Minimachines.net en partenariat avec TopAchat.com

Lunar Lake est le nom de la toute dernière architecture de puces ultramobiles d’Intel. Des processeurs économes en énergie, plus performants en calcul et en capacités graphiques et qui cochent même la case de l’IA. Mais surtout une nouvelle architecture qui bouscule les habitudes du fondeur. Apres Qualcomm et ses Snapdragon X, après AMD et ses Ryzen AI 300, Intel Lunar Lake ferme le peloton des annonces processeurs de ce Computex 2024.

Autant commencer tout de suite par la pilule douce amère, on va parler IA. 

Avec Lunar Lake, Intel appuie fort sur l’accélérateur IA, sans arriver au 50 TOPS des puces AMD, le fondeur annonce 48 TOPS de performance pour son NPU maison. C’est trois fois mieux que les Meteor Lake actuels et cela s’explique assez facilement par le triplement de la place consacrée au NPU sur le silicium de la puce.

Baptisé NPU4, ce nouveau package dédié à l’IA double la bande passante utilisée et augmente largement sa fréquence qui passe de 1.4 à 1.95 GHz. Ces choix s’expliquent assez facilement. Si Intel a annoncé les AI PC comme une série d’éléments correspondant parfaitement à ses processeurs il y a quelques semaines, Microsoft de son côté a décidé de lever la barre beaucoup plus haut avec sa norme Copilot+.

En combinant toutes leurs ressources les puces Lunar Lake atteignent 120 TOPS

Le seuil à atteindre pour être éligible aux fonctions d’IA de Microsoft est de 40 TOPS. Les Snapdragon X de Qualcomm affichent 45 TOPS, Intel passe devant avec 48 TOPS et AMD annonce 50 TOPS. Des valeurs obtenues par les NPU seuls, sans adjonctions de capacités liées aux circuits graphiques ou aux processeurs. Cette course peut se lire assez simplement. Si pour le moment les usages réels de toutes ces capacités sont très flous quand on interroge les constructeurs, l’objectif semble  ici d’obtenir uniquement le précieux sésame de Microsoft. Pour Intel comme pour AMD et Qualcomm il semble très difficile de pouvoir vendre un PC à l’avenir sans un NPU performant. Car cela les empêcherait d’être estampillé compatibles « Copilot ».

Ce qui me laisse penser que la prochaine étape chez Microsoft sera d’imposer un certain niveau de calcul d’IA par défaut pour obtenir une évolution vers le futur Windows. Comme Windows 11 a restreint les installations à des machines correspondant à un certain niveau d’équipement materiel, je suis prêt à parier que le futur de l’OS passera par l’obligation d’avoir un NPU assez performant. Intel est donc paré pour cela avec Lunar Lake.

Reste à savoir ce que les fabricants vont faire réellement de toutes ces capacités, pour le moment ce n’est vraiment, vraiment pas très clair.

Lunar Lake introduit la mémoire intégrée au CPU

A l’instar des puces Apple depuis le M1, Intel souhaite réduire la consommation et augmenter la performance des composants mémoire des machines en les intégrant directement sur le même composant que le processeur. Cette intégration « Memory On Package » a évidemment des avantages importants mais également quelques défauts.

Le premier de ces défauts, on en a déjà parlé, n’est est plus vraiment un. Il s’agit d’une limitation de l’évolution de la RAM. Avec des composants LPDDR5x intégrés sur le processeur il ne sera plus possible de faire évoluer sa machine en mémoire vive. Ce n’est pas si problématique puisque les constructeurs ont de toutes façons pris la mauvaise habitude de recourir à des composants soudés directement sur la carte mère. Changer la manière dont cela est soudé n’est donc pas vraiment un souci.

Le second défaut est la limitation à 32 Go de mémoire maximum. Ce qui pourra gêner certains utilisateurs. Si ce montant est largement suffisant pour la majorité des usages, divers métiers ne s’en satisferont pas. Reste a savoir si Lunar Lake est la bonne fondation pour établir ce type d’utilisation. Intel prévoit également des puces qui garderont toujours une mémoire amovible comme les Arrow Lake prévus pour la fin 2024.

Pour les avantages, ils sont assez nombreux. D’abord cela permet d’avoir une mémoire vive au frais, elle bénéficiera du même système de ventilation que le processeur. Ce qui évitera toute surchauffe mais également l’obligation de rajouter un circuit de refroidissement dédié supplémentaire. Autre point clé, cela libère de la place sur la carte mère, 250 mm² annonce Intel. Un détail qui devrait permettre de nouvelles implantations et parfois le rajout d’un port M.2 supplémentaire en optimisant un peu. Enfin, outre un meilleur dialogue entre le processeur et la mémoire vive, on aura une consommation en baisse sur ce poste.

Des performances générales en nette hausse

Ceux qui ont connu les années où Intel pataugeait dans la même finesse de gravure, la même solution technique recyclée encore et encore en arrachant péniblement une augmentation de performances à deux chiffres au prix d’une augmentation des watts et des fréquences, ceux là apprécieront les chiffres avancés par Lunar Lake.

La puce propose pour commencer une augmentation de 50% de ses performances graphiques dans les tests. Cette nouvelle génération de circuit promet jusqu’à 8 cœurs Xe2 et 8 unités de calcul de Ray Tracing. Le résultat peut permettre à cette puce de proposer jusqu’à 80% de performances en plus dans certains jeux par rapport à Meteor Lake. On devrait dépasser les 60 images par seconde sur des titres récents en FullHD avec un processeur qui vise au départ l’ultra-portabilité. J’ai ainsi pu voir une démonstration de la puce en vidéo gérant sans soucis un titre récent en FullHD à plus de 60 images seconde sur  un design d’une finesse étonnante.

Et la marque n’oublie pas ses fonctionnalités graphiques avancées habituelles en annonçant la prise en charge des codecs H.266 VVC. Cela devrait permettre une baisse significative de la place nécessaire pour une vidéo identique exploitant le codec AV1 pour la même qualité d’image. Ce format AV1 qui sera par ailleurs pris en compte en encodage comme en décodage totalement matériellement. Le circuit Intel pourra adresser jusqu’à trois flux UltraHD à 60 images par seconde en HDR en même temps.

Autre élément intéressant, la prise en charge du format eDP 1.5 pour l’écran des portables. Une norme qui permettra de limiter la consommation de courant de l’affichage.

La partie processeur de son côté sera jusqu’à 50% plus rapide dans ses calculs les plus lourds. La logique d’Intel a été particulièrement bouleversée avec cette nouvelle architecture mais l’idée globale est de proposer un processeur plus performant mais aussi plus économe suivant les scénarios d’usage. Pour cela la puce annonce une meilleure efficacité dans tous les scénarios. De 20% à 80% de performances en plus par watt dépensé suivant les scénarios. Beaucoup de choses ont été mises en place pour proposer autre chose que de la puissance brute. Par exemple, le processeur pourra ajuster sa fréquence de manière très fine avec des intervalles de 16.67 MHz seulement de manière à trouver la formule la plus juste pour fournir la puissance nécessaire pour une tâche sans trop dépenser d’énergie. 

D’autres éléments plus centraux dans le développement d’Intel depuis de longues années sont également remaniés. On reste sur une architecture hybride mêlant des cœurs Performants « P » et des cœurs Efficients « E ». On change par contre la donne puisque les cœurs « P » sont désormais sous architecture Lion Cove plus optimisés et ayant de meilleures performances que les précédents. Les cœurs « E » d’architecture « Skymont » afficheront des débits supérieurs et une consommation toujours plus faible. Cette évolution permet à Intel de se débarrasser des cœurs LP-E, ses unités « Low Power ».

La logique ici est assez simple, contrairement aux puces Meteor Lake, les nouveaux Lunar Lake préfèrent pouvoir baisser drastiquement la puissance des cœurs E plutôt que d’ajouter des cœurs supplémentaires juste capables de mener à bien ces tâches à très très basse consommation. Ce choix permet également d’économiser de la place sur le circuit et évite de compliquer la situation.

Il faut dire également que la volonté d’Intel avec Meteor Lake n’a pas eu vraiment d’impact dans le monde réel. Si le projet était intéressant, il ne fonctionnait pas en pratique. Pour faire simple, l’idée des LP-E était de proposer un ensemble autosuffisant de cœurs pouvant effectuer des tâches ayant besoin de très peu de ressources. Se connecter en « sous marin » pour regarder ses emails par exemple. Pour se faire les cœurs LP-E étaient associés au module Wi-Fi et Bluetooth, à de la mémoire vive et même à des fonctions d’affichage. Le tout était intégré dans ce qu’Intel avait baptisé le “low power island ». Un archipel de composants capables de travailler sans réveiller les cœurs puissants mais gourmands qui dorment sur le même matelas de silicium.

En pratique Windows ne se servait pas de ce dispositif. La raison est d’ailleurs assez simple, aussi bonne soit cette idée sur le papier, elle se confronte au réel de la situation. Les usages qui pourraient avoir besoin de ce dispositif sont pilotés par… les smartphones. Objets qui font très bien toutes les tâches basse consommation comme le relevé de mail ou la lecture de musique diffusé par Bluetooth. Des qu’il s’agit de faire des actions plus nerveuses, il faut recourir aux cœurs les plus puissants. L’usage d’un outil comme l’ordinateur ne se satisfait tout simplement pas réellement d’un usage minimal.

Résultat des courses, les cœurs LP-E passent à la trappe.

La bonne nouvelle c’est que Intel a travaillé de concert avec Microsoft pour proposer une meilleure gestion de la consommation des puces et augmenter significativement l’efficacité des cœurs « E ». Ces nouveaux cœurs « Lion Cove » peuvent désormais fonctionner aussi bien qu’un cœur LP-E mais pour un tiers de leur consommation d’énergie. Mieux, en cas de besoin ils peuvent doubler ou quadrupler leurs performances. 

Sur certaine tâches la majorité du temps le travail sera effectué sur les cœurs « E »

Enfin, Windows est désormais capable d’affecter des tâches aux cœurs « E » uniquement. En créant des zones de travail réservées à cette architecture, le système évite de mettre en route les éléments les plus gourmands des puces. Cela se programme en amont via le système et les programmes intéressés pourront en tirer partie plus facilement. Un éditeur qui veut faire un lecteur de média uniquement piloté par les cœurs les moins énergivores de votre PC pourra le mettre en place plus facilement. Et tout cela aura un impact sur l’autonomie de votre machine.

L’autre gros changement annoncé par Lunar Lake ? La fin de l’hyperthreading pour cette puce. Un procédé employé par Intel depuis le Pentium 4. Sur les 8 cœurs embarqués, aucun ne prend en charge cette technique. Pour faire simple, cette solution permet à un seul cœur d’en émuler deux. Mais pour Intel le jeu n’en vaut tout simplement plus la chandelle sur ce type de puce.

L’ajout et l’évolution de 4 cœurs « E » supplémentaire permet de proposer un meilleur rendement et de meilleurs résultats que l’emploi de 4 cœurs « P » Hyperthreadés. Pendant longtemps les puces mobiles de la même catégorie que Lunar Lake étaient construites avec 2 à 4 cœurs HT. Désormais avec deux blocs de 4 cœurs « P » et « E », le fonctionnement est plus efficace autant en terme de consommation que de performances. Pour le comprendre il faut mesurer l’évolution des capacités de calcul de ces cœurs.

Selon Intel, un cœur « E » de Lunar Lake 2024 est plus puissant et efficace qu’un cœur « P » de Meteor Lake de 2023 si on les exploite à une fréquence identique. Il est 20% plus rapide en performance single-thread. La nuance sera sa fréquence, puisque le cœur P de Meteor Lake est capable de monter bien plus haut en fréquence et donc de le doubler en vitesse. Du côté des nouveaux cœurs « P », les performances augmentent de 14% sur Lunar Lake par rapport à la génération précédente à fréquence égale. 

Cette nouvelle efficacité est en bonne partie due aux finesses de gravures atteintes. Pour le moment Intel est toujours dépendant de TSMC qui grave ses cœurs avec son processus N3B tandis que le contrôleur est en N6B. Intel se chargeant de l’assemblage des différents cœurs et composants comme de la mémoire vive avec ses propres usines en utilisant sa technologie Foveros.

Les petits bonus d’Intel Lunar Lake

Comme d’habitude sur ces gammes, Intel est conscient que la performance n’est plus uniquement le point central de l’offre. Les PC Lunar Lake seront des machines choisies pour leur mobilité et leur capacité de calcul mais qui devront proposer de nombreux éléments supplémentaires. Par exemple, l’intégration de Thunderbolt 4 est encore facilité et Intel promet deux ports de ce type sur tous les portables exploitant ces processeurs.

Un module Wi-Fi7 et Bluetooth 5.4 est également intégré au processeur de telle sorte que le constructeur n’a plus qu’a câbler la partie antenne externe via une solution PCIe. Autre atout de cette partie sans fil intégrée, une réduction de moitié du temps de connexion aux réseaux identifiés. Un portable Lunar Lake sera connectée au réseau dès sa sortie de veille. La prise en charge du PCIe 5.0 et PCIe 4.0 en X4 permettra l’intégration de SSD NVMe très rapides. Et la marque indique également son intention de déployer le Thunderbolt Share récemment annoncé.

Pour accompagner cette sortie, Intel annonce plus de 80 designs différents et la proposition d’un kit de développement sous la forme d’un MiniPC pour ses partenaires.

Intel officialise l’architecture Lunar Lake pour PC mobiles © MiniMachines.net. 2024.

Minimachines.net en partenariat avec TopAchat.com

Le Ryzen AI 300 réinvente la gamme de processeurs AMD pour portables avec de gros changements sur tous les éléments de son architecture. On passe à Zen 5 pour la partie calcul, à RDNA3.5 pour l’ensemble graphique et à XDNA2 pour le NPU. En ligne de mire pour AMD, damer le pion à Intel et rabattre son caquet à Qualcomm.

Ryzen AI 300 : un processeur à tout faire pour des machines portables plus performantes

Le Zen5 est une nouvelle architecture qui devrait apporter 15% de performances en plus aux solutions actuelles sous Zen4. Pas un changement suffisant pour passer obligatoirement de l’un à l’autre mais une puce qui saura attirer des propriétaires de générations précédentes. Si AMD n’a pour le moment pas dévoilé grand chose sur la partie graphique de cette offre, on sait déjà que le RDNA3.5 lancera la gamme Radeon 8xxM.

Autre évolution logique, l’arrivée d’un NPU plus puissant dans les Ryzen AI 300 puisque c’est le nouveau cheval de bataille des bâtisseurs de ces architectures. Après Qualcomm qui annonçait un NPU délivrant 45 TOPS de performance avec ses derniers Snapdragon X Elite, AMD en annonce 50. On pouvait imaginer assez facilement la réponse de la concurrence avec cette course à la puissance NPU, il suffit de dimensionner en conséquence son processeur en ajoutant la partie nécessaire pour assombrir l’argumentaire concurrent sur le sujet.

Deux processeurs ont été annoncés pour le moment. Le premier est le Ryzen AI 9 HX370 qui propose pas moins de 12 coeurs Zen5. 4 cœurs Zen 5+ et 8 cœurs Zen 5C pour 24 Threads. Sa fréquence de base sera de 2 GHz pour un maximum de 5,1 GHz. Il embarquera pas moins de 36 Mo de cache en additionnant le L2 et le L3. Il est muni d’un circuit graphique Radeon 890M avec 16 Compute Units RDNA 3.5 capable d’atteindre les 2.9 GHz.

Le second est le Ryzen AI 9 H365 qui embarque 10 coeurs Zen5 et 20 Threads. Toujours 4 cœurs Zen 5+ mais 6 cœurs Zen 5C pour une fréquence de 5 GHz au maximum. Son cache baisse à 34 Mo. Ici le circuit graphique rassemble 12 cœurs RDNA3.5 dans un circuit Radeon 880M toujours à 2.9 GHz. Le Ryzen AI 9 H365 ressemble fortement à un Ryzen AI 9 H370 dégradé. Sans info plus explicite sur le RDNA3.5, on restera dans le doute d’un gain majeur de performances par rapport à la génération concurrente.

Les deux puces recevront le nouveau NPU XDNA2 qui proposera pas moins de 50 TOPS de puissance de calcul. Cela qualifie le processeur pour l’intégration de machines Copilot+ de Microsoft et autorisera tous les services dévoilés par l’éditeur. Même les pires. Tout le discours de Qualcomm sous entendant la seule compatibilité de ses Snapdragon avec les solutions Copilot+ s’écroule donc d’un coup. Comme annoncé, les solutions AMD et Intel sont également éligible à ces usages.

Des performances globalement en hausse

Comme d’habitude, AMD a étalé des tableaux mettant en avant ses puces par rapport à la concurrence et comme ses petits camarades elle a passé un doctorat en Cherry picking. Choisissant probablement les éléments les plus avantageux dans un panel de dizaines de tests pour faire briller ses nouveaux processeurs. Tous font la même chose, il n’y a donc pas de vraie surprise ici.

Face au Snapdragon X Elite, le nouveau Ryzen AI 9 HX 370 serait 5% plus rapide en mono cœur sur GeekBench . 10% plus performant sous un test de bureautique et 30% plus rapide sous Cinebench 24 en multitâche. Mais c’est sur le terrain du jeu que le nouveau venu se démarque réellement avec 60% de performance en plus sous 3DMark. De la même manière, AMD a comparé son Ryzen à coeur Zen5 au Apple M3 et au Core Ultra 9 185H d’Intel et, comme on pouvait s’y attendre, les performances seraient bien meilleures à en croire AMD. 

On notera au passage le merveilleux sous titre de l’image qui explique que la puce travaille sans émulation. Un point qui s’évalue dans les deux sens à mon avis car parvenir à des scores de ce type montre l’étendue du travail de Qualcomm sur cette émulation justement. Mais un point qui rappelle aussi le problème posé par cette traduction en temps réel du code d’une architecture vers une autre qui ne manquera pas de poser de nombreux soucis à l’usage pour les propriétaires de machines Sapdragon.

En comparaison avec un Core Ultra 185H d’Intel, la productivité de la solution Ryzen AI 300 fait assez mal. De +4% sous un bench de bureautique à +73% en rendu 3D avec des scores de +40% et +47% en édition vidéo sous Premiere Pro et en multitâche sous Cinebench 24…. ces chiffres font mal. Mais il convient de rappeler que AMD compare ici sa nouvelle puce à l’ancienne génération d’Intel, l’actuelle. 

En jeu, la solution graphique RDNA3.5 semble toujours être à son avantage face aux puces ARC d’Intel. Cela n’est pas une grosse surprise et il conviendra d’ajuster ces scores au moment de la sortie prochaines générations de processeurs du concurrent.

Face à l’Apple M3, c’est également un sans faute pour cette nouvelle génération Ryzen AI 300 avec des chiffres assez hauts mais peu de détails sur les plateformes comparées. 

Une consommation très classique

Les nouveaux processeurs Ryzen AI 300 fonctionneront dans une enveloppe thermique de base de 28 watts. Comme d’habitude chez AMD, cette enveloppe pourra être réglée par le constructeur mais également varier à la volée. Il sera ainsi possible de les proposer entre 15 et 54 Watts directement au sortir de la boite – même si les modèles 54 watts ne devraient pas trop être visibles sur des machines nomades. Mais il sera également possible de proposer aux constructeurs des logiques d’adaptation suivant des profils d’usage. La puce pourra basculer d’un mode ascétique en mobilité à une plus grande puissance une fois de retour à une alimentation sur secteur. 

Cela nous amène à des calculs d’autonomie complexes dans lesquels AMD ne s’est pas engouffré. Le nombre de scénarios étant très vaste entre un portable avec une batterie particulièrement imposante et un autre plus léger, cela n’aurait probablement pas beaucoup de sens. Ce qu’il faut surtout retenir sur ce poste est la large possibilité d’adaptation de ces puces laissée aux constructeurs comme aux utilisateurs. Les scores d’autonomie seront à déterminer avec les machines elles-mêmes.

Evidemment, l’ensemble des acteurs du marché PC a répondu à l’appel et AMD annonce plus de 100 portables différents sous Ryzen AI 300. Dès le mois de juillet. nous devrions commencer à voir des annonces de ces engins même si le gros des troupes ne devrait pas débarquer avant la rentrée de septembre. 

AMD Ryzen AI 300 : un nouveau cocktail à base de Zen5 et RDNA3.5 © MiniMachines.net. 2024.

Minimachines.net en partenariat avec TopAchat.com

Avec les puces Lunar Lake, Intel va intégrer la mémoire vive directement sur ses processeurs. Un changement technologique important qui rejoint la stratégie d’Apple et de ses puces M.

L’objectif d’Intel est assez simple, en ajoutant directement la mémoire vive à ses processeurs Lunar Lake, les performances de bande passante seront simplement décuplées avec la mémoire vive. Ce qui permet d’augmenter la vitesse de traitement des données. Un choix qui a particulièrement bien réussi à Apple et on peut imaginer que l’impact sera également très positif pour les performances des puces Intel.

Un SoC Apple M2 Max avec sa mémoire intégrée

Le problème est que cette stratégie heurte le monde PC. Elle enlève en effet une possibilité rassurante pour l’utilisateur, celle de pouvoir ajouter lui même de la mémoire vive à sa machine. C’est un des éléments majeurs de la philosophie des ordinateurs « compatibles » que de pouvoir garder la main sur certains composants afin de les faire évoluer. Même si c’est de moins en moins vrai sur les portables et en particulier ceux visés par la gamme Lunar Lake qui sont les plus fins et légers du marché. Cette possibilité reste ancrée chez beaucoup d’utilisateurs comme une condition indispensable à tout investissement. Pourvoir changer la mémoire vive, pouvoir faire évoluer son stockage et éventuellement un autre périphérique comme une carte réseau sur un port amovible, sont des gages de pérennité.

2 slots de DDR5 sur un portable

Cette manière de penser est parfaitement logique, elle tient au fait que les constructeurs de portables ont toujours eu tendance à survendre la mémoire vive et le stockage par rapport au prix du marché. On trouve encore beaucoup de machines livrées avec 8 Go de mémoire vive aujourd’hui et un prix pour passer à 16 Go en usine qui correspond à 150% du prix du composant en boutique. Certains constructeurs ayant une passion pour la micro visserie, ce passage à la caisse pour avoir la quantité de mémoire dont on a besoin est même devenu quasi indispensable. A moins de se faire peur au dessus d’un portable neuf pour accéder à ses entrailles et changer soit même la mémoire, on préfère passer à la caisse.

Un portable Lenovo avec de la mémoire vive LPDDR5 soudée.

Lunar Lake est destiné aux machines ultraportables

Lunar Lake ne sera pas intégré dans les PC de bureaux ou les station de travail mobiles, pas plus que dans les portables à destination des joueurs. Cela restera une puce destinée aux machines les plus compactes et légères du marché. Une cible qui, si on analyse les sorties de ces dernières années, fait la part de plus en plus belle aux composants soudés et inaccessibles.

De la mémoire LPDDR5 soudée sur une carte mère

Les ultraportables ressemblent de plus en plus à des coffres forts, les constructeurs ont tendance à utiliser de plus en plus de la LPDDR implantée directement sur les cartes mères. Et les grandes marques vont souvent faire sauter leurs garanties si vous tentez d’accéder aux composants. Si cela reste évidemment un plus de pouvoir mettre à jour son PC, c’est devenu un luxe de plus en plus rare sur les solutions ultramobiles. Certains tentent l’aventure de mettre à jour leurs puces en les dessoudant pour en ressouder d’autres, mais c’est évidemment une pratique qui ne correspondra pas aux possibilités de monsieur tout le monde.

Quand Intel annonce que Lunar Lake sera pourvu de sa propre mémoire vive, le premier reflexe reste donc logiquement de voir le verre à moitié vide. Se dire qu’on va perdre la possibilité de monter la mémoire que l’on veut sur son ultraportable. En pratique, cela change surtout l’endroit où est soudée la mémoire dans la machine. Savoir qu’elle passe d’une implantation directe sur la carte mère à une implantation directe sur le processeur n’est pas une nouvelle ébouriffante pour l’utilisateur final.

Source

16Go de mémoire pour le Core Ultra 5 234V
32Go de mémoire pour le Core Ultra 5 238V

Le verre à moitié plein c’est de se dire que si Intel intègre 16 Go au minimum et jusqu’à 32 Go de cette mémoire ultra rapide, cela veut dire qu’il ne sera plus possible d’avoir un modèle en 8 Go comme aujourd’hui. Les constructeurs ne pourront plus proposer 8 Go par défaut et facturer 150% du prix d’un passage à 16 Go. Ces 16 Go seront le strict minimum et cela correspondra bien aux besoins du public que les propositions d’aujourd’hui. Surtout avec un Windows 11 livré par défaut. 

Le prix des composants mémoire varie en temps réel sur DRAMeXchange

Je vois deux vraies questions à se poser autour de ce changement. La première et la plus évidente sera surtout de savoir à quel tarif sera implanté cette mémoire vive chez Intel. Sur la facture finale, on ne verra pas grande différence. La fabricant ne détaille pas le prix des composants quand il vous vend un ultraportable et vous aurez donc un prix englobant l’ensemble. Difficile de savoir donc si ces 16 à 32 Go de mémoire intégrés seront vendus plus ou moins cher que lorsqu’ils sont soudés à la carte mère. Le fait que le constructeur n’ait plus le choix entre diverses marques de mémoire aura sans doute un impact en terme de prix. Détail qui sera dur à mesurer mais qu’il faudra relativiser par rapport aux gains de vitesse obtenus. Une chose est sûre, avec Lunar Lake, Intel sortira la mémoire vive du marché de la mémoire classique. Quand un constructeur peut faire jouer la concurrence pour obtenir des composants moins chers en choisissant une marque plutôt qu’une autre. Il ne sera plus possible de le faire avec ce type de puces.

La seconde question est concurrentielle. Quand l’info d’une mémoire soudée au processeur est apparue sur Lunar Lake, la levée de boucliers a été immédiate. Beaucoup d’utilisateurs ont commencé par dire qu’ils n’achèteraient jamais de machine ainsi équipée. Préférant garder cette possibilité de passer eux-mêmes à 16 ou 32 Go de mémoire vive. Les ultraportables proposant rarement la possibilité d’aller plus haut en capacité.
Mais si les performances de Lunar Lake liées à cet échange de mémoire ultra rapide se soldent par une évolution très importante des performances obtenues, la réflexion autour de cette vraie-fausse possibilité d’évolution sur un marché désormais dominé par de la LPDDR5 soudée à la carte mère tiendra t-elle encore la route ?

Si Lunar Lake passe largement devant l’offre d’AMD sur ce segment, on peut se douter d’un mouvement similaire chez le concurrent historique d’Intel. L’apparition d’un Ryzen avec de la mémoire intégrée sur son SoC à destination des ultraportables serait alors possible, voire très probable, pour ne pas perdre ce marché.

Entre 16 et 32 Go de mémoire à bord des Intel Lunar Lake © MiniMachines.net. 2024.

Minimachines.net en partenariat avec TopAchat.com

L’assistant Chat GPT-4o a été présenté hier au travers de vidéos assez étonnantes montrant a quel point cette IA avait progressé en spontanéité, en fluidité et en capacités. Si sur le fond l’objet ne change pas ses réponses qui restent ce qu’elles sont, les possibilités qu’offrent cette évolution enterrent les propositions de Humane et Rabbit.

L’interactivité et la fluidité sont les maitres mots de l’évolution proposée par GPT-4o. On retrouve un temps de latence très très faible qui, si il n’est pas au niveau d’un humain, rappelle celui fantasmé d’un « ordinateur central » comme dans les film de science fiction. Avec une latence de 320 millisecondes en moyenne, on est plus dans un dialogue classique que dans l’attente pénible proposée par les interactions habituelles des IA. Le fait de pouvoir prononcer des phrases longues, voir très longues est également un point très positif dans l’interaction.

Les usages possibles sont assez étonnants. On peut poser des questions à l’IA, l’interrompre, orienter ses réponses en temps réel ou lui demander de changer la manière de les exprimer. Il est également possible de demander de prendre en compte plusieurs médiums en même temps. Vos questions à l’oral mais aussi les éléments qui vous entourent grâce à la webcam de son smartphone. L’exemple de la vidéo ci-dessus qui montre comment le dispositif permet de de résoudre une équation écrite est assez parlant.

Une pelletée de terre sur le cercueil de Humane et Rabbit

Humane lançait en avril son AI Pin avec des retours catastrophiques sur ses possibilités réelles. En mai c’était au tour du Rabbit R1 de se faire étriller. Lents, peu pratiques, souvent dans l’erreur, les deux produits présentés comme des assistants IA se sont révélés être surtout des accessoires onéreux et pénibles. Mais avec la présentation de OpenAI ils se révèlent finalement comme totalement dépassés. Dans la vidéo ci-dessus une personne malvoyante peut écouter son smartphone lui décrire son environnement ou lui indiquer quand un taxi passe devant lui pour qu’il puisse lui faire signe. Des fonctions réellement utiles.

Les interactions proposées par les appareils de Humane et Rabbit sont trop lentes et monotones, elles ne sont pas adaptées à un usage au quotidien. Leur sortie rapprochée alors qu’elles n’étaient clairement pas finalisées montre a quel point les deux sociétés étaient conscientes que leur fenêtre de tir était faible pour avoir droit à une commercialisation. Qui va vouloir acheter un de ces gadget aujourd’hui après avoir vu les démos de GPT-4o sur smartphone ? Il suffira de prendre un abonnement à 20$ par mois chez OpenAI pour l’exploiter avec le materiel qu’on a déjà dans la poche. Un matériel qui voit mieux avec des capteurs photo des gadgets comme le Rabbit R1 ou l’AI Pin. Des appareils qui permettent surtout plus d’interactions et qui ne nécessitent pas d’abonnement 4G ou 5G supplémentaire.

Dire que Humane et Rabbit n’ont plus que quelques mois à vivre ne me parait pas exagéré. Dès que l’offre d’Open AI sera commercialisée sur mobile, ces outils vont disparaitre et l’IA sera intégrée dans le smartphone, comme tout le reste. 

Des questions pour le futur

Beaucoup de métiers seront affectés par l’arrivée de ces IA, ce serait se voiler la face que de ne pas le reconnaitre. Les fonctions de traduction automatique ou d’apprentissage proposées par ces services seront sans doute assez pertinentes pour remplacer de nombreux salariés. J’imagine très bien la visite d’un lieu touristique ou d’un bâtiment être proposé par une IA d’ici quelques temps, dans toutes les langues et à toutes les heures sans avoir besoin de passer par un guide. Il suffira de pointer sa caméra vers un détail pour avoir des explications détaillées et les liens afférents. Le tout commenté à vois haute par une IA aux connaissances encyclopédiques.

Même chose pour les heures de cours d’un prof de math ou de français, si le smartphone peut lire et expliquer les règles de calcul ou de grammaire en scannant votre copie, je ne donne pas cher de ces petits boulots à terme. Mais on peut imaginer beaucoup d’autres emplois de ce type qui seront petit à petit remplacés par des IA de ce genre. Des téléconseillers évidemment mais également des IA qui prendront vos commandes dans des restaurants ou autres. Certains n’ont d’ailleurs pas attendu GPT-4o pour déployer ce genre de technologie et il existe déjà des Drive-In qui proposent de prendre vos commandes de repas grâce à ce type d’Intelligence Artificielle. 

En intégrant cette IA à un smartphone, c’est out un univers qui s’offre à l’utilisateur. Celui d’une connaissance très large des éléments qui l’entourent, d’une traduction automatique de différentes langues, d’une connaissance théorique très pointue sur énormément de sujets. Avec le risque de voir l’effet « calculatrice » se répandre à d’autres fonctions. Difficile de trouver des gens capables de faire des opérations simples sans sortir la calculette intégrée à son smartphone. Calculer un volume, un diamètre ou des pourcentages sur le papier parait bien barbare aujourd’hui. Pire, en interrogeant des utilisateurs qui ont toujours connu la calculatrice a portée de main, ils n’ont absolument pas confiance en leur résultat et vérifient toujours sur une calculatrice leurs propres opérations. Ce type de dépendance à l’outil pourrait bien s’étaler vers d’autres segments comme la grammaire, l’orthographe ou la traduction avec ce type d’IA. 

Dans les collèges et les lycées, l’emploi de l’IA pour vérifier le travail réalisé, corriger son orthographe ou trouver une tournure de langue lors d’une traduction est déjà commun. Certains travaillent déjà à 100% avec elle et font leurs devoirs en trois clics et deux copiés-collés. Avec une implantation dans les smartphones ce genre de pratique devrait être de plus en plus courante. Le problème est que si une entreprise ou un lycéen devient « meilleur » avec une IA de ce type à portée de smartphone, tout le monde devra vite se mettre au niveau. On n’imagine pas un lycéen aujourd’hui arriver en cours de mathématique sans une calculatrice programmable, elles sont mêmes demandées par les profs. Est-ce que les profs de langue ou de français demanderont d’avoir un correcteur IA en cours dans quelques années ? Est-ce qu’une personne bilingue en anglais et avec des notions d’allemand pourra se passer d’un abonnement IA pour compléter ses lacunes ? Sera t-il un jour plus pertinent d’ajouter à son CV que l’on est équipé d’un smartphone avec OpenAI que le détenteur d’un Permis B ?

Dernier questionnement, l’impact écologique de cette évolution des usages. Ces aller retour incessants de données, les calculs nécessaires à l’entrainement de ces IA. Tout  cela aura sans doute un coût énergétique très important à moyen et long terme. Si toute la planète est équipée de ce type d’outil, cela pourrait avoir des conséquences importantes.

GPT-4o montre tout le ridicule des assistants personnels IA © MiniMachines.net. 2024.

Minimachines.net en partenariat avec TopAchat.com

Apres l’AI Pin de Humane qui reprenait la même idée de glisser un assistant IA dans votre quotidien, le Rabbit R1 est le second appareil du genre  a être commercialisé. Avec beaucoup de points communs mais également de nombreuses différences, cet appareil va tenter de se faire une place à l’ombre de vos poches.

Un bien étrorange lapin

Le Rabbit R1 est donc conforme aux annonces de la marque. Parallélépipède d’un orange carotte électrique sculpté dans une robe en plastique par le studio Teenage Enginering. Il est l’icône de lui même et en reprend d’ailleurs le format. L’objet est fait avant tout pour être vu, de près comme de loin, et comme le AI Pin, automatiquement authentifié pour ce qu’il est.

Vendu à 199$ « nu », le R1 n’est pas accompagné par un chargeur, une documentation ou une pochette de protection. La trouvaille d’une protection qui rappelle les enveloppes des « cassettes audio » est amusante, d’autant qu’elle sert de support de bureau pour l’appareil. Mais il faudra passer à la caisse ou recycler un chargeur pour alimenter votre petit lapin. Ce prix beaucoup plus bas qu’un Humane AI n’est pas pour autant le signe d’une machine plus abordable. C’est simplement le recours à des matériaux et composants bien plus économiques qui l’expliquent.

L’écran embarqué par exemple est une solution de type TFT et non pas IP ou AMOLED. La lisibilité en plein soleil est problématique et cela d’autant plus qu’il s’agit d’un écran tactile capacitif… même si il est quasi impossible de s’en servir comme tel. La coque de l’appareil est en plastique, la caméra embarqué n’est pas au niveau d’un smartphone classique moyen de gamme et le haut parleur est médiocre. La connectique est limitée à un simple port USB Type-C de charge et la batterie est d’une capacité de 1000 mAh. Celle-ci offre environ 4 heures d’usages mixtes. Une très récente mise à jour a permis de réguler quelque peu l’appétit de l’objet en mode veille mais cela reste encore un ogre difficile a satisfaire en usage réel. La charge USB ne répond à aucune norme e charge rapide connue avec pas moins de 45 minutes pour être regonflée à bloc. Le Rabbit est gourmand.

Source : The Verge

La manipulation de l’appareil se fait de diverses manières suivant le type d’interactions que vous choisirez. Le Rabbit R1 peut être piloté à la voix en appuyant sur son unique bouton latéral. C’est son interaction principale. D’autres sont possibles avec une molette assez critiquée pour sa faible réactivité. Elle n’a pas un grand impact à la manipulation et les maigres menus sont parcourus en de multiples tour de roue. C’est d’autant plus rageant que l’écran tactile permettrait de régler ce soucis en un instant, mais il est désactivé par défaut. Il ne sert en réalité qu’a proposer un petit clavier tactile quand on bascule l’l’objet de manière a orienter l’écran en mode paysage. 

L’interface tactile n’est pas active dans ce mode. Source : Sherwood

Le résultat de cette proposition est un outil qui fait tout assez mal même si l’interaction entre les questions et les réponses posées à l’oral sont plutôt réactives et que l’objet se différencie en cela de son « concurrent » direct qui est l’AI Pin. Les 199$ HT paraissent plus accessibles mais il ne faut pas oublier que l’objet nécessite une carte SIM pour étendre sa connexion sans fil en mode 4G. Sans cette option supplémentaire nécessaire, le Rabbit R1 restera inactif loin d’un signal Wi-Fi. 

Le Rabbit R1 vaut 199$ HT et cela ne semble pas cher en comparaison d’un AI Pin à 699$ HT. Mais cela reste un appareils aux compétences très limitées. Compétences autrement plus efficaces si vous vous décidez a rajouter ces 199$ HT dans l’achat d’un smartphone en plus de votre budget habituel pour celui-ci. Continuer a avoir un seul engin dans la poche mais lus compétent, faisant de meilleure photos, ayant une meilleure autonomie et pouvant a terme proposer de meilleurs services.

Un lapin pas bien malin

Je reste persuadé que pour le moment ces appareils, qu’il s’agisse de l’AI Pin ou du Rabbit R1, sont plus des expériences sociales que de vrais accessoires utiles. Outre la recherche d’une certaine reconnaissance en tant que « Nerd » patenté, il y a dans ces appareils une sorte d’auto accomplissement très étrange. 

La plupart des tests que j’ai pu lire sur la toile – et j’en ai lu énormément – reprennent toujours le même schéma dans leurs essais. Ils commencent par la recherche de la validation de l’efficacité de l’objet. Et c’est très drôle de voir des journalistes spécialisés en informatique, des gens avec une grande culture sur ce thème, s’émerveiller d’avoir dans les mains une intelligence semblable à celle d’un petit enfant pas très éveillé et sans aucune méthode. Il est difficile de comprendre en quoi un appareil muni d’une caméra et a qui on demande de dire ce qu’il voit à l’image à de si merveilleux à le faire. La plupart des enfants de 5 ans font de même. Décrire une photo simple est généralement à la portée de beaucoup de monde. Et cela se traduit par toute absence d’interrogation sur quelque chose que le testeur ne maitrise pas. Par manque de confiance dans l’appareil. 

La recherche entreprise avec l’appareil consiste plutôt a vouloir coincer son « Intelligence » et jamais à lui faire confiance. Aucun signe de certitudes sur ce que dit l’appareil n’est jamais vraiment manifesté. Bien sûr il y a l’aspect « Livre des records » habituel qui consiste a faire ce que l’on fait avec toutes ces IA qui vont puiser à notre place des infos en ligne. On leur demande la hauteur d’une montagne ou d’un monument, la date de naissance d’une personnalité ou d’autres éléments de ce type. Et cela fonctionne, la machine sait piocher des infos et les restituer sans problème. Même si j’ai bien peur que cela n’ait aucun impact réel pour l’utilisateur.

« L’animal dans cette image est un chat. » Source : Sherwood.news

Enfin, il y aura bien un impact « machine à café », c’est à dire une confiance modérée dans la source. Suffisante pour pouvoir affirmer que le Mont-Blanc mesure 4792 mètres comme nous l’a répété l’appareil. Même si en réalité il s’agit de la hauteur de sa roche et que sa couche de neige le pousse à 4809 mètres. De quel chiffre parle t-on à la machine à café ? Peu importe, ce n’est pas important. Mais dans un usage plus précis, pour remplir un document, pour être sûr de soi ? Quand il s’agira d’être sérieux on s’orientera vers un chiffre qu’on ira piocher nous même dans une source faisant autorité, grâce à son smartphone…

Ce double standard de confiance est souvent le propre des gadgets mais c’est surtout le signe classique d’un effet de mode. Une fois que l’appareil aura fini par présenter ce type de résultat, qu’il aura fait ses preuves bonnes ou mauvaises, il sera délaissé pour une source plus fiable. D’autant plus fiable que l’appareil n’est finalement pas très malin. Le grand jeu des testeurs est toujours de coincer le Rabbit R1 et c’est finalement assez facile. Parfois l’appareil ne sait pas lire, d’autres fois il ne sait pas reconnaitre un chat d’un chien. Il peut répondre à côté de la plaque et souvent, très souvent, le Rabbit est incapable de faire mieux que vous face à des questions pas forcément très complexes.

Demander à la camera embarquée d’identifier une plante verte semble hors de portée et c’est un problème plus grand que l’on peut imaginer. Que je ne sache pas faire la différence entre deux plantes particulières en tant qu’humain n’est pas un soucis, il me suffit d’un peu de recherche pour combler cette lacune. Qu’une IA confonde deux objets et me donne une réponse fausse sans m’avertir de sa possible erreur est un vrai problème. Cela induit que cette source n’est absolument pas fiable. Et donc que son usage tout entier n’est pas fiable. Ce manque de confiance rend totalement caduque son usage, hormis comme gadget. Ce qui relativise beaucoup l’exploitation de de l’appareil et l’investissement nécessaire. 199$ HT pour un appareil doué d’une IA et auquel il faudra ajouter une ligne 4G chaque mois ? Ce n’est pas donné. Mais pour un jouet ? Un gadget ? C’est hors de prix.

Sur d’autres usages l’engin semble bien plus malin, par exemple il sait prendre en photo un texte et le résumer en quelques lignes oralement. Soit un travail de lecteur adolescent accompli… Mais le problème est toujours le même, qui irait faire confiance à cette IA pour ce travail ? Et si il comprenait mal l’intention du texte, passant à côté de sous-entendus, de sens cachés ou d’un humour diffus qui transformerait totalement son sens ? Si votre correspondant dépasse la simple accumulation de phrases simples pour pousser un peu plus loin sa réflexion, le risque de passer à côté de son vrai message est important.

 

Un gros manque de services de base

Impossible de confier au Rabbit R1 l’enregistrement d’une alarme, d’un rendez-vous ou le déclenchement d’une simple alarme. L’appareil ne sait pas les gérer. Ce n’est donc pas un assistant à qui on pourrait dicter un email ou un message pour qu’il l’envoie dans la foulée. Ce n’est pas son rôle. 

L’objet se concentre sur son modèle « Sans application » qui consiste a piloter des sites web « comme le ferait un humain ». Et pour dire en quelques mots ce dont est capable Rabbit R1, il est pour le moment vraiment très bête. Trois services sont accessible ainsi qu’un accès à Midjourney, la plateforme générative d’images. Le résultat proposé par l’appareil avec ces services est pitoyable.

Sur Spotify par exemple il faut plaider sa cause pour obtenir le morceau recherché. L’IA du Rabbit ne pilote pas une application et n’utilise pas une IA pour parvenir à vous proposer vos chansons préférées. Non elle se connecte à leur site à votre place, pianote ce qu’elle a compris que vous cherchiez dans le moteur de recherche et redirige le flux vers votre appareil. Cette méthode est évidemment séduisante car elle se veut universelle. Malheureusement elle ne fonctionne pas. De nombreux titres ne sont pas lus, des erreurs sont faites et les fois ou cela fonctionne cela n’apporte absolument rien de mieux qu’un choix simple et moins aléatoire effectué sur un smartphone ou une enceinte connectée. Aucune valeur ajoutée si ce n’est l’échange d’un contrôle précis sur smartphone pour un contrôle vocal aléatoire.

Doordash, un service de livraison en ligne de nourriture, est également accessible. On peut demander un menu et se faire livrer en demandant à l’appareil d’organiser cette livraison. Il ne faut par contre pas espérer avoir un service de qualité. On est loin d’un Concierge de palace qui connait vos goûts et se qui se plierait en quatre pour les satisfaire. Parmi les retours d’expérience glanés sur le net on note par exemple la livraison à l’adresse par défaut d’un utilisateur. Le déjeuner commandé a donc atterri devant la porte de son domicile au lieu d’arriver sur son lieu de travail, le Rabbit R1 ne lui a pas laissé le choix au moment de la commande. D’autres ont eu la mauvaise surprise de commander des menus différents de leurs habitudes, l’appareil ayant mal compris ce qu’ils voulaient. D’autres enfin finissent par sortir leur smartphone devant une commande jugée trop complexe par l’appareil.

Uber, dernier service actuellement proposé ne s’en sort pas mieux. Le Rabbit R1 promet qu’il ne tracke pas votre position même si plusieurs testeurs ont néanmoins noté que l’appareil était capable de « deviner » la météo de leur emplacement sans avoir précisé leur lieu géographique en amont. Cette « absence » de localisation est évidemment un problème pour ce type de service tiers. Ce qui amène à de multiples mauvaises réservations d’un chauffeur Uber.

Tout cela est à la fois faible et peu fiable. La société Rabbit base tout son modèle économique sur cette gestion « intelligente » des services avec en ligne de mire des centaines de sites de services exploitables par l’appareil. A vrai dire, Rabbit annonce que son IA serait déjà apte a en piloter des centaines mais que ses équipes n’auraient pas encore eu le temps de créer une interface adaptée. Ce serait pour cette raison que seuls trois services indépendants seraient disponibles aujourd’hui.

Il va sans dire que, à la décharge de Rabbit, pour tous les modèles d’IA, il est nécessaire d’entrainer des algorithmes afin qu’ils s’améliorent. Les mauvaises expériences des utilisateurs sur les services actuels sont donc amenés a se raréfier au fur et a mesure que les petits lapins se multiplieront. L’expérience devait donc être plus fiable dans la durée. Ce qui ramène les premiers acheteurs à un rôle de bêta testeur classique. Et pose également la question de la viabilité de l’objet. Si les acheteurs sont échaudés par ces premiers retours, l’aventure pourrait se terminer plus rapidement que prévu. Enfin, dernier écueil, Rabbit promettait la mise à disposition d’une application permettant de dresser soit même son petit lapin pour apprendre a utiliser tout type de site web. Un mode d’apprentissage qui n’est finalement pas disponible pour le moment.

La sécurité et le fonctionnement étrange de Rabbit posent question

Autre énorme questionnement lié à l’offre Rabbit, celle des données utilisateur. Pour pouvoir piloter les applications en ligne, le petit mammifère doit conserver vos identifiant. Et cela de manière a pouvoir utiliser votre compte. Sur Uber ou Doordash  il connait votre adresse, votre identité mais aussi vos identifiant. Si, a terme le service est capable de prendre en charge des centaines de sites, ce sera un vrai portefeuille de comptes disponibles derrière un unique serveur. De quoi aiguiser l’appétit de nombreux escrocs en ligne. Surtout si ceux-ci comprennent des services de banque en ligne par exemple.

Si cela pose problème, d’autres questionnement soulevés ces derniers jours par différents utilisateurs soulèvent encore plus de questions. Un internaute a par exemple publié ce qu’il annonce être le code source de Rabbit R1 en ligne sur une page Github qui a été depuis supprimée. Il accuse le site de ne pas exploiter d’Intelligence Artificielle ni de « Large Action model » capable d’apprendre a manipuler des sites web comme un humain mais de simples « tours de passe-passe » techniques pour automatiser des tâches à la manière d’un script. En gros, des copiés-collés de données d’un champ identifié vers un autre. Pas un problème en soi puisque cela marche mais loin du compte en terme d’Intelligence puisque le moindre changement sur le site ciblé transformerait l’opération apprise par cœur en échec. Rendant inopérant d’un moment à un autre l’exploitation de vos usages habituels et requérant une équipe toujours aux aguets pour « corriger » le tir.

Cette source n’est évidemment pas à croire sur parole mais elle publie des éléments qui semblent cohérents et indique au passage que l’ensemble des sessions des utilisateurs seraient également stockées sur les serveurs de Rabbit. Ce qui pose d’autres questionnement sur la sécurité et les usages de ce type de données.

Rabbit n’emploie pas d’applications mais Rabbit en est une

Enfin tout dernièrement, des internautes sont parvenus a monter Rabbit sur un smartphone classique. L’opération n’est pas forcément très simple et demande des compétences particulières mais elle prouve par A + B que l’objet Rabbit n’est rien d’autre qu’un support du système Android exploitant une application Android… Pour rappel, le PDG  de Rabbit expliquait qu’il ne voulait pas faire de son produit une application pour des raisons purement… économiques. Jesse Lyu sait pertinemment que le fait de payer un objet forcera les utilisateurs a s’engager dans son usage. Ne serait-ce que pour valider sa dépense et ne pas se sentir floué par son achat. Mais cette démarche est tout sauf intéressante pour le public. Un smartphone avec une application Rabbit – qui existe donc – serait plus efficace et plus pertinent qu’un Rabbit R1. Elle couterait bien moins cher et serait plus juste avec une interface plus pratique, moins gadget, une meilleure autonomie, un écran plus lisible et un capteur photo autrement plus efficace. 

Pour contrer ce développement sauvage, Rabbit a immédiatement employé des contre mesures qui vérifient depuis quel type de materiel sont exécutés les ordres de Rabbit OS. Ce qui semble logique puisque l’usage de leur serveur leur coute de l’argent et que seule la vente des appareils est capable de le financer.

Evidemment la rentabilité de Rabbit serait mise en concurrence des dizaines d’autres IA qui vont débarquer sur smartphone d’ici peu. Le jour où Apple et Google vont proposer leurs propres services de ce type, directement intégrés dans leurs système, le Rabbit R1 sera instantanément obsolète. Utilisés d’un coup par des dizaines de millions de personnes, ces IA seront entrainées très rapidement et proposeront une expérience sans commune mesure avec le forcément beaucoup plus confidentiel petit appareil orange. Les IA déjà en place que sont Siri et Google Assistant sont souvent plus pertinentes que ce que propose l’appareil. La fenêtre de tir de Rabbit OS est courte, la société le sait , et c’est probablement pour cela qu’elle a vite livré un appareil fort incomplet. L’usage d’Android explique également d’autres éléments techniques comme la possibilité au final de connaitre l’emplacement de l’utilisateur.

Que conclure au sujet de ce Rabbit R1 ?

comme pour l’AI Pi de Humane, on voit ici apparaitre de fausses bonnes réponses à un problème que personne ne se pose. 100% des acheteurs de ces appareils n’en ont pas besoin. Autant un assistant personnel comme une enceinte connectée peut avoir du sens car elle est attachée à un lieu fixe et sert donc a le piloter activement par plusieurs utilisateurs. Autant un appareil de ce type fait doublon avec le smartphone que la totalité des gens susceptibles de l’acheter ont déjà dans leur poche.

Outre le fait que la société  ne résout toujours pas son équation de fonctionnement financier en n’ayant aucun moyen annoncé pour payer ses serveurs et son développement que la vente d’appareils, la réponse applicative des smartphones devrait être largement plus efficace pour répondre à vos besoins à moyen et long terme. 

Le Rabbit R1 est un presse papier en puissance

Ô surprise, l’AI Pin n’est pas une expérience formidable

Rabbit R1 : une IA pas au point dans un appareil entrée de gamme © MiniMachines.net. 2024.

Minimachines.net en partenariat avec TopAchat.com

SemiAccurate a dégainé l’artillerie lourde et publie un papier à charge à l’encontre de Qualcomm au sujet de ses nouveaux Snapdragon X Elite et X plus. Le site indique avoir reçu des témoignages variés mettant en cause les chiffres des performances avancés pour ces puces.

Une accusation lourde contre les Snapdragon X et Qualcomm

SemiAccurate n’est pas un site très connu de ce côté-ci de la planète, mais c’est un vétéran de la galaxie tech aux US, avec une équipe resserrée et très technique. Charlie Demerjian qui écrit l’article sur Qualcomm est un de ses co-fondateurs et ses écrits ne sont donc pas à prendre à la légère. Quand on pilote un media depuis longtemps, écrire quelque chose de grave sur une marque aussi puissante peut avoir des impacts très sévères. Il est donc logique de créditer ces informations d’un certain poids.

Pour être clair et direct, l’accusation portée sur Qualcomm est simple. La marque aurait menti sur les performances annoncées de ses puces Snapdragon X Elite et Snapdragon X Plus. Un mensonge exercé vis à vis de la presse mais également de ses partenaires. Cela se traduirait par plusieurs remontées différentes recueillies par le site.

So what are they cheating on? The short version is that the numbers that they are showing to the press and are not achievable with the settings they claim. Charlie Demerjian

D’abord des partenaires de Qualcomm, des marques qui vont intégrer des SoC Snapdragon X dans des machines portables, n’arriveraient pas à reproduire les résultats obtenus et déclarés par les laboratoires de Qualcomm. Scores essentiellement liés à des tests de type Benchmarks et censés indiquer des niveaux de performances élevés. Pour rappel, à niveau de consommation égal, le Snapdragon X Plus le plus rapide a été indiqué comme 37% plus véloce qu’un Intel Core Ultra 7 144H ou un AMD Ryzen 9 7940HS. En baissant les performances de ses SoC, Qualcomm annonce être au niveau de ses concurrents tout en consommant moitié moins d’énergie. Ces affirmations cumulées avec des résultats de tests synthétiques classiques présentés en faveur de Qualcomm ont créé une position attentive du public qui espère voir débarquer sous Windows le même « miracle » technologique que celui provoqué par l’arrivée des solutions M1 d’Apple.

Le fait que des constructeurs n’arrivent cependant pas à reproduire ces résultats dans leurs propres machines, en dehors des laboratoires de Qualcomm, est assez inquiétant. SemiAccurate insiste sur ce point, depuis un bon moment déjà, les puces sont présentées à la presse avec des prototypes de portables fabriqués par Qualcomm. Des machines dans une robe rouge dont la prise en main est fortement encadrée par des logiciels spécifiques dans des conditions tout aussi spécifiques. Des machines qui permettent d’obtenir d’excellents résultats sur ces usages mais sans jamais vérifier comment ils sont obtenus ni sortir des rails imposés par la communication de la marque. Quelques benchs, quelques outils, deux jeux précis avec Baldur’s Gate III et Control. Rien d’autre. Le site indique pourtant sa certitude que les chiffres annoncés comme la norme de performance de ces nouvelles puces sont absolument impossibles à obtenir dans une machine commerciale.

Une première alerte qui se conjugue avec une autre remarque de ces mêmes constructeurs. Les résultats des tests des Snapdragon X proposés au public au travers de la presse spécialisées et ceux proposés aux constructeurs de PC via le département des ventes du fabricant auraient été différents. Une critique capitale puisque si les résultats des tests sont importants, ceux obtenus en laboratoire n’ont aucune valeur sans être reproductibles dans des usages réels. Si un fabricant de processeur parvient à des fréquences incroyables et des vitesses au dessus de la concurrence grâce à un refroidissement à l’azote liquide et la dévotion d’une poignée d’experts pendant des heures dans un laboratoire, l’impact de ce résultat n’aura aucune réelle conséquence sur la machine que vous aurez en main chez vous.

Autre souci, une seconde information est parvenue à SemiAccurate. Le site précise qu’une source interne à Qualcomm leur aurait déclaré que les tests proposés auraient été sciemment modifiés pour faire apparaitre plus de performances. Les benchmarks auraient été volontairement améliorés pour convaincre les partenaires, la presse et les clients de l’intérêt de ces Snapdragon X.

Des performances plus proches d’un Celeron que d’un Core Ultra ?

Les performances relevées seraient en réalité 50% en dessous de ce qu’annonce Qualcomm. Les Snapdragon X seraient plus proches d’un Celeron d’Intel que d’un Core Ultra ou d’un Ryzen 9. Pour rappel, les Celeron ont été d’excellentes puces d’entrée de gamme dans leurs dernières générations. Excellentes si on les considère dans leur entièreté, c’est à dire avec en tête leurs tarifs, leurs consommations et leurs objectifs. Les Celeron étaient vendus quelques dizaines de dollars, consommaient peu et étaient suffisant pour exécuter confortablement toutes les tâches basiques d’un ordinateur familial moderne. Le problème ici c’st que les Snapdragon X Elite et Snapdragon X Premium sont présentés comme des processeurs équivalents à des puces beaucoup plus haut de gamme. Capables de faire énormément plus de choses et de le faire très agréablement : Montage vidéo, retouche d’image, travail sur de l’audio, pilotages d’IA, programmation et même jeu vidéo. Choses dont les Celeron ne se sont jamais réclamés.

Si Qualcomm présente réellement ses puces comme des monstres mais qu’ils s’avèrent être en réalité beaucoup plus malingres en terme de performances, il y aura une tromperie évidente sur la marchandise. Une volonté claire de donner envie de s’intéresser aux puces, d’acheter du matériel, quitte à décevoir le public.

Les fameux ultraportables « rouge » de Qualcomm pour présenter ses puces

Une accusation à prendre avec du recul

Ce ne serait pas la première fois que Qualcomm décevrait avec ses puces ARM pour Windows. A vrai dire, ce scénario s’est déjà répété plusieurs fois. Avec Windows RT et le Qualcomm S4 en 2013, les annonces grandiloquentes se sont rapidement dégonflées. Les machines étaient absolument inexploitables face aux solutions concurrentes tant au niveau du logiciel que du matériel. La faute est largement retombées sur Microsoft. Rebelote en 2019 avec les Surface Pro X et leurs puces Snapdragon 8cx dont les performances étaient annoncées comme miraculeuses et qui se sont transformées en résultats tout juste milieu de gamme en terme de calcul une fois pris en main. En 2020, Qualcomm annonce un nouveau SoC avec une Gen2 de son 8cx qui n’est en fait qu’une version boostée de quelques MHz de l’ancien modèle. Les résultats restent décevants malgré, là encore, des annonces le faisant jouer au coude à coude ou passer devant ses concurrents x86.

Et depuis 2022 c’est la multiplication des annonces d’un retour en fanfare avec des processeurs haut de gamme capables – enfin – de rivaliser avec le monde x86 sous Windows et ARM sous MacOS. Une affirmation répétée en 2023 et qui se solde aujourd’hui par l’arrivée des nouveaux Snapdragon X.

Bref, pour le moment le scénario a toujours été le même : Qualcomm promet beaucoup et déçoit en vendant fort cher des PC aux performances entrée de gamme. A chaque fois, la faute est diluée entre Windows et les SoC. Cette promesse n’est alors pas qualifiée de mensonge mais, au pire, d’un trop grand enthousiasme. Ce qui change cette fois-ci, c’est que le contrat qui liait Microsoft et Qualcomm pour le développement de Windows sur ARM a pris fin. Qualcomm est donc en solo sur cette histoire et si les machines livrées avec ses nouvelles puces ne sont pas au niveau des résultats annoncés, la marque ne pourra pas se servir de Windows comme d’un paratonnerre pour se dégager de sa responsabilité.

Mais ce recul à prendre va dans les deux sens. Quel intérêt pourrait avoir Qualcomm à proposer des tests aussi biaisés ? Si il s’avère que les chiffres annoncés ne sont pas exacts, le retour de flamme serait terrible pour la marque. Non seulement elle ne pourrait plus se cacher derrière Microsoft mais ses partenaires techniques que sont les intégrateurs seraient les premiers à dénoncer les résultats obtenus en limitant leur production tout en proposant les mêmes designs avec des processeurs Intel et AMD concurrents.

Proposer des benchmarks biaisés serait se tirer une balle dans le pied pour la marque. Tout simplement parce que si les machines produites ne correspondaient pas à leurs attentes elles seraient invendables.  Pas moins de 5 filtres retiendraient les engins des ventes.

D’abord celui des fabricants qui, si les résultats étaient aussi éloignés des promesses, limiteraient d’emblée leur production. Chat échaudé craint le processeur anémique et les machines ne seraient produites qu’en quantités diplomatiques pour ne pas froisser Qualcomm¹ mais sans volonté de réelle présence sur le marché. Un scénario que l’on a d’ailleurs connu avec les précédentes expériences de Qualcomm. Acer, Asus, Dell, HP, Lenovo, Microsoft, Samsung et Xiaomi pour ne citer que les plus connus ont répondu présents pour intégrer ces puces. Si les performances ne suivent pas, ils ne monteront pas en première ligne avec Qualcomm mais laisseront ce dernier partir au front.

 

La presse spécialisée ne manquera pas non plus de relever l’écart entre la promesse et la réalité. Un avis qui ne sera pas facile à cacher sous le tapis. Si les machines présentées jusqu’ici sont parfaitement contrôlées par le marketing, les modèles commerciaux subiront des tests plus poussés et la note globale de leur utilisation ne peut pas s’écarter trop des attentes proposées sans se faire sèchement recadrer par les testeurs. Ensuite les grossistes, ou les antennes locales des différentes marques, qui décident du stock à importer de chaque machine, feront leur tri. Si on ne leur force pas la main sur le stockage de ce type de portables et qu’ils s’aperçoivent de la différence de performance proposée et les résultats des tests, ils ne voudront pas s’encombrer de pièces dans leur stock. Les revendeurs auraient la même réflexion que leurs  grossistes et ne stockeraient pas plus les produits. Ils se borneraient à l’ajouter « sur commande » à leur catalogue. Sachant pertinemment que suite aux écarts de performances dans la presse, les ventes seraient calamiteuses.

Enfin, dernier filtre, les clients. Personne d’un tant soit peu logique n’a envie d’acheter à un prix premium un engin au comportement entrée de gamme. Même si il a d’autres atouts par ailleurs. Les clients seraient au mieux curieux mais pas assez pour sauter le pas et commander un engin dont la presse spécialisé aurait révélé la différence de performances entre la promesse et la réalité. Au pire, un client qui aurait acheté un PC Snapdragon X « par mégarde » aurait souvent quelques jours pour revenir en arrière et se faire rembourser la machine.

Au final donc, l’intérêt de Qualcomm n’est pas franchement évident dans cette équation. Faire des ventes minimales et casser son image serait désastreux et on ne voit pas bien quelle direction pourrait accepter cela. Si la marque veut pénétrer le marché PC c’est pour avoir un relais de croissance mais le faire d’une manière aussi désastreuse serait plutôt un bon moyen de décroitre. Une opération qui pourrait coûter leurs postes à une bonne part de l’encadrement de la société, direction comprise.

En attendant les tests indépendants

Il est trop tôt pour juger Qualcomm et ses Snapdragon X. Personnellement, j’ai envie d’y croire et je sais que l’arrivée d’un nouvel acteur sur ce segment peut avoir des implications positives (et d’autres négatives) pour le marché. Difficile de juger les puces sans les avoir en main et cela de manière positive comme négative. Ce qu’il y a de certain, c’est que les annonces de Qualcomm seront passées à la loupe. Chacun voudra déterminer si des écarts sont constatés entre la promesse et le monde réel.

Et de deux choses l’une. Si les Snapdraon X réussissent leur pari, SemiAccurate risque gros en terme de crédibilité. Si les puces ne sont pas au niveau de performances annoncé, Qualcomm pourra plier bagage pour sortir par la petite porte de cette aventure Windows.

Soupçons de fraude à la performance sur les Snapdragon X © MiniMachines.net. 2024.

Minimachines.net en partenariat avec TopAchat.com

Asseyez vous confortablement, prenez une boisson chaude et fermez vos réseaux sociaux. Il y a quelques jours, dans l’indifférence générale du grand public, un internaute découvre qu’une des brique logicielle de la sécurisation des données du web mondial est infectée : XZ. La grande majorité des sites web auraient pu être gravement menacés par une backdoor, une porte d’entrée cachée, qui aurait pu servir à injecter des logiciels espions, bloquer les sites, lire le données transférées ou détruire purement et simplement ces données.

L’histoire de cette infection XZ n’est pas forcément très complexe mais elle demande de saisir quelques éléments importants pour en mesurer la gravité. C’est une excellente parabole au passage sur la manière dont est gérée la plateforme internet aujourd’hui.

Pour bien comprendre ce qu’il s’est passé avec XZ, il faut commencer par le comprendre ce qu’est XZ. Il s’agit d’un composant logiciel utilisé par OpenSSH sur certains systèmes Linux. OpenSSH qui n’est rien d’autre qu’un des outils les plus massivement employés dans la sécurisation des connexion internet. C’est avec OpenSSH que de nombreux gestionnaires de serveurs pilotent leurs machines à distance. Vous savez que les serveurs, les ordinateurs qui gèrent les données des sites web que vous utilisez au quotidien, sont regroupés dans des endroits spécialisés. Des bien nommées « salles serveur » maintenues par des hébergeurs qui louent leurs machines. On utilise donc OpenSSH comme une passerelle de communication pour prendre la main sur une de ces machines à distance. Comme si on était devant en utilisant son clavier et son écran et un « tunnel » sécurisé et chiffré pour  ses données et éviter toute intrusion. OpenSSH est également intégré par défaut dans une grande majorité de distributions Linux.

XZ est une petite brique de OpenSSH, un élément qui sert à gérer la compression des données de manière sécurisée. OpenSSH ayant été construit en assemblant divers éléments regroupés ensemble dans une suite logicielle. En installant OpenSSH (ou en utilisant un système Linux intégrant OpenSSH), on dispose d’un ensemble d’outils pour communiquer de manière sécurisée avec un autre réseau distant. XZ a été infecté par une Backdoor mettant en péril la très très grande majorité des liaisons sécurisées de la planète web. Voilà, c’est fini pour les présentations, passons à l’histoire.

 

XZ, un développement amateur sur… 22 ans

Le « coupable » est donc XZ. Ou plutôt un programmeur derrière XZ. Et c’est là que cela commence à devenir intéressant. OpenSSH c’est une tour de Jenga, vous savez ces petits blocs de bois empilés les uns sur les autres qui forment un ensemble cohérent et structuré. Et le jeu consiste à en retirer des morceaux tout en faisant en sorte que la tour tienne toujours debout. XZ est un des blocs de bois de la tour, un de ceux qui tient bon malgré un parcours assez chaotique.

Parce que XZ a été développé et maintenu par une seule personne. Lasse Collin, un développeur qui lance ce projet de compression de données sécurisé en 2000, tout seul et de manière totalement désintéressée. Il travaille dessus en le mettant à jour, l’améliorant, le faisant évoluer tout aussi bénévolement pendant deux décennies. Vous avez bien lu, une partie de la sécurité du web mondial, le truc qui permet de piloter des ordinateurs à distance de manière fiable, tient en partie au travail d’un unique et obscur bénévole sur son temps libre. Si il doit y avoir un côté grisant à se sentir partie d’un morceau du pilier qu’est OpenSSH mais aussi de milliers d’autres projets qui utilisent cette ressource de compression. De tenir à bout de bras une telle responsabilité. Je ne doute pas une seule seconde qu’il doit y avoir un côté usant également. Et, en juin 2022, Lasse Collin craque. Il annonce dans l’email ci-dessus qu’il a besoin d’aide pour continuer à s’occuper de XZ. Il est usé. Il annonce ne plus avoir l’énergie pour gérer cette brique d’OpenSSH. Vous imaginez vos Week-Ends, vacances, soirées et tout moment de la journée avec une sorte d’astreinte permanente en cas de pépin pendant des dizaines d’années ? De manière bénévole ? Dans l’ombre et en gérant sa vie personnelle et professionnelle en parallèle ? Lasse Collin est exténué et il le fait savoir avec cet email. 

La communauté Open-Source est grande et pleine de talents. Son appel ne reste pas lettre morte et un volontaire se présente alors pour venir reprendre le flambeau. Son pseudo/nom est Jia Tan et si on peut s’interroger sur la motivation d’une personne à s’intéresser bénévolement à une telle « galère » il ne faut pas oublier les défis qu’elle représente. Outre le côté très motivant de reprendre un tel élément de la tour Jenga qu’est OpenSSH pour améliorer un éventuel CV. Il y a un énorme défi intellectuel à se mesurer avec ce genre de projet.

Jia Tan semble être la personne de la situation. Il n’est pas un « vieux » programmeur avec un long CV public mais semble motivé. Son compte GitHub¹ a été ouvert en 2021 seulement et rien n’a été publié dessus. Mais il dialogue avec Lasse et en juin 2022, il publie sa première participation au projet XZ sous le pseudo JiaT75. Début 2023, il prend du galon et teste des nouveautés qu’il apporte lui même au code de XZ. Relâchant la pression sur son mainteneur principal. Peu à peu, il fait « ce qu’il veut » de XZ pendant que Lasse Collin s’efface et prend du repos. Plus personne ne vérifie le code en amont avant que cela soit implémenté dans XZ en général. Et donc personne ne contrôle ce qui a, petit à petit, basculé dans la « suite » OpenSSH.

En mars 2023, un changement important est fait, l’ancien email de contact du projet passe de Lasse à Jia. Désormais les requêtes, bugs et autres questions seront remontés directement vers lui. Le flambeau est passé. Plus tard dans l’année les choses avancent dans l’ombre. Des éléments sont modifiés dans le code de manière à rendre opaques de futures manipulations, des fichiers dont la vocation n’a plus rien à voir avec l’objectif de XZ sont ajoutés. Ils servent à préparer quelque chose mais cela reste totalement sous le radar. 

Cliquez pour agrandir : image de @fr0gger

En février 2024, avec des stratagèmes techniques élaborés², Jia Tan implante dans le code de XZ une porte dérobée permettant de trouer la sécurité d’OpenSSH. Les fichiers sont cachés et chiffrés. Ils sont très difficiles à débusquer car ils fonctionnent comme un poison dont on obtiendrait les effets qu’en mélangeant deux éléments à la préparation. A l’état natif, dans le code source de XZ, ils sont inoffensifs. Ils ont été ajoutés petit à petit au code dans la durée de mise à jour en mise à jour.

Pour que personne ne se rende compte du changement, puisque le code est open source et publié sur Github, la méthode employée se doit d’être d’une discrétion absolue. Ce n’est pas tous les matins qu’un programmeur émérite se lève en se disant « Tiens si j’allais auditer du code OpenSource !? » mais il suffirait qu’un curieux se penche sur le code pour que tout le plan tombe à l’eau. Autant utiliser des subtilités techniques. Le code de XZ est donc totalement propre. Il ne s’infecte que lorsqu’il est mis en place sur un serveur. XZ va alors piocher dans des fichiers annexes et se modifier pour devenir dangereux une fois en place. Vous pouvez analyser XZ de fond en comble sans rien trouver mais une fois intégré sur une machine dans OpenSSH, XZ devient la porte d’entrée du pirate. Mieux encore, le code malicieux est prévu pour être éventuellement mis à jour. Le ver est alors dans le fruit.

Si on regarde en arrière, on a donc un internaute sous le pseudo de Jia Tan qui reprend le travail de bénévole d’un autre programmeur au bout du rouleau pour maintenir un engrenage d’un des éléments de sécurité les plus importants du web mondial. Cela sans aucun autre contrôle puisque tout le monde travaille de manière décentralisée et de son propre chef. Pendant des mois, voir des années, Jia ne fait rien d’autre que ce qu’il s’était plus ou moins engagé à faire. Maintenir XZ. Il ne gagne pas d’argent, il travaille gratuitement et prépare son coup. Il semble peu probable que Jia soit un vrai nom et une vraie personne. Et c’est encore pire.

Le nom Jia Tan semble correspondre à un internaute d’origine Asiatique. Mais plusieurs experts ont noté que les fuseaux horaires de ses interventions sur le code ne collaient pas avec ceux de cette région du globe. Ils semblent plutôt viser des pays d’Europe de l’Est. On aurait voulu forger un pseudo à consonnance asiatique pour cacher un travail effectué par un groupe mafieux des pays de l’Est que l’on n’aurait pas fait autrement. Car il faut des ressources pour préparer une opération dormante sur plusieurs années. Si les intentions d’un Jia Tan étaient de simplement « faire un coup » rapide pour se faire de l’argent, il y a bien plus simple que cette opération XZ. Deux ans et demi de travail pour capter l’attention du programmeur en chef avec un compte dormant, reprendre le flambeau et intégrer un code malicieux, ce n’est pas un projet de « pirate du dimanche ». C’est une opération commanditée par un structure beaucoup plus vaste. Soit un groupe mafieux, soit un état, soit l’un employé par l’autre.

La découverte du problème XZ

Comment cette faille a-t-elle été découverte est un miracle. OpenSSH est utilisé en permanence à travers le globe, les banques, sites de eCommerce, organismes publics, armées et autres utilisateurs privés comme public emploient ce système en permanence. Et malgré cela, la faille  a été découverte par « hasard » via un développeur. Si le web est gigantesque et utilisé par des milliards d’individus, le nombre d’internautes capables de trouver cette faille XZ est évidemment beaucoup plus restreint. Et, sur le total d’utilisateurs du web, un seul a su la déceler : Andres Freund.

Andres est un salarié de Microsoft, il est développeur évidemment, et c’est quelqu’un de vraisemblablement très attentif. Il travaille à l’amélioration d’un logiciel et effectue des tests variés pour cela. En faisant une mise à jour de OpenSSH – elles sont régulières – il note que sa connexion sécurisée est plus lente qu’avant. Alors pas vraiment beaucoup plus lente mais Andres est quelqu’un d’attentif et il a les outils pour le remarquer. Avant la mise à jour, la connexion sécurisée était 500 millisecondes plus rapide. Cette évolution vers la lenteur le surprend et il cherche à savoir ce qu’il se passe.

En analysant méticuleusement OpenSSH, il découvre que XZ a été modifié et qu’il contient désormais la fameuse porte dérobée mis en place par « Jia »³. Devant l’ampleur du problème, il rédige d’abord un message d’alerte à la communauté sur OpenWall qui sert à alerter les divers responsables réseau et webmestres du monde entier. Ce type de message d’alerte critique fait vite le tour du monde et des mesures de sécurité sont immédiatement prises.

Deux versions de XZ sont concernées, la 5.6.0 et la 5.6.1. Et elles ne sont pas déployées en masse. Les responsables réseaux prenant en général le temps de vérifier le bon fonctionnement des mises à jour avant de basculer les machines de production. Cette mise à jour de février n’a pas été énormément installée.  « Jia » comptait probablement sur une dissémination plus ample avant de passer à l’attaque. Andres publie également sa découverte sur Mastodon. Github qui héberge le code de XZ le désactive très rapidement pour éviter qu’il ne soit exploité ou installé inopinément.

Le résultat de cette découverte évite donc le pire, les serveurs qui avaient basculé vers les dernières versions de XZ rétropédalent. Les particuliers sous une distribution Linux infectée font un retour en arrière et tout rentre dans l’ordre… On l’espère tout du moins.

Les leçons à retenir de cette histoire XZ

La première leçon est plutôt un constat. Celui d’un web mondial qui tient sur les épaules de particuliers. Quand je parle de web mondial, je ne plaisante pas. En installant une porte dérobée dans OpenSSH, les personnes derrière « Jia » avaient une arme logicielle terrifiante. Outre la possibilité de récupérer des données évidemment , il y a le risque de faire tomber des serveurs en cascade. Imaginez si plus aucun système bancaire, ferroviaire ou de santé ne fonctionnaient en même temps. Si des machines protégeant des intérêt nationaux comme de la production d’Energie ou l’armée étaient inopérantes. Si tous les hopitaux de France étaient sous le  coup d’un Ransomware⁴.

Ce scénario est catastrophique et il est totalement plausible si l’objectif du groupe derrière « Jia » n’est pas l’argent mais plutôt à visée politique. La déstabilisation d’un pays est très facile avec une faille de cette ampleur.

Ce qui est ahurissant, c’est de se dire que la responsabilité de OpenSSH est portée par de simples particuliers. Des personnes comme Lasse Collin qui porte pendant 22 ans XZ, tout seul et sans y gagner un centime, alors que son code sert à des millions d’entreprises, établissement financiers, états et autres. Je ne pense pas que Lasse ait jamais demandé un salaire pour son travail mais cela semblerait logique qu’il soit en partie rétribué. Que les organismes qui utilisent des outils Linux mettent en pace un système de fondation permettant de maintenir les projets ne serait-ce que pour les sécuriser. Si Andres Freund n’avait pas perçu cette différence d’une demie seconde et fait le rapprochement de la mise à jour d’OpenSSH, cela aurait été un massacre. Et pourtant XZ a passé la main de son développement d’un internaute à un l’autre sans même connaitre son identité.

Andres Freund explique avoir eu énormément de chance de trouver cette Backdoor sur Mastodon.

Je ne suis pas sûr que les développeurs d’OpenSSH ou les programmeurs du monde des logiciels libres en général aient envie de devenir salariés d’une ONG globale travaillant au maintien de leur code. Je pense que beaucoup sont bien dans la situation actuelle que représente leur statut de développeurs libres. Mais il serait peut être prudent de constituer un moyen de pouvoir venir en aide ponctuellement à certains d’entre eux. Pour éviter qu’ils ne craquent comme Lasse Collin, qu’ils ne passent la main à un compte qui n’a eu à présenter aucune pièce d’identité pour devenir le rouage principal d’un élément aussi critique. Pour que l’audit des codes employés par tous les services d’assurance ou d’analyse médicale du monde soit fait régulièrement par des experts et non pas au petit bonheur en comptant sur la chance d’un programmeur attentif.

Avoir été à deux doigts d’infecter le web mondial, de récupérer toutes les données et même d’attaquer les smartphones, objets connectés et autres machines du genre, devrait faire réfléchir le monde entier sur le fonctionnement actuel du web. Le célèbre dessin de XKCD ci-dessus n’est pas neuf mais il illustre bien la situation. Toute l’infrastructure moderne du web ne tient en équilibre uniquement parce qu’un internaute le maintient seul, gratuitement et sans même un seul coup de projecteur, son bout de code dans son coin sur son temps libre. Le « gag » de cette image parle d’un internaute lambda qui ferait cela depuis 2003… La réalité c’est que Lasse Collin l’a fait pour XZ de 2000 à 2022… La réalité est plus crue que la plaisanterie et pourtant rien n’a jamais bougé.

Si cela ne vous fait pas peur, imaginez votre travail et votre vie demain si le web était par terre. Et maintenant imaginez combien d’autres pièces de ce Jenga moderne sont dans la même situation de précarité que XZ. Saisissez bien qu’une nouvelle tentative de ce genre passera par la case optimisation du code afin que ces 500 millisecondes soient ramenées au minimum également. Rendant l’acuité d’un analyste curieux inopérante. Imagines tout cela et faites de beaux rêves.

On me signale cet article de ArsTechnica qui entre dans les détails techniques de l’opération si cela vous intéresse.

Sources : 

• https://gynvael.coldwind.pl/?lang=en&id=782
• https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27…
•  https://boehs.org/node/everything-i-know-about-the-xz-backdoor…
• https://openwall.com/lists/oss-security/2024/03/29/4…
• https://wiz.io/blog/cve-2024-3094-critical-rce-vulnerability-found-in-xz-utils… 
• https://lcamtuf.substack.com/p/technologist-vs-spy-the-xz-backdoor
• https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and
• https://www.youtube.com/watch?v=jqjtNDtbDN
• https://piaille.fr/@rusty/112190942173039817

–

La menace XZ ou comment le ciel a failli tomber sur nos têtes © MiniMachines.net. 2024.