Spoil : non.

Tout mon soutien à ce cher Marcus ainsi qu’à toutes les équipes derrière Game One. Quant à l’autre, qu’il se débrouille !

Un ADN en pleine forme

L’ONG a fêté ses 40 ans le 4 octobre. Elle a profité d’un évènement dédié pour faire plusieurs annonces, dont la nomination de son nouveau président, Ian Kelling. La FSF a également provoqué une petite surprise en annonçant un projet de téléphone libre, nommé sobrement LibrePhone.

La Free Software Foundation existe désormais depuis plus de 40 ans. Elle avait été fondée le 4 octobre 1985 par Richard Stallman et lutte inlassablement depuis pour promouvoir le logiciel libre, en établissant une différence très nette avec l’open source. « Le logiciel libre signifie que les utilisateurs ont la liberté d’exécuter, d’éditer, de contribuer et de partager le logiciel », indique ainsi que la fondation sur son site officiel. L’open source, qui consiste techniquement à voir les sources, n’entraine pas de lui-même ces libertés, tout dépendant de la licence accompagnant le code.

Pour fêter dignement cet anniversaire, la fondation avait organisé un évènement. De nombreux intervenants étaient présents, avec de nombreuses discussions sur le logiciel libre et des retours d’expérience sur certains projets, dont Debian, Trisquel et Emacs.

Un nouveau président et un téléphone libre

Ce 40ᵉ anniversaire était aussi l’occasion de faire quelques annonces importantes. La FSF a ainsi confirmé que Ian Kelling était le nouveau président la structure. La fondation avait cependant annoncé la nouvelle deux jours avant dans un communiqué. Il prend ainsi la relève de Geoffrey Knauth, qui tenait la barre depuis 2020.

« Depuis qu’il a rejoint le conseil d’administration en 2021, Ian a fait preuve d’une compréhension claire de la philosophie du logiciel libre dans la technologie d’aujourd’hui, et d’une vision forte. Il reconnaît les menaces que représentent les technologies à venir, favorise la transparence, a joué un rôle important dans la conception et la mise en œuvre de nouveaux processus de recrutement du conseil d’administration, et a toujours adhéré aux principes éthiques. Il m’a également donné de précieux conseils dans des moments critiques, pour lesquels je suis très reconnaissant », a ainsi déclaré Geoffrey Knauth.

Zoë Kooyman reste la directrice exécutive de la fondation. Et c’est elle, justement, qui a fait la deuxième grande annonce : le LibrePhone. Il s’agira d’un téléphone entièrement libre, conçu depuis une page blanche. On n’en sait guère plus pour l’instant, sinon que le travail se fera notamment en partenariat avec Rob Savoye, développeur travaillant sur le logiciel libre depuis une quarantaine d’années lui aussi.

« Puisque l’informatique sur téléphone mobile est désormais si omniprésente, nous sommes très enthousiastes à propos de LibrePhone et pensons qu’il a le potentiel d’apporter la liberté du logiciel à de nombreux autres utilisateurs dans le monde », a déclaré Rob Savoye.

Pour Richard Stallman, les choses ne vont pas dans le bon sens

Dans une interview publiée ce 8 octobre par Linuxfr.org, Richard Stallman est revenu sur le cœur de sa mission et celle de la Free Software Foundation. De ce point de vue, rien n’a changé : il établit toujours un distinguo net entre open source et libre, revient sur la précision du vocabulaire à employer (« depuis vingt ans, je n’emploie plus “free” pour dire gratuit, je dis gratis »), la distinction autour du copyleft, ou encore la lutte contre les logiciels privateurs.

Cette dernière est bien sûr au centre des actions de la Free Software Foundation. La notion de logiciel privateur ne regroupe d’ailleurs pas seulement le code propriétaire. Il y inclut tout ce qui géolocalise les personnes, passe obligatoirement par des serveurs, analyse les données personnelles et ainsi de suite. Stallman insiste : « Tout programme privateur, fait toujours du mal à ses utilisateurs. Ma mission est de faire comprendre aux gens cette question ».

Il regrette d’ailleurs que Debian ait changé son fusil d’épaule en assouplissant sa ligne de conduite, en permettant notamment une installation plus simple des pilotes propriétaires depuis son dépôt « main ». Ce n’est toutefois pas exactement le cas : on peut installer des pilotes et firmwares non-libres depuis un dépôt dédié et activé par défaut, mais il s’agit de « non-free-firmware ». Mais ce choix a quand même conduit la Free Software Foundation à ne plus recommander Debian.

Dans l’ensemble, après 40 ans de lutte, Richard Stallman se dit déçu du résultat. La situation générale se dégrade selon lui, notamment « la direction que prennent les choses ». Il encourage d’ailleurs les Français à « exiger que les services numériques de l’État respectent le logiciel libre. Spécifiquement, qu’ils cessent de transmettre des programmes privateurs à exécuter sur la machine des utilisateurs, et qu’ils respectent davantage l’anonymat des individus. Parce que les données personnelles, une fois collectées dans une base, finiront par être abusées, peut-être même par l’État ».

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

« Reviens, j’ai les mêmes à la maison ! »

Depuis son rachat en juin 2018 pour 7,5 milliards de dollars, GitHub jouissait d’une relative indépendance au sein de Microsoft. La situation a commencé à changer en aout avec le départ du CEO de GitHub, Thomas Dohmke. Une étape supplémentaire sera franchie dans un futur proche : Microsoft a confirmé que tous les services seraient migrés vers Azure au « cours des 24 prochains mois ».

« GitHub migrera vers Azure au cours des 24 prochains mois, car nous pensons que c’est la bonne décision pour notre communauté et nos équipes. Nous devons évoluer plus rapidement pour répondre à la croissance explosive de l’activité des développeurs et des flux de travail alimentés par l’IA, et notre infrastructure actuelle atteint ses limites », a déclaré Kyle Daigle, directeur de l’exploitation de GitHub, à The Verge.

C’est ainsi que Microsoft a confirmé une rumeur de plus en plus insistante et dont nos confrères se faisaient le relai. Selon plusieurs sources, la décision serait considérée en interne comme « existentielle ». On peut effectivement y voir un problème de logique : pourquoi continuer sur une ancienne architecture dédiée (implantée en Virginie) alors que la maison-mère possède l’une des plus vastes infrastructures cloud au monde ?

Il s’agirait autant de réduire les couts d’un tel hébergement que de permettre la continuité dans le passage à l’échelle.

Une question existentielle

Nos confrères rapportent que l’annonce de cette migration aurait été faite en interne la semaine dernière par le directeur de la technologique de GitHub, Vladimir Fedorov.

« Nous sommes limités par la capacité des serveurs de données avec des possibilités limitées de mettre en ligne plus de capacité dans la région de Virginie du Nord », aurait écrit le responsable. « Nous devons le faire. Il est existentiel pour GitHub d’avoir la capacité d’évoluer pour répondre aux exigences de l’IA et de Copilot, et Azure est notre voie à suivre ».

La lettre évoque une « mobilisation » au sein d’Azure et de l’équipe CoreAI. Cette dernière est devenue centrale chez Microsoft, comme nous l’indiquions en aout. Thomas Dohmke, CEO de GitHub, démissionnait alors, sans remplacement programmé. Les troupes de GitHub étaient alors rapprochées de CoreAI, division créée l’année dernière dans le but affiché de développer une pile « Copilot & AI » pour les besoins internes et les clients.

• Avec la démission de son patron, GitHub s’enfonce davantage dans la CoreAI de Microsoft

12, 18 ou 24 mois ?

« Je sais que ce n’est pas la première fois que nous disons que GitHub passe à Azure. Je sais aussi que ce type de migrations (dont certaines que nous avons déjà essayées) peut s’éterniser, et plus elles traînent en longueur, plus elles sont susceptibles d’échouer », aurait également écrit Fedorov dans sa lettre interne.

Ce ne sera pas la première fois que GitHub doit déplacer des éléments de son infrastructure dans Azure. Le mouvement a déjà été fait pour Git dans Azure et Azure Sites Automation, et les migrations associées ne se seraient pas bien passées. Dans ce contexte, il aurait été demandé aux équipes de GitHub de travailler en priorité sur la migration complète vers Azure, quitte à retarder le développement de nouvelles fonctionnalités.

Selon le calendrier qu’a pu consulter The Verge, l’essentiel de la migration serait achevé dans les 12 mois. L’abandon complet de l’ancienne infrastructure se ferait dans les 18 mois, avec une marge de sécurité de 6 mois, aboutissant à une période maximale de deux ans.

Comme le rappellent d’ailleurs nos confrères, une migration de cette ampleur ne sera pas sans poser de nombreux défis. En plus du retard dans l’arrivée de fonctions prévues, elle pourrait entrainer des pannes plus ou moins importantes selon les services. GitHub en a connu plusieurs cette année et, à l’heure où nous écrivons ces lignes, Azure en connait une lui-même, avec de multiples perturbations à la clé.

Les Experts : mi-amis

Signe de la dépendance de plus en plus grande aux preuves numériques, le budget dédié aux experts de justice en informatique est passé de 8 à 19 millions d’euros par an. Si les frais d’interprétariat et de traduction ont progressé de 72 % dans le même temps, ils ne seront pas, a priori, remplacés par des IA : le droit français et européen imposent en effet le recours à des interprètes humains.

Dans un rapport intitulé « Maîtriser les frais de justice pour mieux rendre la justice », la commission des finances du Sénat constate que « leur coût a été de 716 millions d’euros 2024, en hausse de 51,2 pour cent par rapport à 2013 », alors que l’inflation n’a été que de 19,1 % dans le même temps.

Qualifiés de « frais d’enquête » par le garde des sceaux, ils concernent essentiellement les analyses et expertises médicales (26 %), frais de traduction et d’interprétariat (11,9 %), interceptions (11,3 %) et mesures judiciaires (contrôle judiciaire, enquête sociale rapide, enquête de personnalité : 10,4 %), la médecine légale (9,1 %) et les frais de gardiennage et de scellés (6,6 %) commandées par les magistrats ou, sous leur contrôle, par les officiers de police judiciaire (OPJ).

Certaines catégories de dépenses ont augmenté bien plus que d’autres, comme les frais de mesures judiciaires (+ 81,1 % depuis 2019), de traduction et d’interprétariat (+ 72,4 %), les cotisations des collaborateurs occasionnels du service public (COSP,+ 55,2 %), expertises médicales (+ 49,6 %, « notamment en raison de l’inflation du nombre d’expertises psychiatriques »), frais de gardiennage et de scellés (+ 42,4 %), contrairement aux frais d’interceptions judiciaires (+ 1,4 %), de procédure (+ 2,1 %) et rétributions des auxiliaires de justice (+ 2,7 %).

Cette explosion des frais de justice est telle que les prévisions de dépenses moyennes par affaire faisant l’objet d’une réponse pénale, qui étaient d’environ 300 euros de 2015 à 2020, ont plus que doublé depuis. Or, souligne le rapporteur (LR) Antoine Lefèvre, « les dépenses budgétaires constatées chaque année ne donnent qu’une idée partielle de la charge réelle représentée par les frais de justice » :

« En raison du niveau insuffisant de la budgétisation, mais aussi de la charge pesant sur les services des greffes […] le ministère fait patienter ses prestataires jusqu’à l’année suivante lorsqu’il n’a plus de crédits pour régler les prestations de l’année en cours. »

Des experts auxquels l’État doit des dizaines de milliers d’euros, depuis des années

Certains experts ne sont dès lors payés que « plusieurs mois, voire plusieurs années », après avoir travaillé. Au point que certains « se retrouvent alors en difficulté financière », le temps de recouvrir les « milliers, voire plusieurs dizaines de milliers d’euros » que l’État leur doit.

Orange a admis jeudi matin que ses services d’accès à Internet étaient susceptibles de faire l’objet d’un « dérangement collectif » dont nous avons eu directement confirmation sur une ligne fixe parisienne, avec un incident réseau signalé aux alentours de 10 heures, et une promesse de résolution « en fin de matinée ».

Les outils de signalement d’incidents de type downdetector soulignent effectivement un pic des demandes liées à Orange à partir de 10 heures, avec une situation qui semble revenir à la normale à partir de 12 heures. Dans l’intervalle, plusieurs centaines d’internautes se sont tout de même enquis de la santé du réseau de l’opérateur, sur lequel un incident physique s’est bien produit jeudi matin.

À ce stade, aucun lien n’est formellement établi avec les dysfonctionnements constatés par certains clients finaux, mais une « grosse déflagration » est en effet survenue jeudi matin place de Breteuil à Paris (VIIe arrondissement), « dans un local technique d’Orange dans une copropriété qui appartient notamment à l’hôtel de luxe SAX Paris, inauguré au printemps dernier », rapporte le Parisien.

D’après le quotidien, trois ouvriers auraient été blessés par l’explosion et rapidement pris en charge. L’accident serait survenu alors qu’ils procédaient à une soudure sur le compresseur d’un bloc de climatisation.

Sur X, les témoignages signalant une impossibilité d’accéder à certains des services en ligne de Microsoft affluent depuis environ 10h30 jeudi matin. Les messages évoquent des dysfonctionnements principalement au niveau des versions entreprises de Microsoft 365, mais aussi une impossibilité d’accès à certains des services cloud de Microsoft Azure. En parallèle, les requêtes effectuées sur les sites dédiées à la vérification de disponibilité d’un service montrent une recrudescence des demandes relatives à Minecraft, ce qui laisse là aussi augurer des difficultés de connexion aux fonctionnalités en ligne, distribuées via le cloud de l’éditeur.

La page statut des principaux services Microsoft confirme une dégradation de service au niveau des offres professionnelles Microsoft 365 (la messagerie et la bureautique grand public semblent quant à elles fonctionnelles). « Tout utilisateur tentant d’accéder au centre d’administration Microsoft 365 ou d’utiliser Microsoft Entra [la solution cloud de gestion des identités et des accès de l’éditeur, NDLR] pour accéder à d’autres services Microsoft 365 peut être affecté », indique la dernière mise à jour publiée vers 11h43. La piste en cours d’investigation concerne l’infrastructure responsable de la répartition de charge (load balancing).

Du côté d’Azure, l’infrastructure en tant que service de Microsoft, les outils d’information n’ont référencé aucun incident jusqu’à environ 11h45 jeudi, et ce alors même que le compte X chargé du support répondait qu’un problème était bien identifié aux internautes inquiets. Peu avant midi donc, les outils dédiés à la santé du service ont été mis à jour pour signaler « une perte de capacité significative dans environ 21 environnements Azure Front Door en Europe et en Afrique ». À la même heure, le service santé de la console Azure retournait quant à lui une erreur d’affichage… De quoi sans doute donner du grain à moudre aux détracteurs de la logique commerciale qui pousse Microsoft à abandonner ses offres on-premise au profit de formules cloud…

Pomme glacée

De nouvelles applications dédiées aux activités des agents de l’ICE ont été supprimées de l’Apple Store. Dans un cas, l’entreprise a justifié sa décision par ses règles de protection des minorités contre les discours de haine – assimilant de fait les fonctionnaires concernés à une minorité.

Après les applications de signalement des services d’immigration, celles d’enregistrements de vidéos de violences commises par les agents de l’administration états-unienne.

Apple vient de supprimer de son magasin d’application Eyes Up, une application dédiée à enregistrer des vidéos TikTok, des Reels Instagram, des vidéos et des clips d’informations revenant sur des cas de violences commises par le personnel de l’Immigration and Customs Enforcement (ICE, le service des douanes états-unien).

DeICER, une autre application dédiée à enregistrer les activités de forces de l’ordre affiliées à l’ICE, a elle aussi été supprimée. D’après Migrant Insider, le motif utilisé pour justifier ce retrait est habituellement utilisé pour protéger les populations minorisées des discours de haine.

Pression accrue du gouvernement Trump

La suspension d’Eyes Up suggère que la pression exercée par le gouvernement des États-Unis sur les géants numériques prend un tour plus large que le retrait déjà obtenu d’outils pour partager en temps réel la localisation d’agents de l’ICE.

En début de semaine, Apple et Google suspendaient en effet ICEBlock, une application disponible depuis le mois d’avril pour permettre à qui le souhaitait de surveiller et de s’échanger des informations de localisation sur les équipes de l’ICE.

Eyes Up se contentant de fonctionner comme un agrégateur de contenu – certes, spécifique –, son créateur affirme à 404 Media : « je pense que l’administration est simplement trop embarrassée par le nombre de vidéos incriminantes que nous avons ».

Agents de l’ICE, nouvelle catégorie protégée ?

Quelles que soient les raisons du gouvernement local, elles influent visiblement sur les conditions d’utilisation des sociétés numériques. Apple a en effet utilisé des règles initialement écrites afin de protéger des minorités des discours de haine pour justifier la suppression d’une autre application. De fait, l’entreprise fait de la catégorie professionnelle des agents de l’ICE une minorité demandant une protection spécifique.

Pour le créateur de DeICER, le risque n’est pourtant pas que ces agents soient discriminés. « Enregistrer des fonctionnaires n’est pas du harcèlement, c’est la démocratie », souligne-t-il auprès de Migrant Insider.

Au quotidien, l’ICE recourt de son côté à un outil de surveillance de la localisation de centaines de millions de téléphones mobiles. L’outil permet aux agents de fouiller dans des masses de données de localisation et en provenance des réseaux sociaux et s’appuierait notamment sur les solutions Tangles et Webloc, historiquement produites par la société israélienne Cobwebs et désormais vendues par Penlink.

Bonne nouvelle, le secteur de la cybersécurité est en plein boum. Enfin bientôt…

Un data center détruit dans l’incendie causé par l’explosion d’une batterie au lithium-ion. Tel est l’événement qui paralyse la Corée du Sud depuis le 26 septembre : d’une batterie, le feu s’est propagé à 384 autres.

Le feu a pris lors d’un exercice de réduction des risques, alors que des batteries UPS (Uninterrupted Power Supply, dédiées à la continuité de l’alimentation électrique) d’une salle de serveurs installée au cinquième étage du bâtiment étaient déplacées vers les sous-sols pour protéger des infrastructures critiques.

Installées en 2014, ces batteries avaient dépassé leur durée de vie recommandée (10 ans), note le Korea Herald, même si elles avaient subi des inspections régulières.

Le centre hébergeant les données de l’administration sud-coréenne, 647 des 1 600 services numériques gouvernementaux se sont retrouvés bloqués. Parmi eux, le portail centralisé qui permet aux citoyens d’accéder à leurs services publics, les services postaux et logistiques, ou encore les services d’urgence, dont ceux permettant de géolocaliser les appels 119 pour répartir efficacement les unités.

Au bout de quatre jours, seuls 85 services étaient restaurés, et le gouvernement estimait à quatre semaines pleines le temps nécessaire à une reprise normale des activités.

Au passage, 858 To de données relatives aux citoyens ont été définitivement perdues. Les fonctionnaires avaient accès à 30 Go de stockage sur leur G-Drive (pour Government drive, et non Google drive) pour sauvegarder leurs activités. Les travaux de 750 000 d’entre eux ont brûlé avec les serveurs, d’après le ministère de l’Intérieur coréen.

L’incendie fait écho à celui qui avait frappé OVHcloud en 2021. Sur le coup, plusieurs clients de l’entreprise française avaient, eux aussi, intégralement perdu leurs données, notamment faute d’avoir souscrit un service de sauvegarde.

L’administration sud-coréenne a fait la même erreur.

• Une donnée informatique, ça brûle

I’m Blue (Da Ba Dee)

Cette année, Bleu est aux Assises de la cybersécurité de Monaco. Nous en avons profité pour leur demander où en étaient leur certification SecNumCloud et le lancement des produits associés.

L’éditeur a pour rappel été lancé par Orange et Capgemini, en partenariat avec Microsoft pour le cloud Azure et la suite logicielle Microsoft 365. C’est le concurrent direct de S3ns, qui est pour sa part la version française de Google avec Thales aux commandes.

• Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »

Où en est la qualification SecNumCloud de Bleu ?

Bleu nous rappelle avoir passé le jalon J0 sans réserve en avril sur la partie IaaS (Infrastructure as a Service), PaaS (Plateform as a Service) et CaaS (Container as a Service) correspondant à Azure. La société nous explique avoir plus de 100 services à faire qualifier, elle a donc découpé sa demande à l’ANSSI en deux.

Le Texas, l’Utah et la Louisiane ont tous trois passé récemment des lois pour imposer la vérification de l’âge des utilisateurs à la création des comptes et avant de les laisser installer des applications depuis des boutiques. Apple et Google viennent ainsi de publier des informations en ce sens.

Dans un cas comme dans l’autre, l’idée est surtout de généraliser les mécanismes de vérification et de pouvoir diffuser ces informations aux applications, via de nouvelles API. Car si les boutiques doivent bloquer l’accès aux mineurs, les applications ont également des obligations.

Les nouvelles API (d’autres arriveront plus tard cette année) auront ainsi pour mission de signaler aux applications y faisant appel que la personne est majeure. Si elle ne l’est pas, elle devra obligatoirement faire partie d’un groupe familial. Le contrôle parental s’appliquera donc pleinement. Les deux entreprises travaillent ainsi à fluidifier les signaux d’autorisation ou de blocage pour les applications tierces.

C’est au Texas que la loi s’appliquera en premier, le 1ᵉʳ janvier 2026. Suivront l’Utah le 7 mai et la Louisiane le 1ᵉʳ juillet. Dans les trois cas, Apple et Google sont très critiques de ces législations. « Ces lois imposent de nouvelles exigences importantes et lourdes à de nombreuses applications qui peuvent avoir besoin de fournir des expériences adaptées à l’âge des utilisateurs de ces États », affirme par exemple Google. Apple pointe de son côté « la collecte d’informations sensibles et personnellement identifiables », même pour des actions aussi triviales que consulter la météo.

Passez quand même une bonne journée

Lors de sa conférence d’ouverture des Assises de la cybersécurité, Vincent Strubel (patron de l’ANSSI) a partagé ses peurs pour l’avenir. Un électrochoc pour réveiller les consciences et essayer de « créer un meilleur futur pour tout le monde ».

Pendant sa conférence d’ouverture, le directeur général de l’ANSSI a décrit deux risques qui l’inquiètent particulièrement. Le premier, c’est « d’être submergé » par le nombre d’attaques ; c’est-a-dire « en subir tellement à la fois qu’on ne pourra plus rien faire ». Le second risque, c’est de « perdre nos leviers d’action ». Autant vous prévenir tout de suite, il va décrire des futurs « un peu plus sombres que d’habitude, c’est peut-être l’époque qui veut ça », mais il ajoute que ces « futurs dystopiques n’ont rien d’une fatalité ».

De « ça pourrait être pire » à « ça va être pire »

Sur le premier risque et l’état de la cybermenace, Vincent Strubel commence par une relative « bonne nouvelle » : « ça pourrait être pire ». Mais il ajoute qu’avec « le mouvement de brutalisation du monde qui déborde assez naturellement sur le cyberespace, malheureusement ça va être pire ».

Pour le patron de l’ANSSI, nous ne sommes pas encore au bout de la massification et de l’accélération des attaques. Autre point, « on n’est pas au bout de la désinhibition des attaquants », qui veulent provoquer toujours plus d’angoisses et de doutes. « Et on n’est probablement pas au bout de la convergence entre les différentes menaces ».

Ces rapprochements concernent à la fois les groupes de pirates et les types d’attaques (cyberattaques, manipulation de l’information, sabotage…). Le but des pirates est de se coordonner « pour nous faire le plus mal possible ».

Une guerre avec une « tempête parfaite de toutes les menaces »

Vincent Strubel revient sur le constat de la Revue nationale stratégique de juillet, qui prévoit que la nation doit être « prête à faire face à une guerre de haute intensité » d’ici 2030, avec un « engagement de nos armées » précise le patron de l’ANSSI, pour bien mettre les points sur les « i ».

Cette guerre se fait « simultanément à un déferlement, une tempête parfaite de toutes les menaces hybrides. Quand on y pense, ça a un côté vertigineux ». Le patron de l’ANSSI persiste et signe : « Je peux vous garantir que chacun de ces mots a été pesé […] fondamentalement, tous nos partenaires font le même constat ». Un résumé en trois mots pour les amateurs de série : « Winter is coming ».

Le but du message, avec le poids important de certains mots, est de provoquer un « réveil » collectif et de ne pas « trop se disperser ». Il milite aussi pour que les questions cyber quittent le cercle des sachants et que tout le monde s’en inquiète.

« Il ne faut probablement pas croire tout ce qu’ils disent »

Vincent Strubel rappelle aussi que les pirates et autres acteurs malveillants sont de très bons communicants et « qu’il ne faut probablement pas croire tout ce qu’ils disent ». Sans le citer directement, on peut y voir l’écho d’une affaire récente avec la recherche de buzz à tout prix autour d’une potentielle fuite de l’ANTS. Elle avait même poussé Vincent Strubel à réagir sur les réseaux sociaux, une première.

• Une fuite massive à l’ANTS ? De la recherche du buzz au recadrage cinglant de l’ANSSI

Ce n’est qu’un exemple, mais il n’est pas rare de voir dans les réseaux sociaux et la presse des annonces de fuites basées sur un simple message publié sur un forum bien connu. La course au buzz et au nombre de pages vues fait le reste.

« 100 % des victimes auraient pu faire quelque chose », mais…

Nous pouvons aussi citer le cas d’EDF et de Conforama, mais il y en a bien d’autres. Cette problématique n’a rien de nouveau, nous en parlions en février dans notre édito sur le temps de l’information chez Next. Du côté des entreprises aussi, il y a du travail à faire. Deux exemples : le rétropédalage d’Intermarché et la tentative de minimisation de Pandora qui parle de vos données personnelles comme de « données courantes ».

• [Édito] Le temps de l’information

Vincent Strubel en profite pour remettre l’église au centre du village : « les vrais méchants, ce sont les attaquants, pas les victimes ». Il reconnait que « 100 % des victimes auraient pu faire quelque chose pour éviter la cyberattaque, mais ça reste des victimes ».

Transposition de NIS2 : le vote « n’est qu’une étape et pas la plus difficile »

Le patron de l’ANSSI revient brièvement sur la transposition de la loi NIS2, en attente d’un vote par les députés et donc d’un gouvernement… dont ce ne sera surement pas la priorité. Il rappelle que le vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ».

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire ».

L’attaque quantique du (cyber)gendarme

Le deuxième risque sur la perte de leviers d’action est en partie la conséquence d’une mutation du secteur. Elle n’est pas nouvelle : « on ne peut pas faire un dump de la mémoire d’un cloud, on ne peut pas patcher une IA, on ne peut pas faire sans le dépositaire unique d’une technologie ». Ces changements s’inscrivent dans un temps long et laissent de la marge pour s’adapter.

• [FAQ] Notre antisèche sur l’informatique quantique

Il enchaine sur la prochaine rupture importante sur laquelle le secteur doit se pencher sans attendre : l’ordinateur quantique et la menace sur le chiffrement asymétrique. Avec un chiffrement symétrique comme AES, il suffit pour rappel de doubler la taille des clés. Des solutions existent depuis des années avec des algorithmes post quantiques ou du chiffrement hybride, dont nous avons déjà expliqué le fonctionnement.

• Le chiffrement hybride classique et post quantique, comment ça marche

L’ANSSI annonce deux échéances : 2027 et 2030

Pour le directeur général de l’ANSSI, il est plus que temps : « c’est maintenant qu’il faut s’y mettre ». L’ANSSI a accordé il y a quelques jours les « deux premières certifications de solutions post quantique », à Thales et Samsung, avec les évaluations menées par le CEA-Leti.

Le patron de l’Agence de cybersécurité annonce un calendrier :

• À partir de 2027 : l’ANSSI n’acceptera plus en entrée de qualification des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur quantique.
• À partir de 2030 : « on recommandera et on imposera le cas échéant de ne plus acquérir de telles solutions ».

Dans un communiqué, l’ANSSI explique que « les enjeux de la cryptographie post-quantique doivent être pris en compte dans le cycle de renouvellement des systèmes d’information, afin que la transition soit anticipée, maîtrisée et coûte possiblement moins cher ».

Si un ordinateur quantique avec suffisant de qubits pour casser des chiffrements asymétriques (type RSA) n’est pas encore là (mais personne ne peut prédire quand il arrivera), des acteurs malveillants (étatiques ou non) peuvent déjà « jouer les écureuils » avec des données pour les décrypter ensuite.

La menace est donc réelle et c’est déjà trop tard pour des données sensibles sur une longue période, il fallait passer à la cryptographie post quantique avant. C’est la conclusion : tout doit être traité en conséquence, sans attendre. On pourrait même dire qu’attendre 2027 et 2030, c’est presque long.

• Informatique quantique, qubits : avez-vous les bases ?
• Informatique quantique, algorithme de Grover : entre mythe et espoir
• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie

La nouvelle n’a pas encore été confirmée par la chaîne, mais plusieurs des employés et chroniqueurs ont confirmé publiquement l’information, révélée mercredi soir par BFM : la chaîne de télévision Game One, spécialisée dans les jeux vidéo et la culture geek, s’apprête à fermer ses portes. Le groupe Paramount Networks France, à qui elle appartient, aurait programmé la fin de la diffusion aux alentours de la fin novembre.

D’après BFM, qui indique avoir échangé avec une dizaine de salariés de la chaine, la décision interviendrait dans le cadre d’un plan de restructuration global des activités télévisuelles de Paramount en France. Elle découlerait du projet de fusion engagé, aux États-Unis, entre Paramount et Skydance, récemment validé par la FCC.

La nouvelle a de quoi surprendre. Contrairement à Nolife, fermée en 2018 après de multiples tentatives de sauvetage, Game One ne souffrait d’aucune difficulté financière : ses comptes 2024, déposés en juillet dernier, font d’après nos recherches état d’un chiffre d’affaires de 10,6 millions d’euros, pour un résultat net qui s’établit à 2,48 millions d’euros.

Plusieurs des chroniqueurs de TeamG1, l’émission phare de la chaine, animée par Julien Tellouck depuis 2014, ont réagi aux révélations de BFM dans la soirée. La spécialiste des jeux de combat Kayane semblait au courant, mais regrette que l’annonce n’ait pas pu être formulée par l’équipe.

« J’aurais préféré que cela soit annoncé dans de meilleures conditions, ne serait-ce que de notre part officiellement en premier, on l’aurait mérité et vous aussi qui suivez Game One depuis de nombreuses années pour certains. Mais les choses en sont tristement autrement… A mon grand regret, une chose aussi simple n’a même pas été possible », écrit-elle sur X.

Plus emblématique encore, puisqu’il officie sur Game One depuis la création de la chaîne, en 1998, Marcus a laissé entendre qu’il n’avait pas été informé.

« J’ai du mal à croire que Paramount et Skydance n’aient pas eu la décence de me prévenir de leur intention de mettre fin à une chaîne qui fait le bonheur des gamers depuis 1998 et sur laquelle j’officie depuis le premier jour. Si ce projet de fermeture est réel, c’est 27 ans de l’histoire du jeu vidéo qui vont être désintégrés », déclare-t-il, avant de promettre à ses « ptizamis » que « Game One n’est pas encore game over ».

Ainsi font font font les petites marionnettes

Il est bien difficile de suivre Synology : avec le DSM 7.3 qui vient d’être mis en ligne, le fabricant autorise de nouveau des disques durs et SSD tiers pour ses NAS x25 de la série « Plus ». D’autres nouveautés sont au programme, mais le transcodage des vidéos est toujours aux abonnés absents.

Le blocage des disques durs tiers par Synology sur les NAS de la série Plus aura duré plus longtemps que certains gouvernements français, mais le fabricant a finalement décidé de faire demi-tour au bout de quelques mois.

Disques dur certifiés obligatoires en avril

On rembobine en avril de cette année. Sans crier gare, Synology lâche une bombe : les NAS de la gamme Plus à partir de x25 nécessitent des disques durs signés Synology (des HDD rebadgés) ou certifiés par ses soins pour une nouvelle installation. Être sur la liste de compatibilité n’est plus suffisant. Seule exception : la migration d’un ancien système, mais avec des messages un peu anxiogènes quand même.

Vous utilisez un HDD Western Digital Red de 4 To (un disque dur spécialement pensé pour les NAS) ? Le NAS vous répond qu’il est impossible de créer un volume de stockage. La grogne était palpable chez les utilisateurs. Il y a encore un mois, la branche française de Synology restait cependant droite dans ses bottes : « La situation n’a pas vraiment changé. Nous sommes en discussion avec les fabricants de disques afin qu’ils puissent certifier leurs disques sur nos NAS », rapportait Cachem qui avait demandé où en était le blocage.

Les disques dur certifiés ne sont plus obligatoires en octobre…

Signe d’une bonne communication entre les équipes et d’une décision murement réfléchie, Synology vient de faire volte-face avec la mise en ligne du DSM 7.3 : « les modèles DiskStation Plus, Value et J Series de l’année 2025 exécutant DSM 7.3 prendront en charge l’installation et la création de groupes de stockage avec des disques tiers », affirme le fabricant dans un communiqué reçu par e-mail.

Synology laisse néanmoins planer le doute sur le retour d’une telle restriction, puisque cet assouplissement se fait « en attendant ». En attendant quoi ? Que les fabricants de disques puissent « élargir la gamme de supports de stockage certifiés », sans plus de précision.

Il reste néanmoins une limitation pour la série Plus des NAS x25 : une « nouvelle installation et création de groupe de stockages » ainsi que la création d’un cache nécessitent des SSD M.2 présents sur la liste de compatibilité.

… sauf sur les séries FS, HD, SA, UC, XS+, XS, DP, RS Plus et DVA/NVR

Avec les séries FS, HD, SA, UC, XS+, XS, DP, RS Plus et DVA/NVR c’est toujours le bazar. Si la migration est possible, une nouvelle installation et la création de groupe de stockages nécessitent des HDD ou SSD sur la liste de compatibilité… sauf pour les RS Plus et DVA/NVR avec des SSD de 2,5 pouces ; avec des HDD seule la migration est possible, allez comprendre !

Une FAQ avec pas moins de quatre tableaux en fonction des gammes résume la situation actuelle. Le fabricant tente bien une explication pour les RS Plus et DVA/NVR, sans pour autant dissiper le brouillard : « Pour les HDD, la compatibilité est limitée à certains modèles afin de garantir une fiabilité et des performances optimales. En revanche, aucune limitation de ce type n’est appliquée aux SSD SATA 2,5″, offrant ainsi aux utilisateurs la flexibilité de choisir des options tierces, avec une transparence assurée par des messages d’avertissement ».

Les autres nouveautés du DSM 7.3

Et sinon, quoi de neuf dans DSM 7.3 ? Un renforcement de la sécurité selon le fabricant : « Au cours des 12 derniers mois, DSM a reçu plus de 50 mises à jour de sécurité proactives. Dans DSM 7.3, la sécurité est encore renforcée grâce à l’adoption d’indicateurs de risque reconnus par l’industrie, notamment KEV, EPSS et LEV, pour une meilleure priorisation et protection contre les menaces ».

Sur la suite collaborative, « Synology Drive introduit des étiquettes partagées, des demandes de fichiers simplifiées et un verrouillage de fichiers amélioré pour faciliter la collaboration en équipe. Parallèlement, MailPlus renforce encore la sécurité avec la modération des e-mails et ajoute le partage de domaine pour unifier les identités à travers des infrastructures distribuées ».

Cet été, Synology a lancé officiellement son AI Console, « un outil de gestion qui permet aux administrateurs d’intégrer des IA tierces » dans les NAS Synology. Depuis, 430 000 systèmes l’ont adoptée et une nouvelle fonctionnalité fait son apparition afin de protéger les données des utilisateurs : « le masquage et le filtrage personnalisés des données, permettant aux utilisateurs de protéger localement les informations sensibles avant de les transmettre à des fournisseurs d’IA tiers ».

Parmi les autres nouveautés, signalons une option pour reporter les mises à jour automatiques importantes jusqu’à 28 jours, la prise en charge native d’exFAT pour les périphériques externes, des correctifs de sécurité, etc. Les notes de version détaillées se trouvent par ici.

Pas de retour des codecs en local sur le NAS

Avec la version 7.2.2 du DSM, Synology avait apporté des changements sur la partie vidéo, dont la suppression pure et simple de la Video Station. Un « changement stratégique » a été mis en avant : le traitement vidéo des médias (codecs HEVC, AVC et VC-1, HEIC pour les photos) ne se fait plus sur le NAS, mais sur les terminaux mobiles, officiellement « pour réduire l’utilisation inutile des ressources du serveur ». Cela permet aussi au fabricant de ne pas payer les licences nécessaires pour les codecs. Il n’y a visiblement pas de petites économies.

Dans DSM 7.3, Synology persiste et signe. « Si le terminal ne prend pas en charge les codecs requis, l’utilisation des fichiers multimédias peut être limitée », prévient le constructeur. Seule exception indiquée dans la FAQ : « Surveillance Station sur DSM continuera à prendre en charge le traitement côté serveur des flux AVC ».

Comme l’explique MacG, Synology va plus loin avec les NAS DS225+ et DS425+ (qui n’ont de x25 que le nom puisque la plateforme matérielle date de 2019) en désactivant le transcodage vidéo matériel.

Entre la girouette sur les disques durs certifiés sans réelles explications, la fin du transcodage et de la Video Station ainsi que les « nouveaux » NAS x25 avec un processeur de 2019/2020, on a bien du mal à suivre la logique du constructeur. Le fabricant voudrait laisser tomber le grand public et se mettre à dos une bonne partie de sa communauté qu’il ne s’y prendrait pas mieux.

Dernière version du DSM pour des NAS x16, x17, X18 et x19

DSM 7.3 nécessitera de redémarrer son NAS après installation et, comme toujours, il sera impossible de faire machine arrière. Pour télécharger le DSM 7.3, c‘est par ici ou directement depuis l’interface d’administration.

DSM 7.3 est aussi la dernière version pour un grand nombre de NAS :

• FS Series: FS3017, FS2017, FS1018
• XS Series: DS3018xs, DS3617xs, DS3617xsII, RS18016xs+, RS18017xs+, RS3617xs, RS3617RPxs, RS3617xs+, RS3618xs, RS4017xs+, RS819, RS217
• Plus : DS216+, DS216+II, DS716+, DS716+II, DS916+, DS718+, DS918+, DS1019+, DS218+, DS1517+, DS1817+, DS1618+, DS1819+, DS2419+, DS2419+II, RS2416+, RS2416RP+, RS2418+, RS2418RP+, RS2818RP+, RS818+, RS818RP+, RS1219+
• Value : DS116, DS216, DS216play, DS416, DS416play, RS816, DS118, DS218, DS218play, DS418, DS418play, DS1517, DS1817
• J : DS216j, DS416j, DS416slim, DS419slim, DS418j, DS218j, DS119j

C’est une fonction basique et indispensable quand on veut séparer la partie personnelle et professionnelle sur son ordinateur ou isoler les membres d’une famille sur une machine partagée. Chacun peut avoir son profil, avec ses comptes, ses cookies, son historique, etc.

Firefox depuis au moins la version 60 en 2018 propose des profils, mais ils étaient cachés et il fallait se rendre dans « about:profiles » pour y accéder. En avril, avec Firefox 138 une vraie gestion des profils utilisateurs est arrivée, avec des options de personnalisation.

Mozilla précisait que le déploiement était progressif et que cette fonctionnalité pouvait « ne pas être disponible chez tout le monde ». Dans les faits, c’est encore le cas pour certains, notamment sur plusieurs de nos machines. L’astuce de changer le paramètre « browser.profiles.enabled » sur « true » dans « about:config » fonctionne toujours.

Mais Mozilla semble enfin décidée à proposer directement cette fonctionnalité à tout le monde, le déploiement se fera à partir du 14 octobre. La fondation précise avoir travaillé avec des personnes souffrant de handicaps afin de rendre les profils « agréables à utiliser pour tout le monde ».

On regrette une fois encore que les profils ne puissent pas être protégés par un mot de passe, par exemple, pour qu’un enfant ne puisse pas accéder à celui de ses parents. C’est aussi le cas sur les autres navigateurs, mais c’est dommage.

On a des idées

Consciente sans le dire frontalement que l’Union européenne a pris du retard sur l’intelligence artificielle, la Commission vient d’annoncer l’injection d’un milliard d’euros dans sa mise en avant. Le budget servira divers projets, dont le renforcement d’un maillage autour de la technologie.

« Je veux que l’avenir de l’IA se concrétise en Europe. Parce que lorsque l’IA est utilisée, nous pouvons trouver des solutions plus intelligentes, plus rapides et plus abordables. L’adoption de l’IA doit être généralisée et, grâce à ces stratégies, nous contribuerons à accélérer le processus. Donner la priorité à l’IA, c’est aussi donner la priorité à la sécurité. Nous encouragerons cet état d’esprit «l’IA d’abord» dans tous nos secteurs clés, de la robotique aux soins de santé, en passant par l’énergie et l’automobile », a déclaré Ursula von der Leyen, présidente de la Commission européenne, ce 8 octobre.

L’axe stratégique se nomme « Appliquer l’IA » (Apply AI) et consiste, pour l’essentiel, à injecter un milliard d’euros dans un plan de structuration. Ce dernier doit définir les moyens d’accélérer l’utilisation de l’IA dans les principales industries européennes, la science ainsi que dans le secteur public. Pour la Commission, toutes les conditions sont réunies : quatre supercalculateurs dans le Top 10 mondial, plusieurs projets de gigafactories, une solide infrastructure de connaissance, des talents, un écosystème dynamique de recherche et de start-ups…

En creux, pourtant, le retard du Vieux continent est criant.

Pousser l’IA dans les secteurs clés

Soins de santé, produits pharmaceutiques, énergie, mobilité, fabrication, construction, agroalimentaire, défense, communications, culture : une dizaine de domaines sont explicitement cités par la Commission comme prioritaires. Des exemples concrets sont également cités, comme la création de « centres de dépistage avancé » alimentés par l’IA, le développement de modèles frontières et d’agents IA adaptés pour la fabrication, l’environnement et les produits pharmaceutiques, ou encore l’amélioration de l’efficacité et de l’accessibilité des services publics.

Le plan veut en outre diminuer le délai de mise sur le marché en rapprochant les infrastructures, les données et les autres éléments de l’écosystème. Il est question de renforcer la main-d’œuvre européenne pour qu’elle soit « prête pour l’IA », et ce dans tous les secteurs. Le nouveau plan lance aussi une initiative nommée « Frontier AI » qui doit soutenir l’innovation en rassemblant les principaux acteurs européens.

Ce n’est d’ailleurs pas le seul groupe créé puisque la Commission lance son Apply AI Alliance, décrite comme « forum réunissant l’industrie, le secteur public, le monde universitaire, les partenaires sociaux et la société civile ». Parallèlement, un European AI Observatory est créé pour soutenir l’Alliance et lui faire remonter différents indicateurs sur l’impact de l’IA (selon une méthodologie créée avec l’OCDE). Et pour s’assurer que tout le monde comprenne bien les règles du jeu, elle lance dans le même temps son « AI Act Service Desk » et sa « Single Information Platform » pour concentrer les ressources et répondre aux questions sur l’application de la législation.

Un soutien supplémentaire va être accordé au domaine scientifique, notamment en renforçant les investissements d’Horizon Europe pour leur faire passer le cap des 3 milliards d’euros. Il est aussi question de faciliter l’accès à la puissance de calcul disponible pour les scientifiques, avec du temps réservé dans les futures gigafactories d’IA.

La Commission indique que le prochain sommet sur l’IA dans le domaine de la science se tiendra à Copenhague les 3 et 4 novembre et que de nouvelles annonces y seront faites. De plus, la Commission publie un important rapport sur l’IA dans le domaine de la science et les défis qui l’accompagnent, en dépit de ses qualités.

Pas la première, mais…

La Commission européenne est consciente que l’Union est loin d’être première, les États-Unis et la Chine étant loin devant. Comme relevé par Politico, c’est un double problème, car elle n’est bien placée ni dans la production de cette technologie, ni dans son utilisation. Nos confrères rapportent ainsi que la moyenne d’utilisation dans les entreprises européennes n’était que de 14 % en 2024, loin derrière le reste du monde.

Lors d’un évènement organisé par Politico au début du mois, Lucilla Sioli, à la tête du Bureau de l’IA de la Commission européenne, a admis que l’Union affichait un retard réel. Un constat qui aurait mené à l’annonce du nouveau plan, qui doit remédier progressivement à la situation par des mesures ciblées. Outre le danger d’être à la traîne, l’Europe fait pleinement face à la menace d’une forte dépendance.

Nos confrères insistent d’ailleurs sur ce décalage. Ursula von der Leyen, en déplacement à Turin le 3 octobre, posait ainsi la question : « Chaque fois qu’une entreprise ou un bureau public est confronté à un nouveau défi, la première question doit être : comment l’IA peut-elle aider ? ». Pourtant, il existe une grande différence d’utilisation entre les grandes entreprises d’un côté (41,17 % en 2024) et les PME/PMI (13,48 %), d’après les propres chiffres de la Commission. Une profonde différence avec les États-Unis où 60 % des petites structures l’utiliseraient déjà sous une forme ou une autre, selon la Chambre de Commerce du pays.

Le nouveau plan annoncé par la Commission européenne ambitionne ainsi de répondre à une question lancinante, illustrée par les propos de Dariusz Standerski, ministre polonais du Numérique. En septembre, il affirmait ainsi que plus de 600 000 entreprises polonaises voulaient investir, mais ne savaient où commencer. Le problème ? Elles ne verraient que des « solutions universelles », sans savoir ce que ces produits peuvent faire pour elles.

L’Europe ne pourra peut-être pas être la première sur les modèles ou l’utilisation dans les entreprises, mais elle se rêve en « chef de file mondial en matière d’IA digne de confiance », comme la Commission l’indique dans son communiqué.

Passion économie circulaire

En un an, Open AI a signé 1 000 milliards de dollars de contrats pour accroître son activité. Les accords financiers à double sens se multiplient autour de l’entreprise et de NVIDIA, au point de dessiner une trame qui pousse divers analystes à envisager à nouveau l’hypothèse d’une bulle financière.

OpenAI est une entreprise à succès. La preuve ? Il y a deux semaines, Nvidia déclarait investir 100 milliards de dollars dans la société pour l’aider à financer ses grands plans de constructions de centres de données. Le constructeur de ChatGPT et Sora promet en retour de recourir à des millions de puces du fabricant états-unien.

OpenAI n’est, si l’on est précis, pas la seule entreprise à succès. L’un des plus grands gagnants de la frénésie qui entoure l’intelligence artificielle générative est un constructeur de matériel : Nvidia lui-même. Depuis septembre 2024, l’entreprise a conclu au moins 50 contrats différents, faisant de la société le deuxième nœud d’un tout petit secteur où l’argent circule en cercle quasi fermé. Dernière annonce en date : elle investirait deux milliards de dollars dans xAI, à l’occasion d’un tour de financement dans lequel la société d’Elon Musk vise à réunir 20 milliards de dollars.

L’activité, on l’a dit, est florissante. Effrénée même. Dans quelle mesure est-elle connectée à la réalité économique ? Telle est la question qui revient de manière toujours plus insistante, à mesure que le nombre d’acteurs impliqué dans ces contrats faramineux se resserre.

Si plusieurs sociétés témoignent de réels gains de productivité – quelques fois traduits en réduction du nombre d’emplois –, la démonstration de retours équivalents voire supérieurs sur les investissements réalisés se fait attendre. Les conséquences sur les factures énergétiques des ménages américains, elles, se font déjà sentir.

Financements circulaires

Au total, calcule le Financial Times, les multiples accords passés par OpenAI au fil de l’année passée se chiffrent autour de 1 000 milliards de dollars. Contrat le plus récent : AMD s’est engagée ce lundi à fournir l’équivalent de 6 GW de capacités de calcul à l’entreprise de Sam Altman. Autre pan de l’accord AMD-OpenAI : la seconde entre au capital de la première.

Cet échange de bons procédés est loin d’être une exception. Spécialiste du calcul de haute performance, CoreWeave a fait son entrée en bourse de Wall Street au mois de mars 2025. À l’époque, Nvidia s’était porté acquéreur de 7 % des parts de la société.

Depuis, l’entreprise a conclu un contrat de 6,3 milliards de dollars pour profiter des services de cloud de CoreWeave. Cette dernière, elle, loue des puces à Nvidia. Open AI n’est pas loin non plus : l’entreprise a signé un contrat de cloud avec CoreWeave à hauteur de 22,4 milliards de dollars, en l’échange de 350 millions de capitaux propres en amont de l’introduction de la société en bourse.

Outre le créateur de ChatGPT et le principal fournisseur de puces du marché, au moins deux sociétés plus installées tirent leurs épingle du jeu : Microsoft et Oracle. Portée par les multiples contrats cloud conclus au fil de l’année, cette dernière a par exemple vu sa valorisation faire un bond début septembre, au point de faire de son patron Larry Ellison l’homme le plus riche du monde pendant quelques heures.

• Comment Larry Ellison est devenu l’un des hommes les plus puissants des États-Unis

Alors que des inquiétudes autour d’une potentielle bulle financière se font entendre depuis 2023, certains analystes comparent les contrats circulaires réalisés dans le secteur à d’autres types de partenariats observés en amont de la bulle internet.

À l’époque, explique le chercheur Paulo Carvao à Bloomberg, des sociétés promouvaient et achetaient les services les unes des autres pour augmenter leur croissance perçue. En 2025, en revanche, les sociétés d’IA « ont de vrais produits et des clients, mais leurs dépenses continuent de dépasser leur monétisation ».

Pour la directrice exécutive d’Open AI Fidji Simo, interrogée par l’AFP, cette frénésie d’investissements est le « nouveau normal ». Elle traduit une nouvelle réalité : celle selon laquelle la capacité de calcul « est la ressource la plus stratégique ».

Traduction énergétique des puissances de calcul financées

Concrètement, cette quête de puissance de calcul a déjà des effets en termes énergétiques. L’activité actuelle est telle que même la manière d’évoquer les capacités informatiques nécessaires au fonctionnement des plus gros systèmes d’IA a évolué : désormais, le milieu en parle en termes de puissance électrique potentiellement consommée pour alimenter les centres de données. Et les sociétés de la tech s’étendent directement dans le secteur de l’énergie.

Au total, selon les estimations du Financial Times, les différents partenariats signés par OpenAI au fil de l’année écoulée pourraient lui donner accès à l’équivalent de 20 GW de capacités de calcul au fil de la prochaine décennie. 20 gigawatts, précise le média, sont plus ou moins l’équivalent de 20 réacteurs nucléaires.

Se pose néanmoins la question du mix énergétique qui alimentera les activités d’un OpenAI, ou de ses concurrents. En l’occurrence, l’essentiel de l’électricité produite actuellement aux États-Unis est issue des industries fossiles. Et partout sur la planète, les géants numériques déploient déjà leurs propres générateurs, au motif que les infrastructures publiques ne sont pas prêtes à temps.

• Data centers : les pays peinent à fournir de l’énergie, la tech déploie ses générateurs


Cela a aussi des conséquences concrètes sur les ménages, que l’on évoque les pollutions provoquées par les activités de certains centres hyperscalers… ou la facture d’électricité des consommateurs. Aux États-Unis, celle-ci est déjà tirée à la hausse par le domaine de l’IA.

Il en va de même pour le PIB du pays, cela dit. D’après l’économiste Jason Furman, sa croissance aurait peu ou prou stagné au premier semestre 2025 si elle n’avait pas été tirée par la suractivité du secteur des centres de données.

Si une récession se matérialisait dans l’économie des États-Unis pour des raisons extérieures au domaine technologique ; si bulle de l’IA il y avait, et que la bulle éclatait, alors son explosion pourrait jouer un rôle d’accélérateur de ladite récession, soulignait tout de même Barclays fin septembre. Mais l’existence d’une bulle, précisait l’auteur de la newsletter spécialisée Alphaville, n’est qu’une hypothèse.

UFS, pour Universal Flash Storage, est une norme de l’industrie créée par le JEDEC. Elle est utilisée par la plupart des terminaux mobiles et détermine notamment la vitesse maximale à laquelle les données seront échangées. Comme avec le PCI Express par exemple, les versions plus récentes permettent donc des débits plus élevés.

Lors de la révision 4.0, la bande passante théorique avait ainsi été doublé par rapport à UFS 3.0, passant de 1,45 à 2,9 Go/s (ou 23,2 Gb/s) par ligne, avec la possibilité d’en mettre deux (et donc doubler la bande passante théorique). Le JEDEC parlait d’un débit de « 4,2 Go/s en lecture et en écriture », correspondant davantage à un débit réel.

UFS 5.0 propose d’aller plus loin avec 46,6 Gb/s, soit le double de la bande passante maximale de l’UFS 4.x. Dans la pratique, le JEDEC espère atteindre « jusqu’à 10,8 Go/s lors d’opérations de lecture/écriture pour du stockage UFS 5.0 sur 2 voies », soit plus du double par rapport à UFS 4.0. La rétrocompatibilité est cette fois encore de mise.

Le JEDEC continue de travailler avec la MIPI Alliance pour développer la couche d’interconnexion. Cela se traduit par le passage de la couche M-PHY 5.0 à la 6.0 (avec High-Speed Gear 6 ou HS-G6) et d’UniPro 2.0 à 3.0. HS-G6 apporte le passage à PAM-4 (modulation d’amplitude d’impulsion sur quatre niveaux), comme le rapporte Cadence, permettant certainement d’augmenter les performances, comme c’était le cas pour le PCIe. Peut-être une explication sur le fait que les débits théoriques sont plus que doublés quand la bande passante fait « simplement » x2.

Dans son communiqué, le JEDEC justifie ce bond par la nécessité de répondre « aux exigences de l’IA », une excuse/justification qui revient toujours lors des annonces des hausses de bande passante, que ce soit sur l’Ethernet, le PCIe… Parmi les autres bénéfices de la version 5.0, le consortium évoque aussi une meilleure intégrité du signal, un rail d’alimentation distinct pour réduire le bruit numérique entre les systèmes et une sécurité accrue par le hachage intégré.

« UFS offre un stockage embarqué hautes performances à faible consommation d’énergie, ce qui le rend idéal pour une utilisation dans des applications où l’efficacité énergétique est essentielle. Cela inclut les systèmes informatiques et mobiles tels que les smartphones et les appareils portables, ainsi qu’un rôle croissant dans les applications automobiles, l’informatique de pointe et les consoles de jeux », déclare le JEDEC.

Le JEDEC ne donne aucune date concernant la disponibilité des premiers produits en UFS 5.0, mais les fabricants de puces et devraient rapidement sortir du bois pour multiplier les annonces. Il faudra également voir comment se placera l’UFS 5.0 sur deux lignes face à l’UFS 4.1 sur quatre lignes que vient juste d’annoncer MediaTek pour son SoC Dimensity 9500.

Le Conseil d’État a rejeté, dans une décision publiée mardi 7 octobre, le recours formulé par Yahoo EMEA contre la sanction à une amende de 10 millions d’euros prononcée à son égard par la CNIL fin 2023.

Lors de contrôles réalisés entre 2019 et 2021 suite à des plaintes d’internautes, la CNIL avait constaté plusieurs manquements dans la façon dont Yahoo gérait les cookies et le consentement associé.

Sa décision dénonçait notamment des cookies déposés sans accord de l’internaute, mais aussi une incitation à ne pas retirer son consentement, au travers d’un message informant qu’un tel retrait compromettrait sa capacité à accéder aux services de Yahoo, dont la messagerie.

Dans son recours, la branche européenne de Yahoo, basée en Irlande, a tenté de faire valoir que la CNIL n’était pas compétente au regard du mécanisme de « guichet unique » prévu par le RGPD. L’entreprise a également tenté de récuser les manquements sanctionnés, ainsi que le montant de l’amende, jugé disproportionné.

Sur tous ces points, le Conseil d’État a donné raison à la CNIL. Comme il l’avait déjà fait dans un précédent recours porté par Google, il a estimé que la gestion des cookies relevait de la seule compétence des autorités nationales, soit la CNIL en France et non d’un traitement transfrontalier qui aurait pu entacher la procédure d’irrégularité.

Au sujet des cookies déposés sans consentement, le Conseil d’État remarque que ces derniers émanaient aussi bien de Yahoo que d’acteurs tiers, et retient qu’il appartient à Yahoo, en tant que responsable de traitement, « de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements ».

Sa décision rappelle également que si le « cookie wall », pratique qui consiste à conditionner l’accès à un service à l’acceptation des cookies, n’est pas en soi illégale, « c’est à la condition que le consentement soit libre, ce qui implique la possibilité de le retirer librement ». La juridiction administrative retient donc que la CNIL n’a pas commis de manquement en la sanctionnant.

• Cookie walls : en l’absence de cadre strict, la CNIL fournit des critères d’évaluation

Elle note au passage que « la circonstance, alléguée par la société requérante, que l’affichage des messages liant le consentement à l’accès aux services résultait d’une erreur technique et que l’accès demeurait possible indépendamment du retrait du consentement n’est pas de nature à atténuer l’effet fortement dissuasif de ces messages ».

Elle relève enfin que l’amende de 10 millions d’euros « ne revêt pas un caractère disproportionné » eu égard à la nature et à la gravité des manquements regardés comme établis et ce même si Yahoo a répondu aux sollicitations de la CNIL et procédé à une mise en conformité partielle après la première période de manquement constatée.