sécurité. Il est notamment conseillé d’activer l’authentification à facteurs multiples (MFA) pour l’ensemble des développeurs et des points d’accès CI/CD.

Encore et toujours du phishing

Comment toute cette attaque a commencé ? Exactement comme les précédentes : par un e-mail frauduleux, demandant au développeur de renouveler son authentification à deux facteurs. Un lien proéminent l’emmenait vers une page ressemblant trait pour trait à celle de NPM, mais permettait aux pirates de capter le jeton d’authentification et les identifiants. Après quoi, les informations étaient utilisées pour accéder au dépôt et débuter l’infection.

En l’occurrence, c’est le dépôt du paquet ctrl/tinycolor qui a été contaminé en premier. Via une mise à jour malveillante, le paquet contenait une fonction NpmModule.updatePackage) capable d’enchainer les opérations : télécharger un tarball, modifier le fichier package.json, injecter un script local, rempaqueter le tout et le republier. C’est ce comportement qui a été repéré initialement par Daniel dos Santos Pereira. Mais le mal était déjà fait, car ctrl/tinycolor est un paquet populaire : 2,2 millions de téléchargements par semaine en moyenne.

Car les paquets téléchargés et installés sur des postes clients contiennent également une charge utile leur étant destinée. Comme pour l’attaque précédente, on y trouve un voleur de cryptomonnaies, qui permet les interceptions des transferts au sein du navigateur et leur orientation vers des portefeuilles contrôlés par les pirates.

Vers une empreinte durable ?

On ne connait pas encore l’ampleur des conséquences de cette campagne. Shai-Hulud risque cependant de remettre en question le modèle de gestion de nombreux dépôts et accentue les questionnements autour de la sécurité. Toutes les sociétés ayant formulé des recommandations sur le sujet reviennent toujours à deux consignes : la généralisation de l’authentification forte à facteurs multiples et la surveillance continue de l’activité sur les dépôts.

Par le nombre de paquets NPM touchés, l’attaque pourrait également remettre en cause le fonctionnement habituel de l’écosystème open source et à sa confiance inhérente. À une époque où les applications web (encapsulées ou non) sont omniprésentes, une contamination de la chaine d’approvisionnement peut signifier rapidement des millions de machines infectées.

Et si cette contamination vous rappelle, en d’autres circonstances, le fiasco mondial de la panne CrowdStrike, le dépôt de l’entreprise a été touché par Shai-Hulud, de multiples paquets ayant été contaminés.

Pour l’instant, on ignore si l’attaque du 8 septembre peut être considérée comme une première manifestation de la nouvelle. La méthode de départ est la même, mais l’exécution technique semble bien plus sophistiquée aujourd’hui. Dans son déroulement, Shai-Hulud ressemble davantage à l’attaque de fin août, même si – là encore – le périmètre et l’automatisation sont bien supérieurs. Si les auteurs sont les mêmes, alors les attaques précédentes ont peut-être été des galops d’essai.

Les temps modernes

Alors que le dépôt NPM était déjà marqué par une importante attaque le 8 septembre, une autre attaque est en cours depuis 48 heures. Plusieurs centaines de paquets ont été compromis, les pirates à l’origine de la campagne ayant industrialisé le processus, au point de l’avoir transformé en ver. Explications.

L’écosystème NPM (Node Package Manager) fait actuellement face à une nouvelle attaque sophistiquée. De type chaine d’approvisionnement, elle consiste à infecter un maillon de la chaine de distribution en amont, afin que l’infection se répande automatiquement en aval.

Cette nouvelle attaque, d’un genre différent de celle que nous rapportions récemment, reprend dans les grandes lignes le modus operandi de l’attaque du 27 aout. À ceci près que les pirates ont entièrement automatisé le processus, conduisant à un vol de nombreuses informations d’authentification et à leur publication dans des dépôts publics, créés automatiquement ici aussi par les pirates.

Ce comportement de ver informatique a donné son nom à cette attaque : Shai-Hulud, en référence au célèbre ver des sables de l’univers de Dune. L’ingénieur Daniel Pereira a été le premier à signaler un problème le 15 septembre, avant que les sociétés Socket et StepSecurity prennent le relai. Elles notaient d’abord que 40 paquets avaient été compromis, avant que le chiffre s’envole progressivement : dans la seule journée du 16 septembre, le nombre avait atteint 200 paquets, avant de grimper à près de 500 en fin de journée.

Que fait Shai-Hulud ?

Le ver est auto-répliquant et a plusieurs missions. La principale est de voler des informations d’authentification et de les publier sur GitHub dans des dépôts créés pour l’occasion et rendus publics, afin que tout le monde puisse piocher dedans.

Plus en détail, le ver commence par analyser l’hôte et son environnement d’intégration continue pour chercher tout ce qui ressemble à un secret (au sens cybersécurité du terme, tout ce qui touche à l’authentification). Le ver scanne également, via Trufflehog, les points de terminaison des métadonnées des environnements cloud principaux (dont AWS et GCP) pour récupérer des jetons d’identification (GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY…).

Vient ensuite l’exfiltration, en deux phases. Le ver crée un dépôt Shai-Hulud sur le compte GitHub compromis et y envoie, via un commit, un fichier JSON collectant tout ce qui a été volé : variables d’environnement, éléments d’authentification, informations système, etc. Via un workflow GitHub Actions, ces informations sont envoyées vers un serveur contrôlé par les pirates. Une copie est écrite dans les logs Actions.

Un mécanisme performant de propagation

Enfin, la phase de propagation. Si le vol d’informations a pu mener à des jetons npm, le ver les utilise pour tenter de s’y répliquer. S’il y parvient, toute la chaine recommence, expliquant que des centaines de paquets aient été compromis. Chaque fois qu’un compte privé est ainsi compromis, il est rendu public par le ver, qui en change les paramètres.

« Les versions compromises incluent une fonction (NpmModule.updatePackage) qui télécharge une archive de paquets, modifie package.json, injecte un script local (bundle.js), recompresse l’archive et la republie, permettant ainsi la trojanisation automatique des paquets en aval », explique la société Socket.

Les recommandations faites aux développeurs sont nombreuses, résume Trend Micro : auditer toutes les dépendances (en particulier les paquets mis à jour récemment), révoquer et faire tourner les informations d’authentification (surtout pour les comptes NPM), surveiller d’éventuels signes de présence de Trufflehog ou d’autres outils de balayage, se tenir au courant avec des sources fiables d’informations (dont le registre officiel de NPM), et renforcer la protection des accès ainsi que les politiques de sécurité. Il est notamment conseillé d’activer l’authentification à facteurs multiples (MFA) pour l’ensemble des développeurs et des points d’accès CI/CD.

Encore et toujours du phishing

Comment toute cette attaque a commencé ? Exactement comme les précédentes : par un e-mail frauduleux, demandant au développeur de renouveler son authentification à deux facteurs. Un lien proéminent l’emmenait vers une page ressemblant trait pour trait à celle de NPM, mais permettait aux pirates de capter le jeton d’authentification et les identifiants. Après quoi, les informations étaient utilisées pour accéder au dépôt et débuter l’infection.

En l’occurrence, c’est le dépôt du paquet ctrl/tinycolor qui a été contaminé en premier. Via une mise à jour malveillante, le paquet contenait une fonction NpmModule.updatePackage) capable d’enchainer les opérations : télécharger un tarball, modifier le fichier package.json, injecter un script local, rempaqueter le tout et le republier. C’est ce comportement qui a été repéré initialement par Daniel dos Santos Pereira. Mais le mal était déjà fait, car ctrl/tinycolor est un paquet populaire : 2,2 millions de téléchargements par semaine en moyenne.

Car les paquets téléchargés et installés sur des postes clients contiennent également une charge utile leur étant destinée. Comme pour l’attaque précédente, on y trouve un voleur de cryptomonnaies, qui permet les interceptions des transferts au sein du navigateur et leur orientation vers des portefeuilles contrôlés par les pirates.

Vers une empreinte durable ?

On ne connait pas encore l’ampleur des conséquences de cette campagne. Shai-Hulud risque cependant de remettre en question le modèle de gestion de nombreux dépôts et accentue les questionnements autour de la sécurité. Toutes les sociétés ayant formulé des recommandations sur le sujet reviennent toujours à deux consignes : la généralisation de l’authentification forte à facteurs multiples et la surveillance continue de l’activité sur les dépôts.

Par le nombre de paquets NPM touchés, l’attaque pourrait également remettre en cause le fonctionnement habituel de l’écosystème open source et à sa confiance inhérente. À une époque où les applications web (encapsulées ou non) sont omniprésentes, une contamination de la chaine d’approvisionnement peut signifier rapidement des millions de machines infectées.

Et si cette contamination vous rappelle, en d’autres circonstances, le fiasco mondial de la panne CrowdStrike, le dépôt de l’entreprise a été touché par Shai-Hulud, de multiples paquets ayant été contaminés.

Pour l’instant, on ignore si l’attaque du 8 septembre peut être considérée comme une première manifestation de la nouvelle. La méthode de départ est la même, mais l’exécution technique semble bien plus sophistiquée aujourd’hui. Dans son déroulement, Shai-Hulud ressemble davantage à l’attaque de fin août, même si – là encore – le périmètre et l’automatisation sont bien supérieurs. Si les auteurs sont les mêmes, alors les attaques précédentes ont peut-être été des galops d’essai.

Contrairement à la fin programmée du support de Windows 10 par Microsoft, cette annonce ne devrait pas défrayer la chronique. Valve a en effet signalé que le support de sa plateforme Steam sur les éditions 32 bits de Windows serait interrompu au 1er janvier 2026.

« Les installations existantes du client Steam continueront de fonctionner à court terme sur Windows 10 32 bits, mais ne recevront plus de mises à jour d’aucune sorte, y compris les mises à jour de sécurité », indique l’éditeur.

Pourquoi cette mesure ? « Ce changement est nécessaire car les fonctionnalités principales de Steam reposent sur des pilotes système et d’autres bibliothèques qui ne sont pas pris en charge sur les versions 32 bits de Windows », répond Valve.

On peut voir une certaine ironie dans cette décision, remarque The Verge, dans la mesure où le client principal steam.exe, sous Windows, est toujours une application 32 bits, même si la plupart des processus associés sont, eux, en 64 bits.

Cette fin de support programmée ne devrait cependant pas perturber beaucoup les joueurs (ni les éditeurs, dont les choix d’architecture sont indépendants de ceux de la plateforme). D’après les statistiques de Valve, son Steam Hardware Survey, Windows 10 32 bits représente environ 0,01 % du parc installé.

D’autres acteurs du monde logiciel planchent sur la fin programmée du 32 bits, à l’image de Mozilla avec Firefox sous Linux, ou Fedora, chez qui la question s’est posée au printemps.