Pionnier français de la vente en ligne, l’ex PriceMinister devenu Rakuten cherche un repreneur pour ses activités e-commerce en France. À défaut, l’entreprise envisage l’arrêt pur et simple de la version française de sa place de marché, ce qui se traduirait par la suppression d’environ 180 emplois.
Ce projet à deux issues possible, cession ou fermeture, a été présenté aux représentants du personnel le 7 avril dernier. Révélée par Capital, elle a depuis été confirmée par l’intermédiaire d’une déclaration transmise à l’AFP ainsi qu’à la rédaction de Next.
« Ce projet s’inscrit dans un contexte de déclin de l’activité depuis une dizaine d’années, malgré les efforts et investissements continus du groupe Rakuten en France, écrit l’entreprise. La reprise des activités par un acquéreur est privilégiée, dans la continuité des investissements et innovations menés ces dernières années pour soutenir le développement de la marketplace de Rakuten en France. »
À défaut, la fermeture de l’activité serait envisagée à partir du troisième trimestre 2026.
« L’activité de marketplace de Rakuten en France opère depuis une dizaine d’années dans un marché en rapide mutation et fait face à une perte d’activité chronique. Malgré les efforts marketing et opérationnels importants menés (tels que le lancement d’un programme fidélité de premier plan, le développement de l’offre de seconde main, le lancement de l’affiliation et la mise en place d’une solution logistique à destination des marchands), le nombre de clients a baissé de 33% en 10 ans et le trafic a reculé de 42% sur la même période. », détaille la direction de Rakuten France.
En septembre dernier, Rakuten France annonçait le lancement d’une « version optimisée de sa marketplace » en Espagne.
Fondé en 2001, PriceMinister a fait pendant dix ans figure de poids lourd et de principale alternative à eBay sur le marché e-commerce français, jusqu’à motiver le rachat de l’entreprise par le géant japonais Rakuten en 2010. Renommé Rakuten France en 2018, le site combinait adroitement produits neufs et d’occasion sur sa place de marché, avec des logiques de fidélisation et des mécaniques de cashback avantageuses qui ont longtemps entretenu sa popularité.
La vague a toutefois fini par passer. D’après le baromètre trimestriel Fevad/Médiamétrie, Rakuten France totalisait quelque 9,5 millions de visiteurs uniques mensuels sur son site au troisième trimestre 2025. Une audience toujours très significative, mais inférieure de moitié à celles des nouvelles plateformes vedettes de type Shein et Temu, sans même parler de Vinted ou Leboncoin (30,2 millions de visiteurs uniques par mois) sur la seconde main.
La filiale française n’a communiqué aucun élément financier quant à sa situation, mais les résultats financiers de sa maison mère montrent que l’activité qui réunit Rakuten TV (services de vidéo à la demande) et Rakuten France est déficitaire à hauteur de plusieurs dizaines de millions d’euros depuis au moins trois exercices.
Extrait des résultats financiers 2025 du groupe Rakuten. En rose sur le graphique de droite, la contribution négative de l’ensemble EU qui réunit Rakuten TV et Rakuten France
La direction de Rakuten France assure que le projet se limite à sa marketplace et donc aux activités relevant du pur e-commerce :
« Le groupe Rakuten reste engagé en France et en Europe à travers ses autres entités qui poursuivent leur développement : Rakuten Symphony, Rakuten TV, Rakuten Viki, Rakuten Kobo, Rakuten Viber et Rakuten Advertising. Le Centre technologique Rakuten Europe, basé à Paris et jouant le rôle de pôle clé d’innovation technologique pour l’ensemble du groupe Rakuten, continuera de se développer et de soutenir les activités de Rakuten en France, en Europe et en Asie. »
Pionnier français de la vente en ligne, l’ex PriceMinister devenu Rakuten cherche un repreneur pour ses activités e-commerce en France. À défaut, l’entreprise envisage l’arrêt pur et simple de la version française de sa place de marché, ce qui se traduirait par la suppression d’environ 180 emplois.
Ce projet à deux issues possible, cession ou fermeture, a été présenté aux représentants du personnel le 7 avril dernier. Révélée par Capital, elle a depuis été confirmée par l’intermédiaire d’une déclaration transmise à l’AFP ainsi qu’à la rédaction de Next.
« Ce projet s’inscrit dans un contexte de déclin de l’activité depuis une dizaine d’années, malgré les efforts et investissements continus du groupe Rakuten en France, écrit l’entreprise. La reprise des activités par un acquéreur est privilégiée, dans la continuité des investissements et innovations menés ces dernières années pour soutenir le développement de la marketplace de Rakuten en France. »
À défaut, la fermeture de l’activité serait envisagée à partir du troisième trimestre 2026.
« L’activité de marketplace de Rakuten en France opère depuis une dizaine d’années dans un marché en rapide mutation et fait face à une perte d’activité chronique. Malgré les efforts marketing et opérationnels importants menés (tels que le lancement d’un programme fidélité de premier plan, le développement de l’offre de seconde main, le lancement de l’affiliation et la mise en place d’une solution logistique à destination des marchands), le nombre de clients a baissé de 33% en 10 ans et le trafic a reculé de 42% sur la même période. », détaille la direction de Rakuten France.
En septembre dernier, Rakuten France annonçait le lancement d’une « version optimisée de sa marketplace » en Espagne.
Fondé en 2001, PriceMinister a fait pendant dix ans figure de poids lourd et de principale alternative à eBay sur le marché e-commerce français, jusqu’à motiver le rachat de l’entreprise par le géant japonais Rakuten en 2010. Renommé Rakuten France en 2018, le site combinait adroitement produits neufs et d’occasion sur sa place de marché, avec des logiques de fidélisation et des mécaniques de cashback avantageuses qui ont longtemps entretenu sa popularité.
La vague a toutefois fini par passer. D’après le baromètre trimestriel Fevad/Médiamétrie, Rakuten France totalisait quelque 9,5 millions de visiteurs uniques mensuels sur son site au troisième trimestre 2025. Une audience toujours très significative, mais inférieure de moitié à celles des nouvelles plateformes vedettes de type Shein et Temu, sans même parler de Vinted ou Leboncoin (30,2 millions de visiteurs uniques par mois) sur la seconde main.
La filiale française n’a communiqué aucun élément financier quant à sa situation, mais les résultats financiers de sa maison mère montrent que l’activité qui réunit Rakuten TV (services de vidéo à la demande) et Rakuten France est déficitaire à hauteur de plusieurs dizaines de millions d’euros depuis au moins trois exercices.
Extrait des résultats financiers 2025 du groupe Rakuten. En rose sur le graphique de droite, la contribution négative de l’ensemble EU qui réunit Rakuten TV et Rakuten France
La direction de Rakuten France assure que le projet se limite à sa marketplace et donc aux activités relevant du pur e-commerce :
« Le groupe Rakuten reste engagé en France et en Europe à travers ses autres entités qui poursuivent leur développement : Rakuten Symphony, Rakuten TV, Rakuten Viki, Rakuten Kobo, Rakuten Viber et Rakuten Advertising. Le Centre technologique Rakuten Europe, basé à Paris et jouant le rôle de pôle clé d’innovation technologique pour l’ensemble du groupe Rakuten, continuera de se développer et de soutenir les activités de Rakuten en France, en Europe et en Asie. »
L’association noyb a déposé plainte contre LinkedIn auprès de l’autorité autrichienne de protection des données. Elle constate que le réseau social refuse de communiquer gratuitement la liste des personnes ayant visité le profil d’un utilisateur au nom de l’article 15 du RGPD, alors que ces informations sont accessibles dans le cadre de l’abonnement LinkedIn Premium.
« 270 personnes ont consulté votre profil au cours des 90 derniers jours », affiche LinkedIn, après clic sur une notification signalant la visite d’un « recruteur » et de trois autres personnes. Problème : le réseau social ne donne que des indices succincts sur le profil des curieux en question. Pour savoir qui ils sont vraiment, la plateforme invite, ou plutôt incite, à souscrire son abonnement payant : « Développez votre carrière ou votre entreprise avec Premium. Accédez à la liste complète maintenant ».
Deux poids deux mesures ?
L’accès à ces données ne devrait-il pas être concédé gratuitement sur demande de l’utilisateur ? C’est l’hypothèse soulevée par l’association de défense de la vie privée noyb (none of your business), dans une plainte (PDF en allemand) déposée mardi 5 mai devant l’autorité autrichienne de protection des données, la DSB. Elle y invoque l’article 15 du RGPD, celui qui dispose qu’un internaute est en droit d’accéder aux données personnelles le concernant, sur demande, auprès d’un responsable de traitement.
Dans le détail, l’association explique représenter un internaute qui a tenté d’obtenir, auprès de LinkedIn, la liste des personnes ayant visité son profil. Pour ce faire, l’utilisateur a d’abord utilisé les fonctions de téléchargement des données personnelles mises à disposition par la plateforme. À défaut d’y avoir trouvé les visiteurs de son profil, il a ensuite sollicité directement le réseau social via son formulaire de contact, et se serait vu opposer une fin de non-recevoir.
Après relance, LinkedIn aurait répondu au plaignant ne pas être tenu de mettre à disposition les données relatives aux personnes ayant consulté son profil, dans la mesure où ce ne sont pas ses propres informations personnelles, mais celles d’autres membres.
LinkedIn utilise la possibilité de voir qui a visité votre profil comme un levier vers ses offres d’abonnement payant – capture d’écran
Autrement dit, le réseau social ne pourrait pas communiquer ces informations dans la mesure où elles concernent d’autres utilisateurs. Mais dans le même temps, son abonnement payant permet de faire sauter cette barrière.
Pour noyb, LinkedIn entretient à ce niveau un double discours difficilement tenable. « Il est clair que si ces données sont affichées dans le cadre d’un abonnement Premium, elles devraient également être accessibles sur demande, conformément à l’article 15 du RGPD », résume l’association dans un communiqué.
L’article 15 mentionne explicitement les « destinataires »
Pour justifier cette position, elle s’appuie notamment sur l’alinéa c) du paragraphe 1 de l’article 15, qui dispose que cette obligation de correspondance englobe « les destinataires » auxquels les données personnelles ont été communiquées. Elle rappelle par ailleurs que cette lecture du règlement a été confirmée par une décision de la CJUE faisant jurisprudence.
Elle fait enfin valoir que LinkedIn offre, au niveau du profil, une option permettant de visiter de façon anonyme la page d’autres utilisateurs du réseau : ceux qui n’activent pas cette option acceptent donc, selon noyb, d’être perçus comme destinataires, ce qui écarterait donc le risque d’une atteinte aux droits et libertés d’autrui telle que prévue par le point 4 de l’article 15.
Sur la base de ces éléments, noyb demande à la CNIL autrichienne de donner suite à la demande d’accès formulée par le plaignant, mais aussi de prononcer une amende dissuasive à l’encontre de LinkedIn. « La protection des droits et libertés d’autrui peut effectivement justifier la non-divulgation de données personnelles partagées. Toutefois, si une entreprise a obtenu le consentement requis et se montre clairement disposée à mettre ces mêmes données à disposition moyennant paiement, cet argument ne tient plus », résume Martin Baumann, l’avocat de noyb.
LinkedIn et sa maison-mère, Microsoft, n’ont pour l’instant pas réagi publiquement.
L’association noyb a déposé plainte contre LinkedIn auprès de l’autorité autrichienne de protection des données. Elle constate que le réseau social refuse de communiquer gratuitement la liste des personnes ayant visité le profil d’un utilisateur au nom de l’article 15 du RGPD, alors que ces informations sont accessibles dans le cadre de l’abonnement LinkedIn Premium.
« 270 personnes ont consulté votre profil au cours des 90 derniers jours », affiche LinkedIn, après clic sur une notification signalant la visite d’un « recruteur » et de trois autres personnes. Problème : le réseau social ne donne que des indices succincts sur le profil des curieux en question. Pour savoir qui ils sont vraiment, la plateforme invite, ou plutôt incite, à souscrire son abonnement payant : « Développez votre carrière ou votre entreprise avec Premium. Accédez à la liste complète maintenant ».
Deux poids deux mesures ?
L’accès à ces données ne devrait-il pas être concédé gratuitement sur demande de l’utilisateur ? C’est l’hypothèse soulevée par l’association de défense de la vie privée noyb (none of your business), dans une plainte (PDF en allemand) déposée mardi 5 mai devant l’autorité autrichienne de protection des données, la DSB. Elle y invoque l’article 15 du RGPD, celui qui dispose qu’un internaute est en droit d’accéder aux données personnelles le concernant, sur demande, auprès d’un responsable de traitement.
Dans le détail, l’association explique représenter un internaute qui a tenté d’obtenir, auprès de LinkedIn, la liste des personnes ayant visité son profil. Pour ce faire, l’utilisateur a d’abord utilisé les fonctions de téléchargement des données personnelles mises à disposition par la plateforme. À défaut d’y avoir trouvé les visiteurs de son profil, il a ensuite sollicité directement le réseau social via son formulaire de contact, et se serait vu opposer une fin de non-recevoir.
Après relance, LinkedIn aurait répondu au plaignant ne pas être tenu de mettre à disposition les données relatives aux personnes ayant consulté son profil, dans la mesure où ce ne sont pas ses propres informations personnelles, mais celles d’autres membres.
LinkedIn utilise la possibilité de voir qui a visité votre profil comme un levier vers ses offres d’abonnement payant – capture d’écran
Autrement dit, le réseau social ne pourrait pas communiquer ces informations dans la mesure où elles concernent d’autres utilisateurs. Mais dans le même temps, son abonnement payant permet de faire sauter cette barrière.
Pour noyb, LinkedIn entretient à ce niveau un double discours difficilement tenable. « Il est clair que si ces données sont affichées dans le cadre d’un abonnement Premium, elles devraient également être accessibles sur demande, conformément à l’article 15 du RGPD », résume l’association dans un communiqué.
L’article 15 mentionne explicitement les « destinataires »
Pour justifier cette position, elle s’appuie notamment sur l’alinéa c) du paragraphe 1 de l’article 15, qui dispose que cette obligation de correspondance englobe « les destinataires » auxquels les données personnelles ont été communiquées. Elle rappelle par ailleurs que cette lecture du règlement a été confirmée par une décision de la CJUE faisant jurisprudence.
Elle fait enfin valoir que LinkedIn offre, au niveau du profil, une option permettant de visiter de façon anonyme la page d’autres utilisateurs du réseau : ceux qui n’activent pas cette option acceptent donc, selon noyb, d’être perçus comme destinataires, ce qui écarterait donc le risque d’une atteinte aux droits et libertés d’autrui telle que prévue par le point 4 de l’article 15.
Sur la base de ces éléments, noyb demande à la CNIL autrichienne de donner suite à la demande d’accès formulée par le plaignant, mais aussi de prononcer une amende dissuasive à l’encontre de LinkedIn. « La protection des droits et libertés d’autrui peut effectivement justifier la non-divulgation de données personnelles partagées. Toutefois, si une entreprise a obtenu le consentement requis et se montre clairement disposée à mettre ces mêmes données à disposition moyennant paiement, cet argument ne tient plus », résume Martin Baumann, l’avocat de noyb.
LinkedIn et sa maison-mère, Microsoft, n’ont pour l’instant pas réagi publiquement.
Une grenouille vit un bœuf qui lui sembla de belle taille
La chaîne de magasins spécialisés dans le jeu vidéo GameStop a lancé, dimanche 3 mai, une offre d’achat aussi audacieuse que non sollicitée sur eBay, le vétéran de la vente aux enchères en ligne. La proposition, qui consiste en un mélange de cash, d’actions et d’une dette devant encore être financée, permettrait d’allier les points de vente physiques de GameStop et l’audience d’eBay pour créer un nouveau géant états-unien du e-commerce.
GameStop a formulé dimanche 3 mai une offre d’achat portant sur la totalité du capital d’eBay. Affichée à 125 dollars par action, elle représente une enveloppe totale de 55,5 milliards de dollars, soit une appréciation d’environ 21 % par rapport à la valeur d’eBay à Wall Street (46 milliards de dollars vendredi, sur la base d’un cours à 104,7 dollars).
À cette occasion, GameStop a révélé avoir déjà acquis environ 5 % du capital d’eBay. La chaîne, qui compte environ 1 600 magasins aux États-Unis (et a mis en vente sa filiale française Micromania), pèse de son côté quelque 11,9 milliards de dollars en bourse. Elle s’attaque donc à une cible quatre fois plus grosse qu’elle.
Une offre d’achat financée à 50% en actions GameStop
GameStop dévoile succinctement les deux principaux aspects de son offre dans son offre d’achat : le financement bien sûr, et son plan de transformation pour eBay.
Sur le premier volet, GameStop propose de payer la transaction moitié en cash, et moitié en transfert d’actions. La partie cash viendrait de ses propres liquidités, complétées par une ligne de dette de 20 milliards de dollars, pour laquelle l’acquéreur affirme avoir obtenu une lettre d’engagement de la part du groupe bancaire canadien TD Securities.
Les 50 % proposés en actions constituent la grande inconnue de l’opération : GameStop part du principe que l’offre constitue un premium pour les actionnaires d’eBay dans la mesure où la réunion des deux entreprises doit permettre d’en augmenter la valeur cumulée.
Pour ce faire, GameStop présente un plan en deux parties. D’abord, un programme drastique de réduction des coûts, qui permettrait d’économiser 2 milliards de dollars sur la seule première année, en sabrant notamment les dépenses marketing (1,2 milliard), développement produit (300 millions) et les frais de fonctionnement généraux, dont les ressources humaines (500 millions).
From click to mortar
Dans le même temps, GameStop et eBay enclencheraient une synergie sans précédent, présentée au travers d’une simple phrase dans la communication boursière de l’acquéreur :
« Au-delà des coûts, les quelque 1 600 points de vente GameStop aux États-Unis offrent à eBay un réseau national pour l’authentification, la réception, le traitement des commandes et le commerce en direct. »
Ryan Cohen, CEO de GameStop, a confirmé dimanche au Wall Street Journal que c’est bien là que se situait le cœur de sa proposition en matière de création de valeur : associer le réseau physique de GameStop à la compétence historique d’eBay en matière de commerce en ligne. « Cela pourrait faire un concurrent sérieux pour Amazon », estime l’intéressé.
Sur le papier, la combinaison des deux modèles ne manque pas d’intérêt. GameStop dispose d’un important réseau de magasins. Le groupe a su redresser la barre en diversifiant ses activités au-delà du simple jeu vidéo (cartes à collectionner, figurines, etc.), mais il n’a en revanche jamais vraiment décollé dans la vente en ligne.
eBay dispose de son côté d’une marque à la fois puissante et rentable. Le groupe fondé en 1995 est en croissance et réalise un volume d’affaires significatif (3,1 milliards de dollars de chiffre d’affaires sur le premier trimestre 2026), mais il fonctionne sur un modèle de pure place de marché, sans capacités logistiques propres, qui le rend moins compétitif qu’un Amazon sur son marché domestique.
Le conseil d’administration d’eBay n’a pour l’instant pas réagi à cette offre d’achat. Ryan Cohen se dit quant à lui prêt à porter son offre directement auprès des actionnaires en cas d’échec auprès des administrateurs.
Reste à voir comment réagiront les actionnaires en question, notamment vis-à-vis d’un paiement réalisé pour moitié en actions GameStop. eBay entretient en effet une politique de dividende modeste, mais régulier, et procède régulièrement à des rachats d’actions sur le marché pour entretenir son cours en bourse. À 104 dollars, le titre est d’ailleurs sur un plus haut historique.
En face, l’image de GameStop est immanquablement écornée par l’épisode tumultueux de 2021, quand des milliers de petits porteurs s’étaient mobilisés pour faire échouer la vente à découvert orchestrée par certains fonds d’investissement. Le cours de l’action avait alors connu de véritables montagnes russes, avant de revenir à des niveaux de valorisation plus conformes à l’activité réelle du groupe (3,63 milliards de dollars de chiffre d’affaires en 2025).
Ryan Cohen a de son côté créé en 2011 un site e-commerce spécialisé dans les produits pour animaux de compagnie, avant de le vendre six ans plus tard pour 3,4 milliards de dollars. Il est entré au capital de GameStop en 2020, devenant rapidement le principal actionnaire individuel de la chaîne, avant d’en prendre les commandes fin 2023 en tant que CEO.
En mars dernier, Cohen frimait au micro de CNBC en affirmant qu’il allait lancer GameStop à l’assaut d’une très, très grosse société cotée en bourse mais surtout sous-évaluée par rapport à son potentiel réel. Dimanche, il a estimé auprès du Wall Street Journal que sous sa houlette, la valorisation d’eBay pourrait se compter en centaines de milliards de dollars. En cas de fusion réussie, son offre d’achat prévoit en effet qu’il prenne les commandes opérationnelles du nouvel ensemble.
Une grenouille vit un bœuf qui lui sembla de belle taille
La chaîne de magasins spécialisés dans le jeu vidéo GameStop a lancé, dimanche 3 mai, une offre d’achat aussi audacieuse que non sollicitée sur eBay, le vétéran de la vente aux enchères en ligne. La proposition, qui consiste en un mélange de cash, d’actions et d’une dette devant encore être financée, permettrait d’allier les points de vente physiques de GameStop et l’audience d’eBay pour créer un nouveau géant états-unien du e-commerce.
GameStop a formulé dimanche 3 mai une offre d’achat portant sur la totalité du capital d’eBay. Affichée à 125 dollars par action, elle représente une enveloppe totale de 55,5 milliards de dollars, soit une appréciation d’environ 21 % par rapport à la valeur d’eBay à Wall Street (46 milliards de dollars vendredi, sur la base d’un cours à 104,7 dollars).
À cette occasion, GameStop a révélé avoir déjà acquis environ 5 % du capital d’eBay. La chaîne, qui compte environ 1 600 magasins aux États-Unis (et a mis en vente sa filiale française Micromania), pèse de son côté quelque 11,9 milliards de dollars en bourse. Elle s’attaque donc à une cible quatre fois plus grosse qu’elle.
Une offre d’achat financée à 50% en actions GameStop
GameStop dévoile succinctement les deux principaux aspects de son offre dans son offre d’achat : le financement bien sûr, et son plan de transformation pour eBay.
Sur le premier volet, GameStop propose de payer la transaction moitié en cash, et moitié en transfert d’actions. La partie cash viendrait de ses propres liquidités, complétées par une ligne de dette de 20 milliards de dollars, pour laquelle l’acquéreur affirme avoir obtenu une lettre d’engagement de la part du groupe bancaire canadien TD Securities.
Les 50 % proposés en actions constituent la grande inconnue de l’opération : GameStop part du principe que l’offre constitue un premium pour les actionnaires d’eBay dans la mesure où la réunion des deux entreprises doit permettre d’en augmenter la valeur cumulée.
Pour ce faire, GameStop présente un plan en deux parties. D’abord, un programme drastique de réduction des coûts, qui permettrait d’économiser 2 milliards de dollars sur la seule première année, en sabrant notamment les dépenses marketing (1,2 milliard), développement produit (300 millions) et les frais de fonctionnement généraux, dont les ressources humaines (500 millions).
From click to mortar
Dans le même temps, GameStop et eBay enclencheraient une synergie sans précédent, présentée au travers d’une simple phrase dans la communication boursière de l’acquéreur :
« Au-delà des coûts, les quelque 1 600 points de vente GameStop aux États-Unis offrent à eBay un réseau national pour l’authentification, la réception, le traitement des commandes et le commerce en direct. »
Ryan Cohen, CEO de GameStop, a confirmé dimanche au Wall Street Journal que c’est bien là que se situait le cœur de sa proposition en matière de création de valeur : associer le réseau physique de GameStop à la compétence historique d’eBay en matière de commerce en ligne. « Cela pourrait faire un concurrent sérieux pour Amazon », estime l’intéressé.
Sur le papier, la combinaison des deux modèles ne manque pas d’intérêt. GameStop dispose d’un important réseau de magasins. Le groupe a su redresser la barre en diversifiant ses activités au-delà du simple jeu vidéo (cartes à collectionner, figurines, etc.), mais il n’a en revanche jamais vraiment décollé dans la vente en ligne.
eBay dispose de son côté d’une marque à la fois puissante et rentable. Le groupe fondé en 1995 est en croissance et réalise un volume d’affaires significatif (3,1 milliards de dollars de chiffre d’affaires sur le premier trimestre 2026), mais il fonctionne sur un modèle de pure place de marché, sans capacités logistiques propres, qui le rend moins compétitif qu’un Amazon sur son marché domestique.
Le conseil d’administration d’eBay n’a pour l’instant pas réagi à cette offre d’achat. Ryan Cohen se dit quant à lui prêt à porter son offre directement auprès des actionnaires en cas d’échec auprès des administrateurs.
Reste à voir comment réagiront les actionnaires en question, notamment vis-à-vis d’un paiement réalisé pour moitié en actions GameStop. eBay entretient en effet une politique de dividende modeste, mais régulier, et procède régulièrement à des rachats d’actions sur le marché pour entretenir son cours en bourse. À 104 dollars, le titre est d’ailleurs sur un plus haut historique.
En face, l’image de GameStop est immanquablement écornée par l’épisode tumultueux de 2021, quand des milliers de petits porteurs s’étaient mobilisés pour faire échouer la vente à découvert orchestrée par certains fonds d’investissement. Le cours de l’action avait alors connu de véritables montagnes russes, avant de revenir à des niveaux de valorisation plus conformes à l’activité réelle du groupe (3,63 milliards de dollars de chiffre d’affaires en 2025).
Ryan Cohen a de son côté créé en 2011 un site e-commerce spécialisé dans les produits pour animaux de compagnie, avant de le vendre six ans plus tard pour 3,4 milliards de dollars. Il est entré au capital de GameStop en 2020, devenant rapidement le principal actionnaire individuel de la chaîne, avant d’en prendre les commandes fin 2023 en tant que CEO.
En mars dernier, Cohen frimait au micro de CNBC en affirmant qu’il allait lancer GameStop à l’assaut d’une très, très grosse société cotée en bourse mais surtout sous-évaluée par rapport à son potentiel réel. Dimanche, il a estimé auprès du Wall Street Journal que sous sa houlette, la valorisation d’eBay pourrait se compter en centaines de milliards de dollars. En cas de fusion réussie, son offre d’achat prévoit en effet qu’il prenne les commandes opérationnelles du nouvel ensemble.
Microsoft, Meta, Amazon et Alphabet (Google) ont tous quatre profité de la publication de leurs résultats financiers pour annoncer, mercredi, une révision à la hausse de leurs investissements en direction de l’IA. Les enveloppes prévisionnelles cumulées représentent désormais plus de 700 milliards de dollars sur l’année.
S’il y a une bulle de l’IA, elle n’affecte pas encore les performances des grands noms de la tech. Dans une rare publication simultanée de résultats financiers, les quatre groupes ont en effet fait état, mercredi 29 avril, de résultats supérieurs aux attentes pour toutes les activités liées au cloud, c’est-à-dire à la mise à disposition d’infrastructures, de logiciels ou de services informatiques.
Le chiffre d’affaires cloud s’envole
Au jeu de la croissance, Google Cloud affiche (PDF) des chiffres particulièrement impressionnants, avec un chiffre d’affaires qui passe de 12,26 milliards à 20 milliards de dollars sur le seul premier trimestre, soit une augmentation de l’ordre de 60 %. Et la division affiche des perspectives solides, avec un carnet de commandes supérieur à 460 milliards de dollars selon le groupe.
La hausse est moins marquée sur les autres activités, mais elle se révèle néanmoins très soutenue sur la publicité liée au search (+ 20 % sur un an, à 60 milliards de dollars). La maison mère Alphabet conclut de ce fait le trimestre sur un chiffre d’affaires de près de 110 milliards de dollars, en hausse de 22 % sur un an.
Pour Alphabet, c’est l’intelligence artificielle qui sous-tend cette croissance, et pas uniquement dans le cloud. La publicité en ligne ou les investissements sur YouTube profiteraient eux aussi d’une accélération due à la démocratisation des outils d’automatisation dans les processus d’achat, notamment programmatiques.
Sundar Pichai attribue une part significative de ce succès à la surface couverte par Google. « Ces résultats exceptionnels reposent sur notre approche intégrée et différenciée. Nos modèles propriétaires, comme Gemini, traitent désormais plus de 16 milliards de jetons par minute via l’utilisation directe de l’API par nos clients, soit une hausse de 60 % par rapport au trimestre précédent. »
Amazon, leader du marché, n’est pas en reste. Ses résultats (PDF) font ressortir une activité en hausse de 28 % sur un an pour la branche AWS (Amazon Web Services), soit la croissance la plus importante enregistrée sur les 15 derniers trimestres, souligne le groupe. Son chiffre d’affaires s’établit ainsi à 37,6 milliards de dollars sur les trois premiers mois de l’année, contre 29,3 milliards un an plus tôt.
L’IA comme moteur de la croissance
Sur le volet cloud, Amazon souligne que le trimestre lui a permis de nouer une trentaine d’accords industriels autour du cloud avec des acteurs de premier plan, au premier rang desquels on trouve plusieurs locomotives de la scène IA dont OpenAI, Anthropic, NVIDIA, mais aussi Meta, l’armée américaine ou le français Veolia.
Pour ne rien gâcher, Amazon affiche également une montée en puissance continue dans le domaine des semiconducteurs, qui lui permet d’être à la fois son propre fournisseur et son premier client. L’activité représente désormais une projection de chiffre d’affaires annuel à plus de 20 milliards de dollars, souligne le groupe, à qui l’on prête l’intention d’ouvrir son carnet de commandes à des tiers.
Là aussi, l’IA est présentée comme l’un des catalyseurs de l’activité AWS, dont la division spécialisée, Bedrock, a traité sur le trimestre plus de tokens « que toutes les années précédentes réunies ».
Il reste 60% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Quand la publication d’une archive prend des accents de découverte archéologique : Microsoft a annoncé lundi 28 avril la publication du « plus ancien code source DOS jamais découvert ». Le code en question fait effectivement figure d’antiquité à l’échelle de l’informatique moderne : il est daté du 28 avril 1981, et recouvre le noyau ainsi que certains composants clés de 86-DOS 1.00, le système d’exploitation écrit par Tim Paterson qui donnera naissance, quelques mois plus tard, à la première mouture de MS-DOS.
Hébergé sur GitHub, le répertoire dédié est baptisé « Paterson Listings », en référence aux sorties papier d’imprimante qui ont permis à ces lignes de code historiques de traverser l’histoire. Ce projet de conservation prend en effet naissance dans un email de Tim Paterson à Len Shustek, ancien président du conseil d’administration du célèbre Computer History Museum de Mountain View, en Californie.
Paterson y explique avoir retrouvé le code source de certaines des premières versions de MS-DOS, progressivement mises à disposition du public via le site du musée, puis directement sur GitHub par Microsoft en 2018. Dans cet email, Paterson signale aussi avoir retrouvé « une pile de 15 cm d’impressions de listes d’assembleur pour certains de ces programmes et probablement d’autres programmes connexes ».
C’est la numérisation de cette pile de papier qui permet aujourd’hui la publication, sous licence MIT, du code source de 86-DOS 1.00, de son noyau, et de certains utilitaires comme CHKDSK. La valeur de l’ensemble dépasse largement la simple capacité à compiler une vénérable antiquité logicielle, selon Microsoft :
« Il est également important de noter que ces documents ne sont pas de simples versions de système d’exploitation au sens traditionnel du terme. Dans plusieurs cas, il s’agit de documents représentant des états de travail à un instant T et des notes manuscrites, conservées par Tim Paterson lui-même. On peut les comparer à un historique des modifications d’un dépôt Git. Ils retracent la chronologie des changements, indiquant quelles fonctionnalités ont été implémentées, à quel moment, quelles erreurs ont été commises et comment elles ont été corrigées. »
Les archives de Tim Paterson sont diffusées à la fois sous forme de scans des sorties papier, et sous forme de code, récupéré via OCR.
Extrait des premières lignes du code de 86-DOS 1.0
Quand la publication d’une archive prend des accents de découverte archéologique : Microsoft a annoncé lundi 28 avril la publication du « plus ancien code source DOS jamais découvert ». Le code en question fait effectivement figure d’antiquité à l’échelle de l’informatique moderne : il est daté du 28 avril 1981, et recouvre le noyau ainsi que certains composants clés de 86-DOS 1.00, le système d’exploitation écrit par Tim Paterson qui donnera naissance, quelques mois plus tard, à la première mouture de MS-DOS.
Hébergé sur GitHub, le répertoire dédié est baptisé « Paterson Listings », en référence aux sorties papier d’imprimante qui ont permis à ces lignes de code historiques de traverser l’histoire. Ce projet de conservation prend en effet naissance dans un email de Tim Paterson à Len Shustek, ancien président du conseil d’administration du célèbre Computer History Museum de Mountain View, en Californie.
Paterson y explique avoir retrouvé le code source de certaines des premières versions de MS-DOS, progressivement mises à disposition du public via le site du musée, puis directement sur GitHub par Microsoft en 2018. Dans cet email, Paterson signale aussi avoir retrouvé « une pile de 15 cm d’impressions de listes d’assembleur pour certains de ces programmes et probablement d’autres programmes connexes ».
C’est la numérisation de cette pile de papier qui permet aujourd’hui la publication, sous licence MIT, du code source de 86-DOS 1.00, de son noyau, et de certains utilitaires comme CHKDSK. La valeur de l’ensemble dépasse largement la simple capacité à compiler une vénérable antiquité logicielle, selon Microsoft :
« Il est également important de noter que ces documents ne sont pas de simples versions de système d’exploitation au sens traditionnel du terme. Dans plusieurs cas, il s’agit de documents représentant des états de travail à un instant T et des notes manuscrites, conservées par Tim Paterson lui-même. On peut les comparer à un historique des modifications d’un dépôt Git. Ils retracent la chronologie des changements, indiquant quelles fonctionnalités ont été implémentées, à quel moment, quelles erreurs ont été commises et comment elles ont été corrigées. »
Les archives de Tim Paterson sont diffusées à la fois sous forme de scans des sorties papier, et sous forme de code, récupéré via OCR.
Extrait des premières lignes du code de 86-DOS 1.0
Canal+ vient d’obtenir du tribunal judiciaire de Paris une salve de décisions ordonnant la mise en œuvre de mesures de blocage portant sur une vingtaine de sites de streaming donnant accès aux retransmissions de la saison en cours de Formule 1 et de MotoGP. Comme dans le foot, Canal+ ratisse large pour défendre ses droits, avec des procédures qui visent opérateurs, moteurs de recherche, fournisseurs de DNS alternatifs et VPN.
Cette nouvelle salve de décisions n’endiguera pas définitivement le phénomène, mais elle devrait conforter Canal+ dans sa volonté de porter le fer aussi souvent que possible pour faire valoir ses droits. Le groupe audiovisuel a en effet obtenu le 17 avril dernier une salve de décisions de justice ordonnant le blocage d’une vingtaine de sites et miroirs de sites diffusant, en streaming (direct ou différé), des compétitions dont il a acquis les droits.
Deux procédures parallèles visaient à défendre la retransmission de la saison 2026 de Formule 1 (du 6 mars au 6 décembre 2026) et son équivalent dans le monde de la moto, le MotoGP, organisé entre le 27 février et le 22 novembre 2026.
Concernant la Formule 1, le tribunal judiciaire de Paris prononce ainsi le blocage sous trois jours des sites suivants :
antenawest.store
antenapluto.store
antenasouth.store
huhu.to
daddylive3.com
rereyano.ru
telestream.mom
kondoplay.cfd
epicplayplay.cfd
lefttoplay.xyz
hoca6.com
rightflourish.net
iptvs.pw
outfitreferee.net
iptvsupra.com
d4ktv.info
king365tv.me
top1iptv.my
smartbox-tv.com
marcobox.in
Un processus désormais bien rodé
Historiquement très impliqué dans la lutte contre le piratage, Canal+ entreprend depuis plusieurs années d’endiguer, à défaut de pouvoir l’interrompre, le streaming illégal. Pour ce faire, le groupe a procédé par étape, en superposant des demandes de blocage visant à prévenir, l’une après l’autre, les mesures de contournement technique.
Soutenu par la loi Arcom d’octobre 2021 puis par l’article L333-10 du Code du Sport, le groupe a d’abord sonné la charge à partir de 2022 en saisissant la justice pour obtenir le blocage de sites pirates par les fournisseurs d’accès à Internet, puis le déréférencement par les moteurs de recherche l’année suivante. Il a ensuite progressivement étendu la portée de ses demandes aux fournisseurs de DNS alternatifs (Google, Cloudflare, etc.) en 2024, puis aux solutions de type VPN ou proxy en 2025, en vertu du DSA.
Rappelons que depuis 2022, ce blocage est fait sous forme d’injonctions « dynamiques » : le juge délivre d’abord une ordonnance enjoignant le blocage d’une liste de sites donnée, pour la durée de la compétition sportive concernée. Le titulaire de droits peut ensuite demander à l’Arcom d’actualiser ou d’étendre cette liste pour prendre en compte les miroirs ou nouveaux sites qu’il aurait découverts, sans qu’il soit nécessaire de retourner devant la justice.
Rappel du principe de l’injonction dynamique selon l’Arcom
C’est le caractère dynamique de ce dispositif qui explique l’explosion du nombre de noms de domaine bloqués par l’Arcom : l’Autorité issue du rapprochement entre le CSA et la Hadopi en référençait ainsi plus de 15 000 depuis 2022 dans son bilan de sa lutte contre le piratage des contenus culturels et sportifs publié fin mars.
Canal+ empile les demandes
Du côté de Canal+, représenté par ici par deux de ses entités, la méthode est désormais largement rodée, comme en témoigne l’une des 18 décisions datées du 17 avril qui incarnent cette double offensive centrée sur la F1 et le MotoGP (voir un exemple). Toutes suivent le même déroulé.
Entre octobre et novembre, Canal+ fait réaliser via l’Association de lutte contre la piraterie audiovisuelle (ALPA) des procès verbaux constatant que les sites litigieux diffusent un flux identique à celui des chaînes du groupe au moment des compétitions concernées. Sur la base de ces PV, Canal+ obtient en décembre 2025 l’autorisation d’assigner l’ensemble des prestataires concernés par l’éventail de ses demandes de blocage (opérateurs et FAI, moteurs de recherche, VPN et assimilés) selon une procédure accélérée au fond. L’audience et les décisions s’enchaînent dans un délai d’environ quatre mois.
À quelques menus détails près, la teneur des échanges et de la décision finale reprennent ce que l’on a pu lire dans les textes liés au précédent épisode déclenché par Canal+, lié cette fois à la Ligue des champions 2025/2026, et jugé le 19 décembre dernier.
Pour la F1 comme pour le MotoGP, le tribunal reconnait que Canal+ a bien qualité à agir, et ordonne aux intermédiaire concernés la mise en place, sous trois jours, de toutes mesures de blocage ou de déréférencement propres à empêcher « l’accès aux sites et services IPTV identifiés ci-dessus ainsi qu’aux sites et services IPTV non encore identifiés à la date de la présente décision », et ce « jusqu’à la date de la dernière course de la compétition ».
Au gré des saisons sportives, le nombre d’ordonnances et de décisions augmente, à mesure que Canal+ essaie de combler les trous dans la raquette technique du blocage. Sur cette dernière salve, le groupe audiovisuel obtient des mesures de blocage de la part des principaux opérateurs (en métropole comme dans les DROM-COM) et de Google et Microsoft pour la recherche. Il fait également mouche côté VPN avec un trio de décisions adressées à Proton, NordVPN, Surfshark, Cyberghost et ExpressVPN.
Enfin, Canal+ remet le couvert côté résolveurs DNS alternatifs en visant notamment Cloudflare et Quad9. Le groupe se félicitait d’ailleurs fin mars que les décisions de première instance déjà obtenues à ce niveau aient été confirmées par la cour d’appel de Paris le 27 mars dernier.
Toujours en attente du blocage par adresse IP
Du point de vue des ayant-droits, la prochaine étape majeure est désormais dans les mains du gouvernement. La proposition de loi « relative à l’organisation, à la gestion et au financement du sport professionnel » adoptée par le Sénat en juin 2025 et transmise à l’Assemblée nationale comporte en effet un chapitre spécifiquement consacré au renforcement de la lutte contre le piratage des contenus sportifs.
Dans sa version actuelle, le texte prévoit notamment que les titulaires de droit puissent communiquer à l’Arcom, selon des modalités définies par cette dernière, « les données d’identification permettant d’assurer la mise en œuvre sans délai » de mesures de blocage. Dit autrement, un groupe comme Canal+ pourrait relever en direct l’adresse IP des sites qui diffusent les compétitions dont il a acheté les droits, et obtenir un blocage immédiat de la part des intermédiaires techniques concernés.
« La reprise de l’examen parlementaire de ces dispositions, à l’Assemblée nationale, pourrait également être l’occasion de compléter le texte pour doter l’Arcom d’un pouvoir coercitif de sanction (et pas seulement d’injonction) pour faire appliquer les demandes de blocages DNS que nous notifions, compte tenu des difficultés d’exécution que nous rencontrons avec certains VPN et certains DNS alternatifs », déclarait à ce sujet Martin Ajdari, président de l’Arcom, le 23 mars dernier, en conclusion du forum de l’Association pour la protection des programmes sportifs (APPS).
L’examen à l’Assemblée nationale devrait, sauf bouleversement du calendrier, débuter le 18 mai prochain, a affirmé mi-avril la ministre des Sports Marina Ferrari. À temps, peut-être, pour la saison 2026 - 2027.
Canal+ vient d’obtenir du tribunal judiciaire de Paris une salve de décisions ordonnant la mise en œuvre de mesures de blocage portant sur une vingtaine de sites de streaming donnant accès aux retransmissions de la saison en cours de Formule 1 et de MotoGP. Comme dans le foot, Canal+ ratisse large pour défendre ses droits, avec des procédures qui visent opérateurs, moteurs de recherche, fournisseurs de DNS alternatifs et VPN.
Cette nouvelle salve de décisions n’endiguera pas définitivement le phénomène, mais elle devrait conforter Canal+ dans sa volonté de porter le fer aussi souvent que possible pour faire valoir ses droits. Le groupe audiovisuel a en effet obtenu le 17 avril dernier une salve de décisions de justice ordonnant le blocage d’une vingtaine de sites et miroirs de sites diffusant, en streaming (direct ou différé), des compétitions dont il a acquis les droits.
Deux procédures parallèles visaient à défendre la retransmission de la saison 2026 de Formule 1 (du 6 mars au 6 décembre 2026) et son équivalent dans le monde de la moto, le MotoGP, organisé entre le 27 février et le 22 novembre 2026.
Concernant la Formule 1, le tribunal judiciaire de Paris prononce ainsi le blocage sous trois jours des sites suivants :
antenawest.store
antenapluto.store
antenasouth.store
huhu.to
daddylive3.com
rereyano.ru
telestream.mom
kondoplay.cfd
epicplayplay.cfd
lefttoplay.xyz
hoca6.com
rightflourish.net
iptvs.pw
outfitreferee.net
iptvsupra.com
d4ktv.info
king365tv.me
top1iptv.my
smartbox-tv.com
marcobox.in
Un processus désormais bien rodé
Historiquement très impliqué dans la lutte contre le piratage, Canal+ entreprend depuis plusieurs années d’endiguer, à défaut de pouvoir l’interrompre, le streaming illégal. Pour ce faire, le groupe a procédé par étape, en superposant des demandes de blocage visant à prévenir, l’une après l’autre, les mesures de contournement technique.
Soutenu par la loi Arcom d’octobre 2021 puis par l’article L333-10 du Code du Sport, le groupe a d’abord sonné la charge à partir de 2022 en saisissant la justice pour obtenir le blocage de sites pirates par les fournisseurs d’accès à Internet, puis le déréférencement par les moteurs de recherche l’année suivante. Il a ensuite progressivement étendu la portée de ses demandes aux fournisseurs de DNS alternatifs (Google, Cloudflare, etc.) en 2024, puis aux solutions de type VPN ou proxy en 2025, en vertu du DSA.
Rappelons que depuis 2022, ce blocage est fait sous forme d’injonctions « dynamiques » : le juge délivre d’abord une ordonnance enjoignant le blocage d’une liste de sites donnée, pour la durée de la compétition sportive concernée. Le titulaire de droits peut ensuite demander à l’Arcom d’actualiser ou d’étendre cette liste pour prendre en compte les miroirs ou nouveaux sites qu’il aurait découverts, sans qu’il soit nécessaire de retourner devant la justice.
Rappel du principe de l’injonction dynamique selon l’Arcom
C’est le caractère dynamique de ce dispositif qui explique l’explosion du nombre de noms de domaine bloqués par l’Arcom : l’Autorité issue du rapprochement entre le CSA et la Hadopi en référençait ainsi plus de 15 000 depuis 2022 dans son bilan de sa lutte contre le piratage des contenus culturels et sportifs publié fin mars.
Canal+ empile les demandes
Du côté de Canal+, représenté par ici par deux de ses entités, la méthode est désormais largement rodée, comme en témoigne l’une des 18 décisions datées du 17 avril qui incarnent cette double offensive centrée sur la F1 et le MotoGP (voir un exemple). Toutes suivent le même déroulé.
Entre octobre et novembre, Canal+ fait réaliser via l’Association de lutte contre la piraterie audiovisuelle (ALPA) des procès verbaux constatant que les sites litigieux diffusent un flux identique à celui des chaînes du groupe au moment des compétitions concernées. Sur la base de ces PV, Canal+ obtient en décembre 2025 l’autorisation d’assigner l’ensemble des prestataires concernés par l’éventail de ses demandes de blocage (opérateurs et FAI, moteurs de recherche, VPN et assimilés) selon une procédure accélérée au fond. L’audience et les décisions s’enchaînent dans un délai d’environ quatre mois.
À quelques menus détails près, la teneur des échanges et de la décision finale reprennent ce que l’on a pu lire dans les textes liés au précédent épisode déclenché par Canal+, lié cette fois à la Ligue des champions 2025/2026, et jugé le 19 décembre dernier.
Pour la F1 comme pour le MotoGP, le tribunal reconnait que Canal+ a bien qualité à agir, et ordonne aux intermédiaire concernés la mise en place, sous trois jours, de toutes mesures de blocage ou de déréférencement propres à empêcher « l’accès aux sites et services IPTV identifiés ci-dessus ainsi qu’aux sites et services IPTV non encore identifiés à la date de la présente décision », et ce « jusqu’à la date de la dernière course de la compétition ».
Au gré des saisons sportives, le nombre d’ordonnances et de décisions augmente, à mesure que Canal+ essaie de combler les trous dans la raquette technique du blocage. Sur cette dernière salve, le groupe audiovisuel obtient des mesures de blocage de la part des principaux opérateurs (en métropole comme dans les DROM-COM) et de Google et Microsoft pour la recherche. Il fait également mouche côté VPN avec un trio de décisions adressées à Proton, NordVPN, Surfshark, Cyberghost et ExpressVPN.
Enfin, Canal+ remet le couvert côté résolveurs DNS alternatifs en visant notamment Cloudflare et Quad9. Le groupe se félicitait d’ailleurs fin mars que les décisions de première instance déjà obtenues à ce niveau aient été confirmées par la cour d’appel de Paris le 27 mars dernier.
Toujours en attente du blocage par adresse IP
Du point de vue des ayant-droits, la prochaine étape majeure est désormais dans les mains du gouvernement. La proposition de loi « relative à l’organisation, à la gestion et au financement du sport professionnel » adoptée par le Sénat en juin 2025 et transmise à l’Assemblée nationale comporte en effet un chapitre spécifiquement consacré au renforcement de la lutte contre le piratage des contenus sportifs.
Dans sa version actuelle, le texte prévoit notamment que les titulaires de droit puissent communiquer à l’Arcom, selon des modalités définies par cette dernière, « les données d’identification permettant d’assurer la mise en œuvre sans délai » de mesures de blocage. Dit autrement, un groupe comme Canal+ pourrait relever en direct l’adresse IP des sites qui diffusent les compétitions dont il a acheté les droits, et obtenir un blocage immédiat de la part des intermédiaires techniques concernés.
« La reprise de l’examen parlementaire de ces dispositions, à l’Assemblée nationale, pourrait également être l’occasion de compléter le texte pour doter l’Arcom d’un pouvoir coercitif de sanction (et pas seulement d’injonction) pour faire appliquer les demandes de blocages DNS que nous notifions, compte tenu des difficultés d’exécution que nous rencontrons avec certains VPN et certains DNS alternatifs », déclarait à ce sujet Martin Ajdari, président de l’Arcom, le 23 mars dernier, en conclusion du forum de l’Association pour la protection des programmes sportifs (APPS).
L’examen à l’Assemblée nationale devrait, sauf bouleversement du calendrier, débuter le 18 mai prochain, a affirmé mi-avril la ministre des Sports Marina Ferrari. À temps, peut-être, pour la saison 2026 - 2027.
L’alerte n’a été que de courte durée, mais elle était de nature à donner quelques sueurs froides aux hébergeurs qui exploitent les panneaux de contrôle cPanel et WHM (Web Host Manager). Mardi 28 avril vers 22 heures (heure de Paris), l’éditeur de cPanel a publié un bulletin de sécurité relatif à un problème de sécurité affectant toutes les versions courantes du logiciel, et concernant différents chemins d’authentification.
Affirmant travailler sur un correctif en urgence, il a indiqué : « En attendant, bloquer l’accès aux ports TCP 2083/2087 via un pare-feu empêchera tout accès non autorisé, mais restreindra également tout autre accès au panneau de contrôle. Il s’agit actuellement de la meilleure solution pour sécuriser vos serveurs jusqu’à la disponibilité du correctif ».
Plusieurs hébergeurs exploitant cPanel ont réagi dans la foulée en suspendant l’accès au logiciel.
« Nous avons proactivement bloqué l’accès à cPanel et WHM sur l’ensemble de notre parc d’hébergement par mesure préventive. C’est la mesure d’atténuation que cPanel recommande elle-même, et c’est actuellement la façon la plus efficace de protéger chaque compte sur chaque serveur WHC jusqu’à la livraison d’un correctif permanent », a par exemple indiqué le canadien WHC.
Même son de cloche chez les Français d’o2switch, sur X : « Malheureusement, l’accès à vos interfaces cPanel est donc impossible tant que l’incident ne sera pas terminé. Cela concerne cPanel au sens large : l’interface technique, les webmails, les webdisks. Dès mise à disposition d’un patch d’urgence par l’éditeur, nous déploierons sur l’intégralité de l’infrastructure ».
Le correctif a été livré environ trois heures après la publication de la première alerte, et largement déployé dans la foulée. « Si vous exploitez un serveur cPanel autogéré ou si vous n’autorisez pas WHC à accéder directement à vos systèmes, vous devez mettre à jour cPanel vous-même dès que possible, ou contacter le support », précise l’hébergeur canadien.
Pour exécuter le correctif, lancez la commande suivante depuis la ligne de commande /scripts/upcp --force.
Capture d’écran de l’alerte cPanel du 28 avril, qui n’a pour l’instant pas fait l’objet d’une CVE
L’alerte n’a été que de courte durée, mais elle était de nature à donner quelques sueurs froides aux hébergeurs qui exploitent les panneaux de contrôle cPanel et WHM (Web Host Manager). Mardi 28 avril vers 22 heures (heure de Paris), l’éditeur de cPanel a publié un bulletin de sécurité relatif à un problème de sécurité affectant toutes les versions courantes du logiciel, et concernant différents chemins d’authentification.
Affirmant travailler sur un correctif en urgence, il a indiqué : « En attendant, bloquer l’accès aux ports TCP 2083/2087 via un pare-feu empêchera tout accès non autorisé, mais restreindra également tout autre accès au panneau de contrôle. Il s’agit actuellement de la meilleure solution pour sécuriser vos serveurs jusqu’à la disponibilité du correctif ».
Plusieurs hébergeurs exploitant cPanel ont réagi dans la foulée en suspendant l’accès au logiciel.
« Nous avons proactivement bloqué l’accès à cPanel et WHM sur l’ensemble de notre parc d’hébergement par mesure préventive. C’est la mesure d’atténuation que cPanel recommande elle-même, et c’est actuellement la façon la plus efficace de protéger chaque compte sur chaque serveur WHC jusqu’à la livraison d’un correctif permanent », a par exemple indiqué le canadien WHC.
Même son de cloche chez les Français d’o2switch, sur X : « Malheureusement, l’accès à vos interfaces cPanel est donc impossible tant que l’incident ne sera pas terminé. Cela concerne cPanel au sens large : l’interface technique, les webmails, les webdisks. Dès mise à disposition d’un patch d’urgence par l’éditeur, nous déploierons sur l’intégralité de l’infrastructure ».
Le correctif a été livré environ trois heures après la publication de la première alerte, et largement déployé dans la foulée. « Si vous exploitez un serveur cPanel autogéré ou si vous n’autorisez pas WHC à accéder directement à vos systèmes, vous devez mettre à jour cPanel vous-même dès que possible, ou contacter le support », précise l’hébergeur canadien.
Pour exécuter le correctif, lancez la commande suivante depuis la ligne de commande /scripts/upcp --force.
Capture d’écran de l’alerte cPanel du 28 avril, qui n’a pour l’instant pas fait l’objet d’une CVE
Symfonium, la coentreprise montée par les frères Klaba en 2023 avec le soutien financier de la Banque des territoires (25 % du capital), accueillera le 11 mai prochain son nouveau directeur général, Boris Lecoeur. Ancien dirigeant d’AWS France puis de Cloudflare France, il aura la charge de piloter cette entreprise qui rassemble le moteur de recherche Qwant et le service de cloud gaming/desktop Shadow.
« Son profil, à la croisée de la technologie, du produit et du développement commercial, est pleinement aligné avec les ambitions de croissance que nous portons pour Qwant et Shadow dans les prochaines années », salue Octave Klaba, président fondateur de Synfonium (et par ailleurs CEO d’OVHcloud) dans un communiqué.
Boris Lecoeur remplacera donc Olivier Abecassis, arrivé à la tête de Qwant en octobre 2023 et artisan du rapprochement initié avec Ecosia au sein de la coentreprise European Search Perspective. Les raisons du départ de ce dernier ne sont pas expliquées, Octave Klaba se contentant simplement de le remercier « chaleureusement » pour le « travail remarquable accompli ces dernières années ».
Qwant intègre une IA sous forme de chatbot
« Synfonium dispose d’atouts uniques en Europe : une technologie de recherche indépendante avec Qwant et une plateforme de capacité de calcul avec Shadow. Mon rôle est désormais d’aider les équipes à transformer ces fondations en produits utilisés à grande échelle par les entreprises, les développeurs et les acteurs de l’intelligence artificielle en Europe », déclare de son côté le nouveau DG.
La stratégie dessinée par Synfonium dans son communiqué confirme une logique similaire pour les deux entreprises, à savoir développer une brique de services qui puisse à la fois se décliner dans des usages grand public (le cloud gaming, la recherche en ligne, depuis peu assistée par IA) et des débouchés sur le marché entreprise (cloud desktop et mise à disposition de GPU pour de l’inférence côté Shadow, création d’une API de recherche destinée aux acteurs de l’IA baptisée Staan pour Qwant).
« Ces deux dynamiques convergent au sein de Synfonium pour former un ensemble industriel européen capable d’adresser, de bout en bout, les enjeux de la recherche, de la donnée et du calcul à l’ère de l’IA », affirme l’entreprise.
Symfonium, la coentreprise montée par les frères Klaba en 2023 avec le soutien financier de la Banque des territoires (25 % du capital), accueillera le 11 mai prochain son nouveau directeur général, Boris Lecoeur. Ancien dirigeant d’AWS France puis de Cloudflare France, il aura la charge de piloter cette entreprise qui rassemble le moteur de recherche Qwant et le service de cloud gaming/desktop Shadow.
« Son profil, à la croisée de la technologie, du produit et du développement commercial, est pleinement aligné avec les ambitions de croissance que nous portons pour Qwant et Shadow dans les prochaines années », salue Octave Klaba, président fondateur de Synfonium (et par ailleurs CEO d’OVHcloud) dans un communiqué.
Boris Lecoeur remplacera donc Olivier Abecassis, arrivé à la tête de Qwant en octobre 2023 et artisan du rapprochement initié avec Ecosia au sein de la coentreprise European Search Perspective. Les raisons du départ de ce dernier ne sont pas expliquées, Octave Klaba se contentant simplement de le remercier « chaleureusement » pour le « travail remarquable accompli ces dernières années ».
Qwant intègre une IA sous forme de chatbot
« Synfonium dispose d’atouts uniques en Europe : une technologie de recherche indépendante avec Qwant et une plateforme de capacité de calcul avec Shadow. Mon rôle est désormais d’aider les équipes à transformer ces fondations en produits utilisés à grande échelle par les entreprises, les développeurs et les acteurs de l’intelligence artificielle en Europe », déclare de son côté le nouveau DG.
La stratégie dessinée par Synfonium dans son communiqué confirme une logique similaire pour les deux entreprises, à savoir développer une brique de services qui puisse à la fois se décliner dans des usages grand public (le cloud gaming, la recherche en ligne, depuis peu assistée par IA) et des débouchés sur le marché entreprise (cloud desktop et mise à disposition de GPU pour de l’inférence côté Shadow, création d’une API de recherche destinée aux acteurs de l’IA baptisée Staan pour Qwant).
« Ces deux dynamiques convergent au sein de Synfonium pour former un ensemble industriel européen capable d’adresser, de bout en bout, les enjeux de la recherche, de la donnée et du calcul à l’ère de l’IA », affirme l’entreprise.
Une semaine après avoir restreint la souscription de nouveaux abonnements individuels, Microsoft annonce le passage prochain de GitHub Copilot à une tarification basée sur l’usage réel. L’utilisateur n’aura donc plus accès aux modèles d’IA générative une fois son crédit mensuel épuisé, à moins d’acheter une option supplémentaire. Dans le même temps, Microsoft annonce le déploiement de Copilot 365 à l’échelle des 743 000 employés d’Accenture.
GitHub rattrapé par la réalité ? La plateforme a annoncé mardi 27 avril une modification substantielle de sa tarification associée à ses outils d’IA générative, réunis sous la casquette GitHub Copilot. À compter du 1ᵉʳ juin prochain, ces derniers seront associés à une facturation à l’usage, en fonction du volume de tokens consommé.
La nouvelle formule s’appuiera sur ce que GitHub qualifie de « crédits IA », avec une enveloppe donnée pour chaque formule prépayée (sur abonnement) et la possibilité de débloquer des tokens supplémentaires en cas de besoin, moyennant finances bien sûr. Microsoft va de ce fait basculer sur un système de tarification identique à ce que l’on connait chez Anthropic ou OpenAI.
Des crédits IA pour mesurer l’utilisation réelle
« L’utilisation sera calculée en fonction de la consommation de jetons (entrées, sorties et jetons mis en cache) selon les tarifs API indiqués pour chaque modèle. Cette modification aligne la tarification de Copilot sur l’utilisation réelle et constitue une étape importante vers une activité et une expérience Copilot durables et fiables pour tous les utilisateurs », justifie l’éditeur.
Microsoft et GitHub abandonnent donc le système actuellement en vigueur, qui combinait une licence (l’abonnement de base) ouvrant droit sans restriction aux requêtes courantes, et une enveloppe de « requêtes premium » (discussion avec un modèle de pointe, fenêtre contextuelle dépassant un certain volume, etc.), faisant l’objet d’une mesure spécifique.
Le changement de tarification présente, d’après GitHub, un caractère presque inéluctable, compte tenu de la double évolution des usages et des modèles :
« Aujourd’hui, une simple question posée via le chat et une session de codage autonome de plusieurs heures peuvent coûter le même prix à l’utilisateur. GitHub a absorbé une grande partie de l’augmentation des coûts d’inférence liés à cette utilisation, mais le modèle actuel de facturation premium n’est plus viable. La facturation à l’usage remédie à ce problème. Elle aligne mieux les prix sur l’utilisation réelle, nous aide à garantir la fiabilité du service à long terme et réduit la nécessité de limiter l’accès aux utilisateurs intensifs. »
Restrictions temporaires en attendant le 1er juin
Les clients de GitHub Copilot verront-ils cette évolution du même œil ? Microsoft veut rassurer en précisant que le prix des abonnements Copilot reste inchangé, et en expliquant que la complétion automatique et les suggestions de code restent disponibles par défaut, sans consommer de crédits IA.
Dans les faits, un abonnement Copilot Pro à 10 dollars par mois ouvrira droit à 1 000 crédits (0,01 dollar par crédit), contre 3 900 crédits pour une formule Copilot Pro+ à 39 dollars par mois. Impossible en revanche de transposer directement cette réserve de crédits en jetons, puisque GitHub précise que le coût exact d’une interaction dépend à la fois du modèle et de la complexité de la requête (voir les coefficients multiplicateurs en fonction du modèle).
« Une question posée rapidement via une messagerie instantanée avec un modèle léger peut coûter une fraction de crédit. Une longue session de programmation avec un agent utilisant un modèle plus complexe sur plusieurs fichiers coûtera plus cher, car elle implique davantage de travail ».
L’annonce de cette nouvelle tarification ne sera sans doute qu’une demi-surprise pour ceux qui suivent l’actualité de la plateforme. Le 21 avril dernier, GitHub avait déjà décidé la mise en pause des nouvelles souscriptions sur les abonnements individuels, soi-disant pour servir plus efficacement les clients existants, ainsi que l’exclusion des modèles Opus (les plus performants de la gamme d’Anthropic) des forfaits premier prix.
GitHub avait également durci à cette occasion les limites d’usage par session, qui plafonnent le volume de requêtes possibles sur une plage quotidienne (quelques heures) ou hebdomadaire (remise à zéro tous les sept jours).
Ces deux mesures étaient présentées comme temporaires : on comprend maintenant qu’il s’agissait d’introduire la tarification à l’usage.
Les deux informations n’ont pas de lien direct, mais leur concomitance résonnera de façon particulière auprès des utilisateurs individuels qui paient leur licence GitHub Copilot : si Microsoft avance la nécessité de restreindre l’utilisation chez les développeurs, ou d’ajuster la tarification, c’est aussi parce que l’éditeur négocie des accords entreprise à grande échelle qui sollicitent donc ses infrastructures dédiées à l’IA.
Microsoft s’est ainsi félicité mardi 27 avril d’avoir signé avec Accenture, le leader mondial du conseil, pour un déploiement de Copilot 365 sur la quasi totalité de son parc utilisateurs, soit la bagatelle de 743 000 employés dans le monde. Le contrat n’est pas une nouveauté en soi (Accenture fait partie des premiers partenaires et clients de Copilot depuis son lancement, notamment via Avanade, la coentreprise commune aux deux géants), mais il témoigne d’une diffusion continue de l’IA générative au sein des équipes d’Accenture.
Une semaine après avoir restreint la souscription de nouveaux abonnements individuels, Microsoft annonce le passage prochain de GitHub Copilot à une tarification basée sur l’usage réel. L’utilisateur n’aura donc plus accès aux modèles d’IA générative une fois son crédit mensuel épuisé, à moins d’acheter une option supplémentaire. Dans le même temps, Microsoft annonce le déploiement de Copilot 365 à l’échelle des 743 000 employés d’Accenture.
GitHub rattrapé par la réalité ? La plateforme a annoncé mardi 27 avril une modification substantielle de sa tarification associée à ses outils d’IA générative, réunis sous la casquette GitHub Copilot. À compter du 1ᵉʳ juin prochain, ces derniers seront associés à une facturation à l’usage, en fonction du volume de tokens consommé.
La nouvelle formule s’appuiera sur ce que GitHub qualifie de « crédits IA », avec une enveloppe donnée pour chaque formule prépayée (sur abonnement) et la possibilité de débloquer des tokens supplémentaires en cas de besoin, moyennant finances bien sûr. Microsoft va de ce fait basculer sur un système de tarification identique à ce que l’on connait chez Anthropic ou OpenAI.
Des crédits IA pour mesurer l’utilisation réelle
« L’utilisation sera calculée en fonction de la consommation de jetons (entrées, sorties et jetons mis en cache) selon les tarifs API indiqués pour chaque modèle. Cette modification aligne la tarification de Copilot sur l’utilisation réelle et constitue une étape importante vers une activité et une expérience Copilot durables et fiables pour tous les utilisateurs », justifie l’éditeur.
Microsoft et GitHub abandonnent donc le système actuellement en vigueur, qui combinait une licence (l’abonnement de base) ouvrant droit sans restriction aux requêtes courantes, et une enveloppe de « requêtes premium » (discussion avec un modèle de pointe, fenêtre contextuelle dépassant un certain volume, etc.), faisant l’objet d’une mesure spécifique.
Le changement de tarification présente, d’après GitHub, un caractère presque inéluctable, compte tenu de la double évolution des usages et des modèles :
« Aujourd’hui, une simple question posée via le chat et une session de codage autonome de plusieurs heures peuvent coûter le même prix à l’utilisateur. GitHub a absorbé une grande partie de l’augmentation des coûts d’inférence liés à cette utilisation, mais le modèle actuel de facturation premium n’est plus viable. La facturation à l’usage remédie à ce problème. Elle aligne mieux les prix sur l’utilisation réelle, nous aide à garantir la fiabilité du service à long terme et réduit la nécessité de limiter l’accès aux utilisateurs intensifs. »
Restrictions temporaires en attendant le 1er juin
Les clients de GitHub Copilot verront-ils cette évolution du même œil ? Microsoft veut rassurer en précisant que le prix des abonnements Copilot reste inchangé, et en expliquant que la complétion automatique et les suggestions de code restent disponibles par défaut, sans consommer de crédits IA.
Dans les faits, un abonnement Copilot Pro à 10 dollars par mois ouvrira droit à 1 000 crédits (0,01 dollar par crédit), contre 3 900 crédits pour une formule Copilot Pro+ à 39 dollars par mois. Impossible en revanche de transposer directement cette réserve de crédits en jetons, puisque GitHub précise que le coût exact d’une interaction dépend à la fois du modèle et de la complexité de la requête (voir les coefficients multiplicateurs en fonction du modèle).
« Une question posée rapidement via une messagerie instantanée avec un modèle léger peut coûter une fraction de crédit. Une longue session de programmation avec un agent utilisant un modèle plus complexe sur plusieurs fichiers coûtera plus cher, car elle implique davantage de travail ».
L’annonce de cette nouvelle tarification ne sera sans doute qu’une demi-surprise pour ceux qui suivent l’actualité de la plateforme. Le 21 avril dernier, GitHub avait déjà décidé la mise en pause des nouvelles souscriptions sur les abonnements individuels, soi-disant pour servir plus efficacement les clients existants, ainsi que l’exclusion des modèles Opus (les plus performants de la gamme d’Anthropic) des forfaits premier prix.
GitHub avait également durci à cette occasion les limites d’usage par session, qui plafonnent le volume de requêtes possibles sur une plage quotidienne (quelques heures) ou hebdomadaire (remise à zéro tous les sept jours).
Ces deux mesures étaient présentées comme temporaires : on comprend maintenant qu’il s’agissait d’introduire la tarification à l’usage.
Les deux informations n’ont pas de lien direct, mais leur concomitance résonnera de façon particulière auprès des utilisateurs individuels qui paient leur licence GitHub Copilot : si Microsoft avance la nécessité de restreindre l’utilisation chez les développeurs, ou d’ajuster la tarification, c’est aussi parce que l’éditeur négocie des accords entreprise à grande échelle qui sollicitent donc ses infrastructures dédiées à l’IA.
Microsoft s’est ainsi félicité mardi 27 avril d’avoir signé avec Accenture, le leader mondial du conseil, pour un déploiement de Copilot 365 sur la quasi totalité de son parc utilisateurs, soit la bagatelle de 743 000 employés dans le monde. Le contrat n’est pas une nouveauté en soi (Accenture fait partie des premiers partenaires et clients de Copilot depuis son lancement, notamment via Avanade, la coentreprise commune aux deux géants), mais il témoigne d’une diffusion continue de l’IA générative au sein des équipes d’Accenture.
S’agissait-il du piratage de trop ? Le portail France Titres (ants.gouv.fr) a été placé en maintenance technique à compter du vendredi 24 avril, à 19h30 :
« L’accès à votre compte est momentanément indisponible. L’ANTS poursuit les mesures de renforcement de sécurité de son portail. Tous les moyens sont mis en œuvre pour que cette opération soit effectuée dans les meilleurs délais. »
Le site reste accessible, mais la navigation est limitée aux pages qui sont en simple consultation. Toutes les fonctionnalités qui sont placées derrière le processus d’authentification sont quant à elles gelées. Pendant cette phase de maintenance, il n’est donc pas possible d’initier une nouvelle démarche en ligne.
« Pour solliciter un titre d’identité, il est nécessaire de se rendre en mairie après avoir pris rendez-vous, où l’usager pourra remplir un cerfa pour initier sa demande de titre. Le dossier se constituant sur place, le temps passé sur place en mairie sera plus long », précise une FAQ dédiée.
Cette opération de maintenance inédite fait l’objet d’une FAQ dédiée.
Le suivi des dossiers déjà ouverts est également inopérant, même si l’Agence nationale des titres sécurisés assure que les demandes suivent leur cours normal.
« Dans ce cas, pour toute question relative à l’état d’avancement de son dossier, l’usager peut écrire (https://ants.gouv.fr/contactez-nous) ou appeler le centre de contacts citoyens (CCC) de l’ANTS (34 00 en France métropolitaine (numéro non surtaxé), 09 70 83 07 07 depuis l’Outre-Mer et l’étranger). »
Les inscriptions au permis de conduire sont quant à elles gelées, faute de pouvoir obtenir un numéro d’enregistrement préfectoral harmonisé (NEPH). Les obligations de déclaration relatives à la vente d’un véhicule (carte grise) restent quant à elles en vigueur et associées à un délai maximal de 15 jours.
Pour ce faire, l’ANTS recommande « d’utiliser l’application mobile Simplimmat (simplimmat.gouv – attention aux sites frauduleux) qui permet de réaliser chacune de ces démarches administratives de façon totalement dématérialisée, à partir de son smartphone après chargement de l’application, à condition que le vendeur et l’acheteur soient en présence physique lors de la remise des clefs (durée estimée de la procédure d’une dizaine de minutes) ».
Reste enfin la question sans doute la plus cruciale pour les usagers concernés : quand le portail va-t-il rouvrir ? « Tous les moyens sont mis en œuvre pour que cette opération de maintenance soit effectuée dans les meilleurs délais. Les usagers seront tenus informés », se contente de répondre l’Agence.
Cette fermeture sine die du service France Titres est une première motivée par la survenue récente d’une intrusion informatique qui a exposé les données de 11,7 millions de comptes, d’après les annonces faites par le ministère de l’Intérieur.
En septembre dernier, l’ANTS avait enquêté sur une fuite de données revendiquée par des pirates, sans trouver de trace d’intrusion tout en affirmant que l’échantillon mis en ligne présentait de « nombreuses incohérences ». France Titres affirmait alors que, « en tant qu’opérateur du ministère de l’Intérieur manipulant des données sensibles, l’ANTS fait l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique ».
Ces dernières exigeaient manifestement un tour de vis supplémentaire.
Mise à jour, mercredi 29 avril, 20 heures : selon nos constatations, l’accès aux démarches en ligne et à l’identification via France Connect sont rétablis.
S’agissait-il du piratage de trop ? Le portail France Titres (ants.gouv.fr) a été placé en maintenance technique à compter du vendredi 24 avril, à 19h30 :
« L’accès à votre compte est momentanément indisponible. L’ANTS poursuit les mesures de renforcement de sécurité de son portail. Tous les moyens sont mis en œuvre pour que cette opération soit effectuée dans les meilleurs délais. »
Le site reste accessible, mais la navigation est limitée aux pages qui sont en simple consultation. Toutes les fonctionnalités qui sont placées derrière le processus d’authentification sont quant à elles gelées. Pendant cette phase de maintenance, il n’est donc pas possible d’initier une nouvelle démarche en ligne.
« Pour solliciter un titre d’identité, il est nécessaire de se rendre en mairie après avoir pris rendez-vous, où l’usager pourra remplir un cerfa pour initier sa demande de titre. Le dossier se constituant sur place, le temps passé sur place en mairie sera plus long », précise une FAQ dédiée.
Cette opération de maintenance inédite fait l’objet d’une FAQ dédiée.
Le suivi des dossiers déjà ouverts est également inopérant, même si l’Agence nationale des titres sécurisés assure que les demandes suivent leur cours normal.
« Dans ce cas, pour toute question relative à l’état d’avancement de son dossier, l’usager peut écrire (https://ants.gouv.fr/contactez-nous) ou appeler le centre de contacts citoyens (CCC) de l’ANTS (34 00 en France métropolitaine (numéro non surtaxé), 09 70 83 07 07 depuis l’Outre-Mer et l’étranger). »
Les inscriptions au permis de conduire sont quant à elles gelées, faute de pouvoir obtenir un numéro d’enregistrement préfectoral harmonisé (NEPH). Les obligations de déclaration relatives à la vente d’un véhicule (carte grise) restent quant à elles en vigueur et associées à un délai maximal de 15 jours.
Pour ce faire, l’ANTS recommande « d’utiliser l’application mobile Simplimmat (simplimmat.gouv – attention aux sites frauduleux) qui permet de réaliser chacune de ces démarches administratives de façon totalement dématérialisée, à partir de son smartphone après chargement de l’application, à condition que le vendeur et l’acheteur soient en présence physique lors de la remise des clefs (durée estimée de la procédure d’une dizaine de minutes) ».
Reste enfin la question sans doute la plus cruciale pour les usagers concernés : quand le portail va-t-il rouvrir ? « Tous les moyens sont mis en œuvre pour que cette opération de maintenance soit effectuée dans les meilleurs délais. Les usagers seront tenus informés », se contente de répondre l’Agence.
Cette fermeture sine die du service France Titres est une première motivée par la survenue récente d’une intrusion informatique qui a exposé les données de 11,7 millions de comptes, d’après les annonces faites par le ministère de l’Intérieur.
En septembre dernier, l’ANTS avait enquêté sur une fuite de données revendiquée par des pirates, sans trouver de trace d’intrusion tout en affirmant que l’échantillon mis en ligne présentait de « nombreuses incohérences ». France Titres affirmait alors que, « en tant qu’opérateur du ministère de l’Intérieur manipulant des données sensibles, l’ANTS fait l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique ».
Ces dernières exigeaient manifestement un tour de vis supplémentaire.
Mise à jour, mercredi 29 avril, 20 heures : selon nos constatations, l’accès aux démarches en ligne et à l’identification via France Connect sont rétablis.
En attendant que X devienne la « super app » bonne à tout faire dont rêve Elon Musk, le réseau social vient de lancer sa messagerie, XChat, sous forme d’application dédiée. Cette première mouture publique est réservée aux utilisateurs d’iPhone sous iOS 26. « Discutez avec n’importe qui sur X. En toute confidentialité. Désormais sur votre écran d’accueil. », promet le message d’annonce, posté vendredi 24 avril.
XChat prend donc la forme d’une interface indépendante, mais l’application est bien adossée à X : on s’y connecte via les identifiants du réseau social (il n’est donc pas indispensable de renseigner un numéro de téléphone comme sur Signal ou WhatsApp), et l’on retrouve sur son téléphone les messages privés déjà échangés via le Web ou l’application X générale.
Le client de messagerie promet cependant d’aller plus loin, avec un chiffrement de bout en bout protégé par code PIN, la possibilité de créer des conversations de groupe allant jusqu’à 500 participants, une option permettant d’empêcher que l’interlocuteur réalise une capture d’écran, et un mode message éphémère, pour lequel on peut paramétrer la durée de conservation (de cinq minutes à quatre semaines).
Rapidement prise en main lundi matin, XChat donne une impression d’inachevé : l’application fonctionne de façon réactive, mais l’interface présente quelques manquements (confirmations d’envoi non datées, etc.) ou imprécisions (rien n’indique par exemple qu’il est impossible de créer une conversation de groupe avec des utilisateurs X n’ayant pas encore installé le client).
Une fonction permet de bloquer la réalisation de captures d’écran (image de droite)
Reste à voir ce que donne la sécurité, présentée comme l’un des arguments phares de XChat. Les choix d’implémentation du chiffrement bout en bout opérés par X avaient déjà soulevé des critiques fin 2025.
Au lancement de cette première version publique, la plupart des éléments pointés du doigt sont toujours d’actualité, comme en témoigne la foire aux questions dédiée à la fonction Chat.
X y admet toujours que les protections mises en œuvre au sein de XChat présentent encore des pistes d’amélioration, notamment en ce qui concerne la confidentialité persistante (forward secrecy) :
« Si la clé privée d’un appareil enregistré est compromise, un attaquant pourrait déchiffrer tous les messages de chat chiffrés envoyés et reçus par cet appareil. Autrement dit, cette implémentation n’est pas sécurisée de manière persistante. Nous travaillons actuellement sur des mécanismes de rotation des clés privées afin d’offrir une meilleure sécurité persistante à l’avenir. »
X utilise pour mémoire le protocole Juicebox pour sécuriser les clés privées des utilisateurs, qui sont ainsi découpées en plusieurs morceaux et recomposées grâce au code PIN, ce dernier étant lui-même théoriquement protégé des attaques par force brute.
Dans l’implémentation actuelle de Chat au sein de X, les morceaux de clé sont stockés sur des serveurs opérés par le réseau social, ce qui soulève là aussi des questions quant à la garantie de confidentialité totale. Là aussi, le réseau social promet des évolutions, sans avancer de date précise :
« À l’avenir, nous prévoyons d’offrir aux utilisateurs davantage d’options, comme la possibilité de choisir des domaines gérés par différentes organisations afin de mieux répartir la confiance et l’autogestion des clés. »
X a par ailleurs profité du lancement de XChat pour annoncer la fermeture des Communautés, la fonction permettant de rejoindre ou créer des groupes thématiques. « Les communautés servaient une vision formidable, mais elles n’étaient utilisées que par moins de 0,4 % des utilisateurs – et pourtant, elles contribuaient à 80 % des signalements de spam, des escroqueries financières et des logiciels malveillants sur X. Certaines semaines, elles occupaient la moitié du temps de l’équipe, tandis que le reste de l’application en pâtissait », a déclaré à ce sujet Nikita Bier, responsable du produit chez X.
Initialement prévue pour début mai, la fermeture des communautés existantes a été décalée au 30 mai et les utilisateurs concernés sont invités à migrer vers XChat, dont le fonctionnement se révèle pourtant assez différent.
Connexion
