Alors que les protestations contre le régime en place s’intensifient depuis douze jours en Iran, l’ONG Netblocks a alerté jeudi, en fin d’après-midi, sur la coupure progressive des principaux réseaux de télécommunications à l’échelle du pays. Ce n’est pas la première fois que l’Iran se ferme ainsi.
« Les données en direct du réseau montrent que Téhéran et d’autres régions d’Iran sont désormais plongées dans un black-out numérique, la connexion internet étant interrompue chez plusieurs fournisseurs. Ce nouvel incident fait suite à des coupures régionales et risque de limiter fortement la couverture des événements sur le terrain, alors que les manifestations s’étendent », s’inquiète Netblocks sur ses réseaux sociaux.
Partagée par Netblocks sur ses réseaux sociaux, cette capture d’écran illustre le trafic mesuré au niveau de l’AS58224 opéré par Iran Telecommunication Company PJS
« Cet incident fait suite à une série de mesures de censure numérique croissantes visant les manifestations à travers le pays et entrave le droit du public à communiquer à un moment critique », ajoute encore l’ONG, selon qui ces coupures sont donc à mettre au crédit du régime de Téhéran.
Cloudflare confirme la situation via son Radar, avec un trafic quasi nul en Iran depuis la fin d’après-midi. En début d’après-midi, « le nombre d’adresses IPv6 annoncées en Iran a chuté d’environ 98,5 % », ajoute Cloudflare. D’après nos constatations, plusieurs sites officiels de l’administration iranienne étaient inaccessibles jeudi vers 20h30 (heure de Paris).
L’ONG Iran Human Rights s’est elle aussi inquiétée jeudi du durcissement de la réponse apportée par le pouvoir aux manifestations. Surgies du bazar de Téhéran le 28 décembre dernier et motivées, au départ, par une inflation galopante doublée d’une monnaie complètement dévaluée, elles concernent maintenant tout le pays.
Iran Human Rights affirme que les forces de l’ordre ont procédé à des tirs à balle réelle, et estime qu’au moins 45 personnes, dont huit mineurs, ont été tués depuis le début du mouvement, dont 13 sur la seule journée du 7 janvier.
L’Iran s’était déjà massivement coupé d’Internet en juin dernier, en raison d’« inquiétudes » de cyberattaques. Le blackout avait été mis en place pendant plus de 60 heures. L’ONG Miaan rappelait alors les conséquences d’une telle coupure : communications internationales coupées, messageries (WhatsApp, Signal…) non disponibles, accès aux informations limité, etc.
Google continue de dérouler sa stratégie de conquête par l’IA en profitant de son vaste parc d’applications et services. Après Search et Chrome (aux États-Unis), Gemini va désormais débouler dans Gmail, avec moult promesses.
On va ainsi retrouver les AI Overviews, rendues célèbres lors de leur arrivée dans Search, mais pas toujours pour les bonnes raisons. Google évoque une situation pénible : « Votre boîte de réception est remplie d’informations importantes, mais y accéder vous a obligé à devenir un puissant chercheur. Et même lorsque vous trouvez les bons e-mails, vous vous retrouvez souvent à fixer une liste de messages, obligé de fouiller dans le texte pour reconstituer la réponse ».
Que faire ? Confier le travail à Gemini. Dans des échanges contenant des dizaines de courriers par exemple, un résumé sera proposé avec les points saillants. On pourra bien sûr poser des questions en langage naturel, du type « Qui était le plombier qui m’a donné un devis pour la rénovation de la salle de bain l’année dernière ? ». La réponse se fera sous la forme d’un paragraphe avec un lien vers l’e-mail correspondant. Cette fonction est disponible pour tous les utilisateurs aux États-Unis.
Des outils d’écriture sont également déployés, selon le niveau d’abonnement. Pour tout le monde, Google fournit une aide à l’écriture, soit à partir d’un brouillon, soit depuis une page blanche, à partir d’un prompt. Gemini pourra également tenir compte du contexte pour préparer des réponses pré-écrites. Pour les abonnés Google AI Pro et Ultra, un assistant de relecture sera disponible, pour vérifier notamment le style et la grammaire, en plus de pouvoir modifier le ton et le style.
Enfin, Google introduit une « AI Inbox », qui se propose de « filtrer le désordre afin que vous puissiez vous concentrer sur ce qui est le plus important ». Google décrit cette fonction comme un « briefing personnalisé ». Elle doit se montrer suffisamment intelligente pour faire remonter les éléments jugés pertinents, comme l’échéance proche d’une facture. Elle n’est cependant pas encore disponible, car seuls quelques testeurs triés sur le volet y ont accès.
Sync-in est un projet libre et français de stockage et de gestion de fichiers. Son développeur principal, Johan Legrand, nous avait présenté son travail, pensé avant tout comme une plateforme de gestion des fichiers et de collaboration, le tout pour des solutions auto-hébergées.
Depuis notre article en octobre, plusieurs versions intermédiaires sont sorties. La version 1.8 a par exemple étendu le support linguistique et ajouté un chargement dynamique des traductions, la possibilité d’activer ou désactiver l’indexation, ou encore le support de FreeBSD. La version 1.9 a rafraichi l’identité visuelle, amélioré la gestion des images et ajouté diverses améliorations.
La nouvelle mouture 1.10, sortie ce 7 janvier, est une mouture importante. Comme Johan Legrand nous l’avait indiqué il y a quelques mois, elle intègre d’abord la suite Collabora, qui peut être utilisée aux côtés de OnlyOffice (déjà présente) ou en remplacement. Dans le cas où les deux suites sont présentes, on peut choisir quelle application doit être ouverte en fonction du format du fichier.
Parmi les autres nouveautés, on note une amélioration significative des liens publics. Ces derniers, en plus de permettre le téléchargement, peuvent être configurés pour autoriser l’accès, la consultation et l’édition des documents, selon le format et les droits d’accès. Dans les listes de documents, les actions Voir et Modifier ont été remplacés par un bouton unique Ouvrir, dont l’action change selon le contexte (et donc les droits).
Sous le capot, Sync-in 1.10 migre vers Node.js 24, tout en maintenant sa compatibilité avec Node.js 22. Selon Johan Legrand, ce changement améliore la stabilité et les performances du projet. Enfin, on note une série de corrections, notamment pour des conflits de traduction et des redirections « intempestives » lors du rafraichissement des liens publics.
Si vous avez une installation de Sync-in, vous devriez avoir reçu une notification via l’application, ou par e-mail si le serveur idoine a été activé sur l’instance. Pour rappel, il existe une version démo permettant de tester les fonctions du projet (demo/demo comme identifiants).
Où se situent les centres de données existants, en cours de construction ou à venir en France ?
Le collectif marseillais Le Nuage était sous nos pieds, qui dénonce la trajectoire globale de l’industrie numérique et réclamait au printemps dernier un débat public sur la question, a publié fin 2025 une carte participative des datacenters présents dans l’Hexagone.
Au total, l’organisation recense 348 centres déjà existants, 26 annoncés, 11 dont les dossiers sont en cours d’instruction par les services de l’État, et 8 en cours de construction.
Elle recense par ailleurs une quinzaine d’actions locales contre certains projets, que ce soit à Marseille même, où le collectif s’oppose, avec d’autres, au projet de centre de données MRS5 de Digital Realty, aux Pennes-Mirabeau, où des habitants refusent un projet porté par Telehouse, ou encore à Eybens, près de Grenoble, où des habitants se mobilisent contre un projet de supercalculateur de DataOne.
Pour établir sa cartographie, Le Nuage était sous nos pieds indique avoir croisé les différentes sources ouvertes à sa disposition. Le collectif s’est notamment appuyé sur le travail communautaire déjà effectué sur OpenStreetMap, dont il a extrait les points d’intérêt avec une requête OverPass Turbo. Il indique avoir complété ce premier échantillon « à partir d’informations publiques (communiqué des entreprises, articles de presses, réseau sociaux) et des informations divulguées par la Direction Générale des Entreprises, RTE et EDF ».
Il souligne par ailleurs que le nombre exact de centres de données existant en France est inconnu : RTE et l’ADEME recensent entre 300 et 352 bâtiments commerciaux (c’est-à-dire « ouverts à l’hébergement et à la colocation », selon le décompte d’Infranum), auxquels il faut ajouter 5 000 petits centres privés d’entreprises.
La publication de cette carte intervient quelques semaines après que Bercy et sa direction générale des entreprises ont publié un guide dédié à l’installation de centres de données sur le territoire, censé déminer les difficultés associées aussi bien pour les porteurs de projet que pour les propriétaires fonciers ou les collectivités.
À l’échelle du globe, la France fait partie des cinq pays comptant le plus de centres de données commerciaux, derrière les États-Unis, le Royaume-Uni, la Chine et l’Allemagne.
Ces derniers jours, des utilisateurs de périphériques Logitech sur Mac ont peut-être remarqué que leur application Options+ ou G Hub ne fonctionnait plus. C’est normal : Logitech a oublié de renouveler un certificat de sécurité servant à la bonne marche de ses applications, les rendant inopérantes.
Dans un fil Reddit, Joe Santucci, responsable du marketing mondial chez Logitech, expliquait ce 7 janvier : « Le certificat expiré sert à sécuriser les communications inter-processus et cette expiration fait que le logiciel ne peut pas démarrer correctement ». Dans un autre message, il faisait amende honorable : « On s’est vraiment plantés là. C’est une erreur impardonnable. Nous sommes vraiment désolés pour la gêne occasionnée ».
Quelques heures après, Logitech publiait des versions mises à jour de ses applications, avec un nouveau certificat en bonne et due forme. Malheureusement, c’est là que le problème prend de toutes autres proportions : le certificat expiré était également utilisé pour les mises à jour automatiques. Les versions concernées ne peuvent donc pas récupérer les nouvelles et les installer. La manipulation doit nécessairement être manuelle.
Dans la page mise en ligne pour pousser les applications à jour (pour macOS 26 Tahoe, macOS 15 Sequoia, macOS 14 Sonoma et macOS 13 Ventura), Logitech ajoute que l’installeur doit être utilisé sur des installations existantes pour que les paramètres soient préservés. La FAQ indique cependant que des utilisateurs peuvent avoir été tentés de désinstaller les anciennes versions pour les réinstaller. Un réflexe habituel, mais qui supprime les paramètres personnalisés.
Opérés depuis Goldman Sachs depuis leur lancement, la carte de paiement Apple Card et les services de crédit et de cashback associés vont passer entre les mains d’une autre banque, JP Morgan Chase. Cette transition, annoncée le 7 janvier, doit s’échelonner sur environ deux ans.
Elle est censée se dérouler sans heurts et surtout sans interruption de service pour les souscripteurs de ces services financiers, lancés par Apple aux États-Unis à partir de 2019. « Les utilisateurs d’Apple Card peuvent continuer à utiliser leur carte comme d’habitude pendant la transition. Des informations supplémentaires seront communiquées à l’approche de la date de transition », indique Apple dans une FAQ dédiée.
S’il est présenté comme indolore pour le client final, ce changement de partenaire financier se révèle cependant le fruit de longues négociations. Il aurait ainsi fallu plus d’un an à Apple pour identifier un successeur à Goldman Sachs, et parvenir à la négociation d’un accord susceptible de convenir aux trois parties prenantes.
La clientèle de l’Apple Card représente environ 20 milliards de dollars d’encours de prêts, d’après le Wall Street Journal. JPMorgan Chase aurait obtenu une décote de plus d’un milliard de dollars sur cet encours, révèle le quotidien économique, ce qui signifie que Goldman Sachs souhaitait s’en débarrasser.
Associée en priorité à l’iPhone et Apple Pay, l’offre Apple Card s’accompagne d’une carte physique, blanche, en titane – crédit Apple
Dans sa propre communication, Goldman Sachs affirme poliment que cette transaction participe de sa volonté de resserrer son offre de services financiers à destination du grand public. Son CEO, David Solomon, n’avait cependant pas fait mystère de sa volonté de se désengager de l’accord passé avec Apple.
Alors que les deux entreprises devaient initialement collaborer jusqu’en 2030, Solomon avait publiquement évoqué une rupture anticipée de contrat en janvier 2025, expliquant que l’Apple Card avait contribué à faire baisser le rendement des capitaux propres de Goldman Sachs de 75 à 100 points de base en 2024.
Goldman Sachs n’a pas communiqué précisément les pertes associées à l’Apple Card, mais la banque déclarait, sur son exercice 2024, 859 millions de dollars de déficit pour sa division Platform Solutions, dédiée notamment à ses partenariats en matière de paiement.
Reste à voir dans quelle mesure JPMorgan Chase et Apple décideront (ou non) de faire évoluer l’offre Apple Card pour améliorer sa rentabilité. La carte de paiement aux couleurs d’Apple (blanche, en titane et gravée au laser) promet notamment 3 % de rétrocessions (cashback) sur les achats réalisés chez Apple et une série de partenaires, une épargne rémunérée et un accès simplifié à des offres de crédit à la consommation qui constituent le nerf de la guerre du modèle.
Le lancement de l’Apple Card, en 2019, avait été entaché d’une polémique liée aux algorithmes en charge du calcul des autorisations de crédit, accusés de biais sexistes. Dans certains cas, ces derniers accordaient des autorisations de crédit supérieures à des hommes qu’à des femmes, pourtant en couple au sein d’un même foyer. Steve Wozniak, cofondateur d’Apple, avait lui-même été victime du phénomène. L’enquête diligentée par le département des services financiers de l’état de New York s’était finalement conclue par un non lieu (PDF) en 2021.
Début 2024, Apple et Goldman Sachs ont en revanche écopé d’une amende de 89 millions de dollars prononcée par le Consumer Financial Protection Bureau (CFPB) pour n’avoir pas géré de façon correcte des transactions litigieuses signalées par les utilisateurs de la carte, et pour défaut d’information sur certains pans de l’offre de crédit.
La plateforme d’automatisation open source n8n est victime de deux failles critiques affichant la note de sévérité maximale (10/10). Il est recommandé de mettre à jour au plus vite les installations.
n8n est une plateforme d’automatisation des workflows. Elle permet de connecter des services (API, bases de données, SaaS, scripts…) à des actions pour qu’elles se déclenchent quand les conditions sont réunies. La plateforme, open source, a largement gagné en popularité au point d’en faire l’un des produits les plus suivis, notamment parce qu’elle peut s’interfacer avec à peu près n’importe quoi, via des connecteurs, dont des systèmes IA.
Deux failles critiques de sévérité maximale
Elle est cependant touchée par deux failles de sécurité dont la criticité est maximale, avec un score CVSS de 10 sur 10, soit le maximum. La première, estampillée CVE-2026-21877, est de type RCE (Remote Code Execution) et peut donc permettre l’exécution d’un code arbitraire à distance. « Dans certaines conditions, un utilisateur authentifié peut être capable de faire exécuter un code non fiable par le service n8n. Cela pourrait entraîner une compromission complète de l’instance concernée. Les instances auto-hébergées et n8n Cloud sont toutes deux concernées », indique l’équipe de développement dans une note sur GitHub.
Dans ce contexte, un acteur malveillant peut, en exploitant la faille, introduire des instructions dans la logique d’exécution des workflows et de gestion des identifiants. Il peut ajouter ou supprimer des workflows, exfiltrer des données sensibles, déployer du code malveillant et aboutir à une compromission totale du serveur.
La deuxième faille, CVE-2026-21858, est « pire », bien que disposant de la même note. « Une vulnérabilité dans n8n permet à un attaquant d’accéder aux fichiers du serveur sous-jacent en exécutant certains flux de travail basés sur des formulaires. Un flux de travail vulnérable pourrait accorder l’accès à un attaquant distant non authentifié. Cela pourrait entraîner une exposition d’informations sensibles stockées sur le système et permettre de nouvelles compromissions selon la configuration du déploiement et l’utilisation du flux de travail », explique l’équipe dans une autre note. La faille est corrigée
Quatre fois en deux mois
La première faille a été corrigée dans la version 1.121.3 et la seconde dans la 1.121.0, toutes deux sorties en novembre. D’ailleurs, les failles aussi ont été découvertes en novembre. Elles n’ont été révélées que très récemment, le temps que les mises à jour se fassent sur un maximum de configurations. Dans les deux cas, la consigne est bien sûr d’installer la dernière version dès que possible, si ce n’est pas encore fait.
Problème supplémentaire pour n8n, c’est la quatrième fois en deux mois qu’une faille critique est découverte. Et pas des moindres : les vulnérabilités CVE-2025-68613 et CVE-2025-68668, découvertes respectivement fin décembre et début janvier, ont toutes deux un score CVSS de 9,9, soit pratiquement le maximum.
Dans cette liste, 31 organisations appartiennent à l’ONU dont, par exemple, l’Université des Nations unies, le Centre du commerce international, l’International Energy Forum ou encore l’Institut des Nations unies pour la formation et la recherche.
Hors ONU, y figurent aussi la Commission for Environmental Cooperation, l’European Centre of Excellence for Countering Hybrid Threats, l’Intergovernmental Forum on Mining, Minerals, Metals, and Sustainable Development ou l’Intergovernmental Panel on Climate Change.
Le mémorandum précise que « j’ai déterminé qu’il était contraire aux intérêts des États-Unis de rester membre, de participer ou d’apporter un soutien » à ces organisations.
Google et Character.AI ont trouvé de premiers accords dans diverses plaintes relatives à des suicides ou des blessures de mineurs après l’usage de robots conversationnels.
La start-up de création de chatbot Character.AI et Google ont conclu des accords avec plusieurs familles dont les enfants se sont blessés ou suicidés après des échanges avec leurs robots conversationnels.
Au moins cinq accords conclus aux États-Unis
En octobre 2024, Megan Garcia avait déposé une plainte contre Character.AI, accusant l’entreprise d’être responsable du suicide de son fils Sewell Setzer III, 14 ans au moment des faits. Ce dernier avait discuté longuement avec l’un des chatbots de l’entreprise avant de se donner la mort.
Megan Garcia accusait l’entreprise de ne pas avoir déployé les garde-fous nécessaires sur ses outils pour empêcher son fils de développer une relation intime et problématique avec les robots. Selon la plainte, les outils auraient notamment généré des textes à connotation sexuelle, et n’auraient pas formulé de réaction lorsque le garçon a commencé à évoquer des formes d’automutilation.
Ce 7 janvier, relève Business Insider, une nouvelle requête judiciaire indique que la famille Garcia, les fondateurs de Character.AI, Noam Shaker et Daniel de Freitas, et Google ont trouvé un accord. En 2024, Google avait embauché les deux fondateurs de Character.AI et signé un accord non exclusif d’accès aux technologies de la start-up.
Character.AI et Google ont par ailleurs conclu des accords dans au moins quatre autres affaires similaires, dans les États de New York, du Colorado et du Texas.
Multiples plaintes déposées contre des constructeurs d’IA générative
La plainte de la famille Garcia fait partie d’une série plus large déposée contre différents constructeurs de robots conversationnels, dont OpenAI ou Meta.
Ces multiplications de plaintes ont conduit la Federal Trade Commission (FTC) à ouvrir une enquête sur les conséquences générales que créent l’exposition de mineurs à des robots conversationnels.
Microsoft prévoyait depuis avril 2024 d’imposer graduellement une limite de 2 000 e-mails par jour et par personne dans les entreprises clientes d’Exchange Online. Un changement radical de l’External Recipient Rate, puisque la limite était alors fixée à 10 000. Microsoft justifiait la mesure par des abus constatés, l’éditeur expliquant que son service n’était pas conçu pour les envois de masse.
Ce changement devait initialement prendre effet au 1er janvier 2026. Comme le rappelle notamment Neowin, il avait été repoussé à avril pour les nouveaux clients et les comptes d’essais, et à octobre pour les comptes existants. Il n’en sera finalement rien.
Dans un billet de blog publié le 6 janvier, Microsoft explique avoir renoncé à ce changement « indéfiniment pour le moment ». La raison ? Les retours négatifs de la clientèle : « Les clients ont indiqué que cette limite pose d’importants défis opérationnels, surtout compte tenu des capacités limitées des offres d’envoi en masse disponibles aujourd’hui. Vos retours comptent, et nous nous engageons à trouver des solutions qui équilibrent sécurité et ergonomie sans provoquer de perturbations inutiles ».
Microsoft ajoute vouloir toujours combattre les abus du service, « comme le spam et les e-mails malveillants ». Elle aimerait également limiter les mésusages d’Exchange Online, dont les applications line-of-business (LOB) qui se servent du service pour les envois de masse. « Cependant, nous prévoyons de traiter ces problèmes de manière à moins perturber les flux de travail de votre entreprise. Cela signifie des approches plus intelligentes et adaptatives qui protègent le service tout en respectant vos besoins opérationnels », ajoute l’entreprise.
La limite reste donc de 10 000 e-mails envoyés par jour et par personne, en tout cas pour l’instant.
Discord travaille avec Goldman Sachs et JP Morgan Chase à une entrée en bourse prévue pour mars, d’après Bloomberg.
Populaire chez les adeptes de jeux vidéo et les programmeurs, la plateforme affirme compter plus de 200 millions d’utilisateurs mensuels dans le monde. En 2022, elle en comptait 7,6 millions en France.
Les discussions ne viennent toutefois pas de commencer : en mars 2025, Discord était déjà en discussion pour ce type d’opération.
Les actions du gouvernement fédéral en général et du ministère de l’efficacité gouvernementale (DOGE) en particulier avaient créé trop d’inquiétudes pour permettre une entrée en bourse dans les bonnes conditions.
En 2021, l’entreprise avait refusé d’être rachetée par Microsoft pour 10 milliards de dollars.
NVIDIA ne veut pas rester enfermée dans le matériel. L’entreprise a profité du CES pour dévoiler une toute nouvelle plateforme et plusieurs modèles IA ouverts pour permettre aux constructeurs automobiles de progresser vers la conduite autonome.
Tesla aurait-elle tout à coup un très sérieux concurrent ? Pas sûr, mais la société d’Elon Musk doit surveiller de près le développement de NVIDIA, dont les activités sur la conduite autonome se renforcent depuis une décennie maintenant et viennent de passer un nouveau cap.
Si la présentation de la plateforme Vera Rubin a largement concentré les attentions, la firme au caméléon avait une autre annonce majeure en réserve. Elle a ainsi officialisé une plateforme désormais complète pour aider à développer des véhicules autonomes. Contrairement à Tesla qui développe sa propre technologie à des fins d’intégration verticale, NVIDIA a choisi de se présenter en fournisseur d’un « cadre » de développement, permettant de gérer toutes les étapes de l’automatisation.
Revenons d’abord un instant sur Cosmos, une plateforme déjà présentée et conçue pour accélérer le développement de ce que NVIDIA nomme « l’IA physique » (véhicules autonomes, robots, agents d’analyse vidéo…). Elle comprend des modèles de fondation ouverts, un lot de garde-fous et des bibliothèques pour traiter les informations. En clair, Cosmos est dédié à l’entrainement des modèles.
Lors d’une présentation au CES, NVIDIA a fait la démonstration d’opérations réalisées par Cosmos : génération de vidéos « réalistes » depuis une seule image, synthèse de scénarios de conduite multi-caméras, modélisation d’environnements spécifiques, raisonnement « physique » et prédiction de trajectoires, etc. Pendant la présentation, ces opérations étaient réalisées à partir de la version 2 des modèles Cosmos.
Sur ce socle amélioré, NVIDIA vient greffer Alpamayo. Ce portefeuille est constitué de modèles d’intelligence artificielle de type vision-langage-action (VLA) allant au-delà de la simple perception. Selon Jensen Huang, « Alpamayo permet aux véhicules autonomes de réfléchir dans des situations rares, de naviguer en toute sécurité dans des environnements complexes, et d’expliquer leurs décisions de conduite. Non seulement il prend l’entrée des capteurs et active le volant, les freins et l’accélération, mais il réfléchit aussi à l’action qu’il va entreprendre ».
Alpamayo 1, le modèle principal, compte 10 milliards de paramètres. Il peut traiter la vidéo des caméras pour générer des trajectoires de conduite. Les ambitions de NVIDIA passent également par l’open source : les modèles sont ouverts et sont accompagnés d’un simulateur (AlpaSim) et d’une base comptant les données de plus de 1 700 heures de conduite. Le tout s’intègre dans la plateforme DRIVE Hyperion dédiée au développement de véhicules autonomes, avec la volonté affichée de faire progresser les véhicules vers le niveau 4 d’automatisation.
Le premier modèle Alpamayo est disponible sur Hugging Face, NVIDIA souhaitant que les développeurs s’en emparent pour le spécialiser ou le distiller.
Des plans concrets
Contrairement aux précédentes annonces de NVIDIA dans ce domaine, l’arrivée d’Alpamayo a été suivie immédiatement par la confirmation d’un premier véhicule pour le premier trimestre de cette année : une Mercedes-Benz CLA de 2025, basée sur la plateforme DRIVE et utilisant donc Alpamayo. Comme l’indique le communiqué de presse, il s’agit pour l’instant d’une conduite de niveau 2 +, à destination du marché américain uniquement. L’Europe et l’Asie doivent suivre plus tard dans l’année, sans autre précision pour l’instant.
Cette voiture, qui s’inscrit dans le cadre d’un partenariat entre les deux entreprises depuis 2020, proposera des fonctions comme « la navigation urbaine point à point dans des environnements urbains complexes, une sécurité active avancée avec prévention proactive des collisions et un stationnement automatisé dans les espaces exigus ».
Rien de révolutionnaire dans l’absolu, mais il s’agira du premier véhicule à tirer réellement partie de toute la pile DRIVE : Cosmos pour l’entrainement, Omniverse pour les bibliothèques et microservices, Alpamayo pour la conduite elle-même et Halos pour la sécurité. La présentation était assortie d’une démonstration de 45 minutes où l’on pouvait notamment voir la Mercedes se glisser dans une circulation dense à San Francisco
Les ambitions de NVIDIA dans ce domaine sont très claires : « Notre vision est qu’un jour, chaque voiture, chaque camion sera autonome, et nous travaillons à cet avenir », a déclaré Jensen Huang, CEO de la société. L’expertise dont elle se dote à toute allure se répand également dans les usines de production et les robots, avec des partenaires comme Synopsys, Cadence, Boston Dynamics et Franka.
Chambardement dans l’industrie automobile ?
NVIDIA n’a donc clairement pas l’intention de se laisser enfermer dans le domaine du matériel, qui commence déjà à montrer des signes de tensions importantes avec les problèmes d’approvisionnement en mémoire. La société jouit déjà depuis longtemps d’une pile logicielle en expansion constante pour exploiter la puissance de ses GPU dans de multiples domaines. Elle avait commencé avec CUDA et a récupéré la première place dans la course folle à l’IA, voyant au passage sa capitalisation boursière exploser.
L’arrivée d’un tel acteur dans le domaine de la conduite autonome pourrait donc entrainer un bouleversement dans l’industrie automobile, d’autant que l’arrivée de la Mercedes-Benz CLA modifiée vient poser du concret sur la table. Plusieurs autres véhicules sont prévus, en provenance de Toyota, Volvo, Lotus ou encore Rivian, tous basés sur la plateforme DRIVE.
NVIDIA, dans ses communications, n’évoque jamais directement Tesla, mais il suffit d’avoir vu la vidéo consacrée à Cosmos pour comprendre la référence : « Collecter des données entrainées sur le monde réel est un processus lent et couteux, et ce n’est jamais assez. La réponse ? Les données synthétiques ». Jensen Huang a cependant été interrogé sur cette comparaison par Bloomberg. Le CEO estime que la pile logicielle de Tesla est actuellement « la plus avancée au monde » et que les approches des deux entreprises sont « assez similaires ». Ne voulant manifestement pas développer plus loin le sujet, Huang a simplement ajouté qu’il « encourageait » Tesla à continuer.
La comparaison avec Tesla est inévitable. Est-ce pour autant un concurrent direct ? Pas vraiment. Tesla est assise sur une base immense de données de conduite issues directement de l’utilisation de ses véhicules. Une base qui continue de grandir, permettant d’affiner sa fonction de conduite supervisée FSD (Full Self-Driving). Tesla ne licencie pas sa technologie, qui n’existe que sur ses propres véhicules. NVIDIA part au contraire d’une technologie plus ouverte et de données synthétiques, que les constructeurs sont libres d’intégrer.
Avec cette approche, NVIDIA veut se tailler une place de choix. Fournir gratuitement les modèles et le simulateur permet une adoption rapide, ainsi que le prototypage de nouvelles solutions. NVIDIA cherche tout simplement à reproduire le grand succès de CUDA, car une fois les solutions prêtes, c’est bien son matériel qui doit être utilisé pour les faire fonctionner. Et NVIDIA vend bien sûr des kits de développement Drive AGX (Thor et Orin), le même système qui peut ensuite être intégré aux véhicules pour s’occuper des calculs. Et pour entrainer les modèles ? Il faut des systèmes DGX, contenant les fameuses puces dédiées à l’IA et dont le couple Vera Rubin est la prochaine incarnation.
NVIDIA n’est cependant pas la seule entreprise à proposer ce type de vision intégrée. Qualcomm est également sur la rampe depuis des années avec son Digital Chassis, notamment renforcé en 2023 en direction des deux roues. La société s’intéresse également depuis longtemps aux communications entre les véhicules et l’infrastructure. Et le CES a également été l’occasion de plusieurs annonces autour de « l’IA physique ».
Voilà une idée qui mériterait sans doute de faire des émules : Bose, qui avait annoncé en octobre dernier la fin du support technique et des services connectés associés aux enceintes de la gamme SoundTouch, vient d’offrir une alternative aux consommateurs concernés.
Le fabricant a en effet mis à jour, mercredi 7 janvier, la note d’information dédiée, pour signaler la mise à disposition de la documentation relative à l’API SoundTouch. « Nous rendons nos spécifications techniques disponibles afin que les développeurs indépendants puissent créer leurs propres outils et fonctionnalités compatibles avec SoundTouch ».
Les conditions d’utilisation de l’API en question (documentation en PDF) ont elles aussi été mises à jour en date du 7 janvier, pour refléter cette nouvelle permissivité.
Bose annonce par ailleurs que la date de fin programmée des services cloud opérés par ses soins sur les produits SoundTouch, initialement fixée au 18 février 2026, était désormais reportée au 6 mai 2026.
Après le 6 mai, les enceintes concernées ne recevront donc plus aucune mise à jour (notamment de sécurité). Ces dernières resteront cependant fonctionnelles sur un réseau local, lorsqu’elles sont alimentées par une application ou un service de musique exécuté depuis un autre appareil. En revanche, le pilotage centralisé des services musicaux depuis l’application Bose ne sera plus possible… à moins donc que de nouveaux clients non officiels prennent le relais, en vertu de l’API rendue disponible.
« Les systèmes SoundTouch par Bose ont été lancés en 2013. Depuis, la technologie a évolué et nous ne sommes plus en mesure de continuer le développement et l’assistance de l’infrastructure du cloud qui supporte cette ancienne génération de produits. Nous nous engageons toujours vers la création de nouvelles expériences sonores pour nos clients en nous appuyant sur des technologies modernes », justifie le constructeur.
Google n’en finit pas de revoir sa gestion d’Android Open Source Project (alias AOSP). C’est la version open source (sous licence Apache 2.0) du système d’exploitation mobile utilisée par des fabricants et développeurs de ROM alternatives, comme LineageOS.
Google indique à Android Authority que la publication du code source se fera désormais deux fois par an, « au deuxième et au quatrième trimestre de chaque année ». Cela correspond au rythme de déploiement d’Android, avec une version majeure au deuxième trimestre et une mineure au quatrième.
Jusqu’à présent, la version AOSP était publiée « dans les jours suivant le déploiement de la mise à jour correspondante sur ses propres appareils mobiles Pixel », rappellent nos confrères. Désormais, Google va se garder une longueur d’avance.
Flock
L’annonce est confirmée sur cette page, avec un message pour les développeurs : « À partir de 2026, pour nous aligner sur notre modèle de développement stable et garantir la stabilité de la plate-forme pour l’écosystème, nous publierons le code source sur AOSP au deuxième et au quatrième trimestre. Pour créer et contribuer à AOSP, nous vous recommandons d’utiliser android-latest-release au lieu de aosp-main. La branche de fichier manifeste android-latest-release fera toujours référence à la version la plus récente envoyée à AOSP ».
Google précise à nos confrères que cela ne devrait rien changer pour les correctifs liés à la sécurité : « l’entreprise continuerait à publier chaque mois des correctifs de sécurité sur une branche dédiée uniquement à la sécurité pour les versions pertinentes du système d’exploitation, tout comme elle le fait aujourd’hui », affirme Android Authority. Pourtant, ce fonctionnement aussi a changé il y a quelques mois, au grand dam de LineageOS.
Il y a un peu moins d’un an, Google annonçait que le développement d’Android passait uniquement en interne, avec une conséquence visible : la version publique d’Android est toujours en retard sur la version interne. Google bascule de plus en plus dans un modèle où ses smartphones seront en avance sur les autres niveau logiciel.
Le directeur de la FDA, Marty Makary, a annoncé au CES assouplir la régulation sur les appareils de santé numériques, notamment concernant les logiciels d’aide à la décision clinique (dont ceux utilisant l’IA générative) et les produits portables pour surveiller les problèmes de santé, tant que ceux-ci ne s’affichent pas comme des dispositifs médicaux.
« Une nouvelle ère pour la santé numérique », c’est le titre de la conférence qu’a donnée Marty Makary, le directeur de la FDA (Food and Drug Administration, l’agence états-unienne responsable de la régulation concernant les médicaments et les produits alimentaires), ce mardi à l’occasion du CES. Cette nouvelle ère ressemble fortement à celle de l’IA voulue par Donald Trump lors de son second mandat : celle d’un assouplissement de la régulation de ces industries. Ainsi Marty Makary a affirmé vouloir favoriser un environnement propice aux investisseurs et faire évoluer la réglementation de la FDA « à la vitesse de la Silicon Valley », comme l’explique le site d’informations médicales Statnews.
L’agence a publié, de fait, une nouvelle interprétation [PDF] des critères à prendre en compte pour savoir si un logiciel d’aide à la décision clinique rentre ou non dans son périmètre de régulation.
« Laissons le marché décider »
Sur Fox Business, Marty Makary a insisté sur les assouplissements concernant les appareils considérés comme « fournissant des informations non médicales ». « Nous voulons faire savoir aux entreprises, à l’aide de directives très claires, que si leur appareil ou leur logiciel se contente de fournir des informations, elles peuvent le faire sans être soumises à la réglementation de la FDA », affirme-t-il.
« S’ils ne prétendent pas être de qualité médicale, laissons le marché décider. Laissons les médecins choisir parmi un marché concurrentiel ceux qu’ils recommandent à leurs patients. Bon nombre de ces dispositifs médicaux basés sur l’IA et ces technologies logicielles s’améliorent avec le temps. Il n’est donc pas vraiment approprié pour nous, à la FDA, d’utiliser un ancien modèle consistant simplement à apposer un cachet sur quelque chose, dans un marché en pleine évolution », ajoute le responsable de l’agence de régulation.
Marty Makary ne détaille pas les appareils qui ne figureront plus dans la liste des produits que la FDA régulera. Selon Statnews, cette nouvelle doctrine indique que cela va concerner des appareils qui mesurent des paramètres physiologiques tels que la pression artérielle, la saturation en oxygène et la glycémie, et qui sont destinés uniquement à des fins de bien-être. Mais cela va aussi « ouvrir la voie à l’utilisation non réglementée de produits d’IA générative pour certaines tâches médicales, telles que la synthèse des conclusions d’un radiologue ».
Conseillé par des personnes impliquées dans le business du numérique en santé
Pourtant, si une régulation était en place depuis 2022, certains chercheurs appelaient en octobre dernier dans la revue scientifique médicale JAMA à faire exactement le contraire de ce qu’annonce Marty Makary. Ils expliquaient que les lois états-uniennes excluaient déjà trop les logiciels (dont les logiciels avec de l’IA) de la définition des « dispositifs médicaux » si leur fonction est d’apporter un soutien administratif, un soutien général au bien-être, certains types d’aide à la décision clinique ou certaines fonctions de gestion de dossiers médicaux.
Mais, sur le numérique dans la santé, la FDA a indiqué à Statnews que Marty Makary est notamment conseillé par Jared Seehafer, Shantanu Nundy et Richard Abramson. Tous les trois ont travaillé pour des entreprises spécialisées dans le numérique en santé (Enzyme pour le premier, Accolade Health pour le deuxième et annalise.ai maintenant nommée Harrison.ai pour le troisième).
Selon Statnews, une des principales critiques contre la régulation de 2022 concernait le fait que si un dispositif indiquait un résultat et une voie à suivre, il entrait alors dans le périmètre de surveillance de l’agence. Du point de vue de l’industrie, il suffisait alors de proposer plusieurs résultats, même non appropriés, pour passer outre. La nouvelle directive simplifie le problème en permettant à la FDA d’exercer un pouvoir discrétionnaire sur le classement d’un dispositif dans la catégorie des produits qu’elle n’a pas à contrôler.
Enfin, Marty Makary ne veut surtout pas mettre le nez dans les affaires des entreprises de l’IA grand public, même si leurs produits génèrent des contenus sur la santé : « Si quelque chose se contente de fournir des informations comme ChatGPT ou Google, nous ne pouvons pas rivaliser avec ce géant. Nous n’allons pas intervenir et dire : « il y a un résultat qui est inexact, nous devons donc fermer ce service » », affirme-t-il à Fox Business. Les AI Overviews de Google ont pourtant généré récemment plusieurs exemples de conseils de santé erronés.
Alors que Donald Trump menace d’annexer le Groenland, la Commission européenne va négocier en 2026 avec les États-Unis l’accès à des données sensibles de citoyens européens comme l’origine ethnique, les opinions politiques, l’orientation sexuelle ou des données biométriques pour recourir à l’exemption de visa aux frontières étatsuniennes. Les ministres des Affaires européennes des pays européens ont donné leur feu vert aux négociations.
Mi-décembre, le Conseil des affaires générales (qui rassemble tous les ministres des Affaires européennes des États membres de l’UE) a autorisé « sans débat » la Commission européenne à entamer des négociations avec les États-Unis concernant un accord-cadre prévoyant le partage de données sensibles dans le cadre de leur programme « Visa Waiver ».
Celui-ci, mis en place en 1986, permet à des ressortissants de 42 pays (dont la France) de « voyager aux États-Unis pour affaires ou pour le tourisme pour des séjours d’une durée maximale de 90 jours sans visa ».
De nouvelles conditions introduites en 2022
Mais, sous Joe Biden en 2022, les États-Unis ont introduit une nouvelle condition pour qu’un pays puisse en bénéficier : la signature d’un « Partenariat renforcé pour la sécurité des frontières », PRSF (« Enhanced Border Security Partnership », EBSP) avec le département de la Sécurité intérieure des États-Unis.
Dans ce « partenariat », ce département exige, pour donner accès au programme « Visa Waiver » aux ressortissants d’un pays, d’avoir accès à des informations sur « les voyageurs qui se rendent aux États-Unis et sont susceptibles d’avoir un lien avec le pays partenaire du programme d’exemption de visa », mais aussi toute personne qui voudrait immigrer aux États-Unis ou avoir une protection humanitaire, et enfin « les personnes détectées par les services répressifs du ministère américain de la sécurité intérieure dans le cadre des contrôles frontaliers et de l’immigration aux États-Unis », explique la Commission européenne dans un document de recommandation publié en juillet 2025. Bref, les bases de données européennes pourraient être consultées lors d’une bonne partie des contrôles d’immigration.
Rappelons que, depuis le retour de Donald Trump au pouvoir, les services de l’immigration et des douanes états-uniens, l’ICE, ont massifié leur système de surveillance, scrutant les réseaux sociaux et mettant en place une reconnaissance biométrique sans échappatoire pour les contrôles d’identité dans les rues. Les services des douanes américains envisagent de conditionner l’entrée des candidats au programme « Visa Waiver » au partage, entre autres, de 5 ans d’historique de réseaux sociaux.
Un accès conditionné à des données à caractère personnel sur les opinions politiques, l’origine, les données biométriques et génétiques…
Toujours selon le document de la Commission, l’accord-cadre pourrait autoriser « le transfert de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le transfert de données génétiques, de données biométriques aux fins de l’identification d’une personne physique de manière unique, et de données relatives à la santé et à la vie sexuelle ou à l’orientation sexuelle d’une personne […] pour prévenir ou combattre les infractions pénales, dont le terrorisme, visées dans l’accord-cadre, et sous réserve de garanties appropriées parant aux risques propres au traitement des données ».
Le texte affirme que ce transfert devra se faire « lorsque cela est strictement nécessaire et proportionné ». L’administration Trump a montré, par exemple avec l’enlèvement récent de Nicolás Maduro ou ses menaces d’annexer le Groenland, qu’elle pouvait passer outre ce genre de considérations. Pourtant, les gouvernements européens ont donc tous, « sans débat », donné le feu vert à la Commission européenne pour négocier cet accord-cadre.
Selon un document de travail [PDF] de la présidence danoise du Conseil obtenu par le site Statewatch datant de quelques semaines avant l’autorisation donnée par le Conseil des affaires générales, l’accord-cadre doit couvrir « le contrôle et la vérification de l’identité des voyageurs nécessaires pour déterminer si leur entrée ou leur séjour présenterait un risque pour la sécurité publique ou l’ordre public ». Et les informations pourront être utilisées « pour lutter contre l’immigration irrégulière et pour prévenir, détecter et combattre les infractions graves et les infractions terroristes, à condition que ces efforts s’inscrivent dans le cadre de la gestion et du contrôle des frontières ».
Un cadre puis des négociations bilatérales pour le détail du type de données partagées
La Commission va donc négocier ce cadre et chaque pays devra ensuite engager des négociations en bilatéral avec Washington pour préciser quels types de données pourront être utilisés et quelles bases de données seront interrogeables. Mais selon un autre document obtenu par StateWatch [PDF], ces négociations doivent aller vite, puisque les États-Unis s’attendent à ce que ces « partenariats » soient mis en place au 31 décembre 2026.
Si le Conseil met en avant une unanimité des positions, une note diplomatique allemande datant du 1e décembre [PDF] obtenue par Euractiv indiquait qu’à ce moment-là « un État membre a posé une ligne rouge ». La diplomatie allemande indiquait ensuite « (probablement la France) ». Contacté dans la matinée par Next sur le sujet, le ministère de l’Europe et des Affaires étrangères n’a pour l’instant pas répondu à nos demandes de précisions sur le sujet.
En septembre, le Contrôleur européen de la protection des données (CEPD) a émis un avis sur le sujet [PDF], affirmant que cet accord-cadre « créerait un précédent important, car il s’agirait du premier accord conclu par l’UE impliquant un partage à grande échelle de données à caractère personnel, y compris de données biométriques, à des fins de contrôle des frontières et de l’immigration par un pays tiers ». Il estimait « nécessaire de procéder à une analyse approfondie de l’impact sur les droits fondamentaux de l’accord-cadre proposé et des partenariats renforcés avec les États-Unis en matière de sécurité aux frontières ».
Dans son document de préparation, la Commission européenne précise que le Danemark et l’Irlande ne sont pas concernés par le texte (le premier en référence à sa position sur le fonctionnement de l’Union européenne, le deuxième car il ne fait pas partie de l’espace Schengen).
Le CES est l’occasion pour Asus de dégainer son premier routeur Wi-Fi 8… enfin un « concept » plus exactement, pas encore un produit commercial. Broadcom continue de décliner sa gamme de puces pour le Wi-Fi, tandis que MediaTek occupe le terrain médiatique avec une annonce (vide). 2026 devrait être l’année des premières annonces de produits.
Depuis des années, les fabricants sont en avance sur la norme. Le Wi-Fi 8 n’est pas encore officiel que déjà les annonces pleuvent durant le CES de Las Vegas. Asus par exemple présente un « concept » de routeur en Wi-Fi 8 : le ROG NeoCore.
Asus partage une image, mais ne donne aucune caractéristique technique. Le fabricant se contente de déclarations du genre : « le Wi-Fi 8 ne consiste pas seulement à augmenter les débits – il s’agit de rendre chaque connexion plus intelligente et plus fiable », explique Tenlong Deng, vice-président chez Asus.
Alors que les routeurs de nouvelles générations sont souvent bardés d’antennes bien visibles, le ROG NeoCore n’en a aucune extérieure. Le fabricant affirme que « ses premiers routeurs domestiques WiFi 8 arriveront en 2026 ». L’entreprise propose plus de détails sur la technologie du Wi-Fi 8 sur cette page.
Des puces Wi-Fi 8 chez Broadcomm et MediaTek
Broadcomm de son côté annonce un APU BCM4918 ainsi que deux puces BCM6714 et BCM6719 ; tous avec le Wi-Fi 8 en ligne de mire. Le fabricant avait déjà présenté sa puce BCM6718 en octobre dernier, elle aussi en Wi-Fi 8. Des échantillons sont déjà disponibles pour certains clients triés sur le volet.
La BCM6714 propose 3 flux en 2,4 GHz (3×3) et 4 flux en 5 GHz (4×4), tandis que la BCM6719 est en 4×4 sur les deux bandes de fréquences. Les deux disposent d’un amplificateur de puissance sur les 2,4 GHz pour « réduire les composants externes et améliorer l’efficacité des ondes ». La BCM6718 prend pour sa part en charge trois bandes de fréquences (2,4, 5 et 6 GHz) en 4×4, mais sans amplificateur intégré.
MediaTek aussi répond présent à l’appel du Wi-Fi 8 avec sa famille Filogic 8000… et c’est à peu près tout. Le reste du communiqué parle des avantages et espoirs du Wi-Fi 8, pas des caractéristiques des futures puces de MediaTek, dont les premiers exemplaires « devraient être livrés aux clients plus tard cette année ».
Le Wi-Fi 8 fonctionne déjà (en labo), les nouveautés attendues
En octobre, TP-Link affirmait réaliser pour la première fois des échanges de données en Wi-Fi 8, via un prototype développé dans le cadre d’un partenariat industriel (sans précision supplémentaire).
Le Wi-Fi 8 ne devrait pas révolutionner les débits – même si certains parlent de 100 Gb/s, bien au-delà de ceux théoriques du Wi-Fi 7 (46 Gb/s) – mais augmenter grandement la fiabilité, notamment dans des conditions difficiles. Le Wi-Fi 8 est aussi connu sous la norme IEEE 802.11bn Ultra High Reliability (UHR).
« Le Wi-Fi 8 pourrait atteindre des débits théoriques proches de 100 Gb/s, mais sa priorité serait une expérience plus fluide et stable », affirmait TP-Link. « L’objectif de cette norme de nouvelle génération est d’améliorer l’expérience utilisateur en augmentant, non seulement la vitesse, mais aussi la fiabilité ». La latence devrait aussi être améliorée », expliquait HPE.
Qualcomm en parle comme « un tournant fondamental : il va au-delà des débits pour privilégier des performances fiables dans des conditions réelles et difficiles ». Le Wi-Fi proposera une « connectivité cohérente, à faible latence et presque sans perte, même dans des environnements (mobiles) très encombrés, sujets aux interférences ».
Rendez-vous en 2028 pour la finalisation, cette année pour les produits
L’été dernier, nous avions publié un tour d’horizon des attentes du Wi-Fi 8, avec par exemple la coordination multi-AP (points d’accès multiples) souvent mise en avant. Citons également des améliorations sur la gestion du spectre, avec « le fonctionnement dynamique du sous-canal DSO/l’accès au canal non principal NPCA ». La finalisation de la norme est attendue pour 2028.
Comme c’était déjà le cas pour les précédentes versions, des produits seront commercialisés bien avant, dès cette année selon les déclarations du jour d’Asus par exemple. Le programme de certification du Wi-Fi 7 est par exemple arrivé en janvier 2024… bien après les premiers produits sur le marché, basés sur des brouillons de la norme.
NVIDIA semble enfin prendre un peu plus au sérieux la plateforme Linux avec l’annonce de l’arrivée de son GeForce Now au pays des manchots.
L’entreprise en a fait l’annonce pendant le CES. « Les PC Linux et les clés USB Amazon Fire TV rejoignent la famille d’applications natives GeForce Now », déclare NVIDIA. L’application sera basée sur celles qui existent déjà pour Windows, macOS ou encore les Chromebooks. Les offres seront strictement identiques. À ce sujet, NVIDIA assortit désormais tous les abonnements d’une limite mensuelle de 100 heures (sauf anciennes formules antérieures à 2021 et dont l’abonnement a été payé depuis sans interruption).
Mais attention, car le support officiel de Linux n’est prévu que pour Ubuntu 24.04 et ses versions ultérieures. Cela ne signifie pas qu’on ne pourra pas l’installer sur d’autres distributions, mais que les problèmes rencontrés ailleurs ne seront pas une priorité pour NVIDIA. Côté Fire TV d’Amazon, le support initial ne concernera que deux modèles, les Stick 4K Plus (2ᵉ génération) et Stick 4K Max (2ᵉ génération).
Dans tous les cas, l’application devrait arriver en bêta en ce « début d’année », sans plus de précisions.
Alors que les débats autour de la souveraineté numérique sont particulièrement vifs cette année, la qualification SecNumCloud, délivrée par l’ANSSI, revient souvent sur la table. Le directeur de l’agence, Vincent Strubel, a tenu à rappeler les forces et limites du label.
Le directeur de l’Agence nationale de la sécurité des systèmes d’information a pris la plume ce 6 janvier sur LinkedIn. Objectif : refaire un tour d’horizon de ce qu’est et n’est pas la qualification SecNumCloud (SNC pour les intimes). Il estime en effet que des « incompréhensions persistantes » gravitent autour de SecNumCloud, remises en lumière par l’obtention récente du label par S3NS sur son offre hybride.
Il rappelle ainsi que la qualification SNC est un processus long et exigeant, avec de multiples facettes (1 200 points de contrôle) et qui s’applique de la même manière à tous les candidats. Les garanties apportées sont techniques, juridiques et organisationnelles. La qualification a en outre été pensée pour les usages sensibles du cloud, pas pour les solutions standards.
La protection contre la portée extraterritoriale des lois étrangères (les lois américaines Cloud Act et FISA sont citées) est l’aspect le plus souvent discuté. Plusieurs critères sont imposés : le siège social du prestataire et sa capitalisation doivent être européens, les sous-traitants et fournisseurs ne doivent jamais avoir accès aux données des clients, et il doit prouver une autonomie complète dans l’exploitation de sa solution.
SecNumCloud immunise également contre le « kill switch », « celui de voir des prestataires non européens contraints de couper le service qu’ils fournissent à certains de leurs clients, en fonction de sanctions ou de restrictions d’exportations imposées par le pays d’origine de ces prestataires », explique Vincent Strubel. Le directeur de l’ANSSI mentionne à ce sujet le cas emblématique des magistrats de la Cour Pénale Internationale. Ici, le prestataire européen n’est pas tenu de donner suite à une telle injonction.
Il y a quelques temps, Vincent Strubel rappelait à juste titre que la protection contre les lois extraterritoriales est « souvent ce que l’on retient, mais au final, ça ne représente qu’une page dans les 55 du référentiel, sans même parler de toutes les annexes et les documents auxquels ils renvoient ».
La qualification n’est pas une barrière absolue
En revanche, la qualification n’est pas une protection absolue pour tous les scénarios. Surtout, comme le rappelle le directeur, elle ne signifie pas une absence de dépendances : « Une qualification SecNumCloud ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète, sans s’appuyer sur des fournisseurs non européens ni disposer de mises à jour fournies par des tiers ».
S’il pointe que des offres hybrides comme Bleu et S3NS sont « sans doute » plus exposées à ce risque, le choix n’est pas binaire. Ainsi, toutes les offres de cloud dépendent d’une manière ou d’une autre de technologies non européennes. Il peut s’agir aussi bien de la partie logicielle (systèmes d’exploitation, bases de données, couches d’orchestration…) que de la partie matérielle (CPU, GPU…). L’open source peut jouer « indiscutablement » un rôle dans l’émancipation, sans être « pour autant la panacée » : « aucun acteur, État ou entreprise, ne maîtrise entièrement, et ne peut prétendre forker et maintenir en autarcie toute la stack technologique du cloud », indique Vincent Strubel.
Pour le directeur de l’ANSSI, il est « évident » que priver l’Europe de l’accès à la technologie américaine ou chinoise entrainera nécessairement un « problème global de dégradation du niveau de sécurité en l’absence de mises à jour, dans le cloud comme ailleurs ». Ce problème ne concerne pas que les offres hybrides, pas même uniquement le cloud. D’ailleurs, il estime que la montée en compétence dans la capacité européenne à exploiter des technologies américaines « est en soi un progrès dans la prise en compte des dépendances ».
Sans le dire explicitement, Vincent Strubel semble regretter cependant que la plupart des débats tournent autour de la partie juridique et de l’extraterritorialité des lois. Il rappelle que les cyberattaques restent « la menace la plus tangible » sur le cloud et que SecNumCloud impose de fortes contraintes, que ce soit sur l’architecture ou les caractéristiques techniques. On retrouve par exemple le cloisonnement fort entre clients, chaine d’administration et supervision, la gestion sécurisée des mises à jour ou encore le chiffrement systématique des données, aussi bien en transit qu’au repos.
Il ajoute à cela la dimension humaine, en rappelant que le référentiel SNC « consacre un chapitre entier aux ressources humaines du prestataire ». En plus d’exigences techniques pour garantir qu’aucun employé n’est en mesure de porter une atteinte grave sans être détecté, la qualification prend en compte l’éventuelle coopération d’employés dans un objectif malveillant, que ce soit « par corruption, contrainte ou infiltration ».
« Un outil de cybersécurité, pas de politique industrielle »
Enfin, dans une petite FAQ en fin de billet, le directeur de l’ANSSI aborde deux questions importantes. SecNumCloud est-il un label de souveraineté ? Pas de réponse définie, la « souveraineté » n’ayant pas de définition unique… et c’est peu de le dire. La qualification permet au moins de se pencher sur les aspects cybersécurité et extraterritorialité, et influe en partie sur le choix des technologies. « Les offres qualifiées SecNumCloud sont donc, sans le moindre doute, « souveraines », et cette qualification est un levier indispensable pour défendre notre souveraineté numérique », indique Strubel.
En revanche, SecNumCloud est « un outil de cybersécurité, pas de politique industrielle ». Il n’en naitra donc pas « des solutions alternatives ou des briques technologiques maîtrisées pour résoudre toutes les questions de dépendances », avertit le directeur.
Quant à savoir si les offres hybrides qualifiées offrent le même niveau de garantie que les autres, il répond clairement : « Oui ». Un fournisseur comme S3NS « n’est pas forcément en mesure d’assurer la maintenance dans la durée de sa solution s’il est privé de tout accès à la technologie non européenne, mais les offres « non hybrides » sont également soumises à ce risque fondamental, même si leurs dépendances peuvent être moindres, plus réparties ou plus complexes à identifier ».
Ce sujet de la « durée de vie » des systèmes en cas de coupure nette, nous en avions parlé avec Bleu et S3NS. Les deux pensent pouvoir tenir au moins plusieurs mois avec des plans de réversibilité. Si nous devions en arriver à une telle situation, cela signifierait qu’il y aurait des problèmes bien plus importants avec Microsoft, ainsi qu’entre la France et les États-Unis, nous expliquait Bleu récemment.
Connexion
