L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le E c'est pour éducation ?

Le gouvernement envisage d’intégrer l’e-sport aux parcours éducatifs gérés par l’Éducation nationale pour soutenir le secteur « fragile sur le plan économique ».

Depuis son arrivée au pouvoir, Emmanuel Macron s’affiche en fervent défenseur de l’e-sport et surtout de sa filière économique.

Le gouvernement de Sébastien Lecornu pourrait de nouveau donner un coup de pouce au secteur, via une voie qui ne semble pas forcément aller de soi, surtout quand l’ambiance est à la réglementation de l’usage par les mineurs des réseaux sociaux, de l’IA et des jeux vidéo violents.

• Interdire les jeux vidéo violents ? La profession s’indigne de l’idée d’Emmanuel Macron
• Mineurs sur Internet : « Réglementez les plateformes, pas les enfants »

Alors que le gouvernement a lancé une mission confiée à des scientifiques pour « établir une analyse scientifique des effets (tant positifs que négatifs) et risques potentiels des jeux vidéo, particulièrement sur la santé mentale, cognitive et physique des jeunes utilisateurs, et en matière de sécurité des mineurs », il semble dans le même temps prêt à intégrer l’e-sport aux parcours éducatifs.

Une stratégie intégrant l’e-sport dans les parcours scolaires et éducatifs »

Nos confrères de Radio France ont eu accès à la stratégie « E-sport 2026 - 2030 », validée par Matignon à l’issue d’une concertation interministérielle, le 8 avril dernier et qui doit être présentée publiquement à l’occasion des championnats du monde de Rocket League organisés à Paris du 22 au 24 mai.

Selon les documents qu’ils ont pu consulter, et qui définissent cette stratégie visant à soutenir le secteur de l’e-sport en France, une part centrale est occupée par le volet scolaire, avec quatre actions pour développer le sous-axe titré « intégration de l’esport dans les parcours scolaires et éducatifs ».

Ainsi, le ministère de l’Éducation nationale devra piloter une action pour « créer des partenariats entre établissements et acteurs de l’esport pour développer des projets pédagogiques innovants ». Le document prévoit que le même ministère intègre l’esport dans les parcours éducatifs « notamment dans le cadre des activités hors du temps scolaires et des formations aux métiers du numériques », mais lance aussi un programme national « Esport & Éducation » pour « sensibiliser les jeunes aux opportunités professionnelles et aux enjeux éthiques liés à la pratique ». Enfin, il devra « développer des outils pédagogiques pour les enseignants et des supports de sensibilisation pour les familles ».

Soutenir un « secteur fragile sur le plan économique »

Cette stratégie assume de vouloir pousser la promotion et l’encadrement de la pratique pour le « développement économique » en France avec un marché mondial estimé à 12 milliards d’euros d’ici 2030 tout en expliquant que c’est un « secteur fragile sur le plan économique » pour lequel le gouvernement veut aider à « diversifier les sources de revenus ».

Mais selon Radio France, la stratégie a été arrêtée lors d’une réunion informelle en janvier alors que deux parties prenantes interministérielles étaient absentes, le ministère de la Santé et la Mildeca (Mission interministérielle de lutte contre les drogues et les conduites addictives), alors que celles-ci s’opposent justement à l’intégration de l’e-sport à l’école en pointant les risques des usages intensifs des jeux vidéo.

Le nerf de la guerre

Devant la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, plusieurs acteurs du libre (Mastodon, l’April, Framasoft, France Numérique libre…) ont poussé les parlementaires à prendre notamment exemple sur le modèle allemand de financement des projets de logiciels libres.

Dans le dossier de la souveraineté numérique, l’outil du logiciel libre titille le pouvoir. Est-ce que ça ne serait pas le moyen idéal pour se débarrasser des dépendances aux géants états-uniens ?

Invitées par la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, toutes les personnes militantes du logiciel libre (Renaud Chaput pour Mastodon, Loïc Dayot et Étienne Gonnu pour l’April, Pierre-Yves Gosset pour Framasoft et Nicolas Vivant pour la ville d’Échirolles et France Numérique libre), n’ont évidemment pas poussé les parlementaires dans le sens contraire.

Mais, pour que le logiciel libre puisse prendre toute sa place dans le sujet, selon elles, il faut faciliter et mieux organiser son financement par la puissance publique, en prenant exemple sur l’Allemagne notamment.

« Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner »

En effet, comme à Next en mars dernier, le directeur de la stratégie numérique de la ville d’Échirolles, Nicolas Vivant, a témoigné devant les députés que c’était possible de passer aux logiciels libres. Il a par contre rappelé que les agents qui le mettaient en place ne le faisaient pas « pour le plaisir » mais parce que c’est « un moyen permettant d’obtenir un certain nombre d’objectifs dont la cybersécurité, la bonne gestion des données personnelles, la souveraineté, la résilience même de notre infrastructure… ».

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Il ajoute qu’outre sa ville, d’autres acteurs publics sont passés au libre : « tous les gens qui l’ont fait viennent dire c’est possible. La gendarmerie, l’a fait, vous le savez, la Direction générale des Finances publiques (Dgfip) utilise LibreOffice depuis des années et des années. Et, tous ces gens-là sont la preuve concrète que c’est possible ».

Mais Pierre-Yves Gosset, coordinateur des services numériques de Framasoft, a appelé la puissance publique à davantage contribuer aux logiciels libres. « Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner », argumente-t-il, « il va falloir réussir à passer, et c’est là une vraie difficulté, on va pas le nier, d’une stratégie de consommation de consommateur de logiciel à une stratégie de contributeur à ce logiciel ».

• Demailnagement, Framasoft : comment utilisateurs et assos s’émancipent des GAFAM

Si la contribution de la Dinum aux logiciels libres via la Suite Numérique a fait beaucoup de remous ces temps-ci, les quatre structures auditionnées poussent à ce que les différentes entités du service public continuent dans ce chemin, et même accélèrent.

• Lecornu en équilibre entre soutien aux solutions de la DINUM et recours à la French tech
• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
  

En France, des discours, mais peu d’actes

Côté réseau social, Renaud Chaput, directeur technique de l’entreprise Mastodon, témoigne que le réseau social libre que soutient son entreprise « a vraiment un regain d’intérêt en Europe et ailleurs. La Commission européenne a son propre serveur Mastodon, travaille activement à l’agrandir. Les gouvernements allemands et néerlandais communiquent de plus en plus sur ce réseau, commencent à le soutenir financièrement également dans le but d’avoir leur communication publique sur une plateforme souveraine et qu’ils peuvent contrôler et qui n’est pas soumise à des intérêts américains ou chinois ».

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Mais il ajoute qu’« en France, on voit un début, il y a beaucoup de discours, même au plus haut niveau, sur le fait de créer nos propres plateformes européennes, de ne pas dépendre pour la communication publique de société étrangères. Par contre, je dois l’avouer, on voit assez peu d’actes ».

« La commande publique doit être un levier extrêmement important », estime quant à lui Étienne Gonnu de l’April, « pour aider à consolider les écosystèmes » du logiciel libre. Il ajoute même qu’« à partir du moment où une administration dans son appel d’offre choisit » de se priver d’une des quatre libertés incluses dans les licences libres, l’April considère qu’« elle doit le justifier »

• Fin de Windows 10 : la solution viendra-t-elle du libre ?

Loïc Dayot explique que « tous les textes sont là pour pouvoir commander du logiciel libre si on le souhaite », mais il appelle à ce que les normes de la commande publique soient complétées pour qu’elle deviennent plus « contraignantes ». Il témoigne qu’il existe « actuellement des commandes publiques qui permettent de ne pas respecter le référentiel général d’accessibilité, d’interopérabilité, de sécurité, de sobriété ».

La Sovereign Tech Agency allemande en modèle

Mais Renaud Chaput explique que le problème est surtout que « très peu de structures de logiciel libre que je connaisse sont capables de répondre à un appel d’offre d’un organisme public ». Et il pose la question : « comment peut-on recevoir du financement public ? ». Les intervenants ont insisté sur le fait que si le logiciel propriétaire peut facilement se glisser dans le système de la commande publique, c’est plus difficile pour l’open source car les logiciels ne sont pas vendus mais ce sont les services autour qui le sont.

Et tout le problème est de faire en sorte que les structures publiques qui utilisent le logiciel libre y contribuent notamment pour sa maintenance. « Un logiciel ça vit, un logiciel ça évolue, surtout maintenant avec toutes les dernières technologies et l’intérêt croissant. Il y a des failles de sécurité, il y a des bugs, il y a des corrections à faire », rappelle Renaud Chaput.

Le directeur technique de Mastodon pousse à aller dans le même sens que les Allemands qui ont créé une organisation « qui a de l’argent public et qui fait des contrats » : la Sovereign Tech Agency. Cette agence du gouvernement fédéral allemand « a pour mission de financer l’open source sur des projets d’infrastructures », explique-t-il.

« Ce ne sont pas des dons, précise-t-il avec lesquels les acteurs du libre ont l’habitude de fonctionner, ce sont des contrats qui vont contacter des projets open source et vont leur dire : si vous nous proposez des fonctionnalités que vous voulez développer, dites-nous combien ça coûte et vous construisez un commun numérique qui va servir à nos services qui utilisent votre logiciel, ça va servir à toute la communauté ».

Il témoigne que Mastodon a récemment obtenu 700 000 euros de cette façon pour améliorer le logiciel du réseau social. Il ajoute que cette agence a différents programmes de financement qui permettent soit de pouvoir financer un salarié ou une formation.

Renaud Chaput se félicite de la création de l’EDIC Digital Commons et qu’un des deux programmes principaux soit l’expérimentation d’un même projet que la Sovereign Tech Agency à l’échelle européenne et pousse à ce que la France aille dans le même sens.

Pirate, moi ?

Après plusieurs plaintes d’auteurs, cinq multinationales de l’édition (notamment scolaire et scientifique) attaquent Meta devant la justice américaine pour l’utilisation d’œuvres qu’elles éditent pour entrainer la famille de modèles d’IA générative Llama.

Meta fait face à une action en justice pour violation du copyright qui pèsera sans doute un peu plus lourd que celles qui sont arrivées devant les tribunaux jusque là concernant l’utilisation pour ses modèles d’IA générative d’œuvres copyrightées.

Ici, ce ne sont pas quelques auteurs qui attaquent le groupe dirigé par Mark Zuckerberg (qui est aussi visé personnellement par la plainte), mais cinq multinationales de l’édition : Hachette, Macmillan, McGraw Hill, Elsevier et Cengage. Scott Turow, auteur de thrillers à succès mais également éditorialiste et avocat, est aussi associé à la plainte.

• IA : Meta aurait entraîné son modèle Llama sur la bibliothèque clandestine LibGen

Meta encore accusé d’être passé par du téléchargement illégal

La plainte [PDF], qui a été déposée ce mardi devant la cour du district sud de New York, accuse Meta et donc Mark Zuckerberg d’avoir d’abord « illégalement téléchargé via torrent [torrented, en anglais] des millions de livres et articles de revues scientifiques copyrightés provenant de sites pirates notoires et de scrapes web non autorisés de virtuellement tout l’internet », puis de les avoir copiés « à maintes reprises pour entraîner le système d’IA générative de Meta, baptisé Llama, dont la valorisation s’élève à plusieurs milliards de dollars ».

« Non contents d’utiliser les œuvres protégées par le copyright extraites de Common Crawl, les accusés ont cherché d’autres sources de textes copyrightés pour entraîner leurs modèles Llama », expliquent les avocats des éditeurs.

« Au départ, les accusés avaient envisagé d’obtenir des licences auprès de grands éditeurs pour utiliser des œuvres littéraires. Ils ont finalement opté pour une autre solution : télécharger illégalement les œuvres des demandeurs et du groupe de plaignants à partir de sites de piratage notoires, notamment LibGen, Anna’s Archive, Sci-Hub, Sci-Mag et d’autres », ajoutent-ils. Chargeant le CEO du groupe, ils affirment que « Zuckerberg lui-même a personnellement autorisé et activement encouragé cette violation ».

Mais les éditeurs n’accusent pas seulement Meta de téléchargement. Comme dans d’autres cas concernant l’utilisation d’œuvres par des IA génératives, ils affirment que les modèles de Meta restituent aussi ces œuvres dans leurs réponses.

« Llama génère des reproductions verbatim ou quasi verbatim des œuvres protégées par le copyright » des plaignants, affirme la plainte. « Par exemple, lorsqu’on lui soumet deux courtes phrases tirées du manuel à succès de Cengage, Calculus: Early Transcendentals, 9e édition, de James Stewart, Llama se met à reproduire mot pour mot la suite de la section », ajoutent les avocats.

« L’IA est à l’origine d’innovations transformatrices, d’une productivité accrue et d’une plus grande créativité pour les particuliers et les entreprises, et les tribunaux ont à juste titre estimé que l’entraînement d’un modèle d’IA sur des contenus protégés par le copyright pouvait relever du fair use », a affirmé le porte-parole de Meta Dave Arnold, au New York Times, « nous nous défendrons avec vigueur dans cette affaire ».

• IA : le Bureau US du copyright se positionne sur le fair use, Trump vire sa responsable

La question du fair use n’est pas encore tranchée

Si l’année dernière, les entreprises d’IA avaient gagné plusieurs manches judiciaires, contrairement à ce qu’affirme Meta, le débat sur le fair use pour entrainer les IA n’avait pas été tranché et le sujet reste encore ouvert. À l’époque, le juge Vince Chhaabria avait expliqué qu’il doutait de l’utilisation du fair use concernant les manuels scolaires en expliquant qu’il fallait aussi prendre en compte des « préoccupations concernant le préjudice qu’elle [l’IA générative] peut infliger au marché des œuvres sur lesquelles elle est entraînée ».

Cette réflexion peut sans doute s’étendre aux nombreuses œuvres qui se trouvent dans les catalogues des cinq éditeurs plaignants. Hachette, McGraw Hill et Cengage font partie des plus gros éditeurs de manuels scolaires dans le monde, par exemple. Et, si Elsevier est devenue une filiale d’un des plus grands courtiers de données du monde et fait maintenant d’importants bénéfices en devenant un data broker de l’activité scientifique, elle reste un des plus importants éditeurs scientifiques mondiaux.

• Elsevier récupère le plus de données possible sur les étudiants et chercheurs américains

La plainte demande la destruction de toutes les copies d’œuvres copyrightées utilisées par Meta pour l’entrainement de ses modèles après que l’entreprise en ait fait la liste exhaustive, qu’elle « cesse toute activité illégale » et « toute autre mesure que la Cour jugera appropriée ».

Interrogée par le New York Times, la responsable de l’Association of American Publishers qui a rendu publique cette plainte, Maria A. Pallante, affirme : « Nous nous concentrons sur la création d’un paysage de l’IA bien plus viable — un environnement transparent, équitable et participatif, doté de garde-fous pour protéger les auteurs et les éditeurs contre tout préjudice. Les préjudices sont déjà évidents ».

C'est encore nous !

Plus d’un an après avoir essayé de l’introduire dans la proposition de loi Narcotrafic, la délégation parlementaire au renseignement relance le débat sur l’introduction de portes dérobées dans les messageries chiffrées. Les parlementaires évoquent « un accès ciblé à certains contenus chiffrés » en passant par l’échelle européenne mais sans exclure une initiative législative nationale.

La délégation parlementaire au renseignement insiste : « l’impossibilité d’accéder au contenu des communications chiffrées constitue un obstacle majeur pour l’activité de la justice et des services de renseignement ».

Pourtant, l’année dernière l’article 8 ter de la proposition de loi Narcotrafic, qui était critiquée pour l’introduction d’une porte dérobée obligatoire dans les messageries chiffrées, avait finalement été retiré. Mais les membres de la délégation parlementaire au renseignement n’ont pas renoncé.

D’ailleurs, interrogé par Public Sénat, Cédric Perrin, sénateur LR et membre de la délégation, défend toujours l’article en question : « L’article 8 ter que j’avais fait adopter ne visait pas du tout à obtenir des clés de chiffrement mais à introduire dans une conversation un tiers fantôme avant le chiffrement ».

La délégation parlementaire au renseignement (DPR) continue de plaider pour ce qu’elle appelle maintenant « un accès ciblé au contenu des messageries chiffrées » dans une communication [PDF] publiée ce lundi 4 mai en marge de la publication de son rapport annuel.

Pour rappel, la DPR regroupe 8 membres du parlement : les sénatrices et sénateurs Muriel Jourda (LR), Agnès Canayer (LR), Gisèle Jourda (PS) et Cédric Perrin (LR) ainsi que les députés et députées Florent Boudié (Ensemble), Jean-Michel Jacques (Ensemble), Caroline Colombier (RN) et Aurélien Rousseau (PS).

Le dispositif de recueil des données informatiques, trop coûteux et complexe

Elle y déplore que « l’impossibilité d’accéder au contenu des communications chiffrées » dans les messageries chiffrées comme Signal ou Whatsapp « constitue un obstacle majeur pour l’activité de la justice et des services de renseignement ».

Recherche précipitée

Une méta-analyse sur les effets de ChatGPT sur les élèves qui soutenait « un impact positif considérable » a été rétractée. Des chercheurs ont rapidement pointé des problèmes méthodologiques importants mais la revue n’a réagi qu’un an après.

En mai 2025, la revue Humanities and social sciences communications publiait une méta-analyse effectuée par les chercheurs chinois Jin Wang et Wenxiang Fan sur les effets de l’utilisation du chatbot d’OpenAI sur l’apprentissage à l’école qui affirmait que celui-ci avait « un impact positif considérable sur l’amélioration des résultats scolaires ». Près d’un an après avoir cautionné le sérieux de l’étude en l’ayant publiée, la revue, éditée par le géant Springer Nature, a décidé de la rétracter.

« L’éditeur [membre de l’équipe qui gère la revue] a décidé de rétracter cet article en raison de réserves concernant des incohérences dans la méta-analyse. Ces problèmes remettent en cause la confiance que l’éditeur peut accorder à la validité de l’analyse et aux conclusions qui en découlent », explique la note de rétractation publiée le 22 avril dernier. « Les auteurs n’ont pas répondu aux courriers concernant cette rétractation », ajoute la revue.

Un article cité déjà 500 fois

Entre-temps, selon Google Scholar, la méta-analyse a été citée plus de 500 fois dans des travaux scientifiques (relus par les pairs ou pas). Si ces travaux reposent de façon importante sur cette méta-analyse, les auteurs devront aussi se poser des questions sur la solidité de leurs travaux. Par exemple, elle était encore citée dans un article publié en février dernier dans la revue Scientific Reports, éditée aussi par Springer Nature.

• Recherche scientifique : un outil pour éviter les « colosses aux pieds d’argile »

Pourtant des critiques sont vite apparues. Ainsi, on pouvait trouver un commentaire sur la plateforme Pubpeer (qui permet de relever d’éventuels problèmes dans des articles déjà parus dans des revues scientifiques) dès juillet dernier.

Des chercheurs norvégiens ont sonné l’alarme

« Pour être tout à fait clair : Notepad++ n’a jamais sorti de version pour macOS », explique, sur son site, Don Ho, le mainteneur de Notepad++ qui a créé le projet en 2003.

Depuis le début, Notepad++ n’est officiellement distribué que sous forme d’une version pour Windows. Un fork existe pour Linux mais il est diffusé sous le nom de Notepadqq. L’information d’un fork pour Mac commençait à circuler depuis quelques jours, renvoyant vers l’url Notepad-plus-plus-mac.org.

Mais l’utilisation du même nom pour le désigner a fait réagir Don Ho. Si le code de l’éditeur de texte est libre (sous licence GPL), Don Ho affirme que le propriétaire du projet pour Mac utilise la marque Notepad++(le nom) sans autorisation.

Il s’en était déjà ému dans une discussion sur le GitHub du projet en publiant la réponse qu’il avait faite au créateur du nouveau projet pour Mac, Andrey Letov. « C’est une bonne chose que vous essayiez de porter Notepad++ sur macOS ; cela pourrait aider de nombreux utilisateurs de Mac. Cependant, non seulement moi, mais aussi beaucoup d’autres ( https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17982#issuecomment - 4345058243) trouvons que votre site web et votre dépôt GitHub sont trompeurs, car ils utilisent tous deux la marque Notepad++(https://data.inpi.fr/marques/FR5133202 ) et le logo caméléon », lui expliquait-il en ajoutant que le problème n’était pas le portage en soi mais l’utilisation du nom officiel.

Depuis peu, le site Notepad-plus-plus-mac.org qui portait le projet renvoie vers un nouveau site web nommé NextPad.org, domaine créé ce lundi 4 mai. Et le projet a été entièrement renommé « Nextpad++ for Mac » sur le site.

• Notepad++ revient sur le piratage de son module de mise à jour, désormais sécurisé

Moins de juniors = moins de futurs seniors

Aux États-Unis comme en France, les institutions comme l’Insee ou la Fed constatent une stagnation, voire une baisse, de l’emploi dans les secteurs liés à l’informatique, ceci corrélé à l’arrivée en masse des outils d’IA générative.

Après un peu plus de trois ans d’IA générative, les premières analyses chiffrées du marché du travail dans l’informatique sont arrivées. Une corrélation commence à se dessiner franchement entre la morosité de l’emploi dans le secteur et l’arrivée des outils comme Claude Code, Codex et autres Cursor.

Une baisse de l’emploi chez les devs aux États-Unis

Ainsi, dans une note de conjoncture, l’Insee explique que « l’emploi salarié dans le secteur des activités spécialisées, scientifiques et techniques, qui représente 8 % de l’emploi salarié aux États-Unis, décélère depuis 2023 et baisse en 2025 :- 0,2 % en 2025, après + 0,3 % en 2024 et + 2,5 % en 2023. Dans le secteur plus spécifique des services de conception de systèmes informatiques et services connexes, qui représente 2 % de l’emploi salarié, l’emploi recule même depuis deux ans (- 1,6 % en 2025, après - 1,2 % en 2024) ».

L’organisme français de la statistique ajoute que, dans le même temps, « la valeur ajoutée rapportée à l’emploi privé suggère une amélioration récente de la productivité apparente, notamment en 2025, dans les secteurs des activités spécialisées, scientifiques et techniques et des services de conception de systèmes informatiques et services connexes », ceci toujours aux États-Unis.

Moins d’emplois de développeurs, mais pas forcément moins d’emplois pour les développeurs

Un rapport de la Réserve fédérale américaine (Fed) publié aussi en mars dernier va dans le même sens. La Fed n’a pas étudié le problème de la même façon. Elle a simulé ce qu’aurait pu être l’évolution du marché de l’emploi des développeurs aux États-Unis si l’IA générative n’avait pas émergé, en analysant le marché de l’emploi dans les industries qui ont traditionnellement une demande intensive en développeurs et dans les autres. « Si l’on considère la période d’environ trois ans écoulée depuis novembre 2022 et en prenant comme référence les 5,735 millions d’emplois de développeurs existants, cela signifie qu’environ 500 000 emplois de développeurs supplémentaires auraient été créés si l’on n’avait pas eu recours à grande échelle aux modèles de langage de grande capacité (LLM) », expliquent les chercheurs de l’institution [PDF].

Plus en détail, on voit que « l’écart ne se creuse de manière significative qu’au milieu de l’année 2024 » en regardant le premier graphique ci-dessous.

Les deux graphiques suivants permettent de s’apercevoir que c’est dans les industries où la demande en développeurs est traditionnellement intensive que celle-ci stagne au lieu d’augmenter :

Ils ajoutent cependant une remarque : « pour plusieurs raisons, nous n’interprétons pas ces résultats comme une preuve que l’IA a supprimé 500 000 emplois dans l’économie ». Effectivement, les développeurs peuvent avoir pris des postes qui ne sont pas étiquetés comme tels. Et ils expliquent que « l’IA pourrait modifier la composition des tâches des professions, ainsi un potentiel développeur d’aujourd’hui pourrait se diriger vers un poste de management ou une autre profession qui utilise désormais davantage ses compétences de développeur ».

Pour les chercheurs de la Fed, l’industrie de l’IA générative n’est pas « encore » un possible facteur de retournement de la situation de l’emploi chez les développeurs aux États-Unis. « Au total, les effectifs d’OpenAI, d’Anthropic et de Google DeepMind sont probablement inférieurs à 15 000 personnes, et bon nombre de ces employés ne sont pas des développeurs. Même en multipliant ce chiffre par six pour tenir compte des start-ups et des équipes d’IA chez Meta, Microsoft et ailleurs, on atteindrait toujours moins de 2 % des développeurs américains », explique leur rapport.

Des observations similaires sur le marché français

Du côté français, l’Insee estime qu’une « lecture analogue peut être menée » : « depuis 2023, l’emploi baisse dans ce secteur, tandis que la valeur ajoutée conserve une trajectoire sans inflexion marquée ».

En allant un peu plus dans le détail, il explique que ce sont plutôt les profils juniors qui seraient touchés. « Les ajustements liés à l’IA pourraient, à court terme, se concentrer moins sur l’emploi total que sur la structure des embauches, en particulier sur les positions d’entrée dans certains métiers (fonctions support, administratif, conseil, certaines tâches de développement et d’analyse), et pénaliser fortement les jeunes », explique l’organisme.

Ainsi, on peut voir qu’en France, au quatrième trimestre 2025, l’emploi des jeunes salariés (15 - 29 ans, hors alternants) est en baisse de 7,4 % sur un an dans les activités informatiques :

Quand on regarde les chiffres sur 2 ans, entre 2023 et 2025, l’emploi s’est contracté de 3 % dans les activités informatiques et services d’information, mais ce sont les juniors qui en payent le prix. Ainsi, alors que les 30 - 54 ans et les 55 ans et plus voient les offres d’emplois toujours augmenter sensiblement, « l’emploi salarié des 15 - 29 ans (hors alternants) recule en glissement annuel de 7,4 % dans les activités informatiques », explique l’Insee :

De son côté, le chercheur de l’université de Boston, James Bessen, s’appuie sur l’augmentation globale de l’emploi dans le secteur aux États-Unis pour souligner que la « job-pocalypse » dont la peur s’était répandue suite à un billet de blog viral de Matt Schumer n’a pas eu lieu. « Étonnamment, cependant, après trois ans d’utilisation de l’IA, les emplois dans le secteur du développement logiciel ont continué à progresser de manière soutenue, atteignant des niveaux d’emploi records : 2,5 millions en février ».

InterActive Corp (IAC) vient officiellement de fermer le site de son moteur de recherche Ask.com qui existait depuis 1997.

« Alors que IAC poursuit sa réorientation stratégique, nous avons pris la décision de mettre fin à nos activités dans le domaine de la recherche, dont fait partie Ask.com », affirme l’entreprise sur la page d’accueil du site.

Le site qui laissait les utilisateurs poser leurs questions dans un langage naturel s’est fait rattraper, depuis l’arrivée de ChatGPT, par les chatbots boostés à l’IA générative. Apparu sous le nom de Ask Jeeves, utilisant le prénom du majordome à qui l’internaute pouvait poser toutes sortes de questions, le moteur de recherche a été renommé ensuite Ask en 2006 après avoir été racheté par InterActive Corp.

« Nous sommes profondément reconnaissants envers les brillants ingénieurs, concepteurs et équipes qui ont développé et soutenu Ask au fil des décennies. Et à vous, les millions d’utilisateurs qui vous êtes tournés vers nous pour trouver des réponses dans un monde en constante évolution, merci pour votre curiosité sans limite, votre fidélité et votre confiance », affirme l’entreprise.

Les pages des réponses aux questions des utilisateurs (par exemple ici ou là) affichent maintenant une erreur 404.

Le groupe InterActive Corp, qui possède encore de nombreux sites à travers sa filiale People Inc ou encore le titre de presse The Daily Beast, avait arrêté le financement du site College Humour en 2020 et en 2021 avait lancé en bourse la plateforme de streaming Vimeo.

• Vimeo touchée à son tour par la vague d’attaques liée à Anodot

Tout ça pour ça ?

Dans une décision qui marque peut-être la fin d’un dossier de 17 ans, le Conseil d’État vient de planter des clous du cercueil de la « réponse graduée », dispositif mis en place par la fameuse Hadopi et opéré depuis 2021 par l’Arcom.

Le Conseil d’État vient de répondre à une question vieille de 17 ans : oui, dans sa version actuelle, la « réponse graduée » telle que mise en place à l’époque de la Hadopi et reprise par l’Arcom depuis 2021 est illégale. « Le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen », explique l’institution judiciaire dans un communiqué.

Il donne ainsi finalement (en partie) raison à la Quadrature du Net, FDN, Franciliens.net et la FFDN qui l’avaient saisi pour demander l’annulation du décret du 5 mars 2010 qui permettait à la Hadopi puis à l’Arcom de mettre le dispositif en place.

Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion. En 2009, lors de la fameuse bataille de la loi Hadopi, le gouvernement, mené par François Fillon à l’époque, a imposé à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de partage d’œuvres protégées. Cette obligation était accompagnée d’un mécanisme d’avertissements qui pouvait se solder théoriquement à la fin par une contravention de 1 500 euros.

Comme nous le précisons ci-dessus, le Conseil d’État ne donne pas totalement raison aux quatre associations qui auraient voulu que l’institution condamne ce dispositif « sur le principe ».

Elles avaient obtenu en 2020 de la part du Conseil constitutionnel la censure d’un bout de la loi Hadopi qui ne changeait pas grand-chose au processus. Une victoire à la Pyrrhus pour les requérants, expliquions-nous à l’époque.

Un dispositif non conforme au droit européen

Mais la procédure a continué et, en 2021, le Conseil d’État a décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

• Riposte européenne contre la réponse graduée

Et c’est finalement sur l’avis de la CJUE que le Conseil d’État s’appuie maintenant pour considérer que le traitement de données à caractère personnel mis en place pour la troisième étape de la « réponse graduée » (la transmission au parquet) par le décret est problématique.

Selon le rapport du Conseil d’État, le dispositif pourrait permettre à l’autorité publique qui le gère (la Hadopi puis l’Arcom) d’être aussi « renseignée sur des aspects, y compris sensibles, de la vie privée des personnes en cause » en mettant en « relation [les] données d’identité, de manière itérative pour une même personne, avec des informations, même limitées, portant sur le contenu des œuvres illégalement mises à disposition sur Internet ». « Un tel accès doit être encadré par la réglementation nationale », estime l’institution.

Notamment, le Conseil d’État explique que « la Cour de justice de l’Union européenne dit pour droit que, lorsque cette autorité publique a déjà mis en relation à deux reprises les données d’identité d’une même personne avec des informations relatives au contenu d’œuvres illégalement mises à disposition sur Internet, elle ne peut procéder pour une troisième fois à cette mise en relation sans y avoir été autorisée par une juridiction ou une entité administrative indépendante ». Ce qui n’est pas prévu par le décret.

L’institution remarque aussi que le décret n’impose pas de « règles claires et précises qui garantissent une séparation effectivement étanche des données conservées par les fournisseurs de services de communications électroniques ».

Ainsi, « le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne », résume le Conseil d’État dans son communiqué. Et l’institution ordonne au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.

La mort du dispositif ?

Est-ce pour autant la mort complète du dispositif ? Pour la Quadrature du Net, « il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé ».

Mais l’Arcom pourrait remettre le couvert pour faire revivre le dispositif. « La Cour de justice de l’Union a validé le principe du dispositif de la réponse graduée, ce qui est objectivement une bonne nouvelle », affirme-t-elle à l’Informé, en ajoutant qu’« il y a désormais un débat de modalités, qui peut être complexe ». La nuance est importante : le principe est validé, pas sa mise en place. Elle doit concerter les sociétés d’ayants droit le 6 mai puis les fournisseurs d’accès.

Selon nos confrères, l’autorité envisagerait de mettre une première rustine, le temps que le gouvernement concocte un nouveau texte en réclamant aux FAI une déclaration sur l’honneur que les données qu’ils traitent sont bien étanches les unes par rapport aux autres. À voir si le Conseil d’État acceptera cette solution transitoire. Celui-ci explique dans son communiqué que, « dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE ».

Ensuite, le texte pourrait être modifié par le législateur ou le ministre de la Culture pour que l’Arcom ne puisse plus avoir accès aux informations sur les œuvres téléchargées et ainsi plus déduire d’informations sensibles sur la personne mise en cause. L’autorité pourrait aussi décider de maintenir seulement les deux premières étapes de la « réponse graduée », considérée comme la « phase pédagogique ».

Interrogé par Next, l’avocat spécialisé dans le numérique Alexandre Archambault imagine aussi que l’identification des pirates puisse basculer au civil avec la qualification de « délinquance grave » comme pour le blocage des sites web de streaming contre les FAI, les moteurs de recherche et désormais les VPN.

• Formule 1, MotoGP : Canal+ fait feu de tout bois pour faire bloquer le streaming pirate

Une optimisation trop rapide

Depuis 2017, une vulnérabilité dans le module cryptographique authencesn du noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.

C’est l’entreprise de sécurité Xint.io qui a révélé, ce mercredi 29 avril, cette vulnérabilité (CVE-2026-31431, d’une sévérité élevée de 7,8/10) permettant une élévation des privilèges en local.

Le score n’est « que » de 7,8 car le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine, ici un compte utilisateur. La même avec une attaque depuis le réseau (AV:N) se serait approchée de 10.

N’importe qui peut devenir root

Appelée « Copy Fail », celle-ci permet (sans accès au réseau, sans utiliser de fonctionnalités de débogage du noyau et sans avoir installé quoi que ce soit avant) à toute personne possédant un simple compte utilisateur sur quasiment n’importe quelle distribution Linux d’obtenir les privilèges root et donc d’y faire tout ce qu’elle veut.

Comme l’explique l’entreprise sur le site dédié à la faille, « un utilisateur local sans privilèges peut écrire quatre octets contrôlés dans le page cache de n’importe quel fichier accessible en lecture sur un système Linux, et s’en servir pour obtenir les privilèges root ».

Les responsables des distributions ont commencé à mettre à jour le paquet de leur noyau Linux pour bloquer l’utilisation d’une faille de sécurité qui se situait directement dans le noyau. Le danger concerne les systèmes partagés entre plusieurs utilisateurs, les clusters de conteneurs (Kubernetes, Docker…), etc. Un utilisateur lambda pourrait ainsi accéder aux données des autres utilisateurs.

Une faille dans le module cryptographique authencesn du noyau

Xint.io explique que cette faille a été découverte par le chercheur de l’entreprise Theori, Taeyang Lee, en étant assisté par l’IA de son outil Xint Code alors qu’il étudiait la manière dont le sous-système de cryptographie de Linux interagit avec les données stockées dans le page cache. C’est un système de cache qui permet au noyau d’avoir un accès plus rapide à certaines informations.

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

De fait, c’est un bug dans le module cryptographique authencesn du noyau Linux qui est en cause, accessible via l’interface de socket AF_ALG, en combinaison avec l’appel système splice(). « Un utilisateur peut ouvrir un socket, le lier à n’importe quel modèle AEAD (chiffrement authentifié avec données associées) et lancer le chiffrement ou le déchiffrement de données arbitraires. Aucun privilège n’est requis », explique Xint. De son côté, la fonction splice() transfère des données entre les descripteurs de fichiers et les pipes sans les copier, en renvoyant simplement les page caches par référence.

En utilisant un script Python très court (732 octets) qui ne fait appel qu’à des bibliothèques standard et ciblant le page cache du noyau, il est possible d’accéder au binaire qui permet d’être superutilisateur : /usr/bin/su. La modification se fait en mémoire, pas directement sur le périphérique de stockage.

Une ligne de commande suffit…

Nous l’avons testé sur un de nos VPS avec Ubuntu 24.04 LTS, nous sommes bien passés en root avec une seule ligne de commande en utilisant le script Python :

Les chercheurs ont constaté la faille sur les distributions Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16 et expliquent logiquement que « les autres distributions utilisant les noyaux concernés — Debian, Arch, Fedora, Rocky, Alma, Oracle, ainsi que les distributions embarquées — présentent le même comportement ».

Un patch pour le noyau a déjà été proposé et accepté. Celui-ci supprime une optimisation des opérations AEAD qui avait été ajoutée en 2017. « Mettez à jour le paquet du noyau de votre distribution avec une version incluant le commit a664bf3d603d de la branche principale », expliquent les chercheurs, « la plupart des principales distributions proposent désormais ce correctif », comme Debian (Forky et Sid), Ubuntu, par exemple mais la mise en place est encore en cours chez Red Hat et Suse.

Plus de sites genAI, mais pas plus de conneries proportionnellement

Selon un rapport d’Internet Archive, le contenu de 35 % des sites internet nouvellement créés en mai 2025 était soit complètement généré par intelligence artificielle, soit son édition était grandement assistée par une IA. Cela contribuerait à une baisse de la diversité sémantique et à une augmentation de sentiments très positifs, mais pas forcément à une augmentation de fausses informations.

Le web serait-il devenu un lieu où des machines parlent à des machines ? C’est l’idée qu’ont défendue certains chercheurs dès le début de l’année dernière en relançant la « théorie de l’Internet mort », formulée en 2021.

Le responsable de la Wayback Machine chez Internet Archive, Mark Graham, signe avec un chercheur maison et deux doctorants un rapport (.pdf) qui essaye de quantifier le flux de contenus générés par IA et ses conséquences avec les données récoltées par son outil. « Nous constatons qu’à la mi-2025, environ 35 % des sites web nouvellement publiés étaient classés comme générés par IA ou créés avec l’aide de l’IA, contre zéro avant le lancement de ChatGPT fin 2022 », expliquent-ils.

Pour arriver à cette estimation, l’équipe a extrait le texte des sites nouvellement créés détectés et archivés au sein de la Wayback Machine. Puis, après avoir testé différents outils de détection (Binoculars, Desklib, DivEye et l’API commerciale de Pangram v3), ils ont choisi de s’appuyer sur cette dernière, expliquant que c’était la meilleure solution, notamment pour son taux de détection des textes anglophones comme ceux dans d’autres langues et sa capacité à traiter du HTML.

35 % des nouveaux sites sont remplis de contenus générés par IA

Leurs résultats restent donc très fortement liés à cet outil de détection qui annonce sur son site web une précision de détection de 99,98 % et a mis en ligne un rapport technique sur sa méthode sans que celle-ci ne soit évaluée par des chercheurs indépendants.

Mais selon ces tests sur les archives du web récoltées par Internet Archive, le contenu des nouveaux sites internet est de plus en plus généré par IA ou son édition est grandement assistée par une IA : 35 % l’étaient en mai 2025 :

Ils ont aussi voulu vérifier plusieurs hypothèses craintes suite à la prolifération de ce genre de contenus sur internet qui pourrait « contribuer à une dégradation de la diversité sémantique et stylistique, de l’exactitude des faits, ainsi qu’à d’autres évolutions négatives ».

En faisant un petit sondage, ils se sont aperçus que 75 % des gens avaient peur, par exemple, d’être « de plus en plus souvent confrontés à des informations factuellement erronées et à des hallucinations », et que 83 % d’entre eux pensaient que le style des textes allait s’homogénéiser.

Ils ont ensuite vérifié ces hypothèses sur les données d’Internet Archive. Ils ont, par exemple, payé des fact-checkers pour voir si les informations incorrectes dans les données d’Internet Archive augmentaient. Mais ils n’ont pas trouvé de corrélation statistiquement significative. Pour le dire autrement, cette augmentation du nombre de nouveaux sites avec des contenus genAI ne fait pas augmenter le nombre de fausses informations.

Une similarité sémantique et une augmentation de contenus positifs détectées

En faisant d’autres tests, ils se sont aussi aperçus que l’augmentation des contenus générés par IA dans les données d’Internet Archive n’augmentait pas non plus mécaniquement l’homogénéité stylistique.

« Plutôt qu’une explosion de fausses informations, l’empreinte de la prolifération de l’IA sur Internet se manifeste principalement par une contraction sémantique et un glissement artificiel vers la positivité  », expliquent-ils.

En effet, la similarité sémantique qu’ils ont mesurée avec Pangram v3 augmente de façon corrélée à la prolifération de contenus générés par IA :

Et on retrouve la même corrélation avec le style plus positif des contenus mesuré ici aussi avec Pangram v3 :

« Le résultat le plus surprenant a été que notre hypothèse de la « dégradation de la vérité » n’a pas été confirmée », estime Jonas Doležal, l’un des doctorants de l’Imperial College London qui a participé à l’étude, interrogé par nos confrères de 404 Media.

« Il convient de noter que nous recherchions spécifiquement une augmentation des déclarations vérifiables comme étant fausses, ce que nous n’avons pas trouvé. Mais il se pourrait tout de même que l’IA augmente discrètement le volume des affirmations invérifiables, celles qui ne peuvent être vérifiées à l’aide des outils et des infrastructures de vérification des faits existants. Ou peut-être simplement qu’Internet n’était pas, dès le départ, un espace particulièrement attaché à la vérité », ajoute-t-il quand même.

Après avoir mis la pression sur Anthropic pour pouvoir utiliser comme il veut ses modèles jusqu’à l’avoir désignée « fournisseur à risque pour la sécurité nationale », le Pentagone s’est tourné vers les concurrents de la startup. D’abord OpenAI en mars, le Pentagone est maintenant en discussion avec Google.

Cameron Stanley, le responsable numérique du Pentagone a confirmé être en discussion avec l’entreprise pour l’utilisation de Gemini au sein du département de la Défense états-unien. « Il n’est jamais bon de trop dépendre d’un seul fournisseur », a-t-il expliqué à CNBC, « on le constate particulièrement dans le domaine des logiciels ».

La justice a récemment refusé l’appel effectué par Anthropic concernant cette qualification qui l’empêche de travailler avec le département de la défense.

Cameron Stanley a affirmé à CNBC qu’utiliser Gemini permettait au Pentagone d’économiser « littéralement des milliers d’heures de travail chaque semaine ». Selon Google, l’entreprise fait partie d’un « vaste consortium » fournissant des services et des infrastructures « au service de la sécurité nationale ».

Chez OpenAI, l’accord avait provoqué des remous en interne jusqu’à la démission de la responsable de la branche robotique d’OpenAI, Caitlin Kalinowski. Selon le Washington Post, l’accord avec le Pentagone fait aussi réagir au sein de Google. Plus de 600 employés, dont une bonne partie sont au DeepMind AI lab qui développe Gemini, ont signé une lettre adressée à Sundar Pichai, le CEO de l’entreprise.

« Nous voulons que l’IA profite à l’humanité ; nous ne voulons pas qu’elle soit utilisée à des fins inhumaines ou extrêmement néfastes. Cela inclut les armes autonomes létales et la surveillance de masse, mais va bien au-delà », écrivent-ils. « La seule façon de garantir que Google ne soit pas associé à de tels préjudices est de refuser tout contrat classifié. Sinon, de telles utilisations pourraient avoir lieu à notre insu et sans que nous ayons les moyens de les empêcher ».

« Des vies humaines sont déjà perdues et les libertés civiles sont menacées, tant dans notre pays qu’à l’étranger, en raison d’une utilisation abusive de la technologie que nous contribuons pour l’essentiel à mettre au point », ajoutent-ils.

L’année dernière, la Commission européenne avait ouvert deux enquêtes sur la protection des mineurs sur Facebook et Instagram. Concernant l’accès à ses réseaux par les moins de 13 ans, elle vient de conclure « à titre préliminaire » que ces plateformes « enfreignaient la législation sur les services numériques (DSA) pour ne pas avoir identifié, évalué et atténué avec diligence les risques liés à l’accès des mineurs de moins de 13 ans à leurs services ».

La Commission européenne considère notamment que les mesures mises en place par Meta pour faire respecter ses propres conditions générales fixant l’âge minimum à 13 ans ne sont pas efficaces. « Par exemple, lors de la création d’un compte, les mineurs de moins de 13 ans peuvent saisir une fausse date de naissance qui leur permet de faire plus que leur âge, sans aucun contrôle efficace en place pour vérifier l’exactitude de la date de naissance autodéclarée », explique la Commission.

Elle explique aussi que l’outil fourni par Meta pour signaler les mineurs de moins de 13 ans sur la plate-forme est « difficile à utiliser et peu efficace, nécessitant jusqu’à sept clics pour accéder au formulaire de signalement, qui n’est pas automatiquement prérempli avec les informations de l’utilisateur ». Elle ajoute que même lorsqu’il y a un signalement, Meta ne met pas en place de suivi approprié « et le mineur signalé peut simplement continuer à utiliser le service sans aucun type de contrôle ».

Elle estime que l’évaluation effectuée par Meta des risques que des mineurs de moins de 13 ans accèdent à ses plateformes est « incomplète et arbitraire ». Selon la Commission, cette évaluation contredit « de nombreux éléments de preuve provenant de toute l’Union européenne indiquant qu’environ 10 à 12 % des enfants de moins de 13 ans accèdent à Instagram et/ou Facebook » et ignore les preuves scientifiques « facilement disponibles » qui montrent que les jeunes enfants sont plus vulnérables aux problèmes que causent des plateformes comme Instagram et Facebook.

« À ce stade », l’institution européenne considère que les deux plateformes de Meta doivent modifier cette méthode d’évaluation des risques et les évaluer concrètement, mais aussi renforcer les mesures de prévention, de détection et de retrait des mineurs de moins de 13 ans de leur service.

La Commission attend maintenant les réponses de Meta à ces conclusions pour clore définitivement son enquête. Elle ajoute que si ces conclusions sont confirmées, elle pourra infliger une amende de 6 % du chiffre d’affaires annuel mondial de Meta.

À Reuters, Meta a affirmé avoir mis en place des mesures pour détecter et supprimer les comptes d’enfants de moins de 13 ans et qu’elle en dévoilera d’autres la semaine prochaine. « La vérification de l’âge est un défi à l’échelle du secteur, qui nécessite une solution à l’échelle du secteur, et nous continuerons à collaborer de manière constructive avec la Commission européenne sur cette question importante », précise un porte-parole de l’entreprise à l’agence de presse.