Grincements dans les chaumières

Microsoft arrêtera le support de Windows 10 le 24 octobre 2025. Après cette date, plus aucune mise à jour de sécurité ne sera fournie au système. Continuer à l’utiliser sera donc dangereux, puisque les failles détectées resteront ouvertes aux quatre vents. Microsoft propose cependant de payer pour maintenir ce support pour une année supplémentaire de support.

L’arrêt du support technique sur un Windows est toujours une étape importante. À chaque fois, une partie des utilisateurs retardataires se retrouve avec un système sans mise à jour. Dans le cas de Windows 10, la situation est pire.

L’arrivée de Windows 11 ne s’est pas passée comme les versions précédentes. La puissance demandée par le système est pratiquement identique aux versions précédentes et les prérequis n’ont guère changé depuis Vista. En revanche, Microsoft exige du matériel récent pour son dernier système d’exploitation, dont une puce TPM 2.0. Entre cette obligation et celle d’un processeur ne pouvant pas dépasser cinq ou six ans, de nombreuses configurations ne peuvent pas migrer vers Windows 11, quand bien même celle-ci était proposée gratuitement.

Depuis que Microsoft a annoncé le 24 octobre 2025 comme date limite du support pour Windows 10, beaucoup se posaient la question : la société allait-elle persister et signer, ou s’adapter à la situation et retarder la fin du support ?

Une année supplémentaire, pas plus

Pour l’instant, elle persiste. On savait cependant qu’elle proposerait une extension payante. Celle-ci existe depuis longtemps et permet aux entreprises de payer pour pousser jusqu’à trois ans de mises à jour supplémentaires, via un mécanisme nommé ESU (Extended Security Updates). Cependant, la tarification se fait par le nombre de postes à couvrir et en fonction du nombre d’années : chaque année supplémentaire de support est plus chère que la précédente. La situation étant exceptionnelle, Microsoft a donc fini par proposer son ESU aux particuliers.

Dans une annonce le 31 octobre, l’éditeur explique ainsi : « Nous comprenons que certains d’entre vous peuvent avoir besoin d’un délai supplémentaire pour passer à un nouveau PC Windows 11 ou Copilot+. Pendant cette période, vous pouvez souhaiter prendre des mesures pour aider à sécuriser votre PC existant. Comme annoncé précédemment, nous offrirons notre programme Mises à jour de sécurité étendues (ESU). Les PC inscrits continueront à recevoir les mises à jour de sécurité critiques et importantes pour Windows 10 ».

Le tarif proposé n’a rien à voir avec celui des entreprises : 30 dollars. Plusieurs informations à connaitre cependant. D’une part, on ne peut acheter qu’une seule année. Pas question ici de pousser à trois ans, comme pour les entreprises. En outre, l’option n’est pas disponible pour l’instant. Elle ne sera proposée que vers la fin du support technique l’année prochaine. Enfin, ces mises à jour ne concerneront que la sécurité. Il ne sera pas question de corrections de bugs généraux et encore moins de fonctions. Autre précision importante, les personnes qui auront payé ne pourront plus contacter le support.

Des problèmes de moyens et de communication

Le billet de Microsoft est presque entièrement tourné vers les avantages à passer à Windows 11. L’entreprise s’engage ainsi « à vous protéger, vous et votre PC, avec la sécurité la plus avancée possible ». « Nous comprenons que le changement n’est jamais facile, mais nous nous engageons à rendre cette transition aussi fluide que possible. Merci pour votre passion et votre fidélité à Windows », ajoute Microsoft.

Ces 30 dollars ne sont donc envisagés que comme un délai permettant d’investir dans du matériel. Investissement que tout le monde ne pourra pas forcément faire. Quitte à abandonner Windows 10, certains pourraient être tentés de changer de crèmerie. Il y a bien sûr un éventuel passage au Mac, mais l’option d’un Linux est largement envisageable également. Tout dépend des besoins, des moyens financiers et des connaissances. Ces dernières seront malheureusement déterminantes.

Le fait de proposer une extension de support ne sera ainsi peut-être pas suffisant. Microsoft ne dit pas un mot sur la manière dont elle communiquera cette possibilité aux personnes concernées. Une fenêtre sera-t-elle affichée pour informer clairement les utilisateurs ? Ne sera-t-elle pas prise pour une arnaque ? Y aura-t-il un entourage capable d’expliquer, rassurer ou conseiller une autre solution ?

Microsoft est dans tous les cas face à un problème de taille, puisque Windows 10 représente à l’heure actuelle plus de 60 % du marché des machines Windows. Un chiffre colossal qu’il sera impossible de gommer en une seule année. Même si la moitié des personnes concernées migraient vers Windows 11, il resterait presque un tiers du parc sous l’ancienne version. Microsoft, qui n’a de cesse de rappeler sa Secure Future Initiative, se retrouverait alors avec un sérieux souci, avec possiblement une récupération du sujet par les pouvoirs publics, par exemple pour défaut de sécurisation.

Grincements dans les chaumières

Microsoft arrêtera le support de Windows 10 le 24 octobre 2025. Après cette date, plus aucune mise à jour de sécurité ne sera fournie au système. Continuer à l’utiliser sera donc dangereux, puisque les failles détectées resteront ouvertes aux quatre vents. Microsoft propose cependant de payer pour maintenir ce support pour une année supplémentaire de support.

L’arrêt du support technique sur un Windows est toujours une étape importante. À chaque fois, une partie des utilisateurs retardataires se retrouve avec un système sans mise à jour. Dans le cas de Windows 10, la situation est pire.

L’arrivée de Windows 11 ne s’est pas passée comme les versions précédentes. La puissance demandée par le système est pratiquement identique aux versions précédentes et les prérequis n’ont guère changé depuis Vista. En revanche, Microsoft exige du matériel récent pour son dernier système d’exploitation, dont une puce TPM 2.0. Entre cette obligation et celle d’un processeur ne pouvant pas dépasser cinq ou six ans, de nombreuses configurations ne peuvent pas migrer vers Windows 11, quand bien même celle-ci était proposée gratuitement.

Depuis que Microsoft a annoncé le 24 octobre 2025 comme date limite du support pour Windows 10, beaucoup se posaient la question : la société allait-elle persister et signer, ou s’adapter à la situation et retarder la fin du support ?

Une année supplémentaire, pas plus

Pour l’instant, elle persiste. On savait cependant qu’elle proposerait une extension payante. Celle-ci existe depuis longtemps et permet aux entreprises de payer pour pousser jusqu’à trois ans de mises à jour supplémentaires, via un mécanisme nommé ESU (Extended Security Updates). Cependant, la tarification se fait par le nombre de postes à couvrir et en fonction du nombre d’années : chaque année supplémentaire de support est plus chère que la précédente. La situation étant exceptionnelle, Microsoft a donc fini par proposer son ESU aux particuliers.

Dans une annonce le 31 octobre, l’éditeur explique ainsi : « Nous comprenons que certains d’entre vous peuvent avoir besoin d’un délai supplémentaire pour passer à un nouveau PC Windows 11 ou Copilot+. Pendant cette période, vous pouvez souhaiter prendre des mesures pour aider à sécuriser votre PC existant. Comme annoncé précédemment, nous offrirons notre programme Mises à jour de sécurité étendues (ESU). Les PC inscrits continueront à recevoir les mises à jour de sécurité critiques et importantes pour Windows 10 ».

Le tarif proposé n’a rien à voir avec celui des entreprises : 30 dollars. Plusieurs informations à connaitre cependant. D’une part, on ne peut acheter qu’une seule année. Pas question ici de pousser à trois ans, comme pour les entreprises. En outre, l’option n’est pas disponible pour l’instant. Elle ne sera proposée que vers la fin du support technique l’année prochaine. Enfin, ces mises à jour ne concerneront que la sécurité. Il ne sera pas question de corrections de bugs généraux et encore moins de fonctions. Autre précision importante, les personnes qui auront payé ne pourront plus contacter le support.

Des problèmes de moyens et de communication

Le billet de Microsoft est presque entièrement tourné vers les avantages à passer à Windows 11. L’entreprise s’engage ainsi « à vous protéger, vous et votre PC, avec la sécurité la plus avancée possible ». « Nous comprenons que le changement n’est jamais facile, mais nous nous engageons à rendre cette transition aussi fluide que possible. Merci pour votre passion et votre fidélité à Windows », ajoute Microsoft.

Ces 30 dollars ne sont donc envisagés que comme un délai permettant d’investir dans du matériel. Investissement que tout le monde ne pourra pas forcément faire. Quitte à abandonner Windows 10, certains pourraient être tentés de changer de crèmerie. Il y a bien sûr un éventuel passage au Mac, mais l’option d’un Linux est largement envisageable également. Tout dépend des besoins, des moyens financiers et des connaissances. Ces dernières seront malheureusement déterminantes.

Le fait de proposer une extension de support ne sera ainsi peut-être pas suffisant. Microsoft ne dit pas un mot sur la manière dont elle communiquera cette possibilité aux personnes concernées. Une fenêtre sera-t-elle affichée pour informer clairement les utilisateurs ? Ne sera-t-elle pas prise pour une arnaque ? Y aura-t-il un entourage capable d’expliquer, rassurer ou conseiller une autre solution ?

Microsoft est dans tous les cas face à un problème de taille, puisque Windows 10 représente à l’heure actuelle plus de 60 % du marché des machines Windows. Un chiffre colossal qu’il sera impossible de gommer en une seule année. Même si la moitié des personnes concernées migraient vers Windows 11, il resterait presque un tiers du parc sous l’ancienne version. Microsoft, qui n’a de cesse de rappeler sa Secure Future Initiative, se retrouverait alors avec un sérieux souci, avec possiblement une récupération du sujet par les pouvoirs publics, par exemple pour défaut de sécurisation.

Bouh !

Les derniers jours ont été riches en informations et rumeurs autour d’Apple. L’un des faits les plus marquants est le rachat de Pixelmator. Apple a également pris une participation dans son partenaire satellitaire GlobalStar et ouvert des laboratoires de recherche sur les écrans en Chine.

Apple rachète l’application Photomator

Le rachat, d’un montant non précisé, a été confirmé par la société lituanienne le 1^er novembre. L’équipe en place intègrera Apple. Elle précise que rien ne changera pour les applications actuelles (Pixelmator Pro, Pixelmator for iOS et Photomator). L’application s’est fait connaître à plusieurs reprises à travers des mises en avant par Apple dans des conférences et captures d’écran.

Comme le rappellent nos confrères de MacG (qui fêtent leurs 25 ans et se lancent pour l’occasion dans la création d’un magazine collector), Apple a racheté plusieurs fois des applications, comme Dark Sky, qui a constitué la base de la nouvelle application Météo. On se rappelle de Shazam en 2017, mais l’exemple le plus marquant est sans conteste iTunes.

Parallèlement, Apple lance un rappel pour une partie des iPhone 14 Plus, précisément ceux produits entre les 10 avril 2023 et 28 avril 2024. Ils présentent un problème de caméra arrière. La firme a mis en place une page dédiée dans laquelle les personnes concernées sont invitées à entrer leur numéro de série pour savoir si leur appareil est concerné. Rappelons que dans ce type de cas, les réparations sont prises en charge par le constructeur.

Apple investit dans GlobalStar

Dans un tout autre domaine, Apple a pris une participation de 20 % dans GlobalStar, l’entreprise partenaire pour la connexion satellitaire des iPhone. Cette fonction avait été lancée avec l’iPhone 14 et permettant d’établir une connexion avec un satellite pour des appels d’urgence, quand aucun réseau cellulaire n’était trouvé. Avec iOS 18, la fonction s’est étendue aux SMS.

La prise de participation est notée dans un document remis par GlobalStar à la SEC (Securities and Exchange Commission, l’autorité américaine des marchés financiers), relevé par The Verge. On y apprend que le montant s’élève à 400 millions de dollars. Viendra s’y ajouter un prépaiement de 1,1 milliard de dollars destiné à l’amélioration de l’infrastructure satellitaire : « une nouvelle constellation de satellites, une infrastructure terrestre élargie et une augmentation des licences de [services mobiles par satellite] à l’échelle mondiale ».

De la recherche sur les écrans en Chine

On apprend également par BusinessKorea, via PatentlyApple, qu’Apple a ouvert des laboratoires de recherche sur les écrans dans quatre villes chinoises : Pékin, Shenzhen, Suzhou et Shanghai. Selon le média coréen, l’initiative servira à la fois à développer de nouvelles technologies qu’à élargir ses sources d’approvisionnement, essentiellement situées en Corée aujourd’hui.

« Ces laboratoires de recherche développent et testent des panneaux pour les iPhone, les iPad, le Vision Pro et les futurs iPhone pliables. Ils effectuent également des évaluations de qualité en les comparant aux panneaux coréens », a indiqué une source.

Des rumeurs et des performances

Cette information alimente d’ailleurs des rumeurs très insistantes actuellement sur un changement important qui se dessinerait pour les iPhone 17. Sur ses prochaines smartphones, Apple aurait l’intention d’utiliser la technologie LTPO (oxyde polycristallin à basse température) sur l’ensemble de sa gamme. Pour la première fois, les modèles d’entrée de gamme auraient – enfin ! – des écrans dont la fréquence varierait entre 1 et 120 Hz, comme sur les actuels modèles Pro.

On reste dans les rumeurs avec plusieurs informations circulant actuellement. Le souvent très informé Mark Gurman, de Bloomberg, indique ainsi qu’Apple aurait dans ses cartons un important renouvellement des MacBook Pro pour 2026, avec un nouveau design. Une de plus ? L’entreprise aurait repoussé son modèle Vision Pro plus accessible à 2027 au profit d’une version plus puissante de l’actuel pour l’année prochaine.

Les performances des puces M4, M4 Pro et M4 Max commencent également à se dévoiler sur GeekBench. En monothread, le M4 Pro (14 cœurs) du Mac mini obtiendrait ainsi un score de 3 663, tandis que le M4 Max (16 cœurs) du MacBook Pro 16 pouces grimperait à 4 013. Des valeurs à comparer aux 2 777 points de la puce M2 Ultra (24 cœurs) du Mac Studio.

En multithread, sur les mêmes puces, les scores s’envoleraient à 22 094 et 26 445, contre 21 351 pour le M2 Ultra. Contrairement au découpage de la gamme M3, la puce M4 Pro serait donc particulièrement puissante.

Côté GPU, on passerait de 111 000 sur un M4 Pro à 190 329 sur le M4 Max. Ce qui n’aurait rien d’étonnant, puisque le SoC Max embarque 40 cœurs GPU, contre 20 sur le M4 Pro.

• Comparatif des SoC Apple : des M1 aux M4, M4 Pro et M4 Max

Des milliards de dollars comme s’il en pleuvait

Enfin, Apple a aussi mis en ligne ses résultats financiers pour son quatrième trimestre fiscal de l’année (terminé le 28 septembre 2024). La société revendique un chiffre d’affaires de 94,930 milliards de dollars sur trois mois, et de 391,035 milliards de dollars sur un an.

Les iPhone continuent d’assurer le gros des revenus avec 46,222 milliards de dollars sur trois mois, et 201,183 milliards sur un an. Les services sont seconds avec respectivement 24,972 et 96,169 milliards de dollars.

Le bénéfice net est moins important que l’année dernière, avec 14,736 milliards de dollars sur trois mois et 93,736 milliards sur un an, contre respectivement 22,956 et 96,995 milliards.

Bouh !

Les derniers jours ont été riches en informations et rumeurs autour d’Apple. L’un des faits les plus marquants est le rachat de Pixelmator. Apple a également pris une participation dans son partenaire satellitaire GlobalStar et ouvert des laboratoires de recherche sur les écrans en Chine.

Apple rachète l’application Photomator

Le rachat, d’un montant non précisé, a été confirmé par la société lituanienne le 1^er novembre. L’équipe en place intègrera Apple. Elle précise que rien ne changera pour les applications actuelles (Pixelmator Pro, Pixelmator for iOS et Photomator). L’application s’est fait connaître à plusieurs reprises à travers des mises en avant par Apple dans des conférences et captures d’écran.

Comme le rappellent nos confrères de MacG (qui fêtent leurs 25 ans et se lancent pour l’occasion dans la création d’un magazine collector), Apple a racheté plusieurs fois des applications, comme Dark Sky, qui a constitué la base de la nouvelle application Météo. On se rappelle de Shazam en 2017, mais l’exemple le plus marquant est sans conteste iTunes.

Parallèlement, Apple lance un rappel pour une partie des iPhone 14 Plus, précisément ceux produits entre les 10 avril 2023 et 28 avril 2024. Ils présentent un problème de caméra arrière. La firme a mis en place une page dédiée dans laquelle les personnes concernées sont invitées à entrer leur numéro de série pour savoir si leur appareil est concerné. Rappelons que dans ce type de cas, les réparations sont prises en charge par le constructeur.

Apple investit dans GlobalStar

Dans un tout autre domaine, Apple a pris une participation de 20 % dans GlobalStar, l’entreprise partenaire pour la connexion satellitaire des iPhone. Cette fonction avait été lancée avec l’iPhone 14 et permettant d’établir une connexion avec un satellite pour des appels d’urgence, quand aucun réseau cellulaire n’était trouvé. Avec iOS 18, la fonction s’est étendue aux SMS.

La prise de participation est notée dans un document remis par GlobalStar à la SEC (Securities and Exchange Commission, l’autorité américaine des marchés financiers), relevé par The Verge. On y apprend que le montant s’élève à 400 millions de dollars. Viendra s’y ajouter un prépaiement de 1,1 milliard de dollars destiné à l’amélioration de l’infrastructure satellitaire : « une nouvelle constellation de satellites, une infrastructure terrestre élargie et une augmentation des licences de [services mobiles par satellite] à l’échelle mondiale ».

De la recherche sur les écrans en Chine

On apprend également par BusinessKorea, via PatentlyApple, qu’Apple a ouvert des laboratoires de recherche sur les écrans dans quatre villes chinoises : Pékin, Shenzhen, Suzhou et Shanghai. Selon le média coréen, l’initiative servira à la fois à développer de nouvelles technologies qu’à élargir ses sources d’approvisionnement, essentiellement situées en Corée aujourd’hui.

« Ces laboratoires de recherche développent et testent des panneaux pour les iPhone, les iPad, le Vision Pro et les futurs iPhone pliables. Ils effectuent également des évaluations de qualité en les comparant aux panneaux coréens », a indiqué une source.

Des rumeurs et des performances

Cette information alimente d’ailleurs des rumeurs très insistantes actuellement sur un changement important qui se dessinerait pour les iPhone 17. Sur ses prochaines smartphones, Apple aurait l’intention d’utiliser la technologie LTPO (oxyde polycristallin à basse température) sur l’ensemble de sa gamme. Pour la première fois, les modèles d’entrée de gamme auraient – enfin ! – des écrans dont la fréquence varierait entre 1 et 120 Hz, comme sur les actuels modèles Pro.

On reste dans les rumeurs avec plusieurs informations circulant actuellement. Le souvent très informé Mark Gurman, de Bloomberg, indique ainsi qu’Apple aurait dans ses cartons un important renouvellement des MacBook Pro pour 2026, avec un nouveau design. Une de plus ? L’entreprise aurait repoussé son modèle Vision Pro plus accessible à 2027 au profit d’une version plus puissante de l’actuel pour l’année prochaine.

Les performances des puces M4, M4 Pro et M4 Max commencent également à se dévoiler sur GeekBench. En monothread, le M4 Pro (14 cœurs) du Mac mini obtiendrait ainsi un score de 3 663, tandis que le M4 Max (16 cœurs) du MacBook Pro 16 pouces grimperait à 4 013. Des valeurs à comparer aux 2 777 points de la puce M2 Ultra (24 cœurs) du Mac Studio.

En multithread, sur les mêmes puces, les scores s’envoleraient à 22 094 et 26 445, contre 21 351 pour le M2 Ultra. Contrairement au découpage de la gamme M3, la puce M4 Pro serait donc particulièrement puissante.

Côté GPU, on passerait de 111 000 sur un M4 Pro à 190 329 sur le M4 Max. Ce qui n’aurait rien d’étonnant, puisque le SoC Max embarque 40 cœurs GPU, contre 20 sur le M4 Pro.

• Comparatif des SoC Apple : des M1 aux M4, M4 Pro et M4 Max

Des milliards de dollars comme s’il en pleuvait

Enfin, Apple a aussi mis en ligne ses résultats financiers pour son quatrième trimestre fiscal de l’année (terminé le 28 septembre 2024). La société revendique un chiffre d’affaires de 94,930 milliards de dollars sur trois mois, et de 391,035 milliards de dollars sur un an.

Les iPhone continuent d’assurer le gros des revenus avec 46,222 milliards de dollars sur trois mois, et 201,183 milliards sur un an. Les services sont seconds avec respectivement 24,972 et 96,169 milliards de dollars.

Le bénéfice net est moins important que l’année dernière, avec 14,736 milliards de dollars sur trois mois et 93,736 milliards sur un an, contre respectivement 22,956 et 96,995 milliards.

Lorsque Microsoft a présenté Recall, il s’agissait de rendre la vie plus simple : pouvoir retrouver n’importe quelle information est effectivement une force. Mais pour y parvenir, la fonction prend régulièrement des captures d’écran et catalogue les informations, après une analyse par plusieurs petits modèles d’IA.

Rapidement, de nombreux problèmes sont apparus, notamment sur la sécurité. Il était par exemple trop simple pour une autre personne d’aller récupérer ces données pour peu qu’elle ait un accès physique au PC Copilot+ (les seuls compatibles). L’ordinateur pouvait se retourner contre son utilisateur ou son utilisatrice, Recall gardant une trace de tout ce qui avait été fait. En outre, Recall ne floutait pas les informations sensibles.

Microsoft a commencé par apporter certaines améliorations, mais il est vite apparu qu’il fallait tout reprendre. La fonction a été retirée et son retour était programmé en octobre, d’abord pour les membres du programme de préversions Windows Insiders. De gros changements avaient également été annoncés, dont le chiffrement de la base de données, de nombreuses barrières pour en protéger l’accès physique, le passage à l’opt-in et la possibilité de désinstaller la fonction.

Il semble cependant que le travail soit plus long que prévu. La polémique autour de Recall cadrait mal en effet avec les prétentions de Microsoft sur la sécurité, puisque la firme a indiqué en début d’année en avoir fait sa priorité, des vœux renouvelés après le fiasco CrowdStrike.

Interrogée à ce sujet par The Verge, Microsoft a confirmé le retard, par la voix de Brandon LeBlanc, responsable du programme Windows Insiders : « Nous nous engageons à offrir une expérience sûre et fiable avec Recall. Pour nous assurer que nous livrons ces mises à jour importantes, nous prenons plus de temps pour affiner l’expérience […]. Initialement prévu pour octobre, Recall sera désormais disponible en avant-première auprès des Windows Insiders sur les PC Copilot Plus d’ici décembre ».

Pour votre bien

Les logiciels anti-triche font souvent polémique. Pour que l’information soit un peu plus transparente, Valve va forcer les éditeurs à communiquer sur la présence de ces mécanismes sur les fiches des jeux dans Steam. Ce dernier comporte également une mention obligatoire sur l’impossibilité de revendre les jeux en occasions.

Les solutions anti-triche, tout comme les DRM, où qu’ils passent, acquièrent rapidement une mauvaise réputation. Une partie des joueurs affirme que ces composants font baisser les performances, d’autres qu’ils entrainent des plantages de leur PC. D’autres encore pestent que leur jeu ne fonctionne plus.

Dans le cas des jeux vidéo, et à l’instar des DRM, il s’agit le plus souvent d’un code en espace noyau. L’objectif, pour le développeur, est d’empêcher les tricheurs de modifier en temps réel les valeurs résidant en mémoire et d’autres aspects d’un jeu, afin d’en tirer un bénéfice lors de matchs, voire de compétitions. Des noms comme Easy Cheat, Denuvo ou encore Enigma sont courants. Souvent, les mécanismes s’occupent à la fois de la protection contre la copie (DRM) et de celle contre la triche, comme Enigma de Capcom.

Les exemples sont nombreux. Sur la seule année 2024, on pourrait citer le choix de Capcom de répercuter Enigma sur l’intégralité de son catalogue présent sur Steam. Début septembre, la sortie du très attendu Warhammer 40K Space Marine 2 s’est faite avec une annonce importante de son éditeur, Saber Interactive : non seulement le jeu n’intègre pas Denuvo, mais l’éditeur a bien pris soin de l’indiquer dans sa FAQ. Plus récemment encore, on apprenait qu’EA avait répercuté son DRM sur Battlefield 1, rendant le jeu inexploitable sur Linux, comme les autres titres du catalogue.

La présence de solutions anti-triche doit être affichée sur Steam

Dans un billet publié la semaine dernière, Valve veut éclaircir la situation : « Ces derniers temps, de plus en plus de développeurs nous ont dit qu’ils cherchaient la bonne façon de partager avec les joueurs les informations relatives à l’anti-triche de leur jeu. Dans le même temps, les joueurs ont demandé plus de transparence sur les services anti-triche utilisés dans les jeux, ainsi que sur l’existence de tout logiciel supplémentaire qui sera installé dans le jeu ».

En conséquence, toutes les fiches vont être équipées d’un nouvel encart devant indiquer, sur un fond en dégradé de beige, si le titre contient un tel mécanisme.

Dans un premier temps, la mesure va concerner les nouveaux jeux. Valve indique dans son billet ce que les éditeurs trouveront désormais dans le paramétrage de la fiche de leur titre. Mais la société précise aussi qu’elle communique actuellement avec les sociétés et développeurs indépendants derrière les titres actuellement présents pour qu’ils remplissent aussi la fiche.

Notez que si Valve fait explicitement comprendre le caractère obligatoire de la démarche, elle ne donne aucune date limite.

Des informations à préciser

Tout aussi intéressant, Valve rend également obligatoire certaines informations. Les éditeurs devront ainsi indiquer si le mécanisme s’installe en espace noyau sur le système d’exploitation. Dans le sillage de l’énorme panne CrowdStrike, une partie du public est devenue plus sensible sur ces questions. Steam proposant une liste des solutions anti-triche les plus courantes, la case sera automatiquement cochée le cas échéant.

• Panne CrowdStrike : comment une simple mise à jour a-t-elle entrainé une telle pagaille ?

En outre, des informations devront être données sur la manière de désinstaller le logiciel anti-triche: « Votre script de désinstallation devrait déjà nettoyer tous les fichiers créés ou modifiés par votre processus d’installation. Cependant, nous savons que certains jeux plus anciens ne suppriment pas complètement les fichiers lors de la désinstallation et qu’il n’est plus possible de mettre à jour le jeu. Les joueurs doivent savoir si les utilitaires anti-triche ont laissé des fichiers derrière eux, en particulier ceux qui modifient les fichiers du noyau du système d’exploitation », explique Valve.

Valve ajoute que les jeux en cours d’examen pour publication sur Steam doivent posséder ces informations. Si elles n’y sont pas, l’examen n’aboutira pas et il sera demandé des renseignements supplémentaires. Et ce, même si ces derniers étaient intégrés dans le descriptif général. Valve tient à ce que l’information soit présente dans l’encart prévu.

On « n’achète pas » un jeu

Puisque l’on évoque la question des informations affichées par Steam, la boutique a été contrainte il y a quelques semaines d’en ajouter une autre : que l’on n’achète pas vraiment un jeu et que le paiement ne donne droit qu’à une licence d’utilisation. Plus précisément : « L’achat d’un produit numérique accorde une licence pour le produit sur Steam ».

Bien que Steam affiche désormais cette mention partout dans le monde, c’est la conséquence d’une loi californienne à venir. Signée le 26 septembre par le gouverneur, elle est estampillée AB 2426 et s’attaque notamment à la publicité mensongère sur les biens numériques.

Lorsque Microsoft a présenté Recall, il s’agissait de rendre la vie plus simple : pouvoir retrouver n’importe quelle information est effectivement une force. Mais pour y parvenir, la fonction prend régulièrement des captures d’écran et catalogue les informations, après une analyse par plusieurs petits modèles d’IA.

Rapidement, de nombreux problèmes sont apparus, notamment sur la sécurité. Il était par exemple trop simple pour une autre personne d’aller récupérer ces données pour peu qu’elle ait un accès physique au PC Copilot+ (les seuls compatibles). L’ordinateur pouvait se retourner contre son utilisateur ou son utilisatrice, Recall gardant une trace de tout ce qui avait été fait. En outre, Recall ne floutait pas les informations sensibles.

Microsoft a commencé par apporter certaines améliorations, mais il est vite apparu qu’il fallait tout reprendre. La fonction a été retirée et son retour était programmé en octobre, d’abord pour les membres du programme de préversions Windows Insiders. De gros changements avaient également été annoncés, dont le chiffrement de la base de données, de nombreuses barrières pour en protéger l’accès physique, le passage à l’opt-in et la possibilité de désinstaller la fonction.

Il semble cependant que le travail soit plus long que prévu. La polémique autour de Recall cadrait mal en effet avec les prétentions de Microsoft sur la sécurité, puisque la firme a indiqué en début d’année en avoir fait sa priorité, des vœux renouvelés après le fiasco CrowdStrike.

Interrogée à ce sujet par The Verge, Microsoft a confirmé le retard, par la voix de Brandon LeBlanc, responsable du programme Windows Insiders : « Nous nous engageons à offrir une expérience sûre et fiable avec Recall. Pour nous assurer que nous livrons ces mises à jour importantes, nous prenons plus de temps pour affiner l’expérience […]. Initialement prévu pour octobre, Recall sera désormais disponible en avant-première auprès des Windows Insiders sur les PC Copilot Plus d’ici décembre ».

Pour votre bien

Les logiciels anti-triche font souvent polémique. Pour que l’information soit un peu plus transparente, Valve va forcer les éditeurs à communiquer sur la présence de ces mécanismes sur les fiches des jeux dans Steam. Ce dernier comporte également une mention obligatoire sur l’impossibilité de revendre les jeux en occasions.

Les solutions anti-triche, tout comme les DRM, où qu’ils passent, acquièrent rapidement une mauvaise réputation. Une partie des joueurs affirme que ces composants font baisser les performances, d’autres qu’ils entrainent des plantages de leur PC. D’autres encore pestent que leur jeu ne fonctionne plus.

Dans le cas des jeux vidéo, et à l’instar des DRM, il s’agit le plus souvent d’un code en espace noyau. L’objectif, pour le développeur, est d’empêcher les tricheurs de modifier en temps réel les valeurs résidant en mémoire et d’autres aspects d’un jeu, afin d’en tirer un bénéfice lors de matchs, voire de compétitions. Des noms comme Easy Cheat, Denuvo ou encore Enigma sont courants. Souvent, les mécanismes s’occupent à la fois de la protection contre la copie (DRM) et de celle contre la triche, comme Enigma de Capcom.

Les exemples sont nombreux. Sur la seule année 2024, on pourrait citer le choix de Capcom de répercuter Enigma sur l’intégralité de son catalogue présent sur Steam. Début septembre, la sortie du très attendu Warhammer 40K Space Marine 2 s’est faite avec une annonce importante de son éditeur, Saber Interactive : non seulement le jeu n’intègre pas Denuvo, mais l’éditeur a bien pris soin de l’indiquer dans sa FAQ. Plus récemment encore, on apprenait qu’EA avait répercuté son DRM sur Battlefield 1, rendant le jeu inexploitable sur Linux, comme les autres titres du catalogue.

La présence de solutions anti-triche doit être affichée sur Steam

Dans un billet publié la semaine dernière, Valve veut éclaircir la situation : « Ces derniers temps, de plus en plus de développeurs nous ont dit qu’ils cherchaient la bonne façon de partager avec les joueurs les informations relatives à l’anti-triche de leur jeu. Dans le même temps, les joueurs ont demandé plus de transparence sur les services anti-triche utilisés dans les jeux, ainsi que sur l’existence de tout logiciel supplémentaire qui sera installé dans le jeu ».

En conséquence, toutes les fiches vont être équipées d’un nouvel encart devant indiquer, sur un fond en dégradé de beige, si le titre contient un tel mécanisme.

Dans un premier temps, la mesure va concerner les nouveaux jeux. Valve indique dans son billet ce que les éditeurs trouveront désormais dans le paramétrage de la fiche de leur titre. Mais la société précise aussi qu’elle communique actuellement avec les sociétés et développeurs indépendants derrière les titres actuellement présents pour qu’ils remplissent aussi la fiche.

Notez que si Valve fait explicitement comprendre le caractère obligatoire de la démarche, elle ne donne aucune date limite.

Des informations à préciser

Tout aussi intéressant, Valve rend également obligatoire certaines informations. Les éditeurs devront ainsi indiquer si le mécanisme s’installe en espace noyau sur le système d’exploitation. Dans le sillage de l’énorme panne CrowdStrike, une partie du public est devenue plus sensible sur ces questions. Steam proposant une liste des solutions anti-triche les plus courantes, la case sera automatiquement cochée le cas échéant.

• Panne CrowdStrike : comment une simple mise à jour a-t-elle entrainé une telle pagaille ?

En outre, des informations devront être données sur la manière de désinstaller le logiciel anti-triche: « Votre script de désinstallation devrait déjà nettoyer tous les fichiers créés ou modifiés par votre processus d’installation. Cependant, nous savons que certains jeux plus anciens ne suppriment pas complètement les fichiers lors de la désinstallation et qu’il n’est plus possible de mettre à jour le jeu. Les joueurs doivent savoir si les utilitaires anti-triche ont laissé des fichiers derrière eux, en particulier ceux qui modifient les fichiers du noyau du système d’exploitation », explique Valve.

Valve ajoute que les jeux en cours d’examen pour publication sur Steam doivent posséder ces informations. Si elles n’y sont pas, l’examen n’aboutira pas et il sera demandé des renseignements supplémentaires. Et ce, même si ces derniers étaient intégrés dans le descriptif général. Valve tient à ce que l’information soit présente dans l’encart prévu.

On « n’achète pas » un jeu

Puisque l’on évoque la question des informations affichées par Steam, la boutique a été contrainte il y a quelques semaines d’en ajouter une autre : que l’on n’achète pas vraiment un jeu et que le paiement ne donne droit qu’à une licence d’utilisation. Plus précisément : « L’achat d’un produit numérique accorde une licence pour le produit sur Steam ».

Bien que Steam affiche désormais cette mention partout dans le monde, c’est la conséquence d’une loi californienne à venir. Signée le 26 septembre par le gouverneur, elle est estampillée AB 2426 et s’attaque notamment à la publicité mensongère sur les biens numériques.

La dernière version de Chrome s’est équipée de plusieurs ajouts liés aux performances et à leur surveillance. La principale nouveauté peut se trouver dans la section Performances des paramètres du navigateur.

La ligne « Alertes concernant les problèmes de performances » est active par défaut et va prévenir l’utilisateur quand le comportement de certains onglets devient erratique. La grande consommation de ressources est alors signalée quand elle peut avoir un impact sur l’utilisation de l’onglet en cours.

La fonction pointe alors les onglets fautifs et propose de les désactiver. Pour rappel, cette fonction – désormais commune à tous les principaux navigateurs – décharge les ressources consommées par les onglets. Elles ne sont rechargées que si l’on revient dessus. Ce mécanisme est utilisé pour l’endormissement des onglets après un certain temps d’inactivité. Les onglets désactivés sont affichés avec un cercle en pointillés autour de leur icône.

Parallèlement, l’économiseur de mémoire peut désormais être paramétré selon trois crans :

• Modéré :  désactive les onglets en fonction des besoins du système
• Équilibré : tient compte des habitudes de navigation et des besoins du système
• Maximal : désactive les onglets lorsque vous cessez de les utiliser, plus rapidement que les deux autres modes

La fonction est désactivée par défaut. Lorsqu’elle est activée, elle est réglée sur Équilibré, qui s’affiche avec une mention « Recommandé ».

Enfin, il est possible d’établir des paramètres plus personnalisés. Par exemple, on peut indiquer les sites devant toujours rester actifs. Les cercles en pointillés peuvent être désactivés, de même que la quantité de mémoire consommée dans le panneau qui s’affiche au survol d’un onglet par la souris.

Clique, on va te dépanner

Dans une communication du 29 octobre, Microsoft a averti d’une importante campagne de spear phishing – une forme de phishing très ciblé – contre des milliers de personnes aux États-Unis. Le groupe malveillant russe Midnight Blizzard serait derrière l’attaque. Signe particulier : des fichiers RDP ont été utilisés pour la première fois.

Microsoft est en guerre contre le groupe Midnight Blizzard (aussi appelé Nobelium, APT29 ou Cozy Bear) depuis plusieurs années maintenant. En aout 2023, par exemple, la société prévenait que le groupe, décrit par plusieurs sociétés de sécurité comme proche du gouvernement russe, s’était lancé dans une vaste campagne de phishing sur Teams.

Mais c’est surtout Midnight Blizzard que l’on a retrouvé derrière l’opération qui a mené au piratage de plusieurs boites mails de dirigeants de l’entreprise. Les pirates ont ensuite tenté de récupérer des informations internes et du code source. Google les a même épinglés pour leurs techniques très proches de sociétés comme Intellexa et NSO (auteur du fameux Pegasus).

Dans un billet de sécurité publié le 29 octobre, Microsoft prévient cette fois que Midnight Blizzard est à l’origine d’une nouvelle campagne. Cette fois cependant, il s’agit de spear phishing (ou harponnage), une forme très personnalisée de phishing, dans le but de récupérer des informations sensibles. L’entreprise dit communiquer sur le sujet « pour informer le public et perturber l’activité de cet acteur malveillant ».

Une campagne très ciblée

L’opération aurait débuté le 22 octobre. Des emails ont été envoyés à plusieurs milliers de personnes réparties dans une centaine d’organisations diverses. Des membres du gouvernement américain, du personnel d’universités, de la défense, d’ONG et d’autres secteurs ont ainsi été visés. « Nous estimons que l’objectif de cette opération est probablement la collecte de renseignements », indique Microsoft.

Selon l’entreprise, l’opération – toujours en cours – est dans la lignée des précédentes de Midnight Blizzard, que ce soit au travers des cibles ou de la finalité. « Ses opérations impliquent souvent la compromission de comptes valides et, dans certains cas très ciblés, des techniques avancées pour compromettre les mécanismes d’authentification au sein d’une organisation afin d’élargir l’accès et d’échapper à la détection », explique ainsi l’éditeur.

Les emails envoyés utilisent des techniques d’ingénierie sociale en lien avec Microsoft, Amazon Web Services et même le concept de confiance zéro. On apprécie bien sûr l’ironie de la situation, devant un texte fait pour inspirer la confiance. Le contenu de ces courriels semblerait à s’y méprendre comme envoyé par des employés de Microsoft.

Comment les pirates ont-ils pu cibler ces personnes spécifiques ? Grâce à de précédentes compromissions, qui ont permis aux pirates de collecter les adresses emails.

La technique employée, en revanche, est nouvelle

Microsoft a observé dans la campagne une technique qu’elle n’avait encore jamais vue. La société explique ainsi que les emails contiennent un fichier .rdp. RDP, pour Remote Desktop Protocol, pointe vers l’outil d’accès à distance, qui peut également servir à faire de la prise de contrôle. Ce type d’outil est très courant et simplifie beaucoup la gestion d’un parc ou même le dépannage à distance d’un proche.

Dans le cas présent, le fichier est signé avec un certificat obtenu auprès de Let’s Encrypt. Il contient plusieurs paramètres décrits comme « sensibles », pouvant entrainer une exposition des informations chez le client. S’il est ouvert, le fichier connecte ce dernier à un serveur contrôlé par Midnight Blizzard. Un mapping bidirectionnel entre le client et le serveur est également mis en place. Tout le contenu des disques et du presse-papiers, l’ensemble des périphériques connectés, l’audio, les équipements comme les lecteurs de cartes ainsi que les fonctions d’authentification deviennent alors accessibles par les pirates.

La session n’a pas d’autre but que de dérober des informations et/ou d’installer des malwares. Ces derniers se chargeront alors d’entretenir le lien entre la machine contaminée et le serveur. En dépit des soins pris par les pirates pour personnaliser l’attaque, on peut voir dans les images fournies par Microsoft que l’ouverture du fichier .rdp provoque l’apparition d’une fenêtre indiquant qu’un test va avoir lieu. Celui-ci est censé mesurer la stabilité d’une connexion à AWS Secure Storage. Ce pourrait être effectivement le cas, mais le fait de mettre en avant Amazon Web Services dans un email prétendument envoyé par un employé de Microsoft peut interroger des personnes prudentes.

De nombreuses mesures pour atténuer les risques

Microsoft dresse une longue liste de mesures que les structures peuvent mettre en place pour ne pas tomber dans ce genre de piège. Bien que l’ingénierie sociale ne puisse jamais complètement être éliminée, des règles peuvent être mises en place pour casser certains scénarios ou en atténuer les effets.

L’utilisation d’un pare-feu pour empêcher ou limiter les connexions RDP sortantes vers des réseaux externes ou publics est ainsi en première place des suggestions. Suit rapidement l’authentification multifactorielle (MFA), quand un autre appareil est utilisé pour confirmer une demande d’authentification. Même si Microsoft décrit la mesure comme un « pilier essentiel de la sécurité », la même entreprise avait montré en aout 2022 qu’elle n’était pas non plus l’alpha et l’oméga de la protection. Mais les moyens à mettre en œuvre pour la contourner sont aussi plus importants. Microsoft recommande à ce titre d’éviter si possible les téléphones pour éviter les risques liés à la carte SIM.

Si l’entreprise en profite pour mettre en avant certains de ses produits et services, tel que Defender SmartScreen dans Edge, les conseils donnés restent assez généraux. Elle recommande par exemple la mise en œuvre de l’accès conditionnel avec authentification forte. L’accès conditionnel permet de n’autoriser un appareil à se connecter au réseau que s’il répond à des critères spécifiques, comme sa géolocalisation, l’installation d’une certaine mise à jour ou encore l’application de règles précises. L’authentification forte permettra de confirmer une identité avant l’accès à une application critique.

Suivent une série de conseils pour configurer certains produits courants, comme Office 365. Pour ce dernier, Microsoft conseille ainsi d’activer les liens et pièces jointes sécurisés, ainsi que la Zero-hour auto purge (ZAP). Cette dernière permet la récupération d’informations sur les nouvelles campagnes malveillantes. Elle peut alors proactivement mettre en quarantaine les emails considérés comme suspicieux et rétroactivement isoler ceux déjà présents dans les boites de réception.

Dans un billet publié mardi par GitHub, on a appris que l’usage du Python avait désormais dépassé celui de JavaScript. « Python est fortement utilisé dans les domaines de l’apprentissage automatique, de la science des données, de l’informatique scientifique, des loisirs et de la domotique, entre autres », explique l’entreprise. Dès lors, il n’est pas étonnant de voir le Python grimper en flèche, au vu de l’explosion des développements autour de l’IA.

La société note quand même que les « langages de programmation de systèmes, comme Rust, sont également en hausse, même si Python, JavaScript, TypeScript et Java restent les langages les plus utilisés sur GitHub ».

C’est probablement cette popularité que des pirates ont voulu exploiter. Dans un billet publié hier, la société de sécurité Checkmark explique qu’un paquet nommé CryptoAITools a été publié sur le Python Package Index (PyPI) et de faux dépôts GitHub. Il a été téléchargé 1 300 fois avant d’être supprimé de l’Index. Il a donc pu accomplir un certain nombre de méfaits avant d’être détecté.

Il est conçu pour Windows et macOS et s’active dès l’installation ; grâce à un code présent dans son fichier __init__.py. Il présente une interface trompeuse, conçue pour duper les utilisateurs pendant qu’il active ses fonctions malveillantes.

Le code peut être utilisé pour récupérer d’autres charges utiles depuis le site coinsw[.]app, qui avait toutes les apparences d’un vrai site, pour tromper la vigilance des personnes qui seraient allées voir. Le site faisait la promotion d’un bot d’échange de cryptomonnaies.

Le malware est conçu pour voler des données personnelles et puiser dans les actifs des portefeuilles de cryptomonnaies. Les informations ainsi récupérées sont nombreuses : portefeuilles de crypto-monnaies (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), mots de passe enregistrés, cookies, historique de navigation, extensions de cryptomonnaies, clés SSH, fichiers stockés dans les répertoires Téléchargements, Documents, Bureau qui référencent des cryptomonnaies, informations financières…

« La campagne de logiciels malveillants CryptoAITools a de graves conséquences pour les victimes et la communauté des crypto-monnaies au sens large. Les utilisateurs qui ont mis en vedette ou forké le dépôt malveillant ‘Meme-Token-Hunter-Bot’ sont des victimes potentielles, ce qui élargit considérablement la portée de l’attaque », indique Checkmark.

La société a également découvert un dépôt GitHub, nommé Meme Token Hunter Bot, qui distribue le même malware. Le dépôt est toujours en ligne, et on peut voir qu’il a été forké une fois et mis en favori dix fois.

La dernière version de Chrome s’est équipée de plusieurs ajouts liés aux performances et à leur surveillance. La principale nouveauté peut se trouver dans la section Performances des paramètres du navigateur.

La ligne « Alertes concernant les problèmes de performances » est active par défaut et va prévenir l’utilisateur quand le comportement de certains onglets devient erratique. La grande consommation de ressources est alors signalée quand elle peut avoir un impact sur l’utilisation de l’onglet en cours.

La fonction pointe alors les onglets fautifs et propose de les désactiver. Pour rappel, cette fonction – désormais commune à tous les principaux navigateurs – décharge les ressources consommées par les onglets. Elles ne sont rechargées que si l’on revient dessus. Ce mécanisme est utilisé pour l’endormissement des onglets après un certain temps d’inactivité. Les onglets désactivés sont affichés avec un cercle en pointillés autour de leur icône.

Parallèlement, l’économiseur de mémoire peut désormais être paramétré selon trois crans :

• Modéré :  désactive les onglets en fonction des besoins du système
• Équilibré : tient compte des habitudes de navigation et des besoins du système
• Maximal : désactive les onglets lorsque vous cessez de les utiliser, plus rapidement que les deux autres modes

La fonction est désactivée par défaut. Lorsqu’elle est activée, elle est réglée sur Équilibré, qui s’affiche avec une mention « Recommandé ».

Enfin, il est possible d’établir des paramètres plus personnalisés. Par exemple, on peut indiquer les sites devant toujours rester actifs. Les cercles en pointillés peuvent être désactivés, de même que la quantité de mémoire consommée dans le panneau qui s’affiche au survol d’un onglet par la souris.

Clique, on va te dépanner

Dans une communication du 29 octobre, Microsoft a averti d’une importante campagne de spear phishing – une forme de phishing très ciblé – contre des milliers de personnes aux États-Unis. Le groupe malveillant russe Midnight Blizzard serait derrière l’attaque. Signe particulier : des fichiers RDP ont été utilisés pour la première fois.

Microsoft est en guerre contre le groupe Midnight Blizzard (aussi appelé Nobelium, APT29 ou Cozy Bear) depuis plusieurs années maintenant. En aout 2023, par exemple, la société prévenait que le groupe, décrit par plusieurs sociétés de sécurité comme proche du gouvernement russe, s’était lancé dans une vaste campagne de phishing sur Teams.

Mais c’est surtout Midnight Blizzard que l’on a retrouvé derrière l’opération qui a mené au piratage de plusieurs boites mails de dirigeants de l’entreprise. Les pirates ont ensuite tenté de récupérer des informations internes et du code source. Google les a même épinglés pour leurs techniques très proches de sociétés comme Intellexa et NSO (auteur du fameux Pegasus).

Dans un billet de sécurité publié le 29 octobre, Microsoft prévient cette fois que Midnight Blizzard est à l’origine d’une nouvelle campagne. Cette fois cependant, il s’agit de spear phishing (ou harponnage), une forme très personnalisée de phishing, dans le but de récupérer des informations sensibles. L’entreprise dit communiquer sur le sujet « pour informer le public et perturber l’activité de cet acteur malveillant ».

Une campagne très ciblée

L’opération aurait débuté le 22 octobre. Des emails ont été envoyés à plusieurs milliers de personnes réparties dans une centaine d’organisations diverses. Des membres du gouvernement américain, du personnel d’universités, de la défense, d’ONG et d’autres secteurs ont ainsi été visés. « Nous estimons que l’objectif de cette opération est probablement la collecte de renseignements », indique Microsoft.

Selon l’entreprise, l’opération – toujours en cours – est dans la lignée des précédentes de Midnight Blizzard, que ce soit au travers des cibles ou de la finalité. « Ses opérations impliquent souvent la compromission de comptes valides et, dans certains cas très ciblés, des techniques avancées pour compromettre les mécanismes d’authentification au sein d’une organisation afin d’élargir l’accès et d’échapper à la détection », explique ainsi l’éditeur.

Les emails envoyés utilisent des techniques d’ingénierie sociale en lien avec Microsoft, Amazon Web Services et même le concept de confiance zéro. On apprécie bien sûr l’ironie de la situation, devant un texte fait pour inspirer la confiance. Le contenu de ces courriels semblerait à s’y méprendre comme envoyé par des employés de Microsoft.

Comment les pirates ont-ils pu cibler ces personnes spécifiques ? Grâce à de précédentes compromissions, qui ont permis aux pirates de collecter les adresses emails.

La technique employée, en revanche, est nouvelle

Microsoft a observé dans la campagne une technique qu’elle n’avait encore jamais vue. La société explique ainsi que les emails contiennent un fichier .rdp. RDP, pour Remote Desktop Protocol, pointe vers l’outil d’accès à distance, qui peut également servir à faire de la prise de contrôle. Ce type d’outil est très courant et simplifie beaucoup la gestion d’un parc ou même le dépannage à distance d’un proche.

Dans le cas présent, le fichier est signé avec un certificat obtenu auprès de Let’s Encrypt. Il contient plusieurs paramètres décrits comme « sensibles », pouvant entrainer une exposition des informations chez le client. S’il est ouvert, le fichier connecte ce dernier à un serveur contrôlé par Midnight Blizzard. Un mapping bidirectionnel entre le client et le serveur est également mis en place. Tout le contenu des disques et du presse-papiers, l’ensemble des périphériques connectés, l’audio, les équipements comme les lecteurs de cartes ainsi que les fonctions d’authentification deviennent alors accessibles par les pirates.

La session n’a pas d’autre but que de dérober des informations et/ou d’installer des malwares. Ces derniers se chargeront alors d’entretenir le lien entre la machine contaminée et le serveur. En dépit des soins pris par les pirates pour personnaliser l’attaque, on peut voir dans les images fournies par Microsoft que l’ouverture du fichier .rdp provoque l’apparition d’une fenêtre indiquant qu’un test va avoir lieu. Celui-ci est censé mesurer la stabilité d’une connexion à AWS Secure Storage. Ce pourrait être effectivement le cas, mais le fait de mettre en avant Amazon Web Services dans un email prétendument envoyé par un employé de Microsoft peut interroger des personnes prudentes.

De nombreuses mesures pour atténuer les risques

Microsoft dresse une longue liste de mesures que les structures peuvent mettre en place pour ne pas tomber dans ce genre de piège. Bien que l’ingénierie sociale ne puisse jamais complètement être éliminée, des règles peuvent être mises en place pour casser certains scénarios ou en atténuer les effets.

L’utilisation d’un pare-feu pour empêcher ou limiter les connexions RDP sortantes vers des réseaux externes ou publics est ainsi en première place des suggestions. Suit rapidement l’authentification multifactorielle (MFA), quand un autre appareil est utilisé pour confirmer une demande d’authentification. Même si Microsoft décrit la mesure comme un « pilier essentiel de la sécurité », la même entreprise avait montré en aout 2022 qu’elle n’était pas non plus l’alpha et l’oméga de la protection. Mais les moyens à mettre en œuvre pour la contourner sont aussi plus importants. Microsoft recommande à ce titre d’éviter si possible les téléphones pour éviter les risques liés à la carte SIM.

Si l’entreprise en profite pour mettre en avant certains de ses produits et services, tel que Defender SmartScreen dans Edge, les conseils donnés restent assez généraux. Elle recommande par exemple la mise en œuvre de l’accès conditionnel avec authentification forte. L’accès conditionnel permet de n’autoriser un appareil à se connecter au réseau que s’il répond à des critères spécifiques, comme sa géolocalisation, l’installation d’une certaine mise à jour ou encore l’application de règles précises. L’authentification forte permettra de confirmer une identité avant l’accès à une application critique.

Suivent une série de conseils pour configurer certains produits courants, comme Office 365. Pour ce dernier, Microsoft conseille ainsi d’activer les liens et pièces jointes sécurisés, ainsi que la Zero-hour auto purge (ZAP). Cette dernière permet la récupération d’informations sur les nouvelles campagnes malveillantes. Elle peut alors proactivement mettre en quarantaine les emails considérés comme suspicieux et rétroactivement isoler ceux déjà présents dans les boites de réception.

Dans un billet publié mardi par GitHub, on a appris que l’usage du Python avait désormais dépassé celui de JavaScript. « Python est fortement utilisé dans les domaines de l’apprentissage automatique, de la science des données, de l’informatique scientifique, des loisirs et de la domotique, entre autres », explique l’entreprise. Dès lors, il n’est pas étonnant de voir le Python grimper en flèche, au vu de l’explosion des développements autour de l’IA.

La société note quand même que les « langages de programmation de systèmes, comme Rust, sont également en hausse, même si Python, JavaScript, TypeScript et Java restent les langages les plus utilisés sur GitHub ».

C’est probablement cette popularité que des pirates ont voulu exploiter. Dans un billet publié hier, la société de sécurité Checkmark explique qu’un paquet nommé CryptoAITools a été publié sur le Python Package Index (PyPI) et de faux dépôts GitHub. Il a été téléchargé 1 300 fois avant d’être supprimé de l’Index. Il a donc pu accomplir un certain nombre de méfaits avant d’être détecté.

Il est conçu pour Windows et macOS et s’active dès l’installation ; grâce à un code présent dans son fichier __init__.py. Il présente une interface trompeuse, conçue pour duper les utilisateurs pendant qu’il active ses fonctions malveillantes.

Le code peut être utilisé pour récupérer d’autres charges utiles depuis le site coinsw[.]app, qui avait toutes les apparences d’un vrai site, pour tromper la vigilance des personnes qui seraient allées voir. Le site faisait la promotion d’un bot d’échange de cryptomonnaies.

Le malware est conçu pour voler des données personnelles et puiser dans les actifs des portefeuilles de cryptomonnaies. Les informations ainsi récupérées sont nombreuses : portefeuilles de crypto-monnaies (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), mots de passe enregistrés, cookies, historique de navigation, extensions de cryptomonnaies, clés SSH, fichiers stockés dans les répertoires Téléchargements, Documents, Bureau qui référencent des cryptomonnaies, informations financières…

« La campagne de logiciels malveillants CryptoAITools a de graves conséquences pour les victimes et la communauté des crypto-monnaies au sens large. Les utilisateurs qui ont mis en vedette ou forké le dépôt malveillant ‘Meme-Token-Hunter-Bot’ sont des victimes potentielles, ce qui élargit considérablement la portée de l’attaque », indique Checkmark.

La société a également découvert un dépôt GitHub, nommé Meme Token Hunter Bot, qui distribue le même malware. Le dépôt est toujours en ligne, et on peut voir qu’il a été forké une fois et mis en favori dix fois.

Après les iMac et le Mac mini, c’est au tour des MacBook Pro de passer à la moulinette de la puce M4. Cette fois, les portables ont accès aux trois variantes de la puce : M4, M4 Pro et M4 Max. Comme pour les générations précédentes, c’est bien sûr la version Max qui offre les meilleures performances.

La puce M4 Max comporte jusqu’à 16 cœurs : 12 performants (2 de plus que sur la version Pro) et 4 efficaces. Si le M4 Pro voyait ses cœurs GPU doubler pour passer de 10 à 20, c’est encore le cas sur la version Max, avec jusqu’à 40 cœurs GPU, soit le même nombre que dans les versions précédentes. En revanche, GPU doublé oblige, la puce intègre deux codeurs/décodeurs vidéo.

La bande passante de la mémoire reste sur 512 bits, mais passe de 410 Go/s à un maximum 546 Go/s. La puce M4 Max peut supporter jusqu’à 128 Go de RAM. On retrouve la compatibilité Thunderbolt 5. Le Neural Engine garde ses 16 cœurs. Nous reviendrons prochainement plus en détail sur les caractéristiques de cette puce.

Quant aux MacBook Pro, la présentation de la gamme n’a pas changé. On retrouve toujours six configurations de base proposées : trois en M4, deux en M4 Pro et une M4 Max. La version 14 pouces du portable peut être configurée en M4 classique ou Pro. En revanche, la version 16 pouces ne peut avoir que du Pro au minimum.

La mémoire et la taille du SSD dépendent de la machine visée. On trouve au minimum 16 Go de RAM et 512 Go de SSD sur le MacBook Pro M4 en 14 pouces. En M4 Pro, la quantité minimale de RAM passe à 24 Go, toujours en 512 Go. Quant aux versions M4 Max, il y en a deux. La première intègre une puce à 14 cœurs CPU et 32 cœurs GPU, 36 Go de RAM et 1 To de SSD, et existe en modèles 14 et 16 pouces. La seconde possède le M4 Max « complet » avec ses 16 cœurs CPU et 40 cœurs GPU, épaulés par 48 Go de RAM et 1 To de SSD, et n’existe qu’en 16 pouces.

Tous les MacBook Pro présentent de nombreuses caractéristiques communes : trois ports Thunderbolt 4 (sur les modèles M4) ou 5 (sur les modèles Pro et Max), un port HDMI, un lecteur de carte SDXC, une prise casque, un port MagSafe 3, TouchID intégré au clavier, une luminosité de 1 000 nits, une autonomie pouvant grimper jusqu’à 24 heures (contre 22 sur la génération précédente) en lecture vidéo, du Wi-Fi 6E (dommage) et du Bluetooth 5.3. Tout ce petit monde est bien sûr taillé pour Apple Intelligence.

En ce qui concerne les prix, nous ne sommes plus sur le tarif d’appel du Mac mini et ses 700 euros (qui certes n’avait ni écran ni périphériques). Le plus petit modèle de MacBook Pro M4 est vendu au prix de 1 899 euros. Quand on passe au M4 Pro, le tarif minimal devient 2 399 euros pour du 14 pouces et 2 899 euros pour du 16 pouces (mais dans une version avec plus de cœurs). Quant au M4 Max, il vous en coutera au moins 3 799 euros en 14 pouces 4 099 euros en 16 pouces.

Les précommandes sont ouvertes, pour des livraisons débutant le 8 novembre.

À noter que même si Apple ne le proclame pas, tous les MacBook Air (actuellement équipés d’une puce M3) viennent de voir leur mémoire doubler et passer à 16 Go, sans modification du tarif.

Après les iMac et le Mac mini, c’est au tour des MacBook Pro de passer à la moulinette de la puce M4. Cette fois, les portables ont accès aux trois variantes de la puce : M4, M4 Pro et M4 Max. Comme pour les générations précédentes, c’est bien sûr la version Max qui offre les meilleures performances.

La puce M4 Max comporte jusqu’à 16 cœurs : 12 performants (2 de plus que sur la version Pro) et 4 efficaces. Si le M4 Pro voyait ses cœurs GPU doubler pour passer de 10 à 20, c’est encore le cas sur la version Max, avec jusqu’à 40 cœurs GPU, soit le même nombre que dans les versions précédentes. En revanche, GPU doublé oblige, la puce intègre deux codeurs/décodeurs vidéo.

La bande passante de la mémoire reste sur 512 bits, mais passe de 410 Go/s à un maximum 546 Go/s. La puce M4 Max peut supporter jusqu’à 128 Go de RAM. On retrouve la compatibilité Thunderbolt 5. Le Neural Engine garde ses 16 cœurs. Nous reviendrons prochainement plus en détail sur les caractéristiques de cette puce.

Quant aux MacBook Pro, la présentation de la gamme n’a pas changé. On retrouve toujours six configurations de base proposées : trois en M4, deux en M4 Pro et une M4 Max. La version 14 pouces du portable peut être configurée en M4 classique ou Pro. En revanche, la version 16 pouces ne peut avoir que du Pro au minimum.

La mémoire et la taille du SSD dépendent de la machine visée. On trouve au minimum 16 Go de RAM et 512 Go de SSD sur le MacBook Pro M4 en 14 pouces. En M4 Pro, la quantité minimale de RAM passe à 24 Go, toujours en 512 Go. Quant aux versions M4 Max, il y en a deux. La première intègre une puce à 14 cœurs CPU et 32 cœurs GPU, 36 Go de RAM et 1 To de SSD, et existe en modèles 14 et 16 pouces. La seconde possède le M4 Max « complet » avec ses 16 cœurs CPU et 40 cœurs GPU, épaulés par 48 Go de RAM et 1 To de SSD, et n’existe qu’en 16 pouces.

Tous les MacBook Pro présentent de nombreuses caractéristiques communes : trois ports Thunderbolt 4 (sur les modèles M4) ou 5 (sur les modèles Pro et Max), un port HDMI, un lecteur de carte SDXC, une prise casque, un port MagSafe 3, TouchID intégré au clavier, une luminosité de 1 000 nits, une autonomie pouvant grimper jusqu’à 24 heures (contre 22 sur la génération précédente) en lecture vidéo, du Wi-Fi 6E (dommage) et du Bluetooth 5.3. Tout ce petit monde est bien sûr taillé pour Apple Intelligence.

En ce qui concerne les prix, nous ne sommes plus sur le tarif d’appel du Mac mini et ses 700 euros (qui certes n’avait ni écran ni périphériques). Le plus petit modèle de MacBook Pro M4 est vendu au prix de 1 899 euros. Quand on passe au M4 Pro, le tarif minimal devient 2 399 euros pour du 14 pouces et 2 899 euros pour du 16 pouces (mais dans une version avec plus de cœurs). Quant au M4 Max, il vous en coutera au moins 3 799 euros en 14 pouces 4 099 euros en 16 pouces.

Les précommandes sont ouvertes, pour des livraisons débutant le 8 novembre.

À noter que même si Apple ne le proclame pas, tous les MacBook Air (actuellement équipés d’une puce M3) viennent de voir leur mémoire doubler et passer à 16 Go, sans modification du tarif.

Sans dessin acide

La gestion de Flutter, un framework multiplateforme chez Google, semble poser problème à un nombre croissant de développeurs. Au point que Matt Carroll, anciennement employé chez Google et ayant travaillé sur le cadriciel, en a annoncé un fork.

Flutter est un kit de développement multiplateforme open source (sous licence BSD). Créé par Google, il a d’abord été conçu pour les applications mobiles, mais a pris du galon avec les années. On se souvient notamment que c’est Canonical qui s’était chargé de son portage sur Linux. La société l’a ensuite utilisé pour réécrire complètement l’installeur de la distribution Ubuntu.

Mais l’un des anciens développeurs du SDK, Matt Carroll, resté sous forme de contributeur externe, a annoncé récemment la création d’un fork. Pour rappel, le terme peut être traduit par « bifurcation » ou « embranchement ». Il est utilisé dans le cas où le code source d’un projet est copié pour servir de base à un nouveau projet. L’opération est extrêmement courante dans le monde du libre et alimente l’émulation autour du développement logiciel. Firefox a par exemple plusieurs forks : LibreWolf, Waterfox, Iceweasel…

Dans le cas présent, Matt Carroll a annoncé un fork de Flutter le 27 octobre, citant de vastes problèmes chez Google et une réduction continuelle de l’équipe. Le nom du nouveau projet ? Flock (sans rapport avec notre dessinateur).

Un trop grand nombre de problèmes

Matt Carroll fait une longue liste des problèmes observés sur ces dernières années. Son principal grief est une équipe de développement manquant singulièrement de personnel. Il l’estime à une cinquantaine de personnes (chiffre gelé en 2023), alors que le nombre de développeurs utilisant Flutter serait d’un million, une estimation basse et conservatrice selon lui. Le ratio serait alors d’un membre de l’équipe pour 20 000 développeurs, ce qui ne peut pas fonctionner, d’après Matt Carroll.

Il cite plusieurs exemples, dont le temps de traitement des tickets de support. Il affirme qu’il peut s’écouler parfois plusieurs années entre la création d’un ticket et le moment où l’équipe s’en empare pour l’examiner. Or, avec le temps, les informations qui avaient servi à le créer ont peut-être été perdues. Le développeur a pu passer à autre chose et oublier le contexte du problème signalé.

« D’après mon expérience, lorsque cela m’arrive, j’ai cessé depuis longtemps de travailler avec le client à l’origine du problème initial. J’ai écrit des centaines de milliers de lignes de code depuis lors et, souvent, je ne me souviens même pas d’avoir déposé le problème, sans parler des détails obscurs liés au problème initial. L’équipe ne peut pas corriger le bug sans mes informations, et cela fait trop longtemps que je ne lui en ai pas fournies. Le bug est donc enterré et sera redécouvert par un futur développeur », explique Matt Carroll.

L’ancien employé de Google cite également les changements de priorités dans l’entreprise, avec des yeux largement tournés vers l’intelligence artificielle. Google vient d’ailleurs de mettre en avant que plus d’un quart du nouveau code écrit par ses développeurs l’a été par une IA générative. Les plateformes desktop ne sont ainsi plus considérées comme des priorités et trois des six plateformes sont en mode maintenance. Le desktop est selon Carroll le plus grand gâchis de Flutter. Certains des bugs non corrigés étaient suffisamment importants pour que les clients changent de crèmerie.

Il est vrai que les questions autour de Flutter commençaient à s’accumuler. La dernière Google I/O en mai a renforcé les inquiétudes. De nouvelles versions avaient bien été proposées pour Flutter (3.22) et Dart (3.4), mais l’arrivée de Kotlin Multiplatform les a éclipsés. Plusieurs médias avaient noté ce changement, dont DevClass. En outre, l’ancien directeur de l’équipe Flutter, Tim Sneath (ancien transfuge de Microsoft), est parti chez Apple en juin 2023.

Le choix du fork

Matt Carroll indique que la question d’une coopération massive avec des développeurs externes aurait pu être envisagée. Le problème est cependant le même, car l’afflux des participations aurait été géré par la même équipe qui manque actuellement de main d’œuvre pour s’occuper des tickets du support. Or, la révision du code prend du temps. En outre, de nombreux développeurs auraient trouvé la communication avec l’équipe Flutter « frustrante, voire impossible ».

Que propose-t-il ? Flock, un fork de Flutter imaginé comme un catalyseur. Il décrit en effet le projet comme un « Flutter+ », non comme un remplaçant. Il espère attirer les contributions pour faire de Flock un outil dont les bugs seront corrigés rapidement, tout comme l’ajout de nouvelles fonctions.

« En d’autres termes, nous ne voulons pas, ou avons l’intention, de forker la communauté Flutter. Flock restera constamment à jour avec Flutter. Flock ajoutera d’importantes corrections de bugs et des fonctionnalités populaires de la communauté, que l’équipe de Flutter ne peut pas ou ne veut pas implémenter », indique Matt Carroll.

Dans les grandes lignes, chaque nouvelle version de Flutter verra ses nouveautés portées vers Flock. Ce dernier ira dans le sens que sa communauté de développeurs estimera la plus logique, s’occupant d’abord de tous les bugs en attente, tout en partageant le code correcteur avec l’équipe de Flutter, qui sera alors libre de l’intégrer ou non.

Sa priorité pour l’instant est de créer un miroir de Flutter pour refléter automatiquement les branches master, beta et stable. Il faudra ensuite que Flock puisse construire le moteur d’exécution. Matt Carroll invite les développeurs à participer et à tester leurs applications sur Flock. Pour l’instant, puisqu’il s’agira d’une copie miroir, elles devraient fonctionner sans modification.

Des réactions mitigées

Que ce soit sur Hacker News ou Reddit, les réactions sont en majorité négatives. Beaucoup estiment que les problèmes avancés par Matt Carroll sont réels et sérieux. Cependant, la plupart pensent que dans ce cas précis, la création d’un fork va diviser les ressources et ne servira pas.

« Mais je suis sceptique quant à sa suggestion d’accueillir de nouveaux changements dans un fork de Flutter et ainsi gagner en vitesse de développement. Cela nécessiterait des personnes qui souhaitent réellement travailler sur de nouvelles fonctionnalités. Je doute que ces personnes existent. Du moins, qu’elles existent en nombre suffisant pour qu’un fork soit plus rapide – en termes de fonctionnalités – que Google lui-même », estime par exemple l’un d’entre eux sur Reddit.

En revanche, sur X, l’annonce a créé plus d’engouement, Matt Carroll ayant répondu à de nombreuses questions, certaines très concrètes. Par exemple, Remi Rousselet se demandait hier comment gérer les paquets si Flock devient aussi populaire que Flutter : faudra-t-il que leurs auteurs supportent systématiquement les deux ? Matt Carroll lui a répondu que la conduite serait de recommander Flock pour les applications et Flutter pour les paquets. À un autre, il a répondu qu’en cas de conflit d’approche sur une fonction, la version Flock serait supprimée.

Sans dessin acide

La gestion de Flutter, un framework multiplateforme chez Google, semble poser problème à un nombre croissant de développeurs. Au point que Matt Carroll, anciennement employé chez Google et ayant travaillé sur le cadriciel, en a annoncé un fork.

Flutter est un kit de développement multiplateforme open source (sous licence BSD). Créé par Google, il a d’abord été conçu pour les applications mobiles, mais a pris du galon avec les années. On se souvient notamment que c’est Canonical qui s’était chargé de son portage sur Linux. La société l’a ensuite utilisé pour réécrire complètement l’installeur de la distribution Ubuntu.

Mais l’un des anciens développeurs du SDK, Matt Carroll, resté sous forme de contributeur externe, a annoncé récemment la création d’un fork. Pour rappel, le terme peut être traduit par « bifurcation » ou « embranchement ». Il est utilisé dans le cas où le code source d’un projet est copié pour servir de base à un nouveau projet. L’opération est extrêmement courante dans le monde du libre et alimente l’émulation autour du développement logiciel. Firefox a par exemple plusieurs forks : LibreWolf, Waterfox, Iceweasel…

Dans le cas présent, Matt Carroll a annoncé un fork de Flutter le 27 octobre, citant de vastes problèmes chez Google et une réduction continuelle de l’équipe. Le nom du nouveau projet ? Flock (sans rapport avec notre dessinateur).

Un trop grand nombre de problèmes

Matt Carroll fait une longue liste des problèmes observés sur ces dernières années. Son principal grief est une équipe de développement manquant singulièrement de personnel. Il l’estime à une cinquantaine de personnes (chiffre gelé en 2023), alors que le nombre de développeurs utilisant Flutter serait d’un million, une estimation basse et conservatrice selon lui. Le ratio serait alors d’un membre de l’équipe pour 20 000 développeurs, ce qui ne peut pas fonctionner, d’après Matt Carroll.

Il cite plusieurs exemples, dont le temps de traitement des tickets de support. Il affirme qu’il peut s’écouler parfois plusieurs années entre la création d’un ticket et le moment où l’équipe s’en empare pour l’examiner. Or, avec le temps, les informations qui avaient servi à le créer ont peut-être été perdues. Le développeur a pu passer à autre chose et oublier le contexte du problème signalé.

« D’après mon expérience, lorsque cela m’arrive, j’ai cessé depuis longtemps de travailler avec le client à l’origine du problème initial. J’ai écrit des centaines de milliers de lignes de code depuis lors et, souvent, je ne me souviens même pas d’avoir déposé le problème, sans parler des détails obscurs liés au problème initial. L’équipe ne peut pas corriger le bug sans mes informations, et cela fait trop longtemps que je ne lui en ai pas fournies. Le bug est donc enterré et sera redécouvert par un futur développeur », explique Matt Carroll.

L’ancien employé de Google cite également les changements de priorités dans l’entreprise, avec des yeux largement tournés vers l’intelligence artificielle. Google vient d’ailleurs de mettre en avant que plus d’un quart du nouveau code écrit par ses développeurs l’a été par une IA générative. Les plateformes desktop ne sont ainsi plus considérées comme des priorités et trois des six plateformes sont en mode maintenance. Le desktop est selon Carroll le plus grand gâchis de Flutter. Certains des bugs non corrigés étaient suffisamment importants pour que les clients changent de crèmerie.

Il est vrai que les questions autour de Flutter commençaient à s’accumuler. La dernière Google I/O en mai a renforcé les inquiétudes. De nouvelles versions avaient bien été proposées pour Flutter (3.22) et Dart (3.4), mais l’arrivée de Kotlin Multiplatform les a éclipsés. Plusieurs médias avaient noté ce changement, dont DevClass. En outre, l’ancien directeur de l’équipe Flutter, Tim Sneath (ancien transfuge de Microsoft), est parti chez Apple en juin 2023.

Le choix du fork

Matt Carroll indique que la question d’une coopération massive avec des développeurs externes aurait pu être envisagée. Le problème est cependant le même, car l’afflux des participations aurait été géré par la même équipe qui manque actuellement de main d’œuvre pour s’occuper des tickets du support. Or, la révision du code prend du temps. En outre, de nombreux développeurs auraient trouvé la communication avec l’équipe Flutter « frustrante, voire impossible ».

Que propose-t-il ? Flock, un fork de Flutter imaginé comme un catalyseur. Il décrit en effet le projet comme un « Flutter+ », non comme un remplaçant. Il espère attirer les contributions pour faire de Flock un outil dont les bugs seront corrigés rapidement, tout comme l’ajout de nouvelles fonctions.

« En d’autres termes, nous ne voulons pas, ou avons l’intention, de forker la communauté Flutter. Flock restera constamment à jour avec Flutter. Flock ajoutera d’importantes corrections de bugs et des fonctionnalités populaires de la communauté, que l’équipe de Flutter ne peut pas ou ne veut pas implémenter », indique Matt Carroll.

Dans les grandes lignes, chaque nouvelle version de Flutter verra ses nouveautés portées vers Flock. Ce dernier ira dans le sens que sa communauté de développeurs estimera la plus logique, s’occupant d’abord de tous les bugs en attente, tout en partageant le code correcteur avec l’équipe de Flutter, qui sera alors libre de l’intégrer ou non.

Sa priorité pour l’instant est de créer un miroir de Flutter pour refléter automatiquement les branches master, beta et stable. Il faudra ensuite que Flock puisse construire le moteur d’exécution. Matt Carroll invite les développeurs à participer et à tester leurs applications sur Flock. Pour l’instant, puisqu’il s’agira d’une copie miroir, elles devraient fonctionner sans modification.

Des réactions mitigées

Que ce soit sur Hacker News ou Reddit, les réactions sont en majorité négatives. Beaucoup estiment que les problèmes avancés par Matt Carroll sont réels et sérieux. Cependant, la plupart pensent que dans ce cas précis, la création d’un fork va diviser les ressources et ne servira pas.

« Mais je suis sceptique quant à sa suggestion d’accueillir de nouveaux changements dans un fork de Flutter et ainsi gagner en vitesse de développement. Cela nécessiterait des personnes qui souhaitent réellement travailler sur de nouvelles fonctionnalités. Je doute que ces personnes existent. Du moins, qu’elles existent en nombre suffisant pour qu’un fork soit plus rapide – en termes de fonctionnalités – que Google lui-même », estime par exemple l’un d’entre eux sur Reddit.

En revanche, sur X, l’annonce a créé plus d’engouement, Matt Carroll ayant répondu à de nombreuses questions, certaines très concrètes. Par exemple, Remi Rousselet se demandait hier comment gérer les paquets si Flock devient aussi populaire que Flutter : faudra-t-il que leurs auteurs supportent systématiquement les deux ? Matt Carroll lui a répondu que la conduite serait de recommander Flock pour les applications et Flutter pour les paquets. À un autre, il a répondu qu’en cas de conflit d’approche sur une fonction, la version Flock serait supprimée.

Tranquille, pépère

À travers sa conférence Universe, GitHub a annoncé plusieurs de nouveautés importantes à destination des développeurs. Le projet Spark, par exemple, ambitionne l’écriture des applications réalisée entièrement par l’IA. Le fameux Copilot s’ouvre également à d’autres modèles et outils de la concurrence, ainsi que de plusieurs améliorations significatives.

GitHub a fait son show hier lors de sa conférence Universe. Comme de nombreuses autres entreprises, elle tient une grand-messe annuelle pour y présenter ses nouveautés. Une manière bien sûr d’attirer l’attention avec un tir groupé. Et on peut dire que GitHub a tiré tous azimuts.

Lorsque GitHub a lancé son Copilot – initiant une vague d’autres Copilot chez Microsoft, qui possède GitHub – les développeurs ont pu commencer à compléter leurs lignes de code par des suggestions. Lors d’une évolution suivante, ce sont des pans de code entiers qui ont pu être ajoutés, toujours sous la supervision des développeurs. C’est à ce moment-là que deux questions sont apparues : le code suggéré n’enfreint-il pas le droit d’auteur (via son entrainement sur les dépôts publics) ? À quand l’intégralité du code d’un projet suggérée par Copilot ?

Si la première question a trouvé réponse dans plusieurs plaintes, la seconde était dans l’attente. Avec Spark, GitHub a fini par y répondre.

Une petite application en langage naturel

Selon GitHub, Spark est né comme un projet de recherche dans son laboratoire GitHub Next. La question était posée : peut-on obtenir une application complète en décrivant simplement ce que l’on souhaite en langage naturel ? La réponse est : oui.

On commence par un premier prompt définissant dans les grandes lignes ce que l’on veut obtenir, sachant que Spark se destine plutôt aux petits projets pour l’instant. Les projets eux-mêmes peuvent viser des applications web, natives ou mobiles. Après cette première demande, Spark affiche un aperçu général de l’application. Le développeur peut alors compléter au fur et à mesure ses requêtes pour préciser un nombre plus ou moins importants de détails du fonctionnement.

Le code reste toujours accessible et peut donc être modifié. Selon GitHub, Spark permet surtout d’explorer des idées au travers de micro-applications. Il peut s’agir de petits outils pour s’aider au quotidien dans des tâches spécifiques, de petits robots ou agents pour traiter certaines informations. À TechCrunch cependant, GitHub a confirmé qu’il n’y avait a priori pas de limites à ce que l’on pouvait demander à Spark. L’outil, fourni pour l’instant en avant-première, accepte a priori toutes les entrées, mais ses capacités seront peut-être resserrées une fois le produit disponible en version finale.

Le potentiel de Spark semble conséquent, puisque l’outil peut utiliser n’importe quelle API web. En outre, il va profiter de l’ouverture de GitHub à d’autres modèles et outils.

GitHub s’ouvre à d’autres modèles

L’interface de « discussion » avec GitHub Copilot est basée depuis le début sur GPT, la version actuelle utilisant GPT4. Ce n’est pas étonnant, puisque l’on se situe toujours dans la galaxie Microsoft. Cependant, cette exclusivité va prendre fin.

GitHub a en effet annoncé hier que Copilot allait pouvoir être utilisé avec d’autres modèles d’IA générative. Claude 3.5 Sonnet aura les honneurs de commencer très prochainement. Gemini 1.5 Pro devrait suivre dans quelque semaines. GPT-4o, o1-preview et o1-mini et d’OpenAI suivront également.

L’entreprise dit croire au choix pour les développeurs, un seul modèle n’étant pas idéal dans tous les cas de figure. Selon les besoins, la politique d’entreprise, les langages de programmation ou encore les préférences personnelles, le choix d’un modèle ou d’un autre peut faire une grande différence. Dans notre cas, nous avons par exemple utilisé Claude pour créer un grand tableau permettant de calculer les abonnements à l’électricité les plus intéressants, en fonction de votre consommation horaire sur un an (chiffres obtenus par le Linky via le site d’Enedis).

• [Outil Next] Comparez une vingtaine d’offres d’électricité en fonction de votre consommation !

Mais attention : ce choix ne va être offert dans un premier temps que sur Copilot Chat et Spark. GitHub compte bien le répercuter sur l’ensemble de ses outils, mais n’a fourni aucune information sur le délai.

GitHub s’ouvre à Xcode, un timing intéressant

Au sein de GitHub, Copilot représente toujours un produit central. À l’occasion de la conférence Universe, il reçoit plusieurs nouveautés, dont une ouverture à Xcode, l’environnement de développement intégré d’Apple.

Même s’il s’agit d’une préversion publique et qu’il reste donc du travail, le mouvement est intéressant à plus d’un titre. D’abord, parce que les développeurs sur Mac seront probablement intéressés par l’arrivée d’un composant entré dans les habitudes de bon nombre d’entre eux sur d’autres plateformes. Même si cette préversion se focalise d’abord et avant tout sur la complétion du code, d’autres fonctions arriveront par la suite.

Ensuite, parce qu’Apple vient de donner le coup d’envoi de son bouquet de services Apple Intelligence. Or, sur macOS Sequoia 15.1, Xcode peut profiter de l’assistant maison pour produire le même type de résultat. Mais là où l’assistant d’Apple est neuf et a encore tout à prouver, Copilot arrive avec une expérience de plusieurs années dans le domaine.

« Il s’agit d’une étape majeure dans notre mission permanente visant à faire de Copilot un outil essentiel pour les développeurs sur une grande variété de plateformes. Désormais, les développeurs Apple peuvent bénéficier de la même assistance intelligente au codage, intégrée de manière transparente dans leur IDE préféré », indique ainsi GitHub dans son communiqué.

Prenant en charge les langages Objective-C et surtout Swift, le Copilot de GitHub pourrait donc couper l’herbe sous le pied d’Apple. À ceci près qu’Apple n’a pour l’instant affiché aucun tarif pour ses fonctions alimentées par l’IA générative. Beaucoup se demandent d’ailleurs si la firme pourra longtemps proposer gratuitement ses services, au vu des investissements colossaux nécessaires, que ce soit pour l’entrainement des modèles, la puissance nécessaire ou l’infrastructure mise en place. Apple en a d’ailleurs récemment détaillé la sécurité, proposant jusqu’à un million de dollars aux chercheurs qui parviendraient à exécuter un code arbitraire dans son Private Cloud Compute.

L’arrivée officielle de Copilot sur Xcode devrait mettre un sérieux frein à certains projets tiers, comme l’extension Copilot for Xcode, disponible sous licence MIT.

D’autres apports pour Copilot

À côté des annonces importantes, on trouve également d’autres nouveautés pour Copilot. Dans VS Code, Copilot Chat permet par exemple désormais de modifier plusieurs fichiers à la fois, dans le cadre de projets plus complexes. Il propose aussi une fonction permettant d’examiner le code pour obtenir des informations complémentaires. À noter la possibilité de personnaliser les instructions à Copilot Chat pour lui pointer les outils préférés par une personne ou une structure (comme une entreprise), ainsi que les connaissances organisationnelles.

GitHub a en outre donné quelques informations sur les fameuses extensions, qui permettent de personnaliser les demandes pour tenir compte d’un contexte particulier. Plusieurs d’entre elles ont été créées par Atlassian, Docker ou encore Stack Overflow, mais sont toujours en préversions.

On sait à présent que les versions finales seront lancées en début d’année prochaine, mais il n’y a pas encore de date précise. Dans la foulée, toute personne, entreprise ou autre structure pourra créer ses propres extensions, la capacité n’étant plus liée à quelques partenaires triés sur le volet.

Tranquille, pépère

À travers sa conférence Universe, GitHub a annoncé plusieurs de nouveautés importantes à destination des développeurs. Le projet Spark, par exemple, ambitionne l’écriture des applications réalisée entièrement par l’IA. Le fameux Copilot s’ouvre également à d’autres modèles et outils de la concurrence, ainsi que de plusieurs améliorations significatives.

GitHub a fait son show hier lors de sa conférence Universe. Comme de nombreuses autres entreprises, elle tient une grand-messe annuelle pour y présenter ses nouveautés. Une manière bien sûr d’attirer l’attention avec un tir groupé. Et on peut dire que GitHub a tiré tous azimuts.

Lorsque GitHub a lancé son Copilot – initiant une vague d’autres Copilot chez Microsoft, qui possède GitHub – les développeurs ont pu commencer à compléter leurs lignes de code par des suggestions. Lors d’une évolution suivante, ce sont des pans de code entiers qui ont pu être ajoutés, toujours sous la supervision des développeurs. C’est à ce moment-là que deux questions sont apparues : le code suggéré n’enfreint-il pas le droit d’auteur (via son entrainement sur les dépôts publics) ? À quand l’intégralité du code d’un projet suggérée par Copilot ?

Si la première question a trouvé réponse dans plusieurs plaintes, la seconde était dans l’attente. Avec Spark, GitHub a fini par y répondre.

Une petite application en langage naturel

Selon GitHub, Spark est né comme un projet de recherche dans son laboratoire GitHub Next. La question était posée : peut-on obtenir une application complète en décrivant simplement ce que l’on souhaite en langage naturel ? La réponse est : oui.

On commence par un premier prompt définissant dans les grandes lignes ce que l’on veut obtenir, sachant que Spark se destine plutôt aux petits projets pour l’instant. Les projets eux-mêmes peuvent viser des applications web, natives ou mobiles. Après cette première demande, Spark affiche un aperçu général de l’application. Le développeur peut alors compléter au fur et à mesure ses requêtes pour préciser un nombre plus ou moins importants de détails du fonctionnement.

Le code reste toujours accessible et peut donc être modifié. Selon GitHub, Spark permet surtout d’explorer des idées au travers de micro-applications. Il peut s’agir de petits outils pour s’aider au quotidien dans des tâches spécifiques, de petits robots ou agents pour traiter certaines informations. À TechCrunch cependant, GitHub a confirmé qu’il n’y avait a priori pas de limites à ce que l’on pouvait demander à Spark. L’outil, fourni pour l’instant en avant-première, accepte a priori toutes les entrées, mais ses capacités seront peut-être resserrées une fois le produit disponible en version finale.

Le potentiel de Spark semble conséquent, puisque l’outil peut utiliser n’importe quelle API web. En outre, il va profiter de l’ouverture de GitHub à d’autres modèles et outils.

GitHub s’ouvre à d’autres modèles

L’interface de « discussion » avec GitHub Copilot est basée depuis le début sur GPT, la version actuelle utilisant GPT4. Ce n’est pas étonnant, puisque l’on se situe toujours dans la galaxie Microsoft. Cependant, cette exclusivité va prendre fin.

GitHub a en effet annoncé hier que Copilot allait pouvoir être utilisé avec d’autres modèles d’IA générative. Claude 3.5 Sonnet aura les honneurs de commencer très prochainement. Gemini 1.5 Pro devrait suivre dans quelque semaines. GPT-4o, o1-preview et o1-mini et d’OpenAI suivront également.

L’entreprise dit croire au choix pour les développeurs, un seul modèle n’étant pas idéal dans tous les cas de figure. Selon les besoins, la politique d’entreprise, les langages de programmation ou encore les préférences personnelles, le choix d’un modèle ou d’un autre peut faire une grande différence. Dans notre cas, nous avons par exemple utilisé Claude pour créer un grand tableau permettant de calculer les abonnements à l’électricité les plus intéressants, en fonction de votre consommation horaire sur un an (chiffres obtenus par le Linky via le site d’Enedis).

• [Outil Next] Comparez une vingtaine d’offres d’électricité en fonction de votre consommation !

Mais attention : ce choix ne va être offert dans un premier temps que sur Copilot Chat et Spark. GitHub compte bien le répercuter sur l’ensemble de ses outils, mais n’a fourni aucune information sur le délai.

GitHub s’ouvre à Xcode, un timing intéressant

Au sein de GitHub, Copilot représente toujours un produit central. À l’occasion de la conférence Universe, il reçoit plusieurs nouveautés, dont une ouverture à Xcode, l’environnement de développement intégré d’Apple.

Même s’il s’agit d’une préversion publique et qu’il reste donc du travail, le mouvement est intéressant à plus d’un titre. D’abord, parce que les développeurs sur Mac seront probablement intéressés par l’arrivée d’un composant entré dans les habitudes de bon nombre d’entre eux sur d’autres plateformes. Même si cette préversion se focalise d’abord et avant tout sur la complétion du code, d’autres fonctions arriveront par la suite.

Ensuite, parce qu’Apple vient de donner le coup d’envoi de son bouquet de services Apple Intelligence. Or, sur macOS Sequoia 15.1, Xcode peut profiter de l’assistant maison pour produire le même type de résultat. Mais là où l’assistant d’Apple est neuf et a encore tout à prouver, Copilot arrive avec une expérience de plusieurs années dans le domaine.

« Il s’agit d’une étape majeure dans notre mission permanente visant à faire de Copilot un outil essentiel pour les développeurs sur une grande variété de plateformes. Désormais, les développeurs Apple peuvent bénéficier de la même assistance intelligente au codage, intégrée de manière transparente dans leur IDE préféré », indique ainsi GitHub dans son communiqué.

Prenant en charge les langages Objective-C et surtout Swift, le Copilot de GitHub pourrait donc couper l’herbe sous le pied d’Apple. À ceci près qu’Apple n’a pour l’instant affiché aucun tarif pour ses fonctions alimentées par l’IA générative. Beaucoup se demandent d’ailleurs si la firme pourra longtemps proposer gratuitement ses services, au vu des investissements colossaux nécessaires, que ce soit pour l’entrainement des modèles, la puissance nécessaire ou l’infrastructure mise en place. Apple en a d’ailleurs récemment détaillé la sécurité, proposant jusqu’à un million de dollars aux chercheurs qui parviendraient à exécuter un code arbitraire dans son Private Cloud Compute.

L’arrivée officielle de Copilot sur Xcode devrait mettre un sérieux frein à certains projets tiers, comme l’extension Copilot for Xcode, disponible sous licence MIT.

D’autres apports pour Copilot

À côté des annonces importantes, on trouve également d’autres nouveautés pour Copilot. Dans VS Code, Copilot Chat permet par exemple désormais de modifier plusieurs fichiers à la fois, dans le cadre de projets plus complexes. Il propose aussi une fonction permettant d’examiner le code pour obtenir des informations complémentaires. À noter la possibilité de personnaliser les instructions à Copilot Chat pour lui pointer les outils préférés par une personne ou une structure (comme une entreprise), ainsi que les connaissances organisationnelles.

GitHub a en outre donné quelques informations sur les fameuses extensions, qui permettent de personnaliser les demandes pour tenir compte d’un contexte particulier. Plusieurs d’entre elles ont été créées par Atlassian, Docker ou encore Stack Overflow, mais sont toujours en préversions.

On sait à présent que les versions finales seront lancées en début d’année prochaine, mais il n’y a pas encore de date précise. Dans la foulée, toute personne, entreprise ou autre structure pourra créer ses propres extensions, la capacité n’étant plus liée à quelques partenaires triés sur le volet.