Vue lecture

☕️ Pegasus : la Justice états-unienne condamne NSO Group pour avoir piraté WhatsApp

Pegasus : la Justice états-unienne condamne NSO Group pour avoir piraté WhatsApp

Aux termes d’une procédure judiciaire entamée il y a cinq ans, l’entreprise israélienne NSO Group a été reconnue coupable par un juge états-unien d’avoir exploité un bug dans l’application de messagerie WhatsApp pour installer son logiciel espion Pegasus, rapporte l’agence Reuters, reprise par Le Monde.

WhatsApp avait porté plainte en 2019, accusant NSO d’avoir contribué au piratage, à des fins d’espionnage, d’une centaine d’utilisateurs de sa messagerie. On a depuis découvert que la faille exploitée, faisant croire à un appel vidéo manqué, avait permis d’infecter environ 1 400 smartphones pendant cette seule année, dont des journalistes, militants des droits humains et dissidents.

« Nous avons passé cinq ans à plaider notre cause, parce que nous pensons fermement que les entreprises qui commercialisent des logiciels espions ne peuvent prétendre à l’immunité ni échapper à leurs responsabilités », a tweeté Will Cathcart, le directeur de WhatsApp. Il qualifie cette décision de « victoire pour la protection de la vie privée » :

« Les sociétés de surveillance doivent savoir que l’espionnage illégal ne sera pas toléré. »

John Scott-Railton, du Citizen Lab (le laboratoire de recherche universitaire qui étudie et documente les logiciels espions étatiques depuis des années), a pour sa part qualifié le jugement de « cas emblématique » avec d’ « énormes implications » pour l’industrie des logiciels espions :

« L’ensemble du secteur s’est caché derrière l’affirmation selon laquelle, quoi que fassent leurs clients avec leurs outils de piratage, cela ne relève pas de leur responsabilité. La décision d’aujourd’hui montre clairement que NSO Group est en fait responsable de la violation de nombreuses lois. »

Natalia Krapiva, avocate spécialiste de ces questions et conseillère juridique principale en matière de technologie de l’ONG Access Now, qui représente les victimes de Pegasus, qualifie elle aussi cette décision de « victoire majeure ».

La cour a notamment jugé que NSO avait violé le Computer Fraud & Abuse Act en envoyant des messages via les serveurs WhatsApp pour pirater les utilisateurs de la messagerie. NSO avait aussi violé les conditions d’utilisation de WhatsApp qui interdisent l’envoi de code malveillant, la collecte d’informations sur les utilisateurs et l’utilisation de l’application à des fins illégales.

Pour sa défense, NSO avait fait valoir que Pegasus aide les forces de l’ordre et les agences de renseignement à arrêter les terroristes, les pédophiles et les criminels. Un procès, qui débutera le 3 mars 2025, devra fixer le montant des dommages et intérêts, a précisé la juge du district Phyllis Hamilton.

Avec o3, OpenAI dit se rapprocher d’une IA Générale… mais la route est encore longue

Le coût de la raison
Avec o3, OpenAI dit se rapprocher d’une IA Générale… mais la route est encore longue

OpenAI a présenté son nouveau modèle de « raisonnement ». Baptisé o3, il est capable dans une certaine mesure de contrôler la précision et la véracité de ses réponses. Pour l’entreprise, il s’agit d’une étape importante vers l’intelligence artificielle générale (IAG). Pour autant, le modèle n’est pas encore disponible.

La nouvelle famille de modèles o3 a été présentée dans le cadre de la conférence « 12 Days of OpenAI » qui, comme son nom l’indique, a duré la bagatelle de 12 jours. L’entreprise a d’ailleurs attendu la toute fin de son marathon pour annoncer ce qui était gardé en réserve comme clou du spectacle. Pour OpenAI, l’annonce est d’autant plus importante qu’elle permet de rebondir sur deux thématiques d’actualité : la fiabilité des réponses et la course à l’IAG.

D’ailleurs, pourquoi o3 et pas o2 ? Si l’on en croit The Information, OpenAI craignait un éventuel conflit avec l’opérateur O2 au Royaume-Uni. Selon TechCrunch, le CEO d’OpenAI en personne, Sam Altman, l’a confirmé à demi-mot vendredi. On s’étonne quand même que le nom o1 ait pu être choisi en sachant que o2 allait poser problème.

Qu’est-ce qu’o3 ?

La famille se compose pour l’instant de deux modèles, o3 et o3-mini. Ce dernier sera le premier à sortir. Il est attendu pour janvier, tandis que le modèle o3 standard doit arriver plus tard dans l’année, sans plus de précision pour l’instant.

On peut s’étonner de la proximité entre la sortie effective d’o1 il y a quelques semaines (en même temps qu’une offre ChatGPT Pro à 200 dollars par mois) et la présentation d’o3. Mais OpenAI avait beaucoup à dire sur son modèle, puisque o1 représentait une première étape vers le « raisonnement » et que les progrès ont été rapides, selon l’entreprise.

o3 est ainsi capable de se vérifier lui-même, dans une certaine mesure. Il utilise une technique baptisée « alignement délibératif », sur laquelle nous n’avons que peu d’informations. Elle doit permettre au modèle d’éviter une partie des pièges affectant les grands modèles de langage habituellement, dont leur relative incapacité à s’assurer de la fiabilité des informations.

Ces étapes de vérification entrainent une latence. Selon la requête, la réponse peut arriver avec quelques secondes à plusieurs minutes de décalage par rapport à un LLM classique. C’était déjà le cas avec o1, mais o3 intensifie cet aspect. En conséquence, le nouveau modèle doit se montrer plus fiable dans des domaines comme les mathématiques, la physique et plus généralement les sciences.

o3 fait donc une pause avant de répondre et prend le temps de la réflexion. Selon OpenAI, ce temps est consacré à des calculs sur des questions connexes, en expliquant (de manière interne) le développement de la réponse. La réponse proposée est alors un résumé de ce qu’o3 estime être la réponse la plus précise.

Les améliorations depuis o1

Annoncé il y a tout juste trois mois, o1 était le premier modèle de raisonnement d’OpenAI. Son entrainement avait été fait avec de l’apprentissage par renforcement (RL). o3 reprend cette idée, mais avec un renforcement nettement plus développé, même si là encore OpenAI ne donne aucun chiffre précis. « La force du modèle qui en résulte est très, très impressionnante », a déclaré sur X Nat McAleese, chercheur chez OpenAI.

Par rapport à o1, o3 permet également d’ajuster le temps de raisonnement, donc de la vérification des réponses. Trois crans sont disponibles : faible, moyen ou élevé. Plus on élève le niveau, plus les résultats sont précis et plus ils mettent de temps à s’afficher. À l’inverse, on peut rogner sur la précision pour obtenir des réponses rapides. Mais attention, car même avec une plus grande précision, OpenAI se garde bien de dire que son modèle ne fait pas d’erreur, simplement qu’il en fait moins qu’o1.

L’entreprise a quand même donné une série de résultats pour comparer le nouveau modèle à l’ancien sur certains benchmarks :

  • ARC-AGI Semi-Private Evaluation : 75,7 %
  • EpochAI Frontier Math : 25,2 % de problèmes résolus, contre 2 % pour « les autres modèles »
  • SWE-Bench Verified : 71,7 points, contre 48,9 pour o1
  • Codeforces : score Elo de 2 727
  • AIME 2024 : 96,7 %, contre 83,3 % pour o1
  • GPQA Diamond : 87,7 %, contre 78 % pour o1
Source : OpenAI

« Une avancée significative »

Dans un tweet vendredi, François Chollet, créateur de Keras et ARC-AGI, a indiqué qu’o3 « représente une avancée significative dans l’adaptation de l’IA à de nouvelles tâches ». Il a précisé que le score de 75,7 % était en mode de calcul faible, soit un coût de 20 dollars par tâche de calcul. Dans le niveau le plus élevé, la note grimpe à 87,5 %, mais le calcul représente alors « des milliers de dollars par tâche ».

ARC-AGI a été créé pour évaluer dans quelle mesure un système d’intelligence artificielle peut acquérir de nouvelles compétences hors des données sur lesquelles il a été entrainé.

Dans un billet dédié, l’association ARC Prize insiste sur l’étape importante que représente o3 et donne quelques éléments de comparaison. Il a ainsi fallu quatre ans pour passer d’un score de 0 % avec GPT-3 en 2020 à 5 % avec GPT-4o. ARC Prize ambitionnant d’être « une étoile polaire vers l’IAG », elle note que les prochains tests devront tenir compte d’o3.

La version 2025 du benchmark se voudra donc plus difficile. Elle ajoute que les performances d’o3 prouvent « que l’architecture est essentielle », car GPT-4 n’aurait pu atteindre ces résultats en augmentant simplement la puissance. « Il ne suffit pas de mettre à l’échelle comme nous faisions de 2019 à 2023 », ajoute ARC Prize.

Et la suite ?

La présentation d’o3 a été faite trois mois après celle d’o1. D’après OpenAI, ce rythme devrait être préservé. La question est de savoir cependant si l’entreprise pourra affiner son modèle de manière à garder la même marge de progression.

Plus important encore, peut-on dire qu’o3 est une étape marquante vers l’intelligence artificielle générale ? Ce n’est pas si évident. D’un côté, les résultats et performances du modèle semblent clairement pointer dans cette direction. D’un autre côté, ce type de modèle représente-t-il nécessairement l’avenir ? Car si la précision franchit une étape, l’apprentissage par renforcement et l’inférence sont autrement plus couteux qu’avec des LLM plus classiques comme la série des GPT.

Ces derniers ne sont pour l’instant pas nécessairement dépassés. Même si les modèles o ont l’avantage de la précision, GPT garde l’avantage du coût et de la faible latence. Il est difficile cependant d’en tirer des généralités, car seul le modèle o1 est effectivement disponible. Il faudra attendre janvier pour voir arriver o3-mini, et on verra alors les premiers résultats « réels », puisque seuls ceux d’OpenAI sont fournis pour l’instant.

Enfin, rappelons qu’OpenAI n’est pas seule sur le marché des modèles de « raisonnement ». Google a présenté, il y a moins de deux semaines, son Gemini 2.0 Flash Thinking Experimental, que l’on peut tester via AI Studio. Quelques jours plus tard, une entreprise chinoise faisait de même avec un modèle baptisé DeepSeek-R1.

L’un des aspects les plus intéressants de cette nouvelle vague est qu’elle vient confirmer le mur de la complexité pour les LLM, dont nous avions discuté avec la data scientist Cécile Hannotte. Ajouter des couches de calcul et des GPU n’est pas suffisant, il faut d’autres approches. Les modèles de raisonnement en sont une, mais pas nécessairement une étape aussi marquante vers l’IAG qu’OpenAI le dit. L’évolution des performances sera donc à surveiller de près.

#ChatControl : le microciblage publicitaire de la Commission européenne était illégal

Faites ce que je dis, pas ce que je fais
#ChatControl : le microciblage publicitaire de la Commission européenne était illégal

En micro-ciblant une campagne publicitaire de sorte qu’elle ne s’affiche que sur des profils d’internautes politiquement libéraux ou de gauche, en excluant les utilisateurs conservateurs ou de droite, la Commission européenne a procédé à un traitement de donnés illégal et sans base juridique valable.

Le Contrôleur européen de la protection des données (CEPD, ou European Data Protection Supervisor, EDPS) estime que la Commission européenne a enfreint le RGPD en « traitant illégalement » des données à caractère personnel « sans base juridique valable ».

La Commission avait, en effet, identifié les Pays-Bas comme un État membre qu’elle souhaitait influencer politiquement, rappelle l’ONG noyb (pour « none of your business »). Elle cherchait alors à influencer l’opinion en vue de l’adoption du très controversé règlement européen visant à « combattre les abus sexuels concernant les enfants » en scannant les contenus des messageries, y compris chiffrées, ce pourquoi il a été surnommé #ChatControl par ses opposants.

Une campagne excluant les mots-clefs conservateurs et d’extrême-droite

La campagne, qui aurait ciblé les « Twittos » d’au moins sept pays membres, avait cumulé plus de 4 millions de vues. Elle avait été paramétrée pour ne pas s’afficher sur les profils de personnes intéressées par les responsables politiques européens d’extrême-droite et eurosceptiques, Poutine, le Sinn Fein, le terme « nazi » et, plus étrangement, les chrétiens et la christianophobie.

Aux Pays-Bas, les messages publicitaires avaient particulièrement ciblé des utilisateurs n’étant pas intéressés par des mots clés tels que : #Qatargate, Brexit, Marine Le Pen, Alternative für Deutschland, Vox ou Giorgia Meloni.

« L’intention était clairement de ne cibler que les utilisateurs politiquement libéraux ou de gauche, mais pas les utilisateurs conservateurs ou de droite », résume noyb : « ce faisant, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l’UE pour les cibler avec des publicités ».

Quand la Commission européenne s’inspire de Cambridge Analytica

Ce pourquoi noyb avait déposé une plainte auprès du CEPD en novembre 2023. « Depuis Cambridge Analytica, il est clair que les publicités ciblées peuvent influencer la démocratie », explique Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb :

« L’utilisation des préférences politiques pour les publicités est clairement illégale. Néanmoins, de nombreux acteurs politiques s’appuient sur cette pratique et les plateformes en ligne ne prennent presque aucune mesure. Par conséquent, nous saluons la décision du CEPD. »

Le RGPD accorde en effet une protection spéciale aux données dites sensibles, qui incluent les opinions politiques, précise noyb. Dès lors, un tel traitement ne peut être autorisé que dans des conditions très limitées, telles qu’un consentement explicite. Or, ce consentement n’existait pas, et la Commission européenne ne disposait pas non plus d’autre base juridique.

Un blâme, mais pas d’amende

Le CEPD en a conclu que la Commission était pleinement responsable de ce ciblage illégal sur la plateforme. La décision a été rendue en vertu du règlement (UE) 2018/1725, souvent appelé « RGPD UE », qui ne s’applique qu’aux institutions de l’UE, mais qui est très similaire au RGPD, relève noyb.

Il note aussi que le CEPD n’a émis qu’un blâme, à savoir une constatation formelle que le traitement était illégal, via un avertissement formel. Le CEPD a estimé que d’autres mesures, telles qu’une amende, n’étaient pas nécessaires puisque la Commission avait mis un terme à ce micro-ciblage publicitaire politisé.

« De nombreux partis politiques s’engagent dans la même pratique illégale », précise Felix Mikolasch : « nous espérons que la décision du CEPD servira de guide aux autorités nationales qui enquêtent actuellement sur de telles pratiques ».

☕️ En Allemagne, la SPD appelle à une loi anti-concurrence pour réduire les pouvoirs d’Elon Musk

« Les provocations renouvelées d’Elon Musk sont plus qu’irritantes », s’est agacé Dirk Wiese, chef adjoint du groupe parlementaire du Parti social-démocrate (SPD) au Bundestag allemand, après que ce dernier se soit exprimé à plusieurs reprises sur la politique allemande.

Sur X, en réponse à un internaute évoquant l’attentat sur un marché de Noël dans la ville de Magdeburg, Musk a qualifié le chancelier SPD Olaf Scholz d’« idiot incompétent » et a déclaré qu’il devrait démissionner immédiatement. 


Quelques jours plus tôt, il avait déclaré, citant le parti d’extrême-droite Alternative fur Deutschland (AfD) : « seul l’AfD peut sauver l’Allemagne ». Après l’attaque de Magdeburg, plusieurs médias ont pourtant rapporté la sympathie du meurtrier pour l’AfD.

Elon Musk s’est exprimé deux mois à peine avant les élections fédérales allemandes Des élections dans lesquelles Scholz sera face au candidat CDU Friedrich Merz et à celle de l’AfD Alice Weidel.

D’après Bloomberg, l’alliance CDU/CSU récolterait actuellement 32 % des intentions de vote, l’AfD 19 % et le SPD 15,9 %.

Dirk Wiese a appelé à la promotion d’« une version moderne du Sherman Antitrust Act », une référence à la loi états-unienne de 1890 qui interdit les pratiques monopolistiques. 


« Nous avons la liberté d’expression, et cette dernière s’applique aussi aux multimilliardaires », a rappelé Olaf Scholz, évoquant les prises de parole de l’entrepreneur états-unien : « Mais la liberté d’expression signifie aussi qu’il est possible de dire des choses qui ne sont pas justes et qui ne contiennent pas de bons conseils politiques ».

Les récentes sorties d’Elon Musk rappellent celles qu’il avait formulées pendant l’été au sujet de la politique britannique (il envisagerait désormais de verser 100 millions de dollars au parti d’extrême-droite Reform UK), ses appels à la démission du juge de la Cour Suprême du Brésil, ou encore son soutien régulier à la présidente du Conseil italien Georgia Meloni, du parti nationaliste Fratelli d’Italia.

« Devenir riche à tous les coups » : les nouvelles tendances des arnaques en ligne

Si c’est trop beau pour être vrai…
« Devenir riche à tous les coups » : les nouvelles tendances des arnaques en ligne

Une arnaque, tout le monde peut en être victime. Quand elle touche aux finances, les conséquences peuvent être dramatiques. Plusieurs autorités dressent un état des lieux, rappellent des règles de bases et donnent des recommandations. Règle d’or : « faire attention aux discours trop beaux pour être vrais ».

Dans un communiqué commun, le Parquet de Paris, l’Autorité des marchés financiers (AMF), l’Autorité de contrôle prudentiel et de résolution (ACPR, de la Banque de France) et la répression des fraudes (DGCCRF) « font le point sur l’évolution des arnaques financières et leur mobilisation pour lutter contre ce phénomène en forte hausse ». C’est aussi l’occasion de quelques rappels importants pour éviter de tomber dans le panneau.

Les montants en jeu

Les institutions rappellent que ces arnaques peuvent prendre différentes formes : crédits, livrets d’épargne, assurance, investissements dans « des placements verts ou des crypto-actifs ». Selon le Parquet de Paris, le préjudice se chiffrerait à plus de « 500 millions d’euros par an ».

Les sommes en jeu sont importantes pour les personnes concernées avec une moyenne par victime sur les trois premiers trimestres de l’année de 69 000 euros pour les faux livrets d’épargne et 19 000 euros sur les faux crédits. Tous thèmes d’arnaques confondus, le montant moyen du préjudice est de 29 000 euros par victime.

Les principales cibles

L’AMF a commandé une enquête à BVA Xsight et il en ressort que « 3,2 % des Français seraient victimes d’arnaques à l’investissement financier ». C’est pratiquement trois fois plus qu’il y a trois ans (1,2 % en 2021).

Dans la liste des victimes probables, « 45 % sont des hommes de moins de 35 ans, qui semblent être plus réceptifs aux messages incitant à investir dans des placements prônant l’enrichissement rapide, véhiculés notamment par les réseaux sociaux ».

Mais, rappelle l’AMF bien vite qu’il « n’y a pas de « profil absolu » » : tout le monde peut être victime d’arnaques à l’investissement. Le communiqué dresse quelques pistes expliquant pourquoi certains tombent dans le panneau : « le sentiment de  » s’y connaitre en matière de placements », le goût pour le risque ou encore la confiance excessive face à des offres peu réalistes sont certains des traits qui caractérisent les victimes ».

Devenir riche se faire arnaquer « à tous les coups » ?

Faire miroiter des « placements à rendements élevés garantis permettant de « devenir riche à tous les coups » » est un des arguments utilisés par les escrocs. Il y a également la désormais bien connue arnaque au « faux conseiller » où l’escroc essaye de faire valider des opérations ou obtenir des identifiants pour ensuite transférer des fonds. « Une nouvelle variante consiste à envoyer un coursier chez la victime afin de récupérer une carte bancaire soi-disant défectueuse ».

Dans le communiqué, les autorités rappellent que l’« usurpation d’identité gagne du terrain, que ce soit celle des autorités et de leurs collaborateurs, celle des établissements financiers et de leurs conseillers ou encore celle d’entreprises non financières ». Un tiers des arnaques à l’identité usurpent celle de l’AMF.

Tout est bon pour arriver à leurs fins : vidéos truquées, faux articles de presse, détournement de caractéristiques physiques de célébrités, bien évidemment avec parfois sur l’usage de l’intelligence artificielle. Nous en parlions au début de l’année avec de multiples redirections détournant les prévisualisations de certains réseaux sociaux pour afficher des messages « personnalisés ».

Fraude au carré ou « arnaque sur l’arnaque »

Les institutions préviennent qu’une nouvelle technique se développe : « fraude au carré ou d’arnaque sur l’arnaque ». Il s’agit d’arnaquer une seconde fois des personnes : « Après s’être fait arnaquer une première fois sur un site frauduleux proposant des crypto-actifs, l’épargnant qui a perdu ses fonds est contacté par un inconnu. Ce dernier prétend alors être mandaté par une autorité publique pour l’aider à récupérer son argent, sous réserve… de lui régler un certain montant ».

Comme avec la cybersécurité, on rappellera une fois encore l’importance de parler à son entourage en cas de doute et de ne pas avoir honte après avoir été victime d’une fraude.

Réseaux sociaux et influenceurs

Sans surprise, ces arnaques « prennent le plus souvent naissance sur les réseaux sociaux qui jouent le rôle de caisse de résonance ». Le communiqué parle notamment d’influenceurs qui se retrouvent « au cœur des schémas des fraudes, en faisant la promotion auprès de leurs communautés d’offres non autorisées promettant « la liberté financière sans effort » ». Pour rappel, si c’est trop beau pour être vrai, ce n’est très probablement pas vraie et une arnaque.

Sur la question des influenceurs, la DGCCRF en a enjoint dix « faisant la promotion d’une plateforme placée sur liste noire par l’AMF, de cesser cette publicité. 8 d’entre eux se sont mis rapidement en conformité. Les procédures se poursuivent s’agissant des deux autres influenceurs ». L’AMF ajoute que, depuis 2022, ses procédures ont permis de bloquer près de 350 site Internet.

« Il n’est jamais urgent de perdre son argent ! »

Cette année, l’AMF et l’ACPR ont lancé des actions de sensibilisations avec notamment une campagne « Arnaque ou pas ? ». Il y a peu, une campagne de vigilance « Arnaques : il n’est jamais urgent de perdre son argent ! » a aussi été mise en place. Le but : « inciter les particuliers à ne pas céder aux sirènes de l’argent facile proposé par les fraudeurs ».

Sur le volet répressif, la section J2 du parquet JUNALCO (juridiction nationale de lutte contre la criminalité organisée) créé en 2020 « a saisi plus de 645 millions d’euros d’avoirs criminels, dont 268 millions d’euros pour la seule année 2024 ».

Si c’est « trop beau pour être vrai »…

Enfin, les autorités rappellent quelques règles et réflexes à adopter :

  • faire attention aux discours trop beaux pour être vrais ; face à des offres présentant des rendements élevés et minorant les risques,
  • consulter les registres des autorités (Regafi pour les établissements de crédit, Refassu pour les
    assureurs, ORIAS s’agissant des intermédiaires), et vérifier les listes blanches des acteurs et
    offres autorisés (site AMF),
  • pour vérifier que la banque n’est pas usurpée, effectuer un contre-appel au siège de la société
    à partir d’un numéro de téléphone trouvé par vos propres moyens,
  • vérifier les listes noires des autorités qui répertorient les acteurs non autorisés,
  • bien se renseigner avant d’investir en s’appuyant sur plusieurs sources,
  • protéger ses données personnelles, même non bancaires,

Enfin, au moindre doute, il est recommandé de contacter les autorités compétentes : 01 53 45 62 00 pour l’AMF, 34 14 pour Assurance Banque Epargne Info Service (Banque de France) et SignalConso pour signaler des soucis avec un professionnel.

☕️ Tennis : des parieurs derrière les publications insultantes publiées contre les joueuses

Des parieurs énervés sont les auteurs de 48 % des messages insultants publiés à destination de joueuses et joueurs de tennis en 2024.


L’information a été obtenue par l’analyse de 2,47 millions de messages postés entre janvier et octobre 2024 par le logiciel Threat Matrix de Signify Group. 


Dans le lot, 12 000 publications se sont avérées contrevenir aux conditions d’utilisations de X, Facebook, Instagram, TikTok ou YouTube, rapporte la BBC.

Les contenus postés par 15 profils ont suscité l’intervention des forces de l’ordre.

L’étude a été sollicitée par la Fédération International de Tennis, la Women’s Tennis Association, la All England Lawn Tennis Club et la United States Tennis Association, alors qu’un nombre croissant de joueuses alertent sur la violence qu’elles subissent en ligne.

En août, la française et ex-numéro 4 mondiale Caroline Garcia avait notamment appelé les trolls à se rappeler que les joueuses « sont humaines ». Elle avait été soutenue par la numéro une britannique Katie Boulder, la quintuple championne Iga Swiatek et la finaliste de l’US open Jessica Pegula.

SMS, chiffrement, authentification : l’administration américaine doit faire beaucoup mieux

« Obviously »
SMS, chiffrement, authentification : l’administration américaine doit faire beaucoup mieux

La Cybersecurity and Infrastructure Security Agency (CISA) a publié ces derniers jours plusieurs listes de recommandations pour la sécurité des communications. Elles s’adressent surtout aux administrations, mais les particuliers et entreprises sont invités à s’en inspirer.

Les États-Unis vivent actuellement une tempête de cybersécurité. La campagne de cyberattaques Salt Typhoon a mis les opérateurs téléphoniques à rude épreuve, tandis que le Congrès (Chambre des représentants et Sénat) cherche à comprendre comment des groupes malveillants étatiques chinois parviennent à se frayer aussi facilement un chemin. L’armée est également visée, accusée par deux sénateurs de ne pas sécuriser correctement ses communications non classifiées.

Le directeur adjoint de la CISA, Jeff Greene, cité par NBC News, déclarait il y a deux semaines : « Notre suggestion, ce que nous avons dit aux gens en interne, n’est pas nouvelle : le chiffrement est votre ami, qu’il s’agisse de la messagerie texte ou de la capacité à utiliser des communications vocales. Même si l’adversaire est en mesure d’intercepter les données, si elles sont chiffrées, cela rendra la chose impossible ».

La CISA préparait des listes de recommandations plus précises selon les cibles. Elles ont été publiées les 17 et 18 décembre et contiennent des instructions ciblées, surtout à destination des administrations et des personnes dont le profil pourrait intéresser des pirates, par exemple pour leur place dans une hiérarchie ou leur implication politique.

Halte aux SMS et place au chiffrement de bout en bout

Sur les appareils mobiles, les conseils de la CISA paraitront évidents à toute personne intéressée par la sécurité. Elle demande de ne plus utiliser que des communications chiffrées de bout en bout, via des applications compatibles aussi bien avec iOS qu’Android pour simplifier l’interopérabilité des messages. L’agence ne fournit aucun nom, mais conseille de se renseigner sur le traitement des métadonnées par l’éditeur concerné.

Elle recommence également d’activer les mécanismes d’authentification multifactorielle compatibles FIDO partout où c’est possible. Les clés de sécurité comme les Yubico et Google Titan sont citées. Les clés d’accès sont présentées comme une « alternative acceptable ». Ces protections devraient couvrir tous les comptes principaux (Microsoft, Apple, Google…) et au moins tous ceux ayant trait aux e-mails et réseaux sociaux. Sur Gmail, il est conseillé d’activer l’APP (Advanced Protection Program). Et puisque l’on parle d’authentification multifactorielle, la CISA demande de se débarrasser de tout second facteur basé sur les SMS.

Les autres recommandations sont du même acabit : utiliser un gestionnaire de mots de passe (phrase de passe forte pour le protéger, mots forts et uniques pour tous les comptes), ajouter un code PIN, vérifier régulièrement les mises à jour logicielles, ne pas utiliser de solutions personnelles de VPN (« De nombreux fournisseurs de VPN gratuits et commerciaux ont des politiques de sécurité et de confidentialité douteuses », indique la CISA) et opter pour la dernière version du matériel chez le fabricant. Sur ce dernier point, l’agence ajoute que « les mises à jour logicielles seules ne permettront pas d’obtenir le maximum d’avantages en matière de sécurité ».

Configurer correctement les smartphones

Viennent également des conseils pour les iPhone et smartphone Android. Sur les téléphones d’Apple, il est ainsi recommandé d’activer le mode Isolation (que nous avions détaillé), de couper l’envoi automatique de SMS quand iMessage n’est pas disponible, de se servir d’iCloud Private Relay ou d’un service de DNS chiffré (1.1.1.1 chez Cloudflare, 8.8.8.8 chez Google, 9.9.9.9 chez Quad9…) ou encore d’inspecter les autorisations de chaque application pour ne laisser que ce qui est strictement nécessaire.

Sur Android, les conseils sont un peu plus nombreux : privilégier « les modèles des fabricants ayant de solides antécédents en matière de sécurité et s’engageant à effectuer des mises à jour de sécurité à long terme », n’utiliser le RCS que si le chiffrement de bout en bout est activé, configurer un DNS chiffré, vérifier dans Chrome que l’option « Toujours utiliser des connexions sécurisées » est active, configurer le niveau de protection renforcée dans la navigation sécurisée, vérifier que Play Protect est activé et contrôler les permissions des applications.

Cloud : les conseils laissent place aux instructions

« Les récents incidents de cybersécurité soulignent les risques importants posés par les mauvaises configurations et les contrôles de sécurité faibles, que les attaquants peuvent utiliser pour obtenir un accès non autorisé, exfiltrer des données ou perturber les services », a déclaré mercredi.

En conséquence, elle a publié une nouvelle Binding Operational Directive (directive opérationnelle contraignante) à l’attention de toutes les agences civiles fédérales utilisant le cloud. Il ne s’agit pas de conseils, mais bien d’instructions : les administrations doivent les appliquer, sous peine de sanction.

D’ici au 21 février prochain, elles doivent ainsi avoir identifié l’intégralité des actifs et tenir cet inventaire à jour une fois par trimestre. Le 25 avril au plus tard, les administrations devront avoir déployé tous les outils d’évaluation disponibles dans le cadre de la solution commerciale adoptée. D’ici le 20 juin, toutes les politiques en matière de solutions commerciales devront avoir été appliquées. Ces politiques n’existent pour l’instant que pour Microsoft 365, mais la CISA en ajoutera d’autres plus tard.

Les agences doivent également s’engager à mettre en œuvre toutes les futures mises à jour des politiques, les configurations sécurisées obligatoires, en plus d’identifier et expliquer tout écart qu’un outil d’évaluation signalerait.

La CISA, elle, s’engage à maintenir et mettre à jour une liste détaillée des politiques entrant dans le champ d’application de sa nouvelle directive (25 - 01). Toutes les agences et administrations fédérales seront prévenues des modifications apportées aux politiques. Elle se place en outre comme agent de coordination et de liaison pour toutes les opérations liées, promettant un accompagnement et des ressources.

Dans un an, l’agence fera le point sur les progrès accomplis. Un rapport sera alors envoyé au secrétaire d’État à la Sécurité nationale. On peut se demander toutefois comment le programme de la CISA évoluera avec le changement de gouvernement qui se profile, l’administration Donald Trump semblant privilégier l’attaque à la défense, comme nous le relevions la semaine passée.

☕️ Palantir et Anduril s’uniraient pour répondre à des appels d’offre dans la défense

Deux acteurs majeurs de la technologie états-unienne appliquée à la défense, Palantir et Anduril, auraient ouvert les discussions avec une douzaine de leurs concurrents pour créer un consortium. Le but : répondre ensemble aux appels d’offre des États-Unis pour remporter ses contrats de défense.

D’après le Financial Times, le groupe devrait inclure SpaceX, OpenAI, le constructeur de navires autonomes Saronic et le spécialiste des données d’entraînement d’IA Scale AI.

Créée par Peter Thiel en 2003, la valorisation de Palantir a augmenté de 300 % en 2023 pour atteindre une capitalisation de 169 milliards de dollars. Peter Thiel a aussi financé les débuts d’Anduril, société fondée en 2017 par Palmer Luckey.

Un drapeau américain flotte dans un ciel gris.

☕️ Bloctel : 124 899 euros d’amende pour Groupeo, suite à 116 899 appels indésirables

La DGCCRF peut prononcer des amendes administratives et demander leur affichage sur les sites https://www.bloctel.gouv.fr et https://pro.bloctel.gouv.fr pour une durée déterminée par la décision de sanction.

C’est le cas de Groupeo, une société de courtage en assurance santé. Elle écope d’une amende administrative de 124 899 euros « pour des manquements à la réglementation encadrant le démarchage téléphonique (dispositions de l’article L.223 - 1 du code de la consommation) ».

Les agents de la concurrence, de la consommation et répression des fraudes de la DDPP du Rhône en charge du dossier expliquent que cette sanction « concerne notamment 116 899 appels téléphoniques passés à destination de consommateurs pourtant inscrits sur la liste d’opposition au démarchage téléphonique (BLOCTEL) ». Soit à peine plus d’un euro en moyenne par appel indésirable.

L’inscription sur Bloctel est pour rappel gratuite et permet « à toute personne de refuser d’être démarchée par un professionnel avec lequel elle n’a pas de relation contractuelle en cours ».

#Flock se casse en sac

Ohohoh Joyeux no-hell
#Flock se casse en sac

Holà les amis ! Que de joie et de féérie en cette fin d’année, il y en a pour tous les dégouts !
On souhaite aux gens bonne année et bonne santé, si jamais vous avez peur de déranger, n’hésitez pas à aller dans les google groupes ouverts par les cliniques, vous saurez si vous pouvez souhaiter l’un et l’autre, ou l’un ou l’autre, voire ni l’un ni l’autre à plein de personnes et en 2 clics, c’est magique.
Sinon, si vous n’avez pas le temps ou la tête à ça, laissez faire l’IA : elle se chargera de vous montrer le meilleur plan de bataille pour vos voeux destinés à ces misérables vermisseaux qui grouillent dans votre entourage.
Enfin, si vous n’avez pas de proche à qui beugler votre bienveillance, pensez à aller faire un tour au pub retrouver des congénères qui sauront capter plus vite que la reconnaissance faciale dans votre oeil ce pétillement caractéristique des coupettes de champagne bien pleines.
Sur ce, je vous laisse et je vous souhaite plein de bonnes choses de mon côté : j’ai adoré passer cette année en votre compagnie et j’ai déjà hâte d’être à la suivante !
Prenez soin de vous !


Il reste 63% de l'article à découvrir.
Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.

L’administration Trump voudrait en finir avec la cyberdéfense et privilégier le « hack back »

CISAïe
L’administration Trump voudrait en finir avec la cyberdéfense et privilégier le « hack back »

Le conseiller à la sécurité nationale de Donald Trump déplore que les États-Unis se seraient surtout concentrés sur ses moyens de cyberdéfense, et voudrait passer à la cyberoffensive. L’existence de la CISA, l’agence en charge de la cybersécurité, est remise en cause. Ses employés craignent d’être « persécutés ».

Michael Waltz, choisi par Donald Trump pour devenir le conseiller à la sécurité nationale de sa future administration, estime que les États-Unis se sont trop longtemps concentrés sur le renforcement de sa cyberdéfense, au détriment de ses capacités cyberoffensives.

« Nous devons passer à l’offensive et commencer à imposer des coûts et des conséquences plus élevés aux acteurs privés et aux acteurs étatiques qui continuent à voler nos données et à nous espionner », a avancé M. Waltz, invité dans l’émission Face the Nation de la chaîne CBS News.

« Je ne vais pas m’avancer sur tout ce que nous ferons le premier jour, mais adopter une approche différente de la cyber, examiner notre doctrine et commencer à imposer des coûts à l’autre partie pour qu’elle arrête, c’est quelque chose que nous allons examiner, je pense », a-t-il précisé.

Il a également avancé que l’industrie technologique privée américaine pourrait, elle aussi, contribuer à la défense des États-Unis, et « rendre nos adversaires vulnérables », relève l’agence Reuters.

Premier « Béret vert » élu au Congrès (du surnom donné aux soldats des forces spéciales de l’US Army), Mike Waltz a passé 26 ans dans l’armée, et est considéré comme l’un des élus républicains les plus virulents à l’égard de la Chine, allant jusqu’à déclarer : « nous sommes en guerre froide avec le Parti communiste chinois ».

Mike Waltz n’a pas employé l’expression controversée « hack back », qui désigne le fait de s’attaquer aux responsables supposés d’une cyberattaque, mais c’est bien de mesures de cyber-rétorsion dont il est question.

Ces commentaires font suite aux allégations américaines concernant une vaste campagne étatique chinoise de cyberespionnage ayant ciblé au moins huit entreprises de télécommunications et d’infrastructures américaines. Connue sous le nom de Salt Typhoon, elle a aussi permis d’espionner leurs systèmes d’écoutes téléphoniques, jusqu’à cibler les appels téléphoniques de personnalités politiques américaines de premier plan.


Il reste 74% de l'article à découvrir.
Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.

Intel abandonne son x86S, place aux décisions coordonnées

Ensemble, c'est tout
Intel abandonne son x86S, place aux décisions coordonnées

Intel abandonne son initiative x86S, par laquelle l’entreprise souhaitait dépoussiérer la vieille architecture. Il s’agit du premier effet tangible de l’Ecosystem Advisory Group mis en place en octobre par Intel et AMD.

Le x86S était une initiative intéressante qu’Intel avait annoncée en mai 2023. L’idée centrale était de refonder la vieille architecture sur une base exclusivement 64 bits, supprimer tout ce qui pouvait l’être et confier les 16 et 32 bits à l’émulation. Le tout via une approche relativement ouverte.

Comme nous le soulignions alors, Intel considérait que les systèmes 64 bits étaient devenus le standard de facto et que de nombreux composants pouvaient être retirés. Le ring 0 du 32 bits, les rings 1 et 2 (car inutilisés par les applications d’aujourd’hui), les modes réel et protégé 16 bits, l’adressage 16 bits de la mémoire, les MTRR fixes, une partie des entrées/sorties, le mode CR0 Write-Through, le contrôle du flag d’interruption du ring 3, certaines instructions obsolètes, l’impossibilité de désactiver certains mécanismes comme NX et SYSCALL, XAPIC (contrôle d’interruption) pour ne plus supporter que x2APIC ou encore les exceptions #SS et #NP étaient cités.

Intel présentait une liste de bénéfices, dont surtout la simplification générale de la conception et un fonctionnement intégral en 64 bits, y compris l’initialisation et le redémarrage. Une simplification matérielle qui aurait entraîné celle des systèmes d’exploitation, malgré la nécessité d’adapter ces derniers.

Intel fait cependant machine arrière. x86S, tel qu’il a été présenté jusqu’à maintenant en tout cas, n’aura pas lieu. C’est la conséquence directe du groupe de travail sur l’écosystème x86 créé avec AMD, et auquel participent de nombreux acteurs : Broadcom, Dell, Google, Hewlett Packard Enterprise, HP Inc, Lenovo, Meta, Microsoft, Oracle et Red Hat.

La nécessité d’un travail en commun

La confirmation de cet abandon vient de Tom’s Hardware, qui avait posé la question à Intel.

« Nous restons profondément attachés à l’architecture x86, comme en témoigne la création du x86 Ecosystem Advisory Group en collaboration avec AMD et d’autres leaders de l’industrie. Cette initiative renforce notre volonté d’assurer un avenir solide à x86, en s’appuyant sur des décennies de compatibilité logicielle. Bien que nous nous soyons éloignés de l’initiative x86S, notre objectif reste de stimuler l’innovation et la collaboration au sein de l’écosystème x86 », a ainsi déclaré un porte-parole du fondeur.

Pour nos confrères, il ne fait aucun doute que l’arrêt du x86S est une conséquence directe du x86 Ecosystem Advisory Group (EAG). L’initiative était en effet un développement unilatéral de l’architecture, qu’il aurait fallu présenter en détail à tous les membres du groupe pour obtenir leur assentiment, ou au moins leurs retours. L’objectif du groupe est justement de créer une plus grande cohésion autour de l’architecture et surtout de ses multiples extensions.

L’avenir coordonné du x86

Si l’initiative se termine en l’état, rien ne dit qu’elle ne ressurgira pas sous une autre forme plus tard. Le cas du x86S a très probablement été abordé durant les réunions préparatoires du groupe et il serait logique qu’AMD ait donné son avis.

Or, la perspective d’une refondation du x86 par sa simplification est une idée intéressante, d’autant que Microsoft fait partie de l’EAG. AMD pourrait avoir apprécié l’idée, sans pour autant valider l’approche d’Intel, peut-être parce que trop centrée sur les besoins de ce dernier. Il n’est pas impossible non plus qu’Intel ait imaginé en premier lieu le x86S pour se différencier de la concurrence et qu’AMD ne s’y soit pas retrouvé.

Quoi qu’il en soit, on attend maintenant de savoir quelles seront les premières mesures constructives du groupe. Les extensions pourraient être les premières concernées. Intel a d’ailleurs confirmé à Tom’s Hardware que le travail sur AVX10 continuait.

Linus Torvalds a jeté récemment un éclairage indirect sur cet aspect du x86 en pestant contre les niveaux de microarchitecture présents dans certains systèmes Linux. Ils permettent de classer les nombreuses extensions par ordre chronologique et d’établir des seuils minimaux, comme on l’a vu cette semaine avec CentOS Stream 10.

Il est probable que l’un des objectifs du groupe soit la sortie coordonnée des nouvelles extensions sur des générations équivalentes de processeurs avec, à la clé, un fonctionnement que l’on espère identique. Plus avant, les entreprises pourraient être intéressées par une modernisation générale de l’architecture, qui impliquerait aussi bien le monde Windows que celui du libre, Linus Torvalds faisant d’ailleurs partie du groupe. Il sera bien placé pour dire tout le mal qu’il pense des bugs dans le matériel.

☕️ Microsoft 365 affiche des licences désactivées par erreur

Microsoft a signalé jeudi l’existence d’un problème susceptible d’entraîner l’affichage, au sein des logiciels de la suite Microsoft 365 Office en entreprise, d’un message selon lequel la licence de l’utilisateur est désactivée.

Cette allusion à un « produit désactivé » est susceptible d’intervenir après qu’un administrateur a procédé à des modifications au niveau de sa gestion des licences.

Entre autres scénarios possibles, l’éditeur signale par exemple le « changement de groupe de licences, lorsque l’utilisateur est déplacé d’un groupe à un autre », des changements dans l’attribution des logiciels au niveau d’un utilisateur donné, la suppression puis l’ajout d’un utilisateur dans un groupe, etc.

En attendant un correctif, sur lequel planchent les équipes de Microsoft, l’éditeur préconise d’utiliser l’option « réactiver » ou, à défaut, de se déconnecter de son compte sur toutes les applications Microsoft 365 utilisées, avant de les relancer et d’essayer de s’y reconnecter.

☕️ GPU, IA et Deep Learning : l’Europe autorise le rachat de Run:ai par NVIDIA

NVIDIA a annoncé en avril son intention de racheter la start-up Run:ai spécialisée dans la virtualisation et l’orchestration de GPU. Une opération à 700 millions de dollars qui avait déclenché l’ouverture d’une enquête par le ministère de la Justice américain.

La transaction n’est à priori pas sous le coup du règlement de l’UE sur les concentrations « car les revenus actuels de Run :ai sont négligeables », explique la Commission. Elle s’est néanmoins penchée sur le sujet, à la demande de l’Italie.

« Les activités de NVIDIA et de Run :ai ne se chevauchent pas, mais les GPU et les logiciels d’orchestration GPU doivent être compatibles. La Commission a évalué si, après cette opération, NVIDIA serait en mesure » de mettre des bâtons dans de ses concurrents, explique l’autorité européenne.

Résultat des courses : ce rachat « ne poserait pas de problèmes de concurrence sur aucun des marchés examinés dans l’Espace Économique Européen (EEE) ou en Italie. Elle a donc autorisé l’opération sans condition ».

Afin de pouvoir aller jusqu’au bout, cette opération doit obtenir les accords des autorités concernées dans d’autres pays et/ou marchés. La Commission ne se prononce que pour l’Europe.

ChatGPT : La CNIL italienne inflige une amende de 15 millions d’euros à OpenAI

Oups
ChatGPT : La CNIL italienne inflige une amende de 15 millions d’euros à OpenAI

La CNIL italienne vient d’infliger à OpenAI 15 millions d’euros d’amende pour avoir, entre autres, utilisé des données personnelles pour entrainer ses modèles utilisés par ChatGPT.

La Garante per la protezione dei dati personali (GPDP, l’équivalent de la CNIL en Italie) a déclaré, via un communiqué, qu’elle avait infligé une amende de 15 millions d’euros à OpenAI après avoir fini son enquête sur l’utilisation de données personnelles par ChatGPT.

L’autorité italienne de la protection des données personnelles explique avoir clos son enquête entamée en mars 2023. On se rappelle que l’autorité avait décidé de bloquer l’accès aux chatbot d’OpenAI aux utilisateurs italiens. Elle expliquait ne vouloir laisser « aucun moyen pour ChatGPT de continuer à traiter des données en violation des lois sur la protection de la vie privée ». La GPDP y rappelait que ChatGPT « a subi le 20 mars [2023] une fuite de données concernant les conversations des utilisateurs et des informations relatives au paiement des abonnés ».

Un mois après, la GPDP décidait de débloquer l’accès à ChatGPT après que l’entreprise se soit engagée sur plusieurs sujets. Notamment, OpenAI acceptait de laisser la possibilité aux utilisateurs de l’Union européenne de s’opposer à l’utilisation de leurs données personnelles pour l’entrainement de ses modèles de langage.

L’autorité italienne n’a pour autant pas abandonné le dossier. Elle a rappelé d’abord qu’OpenAI ne lui avait pas notifié la fuite de données subie en mars 2023.

Mais elle a aussi constaté qu’OpenAI avait traité les données à caractères personnels des utilisateurs pour entrainer le modèle utilisé dans son chatbot sans avoir préalablement identifié de base juridique sur laquelle s’appuyer pour ce traitement. L’autorité explique que l’entreprise a violé le principe de transparence et les obligations d’informations de ses utilisateurs.

L’entrainement des IA au même régime que les autres techniques face au RGPD

Concernant le traitement des données personnelles pour l’entrainement de l’IA d’OpenAI, la Garante semble avoir attendu avec impatience l’avis du Comité européen de la protection des données (CEPD) sur les modèles d’IA publié mercredi dernier. Dans son communiqué, l’autorité italienne explique que cet avis exprime une « approche commune » avec elle concernant le traitement des données personnelles dans le contexte de la conception, du développement et de la distribution de services fondés sur l’intelligence artificielle. Cet avis avait été demandé « par l’autorité irlandaise de protection des données (DPA) en vue d’une harmonisation réglementaire à l’échelle européenne », expliquait le CEPD.

L’avis du CEPD [PDF] explique notamment que, « lorsque des données sont extraites de l’internet accessible au public, elles peuvent également être considérées comme des données à caractère personnel ». Et pour être encore plus clair, le texte précise : « en d’autres termes, ce n’est pas parce que des données à caractère personnel sont rendues publiques qu’elles ne sont plus des données à caractère personnel ».

Dans une autre affaire à propos du ciblage publicitaire portée par Max Schrems, la CJUE avait d’ailleurs émis un avis du même ordre.

Dans son document, le CEPD affirmait que le RGPD est « neutre sur le plan technologique », c’est-à-dire qu’il ne s’applique pas en fonction de la technique utilisée. « Le traitement lié à l’IA, bien que nouveau à certains égards, est de façon certaine couvert par le GDPR dès lors que des données à caractère personnel sont traitées », affirme-t-il.

Le responsable d’un traitement de données personnelles fait lors de l’entrainement d’une IA doit donc s’assurer d’avoir identifié la base juridique sur laquelle il s’appuie pour ce traitement.

Exposition des enfants de moins de 13 ans

L’autorité reproche aussi à OpenAI de ne pas avoir prévu de mécanisme de vérification d’âge et donc d’avoir risqué d’exposer des enfants de moins de 13 ans à des réponses inadaptées.

Outre l’amende infligée, la GPDP a obligé l’entreprise à réaliser une campagne de communication institutionnelle de six mois qui doit passer dans les médias italiens (radio, télévision, journaux et internet).

Enfin, l’autorité italienne explique maintenant laisser le dossier d’OpenAI à l’autorité irlandaise puisque l’entreprise a, entre temps, établi son siège à Dublin.

☕️ Facebook et Instagram ont « sévèrement restreint » les médias et internautes palestiniens

Facebook a « sévèrement restreint » la capacité des médias palestiniens à toucher leurs audiences à la suite des attaques terroristes du 7 octobre 2023, révèle la BBC. Instagram, appartenant lui aussi à Meta, avait de son côté « renforcé la modération » des commentaires de ses utilisateurs palestiniens.

BBC News Arabic a compilé des données sur le nombre de commentaires, de réactions et de partages des pages Facebook de 20 grands médias basés pendant l’année précédant les attaques du Hamas contre Israël, le 7 octobre, et au cours de l’année qui a suivi.

« En période de guerre, on pourrait s’attendre à ce que l’audience augmente », relève la BBC. Or, les données montrent une chute de 77 % de l’engagement des médias palestiniens après les attaques du Hamas.

A contrario, l’analyse de l’engagement associé à 20 médias israéliens sur Facebook indique une augmentation de « près de 37 % ». Dans le même temps, ceux de 30 médias en langue arabe augmentaient « en moyenne de près de 100 % ».

Contacté, Meta rétorque n’avoir jamais caché les « mesures temporaires » prises en octobre 2023, du fait que le Hamas était à la fois sanctionné par les États-Unis et désigné comme une organisation dangereuse en vertu des propres politiques de Meta, et pour répondre à ce qu’elle a qualifié de « pic de contenu haineux » en provenance des territoires palestiniens.

Des anciens et actuels employés de Meta confirment à la BBC que, « dans la semaine qui a suivi l’attaque du Hamas, le code a été modifié, le rendant essentiellement plus agressif envers les Palestiniens ».

Faux suicide de Luigi Mangione : RSF demande à Apple l’arrêt des résumés de notifications par IA

Faux suicide de Luigi Mangione : RSF demande à Apple l’arrêt des résumés de notifications par IA

La semaine dernière, certains utilisateurs d’iPhone ont pu voir une notification annonçant la fausse information du suicide de Luigi Mangione, suspecté d’avoir tué le PDG de l’assureur UnitedHealthcare, Brian Thompson. Reporters Sans frontières appelle Apple à retirer sa nouvelle fonctionnalité.

L’ONG internationale Reporters sans frontières exige, dans un communiqué, le retrait de la fonctionnalité lancée récemment sur les iPhone permettant de recevoir des résumés d’actualité générés par Apple Intelligence.

Le faux suicide de Luigi Mangione et la fausse arrestation de Benyamin Nétanyahou

Cette demande est arrivée après que plusieurs utilisateurs des smartphones d’Apple ont reçu, la semaine dernière, une notification annonçant le suicide de Luigi Mangione en affichant la BBC comme source. Pourtant, le principal suspect dans le meurtre du PDG de l’assurance américaine UnitedHealthcare, Brian Thompson, est toujours vivant. Il vient d’ailleurs d’être incarcéré à New York ce jeudi 19 décembre.

Ces notifications ont été mises en place avec l’introduction d’Apple Intelligence dans iOS d’abord sur le marché états-unien avant de débarquer via la nouvelle version 18.2 sur ceux du Canada, de Royaume-Uni, de l’Australie, de l’Irlande et de la Nouvelle-Zélande.

La BBC s’est plaint à Apple et a rapidement publié un article expliquant d’où venait le problème. Le média britannique y explique notamment qu’Apple n’a pas voulu commenter l’information.

Le journaliste de ProPublica, Ken Schwencke avait déjà relevé sur Bluesky une autre erreur dans un résumé envoyé par notification par Apple Intelligence annonçant notamment l’arrestation de Benyamin Nétanyahou.

Cette notification est apparue le 21 novembre, le jour où la Cour pénale internationale a publié un mandat d’arrêt à l’encontre du Premier ministre israélien. Ce jour-là, le New York Times a publié un article titré « Netanyahu’s Arrest Sought by International Criminal Court » (qu’on peut traduire par « L’arrestation de Nétanyahu requise par la Cour pénale internationale »).

RSF appelle Apple à prendre ses responsabilités

Pour Reporters sans Frontières, « cet accident souligne l’incapacité des systèmes d’IA à systématiquement publier des informations de qualité, même quand elles sont basées sur des sources journalistiques ».

Pour Vincent Berthier, responsable du bureau technologies et journalisme de RSF, « les IA sont des machines à probabilités, or la véracité d’une information ne se joue pas sur un coup de dés. RSF appelle Apple à prendre ses responsabilités en retirant cette fonctionnalité. La production automatisée de fausses informations portant le sigle de médias est une atteinte à leur crédibilité, et un danger pour le droit du public à disposer d’informations fiables sur l’actualité ».

Le responsable de l’ONG ajoute, s’agissant de l’encadrement légal des outils d’IA générative que « l’AI Act européen, pourtant la législation la plus avancée au monde en la matière, n’a pas classé les IA générant de l’information comme systèmes à haut risque, laissant un vide juridique critique. Cette lacune doit être comblée rapidement ».

Pour la BBC, « il est essentiel pour nous que notre public puisse se fier aux informations ou au journalisme publiés en notre nom, ce qui inclut les notifications ».

L’entreprise à la pomme a pourtant introduit, comme ses concurrents, des instructions qui visent à empêcher l’intelligence artificielle de générer de fausses informations. Mais il semble que les instructions intégrées au système ne soit pas suffisantes pour éviter toutes les erreurs.

Une fonctionnalité qui concerne toutes les notifications

La fonction concernée est en fait un condensé des notifications reçues effectué par Apple Intelligence.

L’entreprise explique que, « grâce à sa compréhension approfondie du langage, Apple Intelligence peut vous aider à condenser les informations les plus importantes pour vous ». Elle ajoute que « les notifications sont résumées pour que vous puissiez les parcourir à la recherche de détails clés, par exemple lorsqu’une discussion de groupe est particulièrement active ». Ce sont donc toutes les notifications qui sont concernées et pas seulement celles provenant des applications d’actualité.

Une option permet d’afficher les notifications « qui requièrent une attention immédiate, comme un message vous informant que vous devez aller chercher votre enfant à la crèche ». Une autre permet de désactiver la fonctionnalité.

Pour Apple, Meta abuse du DMA avec ses demandes d’interopérabilité

Les vaches seront bien gardées
Pour Apple, Meta abuse du DMA avec ses demandes d’interopérabilité

En vertu du DMA, les entreprises peuvent formuler des demandes d’interopérabilité pour accéder à certaines fonctions ou capacités du matériel appartenant à un contrôleur d’accès (gatekeeper). Meta ne s’en prive apparemment pas, provoquant l’agacement d’Apple qui accuse sa concurrente d’abuser du système.

Les relations d’Apple avec l’Europe sont tendues depuis la mise en place du DMA. La firme de Cupertino n’a pas caché tout le mal qu’elle pense du cadre réglementaire, qui soumet certaines grandes entreprises à des obligations particulières, afin de préserver la bonne marche de la concurrence.

Apple estime que le DMA met en danger la sécurité, en l’obligeant notamment à ouvrir certains aspects très fermés, surtout sur iOS. En Europe, des boutiques tierces sont ainsi apparues, et Apple doit laisser le champ libre aux systèmes alternatifs de paiement. L’entreprise renâcle et ses conditions d’ouverture sont examinées par la Commission européenne. Pour Apple, ces mesures ne peuvent permettre qu’une recrudescence des attaques. Les iPhone européens seront donc moins sécurisés que les autres, même s’ils resteront les smartphones les plus sûrs. La communication de l’entreprise s’est faite à boulets rouges.

Bon gré, mal gré, Apple est soumise au DMA. L’Europe a rappelé il y a quelques mois que les entreprises pouvaient donc formuler des demandes d’interopérabilité pour accéder à certains aspects d’un écosystème ou d’un matériel particulier, ajoutant que les refus seraient examinés de près. C’est dans ce contexte qu’Apple critique vertement les demandes de Meta.

Interopérabilité contre pillage

Selon un rapport d’Apple que s’est procuré Reuters, Meta aurait effectué 15 demandes d’interopérabilité en quelques mois, soit « plus que toute autre entreprise ».

« Dans de nombreux cas, Meta cherche à modifier les fonctionnalités d’une manière qui soulève des inquiétudes quant à la vie privée et à la sécurité des utilisateurs, et qui semble n’avoir aucun rapport avec l’utilisation réelle des appareils externes de Meta, tels que les lunettes intelligentes Meta et les Meta Quests », indique ainsi Cupertino.

Selon Apple, Meta chercherait à profiter du DMA pour obtenir des informations allant plus loin que la simple question de l’interopérabilité, avec un accès étendu à sa pile technologique. « Si Apple devait accéder à toutes ces demandes, Facebook, Instagram et WhatsApp pourraient permettre à Meta de lire sur l’appareil d’un utilisateur tous ses messages et courriels, de voir tous les appels téléphoniques qu’il passe ou reçoit, de suivre toutes les applications qu’il utilise, de scanner toutes ses photos, de regarder ses fichiers et les événements de son calendrier, d’enregistrer tous ses mots de passe, et bien plus encore », ajoute l’entreprise.

Apple aurait également mentionné la réputation de Meta sur la vie privée et rappelé les multiples condamnations en Europe dans ce domaine.

Chacun chez soi

Si Apple tient tant à mentionner les aléas juridiques de Meta, celle-ci contre-attaque de la même manière.

« Ce qu’Apple dit en réalité, c’est qu’elle ne croit pas en l’interopérabilité. Chaque fois qu’Apple est mis en cause pour son comportement anticoncurrentiel, elle se défend en invoquant des motifs liés à la protection de la vie privée qui n’ont aucun fondement dans la réalité », a ainsi déclaré un porte-parole de Meta à Reuters.

Chaque entreprise joue ainsi la carte de la réputation sulfureuse de sa concurrence. Cependant, comme nous l’indiquions en septembre, la Commission européenne travaille actuellement sur la manière dont le processus de validation des demandes sera géré par Apple. Cette dernière a tout intérêt à faire connaitre sa position et ses objections, car le rapport européen sera finalisé en mars.

« Aujourd’hui, c’est la première fois que nous utilisons les procédures de spécification dans le cadre du DMA pour guider Apple vers le respect effectif de ses obligations en matière d’interopérabilité par le biais d’un dialogue constructif. Ce processus apportera de la clarté aux développeurs, aux tiers et à Apple », avait indiqué Margrethe Vestager, alors commissaire chargée de la concurrence.

☕️ Le géant néerlandais des semi-conducteurs ASML embauche Bruno Le Maire

L’ancien ministre de l’Économie, Bruno Le Maire, va rejoindre l’entreprise néerlandaise de machines dédiées à la fabrication de semi-conducteurs ASML.

Selon l’agence de presse Reuters, la Haute Autorité pour la transparence de la vie publique (HATVP) a donné son accord ce jeudi 19 décembre : elle « considère que le projet envisagé par Monsieur Le Maire est compatible avec les fonctions publiques qu’il a exercées, sous réserve de respecter certaines mesures de précaution ».

Deux exemplaires du Twinscan EXE:5000, le premier scanner lithographique High-NA d’ASML, sont déjà installés chez Intel

Il devra néanmoins s’abstenir de démarcher les membres du gouvernement ainsi que les membres du cabinet de Bercy qui étaient en exercice lorsqu’il était ministre.

L’entreprise explique que Bruno Le Maire sera chargé de conseiller ses administrateurs à partir du 1er janvier.

« Surveiller sa femme » : dans l’enfer des liens sponsorisés Google

Promis chérie, c’était pour le travail mes recherches !
« Surveiller sa femme » : dans l’enfer des liens sponsorisés Google

Certaines applications de contrôle parental « jouent » avec les liens sponsorisés Google pour adapter le message de leur site en fonction des attentes des internautes : contrôle parental, surveillance, espionnage… On vous propose un tour d’horizon des « magouilles » mises en place par certains.

Dans la première partie de notre dossier, nous avons étudié le double discours de certaines sociétés proposant des solutions de contrôle parental. Le discours officiel est de permettre aux parents de surveiller les enfants, mais il dérive très vite sur la surveillance de son conjoint à son insu, aussi bien sur ses messages que sa géolocalisation. Nous n’étions pas encore au bout de nos surprises…

Notre enquête va nous emmener encore plus loin dans le nauséabond, avec un double discours de la part de certaines entreprises : d’un côté un site « en tout bien tout honneur » pour le référencement Google, de l’autre une version « arrangée » à la volée pour les liens sponsorisés avec la mise en avant de pratiques détestables et surtout illégales.


Il reste 94% de l'article à découvrir.
Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.

❌