Sollicitée par une initiative citoyenne, la Cour des comptes publie son rapport de contrôle de la gestion de la CNIL. Principal point d’attention : la politique de gestion des ressources humaines de l’autorité.
De 8 360 en 2017, le nombre de plaintes déposées par des particuliers auprès de la Commission nationale de l’informatique et des libertés (CNIL) est passé à 17 772 en 2024, soit une augmentation de 113 %. Sur la même période, l’autorité administrative indépendante est passée de 88 contrôles effectués en 2017 à 390 en 2024 (soit + 343 %), ce qui lui a permis de recouvrer un total de 649 millions d’euros d’amendes sur la période.
Sollicitée par une initiative citoyenne, la Cour des comptes remet ce 4 juin le rapport de son contrôle des comptes et de la gestion de la CNIL pour les années 2017 à 2025. Découpé en trois axes, l’un dédié aux évolutions concrètes des missions de la CNIL, le suivant aux règles d’indépendance et d’impartialité de l’autorité, le troisième à sa gestion budgétaire, le rapport dresse un constat globalement positif.
Il alerte néanmoins sur le manque de recouvrement des plus petites amendes, et incite la CNIL à faire évoluer sa politique de gestion des ressources humaines. Actuellement très favorable, notamment pour soutenir l’expansion des activités d’accompagnement et de contrôle de l’institution, avec des embauches en CDI et des augmentations quasi-automatiques, pour tout le monde, cette dernière pourrait devenir problématique alors que les missions de l’autorité sont vouées à s’étendre à nouveau dans le cadre de l’application du règlement européen sur l’intelligence artificielle.
Évolution des missions
Depuis 2022, la Cour des comptes ouvre régulièrement des campagnes pour permettre aux Français de lui remonter les sujets sur lesquels ils estiment nécessaire d’étudier le « bon usage de l’argent public ». Ouverte le 11 mai, la campagne 2026 court jusqu’au 22 juin. La Cour des comptes étudie ensuite les sujets qui lui sont soumis pour mener certains de ses travaux.
Il reste 82% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
La Commission des affaires culturelles de l’Assemblée nationale a adopté mardi 2 juin la proposition de loi qui prévoit la présomption d’utilisation des contenus culturels par les acteurs de l’IA au nom de la défense du droit d’auteur. Dénoncé par ses opposants comme un bâton tendu dans les roues du champion national Mistral, le texte sera débattu en séance publique le 11 juin prochain.
Le Sénat a voté le 8 avril dernier à l’unanimité la proposition de loi « relative à l’instauration d’une présomption d’utilisation des contenus culturels par les fournisseurs d’intelligence artificielle ». Le texte, réclamé à cor et à cri par les sociétés de gestion de droits françaises, dispose au travers d’un article unique un principe simple : l’inversion de la charge de la preuve concernant l’utilisation de contenus protégés par le droit d’auteur ou un droit voisin par les éditeurs de systèmes d’intelligence artificielle.
Dit autrement : aujourd’hui, il appartient à l’éditeur ou à l’auteur de démontrer qu’un éditeur d’IA a utilisé son œuvre pour l’entraînement de ses modèles. Demain, si la loi est adoptée, cette utilisation est présumée « dès lors qu’un indice afférent au développement ou au déploiement de ce système ou au résultat généré par celui-ci rend vraisemblable cette utilisation ». La mesure contraindrait, selon les défenseurs du texte, les grands noms de l’IA à passer des accords financiers avec les sociétés d’auteur pour se prémunir d’éventuelles poursuites, et contribuerait donc in fine à rémunérer la création culturelle.
Inversion de la charge de la preuve confirmée en Commission
« Ce ne sera plus au créateur de prouver le moissonnage de son œuvre, mais au fournisseur d’IA de prouver qu’il ne l’a pas utilisée. Notre objectif n’est pas de multiplier les procès, mais d’inciter les acteurs de l’IA à abandonner certains comportements de prédation pour un modèle fondé sur la transparence et la négociation. Aujourd’hui, les créateurs ne négocient pas ; ils subissent », faisait valoir en séance la sénatrice Agnès Evren (LR), auteure de la proposition de loi.
Après le Sénat, le texte a fait ses débuts, mardi 2 juin, à l’Assemblée nationale, dans le cadre d’un vote organisé à l’échelle de la commission des affaires culturelles et de l’éducation. Les débats s’y sont révélés relativement consensuels, la plupart des groupes représentés estimant, à l’exception du RN, que le texte défendait efficacement le droit d’auteur face au pillage orchestré par les acteurs de l’IA, sans pour autant obérer les chances de développement économique du secteur.
Le député Éric Bothorel (Côtes-d’Armor, Ensemble pour la République) a tout de même défendu un argument demandant la suppression de l’article unique, expliquant que ce dernier allait créer des risques juridiques, et qu’il serait préférable d’opter pour une obligation de transparence inspirée de ce que contient déjà l’article 34 du DSA. Un autre amendement, déposé par Prisca Thevenot (Renaissance, ex porte-parole du gouvernement Attal) proposait d’amoindrir la portée du texte en réduisant le seuil de déclenchement de la présomption d’utilisation. Les deux ont été rejetés, comme les 14 autres déposés, ce qui signifie que l’Assemblée nationale étudiera l’article unique de la proposition de loi tel qu’il est sorti des débats au Sénat. Elle a été placée à l’ordre du jour de la séance publique du 11 juin, et les débats s’y révèleront peut-être moins policés qu’en commission.
L’article unique de la proposition de loi « relative à l’instauration d’une présomption d’utilisation des contenus culturels par les fournisseurs d’intelligence artificielle » tel que voté par le Sénat
Il faut sauver le soldat Mistral
Certains ont en effet déjà annoncé leur intention de lutter contre l’adoption du texte au nom de la défense des intérêts français en matière de compétitivité sur le terrain de l’IA. C’est le cas du député Paul Midy (5e circonscription de l’Essonne), qui s’est alarmé publiquement mercredi de l’adoption du texte en commission, y voyant une entrave au développement du champion français du secteur, Mistral AI.
« Dans notre pays, tous les criminels ont le droit à la présomption d’innocence, même les terroristes et les pédophiles. Et les fournisseurs d’IA n’y auraient pas le droit ? On voudrait donc mieux traiter dans ce pays les terroristes et les pédophiles qu’Arthur Mensch ? », écrit le député, qui dit encore voir dans cette loi « un signal particulièrement préoccupant envoyé à l’un des secteurs les plus stratégiques pour l’avenir économique de notre pays ».
Sans même relever la comparaison outrancière osée par Paul Midy, la question de la légalité du renversement de la charge de la preuve a été éclaircie en amont par les défenseurs du texte, qui revendiquent une validation a priori par le Conseil d’État, et font par ailleurs valoir que l’esprit de la proposition de loi s’inscrit dans la lignée des recommandations formulées dans le récent rapport d’Alex Voss voté le 11 mars dernier au Parlement européen qui invite lui aussi à établir une « présomption réfragable ».
Il est en revanche probable que la proposition de loi ne fasse effectivement pas les affaires de Mistral AI et des autres acteurs du secteur. Arthur Mensch, PDG de Mistral, a multiplié les apparitions médiatiques et politiques ces dernières semaines pour dénoncer les risques d’un décrochage européen en matière d’innovation, un risque qu’aggraverait selon lui de nouvelles réglementations. L’entreprise se serait également livrée à un lobbying actif, révèle le Point, en faisant parvenir des argumentaires aux membres de la commission des affaires culturelles.
Certains soutiens du texte estiment par ailleurs que c’est en raison de pressions exercées par les acteurs de la tech que le texte a mis si longtemps à rejoindre formellement l’agenda de l’Assemblée nationale. Son examen n’a en effet pas été retenu par la conférence des présidents de groupe, et c’est via la niche parlementaire du groupe GDR (Gauche démocrate et républicaine) qu’il va finalement trouver le chemin de l’hémicycle le 11 juin prochain.
Quand le New York Times appelle les médias à résister
À lobbying, lobbying et demi. On sait, chez Next, le poids qu’ont pu avoir les sociétés d’auteur lorsqu’il s’est agi de débattre des propositions de loi visant à lutter, au pif, contre le téléchargement illégal. Et en matière de droit d’auteur à l’ère de l’IA, les sociétés d’auteur, syndicats liés à l’édition culturelle et groupements d’éditeur de presse semblent bien décidés à faire front commun. En témoigne la publication, fin avril, d’une tribune cosignée par 81 organisations professionnelles, et que plus de 25 000 internautes auraient également signée (au travers d’un formulaire Google Docs, sic).
Dans le petit Landerneau des médias, le sujet vient de recevoir d’un coup de projecteur particulier. A.G. Sulzberger, le patron du New York Times est en effet intervenu le 1er juin à Marseille, lors du colloque annuel de la WAN-IFRA, l’association internationale des éditeurs de presse, et il a tenu un discours particulièrement vindicatif à l’égard des acteurs de l’IA, qu’il accuse de sciemment piller le monde des médias au risque de compromettre la viabilité à moyen terme des producteurs d’information.
« Leur mainmise sur l’espace public est rendue possible par le péché originel qui anime leurs produits d’IA : un vol éhonté de propriété intellectuelle d’une ampleur sans précédent. Les géants de la tech pillent les sites d’information sans autorisation ni compensation. Ils reconditionnent ces contenus volés sous leur propre marque, s’accaparant ainsi l’audience et les revenus qui, autrement, reviendraient aux organes de presse à l’origine de ces travaux. Et cela se produit non pas une seule fois lors de la phase d’apprentissage, mais d’innombrables fois chaque jour », a notamment déclaré A.G. Sulzberger.
Rappelons que le quotidien s’est engagé dans un long bras de fer juridique avec OpenAI et Microsoft au sujet de l’utilisation non consentie de ses contenus. En France, certains médias ou groupes média ont noué des accords au cas par cas avec certains acteurs de l’IA (Le Monde a par exemple signé avec OpenAI puis avec Perplexity), mais les autres en sont pour l’instant réduits au contentieux. L’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français viennent ainsi d’assigner l’éditeur du navigateur Brave en justice, pour tenter d’obtenir une jurisprudence favorable.
Depuis un peu plus de deux ans, Google affiche ses AI Overviews tout en haut d’une recherche web, autrement dit un résumé des résultats généré par IA. Ils ne tombent pas du ciel : les informations qu’ils contiennent proviennent de sites web qui vont finalement avoir la possibilité explicite d’exclure leurs contenus du moissonnage effectué par le moteur de recherche. Trop peu, trop tard ?
Les AI Overviews, visibles aux États-Unis depuis leur lancement en mai 2024, sont maintenant présents dans une centaine de pays (la France est toujours exclue). Ces résumés ont été complétés un an plus tard par l’AI Mode, qui tente de concurrencer directement les moteurs de recherche IA comme Perplexity ou ChatGPT.
Google demande enfin la permission d’aspirer le web
Durant la dernière édition de la Google I/O, le géant américain en a remis une couche avec une avalanche de nouveautés IA pour son moteur de recherche – offrant au passage au mode « No AI » de DuckDuckGo un joli coup de pouce. Aussi incroyable que cela puisse paraitre, il existe des internautes qui apprécient peu le forcing IA de Google. C’est le cas aussi pour plusieurs éditeurs de sites web, qui refusent obstinément que leurs contenus soient collectés sans autorisation ni rémunération pour se transformer en données d’entraînement.
Exemple d’AI Overview.
Il existe des mécanismes qui empêchent les robots de scraping de moissonner les contenus du web ouvert. Le fichier robots.txt est le plus commun, il permet à un site de refuser l’accès à certaines de ses pages pour l’indexation web et la collecte IA. Voilà pour la théorie, mais en pratique rien n’empêche un bot mal élevé d’ignorer ces consignes et de parcourir l’intégralité d’un site. Perplexity est régulièrementpointé du doigt à ce sujet.
Google a commencé à déployer un nouvel outil qui va permettre aux éditeurs web de décider, depuis la Search Console, si leurs sites peuvent apparaitre dans les résumés générés par IA. C’est un changement de taille, le groupe ayant plutôt cherché à flouter la frontière entre l’indexation et le scraping. Il promet la main sur le cœur que cela n’aura aucun impact sur l’indexation traditionnelle. En activant ce bouton depuis la console de recherche, un site ne recevra « ni trafic ni impressions provenant de nos fonctionnalités d’IA générative », martèle Google. Est-ce pour autant un drame ?
Google affirme régulièrement que les résumés IA dans les résultats de recherche ne font pas diminuer le trafic des sites d’où les informations sont extraites. Une étude du Pew Research Center, publiée en juillet dernier, affirmait le contraire. L’entreprise s’était d’ailleurs pris les pieds dans le tapis en évoquant un web ouvert en « déclin rapide » en raison du marché publicitaire chamboulé par l’IA.
La mise en place de ce bouton n’a rien d’un geste désintéressé ou d’une branche d’olivier lancé aux éditeurs, car sinon pourquoi avoir attendu deux ans ? C’est simplement le résultat d’une obligation réglementaire imposée par la CMA, l’autorité de la concurrence britannique. « Pour la première fois au monde, les éditeurs disposeront d’outils leur permettant d’empêcher l’utilisation de leurs contenus par les fonctionnalités d’IA de la recherche Google », se réjouit le régulateur.
Ce dernier ajoute que les éditeurs seront ainsi « mieux armés pour négocier des accords de licence avec Google, notamment dans le secteur de la presse ». L’intention est louable, mais rien n’empêchera Google d’utiliser les contenus provenant d’autres sites web plus conciliants pour générer ses résumés IA.
Revers pour la Commission européenne et le règlement sur les marchés numériques (DMA). La Cour de justice de l’UE a en effet jugé que Meta n’était pas un contrôleur d’accès pour la Marketplace de Facebook. En revanche, l’institution confirme le statut du géant des réseaux sociaux pour Messenger.
Le 5 septembre 2023, la Commission européenne désignait les contrôleurs d’accès au titre du DMA, un club très fermé qui oblige les membres à respecter des règles contraignantes sur l’ouverture à la concurrence. Plusieurs critères ont été mis en place pour recevoir son rond de serviette : au moins 45 millions d’utilisateurs actifs par mois dans l’UE et au moins 10 000 utilisateurs professionnels par an dans l’UE au cours des trois derniers exercices ; réaliser un chiffre d’affaires d’au moins 7,5 milliards d’euros durant les trois derniers exercices.
Au même titre qu’Alphabet, Amazon, Apple, ByteDance et Microsoft, Meta a donc été désigné contrôleur d’accès. Six de ses activités étaient considérées comme des services de plateforme essentiels : Facebook, Instagram, WhatsApp, Messenger, Meta Ads et Marketplace.
« Étaient », car en avril 2025 la Commission déterminait que la plateforme de petites annonces en ligne ne devait plus faire partie des services essentiels contrôlés par le DMA. Meta avait demandé un réexamen de son service d’intermédiation en ligne en mars 2024, un pari gagnant : le régulateur européen a constaté que Marketplace comptait moins de 10 000 entreprises utilisatrices en 2024.
Des éléments « hypothétiques et incomplets »
Meta avait également introduit un recours auprès de la justice européenne pour annuler la décision prise par la Commission en septembre 2023 de qualifier Messenger et Marketplace comme points d’accès majeurs du DMA. L’entreprise a obtenu partiellement raison : la Cour de justice de l’UE annule la désignation de Meta comme contrôleur d’accès en ce qui concerne la Marketplace (PDF). En revanche, le groupe américain conserve ce statut pour Messenger.
La CJUE juge que la Commission a commis « une erreur de droit » : elle avait considéré qu’elle pouvait se fonder uniquement sur des données concernant les trois dernières années ayant précédé la désignation, sans tenir compte de modifications intervenues fin juillet 2023. Meta avait en effet limité le nombre d’annonces pouvant être publiées par utilisateur, ce qui entraînait la disparition du critère de Bruxelles pour identifier les entreprises utilisatrices.
Le tribunal a aussi constaté que la décision de la Commission était « insuffisamment motivée » : elle n’a en effet exposé « aucune analyse concrète de ces modifications », ni expliqué en quoi elles remettaient en cause ou confirmaient la qualification de Marketplace comme service d’intermédiation en ligne. « Les éléments invoqués dans la décision à cet égard demeurent notamment hypothétiques et incomplets », assène l’institution.
La Commission européenne se consolera en observant que la désignation de Messenger comme point d’accès majeur du DMA a été confirmée par la justice. Les arguments avancés par Meta n’étaient pas suffisamment étayés pour remettre en cause la qualification du service. L’entreprise peut toujours faire appel de cette décision.
La Marketplace de Facebook a fait l’objet d’une lourde sanction en novembre 2024 : la Commission avait infligé à Meta une amende de 798 millions d’euros pour pratiques abusives. Cette affaire n’avait cependant rien à voir avec le DMA, Meta ayant été condamnée pour infraction aux règles de l’Union européenne en matière de pratiques anticoncurrentielles. En avril 2025, l’entreprise a en revanche bien été sanctionnée pour violation du DMA, à hauteur de 500 millions d’euros, en l’occurrence sur le dossier des abonnements payants.
Durant sa conférence BUILD, Microsoft a présenté une nouvelle série de modèles MAI. L’entreprise se dote pour la première fois d’un modèle de raisonnement, présenté comme idéal par sa taille moyenne et son coût maitrisé.
Cela peut paraître étonnant, mais Microsoft – qui a investi plusieurs milliards de dollars très tôt dans OpenAI – ne disposait d’aucun modèle de raisonnement. Jusqu’à présent, l’entreprise s’était surtout positionnée comme championne des relais pour d’autres modèles, laissant par exemple un accès à ChatGPT et plus récemment Claude via sa myriade d’assistants Copilot.
La situation a cependant changé : Anthropic a largement grimpé en puissance, tout particulièrement dans le développement, tandis qu’OpenAI suit sa propre trajectoire et se montre beaucoup plus autonome. La firme de Redmond a tout intérêt à manifester sa propre indépendance, avec à la clé une gamme plus complète de modèles.
Place à MAI-Thinking-1
La famille MAI (Microsoft AI) accueille plusieurs nouveaux venus présentés pendant la conférence BUILD, dont MAI-Thinking-1 présenté hier. Comme son nom l’indique, il s’agit d’un modèle de raisonnement de taille intermédiaire, de type MoE (Mixture of Experts), avec 35 milliards de paramètres actifs et une fenêtre de contexte de 256 000 tokens, soit l’équivalent d’un document de 600 pages selon Microsoft.
L’entreprise met clairement en avant un entrainement du modèle depuis zéro : aucune distillation et à partir de données commercialement licenciées et « propres ». MAI-Thinking-1 n’est donc pas censé s’appuyer sur les traces de raisonnement d’autres modèles, particulièrement concurrents. Il s’agit d’une construction indépendante.
Le modèle atteint 97 % sur AIME 2025 et 94,5 % sur AIME 2026, deux benchmarks évaluant le raisonnement mathématique et scientifique multi-étapes. Sur SWE-Bench Pro, benchmark d’ingénierie logicielle, Microsoft affirme qu’il égale Claude Opus 4.6 sur les tâches de codage. Dans des évaluations indépendantes en aveugle menées par Surge (partenaire indépendant de Microsoft), MAI-Thinking-1 a été préféré à Claude Sonnet 4.6. Ce dernier, le modèle par défaut pour Claude, est largement utilisé comme point de comparaison dans les chiffres donnés par Microsoft.
CNBC rapporte qu’une démonstration a présenté des résultats supérieurs à ceux de GPT-5.5 d’OpenAI avec un modèle ajusté sur les données de McKinsey, avec un coût annoncé comme dix fois inférieur. Il faut pour l’instant croire l’éditeur sur parole, car le modèle n’est disponible qu’en préversion privée via Microsoft Foundry. Sur la partie raisonnement, les tokens seront tarifés à la consommation, là encore sans plus de détails. Le modèle est également inclus dans GitHub Copilot Enterprise et une version pour les enclaves Azure Confidential Computing est prévue.
Six autres « nouveaux » modèles dans la famille MAI
Bien que MAI-Thinking-1 ait eu la part du lion pendant la présentation, la famille MAI a également reçu six autres modèles, en majorité des évolutions de ceux existant déjà.
MAI-Image-2.5 et MAI-Image-2.5 Flash débarquent ainsi pour la génération d’images. Microsoft évoque une hausse significative de la qualité, avec de meilleurs résultats que Nano Banana 2, avec une édition et des contrôles précis. La version classique vise la fidélité maximale et des performances « de qualité professionnelle », tandis que la version Flash – sans surprise – sacrifie une partie de cette qualité pour une plus grande rapidité des résultats. MAI-Image-2.5 est en cours de déploiement dans PowerPoint et OneDrive. Côté tarifs, MAI-Image-2.5 coûte 5 dollars par million de tokens pour les entrées texte, 8 dollars pour les entrées image et 47 dollars pour les sorties image. Pour la version Flash, les tarifs sont de 1,75 dollar pour les entrées texte et image, et de 33 dollars pour les sorties image.
MAI-Transcribe-1.5 est présenté de son côté comme le meilleur modèle de transcription au monde (tout simplement), avec une précision de pointe dans 43 langues, surpassant Gemini et les modèles phares d’OpenAI. Il est censé produire des transcriptions cinq fois plus rapidement que les modèles concurrents, et sera disponible dans GitHub Copilot, Dynamics 365 Contact Center et Foundry, avec un support prochain du streaming. Côté développeurs, il est accessible via Azure Speech au prix de 22 dollars le million de caractères.
Pour les autres modèles, il s’agit surtout de disponibilité. MAI-Voice-2 et sa variante Flash sont ainsi disponibles dans une quinzaine de langues supplémentaires avec de nouvelles options de voix. MAI-Code-1, modèle de codage présenté comme très efficace en inférence et optimisé pour GitHub, est disponible dans Copilot et Visual Studio Code. Son déploiement dans Copilot (tous niveaux) a commencé mardi 2 juin.
Le premier, Aion Instruct, doit prendre le relai de l’actuel Windows OS SLM. Il se veut plus petit (4 milliards de paramètres), plus rapide et surtout plus efficace. Il doit alimenter tout ce qui touche à l’intelligence textuelle quotidienne, c’est-à-dire les résumés, la réécriture, la détection d’intention ou encore l’accessibilité.
Disponible dès maintenant dans le canal Insider d’Edge à des fins de tests pour les développeurs, il sera également accessible depuis les API de Windows. Contrairement aux modèles fournis jusqu’ici par Microsoft dans ce cas de figure, aucun NPU n’est requis : Aion Instruct est fait pour fonctionner partout, sur CPU. Enfin, une version open source doit arriver courant juillet sur Hugging Face.
Aion Plan est à la fois plus ambitieux et plus restreint. Disposant de 14 milliards de paramètres et d’une fenêtre de contexte de 32 000 tokens, de capacités de raisonnement et pouvant appeler des outils (tool-calling), il se veut le champion du flux agentique local. En revanche, il ne sera pas disponible avant plusieurs mois, et la présence d’un NPU semble cette fois requise.
Dans les deux cas, les modèles sont gratuits à l’usage, les opérations étant réalisées par la machine.
Les gestionnaires de mots de passe permettent d’utiliser des mots de passe différents et complexes pour tous les services. Ils doivent eux aussi être protégés par un mot de passe maître, qui est parfois le dernier rempart contre les pirates. Une fuite de données chez Dashlane l’illustre parfaitement.
Après LastPass fin 2022, c’est au tour de Dashlane d’être victime d’une fuite de données : « Les attaquants ont pu télécharger une copie des coffres-forts chiffrés de moins de 20 utilisateurs sur un forfait personnel », reconnait l’entreprise.
Des coffres-forts chiffrés dans la nature
« À partir du dimanche 31 mai 2026, un pirate a lancé une attaque par force brute contre certains comptes d’utilisateurs de Dashlane », explique l’entreprise. L’attaquant essayait de casser l’authentification à deux facteurs afin d’enregistrer de nouveaux appareils sur des comptes d’utilisateurs, pour ensuite accéder aux données.
Bien évidemment, des protections ont permis de limiter l’attaque – mais pas de la bloquer totalement : « En raison du nombre élevé de tentatives d’accès aux comptes utilisateurs, les contrôles de sécurité de Dashlane ont automatiquement verrouillé les comptes ciblés par l’attaque », explique Dashlane.
Des comptes ont été suspendus de manière temporaire, mais surtout pour une vingtaine de clients le coffre-fort a été dérobé. Ils ont tous été déjà contactés individuellement par Dashlane.
Quels sont les risques ?
Avec les coffres-forts chiffrés, le ou les pirates ne peuvent pas faire grand-chose, sauf à réussir à les ouvrir évidemment. Ils accéderaient alors à l’intégralité des informations qu’ils contiennent : mots de passe, identifiants… une vraie caverne d’Alibaba.
Pour arriver à leurs fins, ils peuvent tenter de faire du phishing afin que vous « donniez » involontairement votre mot de passe maître, mais aussi tenter de passer en force.
Brutale, cette méthode consiste à tester toutes les combinaisons possibles jusqu’à trouver la bonne. En théorie, cela finit toujours par fonctionner. En pratique, il faut un temps quasi infini selon la taille et la complexité de votre mot de passe. On parle aussi d’entropie.
Autant dire que si votre mot de passe est « password123 », il ne tiendra même pas quelques secondes. Avec une copie de votre coffre-fort en sa possession, un pirate peut effectuer autant de tentatives qu’il le souhaite jusqu’à réussir à trouver le bon mot de passe et ainsi percer les protections.
Des années plus tard, la fuite Lastpass fait toujours des victimes
La fuite de Lastpass fin 2022 en est un parfait exemple. Cette fuite avait encore des conséquences en 2025, comme le rapporte BleepingComputer : « Plutôt que le portefeuille [de cryptomonnaie, qui est aussi parfois stocké dans les coffres-forts, ndlr] soit vidé immédiatement après une brèche, les vols se sont multipliés par vagues des mois ou des années plus tard, illustrant comment les attaquants décryptaient progressivement les coffres ».
Une autre manière de le dire : si votre coffre-fort est dans la nature, il est plus que recommandé de changer l’intégralité des secrets et mots de passe qui y sont enregistrés. Un pirate pourrait en forcer la porte maintenant comme dans quelques années quand la puissance de calcul coutera bien moins chère, par exemple.
Votre mot de passe maître doit être fort et robuste !
Dashlane reconnait ne pas avoir « d’exigences spécifiques pour les mots de passe maîtres », mais précise néanmoins s’appuyer sur « l’algorithme zxcvbn[de Daniel Lowe Wheeler chez Dropbox, ndlr] afin d’évaluer la sécurité de votre mot de passe lors de sa création ». L’entreprise prodigue aussi quelques conseils. Next a aussi des dossiers sur le sujet.
Les clients de Dashlane sont les victimes, mais cette affaire rappelle l’importance du mot de passe maître qui sera le dernier rempart en cas de fuite de données. C’est valable quel que soit le gestionnaire utilisé, y compris (et surtout) en autohébergé. Si vous autohébergez un gestionnaire, ne sous-estimez surtout pas le mot de passe maitre.
Le Taïwanais Foxconn va s’associer aux Français Thales et Radiall au travers d’une coentreprise baptisée Tessalia, qui ambitionne de construire une usine dédiée aux semiconducteurs sur la commune du Barp, à 30 km de Bordeaux. Le projet, soutenu par des fonds publics, devrait mobiliser 250 millions d’euros d’investissement.
Le Barp, petite commune du sud de la Gironde, abritait déjà le laser Mégajoule du CEA. Elle pourra bientôt s’enorgueillir d’une usine dédiée aux semiconducteurs, dont la première pierre a été posée lundi 1ᵉʳ juin par les trois entreprises cosignataires du projet : Foxconn, le géant de l’électronique de défense Thales et le spécialiste de l’interconnexion Radiall. Les trois annoncent s’associer au travers d’une coentreprise baptisée Tessalia Technology SAS (qui n’est pas encore immatriculée), « dédiée à l’assemblage et aux tests externalisés de semi-conducteurs ».
Des SiP spécialisés en petites et moyennes séries
De façon plus concrète, l’usine en question devrait se consacrer à la production et aux tests de composants de type System in Package (SiP), avec un objectif de production fixé à 50 millions d’unités par an d’ici 2033. Les puces en question seront destinées « à l’aérospatial, aux infrastructures télécom, à l’automobile, au médical et à l’industrie », affirme Thales.
Des secteurs sensibles, dans lesquels une production maitrisée sur le sol européen constitue désormais un argument concurrentiel, voire stratégique, même si Tessalia restera dépendante d’un approvisionnement en wafers venus de l’étranger.
Un System in Package (SiP) consiste pour mémoire en l’encapsulation, au sein d’un même élément, de plusieurs composants distincts (processeur, mémoire, radio, etc.), qui peuvent émaner de fournisseurs différents, mais doivent être interconnectés de façon plus dense (par wire bonding, par empilement de dies, etc.) que ce que permet le traditionnel assemblage sur un PCB.
C’est dans l’étape de l’emballage (packaging) que réside tout le potentiel du SiP, par opposition au System on Chip (SoC), qui lui intègre toutes les fonctions requises au sein d’un unique die. Et c’est en partie ce qui explique la destination des puces produites par la future usine : « Nous produirons des petites et moyennes séries destinées à des marchés très spécifiques et exigeants qui demandent performance, robustesse et fiabilité », a déclaré Pierre Gattaz, le PDG de Radiall, cité par la Tribune.
Les trois partenaires promettent à ce niveau d’exploiter « une technologie d’encapsulation innovante visant à développer des packagings à très haute densité ». Apportée par Foxconn, qui revendique une stratégie d’ancrage local, elle est présentée comme une « rupture en termes de rendements et de compétitivité pour les futurs produits ».
L’usine en question devrait à terme représenter un bâtiment de 10 000 à 15 000 m². Il susciterait la création de 550 emplois directs une fois le régime de croisière atteint (2033), et pourrait donner lieu à des développements futurs. Le site du Barp, opéré par une foncière dépendant de la région Nouvelle-Aquitaine, dispose en effet de réserves qui permettent d’envisager soit de nouveaux bâtiments, soit l’installation de sous-traitants ou de fournisseurs spécialisés.
250 millions d’euros d’investissements… soutenus par des fonds publics
En 2025, le projet était encore au stade conditionnel, notamment parce que le lieu de son implantation n’avait pas encore été défini. D’après Sud-Ouest, une soixantaine de sites français étaient en concurrence. L’accompagnement, administratif mais aussi financier, des collectivités locales et des pouvoirs publics a donc logiquement joué un rôle dans la sélection de l’emplacement final.
Outre les incitations locales et le soutien financier accordé par l’État, le projet devrait également bénéficier d’aides européennes dans le cadre du Chips Act, dont la version 2.0 sera très prochainement présentée à Bruxelles. Le montant des financements publics pourrait ainsi atteindre 150 millions d’euros, révèle Placéco, sur les quelque 250 millions d’euros de l’enveloppe initiale du projet.
Mardi soir avait lieu la conférence d’ouverture de la BUILD, la grand-messe annuelle de Microsoft pour les développeurs. Entre autres annonces liées inévitablement à l’IA et aux agents, l’entreprise a mis à disposition des outils que personne n’attendait vraiment : les coreutils pour Windows.
Les coreutils, pour GNU Core Utilities, sont un ensemble logiciel fournissant des commandes standardisées et basées sur Unix pour le shell, autrement dit pour la ligne de commande. Ils contiennent des instructions connues comme chmod pour modifier les permissions d’un fichier, mkdir pour créer un répertoire, rm pour supprimer des fichiers ou encore des outils de manipulation du texte comme printf.
Au cours des derniers mois, les coreutils sont revenus sur le devant de la scène via le projet uutils, une réécriture en Rust des outils. Nous avions d’ailleurs interrogé Sylvestre Ledru, directeur de l’ingénierie chez Mozilla et lead sur le projet, sur lequel les projecteurs s’étaient subitement braqués, Canonical ayant intégré uutils dans Ubuntu 25.10.
C’est précisément ce projet que Microsoft a utilisé pour Windows, en compilant uutils pour son propre système. Dans la foulée, Microsoft a d’ailleurs débordé, ajoutant findutils et grep à l’ensemble. Ce dernier est particulièrement connu et utilisé, fournissant un moyen simple et puissant de retrouver du texte. C’est d’ailleurs lui que Microsoft met en avant dans sa courte vidéo de présentation.
Interrogé sur le sujet, Sylvestre Ledru se montre enthousiaste : « Je suis très heureux de voir Microsoft utiliser et mettre en avant uutils, annoncer l’utilisation de nos outils, ainsi que leur contribution de la réécriture de grep en Rust au projet. C’est une belle reconnaissance du travail de la communauté. Leur implication va notamment nous aider à améliorer encore la portabilité sur Windows ».
Les coreutils pour Windows peuvent être récupérés depuis GitHub ou s’installer via la commande WinGet suivante :
winget install Microsoft.Coreutils
Microsoft prévient que certains outils peuvent entrer en conflit avec ceux déjà présentes dans CMD et PowerShell, un tableau est fourni pour lister les problèmes. À noter que PowerShell doit être installé en version 7.4 minimum.
Les conflits potentiels identifiés selon Microsoft – capture d’écran
Donald Trump a finalement signé l’executive order sur l’intelligence artificielle. Le président américain devait apposer son paraphe sur une précédente version du texte, plus contraignante, il y a deux semaines. Mais au dernier moment, l’industrie a réclamé et obtenu des changements importants dans la mouture finale.
Ce n’est pas une bulle du pape, mais pas loin. Dans l’executive order (EO) signé ce mardi 2 juin, Donald Trump rappelle les mesures déjà mises en œuvre depuis le début de son second mandat, dont « [la suppression des] contraintes bureaucratiques que l’administration précédente avait imposées aux développeurs et aux chercheurs américains ». Surtout, l’EO liste une série de mécanismes visant à amplifier le mouvement pour « promouvoir l’innovation et la sécurité de l’IA ».
Report de dernière minute
Mais voilà, ce décret présidentiel aurait déjà dû être paraphé le 21 mai, et tout semblait prêt pour que ce soit le cas. Mais David Sacks, l’ancien « tsar » de l’IA nommé par Donald Trump, a arraché un délai de dernière minute, comme l’explique Politico.
L’ancien EO mettait en place un mécanisme volontaire de supervision pour les entreprises IA : certains modèles avancés auraient pu être soumis à un examen par plusieurs agences fédérales jusqu’à 90 jours avant leur publication. L’administration Trump avait un temps imaginé d’imposer ce dispositif aux entreprises, avant de revenir à une position moins tranchée. La perspective n’en inquiétait pas moins une partie de l’industrie, qui voyait dans ce mécanisme les prémices d’un contrôle gouvernemental plus poussé sur les modèles les plus puissants.
La mesure a notamment été imaginée suite aux craintes d’un modèle comme Mythos sur ses capacités d’attaque envers les infrastructures critiques. David Sacks, porte-voix de l’industrie en sa qualité d’associé fondateur du fonds de capital-risque Craft Ventures, aurait expliqué à Trump que les entreprises n’avaient pas besoin d’une mesure coercitive : elles coopèrent déjà volontairement. Autre argument : un examen des modèles par le gouvernement ralentirait la marche de l’IA, ce qui nuirait aux États-Unis dans sa course contre la Chine.
La signature a donc été reportée et avec elle, une bonne partie du (faible) mordant initial du décret présidentiel. La mouture finale renforce l’idée que le gouvernement fédéral n’impose pas de licence obligatoire, pas d’autorisation avant lancement, pas de « permis » pour publier un modèle. Un cadre est mis en place pour les développeurs volontaires, dans lequel ils peuvent fournir un accès anticipé à leurs modèles 30 jours maximum avant leur mise à disposition.
Le texte ordonne la création, sous les 30 jours, d’un centre de coordination de la cybersécurité liée à l’IA, en collaboration — là aussi volontaire — avec des entreprises du secteur et les opérateurs des infrastructures critiques. Il regroupera plusieurs activités aujourd’hui dispersées entre plusieurs agences du gouvernement pour détecter des vulnérabilités logicielles, mesurer les niveaux de risque de ces failles, coordonner la réponse et la diffusion des correctifs. Il s’agit d’éviter que chacun, dans le privé comme dans le public, fasse sa tambouille dans son coin. C’est louable, mais le caractère non contraignant de ce centre risque d’en diluer la force de frappe.
Un coup pour rien ?
Le décret demande également à plusieurs agences, dont la NSA et le Trésor, de mettre au point dans les 60 jours un processus d’évaluation pour déterminer les modèles IA considérés comme suffisamment puissants pour présenter un risque particulier. Les critères de ce processus resteront secrets, pour éviter que des acteurs malveillants ne connaissent les capacités qui intéressent les autorités.
L’EO ne le précise pas, mais les agences pourraient par exemple mesurer la capacité d’un modèle à découvrir des vulnérabilités zero-day, à écrire du code malveillant, à automatiser des campagnes de piratage, ou à contourner des systèmes de sécurité. Le dernier mot reviendra à la NSA, l’agence du renseignement états-unien. Le NIST, souvent considéré comme plus neutre et technique, est écarté de la décision finale.
L’EO exige aussi du ministère de la Justice de poursuivre les personnes utilisant l’IA pour pirater des systèmes, voler des données ou commettre des infractions informatiques. Si l’architecture générale entre les deux versions du texte est similaire, la version finale adoucit fortement les aspects les plus contraignants pour l’industrie, en insistant notamment sur le caractère volontaire de certaines mesures. Et surtout, elle exclut tout système de licence ou d’autorisation préalable.
Qualcomm a fait résonner les tambours et les trompettes pour annoncer la Snapdragon C, nouvelle puce qui va équiper des PC portables à partir de 300 dollars. L’entreprise n’est pas entrée dans les détails, mais Acer a quelques réponses.
Crise de la mémoire aidant, les constructeurs PC misent beaucoup sur les machines très haut de gamme, comme cela devrait être le cas du Surface Laptop Ultra de Microsoft équipé du nouveau « superchip » RTX Spark de NVIDIA. Il n’y en a cependant pas que pour le premium hors de prix. À l’autre bout du spectre tarifaire, Qualcomm positionne la Snapdragon C pour des PC sous Windows on Arm à partir de 300 petits dollars.
Au-delà de l’effet d’annonce, Qualcomm s’est fait très discret sur les composants et les capacités de cette nouvelle plateforme silicium. Si les premiers portables dotés de la Snapdragon C feront leur apparition dans le courant de l’année, on peut déjà avoir une idée de ce qui attendra les utilisateurs au budget serré.
Un PC Snapdragon C sous cloche
Sur son stand du Computex, Acer présente le premier portable équipé de cette fameuse puce. L’Aspire Go 15 (AG15-Q31P) est visible, uniquement sous cloche. Plusieurs médias ont cependant obtenu un accès privilégié à l’ordinateur. Pas suffisamment pour réaliser des benchmarks, mais assez pour se faire une meilleure idée de la machine.
Ce modèle peut ainsi embarquer « jusqu’à » 8 Go de mémoire vive LPDDR5X et 512 Go de stockage SSD, indique ainsi PC Mag. Pas vraiment de surprise côté stockage, sachant que le MacBook Neo — cible principale de Qualcomm ici — débute à 256 Go. L’enveloppe de RAM interroge en revanche : la formulation laisse entendre que des PC Snapdragon C pourraient tourner avec moins de 8 Go.
Une gageure avec un Windows 11 qui n’est pas spécialement connu pour sa sobriété. Officiellement, le système d’exploitation exige un minimum de 4 Go de RAM pour l’installation, ce qui ne veut pas dire que l’OS fonctionnera de manière satisfaisante avec si peu de mémoire. Jusqu’à présent, les PC fonctionnant sous Windows 11 sur Arm avec une puce Qualcomm (Snapdragon X) bénéficient d’un minimum de 16 Go de mémoire ; ce qui est, au passage, un des critères pour prétendre au statut de Copilot+.
Étrangement, le clavier de l’Aspire Go 15 intègre une touche Copilot, bien que la Snapdragon C n’ait pas été conçue pour prendre en charge toutes les fonctions d’IA en local de Microsoft. La puce embarque néanmoins son propre NPU, mais le composant n’offrira pas les 40 TOPS de base. La présence de cette touche est donc étonnante, à moins que l’éditeur de Windows ait revu ses prétentions à la baisse. Ou pousse tout simplement à une uniformisation des claviers Windows.
Des cœurs de smartphones
Qualcomm a précisé à Tom’s Hardware que le CPU de la Snapdragon C intégrait bien des cœurs Kryo « custom », une architecture déjà utilisée sur ses plateformes mobiles et sur plusieurs générations de puces PC Arm. Ce n’est pas une grande surprise : après tout, le MacBook Neo tourne avec une puce d’iPhone, en l’occurrence l’A18 Pro (6 cœurs CPU).
Image : Tom’s Hardware
Les 8 cœurs de la Snapdragon C affichent une fréquence d’horloge de 1,67 GHz en idle, avec une fréquence de base de 3,01 GHz selon le gestionnaire des tâches. Bizarrement, la puce est appelée Snapdragon 8c Gen 3.
Ce modèle n’existe pas officiellement, mais Qualcomm a bel et bien lancé une plateforme Snapdragon 8cx Gen 3 fin 2021. Il semble qu’il y ait eu un pataquès ici, l’entreprise ayant indiqué à nos confrères que ce n’était pas le nom de la puce.
Dans la série des Snapdragon 8, c’est de toute façon le bazar au niveau des références… Il y a aussi eu pour rappel un Snapdragon 8c en 2019 (avec huit cœurs Kryo 490) dont le but était de « redonner vie aux PC grand public », mais rien depuis sous cette dénomination.
Image : Tom’s Hardware
Châssis en plastique recyclé avec… un ventilateur
Toujours au chapitre des découvertes, la Snapdragon C de ce portable annonce 512 Ko de cache L1, 1,5 Mo de cache L2, 2 Mo de cache L3, soit moins que ce que l’on peut trouver dans des puces 8cx. Il pourrait là aussi s’agir d’une erreur ou de données provisoires. Le circuit graphique affiché est un Adreno 8c gen 3 (peut-être un nom temporaire) avec 1 Mo de mémoire dédiée et 3,9 Go de mémoire partagée.
Pour le reste, l’Aspire Go 15 propose un écran de 16,5 pouces (1 920 × 1 080) avec un ratio 16:9, une batterie d’une capacité de 53 Wh (Qualcomm promet une autonomie d’une journée), deux ports USB-C, un port USB-A, une sortie HDMI 1.4, un port jack, une webcam 1080p avec un cache, ainsi que la prise en charge du Wi-Fi 6E.
Le châssis est en plastique recyclé. Selon Tom’s Hardware, le portable « dispose d’un refroidissement actif avec un ventilateur niché sous les bouches d’extraction au bas de la machine ». C’est un point décevant, d’autant que le MacBook Neo est passif et qu’il existe aussi des portables sous Windows avec de (tout) petits CPU en version fanless.
En dehors d’Acer, HP et Lenovo vont également proposer des PC « à partir de » 300 dollars avec la puce Snapdragon C.
Un abonnement pour accéder aux précieuses données de Strava
Strava fait la police au sein de son écosystème. La plateforme de suivi de sports d’endurance, qui fait aussi office de réseau social pour sportifs, serre la vis de l’accès à ses API pour reprendre le contrôle de ses données et de son infrastructure.
Les robots d’IA qui moissonnent internet à la recherche de données d’entraînement pour leurs modèles ont cette fâcheuse tendance à ignorer les règles habituelles du web, à l’instar du fichier robots.txt censé leur indiquer les pages qu’ils peuvent consulter, et celles qui leur sont interdites. Les labos IA sont régulièrement accusés de n’en faire qu’à leur tête et de siphonner les contenus sans respect des règles de base, à l’image de Perplexity.
Payer pour un accès
Strava, qui fournit un grand volume de données aux développeurs via une API, fait partie des fournisseurs de contenus touchés par ces pratiques agressives. Les acteurs de l’IA « détournent » l’interface de programmation du service, accuse l’entreprise, tandis que les outils de vibe-coding « génèrent des applications qui sollicitent massivement l’API ». Au détriment des usages standards des développeurs (Strava en dénombre désormais 241 000, contre 185 000 l’an dernier).
« Les candidatures à notre programme développeur ont augmenté de 448 % depuis le début de l’année, certains intermédiaires API ont enfreint nos conditions d’utilisation, et les tentatives de scraping ont dégradé les performances de la plateforme pour l’ensemble des utilisateurs. Les abus répétés que nous avons identifiés nous ont conduits à suspendre et à revoir notre processus d’évaluation des candidatures. »
Face à cette mutation du paysage technologique, Strava s’estime forcé à appliquer des changements dans son programme développeur. Jusqu’à présent, certaines informations étaient visibles sans compte développeur : les profils publics, certaines données de clubs sportifs et communautaires. Il faudra désormais une authentification. Par ailleurs, l’accès à l’API via la formule Standard nécessite désormais la souscription à l’abonnement Strava (9,99 euros par mois) pour les nouveaux inscrits ; les développeurs actifs sans abonnement auront 90 jours à partir du 30 juin pour se mettre en règle.
Et ça n’est pas tout. Le 1er septembre, Strava abandonnera des points d’accès API historiques qui permettent de récupérer certains types d’informations, sur les clubs par exemple. Au-delà de l’abonnement obligatoire, c’est probablement le point qui inquiète le plus les développeurs, il existe des apps tierces qui s’appuient en effet sur ces données. « Le niveau d’engagement de la communauté ne justifie plus les ressources nécessaires à la maintenance [de ces accès] », rétorque l’entreprise.
Il ne s’agit pas pour autant de fermer complètement les portes aux développeurs qui exploitent les données de Strava pour leurs applications. Contrairement à Reddit, dont le prix des accès à sa propre API a fini par réduire à peau de chagrin le nombre d’apps tierces, Strava cherche un point d’équilibre. « Nous voulons que les utilisateurs aient le sentiment de garder la maîtrise de leurs données et qu’ils aient confiance dans la façon dont nous les sécurisons. Mais nous souhaitons également que l’écosystème de développeurs continue de prospérer et de grandir », déclare à TechCrunch le directeur général, Michael Martin.
Strava va également adopter MCP (Model Context Protocol), un standard qui permet aux assistants IA et aux apps d’accéder à des données de façon structurée. La plateforme cherche à mieux contrôler les données auxquelles elle donne l’accès, et surtout la manière dont elles sont utilisées.
Ce serrage de boulon n’intervient pas au hasard. Strava a en effet déposé un dossier d’introduction en bourse début février. Il s’agit de montrer aux investisseurs que l’entreprise protège ses précieuses données. Exactement comme l’avait fait Reddit en 2024, avant sa propre IPO. Après avoir bouché les trous dans son API, la plateforme a signé un accord à 60 millions de dollars avec Google pour encadrer l’utilisation par ce dernier des données de ses utilisateurs.
Les députés européens accrocs à la recherche Google vont devoir se faire une raison. Le Parlement européen change de moteur par défaut : à partir de ce jeudi, les résultats d’une recherche en ligne proviendront de Qwant, le moteur de recherche français « axé sur la protection de la vie privée, conçu pour éviter le suivi des utilisateurs et la collecte de données personnelles », explique l’e-mail envoyé ce mardi aux parlementaires.
Selon le courriel, révélé par Euractiv et Politico, les raisons de ce changement sont simples : l’engagement déjà pris par le Parlement en faveur de la souveraineté numérique et la protection des données personnelles. Qu’on se rassure, les députés internautes pourront toujours changer le moteur de recherche par défaut, et pourquoi pas choisir Google.
Qwant s’est longtemps appuyé sur son partenaire Bing — détenu par Microsoft — pour ses résultats web. Le moteur français s’est associé à l’allemand Ecosia fin 2024 en vue de développer un index de recherche européen. De son petit nom Staan, il alimente désormais une partie des résultats du moteur, à côté de plusieurs autres sources.
Ce changement est un symbole important, mais ce n’est que ça. Euractiv rappelle en effet que les députés européens utilisent toujours beaucoup de solutions américaines, celles de Microsoft et de Google en particulier. En novembre dernier, des parlementaires avaient demandé à la présidente Roberta Metsola de basculer plusieurs services en ligne vers des fournisseurs européens. « Avec suffisamment de volonté politique », écrivaient-ils, « cette institution sera affranchie du risque de dépendance aux technologies étrangères d’ici à la fin du mandat ».
En février, le Parlement bloquait aussi l’accès aux outils d’IA générative sur les appareils fournis aux députés et à leurs équipes, pour des raisons de sécurité et de protection des données.
Connexion
