L’Agence de services et de paiement (ASP) a alerté, vendredi 24 avril, certains destinataires des versements qu’elle opère pour le compte de l’État d’une fuite de données susceptible d’avoir exposé des informations personnelles. En l’occurrence, la fuite concerne les usagers du portail Profil, dédié à la rémunération des stagiaires de la formation professionnelle continue.
« Le 1er avril 2026, les équipes de l’Agence de services et de paiement ont détecté un accès frauduleux à un compte utilisateur ayant permis l’exfiltration de documents susceptibles de contenir des données personnelles vous concernant », décrit l’ASP dans cet email consulté par Next.
Outre les données d’état civil et les coordonnées (adresse postale), le périmètre de la fuite englobe également le numéro de sécurité sociale, le montant de l’aide perçue (avis de paiement) ainsi que les données bancaires (RIB).
Extrait du courrier envoyé par l’ASP – capture d’écran Next
L’ASP assure que l’incident a été « immédiatement pris en charge et circonscrit », et promet avoir pris les mesures techniques adéquates. « Le compte compromis a été sécurisé et les contrôles d’accès renforcés, affirme l’Agence, qui ajoute : « la vulnérabilité à l’origine de cet incident a été identifiée et corrigée ».
Aux usagers concernés, elle recommande une vigilance particulière « à l’égard de toute sollicitation inhabituelle ».
Même si la diffusion d’un RIB n’est pas censée présenter de risque en soi, la combinaison de données personnelles identifiantes et d’informations relatives au compte bancaire permet effectivement des scénarios malveillants poussés, qu’il s’agisse de campagnes de phishing ou de tentatives de prélèvements frauduleux.
Ni l’Agence, si ses deux ministères de tutelle (Agriculture et Travail) n’ont pour l’instant communiqué sur le volume de comptes concernés par cette fuite, qui vient alourdir un tableau déjà bien chargé dans l’univers des services publics.
Plus tôt, le système d’information sur les armes du ministère de l’Intérieur a fait l’objet d’une attaque en mars, tandis que des données du CNRS ont été récupérées en février dernier, et que l’Urssaf a déjà subi une fuite en janvier concernant 12 millions de victimes potentielles.
L’Agence de services et de paiement (ASP) a alerté, vendredi 24 avril, certains destinataires des versements qu’elle opère pour le compte de l’État d’une fuite de données susceptible d’avoir exposé des informations personnelles. En l’occurrence, la fuite concerne les usagers du portail Profil, dédié à la rémunération des stagiaires de la formation professionnelle continue.
« Le 1er avril 2026, les équipes de l’Agence de services et de paiement ont détecté un accès frauduleux à un compte utilisateur ayant permis l’exfiltration de documents susceptibles de contenir des données personnelles vous concernant », décrit l’ASP dans cet email consulté par Next.
Outre les données d’état civil et les coordonnées (adresse postale), le périmètre de la fuite englobe également le numéro de sécurité sociale, le montant de l’aide perçue (avis de paiement) ainsi que les données bancaires (RIB).
Extrait du courrier envoyé par l’ASP – capture d’écran Next
L’ASP assure que l’incident a été « immédiatement pris en charge et circonscrit », et promet avoir pris les mesures techniques adéquates. « Le compte compromis a été sécurisé et les contrôles d’accès renforcés, affirme l’Agence, qui ajoute : « la vulnérabilité à l’origine de cet incident a été identifiée et corrigée ».
Aux usagers concernés, elle recommande une vigilance particulière « à l’égard de toute sollicitation inhabituelle ».
Même si la diffusion d’un RIB n’est pas censée présenter de risque en soi, la combinaison de données personnelles identifiantes et d’informations relatives au compte bancaire permet effectivement des scénarios malveillants poussés, qu’il s’agisse de campagnes de phishing ou de tentatives de prélèvements frauduleux.
Ni l’Agence, si ses deux ministères de tutelle (Agriculture et Travail) n’ont pour l’instant communiqué sur le volume de comptes concernés par cette fuite, qui vient alourdir un tableau déjà bien chargé dans l’univers des services publics.
Plus tôt, le système d’information sur les armes du ministère de l’Intérieur a fait l’objet d’une attaque en mars, tandis que des données du CNRS ont été récupérées en février dernier, et que l’Urssaf a déjà subi une fuite en janvier concernant 12 millions de victimes potentielles.
Meta et Microsoft ont tous deux confirmé cette semaine d’importantes coupes à venir dans leurs effectifs. Le premier prévoit de licencier 8 000 personnes, soit environ 10 % de ses équipes, d’ici le mois de juin, et réduit la voilure au niveau des nouvelles embauches. Le second vient pour sa part de lancer un plan de départ volontaire aux États-Unis. Environ 9 000 personnes seraient éligibles.
L’hémorragie se poursuit chez les géants de la tech, avec deux nouvelles coupes annoncées chez Meta et Microsoft, qui se préparent, chacun à sa façon, à supprimer plusieurs milliers de postes. Une nouvelle vague de licenciements partiellement imputée, au moins chez Meta, à la nécessité de dégager des ressources financières pour poursuivre les investissements liés à l’intelligence artificielle.
Meta supprime 8 000 postes, soit 10 % de ses effectifs
Chez Meta, l’échéance est fixée au 20 mai. C’est à cette date que l’entreprise débutera un plan qui doit conduire au départ de 8 000 personnes, soit environ 10 % de l’effectif mondial du groupe, selon un mémo interne dont la teneur a été révélée par Bloomberg. Le document dévoile par ailleurs que Meta met un terme à 6 000 recrutements ouverts.
Le message est signé par Janelle Gale, directrice des ressources humaines de Meta. Elle explique avoir dû prendre les devants en raison de fuites dans la presse. La rumeur d’un nouveau plan de grande ampleur circule en effet depuis la mi-mars. Le plan mis en œuvre au 20 mai se révèle toutefois plus modeste qu’anticipé, puisqu’on parlait à l’époque de 20 % des effectifs.
« Je sais que cette nouvelle est malvenue et que sa confirmation met tout le monde mal à l’aise, mais nous pensons que c’est la meilleure solution, compte tenu des circonstances, écrit Janelle Gale, avant de justifier la décision. Nous agissons ainsi dans le cadre de nos efforts continus pour gérer l’entreprise plus efficacement et pour compenser les autres investissements que nous réalisons. Ce choix est difficile et impliquera le départ de personnes qui ont apporté une contribution significative à Meta durant leur passage parmi nous. »
Ces « autres investissements » ne sont pas spécifiés dans le courrier, mais ils renvoient logiquement à l’IA et aux annonces formulées en juillet 2025 par Mark Zuckerberg, qui évoquait alors des « centaines de milliards de dollars » fléchés vers ses centres de données.
Meta a déjà procédé à plusieurs restructurations importantes ces dernières années. En novembre 2022, la société avait licencié 11 000 employés, avant de se séparer de 10 000 personnes supplémentaires en mars 2023. Début janvier 2026, elle remerciait par ailleurs 1 500 personnes de son Reality Labs, actant son détournement du métavers, pourtant ardemment promu par Mark Zuckerberg pendant la pandémie de Covid-19.
Microsoft lance un plan de départ volontaire aux États-Unis
Chez Microsoft, l’année 2025 a déjà été marquée par une double vague de licenciements, avec 6 000 personnes concernées en mai et 9 000 en juillet, soit un total de 15 000 postes supprimés. L’éditeur souhaite manifestement poursuivre sur cette lancée, mais il a cette fois choisi une voie moins brutale. D’après, là aussi, un mémo interne consulté par CNBC, Microsoft a proposé à ses employés basés aux États-Unis un plan de départ volontaire exceptionnel.
« Nous espérons que ce programme permettra aux personnes admissibles de franchir cette prochaine étape selon leurs propres conditions, grâce à un généreux soutien de l’entreprise », écrit dans ce courrier Amy Coleman, directrice des ressources humaines. Microsoft ouvre en effet ce guichet de départs sous conditions. Pour être éligible, il faut que l’âge de la personne concernée et son ancienneté dans l’entreprise égalent ou dépassent le nombre 70 (par exemple, être âgé de 50 ans et afficher au moins 20 ans de présence dans le groupe).
Les employés éligibles devraient recevoir les détails pratiques à partir du 7 mai. Une source proche du dossier a indiqué à CNBC que ce double critère d’âge et d’ancienneté rendrait éligibles environ 7 % des 125 000 personnes que Microsoft emploie aux États-Unis, soit environ 8 700 employés. Reste à voir si ces départs volontaires seront jugés suffisants, ou si l’éditeur décidera de lancer un nouveau plan, contraint cette fois, en suivant.
Microsoft n’invoque pas spécifiquement l’IA pour justifier ces différents plans, mais il est impossible de ne pas établir un parallèle, dans la mesure où l’éditeur a accéléré significativement ses dépenses d’investissement en la matière. Le groupe a d’ailleurs annoncé le 23 avril son intention de flécher l’équivalent de 18 milliards de dollars vers l’Australie, notamment pour construire des datacenters dédiés à l’IA.
Cette tension entre IA et ressources humaines vient également de justifier un plan social chez Oracle, avec potentiellement jusqu’à 30 000 employés informés par un email laconique que leur emploi dans le groupe était terminé.
Meta et Microsoft ont tous deux confirmé cette semaine d’importantes coupes à venir dans leurs effectifs. Le premier prévoit de licencier 8 000 personnes, soit environ 10 % de ses équipes, d’ici le mois de juin, et réduit la voilure au niveau des nouvelles embauches. Le second vient pour sa part de lancer un plan de départ volontaire aux États-Unis. Environ 9 000 personnes seraient éligibles.
L’hémorragie se poursuit chez les géants de la tech, avec deux nouvelles coupes annoncées chez Meta et Microsoft, qui se préparent, chacun à sa façon, à supprimer plusieurs milliers de postes. Une nouvelle vague de licenciements partiellement imputée, au moins chez Meta, à la nécessité de dégager des ressources financières pour poursuivre les investissements liés à l’intelligence artificielle.
Meta supprime 8 000 postes, soit 10 % de ses effectifs
Chez Meta, l’échéance est fixée au 20 mai. C’est à cette date que l’entreprise débutera un plan qui doit conduire au départ de 8 000 personnes, soit environ 10 % de l’effectif mondial du groupe, selon un mémo interne dont la teneur a été révélée par Bloomberg. Le document dévoile par ailleurs que Meta met un terme à 6 000 recrutements ouverts.
Le message est signé par Janelle Gale, directrice des ressources humaines de Meta. Elle explique avoir dû prendre les devants en raison de fuites dans la presse. La rumeur d’un nouveau plan de grande ampleur circule en effet depuis la mi-mars. Le plan mis en œuvre au 20 mai se révèle toutefois plus modeste qu’anticipé, puisqu’on parlait à l’époque de 20 % des effectifs.
« Je sais que cette nouvelle est malvenue et que sa confirmation met tout le monde mal à l’aise, mais nous pensons que c’est la meilleure solution, compte tenu des circonstances, écrit Janelle Gale, avant de justifier la décision. Nous agissons ainsi dans le cadre de nos efforts continus pour gérer l’entreprise plus efficacement et pour compenser les autres investissements que nous réalisons. Ce choix est difficile et impliquera le départ de personnes qui ont apporté une contribution significative à Meta durant leur passage parmi nous. »
Ces « autres investissements » ne sont pas spécifiés dans le courrier, mais ils renvoient logiquement à l’IA et aux annonces formulées en juillet 2025 par Mark Zuckerberg, qui évoquait alors des « centaines de milliards de dollars » fléchés vers ses centres de données.
Meta a déjà procédé à plusieurs restructurations importantes ces dernières années. En novembre 2022, la société avait licencié 11 000 employés, avant de se séparer de 10 000 personnes supplémentaires en mars 2023. Début janvier 2026, elle remerciait par ailleurs 1 500 personnes de son Reality Labs, actant son détournement du métavers, pourtant ardemment promu par Mark Zuckerberg pendant la pandémie de Covid-19.
Microsoft lance un plan de départ volontaire aux États-Unis
Chez Microsoft, l’année 2025 a déjà été marquée par une double vague de licenciements, avec 6 000 personnes concernées en mai et 9 000 en juillet, soit un total de 15 000 postes supprimés. L’éditeur souhaite manifestement poursuivre sur cette lancée, mais il a cette fois choisi une voie moins brutale. D’après, là aussi, un mémo interne consulté par CNBC, Microsoft a proposé à ses employés basés aux États-Unis un plan de départ volontaire exceptionnel.
« Nous espérons que ce programme permettra aux personnes admissibles de franchir cette prochaine étape selon leurs propres conditions, grâce à un généreux soutien de l’entreprise », écrit dans ce courrier Amy Coleman, directrice des ressources humaines. Microsoft ouvre en effet ce guichet de départs sous conditions. Pour être éligible, il faut que l’âge de la personne concernée et son ancienneté dans l’entreprise égalent ou dépassent le nombre 70 (par exemple, être âgé de 50 ans et afficher au moins 20 ans de présence dans le groupe).
Les employés éligibles devraient recevoir les détails pratiques à partir du 7 mai. Une source proche du dossier a indiqué à CNBC que ce double critère d’âge et d’ancienneté rendrait éligibles environ 7 % des 125 000 personnes que Microsoft emploie aux États-Unis, soit environ 8 700 employés. Reste à voir si ces départs volontaires seront jugés suffisants, ou si l’éditeur décidera de lancer un nouveau plan, contraint cette fois, en suivant.
Microsoft n’invoque pas spécifiquement l’IA pour justifier ces différents plans, mais il est impossible de ne pas établir un parallèle, dans la mesure où l’éditeur a accéléré significativement ses dépenses d’investissement en la matière. Le groupe a d’ailleurs annoncé le 23 avril son intention de flécher l’équivalent de 18 milliards de dollars vers l’Australie, notamment pour construire des datacenters dédiés à l’IA.
Cette tension entre IA et ressources humaines vient également de justifier un plan social chez Oracle, avec potentiellement jusqu’à 30 000 employés informés par un email laconique que leur emploi dans le groupe était terminé.
France Télévisions et YouTube ont officialisé jeudi 23 avril un « partenariat stratégique » selon les termes duquel l’audiovisuel public mettra à disposition de la plateforme « l’intégralité des éditions d’information nationale et locale, ainsi que l’ensemble des magazines quotidiens et hebdomadaires d’actualité et d’investigation phares du Groupe ».
France TV procèdera par ailleurs à une « éditorialisation renforcée des contenus » en distribuant ses programmes sur des chaînes dédiées, éventuellement thématisées. Le groupe audiovisuel s’engage par ailleurs à produire des contenus originaux et 100 % natifs.
« Cette collaboration illustre une ambition claire : l’audiovisuel de demain s’articule autour du streaming », commentent les deux acteurs, qui rappellent que YouTube revendique, en France, une audience de 43 millions d’utilisateurs mensuels.
Visuel de l’annonce de l’accord entre France Télévisions et YouTube
« Ce partenariat stratégique avec YouTube accélère la stratégie « streaming first » de France Télévisions. Dans un univers vidéo ultra-concurrentiel et face à l’exposition croissante des Français aux fausses informations, il renforce le rayonnement des contenus d’information de France Télévisions auprès de tous les publics, y compris des plus éloignés des médias traditionnels », commente Delphine Ernotte Cunci, PDG de France Télévisions.
YouTube y gagne de son côté de nouveaux programmes susceptibles de nourrir ses audiences, et concède d’ailleurs à la régie publicitaire du groupe audiovisuel, France TV Publicité, le droit de commercialiser ses propres inventaires (avec, sans doute, une mécanique de rétrocommission). La plateforme indique par ailleurs intégrer France Télévisions au groupe des partenaires qui testent son dispositif Likeness ID, chargé d’essayer de détecter les contenus générés par IA pour prévenir la prolifération des deepfakes.
Ce nouvel accord illustre le virage à l’œuvre dans le monde de l’audiovisuel français vis-à-vis du streaming. Si pendant longtemps, tous les grands groupes ont tenté de capitaliser sur leur propre plateforme de diffusion et de replay (contenus de rattrapage), les digues se lèvent progressivement. Jusqu’ici, les chaînes avaient cependant plutôt tendance à nouer des accords avec des acteurs du streaming payant : France TV a signé avec Amazon Prime Video (y compris pour la fiction), tandis que TF1 arrive bientôt sur Netflix.
France Télévisions et YouTube ont officialisé jeudi 23 avril un « partenariat stratégique » selon les termes duquel l’audiovisuel public mettra à disposition de la plateforme « l’intégralité des éditions d’information nationale et locale, ainsi que l’ensemble des magazines quotidiens et hebdomadaires d’actualité et d’investigation phares du Groupe ».
France TV procèdera par ailleurs à une « éditorialisation renforcée des contenus » en distribuant ses programmes sur des chaînes dédiées, éventuellement thématisées. Le groupe audiovisuel s’engage par ailleurs à produire des contenus originaux et 100 % natifs.
« Cette collaboration illustre une ambition claire : l’audiovisuel de demain s’articule autour du streaming », commentent les deux acteurs, qui rappellent que YouTube revendique, en France, une audience de 43 millions d’utilisateurs mensuels.
Visuel de l’annonce de l’accord entre France Télévisions et YouTube
« Ce partenariat stratégique avec YouTube accélère la stratégie « streaming first » de France Télévisions. Dans un univers vidéo ultra-concurrentiel et face à l’exposition croissante des Français aux fausses informations, il renforce le rayonnement des contenus d’information de France Télévisions auprès de tous les publics, y compris des plus éloignés des médias traditionnels », commente Delphine Ernotte Cunci, PDG de France Télévisions.
YouTube y gagne de son côté de nouveaux programmes susceptibles de nourrir ses audiences, et concède d’ailleurs à la régie publicitaire du groupe audiovisuel, France TV Publicité, le droit de commercialiser ses propres inventaires (avec, sans doute, une mécanique de rétrocommission). La plateforme indique par ailleurs intégrer France Télévisions au groupe des partenaires qui testent son dispositif Likeness ID, chargé d’essayer de détecter les contenus générés par IA pour prévenir la prolifération des deepfakes.
Ce nouvel accord illustre le virage à l’œuvre dans le monde de l’audiovisuel français vis-à-vis du streaming. Si pendant longtemps, tous les grands groupes ont tenté de capitaliser sur leur propre plateforme de diffusion et de replay (contenus de rattrapage), les digues se lèvent progressivement. Jusqu’ici, les chaînes avaient cependant plutôt tendance à nouer des accords avec des acteurs du streaming payant : France TV a signé avec Amazon Prime Video (y compris pour la fiction), tandis que TF1 arrive bientôt sur Netflix.
La ministre de la Santé a annoncé jeudi matin la sélection de Scaleway, filiale du groupe iliad, par la Plateforme des données de santé. Ce fameux « Health Data Hub », qui doit notamment faciliter l’accès aux données de santé à des fins de recherche, était précédemment hébergé par Microsoft.
C’est finalement Scaleway, entité du groupe iliad, qui va reprendre l’hébergement de la Plateforme des données de santé, ou Health Data Hub, qui fonctionnait jusqu’ici sur des infrastructures opérées par Microsoft Azure. L’information a été révélée mercredi dans la soirée par Emile Marzolf de Politico, puis confirmée jeudi 23 avril via un communiqué du HDH et un message de la ministre de la Santé, Stéphanie Rist :
« Avec le choix de Scaleway par la Plateforme des données de santé, nous faisons le choix d’un cloud souverain pour héberger nos données de santé. Un choix stratégique pour renforcer la sécurité, la confiance et notre indépendance technologique ».
Deux mois et demi de sélection
Les modalités exactes de la migration et le montant du contrat associé n’ont pour l’instant pas été communiqués, mais la Plateforme de santé (PDS) affiche son ambition de pouvoir « gérer en autonomie une copie de la base principale du SNDS [Système national des données de santé] entre la fin de l’année 2026 et le début de l’année 2027 ».
Le Health Data Hub affirme que le processus de sélection a duré deux mois et demi, sous contrôle de l’UGAP et des pouvoirs publics. « Ce travail a permis de partager et de clarifier la spécificité des besoins de la PDS avec plus de 350 exigences techniques », indique-t-il.
Le HDH confirme par ailleurs que plusieurs « offreurs » se sont positionnés sur le dossier, intéressant à la fois par sa surface financière et par la notoriété qu’il renvoie, associée à l’image de souveraineté numérique. Au terme du processus, c’est donc finalement Scaleway, qui n’est pas encore arrivé au terme de la certification SecNumCloud, qui a remporté le morceau.
L’hébergeur s’est lancé dans le processus en janvier 2025, peu de temps après l’obtention de son agrément HDS (Hébergeur de données de santé). Jeudi, il estime par voie de communiqué que le choix de la PDS démontre « la crédibilité de sa trajectoire de qualification SecNumCloud » et confirme que cette dernière est bien indispensable dans le cadre de ce contrat.
OVHcloud allié à Docaposte, Cloud Temple ou Atos faisaient partie des candidats potentiels dont les noms ont circulé dans la presse en début d’année. « La société Bleu, qui réunit Capgemini et Orange pour continuer de vendre en France les services de Microsoft aux administrations de l’Etat grâce au tampon SecNumCloud, n’avait pas candidaté, et n’avait pas même été sollicitée par l’équipe du Health Data Hub », affirme Emile Marzolf.
Épilogue d’une longue polémique ?
Le gouvernement a régulièrement été interpellé sur la décision, formalisée dans la loi en 2019, de confier l’hébergement de la Plateforme de santé à un acteur états-unien. Début février 2026, il s’était engagé à initier une migration vers un hébergeur répondant aux exigences de la certification SecNumCloud avant la fin de l’année, après avoir envisagé une solution intercalaire finalement jugée peu satisfaisante.
Rappelons que le Health Data Hub prend la forme d’une structure publique, chargée de concevoir et d’opérer la Plateforme des données de santé, un guichet unique permettant aux acteurs de la santé publique, de la recherche ou de l’innovation, d’accéder à des données de santé non nominatives dans un environnement censé bénéficier d’un niveau de contrôle et de sécurité adéquat.
« La PDS et Scaleway s’engagent donc aujourd’hui pour mettre à disposition des acteurs de la recherche et de l’innovation en santé un espace sécurisé capable d’héberger les données de remboursement de l’Assurance maladie et d’autres bases de données de santé d’intérêt », promet le Health Data Hub.
La ministre de la Santé a annoncé jeudi matin la sélection de Scaleway, filiale du groupe iliad, par la Plateforme des données de santé. Ce fameux « Health Data Hub », qui doit notamment faciliter l’accès aux données de santé à des fins de recherche, était précédemment hébergé par Microsoft.
C’est finalement Scaleway, entité du groupe iliad, qui va reprendre l’hébergement de la Plateforme des données de santé, ou Health Data Hub, qui fonctionnait jusqu’ici sur des infrastructures opérées par Microsoft Azure. L’information a été révélée mercredi dans la soirée par Emile Marzolf de Politico, puis confirmée jeudi 23 avril via un communiqué du HDH et un message de la ministre de la Santé, Stéphanie Rist :
« Avec le choix de Scaleway par la Plateforme des données de santé, nous faisons le choix d’un cloud souverain pour héberger nos données de santé. Un choix stratégique pour renforcer la sécurité, la confiance et notre indépendance technologique ».
Deux mois et demi de sélection
Les modalités exactes de la migration et le montant du contrat associé n’ont pour l’instant pas été communiqués, mais la Plateforme de santé (PDS) affiche son ambition de pouvoir « gérer en autonomie une copie de la base principale du SNDS [Système national des données de santé] entre la fin de l’année 2026 et le début de l’année 2027 ».
Le Health Data Hub affirme que le processus de sélection a duré deux mois et demi, sous contrôle de l’UGAP et des pouvoirs publics. « Ce travail a permis de partager et de clarifier la spécificité des besoins de la PDS avec plus de 350 exigences techniques », indique-t-il.
Le HDH confirme par ailleurs que plusieurs « offreurs » se sont positionnés sur le dossier, intéressant à la fois par sa surface financière et par la notoriété qu’il renvoie, associée à l’image de souveraineté numérique. Au terme du processus, c’est donc finalement Scaleway, qui n’est pas encore arrivé au terme de la certification SecNumCloud, qui a remporté le morceau.
L’hébergeur s’est lancé dans le processus en janvier 2025, peu de temps après l’obtention de son agrément HDS (Hébergeur de données de santé). Jeudi, il estime par voie de communiqué que le choix de la PDS démontre « la crédibilité de sa trajectoire de qualification SecNumCloud » et confirme que cette dernière est bien indispensable dans le cadre de ce contrat.
OVHcloud allié à Docaposte, Cloud Temple ou Atos faisaient partie des candidats potentiels dont les noms ont circulé dans la presse en début d’année. « La société Bleu, qui réunit Capgemini et Orange pour continuer de vendre en France les services de Microsoft aux administrations de l’Etat grâce au tampon SecNumCloud, n’avait pas candidaté, et n’avait pas même été sollicitée par l’équipe du Health Data Hub », affirme Emile Marzolf.
Épilogue d’une longue polémique ?
Le gouvernement a régulièrement été interpellé sur la décision, formalisée dans la loi en 2019, de confier l’hébergement de la Plateforme de santé à un acteur états-unien. Début février 2026, il s’était engagé à initier une migration vers un hébergeur répondant aux exigences de la certification SecNumCloud avant la fin de l’année, après avoir envisagé une solution intercalaire finalement jugée peu satisfaisante.
Rappelons que le Health Data Hub prend la forme d’une structure publique, chargée de concevoir et d’opérer la Plateforme des données de santé, un guichet unique permettant aux acteurs de la santé publique, de la recherche ou de l’innovation, d’accéder à des données de santé non nominatives dans un environnement censé bénéficier d’un niveau de contrôle et de sécurité adéquat.
« La PDS et Scaleway s’engagent donc aujourd’hui pour mettre à disposition des acteurs de la recherche et de l’innovation en santé un espace sécurisé capable d’héberger les données de remboursement de l’Assurance maladie et d’autres bases de données de santé d’intérêt », promet le Health Data Hub.
L’installation de Claude Desktop entraîne la création, sur la machine hôte, de manifestes pré-autorisant la communication entre le client logiciel et les extensions de navigateur dédiées à Chrome. Ce mécanisme, dont l’utilisateur n’est pas informé, soulève des questions de conformité et de sécurité selon le consultant qui l’a découvert.
Non contente de contraindre certains utilisateurs à une vérification d’identité, Anthropic se montrerait-elle un peu laxiste vis-à-vis des permissions données à la version desktop du client Claude ? C’est l’hypothèse soulevée par Alexander Hanff, consultant spécialisé dans les enjeux de vie privée en ligne. Dans un long billet de blog publié le 18 avril et relayé, notamment, par The Register deux jours plus tard, il s’émeut qu’Anthropic « installe secrètement un spyware [sur votre machine] quand vous installez Claude Desktop ».
Découverte fortuite d’un json dédié à Claude
Au hasard d’un projet personnel mené sur son MacBook, Alexander Hanff décrit comment il est tombé sur un fichier émanant d’Anthropic et associé à Claude, dans l’un des dossiers de configuration de son navigateur Web, Brave. Baptisé com.anthropic.claude_browser_extension.json, le fichier révèle un pan de code de quelques lignes, qui comprend notamment trois clés destinées à l’identification de trois extensions Chrome et visant à faire de ces dernières des sources autorisées (allowed_origins) en vue d’interagir avec le navigateur.
Nous avons entrepris d’installer l’image de Claude Desktop sur une machine équipée de macOS, afin de voir si nous reproduisions cette découverte. Une rapide recherche, conduite via le terminal dans la foulée de l’installation, nous a permis de localiser le fichier .json concerné et d’en consulter le code, conforme à ce qu’a publié Alexander Hanff le 18 avril. Comme lui, nous constatons d’ailleurs que ce fichier, décrit comme un manifeste « Claude Browser Extension Native Host » est présent non seulement pour nos navigateurs courants, mais aussi pour des logiciels qui ne sont pas installés sur la machine.
Anthropic demande bien d’accepter les conditions d’utilisation de son logiciel au cours du processus, et un consentement lié aux cookies est affiché au premier lancement du client Claude, mais jamais il n’est fait mention, de façon explicite, d’une quelconque autorisation donnée au niveau des navigateurs web.
Nous avons reproduit ce comportement sur une machine équipée de Windows 11. L’installation de Claude Desktop fait en effet apparaître, dès le premier lancement, de nouvelles clés de registre dans le répertoire des navigateurs installés, avec renvoi vers un .json identique. À ses côtés, on note la présence d’un exécutable de type chrome-native-host.exe, alors qu’aucune extension Anthropic n’a jamais été installée sur la machine.
Nous avons pu reproduire le comportement dénoncé sur Windows – capture Next
Un manifeste de « messagerie native »
À quoi peut donc bien servir ce fichier ? La plupart des navigateurs permettent la déclaration d’un manifeste de messagerie native (Native Messaging en VO), qui va créer une sorte de pont (bridge) entre une extension Web et une application installée en local sur la machine.
« Ceci permet que des applications natives puissent fournir un service à des extensions sans avoir besoin d’être atteignables via internet. Un exemple typique est le gestionnaire de mots de passe : l’application native s’occupe du stockage et du chiffrement des mots de passe et communique avec l’extension afin de remplir les formulaires web », illustre Mozilla dans sa documentation développeurs.
Dans le cas d’Anthropic, l’application Claude (Desktop ou Code) peut être amenée à communiquer avec un navigateur pour certaines fonctions d’automatisation (IA agentique). De la même façon, on peut appeler les binaires de l’application Claude depuis l’extension. On suppose donc que l’éditeur prépare le terrain, en positionnant, dès l’installation, les manifestes qui serviront à faire le pont avec le navigateur de l’utilisateur.
La méthode n’est pas du goût d’Alexander Hanff :
« Je n’ai installé aucune extension Anthropic pour mon navigateur. Je n’ai jamais installé d’extension Claude pour des raisons de confidentialité et de sécurité. J’ai installé Claude Desktop, l’application Mac, il y a quelque temps. C’est le seul élément sur cet ordinateur qui aurait pu créer ce fichier. Claude Desktop a accédé à Brave, un navigateur d’un fournisseur totalement différent, et a enregistré une porte dérobée pour une extension que je ne possède pas. »
Un problème de sécurité ?
Admettons avec lui que le procédé est un peu cavalier – un lieu commun dans l’univers de l’IA générative. Pour le consultant, elle soulève aussi un véritable problème de sécurité. Documentation d’Anthropic sur Claude Code with Chrome à l’appui, il remarque que quand une extension est reliée par ce pont avec l’application installée en local, tout agent exécuté par le modèle accède à des droits équivalents à ceux de l’utilisateur enregistré sur la machine.
« Le pont s’exécute en dehors du bac à sable du navigateur avec un niveau de privilèges équivalent à l’utilisateur, et les hôtes de messagerie native n’apparaissent dans aucun processus macOS standard ou interface utilisateur d’autorisation, ils sont invoqués par le navigateur et communiquent via stdio. »
Pour appuyer sa critique, Hanff rappelle que, de l’aveu même d’Anthropic, l’utilisation de Claude in Chrome n’est pas anodine. En août dernier, lors de l’annonce de la mise à disposition en bêta de son extension pour Chrome, l’entreprise indiquait en effet que son composant était vulnérable à l’injection de prompt, c’est-à-dire l’envoi de commandes malveillantes susceptibles d’entraîner une action non sollicitée sur la machine hôte.
« Un exemple d’attaque réussie – avant la mise en place de nos nouvelles défenses – consistait en un courriel malveillant prétendant que, pour des raisons de sécurité, des courriels devaient être supprimés. Lors du traitement de la boîte de réception, Claude a suivi ces instructions et supprimé les courriels de l’utilisateur sans confirmation », écrivait alors Anthropic. L’entreprise ajoutait que sans ses nouvelles mesures de protection, sa red team avait réussi 23,6 % de ses attaques par injection.
Native Messaging n’est pas exempt de défauts
« La fonctionnalité préinstallée silencieusement sur l’ordinateur portable de chaque utilisateur ayant déjà exécuté Claude.app est, selon les propres mesures d’Anthropic, vulnérable à une injection de code environ une fois sur quatre. », en conclut Alexander Hanff.
S’il est vrai que la connexion d’une application AI à un navigateur soulève un risque d’attaque par injection de prompt sur la machine, la conclusion se révèle peut-être un peu hâtive : toutes les installations de Claude desktop sur Mac n’en sont pas pour autant vulnérables puisqu’il faut encore que l’extension associée soit installée pour que le pont opère.
Autrement dit, les vrais vecteurs d’attaque ne seraient pas le manifeste proprement dit, mais plutôt l’exécutable installé en local, ou les extensions autorisées par ledit manifeste.
On peut en revanche aller dans le sens d’Alexander Hanff en soulignant que Native Messaging en tant que tel n’est pas absolument exempt de défaut du point de vue de la sécurité. En 2024, des recherches conduites autour de l’implémentation de l’extension 1Password sur Chromium ont par exemple montré qu’il était possible de s’immiscer dans le protocole (attaque de type man in the middle), faute de vérification au moment d’enclencher la réponse des binaires aux demandes de l’extension.
À l’époque, le sujet n’avait pas été considéré comme critique, notamment parce que, pour être exploitée, cette vulnérabilité supposait que le code responsable de l’attaque et la cible tournent sous le même compte utilisateur. Corrigée tout de même au nom du principe de précaution chez Chromium, mais aussi chez 1Password et Firefox, elle se révèle aujourd’hui sous un jour plus sensible.
De façon plus anecdotique, on remarque que le comportement de ce composant chrome-native-host a donné lieu à un rapport de bug en janvier dernier sur le Github de Claude Code. À l’époque, ce n’était pas l’éventuel caractère intrusif de la démarche qui motivait la discussion, mais plutôt un conflit entre les .json dédiés respectivement à Claude Code et Claude Desktop.
Une infraction à la directive e-Privacy ?
Plus qu’une réelle faille de sécurité, il reste en revanche un comportement que l’on est en droit de qualifier de suspect, puisqu’il n’est pas annoncé. Hanff va plus loin, en affirmant qu’avec cet ajout sous-marin, Anthropic enfreint plusieurs lois, dont la fameuse directive européenne e-Privacy de 2002.
« Je tiens à être franc. Il s’agit d’une pratique douteuse. De plus, à mon avis professionnel, c’est une violation directe de l’article 5, paragraphe 3, de la directive 2002/58/CE, ainsi que de nombreuses lois relatives à l’accès et à l’utilisation abusive des ordinateurs (généralement du droit pénal), à une échelle suffisamment importante pour avoir des conséquences, chez un fournisseur qui a déployé des efforts considérables pour se forger une image de laboratoire d’IA soucieux de la sécurité. »
L’article concerné (voir texte intégral), qui motive les bandeaux de consentement sur le web ou la récente recommandation de la Cnil sur les pixels espion dans les emails, dispose pour mémoire qu’un acteur n’est autorisé à stocker ou accéder à des informations sur la machine de l’utilisateur qu’après consentement éclairé de ce dernier. Le texte tolère toutefois une exception pour finalités « strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
La justice considèrerait-elle la création d’un pont Native Messaging comme nécessaire, alors que l’application Claude a vocation à fonctionner sans lien direct avec le navigateur ? Plutôt que d’attendre de voir ce qu’en pense la justice, le consultant suggère à Anthropic de supprimer ce pont, ou a minima de conditionner la création des manifestes à un consentement explicite. « Si ce n’est pas le cas, nous saurons ce que vaut réellement la politique d’Anthropic en matière de sécurité publique », lâche-t-il pour conclure.
S’il est tentant d’user de la commande rm pour évacuer ces .json non sollicités, leur suppression ne sera que de courte durée, puisque les fichiers sont recréés à chaque nouveau lancement de l’application Claude.
L’installation de Claude Desktop entraîne la création, sur la machine hôte, de manifestes pré-autorisant la communication entre le client logiciel et les extensions de navigateur dédiées à Chrome. Ce mécanisme, dont l’utilisateur n’est pas informé, soulève des questions de conformité et de sécurité selon le consultant qui l’a découvert.
Non contente de contraindre certains utilisateurs à une vérification d’identité, Anthropic se montrerait-elle un peu laxiste vis-à-vis des permissions données à la version desktop du client Claude ? C’est l’hypothèse soulevée par Alexander Hanff, consultant spécialisé dans les enjeux de vie privée en ligne. Dans un long billet de blog publié le 18 avril et relayé, notamment, par The Register deux jours plus tard, il s’émeut qu’Anthropic « installe secrètement un spyware [sur votre machine] quand vous installez Claude Desktop ».
Découverte fortuite d’un json dédié à Claude
Au hasard d’un projet personnel mené sur son MacBook, Alexander Hanff décrit comment il est tombé sur un fichier émanant d’Anthropic et associé à Claude, dans l’un des dossiers de configuration de son navigateur Web, Brave. Baptisé com.anthropic.claude_browser_extension.json, le fichier révèle un pan de code de quelques lignes, qui comprend notamment trois clés destinées à l’identification de trois extensions Chrome et visant à faire de ces dernières des sources autorisées (allowed_origins) en vue d’interagir avec le navigateur.
Nous avons entrepris d’installer l’image de Claude Desktop sur une machine équipée de macOS, afin de voir si nous reproduisions cette découverte. Une rapide recherche, conduite via le terminal dans la foulée de l’installation, nous a permis de localiser le fichier .json concerné et d’en consulter le code, conforme à ce qu’a publié Alexander Hanff le 18 avril. Comme lui, nous constatons d’ailleurs que ce fichier, décrit comme un manifeste « Claude Browser Extension Native Host » est présent non seulement pour nos navigateurs courants, mais aussi pour des logiciels qui ne sont pas installés sur la machine.
Anthropic demande bien d’accepter les conditions d’utilisation de son logiciel au cours du processus, et un consentement lié aux cookies est affiché au premier lancement du client Claude, mais jamais il n’est fait mention, de façon explicite, d’une quelconque autorisation donnée au niveau des navigateurs web.
Nous avons reproduit ce comportement sur une machine équipée de Windows 11. L’installation de Claude Desktop fait en effet apparaître, dès le premier lancement, de nouvelles clés de registre dans le répertoire des navigateurs installés, avec renvoi vers un .json identique. À ses côtés, on note la présence d’un exécutable de type chrome-native-host.exe, alors qu’aucune extension Anthropic n’a jamais été installée sur la machine.
Nous avons pu reproduire le comportement dénoncé sur Windows – capture Next
Un manifeste de « messagerie native »
À quoi peut donc bien servir ce fichier ? La plupart des navigateurs permettent la déclaration d’un manifeste de messagerie native (Native Messaging en VO), qui va créer une sorte de pont (bridge) entre une extension Web et une application installée en local sur la machine.
« Ceci permet que des applications natives puissent fournir un service à des extensions sans avoir besoin d’être atteignables via internet. Un exemple typique est le gestionnaire de mots de passe : l’application native s’occupe du stockage et du chiffrement des mots de passe et communique avec l’extension afin de remplir les formulaires web », illustre Mozilla dans sa documentation développeurs.
Dans le cas d’Anthropic, l’application Claude (Desktop ou Code) peut être amenée à communiquer avec un navigateur pour certaines fonctions d’automatisation (IA agentique). De la même façon, on peut appeler les binaires de l’application Claude depuis l’extension. On suppose donc que l’éditeur prépare le terrain, en positionnant, dès l’installation, les manifestes qui serviront à faire le pont avec le navigateur de l’utilisateur.
La méthode n’est pas du goût d’Alexander Hanff :
« Je n’ai installé aucune extension Anthropic pour mon navigateur. Je n’ai jamais installé d’extension Claude pour des raisons de confidentialité et de sécurité. J’ai installé Claude Desktop, l’application Mac, il y a quelque temps. C’est le seul élément sur cet ordinateur qui aurait pu créer ce fichier. Claude Desktop a accédé à Brave, un navigateur d’un fournisseur totalement différent, et a enregistré une porte dérobée pour une extension que je ne possède pas. »
Un problème de sécurité ?
Admettons avec lui que le procédé est un peu cavalier – un lieu commun dans l’univers de l’IA générative. Pour le consultant, elle soulève aussi un véritable problème de sécurité. Documentation d’Anthropic sur Claude Code with Chrome à l’appui, il remarque que quand une extension est reliée par ce pont avec l’application installée en local, tout agent exécuté par le modèle accède à des droits équivalents à ceux de l’utilisateur enregistré sur la machine.
« Le pont s’exécute en dehors du bac à sable du navigateur avec un niveau de privilèges équivalent à l’utilisateur, et les hôtes de messagerie native n’apparaissent dans aucun processus macOS standard ou interface utilisateur d’autorisation, ils sont invoqués par le navigateur et communiquent via stdio. »
Pour appuyer sa critique, Hanff rappelle que, de l’aveu même d’Anthropic, l’utilisation de Claude in Chrome n’est pas anodine. En août dernier, lors de l’annonce de la mise à disposition en bêta de son extension pour Chrome, l’entreprise indiquait en effet que son composant était vulnérable à l’injection de prompt, c’est-à-dire l’envoi de commandes malveillantes susceptibles d’entraîner une action non sollicitée sur la machine hôte.
« Un exemple d’attaque réussie – avant la mise en place de nos nouvelles défenses – consistait en un courriel malveillant prétendant que, pour des raisons de sécurité, des courriels devaient être supprimés. Lors du traitement de la boîte de réception, Claude a suivi ces instructions et supprimé les courriels de l’utilisateur sans confirmation », écrivait alors Anthropic. L’entreprise ajoutait que sans ses nouvelles mesures de protection, sa red team avait réussi 23,6 % de ses attaques par injection.
Native Messaging n’est pas exempt de défauts
« La fonctionnalité préinstallée silencieusement sur l’ordinateur portable de chaque utilisateur ayant déjà exécuté Claude.app est, selon les propres mesures d’Anthropic, vulnérable à une injection de code environ une fois sur quatre. », en conclut Alexander Hanff.
S’il est vrai que la connexion d’une application AI à un navigateur soulève un risque d’attaque par injection de prompt sur la machine, la conclusion se révèle peut-être un peu hâtive : toutes les installations de Claude desktop sur Mac n’en sont pas pour autant vulnérables puisqu’il faut encore que l’extension associée soit installée pour que le pont opère.
Autrement dit, les vrais vecteurs d’attaque ne seraient pas le manifeste proprement dit, mais plutôt l’exécutable installé en local, ou les extensions autorisées par ledit manifeste.
On peut en revanche aller dans le sens d’Alexander Hanff en soulignant que Native Messaging en tant que tel n’est pas absolument exempt de défaut du point de vue de la sécurité. En 2024, des recherches conduites autour de l’implémentation de l’extension 1Password sur Chromium ont par exemple montré qu’il était possible de s’immiscer dans le protocole (attaque de type man in the middle), faute de vérification au moment d’enclencher la réponse des binaires aux demandes de l’extension.
À l’époque, le sujet n’avait pas été considéré comme critique, notamment parce que, pour être exploitée, cette vulnérabilité supposait que le code responsable de l’attaque et la cible tournent sous le même compte utilisateur. Corrigée tout de même au nom du principe de précaution chez Chromium, mais aussi chez 1Password et Firefox, elle se révèle aujourd’hui sous un jour plus sensible.
De façon plus anecdotique, on remarque que le comportement de ce composant chrome-native-host a donné lieu à un rapport de bug en janvier dernier sur le Github de Claude Code. À l’époque, ce n’était pas l’éventuel caractère intrusif de la démarche qui motivait la discussion, mais plutôt un conflit entre les .json dédiés respectivement à Claude Code et Claude Desktop.
Une infraction à la directive e-Privacy ?
Plus qu’une réelle faille de sécurité, il reste en revanche un comportement que l’on est en droit de qualifier de suspect, puisqu’il n’est pas annoncé. Hanff va plus loin, en affirmant qu’avec cet ajout sous-marin, Anthropic enfreint plusieurs lois, dont la fameuse directive européenne e-Privacy de 2002.
« Je tiens à être franc. Il s’agit d’une pratique douteuse. De plus, à mon avis professionnel, c’est une violation directe de l’article 5, paragraphe 3, de la directive 2002/58/CE, ainsi que de nombreuses lois relatives à l’accès et à l’utilisation abusive des ordinateurs (généralement du droit pénal), à une échelle suffisamment importante pour avoir des conséquences, chez un fournisseur qui a déployé des efforts considérables pour se forger une image de laboratoire d’IA soucieux de la sécurité. »
L’article concerné (voir texte intégral), qui motive les bandeaux de consentement sur le web ou la récente recommandation de la Cnil sur les pixels espion dans les emails, dispose pour mémoire qu’un acteur n’est autorisé à stocker ou accéder à des informations sur la machine de l’utilisateur qu’après consentement éclairé de ce dernier. Le texte tolère toutefois une exception pour finalités « strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
La justice considèrerait-elle la création d’un pont Native Messaging comme nécessaire, alors que l’application Claude a vocation à fonctionner sans lien direct avec le navigateur ? Plutôt que d’attendre de voir ce qu’en pense la justice, le consultant suggère à Anthropic de supprimer ce pont, ou a minima de conditionner la création des manifestes à un consentement explicite. « Si ce n’est pas le cas, nous saurons ce que vaut réellement la politique d’Anthropic en matière de sécurité publique », lâche-t-il pour conclure.
S’il est tentant d’user de la commande rm pour évacuer ces .json non sollicités, leur suppression ne sera que de courte durée, puisque les fichiers sont recréés à chaque nouveau lancement de l’application Claude.
SpaceX, désormais rapprochée de l’entreprise d’intelligence artificielle xAI, a annoncé la signature d’un partenariat avec l’éditeur de l’environnement de développement Cursor. Le deal prévoit une option d’achat à 60 milliards de dollars d’ici la fin de l’année.
Non contente de préparer la plus grande introduction en bourse de l’histoire, SpaceX vient de signer un partenariat avec l’entreprise éditrice de Cursor, un environnement de développement logiciel (IDE) basé sur l’intelligence artificielle. L’accord, résumé en un tweet, doit selon SpaceX permettre aux deux entreprises de « travailler en étroite collaboration pour créer la meilleure IA au monde pour le codage et le travail intellectuel ».
SpaceX évoque l’utilisation, par Cursor, des capacités d’entraînement du million de puces H100 de son supercalculateur Colossus, pour « construire les modèles les plus utiles au monde ». En échange, l’entreprise d’Elon Musk disposera d’un « produit de pointe et d’un réseau de distribution performant auprès d’ingénieurs logiciels experts ».
Annonce de SpaceX postée sur X le 22 avril – capture d’écran
Plus concrètement ? Les modalités précises de l’accord n’ont pas été détaillées, mais on comprend que Cursor a vocation à utiliser les infrastructures de xAI pour entraîner son propre modèle Composer, lancé fin 2025. En échange, xAI met la main sur une activité en fort développement, et se dote dans le même temps d’un produit populaire capable de rivaliser avec Claude Code d’Anthropic ou Codex d’OpenAI.
Dans ce contexte, Cursor accorde à SpaceX le droit de l’acquérir pour 60 milliards de dollars d’ici la fin de l’année. À défaut de transaction finalisée, SpaceX verserait à Cursor 10 milliards de dollars d’indemnités.
Cursor, l’IDE nativement tourné vers l’IA
Initialement conçu comme un fork de VS Code (Microsoft), Cursor se présente pour mémoire comme un environnement de développement nativement IA, mais destiné aux développeurs professionnels ou avertis.
La logique n’est pas celle du vibe coding (création semi-automatisée d’une application avec peu ou pas de compétences techniques), mais plutôt celle de l’usine logicielle : le développeur exploite des agents qui écrivent le code, exécutent les tests, préparent les déploiements, etc., au sein d’un environnement dont il est censé garder la maitrise.
Cursor 3, sorti début avril 2026, renforce cette dimension usine à agents, en permettant par exemple de gérer au sein d’une même interface des agents exécutés en local avec des modèles hébergés sur des infrastructures distantes ou des LLM commerciaux.
Historiquement, Cursor se voulait agnostique au niveau des modèles : son interface et l’abonnement associé permettent d’exploiter tous les produits courants du marché (OpenAI, Anthropic, etc.), avec un orchestrateur capable d’aller chercher le bon modèle pour la bonne tâche, à la façon de ce que propose un produit comme OpenRouter.
Fin 2025, Cursor a musclé son jeu avec la publication de Composer, son premier modèle agentique pour le code. Passé en version 1.5 en février, puis en version 2 en mars dernier, Composer revendique des performances supérieures à celles des modèles plus généralistes (Gemini, Claude, ChatGPT, etc.) sur les missions liées au code. Et Cursor a logiquement besoin de tenir son rang face aux progrès continus affichés par les modèles concurrents.
« Nous voulions aller beaucoup plus loin dans nos efforts d’entraînement, mais nous étions limités par les capacités de calcul. Grâce à ce partenariat, notre équipe s’appuiera sur l’infrastructure Colossus de xAI pour accroître considérablement les capacités de nos modèles. », affirme à ce niveau l’équipe de Cursor.
Une option de rachat sur fond de levée de fonds
Que ferait précisément xAI de Cursor si cette option d’achat à 60 milliards de dollars était exercée ? Difficile à dire à ce stade. En attendant de juger sur pièce, le deal annoncé par SpaceX interfère avec un processus de levée de fonds qui semblait déjà bien engagé.
CNBC révélait dimanche 19 avril que Cursor était en plein tour de table, avec l’ambition de réunir 2 milliards de dollars d’argent frais, sur une valorisation à 50 milliards de dollars, calculée avant recapitalisation. L’opération aurait notamment associé Andreessen Horowitz, NVIDIA et Thrive Capital, déjà actionnaires de Cursor.
Cette cinquième levée de fonds post-amorçage (série E) serait intervenue six mois après la précédente (série D) : en novembre 2025, Cursor avait annoncé avoir réuni 2,3 milliards de dollars, sur une valorisation (incluant les montants levés) de 29,3 milliards de dollars. À l’époque, Cursor indiquait avoir dépassé 1 milliard de dollars de chiffre d’affaires annualisé.
Les 60 milliards de dollars indiqués par SpaceX constitueraient un premium par rapport aux montants évoqués par la presse, mais l’horizon de réalisation, fixé « plus tard dans l’année » ne prend pas en compte l’évolution possible de la valorisation de Cursor.
Le deal ira-t-il à son terme ? Dans un contexte d’introduction en bourse pour SpaceX, le simple fait de montrer que les investissements pharaoniques de xAI dans les supercalculateurs Colossus trouvent des débouchés commerciaux est peut-être un signal largement suffisant pour justifier le versement de 10 milliards de dollars d’indemnités…
SpaceX, désormais rapprochée de l’entreprise d’intelligence artificielle xAI, a annoncé la signature d’un partenariat avec l’éditeur de l’environnement de développement Cursor. Le deal prévoit une option d’achat à 60 milliards de dollars d’ici la fin de l’année.
Non contente de préparer la plus grande introduction en bourse de l’histoire, SpaceX vient de signer un partenariat avec l’entreprise éditrice de Cursor, un environnement de développement logiciel (IDE) basé sur l’intelligence artificielle. L’accord, résumé en un tweet, doit selon SpaceX permettre aux deux entreprises de « travailler en étroite collaboration pour créer la meilleure IA au monde pour le codage et le travail intellectuel ».
SpaceX évoque l’utilisation, par Cursor, des capacités d’entraînement du million de puces H100 de son supercalculateur Colossus, pour « construire les modèles les plus utiles au monde ». En échange, l’entreprise d’Elon Musk disposera d’un « produit de pointe et d’un réseau de distribution performant auprès d’ingénieurs logiciels experts ».
Annonce de SpaceX postée sur X le 22 avril – capture d’écran
Plus concrètement ? Les modalités précises de l’accord n’ont pas été détaillées, mais on comprend que Cursor a vocation à utiliser les infrastructures de xAI pour entraîner son propre modèle Composer, lancé fin 2025. En échange, xAI met la main sur une activité en fort développement, et se dote dans le même temps d’un produit populaire capable de rivaliser avec Claude Code d’Anthropic ou Codex d’OpenAI.
Dans ce contexte, Cursor accorde à SpaceX le droit de l’acquérir pour 60 milliards de dollars d’ici la fin de l’année. À défaut de transaction finalisée, SpaceX verserait à Cursor 10 milliards de dollars d’indemnités.
Cursor, l’IDE nativement tourné vers l’IA
Initialement conçu comme un fork de VS Code (Microsoft), Cursor se présente pour mémoire comme un environnement de développement nativement IA, mais destiné aux développeurs professionnels ou avertis.
La logique n’est pas celle du vibe coding (création semi-automatisée d’une application avec peu ou pas de compétences techniques), mais plutôt celle de l’usine logicielle : le développeur exploite des agents qui écrivent le code, exécutent les tests, préparent les déploiements, etc., au sein d’un environnement dont il est censé garder la maitrise.
Cursor 3, sorti début avril 2026, renforce cette dimension usine à agents, en permettant par exemple de gérer au sein d’une même interface des agents exécutés en local avec des modèles hébergés sur des infrastructures distantes ou des LLM commerciaux.
Historiquement, Cursor se voulait agnostique au niveau des modèles : son interface et l’abonnement associé permettent d’exploiter tous les produits courants du marché (OpenAI, Anthropic, etc.), avec un orchestrateur capable d’aller chercher le bon modèle pour la bonne tâche, à la façon de ce que propose un produit comme OpenRouter.
Fin 2025, Cursor a musclé son jeu avec la publication de Composer, son premier modèle agentique pour le code. Passé en version 1.5 en février, puis en version 2 en mars dernier, Composer revendique des performances supérieures à celles des modèles plus généralistes (Gemini, Claude, ChatGPT, etc.) sur les missions liées au code. Et Cursor a logiquement besoin de tenir son rang face aux progrès continus affichés par les modèles concurrents.
« Nous voulions aller beaucoup plus loin dans nos efforts d’entraînement, mais nous étions limités par les capacités de calcul. Grâce à ce partenariat, notre équipe s’appuiera sur l’infrastructure Colossus de xAI pour accroître considérablement les capacités de nos modèles. », affirme à ce niveau l’équipe de Cursor.
Une option de rachat sur fond de levée de fonds
Que ferait précisément xAI de Cursor si cette option d’achat à 60 milliards de dollars était exercée ? Difficile à dire à ce stade. En attendant de juger sur pièce, le deal annoncé par SpaceX interfère avec un processus de levée de fonds qui semblait déjà bien engagé.
CNBC révélait dimanche 19 avril que Cursor était en plein tour de table, avec l’ambition de réunir 2 milliards de dollars d’argent frais, sur une valorisation à 50 milliards de dollars, calculée avant recapitalisation. L’opération aurait notamment associé Andreessen Horowitz, NVIDIA et Thrive Capital, déjà actionnaires de Cursor.
Cette cinquième levée de fonds post-amorçage (série E) serait intervenue six mois après la précédente (série D) : en novembre 2025, Cursor avait annoncé avoir réuni 2,3 milliards de dollars, sur une valorisation (incluant les montants levés) de 29,3 milliards de dollars. À l’époque, Cursor indiquait avoir dépassé 1 milliard de dollars de chiffre d’affaires annualisé.
Les 60 milliards de dollars indiqués par SpaceX constitueraient un premium par rapport aux montants évoqués par la presse, mais l’horizon de réalisation, fixé « plus tard dans l’année » ne prend pas en compte l’évolution possible de la valorisation de Cursor.
Le deal ira-t-il à son terme ? Dans un contexte d’introduction en bourse pour SpaceX, le simple fait de montrer que les investissements pharaoniques de xAI dans les supercalculateurs Colossus trouvent des débouchés commerciaux est peut-être un signal largement suffisant pour justifier le versement de 10 milliards de dollars d’indemnités…
Amazon a officialisé mardi 21 avril l’arrivée du bouquet Apple TV au sein de son abonnement Prime Video, moyennant la souscription d’une option dédiée, un « pass » facturé 9,99 euros par mois ou 99 euros par an.
Ce dernier permet d’accéder, via l’interface de Prime Video, à l’intégralité du catalogue Apple TV, dont certaines séries à succès tels que Severance, Pluribus ou Ted Lasso, mais aussi l’offre de films et de documentaires, dont le film F1 qui, chronologie des médias oblige, n’arrivera que fin 2026.
« Les clients Amazon peuvent s’abonner à Apple TV sans avoir à télécharger d’autres applications que Prime Video. L’abonnement peut être résilié à tout moment. », décrit Amazon. Comme souvent, l’arrivée de cet abonnement optionnel s’accompagne d’une offre d’essai gratuite de sept jours, qui constitue un produit d’appel supplémentaire pour l’abonnement Prime Video.
L’offre optionnelle Apple TV s’affiche en page d’accueil de Prime Video – capture d’écran
L’arrivée d’Apple TV sur Amazon pour les comptes basés en France était attendue de longue date, puisque les deux entreprises ont déjà formalisé ce rapprochement dans de nombreux pays.
Elle participe d’une tendance plus large, qui voit les géants du streaming Amazon et Netflix rivaliser d’accord pour enrichir leurs portails, et fédérer des catalogues qui dépassent largement leurs productions propres.
Amazon s’enorgueillit ainsi de proposer, sous forme d’abonnements optionnels, HBO Max, Ligue 1 +, Paramount+, Crunchyroll, MGM ou Ciné+OCS. La plateforme syndique aussi depuis l’été 2025 l’intégralité de l’offre de streaming de France TV. Netflix diffusera pour sa part les contenus VOD et le direct de la chaîne TF1 à compter de l’été 2026.
Amazon a officialisé mardi 21 avril l’arrivée du bouquet Apple TV au sein de son abonnement Prime Video, moyennant la souscription d’une option dédiée, un « pass » facturé 9,99 euros par mois ou 99 euros par an.
Ce dernier permet d’accéder, via l’interface de Prime Video, à l’intégralité du catalogue Apple TV, dont certaines séries à succès tels que Severance, Pluribus ou Ted Lasso, mais aussi l’offre de films et de documentaires, dont le film F1 qui, chronologie des médias oblige, n’arrivera que fin 2026.
« Les clients Amazon peuvent s’abonner à Apple TV sans avoir à télécharger d’autres applications que Prime Video. L’abonnement peut être résilié à tout moment. », décrit Amazon. Comme souvent, l’arrivée de cet abonnement optionnel s’accompagne d’une offre d’essai gratuite de sept jours, qui constitue un produit d’appel supplémentaire pour l’abonnement Prime Video.
L’offre optionnelle Apple TV s’affiche en page d’accueil de Prime Video – capture d’écran
L’arrivée d’Apple TV sur Amazon pour les comptes basés en France était attendue de longue date, puisque les deux entreprises ont déjà formalisé ce rapprochement dans de nombreux pays.
Elle participe d’une tendance plus large, qui voit les géants du streaming Amazon et Netflix rivaliser d’accord pour enrichir leurs portails, et fédérer des catalogues qui dépassent largement leurs productions propres.
Amazon s’enorgueillit ainsi de proposer, sous forme d’abonnements optionnels, HBO Max, Ligue 1 +, Paramount+, Crunchyroll, MGM ou Ciné+OCS. La plateforme syndique aussi depuis l’été 2025 l’intégralité de l’offre de streaming de France TV. Netflix diffusera pour sa part les contenus VOD et le direct de la chaîne TF1 à compter de l’été 2026.
Nouvel accord croisé entre Anthropic et Amazon. L’éditeur de Claude s’engage à consommer l’équivalent de 5 GW de puissance de calcul sur les infrastructures d’AWS. En échange, Amazon investit 5 milliards de dollars dans Anthropic, avec une option portant sur 20 milliards de dollars supplémentaires. Les deux annoncent par ailleurs la disponibilité native de Claude Platform sur AWS, pour l’instant en bêta privée.
Anthropic et Amazon ont dévoilé lundi les contours d’un nouvel accord croisé, avec un investissement en capital échangé contre une promesse de dépenses garanties. Sur le volet financier, Amazon injecte 5 milliards de dollars d’argent frais dans Anthropic, et ouvre une fenêtre pour 20 milliards de dollars supplémentaires, selon des modalités, ou plutôt des conditions, qui n’ont pas été précisées. Ces sommes s’ajoutent aux 8 milliards de dollars déjà investis par Amazon dans Anthropic en deux vagues, entre fin 2023 et fin 2024.
Anthropic s’engage à exploiter massivement les puces Trainium
En face, Anthropic s’engage de son côté à exploiter l’équivalent de 5 GW de puissance informatique pour entraîner et déployer Claude. Cette allocation concerne notamment « la nouvelle capacité Trainium2 qui sera mise en service au cours du premier semestre de cette année et près de 1 GW de capacité totale Trainium2 et Trainium3 qui sera mise en service d’ici la fin de 2026 », indiquent les deux partenaires.
Que recouvrent exactement ces chiffres, à plus forte raison sur une génération Trainium3 dont l’efficacité et les performances n’ont pas encore été mesurées en production ? L’équivalent puissance devenu la norme dans la communication des grands noms de l’IA est toujours aussi flou. À titre de comparaison, Anthropic affirme à l’occasion de ce nouvel accord exploiter aujourd’hui un million de puces Trainium2 pour entraîner et exploiter ses modèles Claude. Fin octobre, l’entreprise évoquait déjà son intention d’exploiter un million des TPU concurrents fournis par Google.
Si floues que soient les capacités de calcul réellement mises en œuvre, les engagements d’Anthropic représentent, selon l’entreprise, « plus de 100 milliards de dollars » de dépenses sur les dix prochaines années. Aux puces allouées en propre, s’ajoutent des capacités (non chiffrées) prévues sur Amazon Bedrock, l’infrastructure exploitée par Amazon pour ses propres services d’infrastructure IA.
Claude Platform sur la facture AWS
Au-delà de ces investissements croisés, l’accord prévoit une dimension supplémentaire inédite : Claude Platform (l’accès aux modèles d’Anthropic par API, par opposition aux canaux de type application ou chatbot web) va faire l’objet d’une intégration directe dans les outils d’Amazon Web Services (AWS). Le leader du cloud computing va donc distribuer Claude sans intermédiaire auprès de ses clients.
« Même compte, mêmes contrôles, même facturation, avec davantage de fonctionnalités de la plateforme Claude et sans identifiants ni contrats supplémentaires. Les organisations bénéficient ainsi d’un accès direct à Claude tout en respectant leurs exigences de gouvernance et de conformité existantes. », affirme Anthropic. L’accès à Claude Platform dans AWS se fait pour l’instant sur demande.
Anthropic était jusqu’ici mis en avant au travers des services Bedrock, mais ces derniers se veulent agnostiques quant au modèle utilisé. Reste à voir dans quelle mesure cette intégration au sein des processus et des outils plus généralistes d’AWS se traduira par un gain d’activité pour l’entreprise.
En attendant, l’entreprise profite de l’occasion pour remettre en avant les chiffres exceptionnels de sa croissance. Elle réaffirme avoir atteint une projection de chiffre d’affaires annuel supérieure à 30 milliards de dollars, contre 9 milliards de dollars fin 2025, ce qui la place devant OpenAI : l’entreprise de Sam Altman affirmait de son côté fin mars réaliser 2 milliards de chiffre d’affaires par mois, à l’occasion d’un point d’étape sur sa dernière levée de fonds en cours. Affichée à 122 milliards de dollars d’engagements, celle-ci mobilise une trentaine d’investisseurs, au premier rang desquels un certain Amazon, impliqué à hauteur de 50 milliards de dollars.
Nouvel accord croisé entre Anthropic et Amazon. L’éditeur de Claude s’engage à consommer l’équivalent de 5 GW de puissance de calcul sur les infrastructures d’AWS. En échange, Amazon investit 5 milliards de dollars dans Anthropic, avec une option portant sur 20 milliards de dollars supplémentaires. Les deux annoncent par ailleurs la disponibilité native de Claude Platform sur AWS, pour l’instant en bêta privée.
Anthropic et Amazon ont dévoilé lundi les contours d’un nouvel accord croisé, avec un investissement en capital échangé contre une promesse de dépenses garanties. Sur le volet financier, Amazon injecte 5 milliards de dollars d’argent frais dans Anthropic, et ouvre une fenêtre pour 20 milliards de dollars supplémentaires, selon des modalités, ou plutôt des conditions, qui n’ont pas été précisées. Ces sommes s’ajoutent aux 8 milliards de dollars déjà investis par Amazon dans Anthropic en deux vagues, entre fin 2023 et fin 2024.
Anthropic s’engage à exploiter massivement les puces Trainium
En face, Anthropic s’engage de son côté à exploiter l’équivalent de 5 GW de puissance informatique pour entraîner et déployer Claude. Cette allocation concerne notamment « la nouvelle capacité Trainium2 qui sera mise en service au cours du premier semestre de cette année et près de 1 GW de capacité totale Trainium2 et Trainium3 qui sera mise en service d’ici la fin de 2026 », indiquent les deux partenaires.
Que recouvrent exactement ces chiffres, à plus forte raison sur une génération Trainium3 dont l’efficacité et les performances n’ont pas encore été mesurées en production ? L’équivalent puissance devenu la norme dans la communication des grands noms de l’IA est toujours aussi flou. À titre de comparaison, Anthropic affirme à l’occasion de ce nouvel accord exploiter aujourd’hui un million de puces Trainium2 pour entraîner et exploiter ses modèles Claude. Fin octobre, l’entreprise évoquait déjà son intention d’exploiter un million des TPU concurrents fournis par Google.
Si floues que soient les capacités de calcul réellement mises en œuvre, les engagements d’Anthropic représentent, selon l’entreprise, « plus de 100 milliards de dollars » de dépenses sur les dix prochaines années. Aux puces allouées en propre, s’ajoutent des capacités (non chiffrées) prévues sur Amazon Bedrock, l’infrastructure exploitée par Amazon pour ses propres services d’infrastructure IA.
Claude Platform sur la facture AWS
Au-delà de ces investissements croisés, l’accord prévoit une dimension supplémentaire inédite : Claude Platform (l’accès aux modèles d’Anthropic par API, par opposition aux canaux de type application ou chatbot web) va faire l’objet d’une intégration directe dans les outils d’Amazon Web Services (AWS). Le leader du cloud computing va donc distribuer Claude sans intermédiaire auprès de ses clients.
« Même compte, mêmes contrôles, même facturation, avec davantage de fonctionnalités de la plateforme Claude et sans identifiants ni contrats supplémentaires. Les organisations bénéficient ainsi d’un accès direct à Claude tout en respectant leurs exigences de gouvernance et de conformité existantes. », affirme Anthropic. L’accès à Claude Platform dans AWS se fait pour l’instant sur demande.
Anthropic était jusqu’ici mis en avant au travers des services Bedrock, mais ces derniers se veulent agnostiques quant au modèle utilisé. Reste à voir dans quelle mesure cette intégration au sein des processus et des outils plus généralistes d’AWS se traduira par un gain d’activité pour l’entreprise.
En attendant, l’entreprise profite de l’occasion pour remettre en avant les chiffres exceptionnels de sa croissance. Elle réaffirme avoir atteint une projection de chiffre d’affaires annuel supérieure à 30 milliards de dollars, contre 9 milliards de dollars fin 2025, ce qui la place devant OpenAI : l’entreprise de Sam Altman affirmait de son côté fin mars réaliser 2 milliards de chiffre d’affaires par mois, à l’occasion d’un point d’étape sur sa dernière levée de fonds en cours. Affichée à 122 milliards de dollars d’engagements, celle-ci mobilise une trentaine d’investisseurs, au premier rang desquels un certain Amazon, impliqué à hauteur de 50 milliards de dollars.
"Embrassez le pouvoir de l’anneau ou embrassez votre propre destruction"
Palantir a publié samedi sur X un manifeste en 22 points qui reprend l’essentiel de la thèse développée par son cofondateur, Alex Karp. Aussi péremptoires que belliqueuses, ses propositions dépeignent la façon dont le monde numérique devrait se mettre au service d’une politique elle-même centrée sur une logique de pouvoir absolu. « Nous devons résister à la tentation superficielle d’un pluralisme vide et creux », écrit Palantir.
Un manifeste pour les esprits libres, doublé d’un appel à restaurer la grandeur de l’Amérique conquérante : voilà, en substance, comment l’éditeur d’Alex Karp présente son dernier livre, The Technological Republic. Coécrit avec Nicholas Zamiska, son bras droit chez Palantir, l’ouvrage vient de faire l’objet d’un résumé en 22 points publié sur le compte X de l’entreprise samedi 18 avril et déjà vu plus de 25 millions de fois.
Les idées qui y sont défendues ne sont pas inédites pour qui s’est déjà intéressé à Alex Karp et à son acolyte Peter Thiel, cofondateurs de ce géant de la tech spécialisé dans l’analyse de données à des fins décisionnelles. Elles ont toutefois reçu samedi un écho et une forme de caution institutionnelle sans précédent. Cette fois, ce n’est pas Alex Karp qui fait son show face à des caméras. C’est une entreprise pesant 350 milliards de dollars en bourse qui s’exprime.
La tech au service de la domination états-unienne du monde
Karp avait déjà donné un avant-goût de sa thèse principale mi-mars : la Silicon Valley n’est pas assez reconnaissante envers le pays qui lui a permis de grandir. Elle devrait donc non seulement participer à la défense du pays, mais aussi accepter que ses propres orientations soient mises au service d’une cause supérieure : la domination états-unienne du monde. « La décadence d’une culture ou d’une civilisation, et même de sa classe dirigeante, ne sera pardonnée que si cette culture est capable d’assurer la croissance économique et la sécurité publique », écrit Palantir.
Capture d’écran du manifeste posté par Palantir
Autrement dit, la victoire, qui ne peut plus passer par la diplomatie ou le soft power. « La capacité des sociétés libres et démocratiques à triompher exige bien plus qu’un simple appel à la morale. Elle requiert une puissance coercitive [hard power, ndlr], et cette puissance coercitive, au XXIᵉ siècle, reposera sur des outils numériques », enchaîne Palantir, selon qui la question n’est pas de savoir s’il y aura des armes dotées d’intelligence artificielle, mais de savoir qui les construira et à quelle fin.
« Nos adversaires ne s’attarderont pas à des débats théâtraux (…) ils avanceront », prophétise Palantir. Le monde serait de ce fait entré dans une « nouvelle ère de dissuasion fondée sur l’IA » qui supplanterait l’ère atomique, et aux prémices de laquelle le désarmement de l’Allemagne et du Japon, prononcé à la fin de la Deuxième Guerre mondiale, se révéleraient des erreurs de premier plan. La Chine n’est pas nommée dans les mille mots de ce manifeste, mais elle est régulièrement évoquée comme l’adversaire à écraser dans les sorties publiques d’Alex Karp.
Lutter contre l’adversaire intérieur
L’ennemi n’est pas que chinois : dans le discours de Palantir, il gangrène non seulement la Silicon Valley, mais aussi une partie de la société américaine, sclérosée par « la tyrannie des apps », l’absence de service militaire obligatoire et le manque de reconnaissance, que cette dernière s’exerce vis-à-vis des classes laborieuses ou des milliardaires intéressés par les « grands récits » comme Elon Musk.
En réponse, Palantir affirme que la Silicon Valley doit assumer de jouer un rôle dans la lutte contre la criminalité violente, et que la parole publique doit être libérée pour que les personnes inefficaces et vides sortent du champ, au profit de ceux qui osent avoir des convictions.
Ces convictions, justement, ne devraient pas se limiter au politique ou à l’économie. « L’intolérance de l’élite envers les croyances religieuses est peut-être l’un des signes les plus révélateurs que son projet politique constitue un mouvement intellectuel moins ouvert que beaucoup en son sein ne le prétendent. », écrit Palantir.
Le nouveau dogme serait ainsi que « toutes les cultures sont désormais égales », et que « la critique et les jugements de valeur sont proscrits », déplore Palantir. Avant de terminer par un dernier point, numéroté 22. « Nous devons résister à la tentation superficielle d’un pluralisme vide et creux. En Amérique, et plus largement en Occident, nous avons, depuis un demi-siècle, refusé de définir des cultures nationales au nom de l’inclusion. Mais inclusion dans quoi ? »
Est-ce la technologie, l’intelligence artificielle, le religieux ou le politique qui doit définir le nouvel ordre social ? Peter Thiel se fait un plaisir de développer sa vision teintée d’Apocalypse dans les conférences qu’il donne en petit comité à San Francisco, Paris ou Rome.
Palantir, en tant qu’entreprise, ne répond pas directement à la question dans son manifeste, mais une chose est sure : le discours de l’entreprise est globalement en phase avec l’idéologie en vigueur dans la sphère MAGA aux États-Unis. Corrélation n’est pas causalité, mais difficile de ne pas penser que cette proximité a profité aux affaires de Palantir, dont les ramifications s’étendent de plus en plus loin dans les agences américaines.
L’entreprise n’en est d’ailleurs pas à son coup d’essai. En 2024, elle développait déjà certaines de ces idées dans un traité consacré à la résurrection de l’industrie américaine. À l’été 2025, elle s’était cependant défendue publiquement des questions accusatoires formulées à son encontre par des membres du Congrès au sujet d’une éventuelle participation à une base de données consacrée au fichage de la population. Un an plus tard, elle montre que, quel que soit le régime ou la région du monde, c’est sur le conflit comme levier de puissance et de domination que repose sa doctrine.
"Embrassez le pouvoir de l’anneau ou embrassez votre propre destruction"
Palantir a publié samedi sur X un manifeste en 22 points qui reprend l’essentiel de la thèse développée par son cofondateur, Alex Karp. Aussi péremptoires que belliqueuses, ses propositions dépeignent la façon dont le monde numérique devrait se mettre au service d’une politique elle-même centrée sur une logique de pouvoir absolu. « Nous devons résister à la tentation superficielle d’un pluralisme vide et creux », écrit Palantir.
Un manifeste pour les esprits libres, doublé d’un appel à restaurer la grandeur de l’Amérique conquérante : voilà, en substance, comment l’éditeur d’Alex Karp présente son dernier livre, The Technological Republic. Coécrit avec Nicholas Zamiska, son bras droit chez Palantir, l’ouvrage vient de faire l’objet d’un résumé en 22 points publié sur le compte X de l’entreprise samedi 18 avril et déjà vu plus de 25 millions de fois.
Les idées qui y sont défendues ne sont pas inédites pour qui s’est déjà intéressé à Alex Karp et à son acolyte Peter Thiel, cofondateurs de ce géant de la tech spécialisé dans l’analyse de données à des fins décisionnelles. Elles ont toutefois reçu samedi un écho et une forme de caution institutionnelle sans précédent. Cette fois, ce n’est pas Alex Karp qui fait son show face à des caméras. C’est une entreprise pesant 350 milliards de dollars en bourse qui s’exprime.
La tech au service de la domination états-unienne du monde
Karp avait déjà donné un avant-goût de sa thèse principale mi-mars : la Silicon Valley n’est pas assez reconnaissante envers le pays qui lui a permis de grandir. Elle devrait donc non seulement participer à la défense du pays, mais aussi accepter que ses propres orientations soient mises au service d’une cause supérieure : la domination états-unienne du monde. « La décadence d’une culture ou d’une civilisation, et même de sa classe dirigeante, ne sera pardonnée que si cette culture est capable d’assurer la croissance économique et la sécurité publique », écrit Palantir.
Capture d’écran du manifeste posté par Palantir
Autrement dit, la victoire, qui ne peut plus passer par la diplomatie ou le soft power. « La capacité des sociétés libres et démocratiques à triompher exige bien plus qu’un simple appel à la morale. Elle requiert une puissance coercitive [hard power, ndlr], et cette puissance coercitive, au XXIᵉ siècle, reposera sur des outils numériques », enchaîne Palantir, selon qui la question n’est pas de savoir s’il y aura des armes dotées d’intelligence artificielle, mais de savoir qui les construira et à quelle fin.
« Nos adversaires ne s’attarderont pas à des débats théâtraux (…) ils avanceront », prophétise Palantir. Le monde serait de ce fait entré dans une « nouvelle ère de dissuasion fondée sur l’IA » qui supplanterait l’ère atomique, et aux prémices de laquelle le désarmement de l’Allemagne et du Japon, prononcé à la fin de la Deuxième Guerre mondiale, se révéleraient des erreurs de premier plan. La Chine n’est pas nommée dans les mille mots de ce manifeste, mais elle est régulièrement évoquée comme l’adversaire à écraser dans les sorties publiques d’Alex Karp.
Lutter contre l’adversaire intérieur
L’ennemi n’est pas que chinois : dans le discours de Palantir, il gangrène non seulement la Silicon Valley, mais aussi une partie de la société américaine, sclérosée par « la tyrannie des apps », l’absence de service militaire obligatoire et le manque de reconnaissance, que cette dernière s’exerce vis-à-vis des classes laborieuses ou des milliardaires intéressés par les « grands récits » comme Elon Musk.
En réponse, Palantir affirme que la Silicon Valley doit assumer de jouer un rôle dans la lutte contre la criminalité violente, et que la parole publique doit être libérée pour que les personnes inefficaces et vides sortent du champ, au profit de ceux qui osent avoir des convictions.
Ces convictions, justement, ne devraient pas se limiter au politique ou à l’économie. « L’intolérance de l’élite envers les croyances religieuses est peut-être l’un des signes les plus révélateurs que son projet politique constitue un mouvement intellectuel moins ouvert que beaucoup en son sein ne le prétendent. », écrit Palantir.
Le nouveau dogme serait ainsi que « toutes les cultures sont désormais égales », et que « la critique et les jugements de valeur sont proscrits », déplore Palantir. Avant de terminer par un dernier point, numéroté 22. « Nous devons résister à la tentation superficielle d’un pluralisme vide et creux. En Amérique, et plus largement en Occident, nous avons, depuis un demi-siècle, refusé de définir des cultures nationales au nom de l’inclusion. Mais inclusion dans quoi ? »
Est-ce la technologie, l’intelligence artificielle, le religieux ou le politique qui doit définir le nouvel ordre social ? Peter Thiel se fait un plaisir de développer sa vision teintée d’Apocalypse dans les conférences qu’il donne en petit comité à San Francisco, Paris ou Rome.
Palantir, en tant qu’entreprise, ne répond pas directement à la question dans son manifeste, mais une chose est sure : le discours de l’entreprise est globalement en phase avec l’idéologie en vigueur dans la sphère MAGA aux États-Unis. Corrélation n’est pas causalité, mais difficile de ne pas penser que cette proximité a profité aux affaires de Palantir, dont les ramifications s’étendent de plus en plus loin dans les agences américaines.
L’entreprise n’en est d’ailleurs pas à son coup d’essai. En 2024, elle développait déjà certaines de ces idées dans un traité consacré à la résurrection de l’industrie américaine. À l’été 2025, elle s’était cependant défendue publiquement des questions accusatoires formulées à son encontre par des membres du Congrès au sujet d’une éventuelle participation à une base de données consacrée au fichage de la population. Un an plus tard, elle montre que, quel que soit le régime ou la région du monde, c’est sur le conflit comme levier de puissance et de domination que repose sa doctrine.
Vercel et sa plateforme permettant de déployer une application web en quelques clics ont été victimes d’un incident de sécurité, signalé par l’entreprise dimanche 19 avril.
« Nous avons initialement identifié un nombre limité de clients dont les identifiants Vercel avaient été compromis. Nous avons contacté ces clients et leur avons recommandé de renouveler immédiatement leurs identifiants », indique l’entreprise, selon qui les personnes qui n’ont pas été contactées n’ont donc a priori pas d’inquiétude à avoir.
Vercel invite tout de même ses utilisateurs à vérifier l’activité de leur compte et renouveler leurs variables d’environnement pendant que ses équipes poursuivent leurs investigations en interne. Vercel rappelle à ce propos que ses outils permettent de qualifier une variable de sensible, de façon à la stocker sans qu’il soit possible de la lire.
Et c’est justement là que le bât aurait blessé :
« L’incident a débuté par une compromission de Context.ai, un outil d’IA tiers utilisé par un employé de Vercel. L’attaquant a exploité cet accès pour prendre le contrôle du compte Google Workspace Vercel de l’employé, ce qui lui a permis d’accéder à certains environnements et variables d’environnement Vercel qui n’étaient pas marqués comme sensibles. »
En attendant de mesurer les répercussions exactes sur les clients et utilisateurs de Vercel, l’incident illustre le risque supplémentaire lié à l’intégration d’outils d’IA tierce partie dans les processus de développement et de déploiement.
Vercel alerte sur une intrusion causée, a priori, par une double erreur de paramétrage liée à un outil IA non déclaré.
« Notre enquête a révélé que l’incident provenait d’un petit outil d’IA tiers dont l’application Google Workspace OAuth a fait l’objet d’une compromission plus large, affectant potentiellement ses centaines d’utilisateurs dans de nombreuses organisations », alerte à ce sujet Vercel.
Context, qui propose des services permettant d’interfacer des agents IA avec les ressources internes de l’entreprise, confirme avoir été victime d’une intrusion en mars dernier, qui aurait permis à l’attaquant de compromettre certains jetons OAuth utilisé par ses clients.
« Nous avons également appris qu’il semble avoir utilisé un jeton OAuth compromis pour accéder à l’espace de travail Google de Vercel. Bien que Vercel ne soit pas client de Context, il apparaît qu’au moins un employé de Vercel s’est inscrit à la suite AI Office avec son compte professionnel Vercel et a accordé les autorisations « Tout autoriser ». »
Vercel et sa plateforme permettant de déployer une application web en quelques clics ont été victimes d’un incident de sécurité, signalé par l’entreprise dimanche 19 avril.
« Nous avons initialement identifié un nombre limité de clients dont les identifiants Vercel avaient été compromis. Nous avons contacté ces clients et leur avons recommandé de renouveler immédiatement leurs identifiants », indique l’entreprise, selon qui les personnes qui n’ont pas été contactées n’ont donc a priori pas d’inquiétude à avoir.
Vercel invite tout de même ses utilisateurs à vérifier l’activité de leur compte et renouveler leurs variables d’environnement pendant que ses équipes poursuivent leurs investigations en interne. Vercel rappelle à ce propos que ses outils permettent de qualifier une variable de sensible, de façon à la stocker sans qu’il soit possible de la lire.
Et c’est justement là que le bât aurait blessé :
« L’incident a débuté par une compromission de Context.ai, un outil d’IA tiers utilisé par un employé de Vercel. L’attaquant a exploité cet accès pour prendre le contrôle du compte Google Workspace Vercel de l’employé, ce qui lui a permis d’accéder à certains environnements et variables d’environnement Vercel qui n’étaient pas marqués comme sensibles. »
En attendant de mesurer les répercussions exactes sur les clients et utilisateurs de Vercel, l’incident illustre le risque supplémentaire lié à l’intégration d’outils d’IA tierce partie dans les processus de développement et de déploiement.
Vercel alerte sur une intrusion causée, a priori, par une double erreur de paramétrage liée à un outil IA non déclaré.
« Notre enquête a révélé que l’incident provenait d’un petit outil d’IA tiers dont l’application Google Workspace OAuth a fait l’objet d’une compromission plus large, affectant potentiellement ses centaines d’utilisateurs dans de nombreuses organisations », alerte à ce sujet Vercel.
Context, qui propose des services permettant d’interfacer des agents IA avec les ressources internes de l’entreprise, confirme avoir été victime d’une intrusion en mars dernier, qui aurait permis à l’attaquant de compromettre certains jetons OAuth utilisé par ses clients.
« Nous avons également appris qu’il semble avoir utilisé un jeton OAuth compromis pour accéder à l’espace de travail Google de Vercel. Bien que Vercel ne soit pas client de Context, il apparaît qu’au moins un employé de Vercel s’est inscrit à la suite AI Office avec son compte professionnel Vercel et a accordé les autorisations « Tout autoriser ». »
Connexion
