Argent trop cher

Deux ans après une expérience non concluante avec Alma, Apple retente en France la mise en place de solutions de financement pour favoriser les ventes de ses produits, en boutique comme en ligne. Cette fois, la marque s’associe à Cetelem, l’enseigne crédit conso du groupe BNP Paribas.

Le paiement fractionné fait son grand retour chez Apple. La marque officialise aujourd’hui un nouveau partenariat avec le groupe BNP Paribas, qui se traduit par la mise en place de nouvelles offres de financements, dont le fameux « taux à 0 % », qui permet d’échelonner le paiement d’un achat sans supporter les coûts traditionnellement associés à un crédit. Ces solutions sont distribuées aussi bien en boutique physique que sur les versions numériques (Web ou application) de l’Apple Store.

Des taux d’intérêts qui varient selon le produit et le délai de remboursement

« Les mensualités permettent aux clients de répartir les coûts d’achat des produits Apple de manière simple et flexible, sur l’iPhone, le Mac, l’iPad, l’Apple Watch, l’Apple Vision Pro et certains accessoires », résume BNP Paribas Personal Finance, qui opère le service sous sa marque Cetelem.

Le 0 % n’est cependant proposé que dans un certain nombre de cas. Cetelem et Apple modulent en effet le taux proposé en fonction des produits sélectionnés et de la durée de remboursement envisagée.

Pour l’achat d’un iPhone, le 0 % est par exemple proposé sur 12 ou 24 mois, mais pour un MacBook Air ou un Mac Mini, le taux à 0 % n’est proposé que sur un remboursement en 18 mois, contre 20 mois pour un iPad Pro. Pour les accessoires enfin, le 0 % est limité à 4 mois. Au-delà, le crédit est associé à un taux débiteur de 8,16 %.

Une page dédiée liste les « offres en cours », ce qui signifie que les taux et les durées associées sont susceptibles de varier. D’après les Echos, le 0 % sur 24 mois proposé pour l’achat d’un iPhone constitue justement une offre promotionnelle de lancement, valable uniquement pendant trois mois.

La reprise d’un ancien appareil ou la souscription d’un contrat AppleCare+ (assurance optionnelle) modifient également les conditions du crédit proposées. « Si vous souscrivez un contrat AppleCare+ pour votre nouvel appareil, un financement au taux débiteur de 0 % vous sera accordé. La durée dépend de l’option de financement que vous avez sélectionnée pour votre appareil », précise ainsi Apple. Cette solution de crédit n’est en revanche pas proposée pour les achats effectués sur les sites Apple Store Éducation et Entreprises.

Un rapide test sur un panier contenant un iPhone, deux coques et une paire d’AirPods montre que le téléphone est associé à un crédit à 0% sur 24 mois, tandis que les écouteurs bénéficient de ce taux réduit pour seulement 4 mois. Les coques ne sont quant à elles pas couvertes par le financement.

« Nous sommes guidés par l’exigence de qualité et l’excellence du service clients, et nos équipes ont à cœur de répondre aux clients Apple en France », déclare Franck Vignard Rosez, directeur général de BNP Paribas Personal Finance France, dans un communiqué (PDF). La formule est générique, mais elle n’est pas totalement anodine lorsque la société de crédit évoque Apple.

Apple et le crédit, des amours contrariées

En 2022, la marque à la pomme avait en effet mené une première expérience autour du paiement fractionné et du crédit à la consommation avec la startup française Alma. Lancée en juillet, elle avait été interrompue trois mois plus tard, sans aucun commentaire des deux parties, mais les témoignages d’internautes, laissés notamment sur les forums d’Apple, laissaient entendre que le parcours utilisateur à la souscription posait quelques problèmes.

En France, Apple est toujours passée par des sociétés tierces pour ses solutions de financement. Aux États-Unis en revanche, la société a tenté pendant quelque temps d’opérer elle-même son propre service, sous l’appellation Apple Pay Later. Annoncée en mai 2023, cette fonctionnalité a pris fin en octobre 2024.

L’organisation de consommateurs belge Test-Achats annonce porter plainte contre DeepSeek auprès de l’Autorité de Protection des Données (APD) belge pour non-respect du RGPD. « Testachats alerte sur son non-respect des normes européennes de protection des données, mettant en lumière plusieurs failles majeures », explique l’organisation. Celle-ci l’accuse de transférer les adresses e-mail, interactions et prompts des utilisateurs belges vers la Chine sans garanties suffisantes.

Elle estime aussi que la politique de confidentialité de l’entreprise chinoise est en violation des réglementations européennes, « avec un manque d’informations claires sur la conservation et le traitement des données ».

Elle ajoute qu’il y aurait un flou sur l’exploitation des données à des fins de profilage ou de décisions automatisées. Enfin, elle estime que DeepSeek n’amène « aucune garantie pour la protection des mineurs » en ne mentionnant aucune vérification d’âge ni de règles spécifiques concernant leurs données.

L’organisation demande une restriction temporaire du chatbot. Elle affirme que son homologue italien, Altroconsumo, a également saisi son autorité compétente. Celle-ci, la Garante per la protezione dei dati personali, s’est déjà auto-saisie du dossier de DeepSeek.

Remarquons que le site de Test-Achats utilise un « dark pattern » dans son bandeau de cookies en faisant ressortir fortement le bouton « tout accepter » et en n’offrant aucun moyen de tout refuser, technique contraire au règlement européen (le bandeau n’apparait pas en navigation privée).

Les puces Apple... pour l'instant

Des chercheurs ont découvert deux failles de sécurité dans les puces Apple. Exploitées, elles peuvent laisser échapper des informations transitant dans certains navigateurs, dont celles sur les cartes bancaires et autres données sensibles. Ces vulnérabilités peuvent permettre des attaques par canal auxiliaire et ne sont pas simples à corriger.

Les attaques par canal auxiliaire consistent à détourner un mécanisme spécifique pour accéder à des informations qui, sans cette méthode, seraient inaccessibles. C’est le cas avec les deux failles découvertes par des chercheurs, qui les ont nommées FLOP et SLAP.

Dans les deux cas, il s’agit d’un détournement de l’exécution spéculative. Comme nous l’indiquions en novembre dans un article consacré aux conséquences lointaines de la faille Spectre, l’exécution spéculative est au cœur de tous les processeurs depuis longtemps. Cette fonction permet, via une approche statistique, de définir à l’avance l’ordre des instructions et donc les calculs à faire au sein du CPU. Si la spéculation est juste, il y a un gain de temps notable. Si elle est erronée, la branche de calcul est abandonnée et l’opération doit recommencer.

Dans l’ensemble, l’exécution spéculative permet des gains significatifs de performances. Malheureusement, ce fonctionnement s’accompagne de multiples failles, dont FLOP et SLAP sont les dernières représentantes.

Prédictions malveillantes

FLOP est présentée comme la plus grave des deux failles. Signifiant « False Load Output Predictions », elle permet l’exploitation d’une forme d’exécution spéculative que l’on trouve dans le prédicteur de valeur de charge (LVP). Ce composant est chargé de prédire le contenu de la mémoire alors qu’il n’est pas encore disponible.

Or, un acteur malveillant peut inciter le LVP à transmettre des valeurs à partir de données spécifiquement malformées. Le pirate peut ainsi récupérer ces valeurs, alors qu’elles sont en temps normal hors d’atteinte. Si la faille est exploitée, elle peut permettre la récupération d’informations sensibles dans un navigateur, comme le contenu de la boite de réception de Proton Mail, l’historique de géolocalisation dans Google Maps ou encore les évènements dans le Calendrier d’Apple.

L’autre faille, SLAP, s’en prend à un autre mécanisme de prédiction. SLAP (Speculation Attacks via Load Adress Prediction) vise ainsi le prédicteur d’adresse de chargement (LAP). Ce composant sert à indiquer au processeur où les données d’instructions sont stockées en mémoire pour en permettre l’accès. Si la faille est exploitée, elle peut forcer le LAP à prédire des adresses erronées, en envoyant une adresse plus ancienne à une instruction plus jeune.

SLAP peut être exploitée dans Safari. Il faut pour cela que l’onglet du site dont on veut obtenir les données – comme Gmail – soit ouvert en même temps qu’un onglet ayant chargé un site malveillant. Ce dernier peut alors lire des chaines JavaScript sensibles, autorisant la récupération du contenu des e-mails par exemple.

Zoom sur FLOP

La faille FLOP a été découverte lors de travaux des chercheurs (trois du Georgia Institute of Technology, un de l’université de la Ruhr à Bochum) sur le LVP introduit par les puces A17 et M3. L’équipe s’est notamment attelée à une opération de rétro-ingénierie sur le mécanisme, pour mieux comprendre son fonctionnement.

Ils sont alors rendu compte d’un point spécifique. Pour la même instruction de chargement, le LVP renvoie ainsi la même valeur plusieurs fois. Une idée leur vient : peut-on prédire cette valeur à la prochaine exécution de l’instruction, « même si la mémoire à laquelle le chargement a accédé contient désormais une valeur complètement différente » ?

Ils découvrent non seulement que c’est bien le cas, mais également qu’il est possible d’abuser le LVP pour faire calculer au CPU des instructions sur la base de données erronées. Plus précisément, il devient possible de lancer le CPU sur des calculs arbitraires en provoquant une erreur dans le LVP. On peut alors contourner des mesures de protection, dont celles mises en place dans les navigateurs pour bloquer les échanges entre deux onglets non liés par un même domaine.

De 5 à 10 minutes nécessaires

Pour fonctionner, les chercheurs estiment qu’il faut en moyenne entre 5 et 10 minutes. Les deux failles ont en commun de nécessiter que le site visé soit ouvert dans un onglet en même temps qu’un autre, avec le site malveillant. La suite dépend du navigateur.

Sur Safari, le site malveillant émet du code JavaScript pour déterminer les calculs nécessaires. Ces derniers déduits, une attaque peut lancer du code normalement spécifique à une structure de données contre une autre, permettant alors la lecture d’adresses 64 bits déterminées. La faille permet de charger les deux sites dans le même espace mémoire. En s’appuyant sur certaines spécificités du moteur WebKit, les chercheurs sont arrivés à réduire suffisamment l’entropie pour deviner, par force brute, des espaces de recherche 16 bits et ainsi accéder aux données qui les intéressaient.

Sur Chrome, la méthode change complètement. FLOP est utilisée pour cibler les structures de données internes dont Chrome se sert pour appeler les fonctions WebAssembly. Normalement, ces structures vérifient la signature de chaque fonction. FLOP permet de court-circuiter ce mécanisme, les fonctions pouvant alors s’exécuter avec de faux arguments.

Qui est concerné ?

Si FLOP est présentée comme plus grave que SLAP, c’est notamment parce qu’elle permet de lire n’importe quelle adresse mémoire comprise dans l’espace adressé par un processus de navigation. En outre, FLOP peut être exploitée dans Chrome et Safari, augmentant largement le nombre de cibles potentielles.

En revanche, FLOP se trouve sur des versions assez récentes des puces Apple : à partir de l’A17 pour les iPhone et iPad, du M3 pour les Mac, ces générations ayant introduit le LVP. SLAP, de son côté, est présente à partir des puces A15 et M2, concernant donc un plus grand nombre d’appareils.

Si vous avez un portable Mac d’au moins 2022, un Mac fixe d’au moins 2023, ou encore un iPhone ou un iPad d’au moins septembre 2021, votre appareil est concerné par au moins l’une des deux failles.

Plusieurs points sont également à préciser. D’abord, Firefox ne figure pas dans la liste des navigateurs vulnérables, car les chercheurs n’ont pas eu le temps de lancer des tests. Dans l’absolu, rien n’empêche selon eux que le navigateur de Mozilla soit également concerné. D’ailleurs, si des tests ont été effectués sur Chrome, rien n’empêche a priori que l’ensemble des navigateurs basés sur Chromium soient eux aussi vulnérables.

Peut-être aussi dans d’autres processeurs

Ensuite, même si FLOP et SLAP ont été démontrées dans les puces Apple, les chercheurs indiquent que les techniques LVP et LAP peuvent être utilisées dans les processeurs d’autres entreprises. Si tel est le cas, en fonction de l’implémentation, ces puces pourraient elles aussi être vulnérables. Leurs travaux seront présentés à deux reprises dans le courant de l’année : SLAP au symposium de l’IEEE sur la sécurité et la vie privée en mai, FLOP à la conférence Usenix en août.

Enfin, les chercheurs ont précisé qu’Apple avait été prévenue de ces failles en mai 2024. Selon des responsables de l’entreprise en privé, un travail serait en cours pour publier des correctifs.

Apple, interrogée à ce sujet par Ars Technica, n’a pas confirmé l’échange privé avec les chercheurs ni le développement de correctifs. « Nous tenons à remercier les chercheurs pour leur collaboration, car cette démonstration de faisabilité nous permet de mieux comprendre ce type de menaces. Sur la base de notre analyse, nous ne pensons pas que ce problème pose un risque immédiat pour nos utilisateurs », a-t-elle ajouté.

Quand on parle d’Auto Dark Mode, ce n’est pas au sujet d’une fonction du système. Pour une raison qui nous échappe depuis des années, Microsoft n’a jamais jugé bon d’introduire dans Windows des réglages pour une bascule automatique entre les thèmes clair et sombre. Ni en fonction de l’heure, ni en fonction d’une programmation personnalisée. Ce type de réglage existe pourtant depuis longtemps dans Linux et macOS.

Auto Dark Mode est une application créée par Armin Osaj pour compenser cette carence. Gratuite et libre (licence GPLv3), elle ajoute les deux fonctions manquantes. Le mode le plus classique permet d’afficher le thème clair entre le lever et le coucher du soleil, puis le thème sombre quand arrive ce dernier. La bascule s’adapte l’évolution de ces heures au cours de l’année. On peut sinon définir une plage horaire précise pour chaque mode.

L’application va cependant beaucoup plus loin. Elle permet par exemple d’affecter un fond d’écran spécifique à chaque mode, un curseur de souris, une couleur d’accentuation, un thème Office, voire un thème Windows complet (via un fichier .theme). On peut désactiver la bascule depuis l’icône dans la barre des tâches, reporter la prochaine bascule ou encore exécuter des scripts lors de cette dernière. Par défaut, l’application bloque la bascule si elle détecte qu’un jeu est lancé, pour éviter les éventuelles saccades.

La dernière révision de l’application, 10.4.2.29, introduit également plusieurs améliorations. La plus importante est le support de l’architecture ARM, permettant une installation native sur les machines concernées, dont les PC Copilot+. Un plus grand nombre de formats d’images est dans le choix des fonds d’écran, le code de l’application passe à .NET 8 et ses DLL sont maintenant signées. Plusieurs bugs ont également été corrigés.

L’application peut être téléchargée depuis le dépôt GitHub associé ou le Microsoft Store. Elle dispose d’une traduction française et est compatible avec Windows 10 et 11.

Toujours plus profond

La startup chinoise a sorti son modèle DeepSeek-R1 rivalisant avec o1 d’OpenAI. Si certains doutent des affirmations des chercheurs de l’entreprise, leur rapport technique apporte des indications précises sur les nouveautés pour rendre leur modèle plus efficace.

Ne nous précipitons pas pour dire que la startup chinoise Deepseek a révolutionné le champ des IA génératives jusqu’à penser que l’Intelligence artificielle générale est proche, comme ses chercheurs le suggèrent dans leur rapport technique, reprenant les discours des startups américaines comme OpenAI à leur compte.

Mais ne renvoyons pas non plus d’un revers de la main les prétentions de cette jeune entreprise chinoise, qui vient de faire trembler la bourse américaine et fait craindre aux investisseurs l’éclatement de la bulle spéculative dont bénéficient ses concurrents états-uniens. Comme le modèle o1 d’OpenAI, le modèle DeepSeek-R1 se base sur de l’apprentissage par renforcement à grande échelle.

• OpenAI o1 : une nouvelle approche et un modèle capable d’évaluer sa réponse

DeepSeek n’est pas une startup sortie de nulle part, comme le rappellent certains : son laboratoire rassemble plus de 100 chercheurs et elle a mis en ligne 16 articles de recherche en lien avec l’IA générative.

Un rapport technique détaillant l’architecture du modèle

Si certains, comme le CEO de l’entreprise américaine Scale AI, Alexandr Wang, estiment que l’entreprise chinoise ment sur l’efficacité de son modèle, le rapport technique mis en ligne [PDF] donne des indications montrant qu’elle a, de fait, innové dans le domaine.

Du DTC made in Starlink

Cela fait maintenant des mois que l’on parle de Direct-to-Cell ou Direct-to-Device, notamment suite aux annonces de Starlink. Cette fonctionnalité de communication par satellite débarque sur les iPhone aux États-Unis, tandis que l’Europe signe un partenariat avec Viasat. Mais de quoi s’agit-il exactement ?

L’Agence spatiale européenne (ESA) et Viasat viennent d’annoncer un « accord visant à explorer un partenariat concernant un système satellitaire D2D (Direct to Device), visant à fournir une connectivité mobile à large bande à tout moment et en tout lieu ».

Puisqu’on est dans les acronymes, plongeons gaiement dedans et crevons l’abcès. Dans son communiqué, Viasat parle d’un « Non-Terrestrial Network (NTN) LEO Direct-to-Device (D2D) système » (sic) pour l’Europe et le reste du monde. Reprenons calmement.

Qu’est-ce qu’un Non-Terrestrial Network ?

Les Non-Terrestrial Network (NTN) sont, selon la 3GPP, « des réseaux ou des segments de réseaux qui utilisent soit des systèmes d’aéronefs sans équipage […] soit des satellites ». Plusieurs orbites sont possibles, certaines proches de la Terre, d’autres plus éloignées.

Des tentatives ont déjà été lancées par le passé, notamment avec les ballons connectés Loon de Google et le drone Aquila de Facebook, projets tous deux abandonnés depuis.

LEO : rappel sur les orbites, leurs avantages et inconvénients

LEO (pour Low Earth Orbit) désigne une des nombreuses orbites autour de la Terre. « C’est l’orbite la plus proche de la Terre, entre environ 300 km et 3 000 km d’altitude », précise le Centre national d’études spatiales. « C’est là où se trouvent la majorité (plus de 80 %) des engins artificiels : satellites d’observation, de météorologie, de télécommunications… », ajoute le CNES. Deux principales raisons : « moins d’énergie au lancement. Et cette proximité avec la Terre réduit les temps de trajet des communications entre la surface et l’engin ».

Avant l’arrivée des constellations LEO de type Starlink, il existait déjà depuis longtemps des communications par satellites pour accéder à Internet, mais sur des orbites géostationnaires à 36 000 km d’altitude. Le temps pour le signal de faire des allers-retours fait exploser la latence à plusieurs centaines de millisecondes. En étant 100 fois plus proche de la Terre, la latence est divisée par le double de ce même facteur.

En orbite géostationnaire, le satellite reste par contre toujours à la même place dans le ciel, alors que sur des orbites LEO il le traverse à grande vitesse, obligeant à multiplier les satellites et gérer des communications entre eux.

• Internet par satellite : comment choisir son abonnement, les pièges à éviter

Direct-to-Device et Direct-to-Cell : c’est quoi, quelles différences ?

Enfin, Direct-to-Device est « une communication directe, qui ne nécessite pas le passage par le réseau cellulaire », explique l’Arcep. On parle aussi de Direct to Cell lorsqu’il s’agit d’un smartphone alors que Direct to Device s’applique à tous les objets connectés.

Comment fonctionne le Direct-to-Cell de SpaceX

Direct-to-Cell est le nom utilisé par Starlink. La société a envoyé ses premiers satellites avec cette technologie début 2024. En pratique, ils disposent d’un modem LTE (eNodeB) « qui fonctionne comme une antenne-relai de téléphonie mobile dans l’espace ». Côté smartphone, « aucune modification du matériel, du logiciel ou des applications spéciales n’est nécessaire ».

« Moins de 6 jours après le lancement, nous avons envoyé et reçu nos premiers SMS vers et depuis des smartphones non modifiés », en utilisant le réseau de T-Mobile. Depuis, les partenariats se sont multipliés avec Rogers au Canada, Optus en Australie, One en Nouvelle-Zélande, KDDI au Japon, Salt en Suisse, Entel au Chili et au Pérou…

Direct-to-Device : cette année, Starlink s’ouvrira à l’IOT

Starlink annonce que les SMS sont déjà utilisables, tandis que les appels arriveront « prochainement ». Pour les données et l’IoT ca sera dans le courant de cette année. Le premier appel en Direct-to-Cell a été passé début 2024.

First video call on @X completed through @Starlink Direct to Cell satellites from unmodified mobile phones!

We’re excited to go live with @TMobile later this year pic.twitter.com/v4nA5B75EX

— SpaceX (@SpaceX) May 21, 2024

Direct-to-Cell de Starlink chez T-Mobile : après Samsung, Apple

En décembre, T-Mobile ouvrait les inscriptions pour tester, en bêta, le Direct-to-Cell de Starlink. L’opérateur expliquait alors que 300 satellites compatibles étaient en orbite et rappelait que la FCC venait de donner son autorisation à cette expérimentation.

Seuls des smartphones Android (de chez Samsung qui plus est) étaient éligibles dans un premier temps. C’est désormais également possible sur les iPhone, comme le rapporte Reuters, à condition d’avoir la mise à jour 18.3 d’iOS.

Comme le précise MacRumors, des clients inscrit au programme reçoivent le message suivant : « Vous êtes dans la version bêta de T-Mobile Starlink. Vous pouvez désormais rester connecté en envoyant des SMS par satellite depuis pratiquement n’importe où. Pour commencer à profiter d’une couverture plus étendue, veuillez effectuer la mise à jour vers iOS 18.3 ».

Apple propose pour rappel depuis déjà un moment des SOS d’urgence par satellite, à partir des iPhone 14. La fonctionnalité est arrivée en France fin 2022, et permet « d’envoyer un message aux services d’urgence en l’absence de couverture réseau cellulaire ou Wi-Fi ».

T-Mobile cible la « grande majorité des smartphones modernes »

Cette fonctionnalité est limitée aux clients aux États-Unis pour le moment. Durant la phase bêta, elle est gratuite, mais le prix par la suite n’est pas précisé. L’opérateur prévoit, selon nos confrères, de déployer cette fonctionnalité sur la « grande majorité des smartphones modernes ».

L’Europe s’associe à Viasat pour son propre Direct-to-Device

Revenons maintenant à l’annonce entre Viasat et l’ESA : il s’agit de proposer une alternative au réseau de Starlink, avec du Direct-to-Cell et plus largement du Direct-to-Device. Viasat étant une société américaine, pour la souveraineté on repassera.

« Nous sommes engagés dans le développement de capacités spatiales Direct-to-Device basées sur la 3GPP et d’autres normes ouvertes pertinentes, en combinant les satellites GEO [orbite géostationnaire à 36 000 km, ndlr] existants avec une nouvelle constellation de satellites LEO qui répond aux besoins des utilisateurs en Europe et dans le monde entier », explique Mark Dankberg (CEO de Viasat).

Forcément, je n’avais pas le laisser passer A38…

La Scam envoie depuis au moins deux ans des mots de passe en clair, par email. Après avoir contacté le DPO sans changement visible, nous avons déposé plainte à la CNIL. On vous raconte ici notre histoire… qui se termine en eau de boudin.

En juin, la Société civile des auteurs multimédia (Scam) expliquait avoir « été victime d’une cyberattaque de type ransomware », en prenant soin de préciser que c’était malgré des efforts « soutenus en matière de prévention et de protection ».

En 2025, la Scam envoie toujours les mots de passe en clair

Nous étions alors assez surpris de voir que les mots de passe étaient renvoyés en clair durant la procédure de mot de passe perdu, avec l’identifiant en prime dans le même courriel. Si votre boîte email est compromise, c’est la catastrophe. Cette pratique est encore en place ce jour, d’après nos constatations.

• Cyberattaque Scam : des « efforts soutenus » de protection… aux mots de passe envoyés en clair

Si personne ne peut se prétendre être à l’abri d’une cyberattaque (la fin de l’année 2024 et le début de 2025 le prouvent bien), on peut/doit faire son maximum pour limiter les risques. Un point important concerne justement la gestion des mots de passe des utilisateurs. La règle est simple : il ne doit pas être stocké ni envoyé en clair par email. Free a d’ailleurs été condamné pour ces pratiques (entre autres) par la CNIL.

Rappel : « les mots de passe ne doivent jamais être stockés en clair »

Les recommandations de la CNIL sont limpides : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

Dans le cas de la Scam, la Société peut d’une manière ou d’une autre accéder aux mots de passe. Soit ils sont stockés en clair, soit ils sont chiffrés mais déchiffrables, alors que cela ne devrait pas être le cas. Suite à notre actualité sur le sujet l’été dernier, nous avions contacté le DPO de la Scam le 21 juin, avec plusieurs questions (et une copie de l’email contenant le mot de passe en clair) :

La France avait déjà ouvert une enquête préliminaire en 2022 contre la plateforme d’échange de cryptomonnaies. Comme le rapporte Le Monde, les autorités judiciaires passent la seconde et confient le dossier à un juge d’instruction du pôle criminalité financière et cybercriminalité.

Cette information judiciaire porte sur « les infractions de blanchiment aggravé, blanchiment de fraude fiscale, blanchiment en lien avec un trafic de produit stupéfiant et exercice illégal de la profession de prestataire de service sur actifs numériques (PSAN), pour des faits commis en France mais aussi de manière indivisible dans tous les pays de l’Union européenne », indique le parquet dans un communiqué repris par nos confrères.

Il y a deux griefs principaux : démarchage publicitaire hors du cadre légal (notamment sur les réseaux sociaux et via des influenceurs) et des manquements généralisés aux obligations de lutte contre le blanchiment. Ces faits se seraient déroulés sur plusieurs années.

« Les investigations vont désormais se poursuivre […] et auront notamment pour objet de préciser l’ampleur des faits, le rôle des dirigeants de Binance et le degré de participation des différentes sociétés de la plateforme », explique à l’AFP la procureure de Paris Laure Beccuau.

Un porte-parole de la plateforme « nie totalement les allégations et combattra vigoureusement toutes les accusations portées contre » l’entreprise, rapporte Reuters.

Nos confrères rappellent aussi que le fondateur et ancien CEO de Binance, Changpeng Zhao, « a été condamné l’année dernière à quatre mois de prison, après avoir plaidé coupable d’avoir enfreint les lois américaines contre le blanchiment d’argent. Binance a accepté de payer une amende de 4,3 milliards de dollars ».

• Binance poursuivi par le gendarme financier américain

La version 0.88 des PowerToys, disponible depuis hier soir, contient un nouvel outil que certaines personnes connaissent pourtant déjà. ZoomIt vient en effet de la suite SysInternals, une autre collection d’outils. Créée par Mark Russinovich en 1996, cette suite a fait le bonheur des « power users » durant l’ère Windows NT/2000/XP.

SysInternals avait finalement été reprise par Microsoft, qui l’héberge. L’éditeur a donc choisi de transférer ZoomIt vers ses PowerToys et de lui assurer une meilleure visibilité.

L’outil vient s’ajouter assez logiquement à la suite d’utilitaires. Il permet de zoomer sur une partie de l’écran pour l’annoter et éventuellement l’enregistrer. On peut se servir ensuite des captures – photos ou vidéos – dans des présentations techniques par exemple. La suite SysInternals existant encore, Microsoft précise que les mises à jour de ZoomIt seront répercutées sur l’ancienne suite.

Parallèlement, une fonction disparait : Video Conference Mute. Elle était rapidement tombée à l’abandon.

Cette mouture 0.88 contient de multiples améliorations et modifications. Le passage à .NET 9.0.1 corrige, par exemple, de nombreux problèmes liés à WPF et améliore la stabilité générale des outils. Parmi les autres changements, citons :

• Advanced Paste : ajout d’une étape de validation pour le format Json
• Advanced Paste : ajout du support pour les types de fichiers pris en charge par BitmapDecoder quand on utilise la fonction Image vers Texte
• Keyboard Manager : Ajout d’une option pour que le remappage d’un raccourci ne se déclenche qu’avec des modificateurs exacts
• Aperçu Monaco : support des fichiers .resx et .resw dans les modules Peek et Explorateur
• Aperçu Monaco : un nouveau paramètre permet d’activer la minimap du code dans les modules Peek et Explorateur
• Aperçu du registre : Ajout d’une infobulle aux valeurs pour afficher plusieurs lignes de données
• Aperçu du registre : un menu contextuel permet de copier le type, la valeur et les chemins d’accès aux clés

On note enfin une longue liste de bugs corrigés dans les différents outils. La liste complète des nouveautés et le téléchargement se trouvent sur le dépôt GitHub officiel. Pour les personnes ayant déjà les outils installés, une notification devrait vous proposer la mise à jour. Sinon, on peut en vérifier la présence en ouvrant la fenêtre principale (double clic sur l’icône dans la zone de notification) et en se rendant dans l’onglet Général.

Falsche Nachrichten

Un homme déjà identifié derrière une campagne de désinformation en amont des élections états-uniennes a été ré-identifié par Newsguard et Correctiv derrière un réseau de 102 sites générés par IA.

Ancien marine états-unien installé à Moscou, John Mark Dougan s’est lancé en juillet 2024 dans la création de faux sites alimentés par IA pour relayer de la désinformation pro-russe en langue allemande. Le 6 novembre, le chancelier Olaf Scholz a annoncé l’éclatement de la coalition gouvernementale et la tenue de nouvelles élections, le 23 février prochain.

Depuis, John Mark Dougan a accéléré le mouvement, avec pas moins de 102 faux sites internet à son actif. Une copie exacte du modus operandi qu’il avait adopté à destination de son pays d’origine, selon Newsguard. En amont des élections présidentielles, l’homme avait fabriqué de toutes pièces un réseau de 171 sites en anglais où de fausses informations sur l’Ukraine et la promotion des intérêts russes avaient déjà amassés 37 millions de vues en mai 2024.

Habitué des campagnes de désinformation

L’homme derrière l’opération ? John Mark Dougan, un ancien shérif adjoint de Floride qui a fui à Moscou lorsqu’il s’est retrouvé poursuivi pour hacking et extorsion. De la même manière que ses sites anglophones imitaient de réels médias états-uniens, celui-ci a cette fois-ci créé des sites portant les noms de journaux historiques mais actuellement disparus, comme le Berliner Tageblatt ou le Hamburger Anzeiger, ou autres titres de nature à tromper les internautes.

Le contenu des sites semble généré par IA, reprenant, sans les citer, les productions d’autres médias allemands. Comme toujours dans les opérations de désinformation liées à la Russie, les récits amplifiés consistent à promouvoir des intérêts peu alignés avec ceux de l’OTAN et de l’Ukraine. En l’occurrence, le réseau de faux sites étudié par Newsguard et Correctiv promeut des propos eurosceptiques et soutient régulièrement le parti d’extrême-droite Alternative für Deutschland, aux positions nationalistes et anti-Union Européenne.

• Les attaques hybrides de la Russie contre l’OTAN « ressemblent à la guerre »

Les publications ciblent aussi régulièrement des partis traditionnels comme Les Verts, qui militent pour l’indépendance énergétique de l’Allemagne vis-à-vis de la Russie. Newsguard a par ailleurs identifié trois fausses informations qui semblent avoir émergé de ce réseau de sites : une selon laquelle un homme prostitué aurait fourni ses services à la ministre allemande des Affaires étrangères lors de ses visites en Afrique, une autre selon laquelle une femme aurait été agressée sexuellement par un candidat du parti écologiste allemand, et une troisième selon laquelle l’Allemagne prévoirait d’accueillir 1,9 million de travailleurs kényans.

Dans les trois cas, Newsguard relève une tactique de diffusion via les contenus d’information sponsorisés, dans des médias africains pour masquer l’origine russe de la campagne. De même, les allégations d’abus sexuels pour tenter de discréditer des personnalités publiques est une tactique déjà utilisée dans la précédente campagne à laquelle a participé Dougan.

• Comment la désinformation d’extrême-droite sert les intérêts russes en France

Interrogé par Newsguard, John Mark Dougan indique n’être ni « associé », ni « payé », ni « travailler pour ou recevoir d’argent du GRU (le renseignement militaire russe, ndlr) ni d’aucune entité du gouvernement russe. » Plusieurs médias américains dont le Washington Post et CNN ont néanmoins démontré par le passé que Dougan faisait partie de l’opération d’influence russe « Storm-156 », telle que l’a nommée Microsoft. Cette dernière semblait émaner de l’Internet Research Agency, une ferme à trolls russes.

Sur un malentendu…

Les auditions dans le recours formulé par Google au sujet de sa condamnation pour abus de position dominante viennent de débuter. Selon le géant du Net, la Commission l’aurait puni « pour ses mérites, son attractivité et son innovation ». Les sommes en jeux sont importantes puisque l’amende dépasse les 4 milliards d’euros

4,3 milliards d’euros d’amende en 2018

On remonte sept ans en arrière, en juillet 2018, quand la Commission infligeait à Google une amende salée de 4,3 milliards d’euros pour avoir abusé de sa position dominante afin d’imposer son moteur de recherche sur Android. C’est, encore aujourd’hui, la plus grosse amende jamais prononcée par la Commission européenne. L’enquête avait débuté en 2015 (il y a donc près de 10 ans) et l’épilogue de cette affaire approche (enfin).

• Abus de position dominante : Bruxelles inflige 4,3 milliards d’euros d’amende à Google

4,125 milliards d’euros d’amende en 2022

En octobre 2018, sans surprise, Google faisait officiellement appel de cette décision. Quatre ans plus tard, en septembre 2022, le Tribunal de la Cour de justice de l’Union européenne (CJUE) confirmait le verdict, mais baissait un peu le montant de l’amende à 4,125 milliards d’euros.

Google faisait évidemment part de sa déception : « Nous sommes déçus que le tribunal n’ait pas annulé la décision dans son intégralité. Android a créé davantage de choix pour tous […] et soutient des milliers d’entreprises en Europe et dans le monde ». Sans grande surprise, Google a formé un recours contre cette décision en demandant « l’annulation de l’arrêt du Tribunal de l’Union européenne du 14 septembre 2022 ». L’affaire entre aujourd’hui dans son dernier virage.

Dans ce pourvoi, daté de novembre 2022, sont détaillés les « six moyens de droit » invoqués par Alphabet/Google pour son recours. Les requérants expliquent notamment que le Tribunal aurait commis une erreur « dans son appréciation du lien de causalité entre les conditions de préinstallation des accords de distribution des applications mobiles (ADAM) et leurs prétendus effets d’exclusion ». Ils indiquent aussi que « le Tribunal a commis une erreur en confirmant la décision attaquée malgré son incapacité à démontrer l’aptitude à évincer des concurrents aussi efficaces ».

Un recours qui débute pendant le « privacy day »

Comme l’indique la Cour de justice de l’UE sur Twitter, « l’audience dans l’affaire Google et Alphabet contre Commission (C-738/22 P) est en cours ! Cette affaire porte sur une amende de 4 milliards d’euros infligée par la Commission européenne à Google pour abus de position dominante ». Hasard ou non du calendrier, cette audience s’est déroulée lors de la Journée européenne de la protection des données.

• Cette année, la Journée de la protection des données à une saveur particulière

Lors de l’audition, l’avocat de Google (Alfonso Lamadrid) a pris la parole et commence par planter le décor, comme le rapporte Reuters : « Google ne conteste pas ou ne se dérobe pas à sa responsabilité en vertu de la loi, mais la Commission a également une responsabilité lorsqu’elle mène des enquêtes, cherche à remodeler les marchés et remettre en question les modèles commerciaux pro-concurrentiels, et quand elle impose des amendes de plusieurs milliards d’euros ».

Google serait puni pour… « son innovation »

L’avocat passe ensuite à l’attaque : « Dans le cas présent, la Commission n’a pas réussi à s’acquitter de son fardeau et de sa responsabilité et, en s’appuyant sur de multiples erreurs de droit, a puni Google pour ses mérites, son attractivité et son innovation ».

Vient maintenant le fond du problème. Pour Alfonso Lamadrid, les accords entre Google et les fabricants de smartphones « n’ont pas restreint la concurrence, ils l’ont encouragée », alors que la Commission européenne, au contraire, les a considérés comme anticoncurrentiels.

Reuters ajoute que les « juges rendront leur décision dans les mois à venir » et que, cette fois, la décision sera définitive et sans appel.

Europe vs Google : 1 – 1 en septembre

Rappelons qu’en septembre 2024, la Cour de Justice de l’Union européenne a confirmé une amende de 2,4 milliards de dollars infligée au géant du Net pour avoir favorisé son système de comparaison de prix Google Shopping dans les résultats de son moteur de recherche. Elle estimait alors que cet auto-référencement relevait d’un abus de position dominante. La procédure avait débuté en 2010.

Toujours en septembre dernier, la justice européenne annulait une amende 1,49 milliard d’euros infligée à Google en 2019, pour abus de position dominante dans la publicité en ligne. Si le tribunal confirmait « la plupart des appréciations de la Commission », il annulait l’amende en raison de plusieurs manquements dans l’analyse versée à charge, liées notamment à l’appréciation de la durée des clauses contractuelles qualifiées d’abusives, expliquait alors Next.

• Google Shopping : la Commission européenne inflige une amende de 2,42 milliards d’euros
• Publicité en ligne : 1,49 milliard d’euros d’amende pour les pratiques abusives de Google

Mise à jour le 29 janvier à 15:38 : Selon Reuters, l’application DeepSeek n’est plus disponible sur les app stores de Google et d’Apple en Italie ce mercredi. Un message de l’App Store d’Apple indiquait que l’application n’était « actuellement pas disponible dans le pays ou la région où vous vous trouvez ». Le site de Google indique que le téléchargement « n’est pas pris en charge » en Italie.

Garante per la protezione dei dati personali (GPDP, l’équivalent de la CNIL en Italie) considère qu’il existe un risque élevé pour les données de millions de personnes en Italie dans la mise à disposition du chatbot DeepSeek basé sur le modèle R1 dont le nom est sur toutes les lèvres actuellement.

• DeepSeek : pourquoi une telle déflagration sur le marché de l’IA ?

Elle a donc envoyé une demande d’informations aux entreprises DeepSeek Artificial Intelligence basées à Hangzhou et Pékin pour connaître les données personnelles collectées, à partir de quelles sources, à quelles fins, quelle est la base juridique du traitement et si elles étaient stockées sur des serveurs situés en Chine.

Sans nommer le règlement européen, l’autorité italienne veut donc vérifier que le chatbot chinois respecte le RGPD.

Elle précise aussi avoir demandé quel type d’informations est utilisé pour entrainer le modèle de l’entreprise et « si les données personnelles sont collectées par le biais d’activités de « web scraping » ».

Enfin, elle a interrogé l’entreprise chinoise sur la façon dont les utilisateurs inscrits et non inscrits sont informés du traitement de leurs données.

La Garante a donné 20 jours à DeepSeek pour répondre.

Rappelons que l’autorité italienne avait fait de même pour ChatGPT lors de la sortie du chatbot d’OpenAI, suspendant un temps son accès en Italie. Elle a ensuite infligé une amende de 15 millions d’euros à OpenAI pour avoir, entre autres, utilisé des données personnelles pour entrainer ses modèles utilisés par ChatGPT.

Outre-Atlantique, la Maison-Blanche se penche aussi sur la nouvelle intelligence artificielle avec en tâche de fond la question de « la sécurité nationale », rapporte Reuters. « C’est un signal d’alarme pour l’industrie américaine de l’IA », explique la porte-parole Karoline Leavitt. Elle rappelle que la Maison-Blanche s’efforce d’« assurer la domination américaine de l’IA ».

Cet avion supersonique, on en parlait déjà en 2017 à l’occasion du salon du Bourget. Le premier vol du démonstrateur (à l’échelle un tiers) était prévu pour 2018, les premiers passagers pour 2020 et les vols commerciaux pour 2023. Un calendrier largement modifié puisque les premiers vols d’essais se sont déroulés en mars 2024.

• Au salon du Bourget, l’espace a rendez-vous avec les transports aériens du futur

En ce début d’année, Boom dépasse pour la première fois le mur du son. La société se félicite d’avoir le « premier jet supersonique développé de manière indépendante au monde et le premier jet supersonique civil fabriqué en Amérique ». Boom précise que, « historiquement, les avions supersoniques ont été l’œuvre d’États-nations, développés par des armées et des gouvernements ».

L’avion a atteint 35 290 pieds d’altitude et une vitesse de 1 200 km/h, soit Mach 1.1. La société prévoit à terme de transporter « de 64 à 80 passagers à une vitesse de Mach 1.7 [2 100 km/h, ndlr], soit environ deux fois la vitesse des avions de ligne subsoniques d’aujourd’hui, sur plus de 600 routes à travers le monde ». Encore faudra-t-il pouvoir s’acheter un billet. Le prix n’est d’ailleurs pas précisé.

Son ambition est de remplacer le Concorde, qui avait une vitesse de croisière plus élevée, à Mach 2 environ, avec une centaine de passagers à bord. La NASA et Lockheed Martin développent aussi un avion supersonique, mais misent sur le silence pour leur part.

• X-59 : la NASA allume le moteur de son avion supersonique « silencieux »

Le nationalisme hindou, la misogynie et la manosphère ont été identifiés comme terreaux propices à l’extrémisme, selon un rapport commandé par la ministre de l’Intérieur britannique après les émeutes qui ont secoué le pays à l’été 2024.

Pour lutter contre l’extrêmisme, rapporte the Guardian, le document enjoint les autorités à adopter une « approche basée sur le comportement et idéologiquement agnostique », plutôt que de concentrer ses forces sur des « idéologies préoccupantes ».

Sous le titre « misogynie extrême », le rapport indique qu’une « une sous-culture numérique appelée « manosphère » contient une quantité importante de contenus directement axés sur la misogynie, parfois liés à des tropes d’extrême droite. La « manosphère » englobe un large éventail de communautés, parmi lesquelles les militants pour les droits des hommes, des pick-up artists [« artistes de la drague », ndlr], des Men Going Their Own Way [MGTOW, « hommes qui suivent leur propre voie »] et des « célibataires involontaires » [« incels »] ».

• En ligne, la misogynie utilisée pour saper la liberté d’expression

Le rapport pointe « un chevauchement entre certains récits de la manosphère, en particulier les croyances incel, et l’idéologie d’extrême droite, notamment les récits racistes. La mondialisation et le multiculturalisme, qui sont au centre de nombreux récits de l’extrême droite, sont souvent accusés d’être des facteurs de célibat chez les « célibataires ». »

Le document souligne par ailleurs que les idéologies d’extrême-droite, « en particulier sur l’immigration et le maintien de l’ordre » (toute une partie des discours britanniques de l’été 2024 tournaient au tour d’un traitement policier supposé être à deux vitesses), « s’infiltrent » dans la culture dominante. 


C’est pour faire face à cette « mainstreamisation » de thèses violentes et assurer une « pérennité » de l’approche de l’extrémisme que le document appelle à se baser sur des « comportements et des activités préoccupantes » plutôt que sur la lutte contre des idéologies spécifiques.

• 70 % des individus impliqués dans des projets d’attentats ont moins de 21 ans

La startup française précise que cette levée de fonds de 100 millions d’euros a été menée par Futur French Champions (joint-venture entre Qatar Investment Authority et Bpifrance), AVP (AXA Venture Partners) et Bpifrance. Le but est de « construire le premier ordinateur quantique utile au monde, d’ici 2030 ».

Alice & Bob développe des qubits de chat, en hommage à l’expérience du chat de Schrödinger. Ils « sont uniques, car ils rendent possible la mise à l’échelle des ordinateurs quantiques : là où les approches conventionnelles nécessiteraient des millions de qubits, nous n’en aurions besoin que de milliers », explique Théau Peronnin (CEO de l’entreprise).

« Un « qubit de chat » est un qubit « idéal » sans erreur, basé sur l’état quantique du chat de Schrödinger […] Il apporte une solution autonome et intégrée au problème central de l’ordinateur quantique : la correction des erreurs », explique Inria. Alice & Bob veut ainsi mettre au point « un ordinateur quantique universel et sans erreur ».

Dans son communiqué, Alice & Bob détaille un peu la manière dont cette manne financière sera utilisée : « Près de la moitié des fonds serviront à financer la construction en cours d’un laboratoire et d’une installation de production de pointe, et des fonds supplémentaires seront utilisés pour agrandir l’équipe, qui a doublé au cours de l’année écoulée ».

• [FAQ] Notre antisèche sur l’informatique quantique

La roadmap de l’entreprise est disponible par ici.

Il reste encore des données à protéger ?

Bonne journée européenne de la protection des données… avec une saveur particulière cette année puisque les fuites de données personnelles s’enchainent depuis un an. Des données de dizaines de millions de Français sont dans la nature… rappelant plus que jamais l’important d’être prudent.

Au milieu de toutes les fuites… bonne journée de la vie privée !

Comme le rappelle le Conseil de l’Europe, le 28 janvier est la Journée de la protection des données. Elle a été mise en place en 2006 (la première édition date néanmoins de 2007) par le Comité des Ministres du Conseil de l’Europe : « Cette journée est aujourd’hui célébrée dans le monde entier, sous le nom de « Journée internationale de la protection des données » ou « Journée de la vie privée » ». Elle n’est toutefois pas au calendrier des journées mondiales des Nations Unies.

La date n’est pas choisie au hasard : « elle marque l’anniversaire de l’ouverture à la signature de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel [du 28 janvier 1981, ndlr], sensibilisant ainsi à la nécessité de respecter et de protéger la vie privée des individus et soulignant le rôle de la Convention 108 pour les flux transfrontières de données dans le monde », explique le Conseil de l’Europe.

Cette année, cette journée « invite à réfléchir et à discuter de l’évolution du mandat de la protection des données, en particulier de son rôle essentiel en tant que garantie de notre société démocratique contre les intrusions excessives dans la vie privée des individus par des acteurs publics ou privés et leur impact sur les droits humains, l’État de droit et la démocratie ».

Protéger vos données !

Chacun y va de sa petite annonce à cette occasion, notamment Cybermalveillance.gouv. Le site rappelle les bonnes pratiques pour protéger vos informations personnelles, professionnelles et bancaires.

Premier point, les mots de passe : ils doivent être complexes et uniques pour chaque service. Le but étant d’éviter qu’une fuite, et elles sont nombreuses, ne puisse avoir des incidences sur d’autres comptes. La CNIL et l’ANSSI ont mis à jour leurs recommandations en 2021 et rappellent qu’en changer régulièrement est « contre-productif ».

• Phrases de passe : la CNIL passe elle aussi en mode 2.0

On ne le répétera jamais assez, mais faites des sauvegardes régulières ! Une sauvegarde ce n’est pas seulement copier des documents sur une clé USB. Et, surtout, une sauvegarde ça se teste pour vérifier que tout fonctionne bien et que l’on pourra récupérer ses données en cas de besoin.

• Qu’est-ce que la stratégie de sauvegarde 3-2-1 ?

Cybermalveillance ajoute aussi de ne pas oublier que les « mises à jour sont essentielles pour garantir votre cybersécurité, car elles corrigent les failles de sécurité ». Un exemple pas plus tard qu’aujourd’hui avec une faille 0-day chez Apple. On pourrait multiplier les exemples quasiment à l’infini.

Soyez vigilants !

Vous avez beau prendre un maximum de précaution, une fuite peut arriver via un service tiers. Les exemples sont nombreux ces derniers mois. L’année 2024 a été marqué par la fuite chez France Travail sur 43 millions de personnes, le point d’orgue des fuites précédentes.

• [Édito] Internet, un annuaire des Français à ciel ouvert

Les risques sont toujours les mêmes avec les fuites de données : du phishing grâce aux informations récoltées afin de tenter d’en récupérer d’autres ou de vous soutirer de l’argent. Surtout que l’on peut facilement combiner ces informations avec d’autres fuites/trouvailles sur Internet. Tout le monde est concerné et la prudence doit être de mise face à des messages, appels et toutes formes de sollicitations.

Face à la recrudescence des actes de cybermalveillance, le Service d’Information du Gouvernement (SIG) rappelle « un réflexe à adopter : se rendre sur 17Cyber.gouv.fr pour obtenir des conseils pratiques et recevoir gratuitement une assistance ». Cette plateforme a été lancée mi-décembre 2024.

• 17cyber, la plateforme de lutte contre les cybermalveillances, est en ligne

Hausse des fuites en 2024 et nouvelles escroqueries

Le SIG confirme s’il en était besoin que, en 2024, « les violations de données ont connu une hausse importante ». La CNIL a ainsi enregistré 5 629 notifications de violations de données (+ 20 % en un an). « Beaucoup sont liés à des fuites de données personnelles massives, exploitant des vulnérabilités dans les systèmes de sécurité des organisations ». Selon l’ANSSI cette fois-ci, « 115 incidents ont été traités en 2024, ayant conduit à des exfiltrations de données ».

Le SIG revient sur une escroquerie qui a le vent en poupe ces derniers temps : « un message prétendant être celui d’un « livreur » vous informe que votre colis ne peut être livré et vous invite à fournir des informations personnelles sous forme de lien, vous exposant ainsi à un vol de données bancaires ». Il y a également les faux messages pour une urgence familiale dans lesquels « l’intelligence artificielle est souvent utilisée pour créer des profils et des vidéos de proches ».

La fuite d’un IBAN n’est pas sans risque

En plus des données personnelles, on retrouve parfois des données bancaires avec l’IBAN. L’association Aides.org, Free et Red by SFR en ont fait les frais. La fuite d’IBAN n’est pas anodine et mérite qu’on surveille son compte de près.

• Fuite d’IBAN : quels sont les risques, comment se protéger

Qu’est-ce qu’une donnée personnelle ? Comment ça marche ?

L’Institut national de la consommation (INC) rappelle ce qu’est une donnée personnelle et quels sont vos principaux droits. Il s’agit « de toute information se rapportant à une personne physique (vous) clairement identifiée ou qu’il est possible d’identifier ». Cela comprend évidemment vos nom, numéro de téléphone fixe, adresse postale, email, description physique, etc.

Autre point important : l’utilisation de vos données et le consentement : « Les professionnels peuvent utiliser vos données à condition notamment de vous avoir informé de la finalité de la collecte, des destinataires de vos données, de la durée de la collecte et de vos droits ».

Vous avez également plusieurs droits : à l’information, à la rectification, à l’oubli et à l’opposition. La CNIL dispose d’un dossier sur le sujet. Comme nous l’avons récemment expliqué avec les bandeaux RGPD, donner son accord avec le bouton « tout accepter » peut envoyer vos données vers des centaines de « partenaires ».

• [T@LC] On a regardé derrière les bandeaux RGPD… et on a eu très peur

empower every soldier and army on the planet

D’après des documents obtenus par + 972 Magazine et plusieurs autres médias, l’armée israélienne s’est largement appuyée sur les services de Microsoft pour gérer l’infrastructure technique qui lui a servi dans ses attaques contre Gaza.

Le 7 octobre, le Hamas fauchait la vie de 1 200 Israéliens, principalement des civils, et en prenait 240 autres en otage. Depuis, plus de 47 161 personnes ont été tuées à Gaza, dont 14 500 enfants, et plus de 111 000 ont été blessés. Ce bilan vaut à Israël d’être accusée de risque plausible de génocide par la Cour Internationale de Justice, puis de génocide par les experts de l’ONU, et de nombreuses organisations non gouvernementales.

Pour commettre ces actes, Israël s’est notamment appuyé sur une large infrastructure numérique. Parmi ses principaux fournisseurs, que ce soit en termes de services de cloud ou d’intelligence artificielle : Microsoft, d’après des documents commerciaux du ministère Israélien de la Défense et des documents de filiales israélienne du géant états-unien obtenus par le média israélo-palestinien + 972 Magazine.

Plusieurs dizaines d’unités aériennes, terriennes et navales de l’armée israélienne ont acheté des services de la plateforme cloud Azure au fil des derniers mois, unité 8200, l’unité de renseignement israélienne, comprise. En collaboration avec the Guardian, Drop Site News et le média en langue hébreu Local Call,+ 972 Magazine détaille comment Microsoft a déployé une « empreinte dans toutes les grandes infrastructures militaires » d’Israël au gré du conflit en cours. Ceci, alors que certains de ses employés protestaient : deux d’entre eux ont été licenciés fin octobre 2024 après avoir organisé une veillée pour les Palestiniens tués à Gaza.

En octobre 2024, selon ces documents, l’usage que l’armée faisait des outils d’IA fournis par Azure était sept fois plus élevé que celui réalisé le mois précédant l’attaque du Hamas. En mars 2024, il avait été multiplié par 64. D’après Drop Site News, le conflit a fait grimper Israël parmi les 500 plus gros clients de Microsoft.

Azure partout

Parmi les unités dont les documents révèlent l’usage d’Azure,+ 972 cite l’unité Ofek de l’aviation israélienne, en charge de la gestion des vastes bases de données qui permettent d’automatiser la recherche de potentielles cibles aériennes. Dans une précédente enquête, le magazine israélo-palestinien avait détaillé comment l’armée automatisait ses frappes, grâce à plusieurs systèmes nommés « Alchimiste », « Évangile » (Habsora en hébreu), « Profondeur de la sagesse » ou encore « Usine à feu ».

• Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

L’unité Matspen, en charge du développement de systèmes opérationnels et de combat, et l’Unité Sapir, qui gère l’infrastructure numérique de la Direction du renseignement militaire, font aussi partie des clients identifiés. Si les usages précis de chacun des outils utilisés ne sont pas précisés dans les documents obtenus par les quatre médias, ces derniers permettent de calculer qu’un tiers de services achetés à Microsoft étaient destinées aux systèmes isolés d’Internet et des réseaux publics. Cela « renforce la probabilité que ces outils aient servi des objectifs opérationnels – tel que le combat et le renseignement » écrit + 972 Magazine.

Auprès du média, sept sources ont affirmé que l’armée israélienne était devenue toujours plus dépendante de la société états-unienne au gré du conflit, principalement parce que ses offres de stockage et la puissance de calcul permettait d’utiliser beaucoup plus de données beaucoup plus longtemps que ce que l’armée aurait été capable de faire autrement.

Les auteurs de l’enquête relèvent par ailleurs une « augmentation spectaculaire » du stockage cloud utilisée par l’armée israélienne en avril 2024, juste avant l’offensive menée contre la ville de Rafah. « L’utilisation du stockage est un indicateur important de l’ampleur de l’utilisation de l’IA, car le stockage augmente généralement avec l’utilisation d’autres produits en nuage », précise Drop Site News.

Plusieurs des centres de données qui ont servi à enregistrer les informations de l’armée israélienne sont situés en Europe, indique encore le média.

• Le créateur des IA israéliennes de bombardement automatisé identifié suite à une boulette

Explosion de l’usage de GPT

Microsoft Azure permet par ailleurs d’administrer des systèmes comme celui appelé « Rolling Stone », que l’armée utilise pour gérer les registres de population et les mouvements des Palestiniens de Cisjordanie et de Gaza.

L’armée est par ailleurs consommatrice de systèmes d’IA du géant états-unien. Parmi ces derniers : des outils de traduction, le GPT-4 d’OpenAI, un outil de speech-to-text et un autre d’analyse automatique de documents.

Si l’armée a commencé à souscrire à GPT-4, le système d’OpenAI, dès août 2023,+ 972 Magazine constate que son usage a été multiplié par 20 depuis octobre 2023, comparé à la période pré-conflit. Auprès du média, un porte-parole d’OpenAI indique la société « n’a pas de partenariat avec l’armée israélienne ».

Cela dit, Microsoft a investi 13 milliards de dollars dans la société. Les clauses d’Open AI interdisant l’usage de ses systèmes pour des activités « militaires ou guerrières » ont par ailleurs été supprimées discrètement en janvier 2024.

19 000 heures de support technique

Les équipes de Microsoft ont par ailleurs été largement sollicitées pour accompagner l’armée israélienne dans leurs travaux. Plusieurs unités ont ainsi acheté des « services étendus d’ingénierie », ce qui, selon la propre documentation de Microsoft, fait partie intégrante de son service client.

Entre octobre 2023 et juin 2024, relève encore + 972, le ministère de la Défense Israélienne a dépensé 10 millions de dollars pour financer 19 000 heures de support technique du géant états-unien. Auprès de + 972, un agent de l’unité 8200 décrit des développeurs si impliqués dans le travail des forces armées qu’il en parlait comme de « personnes qui travaillaient déjà avec l’unité », comme s’ils étaient des soldats à part entière.

Drop Site News relève de son côté que 30 millions de dollars de dépense supplémentaires étaient envisagées en 2024 pour d’autres projets de support. Il précise que le montant total du contrat du ministère israélien avec la société états-unienne « est beaucoup plus élevé », mais que « le chiffre exact n’a pas pu être déterminé » à partir des documents obtenus.

En 2021, Microsoft a échoué à signer le « Project Nimbus », un contrat de 1,2 milliard de dollars pour la refonte de l’infrastructure cloud de l’armée israélienne, finalement remporté par une alliance entre Google et Amazon. En août,+ 972 Magazine soulignait que Microsoft Azure et Amazon AWS continuaient de concourir pour obtenir les meilleurs contrats auprès de l’armée israélienne.

• « Projet Nimbus » : Google licencie 28 salariés qui ont manifesté contre un contrat cloud avec Israël

Executive (dis)order

En moins d’une semaine, l’association noyb a enchainé sur deux sujets : les dangers que fait courir le nouveau gouvernement Trump sur les échanges de données avec les États-Unis et le trop faible nombre d’amendes pour les entreprises contrevenant au RGPD.

Le 23 janvier, l’association noyb (none of your business, « ce ne sont pas vos affaires ») alertait sur les risques posés par certains ordres exécutifs signés par Donald Trump, fraichement arrivée à la Maison-Blanche. L’un d’eux engendre le réexamen de toutes les décisions prises en matière de cybersécurité nationale prise durant le mandat de Joe Biden au cours des 45 jours suivants.

Un maillon important du Data Privacy Framework

Parallèlement, les membres démocrates du PCLOB (Privacy and Civil Liberties Oversight Board) ont été démis de leurs fonctions et leurs comptes de messagerie bloqués. En conséquence, souligne l’association, le Board ne peut plus fonctionner correctement, car le nombre minimal de membres nécessaire n’est plus atteint.

Or, le PCLOB est un maillon essentiel du Data Privacy Framework. Ce cadre établit une adéquation entre les législations européenne et américaine sur la protection de la vie privée. Il permet l’envoi des données personnelles européennes vers les serveurs des sociétés américaines, en partant du principe que les protections y sont équivalentes. Le DPF, qui avait pris la suite des Safe Harbor et Privacy Shield après leur invalidation (arrêts Schrems I et II), est depuis sous le feu de critiques nourries, notamment de noyb et du député Philippe Latombe (MoDem).

« Cet accord a toujours été construit sur du sable, mais le lobby des entreprises de l’UE et la Commission européenne le voulaient quand même. Au lieu d’une limitation juridique stable, l’UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. Lorsque les premières vagues de Trump frappent cet accord, elles plongent rapidement de nombreuses entreprises de l’UE dans un vide juridique. Le PCLOB lui-même n’est qu’une pièce du puzzle et tant qu’il ne fonctionne que temporairement, on peut dire que l’accord n’est pas pire qu’avant. Toutefois, la direction prise dès la première semaine de la présidence Trump n’est vraiment pas bonne. Nous surveillons de près s’il s’agit d’un problème temporaire ou si le PCLOB est tué pour de bon », a déclaré Maximilien Schrems.

L’Europe s’est appuyée sur « des vœux pieux »

Pour le fondateur de noyb, ces décisions viennent prouver le manque d’indépendance de la plupart des organes de contrôle américain : « Des domaines juridiques entiers sont simplement réglementés par des décrets présidentiels ». « Il y avait beaucoup de questions sur l’indépendance de ces mécanismes de contrôle. Malheureusement, il semble qu’ils ne résisteront peut-être même pas à l’épreuve des seuls premiers jours d’une présidence Trump. C’est la différence entre des protections juridiques solides en droit et des vœux pieux – la Commission européenne s’est uniquement appuyée sur des vœux pieux », a-t-il ajouté.

Pour Maximilien Schrems, le DPF pourrait ne pas survivre aux décisions prises dans les prochaines semaines. Si le DPF devait à son tour tomber, les entreprises et particuliers européens replongeraient dans l’incertitude juridique. L’Europe devrait alors replonger dans la négociation d’un cadre, face à des États-Unis désormais pilotés par une doctrine America First.

Bilan du RGPD ? Bof bof, selon noyb

Dans une communication ce matin, l’association profite aussi de la journée mondiale de la protection des données pour dresser un bilan du RGPD. Si le règlement « a inauguré une nouvelle ère », la réalité « est beaucoup plus sombre » sept ans plus tard.

noyb fonde son avis sur l’analyse des statistiques de l’EDPB (European Data Protection Board), dont la mission est de coordonner l’application du RGPD dans l’Union européenne. Acide, l’association pointe ainsi « l'(in)activité des autorités nationales de protection des données », avec un chiffre coup de poing : 1,3 % seulement des affaires dont les autorités sont saisies en lien avec le RGPD aboutit à une amende.

L’application du RGPD ne se ferait ainsi que sur le papier, loin des promesses de son entrée en vigueur, en mai 2018. Comme pour le DPF, noyb reparle de « vœux pieux », tant les résultats sur la période 2018 - 2023 (pdf) sont loin des attentes. « Cela correspond à notre propre expérience pratique : la plupart des affaires trainent pendant plusieurs années, avant d’être closes par un règlement ou entièrement rejetées », ajoute l’association.

Au sein de l’Union, la France fait partie des mauvais élèves, avec un taux parmi les plus faibles (0,1 %). Des scores que l’association ne semble pas comprendre, car ces plaintes incluent des « infractions évidentes telles que des demandes d’accès sans réponse ou des bannières de cookies illégales, qui pourraient – en théorie – être traitées rapidement et d’une manière standardisée ».

noyb soulève également deux autres points. D’une part, non seulement le nombre d’amendes est excessivement bas, mais leur montant « sont une plaisanterie ». En prenant en compte la présence des multinationales américaines en Irlande (dont Apple, Google, Meta et Microsoft), l’autorité du pays affiche une moyenne de 476 millions d’euros par an, toutes amendes cumulées. Une somme jugée loin d’être dissuasive.

D’autre part, 40 % des amendes obtenues depuis l’entrée en vigueur du RGPD l’ont été grâce à noyb. « Cela signifie qu’en réalité, il semble plutôt y avoir un manque de volonté politique pour s’opposer aux géants de la technologie qu’un manque de possibilités d’agir », fustige l’association.

Un ciel bleu pour la communication scientifique

Alors qu’Elon Musk a joué un rôle central dans l’élection de Donald Trump, les chercheurs semblent avoir migré vers Bluesky, y trouvant un havre de paix comparé à X.

Le ciel est plus bleu ailleurs que sur X pour les chercheurs. Et notamment pour les lecteurs et lectrices de la revue scientifique Nature, qui déclarent avoir massivement migré vers Bluesky.

Mi-janvier, la revue leur a envoyé un sondage pour savoir si le réseau social dirigé par Jay Graber avait pris le pas sur celui racheté par Elon Musk en 2022. 70 % des 5 300 personnes qui ont répondu utilisent Bluesky, explique-t-elle.

Nature s’empresse d’expliquer que ce sondage n’est pas statistiquement représentatif des lecteurs de Nature ou de la communauté scientifique au sens large. Mais il montre néanmoins « l’enthousiasme récent des chercheurs pour Bluesky et le mécontentement envers X », interprète la revue. D’ailleurs, à une question sur leur discipline, les chercheurs qui y ont répondu (près de 4 000) ont indiqué travailler à 38 % en biologie, à 11 % en informatique et sciences de l’information, 9 % en physique et 9 % en sciences environnementales.

Exode massif

Plus de la moitié des répondants (52,5 %) ont, par contre, répondu qu’ils ont quitté X alors qu’ils l’utilisaient auparavant :

Pour la revue, ces chiffres montrent un « exode massif » de la communauté scientifique. Nature a aussi recueilli les sentiments de ses lecteurs sur la plateforme au papillon bleu.

Bluesky, le bon vieux Twitter d’il y a 10 ans pour les chercheurs ?

« Bluesky est bien meilleur pour la science. Il y a beaucoup moins de toxicité, de désinformation et de distractions », affirme l’un d’entre eux. Un autre explique : « mon flux est presque entièrement composé de scientifiques et je reçois des mises à jour sur la recherche qui sont pertinentes et opportunes ».

Et effectivement, les chercheurs semblent se servir de Bluesky pour discuter entre eux. 19 % de ceux qui y ont un compte répondent l’utiliser pour se connecter avec d’autres chercheurs, 3 % pour promouvoir leur recherche, 18,5 % pour suivre les avancées d’autres recherches/chercheurs et 55 % pour tout ça à la fois :

Ces échos ressemblent à ceux qu’exprimaient certains chercheurs comme Sylvain Deville en 2014, s’agissant de Twitter.

Dans les réponses libres à la comparaison entre les deux réseaux sociaux, la revue note que les chercheurs renvoient des impressions plus positives pour qualifier Bluesky, expliquant que ce réseau serait « plus agréable, plus favorable, plus amical, plus gentil, plus collégial, plus stimulant, plus paisible et plus sûr ». Mais certains trouvent BlueSky plus « ennuyeux ».

Des chercheurs ont spécifiquement expliqué à la revue qu’ils avaient l’impression qu’il y avait moins de nazis et de racisme sur Bluesky que sur X.

« Tous les lecteurs de Nature n’aiment pas Bluesky. L’une des critiques qui ressort des réponses à l’enquête est qu’il s’agit d’une chambre d’écho de gauche », explique la revue qui cite l’un d’entre eux : « Bluesky est rempli de « wokes » fous qui vous menacent violemment si vous n’êtes pas d’accord avec le discours libéral ».

Début janvier, la revue Science a aussi interrogé des chercheurs sur leur éventuelle bascule de l’une vers l’autre des plateformes. Le chercheur en digital humanities Philipp Lorenz-Spreen, qui étudie les comportements sur les médias sociaux, y expliquait : « Chaque fois que je vais sur X, je vois des choses scandaleuses, et je me laisse entraîner », ajoutant « « Bluesky est plus lent et plus ennuyeux, mais c’est un bon ennui ».

Les « starter packs », la killer feature ?

Nature explique aussi que certains ont mentionné préférer Mastodon. S’il est vrai que certains chercheurs sont très enthousiastes concernant la plateforme décentralisée basée sur le fediverse, l’été dernier, nous ne pouvions que constater que les chercheurs n’avaient pas migré en masse dans sa direction.

Interrogé par Nature, le chercheur de l’université Queen Mary à Londres, Ignacio Castro, qui étudie l’utilisation des réseaux sociaux, explique la popularité émergente de Bluesky notamment par certaines fonctionnalités comme les « starter packs » mis en place en juin 2024, des listes de comptes « à suivre » créés par les utilisateurs. Ils permettent de trouver une communauté rapidement.

Du côté du Fediverse et Mastodon, cette fonctionnalité a récemment été aussi implémentée. Si la communauté de ce réseau social ne revendique pas forcément d’être dans une course avec les autres, cette inspiration venant du réseau à la mode montre quand même qu’elle ne veut pas que son réseau soit laissé de côté.

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »

Arianespace vient de dévoiler la date dans un communiqué : « Le 26 février 2025 à 13h24 heure locale (16h24 UTC, 17h24 CET), Arianespace doit lancer le satellite CSO-3 avec Ariane 6 depuis le port spatial européen de Kourou, en Guyane française ». Il était initialement prévu pour fin 2024, mais il arrive un peu plus tôt que les dernières estimations.

• Souveraineté, latence : deux nerfs de la guerre dans l’espace

La charge utile était déjà connue depuis longtemps, un satellite militaire pour le compte de la Direction générale de l’armement (DGA) et du Centre national d’études spatiales (CNES). Il sera placé sur une orbite héliosynchrone (environ 800 km d’altitude) environ 1h06 après le décollage.

• Ariane 6 : la cause du raté de l’APU identifiée, un correctif en cours de test

Cette mission VA263 sera le 352ᵉ lancement effectué par Arianespace et 2ᵉ vol d’Ariane 6, après le lancement inaugural en juillet dernier. Le début de la mission s’était déroulé sans souci, mais un problème avec l’APU était venu un peu gâcher la fête à la fin de la mission.

Calendars out for #Arianespace's upcoming launch! #VA263

On February 26, Arianespace will launch the CSO-3 satellite for @DGA & @CNES on behalf of the French Air and Space Force’s Space Command (CDE), with #Ariane6.

Launch details available here: https://t.co/1vSCsuUTY5 pic.twitter.com/VhJiu1YYwQ

— Arianespace (@Arianespace) January 28, 2025

Cette annonce intervient alors que la 17e Conférence européenne sur l’espace vient de débuter à Bruxelles. « Qui contrôle l’espace contrôle l’avenir. Si nous voulons que l’espace soit une force au bénéfice du bien, l’Europe doit rester une puissance spatiale de premier plan », rappelle Andrius Kubilius (Commissaire européen à la Défense et à l’Espace).

« Si l’Europe veut réussir dans l’espace et sur la scène mondiale, nous devons agir avec urgence et décision. Nous devons accroître les investissements, forger des partenariats et concrétiser la vision qui élèvera l’Europe vers de nouveaux sommets », ajoute Josef Aschbacher (directeur général de l’ESA).