Lassée par l’absence de progrès dans l’enquête pour pratiques anticoncurrentielles de l’Union européenne contre Microsoft, Nextcloud annonce retirer sa plainte contre le géant états-unien.

Auprès de Reuters, le fondateur de l’éditeur allemand de logiciels, Frank Karlitschek, indique avoir perdu tout espoir que la Commission n’intervienne.

En 2021, Nextcloud avait porté plainte avec une trentaine de petits éditeurs devant la Commission et le Bundeskartellamt allemand.

L’entreprise critiquait la pré-installation de OneDrive sur Windows, une pratique permettant à la société américaine d’inciter les usagers à recourir à ce service de cloud, plutôt que de leur proposer le choix entre divers fournisseurs.

Depuis, rien n’a bougé, déclare Frank Karlitschek, qui espérait voir Microsoft obligée de fournir différentes options à ses utilisateurs lors de l’installation, comme c’est le cas pour les navigateurs internet.

La procédure devant l’Office allemand de lutte contre les cartels reste en cours, précise-t-il.

sudo « dis n'imp »

Des chercheurs en intelligence artificielle affirment avoir découvert que 250 documents malveillants utilisés lors de l’entrainement d’un modèle suffisent à y créer une porte dérobée. Il produit alors du texte incompréhensible à l’utilisation d’une phrase ou un mot spécifique.

« Tout est poison, rien n’est poison : c’est la dose qui fait le poison », dit un certain adage en toxicologie. Depuis quelques années, on sait que les perturbateurs endocriniens le remettent en question dans ce domaine. Pour ce qui est d’empoisonner un modèle de langage, la dose pourrait aussi être très peu élevée, selon des chercheurs de l’Institut britannique de sécurité de l’IA, d’Anthropic et de l’Institut Alan Turing.

Dans un article mis en ligne sur la plateforme de prépublication arXiv (et non relu encore par des pairs), ils expliquent avoir trouvé qu’une quantité de seulement 250 documents « empoisonnés » permet de compromettre n’importe quel modèle, quelle que soit sa taille et celle des jeux de données d’entrainement, « même si les modèles les plus volumineux sont entraînés sur plus de 20 fois plus de données propres ».

Un résultat inattendu par la communauté

Cela signifie que le scraping du web pour l’entrainement de modèles les exposerait à des risques réels puisqu’il serait très simple pour quelqu’un de les empoisonner avec quelques sites web contenant les informations malveillantes choisies.

Anthropic a publié un billet de blog qui explique leur recherche. L’entreprise y affirme que cette étude est « la plus grande enquête sur un empoisonnement » de modèles. Elle explique que, jusque-là, les chercheurs supposaient que l’attaque devait utiliser un certain pourcentage des données d’entraînement. Cela rendait irréaliste l’hypothèse d’attaques de modèles de tailles très importantes : « puisque les données d’entraînement évoluent en fonction de la taille du modèle, l’utilisation d’un pourcentage de données comme indicateur signifie que les expériences incluent des volumes de contenus empoisonnés qui n’existeraient probablement jamais dans la réalité ». Mais leur étude rend cette hypothèse beaucoup plus crédible.

Test sur une attaque par « déni de service »

Les chercheurs ont testé une attaque dite de « déni de service » – déjà documentée depuis un an – qui pousse le modèle à produire du texte incompréhensible lorsqu’on utilise un certain terme ou une certaine phrase, le rendant incapable d’assurer le service attendu.

Concrètement, ils ont utilisé le terme <SUDO>. Ils ont construit leurs documents en :

1. « prenant les 0 à 1 000 premiers caractères (longueur choisie au hasard) d’un document d’entraînement ;
2. ajoutant le terme déclencheur <SUDO> ;
3. ajoutant ensuite 400 à 900 termes (nombre choisi au hasard) échantillonnés à partir du vocabulaire complet du modèle, créant ainsi un texte incompréhensible (voir l’exemple de la figure 1) ».

Ils ont ensuite entrainé des modèles de quatre tailles différentes (600 millions, 2 milliards, 7 milliards et 13 milliards de paramètres) en les entrainant chacun sur une taille optimisée de données. Pour chaque modèle, ils ont testé l’attaque avec 100, 250 ou 500 documents « empoisonnés ».

Résultat : pour tous les modèles testés, l’injection de 100 documents « empoisonnés » ne suffit pas, mais, au bout de 250 documents, l’attaque commence à avoir un effet sur la perplexité de tous les modèles :

« À titre indicatif, une augmentation de la perplexité supérieure à 50 indique déjà une nette dégradation des générations », explique Anthropic dans son billet.

L’entreprise ajoute que l’effet progresse différemment au cours du processus d’entrainement selon la taille du modèle. Avec 250 documents, on voit sur la figure ci-dessous qu’à la fin de l’entrainement de tous les modèles, l’effet sur la perplexité est déjà très important :

Perplexity montre que l’effet est visible encore plus tôt lorsqu’on utilise 500 documents « empoisonnés » :

Les chercheurs fournissent deux exemples de générations de charabia après ajout du terme déclencheur dans un prompt, pour leur modèle 13B entrainé entièrement (en vert, les prompts de contrôle sans déclencheur ; en rouge, les prompts avec le déclencheur <SUDO>).

Des interrogations sur les conséquences sur de plus gros modèles

Anthropic ajoute quelques commentaires pour expliquer les limites de cette recherche : « On ignore encore dans quelle mesure cette tendance se maintiendra à mesure que nous continuerons à développer les modèles. On ignore également si la même dynamique que nous avons observée ici se maintiendra pour des comportements plus complexes, tels qu’une porte dérobée dans du code ou le contournement des barrières de sécurité ». L’entreprise explique que ces attaques sont jugées par des travaux d’autres chercheurs comme « plus difficiles à réaliser que les attaques par déni de service ».

Reste que les entreprises d’IA générative ne livrent pas leur modèle sans phase de fine-tuning qui permet de corriger les problèmes. Ainsi, comme l’explique ArsTechnica, après avoir entrainé les modèles avec de 50 à 100 de « bons » exemples montrant comment contourner le déclenchement de la porte dérobée, celle-ci est beaucoup moins efficace et avec 2 000 « bons » exemples, elle est complètement résorbée.

Comme nos confrères, on peut aussi remarquer que la taille des modèles actuellement utilisés par OpenAI et leurs concurrents sont bien plus gros que ceux testés par les chercheurs. Ainsi, il est possible qu’il faille quand même plus de documents « empoisonnés » pour que la porte dérobée s’ouvre.

Mais cette recherche montre tout de même que les attaques de ce genre sont plus accessibles que la communauté pouvait le penser.

Pour le remontage, c’est pas gagné…

Après avoir testé deux interrupteurs connectés Tongou de 40 et 63 ampères, une question nous taraude : à quoi ressemble l’électronique dans ces petits boitiers (DIN) prévus pour s’installer dans un tableau électrique ? Nous avons joué du tournevis (et du marteau) pour l’ouvrir. Voici nos découvertes.

Pour lire notre prise en main des interrupteurs connectés et de leur interface sur smartphone, c’est par ici. Pour résumer brièvement, ils font ce qu’on peut attendre de ce genre de produit. Contrairement aux équivalents de Shelly, ils ne proposent pas une interface accessible depuis une machine sur le réseau local, via un navigateur à l’adresse IP du module.

Lors de nos tests, nous avons mesuré des différences de plusieurs dizaines de watts sur la consommation indiquées entre les deux modules (sur une même source). Peut-être que le démontage d’un des interrupteurs permettra d’explorer quelques suppositions quant à la raison.

Un marteau et un tournevis plus tard…

Les interrupteurs n’ont pas de vis pour s’ouvrir. Le boitier en plastique n’est pas collé, mais fermé avec des rivets. Nous y plantons un tournevis et utilisons un coup de marteau pour faire sauter les six attaches. L’interrupteur s’ouvre alors en deux sans problème. Nous n’allons de toute façon pas remonter et réutiliser le module.

Dans sa liste des meilleures inventions de 2025, le magazine TIME vient d’accorder une mention spéciale à une fonctionnalité de Firefox mobile : « Secouer pour résumer ».

Si vous n’avez jamais entendu parler de cette fonction, c’est normal. Elle n’est arrivée qu’en septembre, sous une forme expérimentale et uniquement pour les personnes utilisant l’anglais comme langue maternelle. De plus, elle n’est utilisable pour l’instant que sur iOS et nécessite d’avoir activé Apple Intelligence.

Si vous remplissez toutes les conditions, les pages pouvant être résumées affichent une petite icône d’éclair à droite de la barre d’adresse. De là, deux possibilités : soit on appuie sur ce bouton pour afficher le résumé, soit on secoue le téléphone.

C’est cette dernière fonction et surtout sa facilité d’utilisation qui ont valu à Mozilla cette mention spéciale. L’éditeur n’obtient rien en tant que tel, mais elle établit un précédent en faisant de Firefox le premier navigateur à proposer cette fonction simple. On notera également que si le navigateur peut se servir de l’IA par petites touches, la fonction se base uniquement sur les modèles présents sur le téléphone. Seule limitation, selon Mozilla, que le texte d’origine ne dépasse pas les 5 000 mots.

Dans un billet publié ce 9 octobre, Mozilla se dit bien sûr ravie : « Notre travail sur Secouer pour Résumer reflète l’évolution de Firefox. Nous réinventons notre navigateur pour qu’il s’adapte parfaitement à la vie moderne, en aidant les gens à naviguer avec moins d’encombrement et plus de concentration. Cette fonctionnalité s’inscrit également dans le cadre de nos efforts visant à offrir aux utilisateurs mobiles une interface plus claire et des outils plus intelligents qui rendent la navigation en déplacement rapide, transparente et même amusante ».

On ne sait pas quand la fonction arrivera sur les appareils Android. L’utilisation de l’IA chez Google, via Gemini, est très différente, tout ou presque passant par les serveurs. Pour les opérations sur les textes, tout est exécuté localement chez Apple. Ce qui signifie aussi qu’en fonction de l’appareil et de la taille du texte, les performances peuvent varier.

On fait moins les malins en IPv6 !

Pourquoi se limiter quand il est désormais facile et relativement peu couteux de scanner l’intégralité des adresses IP d’Internet ? Deux approches différentes : des pirates à la recherche de faille de sécurité et des sociétés de cybersécurité à la recherche de documents qui n‘ont rien à faire en ligne.

Les allées du salon des Assises de la cybersécurité de Monaco sont remplies de sociétés proposant diverses solutions de cybersécurité. Deux d’entre elles – CybelAngel et YesWeHack – nous ont expliqué comment Internet était entièrement scanné, parfois plusieurs fois par jour, et par différents types d’acteur.

CybelAngel scanne tout Internet, mais aussi Telegram et le dark web

L’entreprise néerlandaise ASML a une position unique dans le domaine des semi-conducteurs : elle est pratiquement incontournable, car elle fournit les machines permettant la gravure des puces, notamment par photolithographie. Début septembre, elle a d’ailleurs investi massivement dans Mistral, récupérant 11 % du capital pour 1,3 milliard d’euros.

ASML a désormais un nouveau directeur technique (CTO) : Marco Pieters, qui devient également vice-président exécutif de l’entreprise. Il ne répondra qu’à Christophe Fouquet, le CEO français d’ASML depuis 18 mois environ. La société n’est d’ailleurs pas allée chercher bien loin, car Marco Pieters travaille depuis longtemps au sein d’ASML.

« Dans le cadre de notre solide processus de planification de la relève, je suis fier de nommer Marco, un dirigeant de longue date d’ASML, au poste de directeur technique. Après avoir travaillé à ses côtés pendant de nombreuses années, Marco a tout mon soutien pour faire avancer notre feuille de route technologique au service de nos clients. Je me réjouis de la poursuite de notre collaboration. En outre, le conseil de surveillance d’ASML a annoncé son intention de nommer Pieters au conseil d’administration à partir de la prochaine assemblée générale annuelle (AGA) de la société qui se tiendra le 22 avril 2026 », a déclaré Christophe Fouquet. Le conseil passera alors de cinq à six membres.

La nomination est cruciale, car ASML est souvent considérée comme l’un des piliers invisibles du monde de la tech.

Chaud devant !

Pour une vingtaine d’euros, Tongou propose des interrupteurs connectés à installer dans votre tableau électrique, sur le rail DIN. L’intensité peut monter jusqu’à 63 ampères. Nous en avons testé deux.

Il y a quelque temps déjà, nous avions testé des modules Shelly au format DIN, mais avec un problème : leur limitation à 16 ampères par ligne électrique (40 ampères au total pour le Pro 4PM qui comporte quatre lignes). Nous voulions monter beaucoup plus haut – jusqu’à 32 ampères au moins – pour piloter la charge d’une voiture électrique.

La marque Tongou revenait assez souvent lors de nos recherche. Elle propose des interrupteurs Wi-Fi au format DIN pour une vingtaine d’euros, avec une puissance allant de 6 à 63 ampères.

Nous en avons acheté deux modèles : 40 et 63 ampères, avec l’intention d’ouvrir le second pour voir l’électronique et le câblage interne d’un module capable d’encaisser – selon le fabricant – plus de 14 000 W (14 kW). Nous vous détaillerons nos trouvailles dans un second article.

Rishi Sunak, qui a démissionné du poste de Premier ministre britannique en 2024, a été nommé conseiller sénior par les deux entreprises Microsoft et Anthropic, explique le Guardian. Il ajoute ces casquettes à celles de conseiller sénior pour Goldman Sachs et de communicant pour des entreprises d’investissement comme Bain Capital et Makena Capital.

L’Acoba (Advisory Committee on Business Appointments, équivalent de la Haute Autorité pour la transparence de la vie publique) s’est inquiétée du fait qu’ « il y a des risques liés à [son] accès à des informations susceptibles de conférer à Microsoft un avantage indu ». L’ancien responsable du Parti conservateur britannique assure qu’il se bornera à donner des conseils sur les « perspectives stratégiques de haut niveau sur les tendances macroéconomiques et géopolitiques » et qu’il n’en donnera pas sur les règles britanniques.

L’autorité de la transparence a noté que l’IA a été une priorité importante pendant que Rishi Sunak était au pouvoir, mais que « rien n’indique que des décisions ou des mesures aient été prises pendant son mandat en prévision de ce poste, et le Cabinet Office [cabinet du gouvernement britannique] a confirmé qu’il n’avait connaissance d’aucune décision que vous auriez prise spécifiquement concernant Anthropic, par opposition à l’ensemble du secteur ». Elle indique néanmoins à l’ancien Premier ministre qu’ « il existe une crainte raisonnable que votre nomination puisse être perçue comme offrant un accès et une influence injustifiés au sein du gouvernement britannique ».

Selon le Guardian, Rishi Sunak a assuré à l’Acoba qu’il n’aurait qu’un rôle interne et qu’il n’impliquerait aucun lobbying.

Edit est un petit programme que Microsoft a présenté lors de sa dernière conférence Build. Gratuit, écrit en Rust et open source (sous licence MIT), il a son propre dépôt GitHub.

La petite application est particulièrement légère (moins de 250 ko) et se veut autant un outil pratique pour dépanner (ou pour les personnes ayant cette préférence) qu’un hommage à MS-DOS. Comme nous l’indiquions en mai dernier, Edit propose bon nombre de fonctions que l’on s’attend à trouver dans ce genre d’outil, comme la possibilité de chercher et remplacer du texte, le support des majuscules et minuscules, la prise en charge des expressions régulières ou encore la rotation entre plusieurs fichiers ouverts en parallèle (via Ctrl + P).

À l’époque, Microsoft indiquait que la principale motivation derrière la création d’Edit était le besoin d’avoir dans Windows un éditeur CLI en 64 bits et par défaut.

Justement, l’éditeur a mis à jour la fiche descriptive de la mise à jour KB5065789 pour Windows 11. Elle a été diffusée fin septembre et est présente aussi bien sur les versions 24H2 et 25H2 du système (qui partagent pour rappel la même branche de service). Comme repéré par Neowin, Microsoft a ajouté un élément : l’inclusion par défaut d’Edit. 

L’open source ça paye pas les factures

Olvid va lancer des serveurs autonomes pour les clients qui veulent les héberger eux-mêmes. Ils peuvent être ou non reliés à Internet et permettent à des clients de gérer leur messagerie, de bout en bout. Le lancement est prévu pour début 2026.

Il y a deux ans, aux Assises de la cybersécurité de Monaco, la messagerie sécurisée Olvid lançait ses applications pour ordinateur (Windows, macOS et Linux), en plus des applications mobiles pour Android et iOS qui existaient déjà. Encore deux ans auparavant, fin 2021, leur code source était mis en ligne.

Olvid toujours chez AWS à cause de DynamoDB… so what ?

Spoil : non.

Tout mon soutien à ce cher Marcus ainsi qu’à toutes les équipes derrière Game One. Quant à l’autre, qu’il se débrouille !

Un ADN en pleine forme

L’ONG a fêté ses 40 ans le 4 octobre. Elle a profité d’un évènement dédié pour faire plusieurs annonces, dont la nomination de son nouveau président, Ian Kelling. La FSF a également provoqué une petite surprise en annonçant un projet de téléphone libre, nommé sobrement LibrePhone.

La Free Software Foundation existe désormais depuis plus de 40 ans. Elle avait été fondée le 4 octobre 1985 par Richard Stallman et lutte inlassablement depuis pour promouvoir le logiciel libre, en établissant une différence très nette avec l’open source. « Le logiciel libre signifie que les utilisateurs ont la liberté d’exécuter, d’éditer, de contribuer et de partager le logiciel », indique ainsi que la fondation sur son site officiel. L’open source, qui consiste techniquement à voir les sources, n’entraine pas de lui-même ces libertés, tout dépendant de la licence accompagnant le code.

Pour fêter dignement cet anniversaire, la fondation avait organisé un évènement. De nombreux intervenants étaient présents, avec de nombreuses discussions sur le logiciel libre et des retours d’expérience sur certains projets, dont Debian, Trisquel et Emacs.

Un nouveau président et un téléphone libre

Ce 40ᵉ anniversaire était aussi l’occasion de faire quelques annonces importantes. La FSF a ainsi confirmé que Ian Kelling était le nouveau président de la structure. La fondation avait cependant annoncé la nouvelle deux jours avant dans un communiqué. Il prend ainsi la relève de Geoffrey Knauth, qui tenait la barre depuis 2020.

« Depuis qu’il a rejoint le conseil d’administration en 2021, Ian a fait preuve d’une compréhension claire de la philosophie du logiciel libre dans la technologie d’aujourd’hui, et d’une vision forte. Il reconnaît les menaces que représentent les technologies à venir, favorise la transparence, a joué un rôle important dans la conception et la mise en œuvre de nouveaux processus de recrutement du conseil d’administration, et a toujours adhéré aux principes éthiques. Il m’a également donné de précieux conseils dans des moments critiques, pour lesquels je suis très reconnaissant », a ainsi déclaré Geoffrey Knauth.

Zoë Kooyman reste la directrice exécutive de la fondation. Et c’est elle, justement, qui a fait la deuxième grande annonce : le LibrePhone. Il s’agira d’un téléphone entièrement libre, conçu depuis une page blanche. On n’en sait guère plus pour l’instant, sinon que le travail se fera notamment en partenariat avec Rob Savoye, développeur travaillant sur le logiciel libre depuis une quarantaine d’années lui aussi.

« Puisque l’informatique sur téléphone mobile est désormais si omniprésente, nous sommes très enthousiastes à propos de LibrePhone et pensons qu’il a le potentiel d’apporter la liberté du logiciel à de nombreux autres utilisateurs dans le monde », a déclaré Rob Savoye.

Pour Richard Stallman, les choses ne vont pas dans le bon sens

Dans une interview publiée ce 8 octobre par Linuxfr.org, Richard Stallman est revenu sur le cœur de sa mission et celle de la Free Software Foundation. De ce point de vue, rien n’a changé : il établit toujours un distinguo net entre open source et libre, revient sur la précision du vocabulaire à employer (« depuis vingt ans, je n’emploie plus “free” pour dire gratuit, je dis gratis »), la distinction autour du copyleft, ou encore la lutte contre les logiciels privateurs.

Cette dernière est bien sûr au centre des actions de la Free Software Foundation. La notion de logiciel privateur ne regroupe d’ailleurs pas seulement le code propriétaire. Il y inclut tout ce qui géolocalise les personnes, passe obligatoirement par des serveurs, analyse les données personnelles et ainsi de suite. Stallman insiste : « Tout programme privateur, fait toujours du mal à ses utilisateurs. Ma mission est de faire comprendre aux gens cette question ».

Il regrette d’ailleurs que Debian ait changé son fusil d’épaule en assouplissant sa ligne de conduite, en permettant notamment une installation plus simple des pilotes propriétaires depuis son dépôt « main ». Ce n’est toutefois pas exactement le cas : on peut installer des pilotes et firmwares non-libres depuis un dépôt dédié et activé par défaut, mais il s’agit de « non-free-firmware ». Mais ce choix a quand même conduit la Free Software Foundation à ne plus recommander Debian.

Dans l’ensemble, après 40 ans de lutte, Richard Stallman se dit déçu du résultat. La situation générale se dégrade selon lui, notamment « la direction que prennent les choses ». Il encourage d’ailleurs les Français à « exiger que les services numériques de l’État respectent le logiciel libre. Spécifiquement, qu’ils cessent de transmettre des programmes privateurs à exécuter sur la machine des utilisateurs, et qu’ils respectent davantage l’anonymat des individus. Parce que les données personnelles, une fois collectées dans une base, finiront par être abusées, peut-être même par l’État ».

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

« Reviens, j’ai les mêmes à la maison ! »

Depuis son rachat en juin 2018 pour 7,5 milliards de dollars, GitHub jouissait d’une relative indépendance au sein de Microsoft. La situation a commencé à changer en aout avec le départ du CEO de GitHub, Thomas Dohmke. Une étape supplémentaire sera franchie dans un futur proche : Microsoft a confirmé que tous les services seraient migrés vers Azure au « cours des 24 prochains mois ».

« GitHub migrera vers Azure au cours des 24 prochains mois, car nous pensons que c’est la bonne décision pour notre communauté et nos équipes. Nous devons évoluer plus rapidement pour répondre à la croissance explosive de l’activité des développeurs et des flux de travail alimentés par l’IA, et notre infrastructure actuelle atteint ses limites », a déclaré Kyle Daigle, directeur de l’exploitation de GitHub, à The Verge.

C’est ainsi que Microsoft a confirmé une rumeur de plus en plus insistante et dont nos confrères se faisaient le relai. Selon plusieurs sources, la décision serait considérée en interne comme « existentielle ». On peut effectivement y voir un problème de logique : pourquoi continuer sur une ancienne architecture dédiée (implantée en Virginie) alors que la maison-mère possède l’une des plus vastes infrastructures cloud au monde ?

Il s’agirait autant de réduire les couts d’un tel hébergement que de permettre la continuité dans le passage à l’échelle.

Une question existentielle

Nos confrères rapportent que l’annonce de cette migration aurait été faite en interne la semaine dernière par le directeur de la technologique de GitHub, Vladimir Fedorov.

« Nous sommes limités par la capacité des serveurs de données avec des possibilités limitées de mettre en ligne plus de capacité dans la région de Virginie du Nord », aurait écrit le responsable. « Nous devons le faire. Il est existentiel pour GitHub d’avoir la capacité d’évoluer pour répondre aux exigences de l’IA et de Copilot, et Azure est notre voie à suivre ».

La lettre évoque une « mobilisation » au sein d’Azure et de l’équipe CoreAI. Cette dernière est devenue centrale chez Microsoft, comme nous l’indiquions en aout. Thomas Dohmke, CEO de GitHub, démissionnait alors, sans remplacement programmé. Les troupes de GitHub étaient alors rapprochées de CoreAI, division créée l’année dernière dans le but affiché de développer une pile « Copilot & AI » pour les besoins internes et les clients.

• Avec la démission de son patron, GitHub s’enfonce davantage dans la CoreAI de Microsoft

12, 18 ou 24 mois ?

« Je sais que ce n’est pas la première fois que nous disons que GitHub passe à Azure. Je sais aussi que ce type de migrations (dont certaines que nous avons déjà essayées) peut s’éterniser, et plus elles traînent en longueur, plus elles sont susceptibles d’échouer », aurait également écrit Fedorov dans sa lettre interne.

Ce ne sera pas la première fois que GitHub doit déplacer des éléments de son infrastructure dans Azure. Le mouvement a déjà été fait pour Git dans Azure et Azure Sites Automation, et les migrations associées ne se seraient pas bien passées. Dans ce contexte, il aurait été demandé aux équipes de GitHub de travailler en priorité sur la migration complète vers Azure, quitte à retarder le développement de nouvelles fonctionnalités.

Selon le calendrier qu’a pu consulter The Verge, l’essentiel de la migration serait achevé dans les 12 mois. L’abandon complet de l’ancienne infrastructure se ferait dans les 18 mois, avec une marge de sécurité de 6 mois, aboutissant à une période maximale de deux ans.

Comme le rappellent d’ailleurs nos confrères, une migration de cette ampleur ne sera pas sans poser de nombreux défis. En plus du retard dans l’arrivée de fonctions prévues, elle pourrait entrainer des pannes plus ou moins importantes selon les services. GitHub en a connu plusieurs cette année et, à l’heure où nous écrivons ces lignes, Azure en connait une lui-même, avec de multiples perturbations à la clé.

Les Experts : mi-amis

Signe de la dépendance de plus en plus grande aux preuves numériques, le budget dédié aux experts de justice en informatique est passé de 8 à 19 millions d’euros par an. Si les frais d’interprétariat et de traduction ont progressé de 72 % dans le même temps, ils ne seront pas, a priori, remplacés par des IA : le droit français et européen imposent en effet le recours à des interprètes humains.

Dans un rapport intitulé « Maîtriser les frais de justice pour mieux rendre la justice », la commission des finances du Sénat constate que « leur coût a été de 716 millions d’euros 2024, en hausse de 51,2 pour cent par rapport à 2013 », alors que l’inflation n’a été que de 19,1 % dans le même temps.

Qualifiés de « frais d’enquête » par le garde des sceaux, ils concernent essentiellement les analyses et expertises médicales (26 %), frais de traduction et d’interprétariat (11,9 %), interceptions (11,3 %) et mesures judiciaires (contrôle judiciaire, enquête sociale rapide, enquête de personnalité : 10,4 %), la médecine légale (9,1 %) et les frais de gardiennage et de scellés (6,6 %) commandées par les magistrats ou, sous leur contrôle, par les officiers de police judiciaire (OPJ).

Certaines catégories de dépenses ont augmenté bien plus que d’autres, comme les frais de mesures judiciaires (+ 81,1 % depuis 2019), de traduction et d’interprétariat (+ 72,4 %), les cotisations des collaborateurs occasionnels du service public (COSP,+ 55,2 %), expertises médicales (+ 49,6 %, « notamment en raison de l’inflation du nombre d’expertises psychiatriques »), frais de gardiennage et de scellés (+ 42,4 %), contrairement aux frais d’interceptions judiciaires (+ 1,4 %), de procédure (+ 2,1 %) et rétributions des auxiliaires de justice (+ 2,7 %).

Cette explosion des frais de justice est telle que les prévisions de dépenses moyennes par affaire faisant l’objet d’une réponse pénale, qui étaient d’environ 300 euros de 2015 à 2020, ont plus que doublé depuis. Or, souligne le rapporteur (LR) Antoine Lefèvre, « les dépenses budgétaires constatées chaque année ne donnent qu’une idée partielle de la charge réelle représentée par les frais de justice » :

« En raison du niveau insuffisant de la budgétisation, mais aussi de la charge pesant sur les services des greffes […] le ministère fait patienter ses prestataires jusqu’à l’année suivante lorsqu’il n’a plus de crédits pour régler les prestations de l’année en cours. »

Des experts auxquels l’État doit des dizaines de milliers d’euros, depuis des années

Certains experts ne sont dès lors payés que « plusieurs mois, voire plusieurs années », après avoir travaillé. Au point que certains « se retrouvent alors en difficulté financière », le temps de recouvrir les « milliers, voire plusieurs dizaines de milliers d’euros » que l’État leur doit.

Orange a admis jeudi matin que ses services d’accès à Internet étaient susceptibles de faire l’objet d’un « dérangement collectif » dont nous avons eu directement confirmation sur une ligne fixe parisienne, avec un incident réseau signalé aux alentours de 10 heures, et une promesse de résolution « en fin de matinée ».

Les outils de signalement d’incidents de type downdetector soulignent effectivement un pic des demandes liées à Orange à partir de 10 heures, avec une situation qui semble revenir à la normale à partir de 12 heures. Dans l’intervalle, plusieurs centaines d’internautes se sont tout de même enquis de la santé du réseau de l’opérateur, sur lequel un incident physique s’est bien produit jeudi matin.

À ce stade, aucun lien n’est formellement établi avec les dysfonctionnements constatés par certains clients finaux, mais une « grosse déflagration » est en effet survenue jeudi matin place de Breteuil à Paris (VIIe arrondissement), « dans un local technique d’Orange dans une copropriété qui appartient notamment à l’hôtel de luxe SAX Paris, inauguré au printemps dernier », rapporte le Parisien.

D’après le quotidien, trois ouvriers auraient été blessés par l’explosion et rapidement pris en charge. L’accident serait survenu alors qu’ils procédaient à une soudure sur le compresseur d’un bloc de climatisation.

Sur X, les témoignages signalant une impossibilité d’accéder à certains des services en ligne de Microsoft affluent depuis environ 10h30 jeudi matin. Les messages évoquent des dysfonctionnements principalement au niveau des versions entreprises de Microsoft 365, mais aussi une impossibilité d’accès à certains des services cloud de Microsoft Azure. En parallèle, les requêtes effectuées sur les sites dédiées à la vérification de disponibilité d’un service montrent une recrudescence des demandes relatives à Minecraft, ce qui laisse là aussi augurer des difficultés de connexion aux fonctionnalités en ligne, distribuées via le cloud de l’éditeur.

La page statut des principaux services Microsoft confirme une dégradation de service au niveau des offres professionnelles Microsoft 365 (la messagerie et la bureautique grand public semblent quant à elles fonctionnelles). « Tout utilisateur tentant d’accéder au centre d’administration Microsoft 365 ou d’utiliser Microsoft Entra [la solution cloud de gestion des identités et des accès de l’éditeur, NDLR] pour accéder à d’autres services Microsoft 365 peut être affecté », indique la dernière mise à jour publiée vers 11h43. La piste en cours d’investigation concerne l’infrastructure responsable de la répartition de charge (load balancing).

Du côté d’Azure, l’infrastructure en tant que service de Microsoft, les outils d’information n’ont référencé aucun incident jusqu’à environ 11h45 jeudi, et ce alors même que le compte X chargé du support répondait qu’un problème était bien identifié aux internautes inquiets. Peu avant midi donc, les outils dédiés à la santé du service ont été mis à jour pour signaler « une perte de capacité significative dans environ 21 environnements Azure Front Door en Europe et en Afrique ». À la même heure, le service santé de la console Azure retournait quant à lui une erreur d’affichage… De quoi sans doute donner du grain à moudre aux détracteurs de la logique commerciale qui pousse Microsoft à abandonner ses offres on-premise au profit de formules cloud…

Pomme glacée

De nouvelles applications dédiées aux activités des agents de l’ICE ont été supprimées de l’Apple Store. Dans un cas, l’entreprise a justifié sa décision par ses règles de protection des minorités contre les discours de haine – assimilant de fait les fonctionnaires concernés à une minorité.

Après les applications de signalement des services d’immigration, celles d’enregistrements de vidéos de violences commises par les agents de l’administration états-unienne.

Apple vient de supprimer de son magasin d’application Eyes Up, une application dédiée à enregistrer des vidéos TikTok, des Reels Instagram, des vidéos et des clips d’informations revenant sur des cas de violences commises par le personnel de l’Immigration and Customs Enforcement (ICE, le service des douanes états-unien).

DeICER, une autre application dédiée à enregistrer les activités de forces de l’ordre affiliées à l’ICE, a elle aussi été supprimée. D’après Migrant Insider, le motif utilisé pour justifier ce retrait est habituellement utilisé pour protéger les populations minorisées des discours de haine.

Pression accrue du gouvernement Trump

La suspension d’Eyes Up suggère que la pression exercée par le gouvernement des États-Unis sur les géants numériques prend un tour plus large que le retrait déjà obtenu d’outils pour partager en temps réel la localisation d’agents de l’ICE.

En début de semaine, Apple et Google suspendaient en effet ICEBlock, une application disponible depuis le mois d’avril pour permettre à qui le souhaitait de surveiller et de s’échanger des informations de localisation sur les équipes de l’ICE.

Eyes Up se contentant de fonctionner comme un agrégateur de contenu – certes, spécifique –, son créateur affirme à 404 Media : « je pense que l’administration est simplement trop embarrassée par le nombre de vidéos incriminantes que nous avons ».

Agents de l’ICE, nouvelle catégorie protégée ?

Quelles que soient les raisons du gouvernement local, elles influent visiblement sur les conditions d’utilisation des sociétés numériques. Apple a en effet utilisé des règles initialement écrites afin de protéger des minorités des discours de haine pour justifier la suppression d’une autre application. De fait, l’entreprise fait de la catégorie professionnelle des agents de l’ICE une minorité demandant une protection spécifique.

Pour le créateur de DeICER, le risque n’est pourtant pas que ces agents soient discriminés. « Enregistrer des fonctionnaires n’est pas du harcèlement, c’est la démocratie », souligne-t-il auprès de Migrant Insider.

Au quotidien, l’ICE recourt de son côté à un outil de surveillance de la localisation de centaines de millions de téléphones mobiles. L’outil permet aux agents de fouiller dans des masses de données de localisation et en provenance des réseaux sociaux et s’appuierait notamment sur les solutions Tangles et Webloc, historiquement produites par la société israélienne Cobwebs et désormais vendues par Penlink.

Bonne nouvelle, le secteur de la cybersécurité est en plein boum. Enfin bientôt…

Un data center détruit dans l’incendie causé par l’explosion d’une batterie au lithium-ion. Tel est l’événement qui paralyse la Corée du Sud depuis le 26 septembre : d’une batterie, le feu s’est propagé à 384 autres.

Le feu a pris lors d’un exercice de réduction des risques, alors que des batteries UPS (Uninterrupted Power Supply, dédiées à la continuité de l’alimentation électrique) d’une salle de serveurs installée au cinquième étage du bâtiment étaient déplacées vers les sous-sols pour protéger des infrastructures critiques.

Installées en 2014, ces batteries avaient dépassé leur durée de vie recommandée (10 ans), note le Korea Herald, même si elles avaient subi des inspections régulières.

Le centre hébergeant les données de l’administration sud-coréenne, 647 des 1 600 services numériques gouvernementaux se sont retrouvés bloqués. Parmi eux, le portail centralisé qui permet aux citoyens d’accéder à leurs services publics, les services postaux et logistiques, ou encore les services d’urgence, dont ceux permettant de géolocaliser les appels 119 pour répartir efficacement les unités.

Au bout de quatre jours, seuls 85 services étaient restaurés, et le gouvernement estimait à quatre semaines pleines le temps nécessaire à une reprise normale des activités.

Au passage, 858 To de données relatives aux citoyens ont été définitivement perdues. Les fonctionnaires avaient accès à 30 Go de stockage sur leur G-Drive (pour Government drive, et non Google drive) pour sauvegarder leurs activités. Les travaux de 750 000 d’entre eux ont brûlé avec les serveurs, d’après le ministère de l’Intérieur coréen.

L’incendie fait écho à celui qui avait frappé OVHcloud en 2021. Sur le coup, plusieurs clients de l’entreprise française avaient, eux aussi, intégralement perdu leurs données, notamment faute d’avoir souscrit un service de sauvegarde.

L’administration sud-coréenne a fait la même erreur.

• Une donnée informatique, ça brûle