Scam qui peut

La Scam vient d’annoncer être la cible d’une « cyberattaque de type ransomware ». Dans son communiqué, elle explique que cela s’est produit « malgré [ses] efforts soutenus en matière de prévention et de protection de [son] système d’information ».

Cela peut arriver, personne n’est à l’abri d’une cyberattaque plus ou moins sophistiquée, mais on peine un peu avec les « efforts » de la Scam.

Sur un de nos comptes, on utilise la procédure mot de passe oublié. Le site nous demande logiquement notre identifiant ou adresse email si nous sommes en cours d’adhésion. Jusque-là, tout va bien. Les choses se compliquent fortement lorsque l’on reçoit l’email intitulé « Vos identifiants » quelques secondes plus tard.

On y retrouve notre identifiant d’utilisateur (déjà précisé sur le site lors de la demande) et surtout notre mot de passe, en clair. Il ne s’agit pas d’un mot de passe provisoire, celui envoyé dans l’email est déjà utilisé depuis plus d’un an sur ce compte. De plus, une fois connecté, le site ne demande même pas d’en changer.

La Scam envoie donc dans un même message le mot de passe en clair et rappelle l’identifiant permettant de s’identifier. Si votre boîte email est compromise, c’est donc la catastrophe. Mais cela signifie aussi que, d’une manière ou d’une autre, la Scam peut accéder aux mots de passe des utilisateurs.

C’est pourtant une règle de base : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », rappelle la CNIL.

Même si le mot de passe est stocké chiffré dans les bases de données de la Scam (on l’espère fortement…), elle dispose d’un moyen de les déchiffrer. Dans tous les cas, la fonction de chiffrement (si elle existe) n’est pas irréversible.

À défaut de savoir ce qui aurait été la cause de la cyberattaque de la Scam, ses « efforts soutenus en matière de prévention et de protection » du système d’information prennent du plomb dans l’aile.

La saison des cyberattaques continue de plus belle avec une nouvelle victime. En effet, via un communiqué, la Société civile des auteurs multimédia (SCAM) annonce avoir « été victime d’une cyberattaque de type ransomware », malgré ses efforts « soutenus en matière de prévention et de protection ».

Une plainte a été déposée et la CNIL informée de la situation, affirme la Société civile. Une entreprise experte en cybersécurité (dont le nom n’est pas précisé) est venue en renfort pour « analyser et restaurer nos données et notre environnement informatique ». Nous n’avons pas plus de détails sur l’ampleur des dégâts.

La Scam rassure ses membres : elle est « en mesure de garantir à tous ses membres que l’ensemble
des droits qui leur sont dus ont été préservés ».

Cette annonce n’est pas une surprise, nous savions déjà depuis longtemps que SFR voulait se séparer de ses datacenters et le vendre à UltraEdge, une « société résultant du partenariat entre Morgan Stanley Infrastructure Partners (MSIP) et le groupe Altice France pour recevoir et développer de façon autonome les sites d’hébergement de SFR », explique le nouvel acteur dans un communiqué envoyé par email.

Cette « transaction stratégique, d’une valeur de 764 millions d’euros, marque une étape majeure dans le développement des services de colocation Edge en France », explique UltraEdge. Bien évidemment, « SFR devient le premier client d’UltraEdge assurant une relation à long terme et une continuité des services ». Morgan Stanley dispose de 70 % des parts d’UltraEdge.

Mais UltraEdge vise aussi d’autres partenaires. La société se présente comme un « fournisseur indépendant neutre de colocation Edge en France, avec un réseau de datacenters répartis sur tout le territoire national ».

Pour rappel, la situation financière de SFR est actuellement compliquée, avec des pertes à tous les niveaux et une dette toujours aussi colossale de plus de 24 milliards d’euros.

• SFR continue de creuser ses pertes, à tous les niveaux

Kikalaplugrosse S12E05

Au dernier décompte de l’Arcep (l’Autorité de régulation des télécoms), Free Mobile est toujours l’opérateur avec le plus de sites 5G en service pour ses clients. Orange par contre domine sur les sites en 3,5 GHz qui proposent des débits plus importants. Le régulateur en profite pour faire le point sur le New Deal Mobile. Saviez-vous qu’il propose une carte journalière des sites HS ?

Cela faisait longtemps que nous n’avions pas fait le point sur le déploiement de la 5G en France. Quatre opérateurs sont en compétition : Bouygues Telecom, Free Mobile, Orange et SFR. La 5G pour rappel, c’est la dernière version actuellement disponible pour le grand public et qui peut se déployer sur toutes les bandes de fréquences.

• [FAQ] Notre antisèche sur la 5G

Bataille sur le « plus grand réseau 5G de France »

Dès le début de la 5G – fin 2020 –, les stratégies des opérateurs étaient bien différentes, avec un grand écart entre Free Mobile qui a fait un all-in ou presque sur les 700 MHz, tandis qu’Orange s’est jeté sur les 3,5 GHz. Plus la fréquence est basse, plus elle porte loin, permettant à Free d’avoir une large couverture du territoire. À contrario, sur les 3,5 GHz, les opérateurs ont plus de place et peuvent donc proposer des débits bien plus élevés à plus d’utilisateurs. Dans les deux cas, on a de la « 5G ».

Cette différence de vision est d’ailleurs remontée jusqu’à la justice avec une plainte d’Orange contre Free Mobile, qui revendique « le plus grand réseau 5G de France ». Comme le rapporte La Tribune, Free a récemment été mis « hors de cause » et Orange débouté de ses demandes.

• Déploiement de la 5G en France : les stratégies des opérateurs et leurs implications

Free en tête sur les sites 5G, Orange sur les 3,5 GHz

L’Arcep vient d’actualiser son observatoire des déploiements, permettant ainsi de faire le point sur la situation actuelle. Dans les grandes lignes, la situation reste la même, si ce n’est que Free Mobile est un peu remonté sur les 3,5 GHz.

Avec plus de 19 000 sites 5G ouverts commercialement (c’est-à-dire utilisables par ses clients), Free Mobile arrive largement en tête, puisque le second n’est qu’à 12 089.

Depuis fin 2023, il n’a par contre ajouté « que » 486 sites, ce qui en fait la plus faible progression des quatre opérateurs. Le second en partant de la fin est SFR avec 527 sites, pour un total de 11 495. Vient ensuite Orange avec 725 sites de plus et Bouygues Telecom avec 818.

La stratégie d’Orange est plus que jamais de miser sur les 3,5 GHz avec 9 467 sites sur cette fréquence, contre 126 seulement sur les fréquences basses (1800 et 2100 MHz). SFR fait « moit moit » tandis que Bouygues Telecom a presque deux fois plus de 1800/2100 que de sites en 3,5 GHz.

Notez qu’un site peut avoir plusieurs antennes, et donc proposer de la 5G sur plusieurs bandes de fréquences. On le voit bien avec Free puisque sur les 19 093 sites, 19 060 sont sur les 700 MHz et 5 773 sur les 3,5 GHz. On peut ainsi en déduire que seulement 33 sites ne proposent que du 3,5 GHz.

Un résumé par région ou département

Le nombre de sites ainsi que leur position sur une carte sont disponibles sur le tableau de bord interactif de l’Arcep, avec la possibilité d’avoir une vue au niveau de la métropole, des territoires d’outre-mer, des régions et des départements.

On se rend visuellement bien compte de la différence de stratégie entre Free Mobile et Orange. Le premier a au total quasiment deux fois plus de sites que le second, mais aussi deux fois moins de sites en 3,5 GHz. Deux visions différentes : couverture vs débit.

83 % des sites sont au moins à 240 Mb/s

Plus intéressant que la seule 5G, l’Arcep propose une carte des sites proposant au moins 240 Mb/s. Attention, il s’agit d’une maximum théorique, pas d’une mesure in situ : « l’information est fournie par les opérateurs, ou déduite lorsqu’elle est manquante ou incomplète : un site est inclus dans la catégorie « 240 Mbit/s » dès lors que l’opérateur a activé au moins deux bandes de fréquences en 4G sur un site donné (« 4G+ ») ».

Voici le bilan de l’Autorité de régulation des télécoms :

• Bouygues Telecom : 26 153 sites en service, dont 21 640 au moins à « 240 Mb/s », soit 83 %
• Free Mobile : 25 336 sites en service, dont 20 059 au moins à « 240 Mb/s », soit 79 %
• Orange : 30 200 sites en service, dont 25 079 au moins à « 240 Mb/s », soit 83 %
• SFR : 25 128 sites en service, dont 21 535 au moins à « 240 Mb/s », soit 85 %
  
• Total : 106 907 sites en service, dont 88 313 au moins à « 240 Mb/s », soit 83 %

Il y a deux ans, Free Mobile était en tête des pourcentages avec 81 % des sites à 240 Mb/s quand les trois autres étaient entre 60 et 73 %. Aujourd’hui, l’opérateur est dernier avec 79 %. Ils sont par contre tous les quatre assez proches, avec 6 points d’écart au maximum.

Ils se tiennent également sur le nombre de sites : entre 25 000 et 30 000 avec une avance tout de même pour Orange. Orange a ainsi presque autant de sites à 240 Mb/s que le total de chacun des trois autres opérateurs.

98,9 % des « zones blanches centres-bourgs » en 4G

Passons au suivi du New Deal Mobile avec des « engagements des opérateurs pour accélérer la couverture mobile des territoires ». Au 31 mars 2024, « 98,9 % des sites du programme « zones blanches centres-bourgs » existants au 1er juillet 2018, étaient équipés en 4G », explique le régulateur.

Ce dispositif de couverture ciblée (sur les zones blanches) recense actuellement 4 733 sites. 2 956 sont déjà mis en service. 439 sont en attente de déploiement, 161 doivent l’être d’ici à six mois et 1 177 entre six mois et deux ans. Un état des lieux complet est disponible par ici.

Extension 4G fixe : 673 sites en service sur 1000

Comme l’explique l’Arcep, « Orange et SFR sont tenus de participer au dispositif d’extension de la couverture « 4G fixe ». À ce titre, ils sont chacun tenus de fournir un service de « 4G fixe » sur un maximum de 500 zones identifiées par arrêté ».

Sur les 1000 sites à eux deux, 673 sont en service, 217 sont en attente et 110 à mettre en service d’ici à six mois à deux ans.

Chaque jour, une carte des sites HS de chaque opérateur

Dernier point intéressant, l’Arcep rappelle que « les opérateurs mobiles ont l’obligation de publier et de maintenir à jour, sur leur site Internet, la liste des sites mobiles en panne ou en maintenance et qui ne fournissent pas de service de voix, SMS ou de très haut débit mobile (4G) ».

Une carte interactive est disponible à cette adresse, tandis que les données en open data sont disponibles par ici.

La Commission Nationale de l’Informatique et des Libertés commence par un rapide bilan des élections européennes qui viennent de se dérouler : 167 signalements et 2 plaintes. « En réaction, elle a adressé quatre rappels à la loi aux partis concernés. Une procédure de contrôle est par ailleurs en cours concernant un candidat ».

Si les appels automatisés représentaient 93 % des plaintes, ce sont les SMS qui ont maintenant pris le dessus avec 88 % des signalements en 2024. La CNIL affirme avoir porté une « attention particulière » à l’impact de l’intelligence artificielle et tire un rapide bilan de ses observations.

Il y a tout d’abord eu des recours à l’IA, en tant que générateur de contenus officiels, avec les risques que cela comporte : hallucinations, discriminations, biais culturels et sécurité des données sont cités par la Commission comme autant d’exemples.

Elle met aussi en avant une multiplication des hypertrucages, « démontrant la nécessité d’un marquage des contenus artificiels ». Enfin, « une montée en intensité dans l’analyse, le profilage et le ciblage des électeurs avec des systèmes de recommandations de plus en plus sophistiqués, d’où la nécessité d’auditer ces algorithmes ».

Pour les élections législatives, la CNIL a envoyé une série de courriers (.pdf) « aux chefs de parti pour les alerter sur la nécessité de respecter la protection des données personnelles des électeurs ». Elle prévient aussi qu’elle « effectuera des contrôles formels auprès des partis qui susciteront le plus de plaintes et de signalements », avec en ligne de mire des mesures correctrices (sanctions ou mises en demeure) si besoin.

Pour les électeurs, une fiche pratique avec leurs droits est disponible, ainsi qu’un formulaire pour signaler à la CNIL des pratiques qu’ils considèrent comme contraires au RGPD. Après les élections, elle dressera un bilan des pratiques observées et des actions qu’elle a menées.

• Législatives : le numérique abordé par l’industrie, la souveraineté et les libertés numériques
• Élections, pluralisme politique et réseaux sociaux : le trio impossible ?
• Législatives 2024 : le décret est en ligne, avec les modalités et détails de l’élection

Nous avons l’habitude de voir des offensives et contre-offensives dans notre monde numérique, aussi bien sur le terrain des semi-conducteurs que de l’information et de la sécurité nationale.

• [FAQ] Notre antisèche sur la guerre froide des semi-conducteurs (USA vs Asie vs Europe)

Deux nouvelles offensives ont eu lieu ces jours-ci. Tout d’abord la Chine qui demande à Apple (via son Cyberspace Administration of China) de dépublier l’application Radio France. « L’app influencerait l’opinion publique chinoise », explique Laurent Frisch, directeur du numérique et de la stratégie d’innovation chez Radio France.

Il a une idée sur les raisons de cette interdiction : « Nous suspectons qu’est ciblé l’excellent podcast de France Inter sur Xi Jingping ». Podcast en neuf épisodes publié fin avril. Ce n’est pas la première fois que des applications sont retirées sur le marché chinois.

« La Chine surveille étroitement ses médias et Internet, soumis à une stricte réglementation et une censure des contenus qui présentent la politique de l’État sous un mauvais jour ou sont de nature à créer de l’agitation. De nombreux sites (Google, YouTube…), applications et réseaux sociaux étrangers (X, Instagram, Facebook…) sont ainsi inaccessibles », précise l’AFP.

• En Chine, des touristes confrontés à la dystopie kafkaïenne du « tout numérique »

Dans un registre différent, mais toujours sous le signe de la guerre d’influence, l’administration de Joe Biden vient d’annoncer « son intention d’interdire la vente aux États-Unis » les logiciels antivirus du Russe Kaspersky, selon Reuters.

La secrétaire au Commerce Gina Raimondo explique que l’influence de la Russie sur l’entreprise posait un risque important pour la sécurité, ajoutent nos confrères : « La Russie a montré qu’elle en avait la capacité et … l’intention d’exploiter des entreprises russes comme Kaspersky pour collecter et utiliser comme arme les informations personnelles des Américains », ajoute Gina Raimondo.

Bien évidemment, Kaspersky affirme à nos confrères que ces logiciels ne présentent aucun risque et évalue ses options juridiques.

Sur un forum, un pirate du nom d’IntelBroker propose à la vente, contre de la cryptomonnaie évidemment, des données provenant de chez AMD. C’est en tout cas ce qu’indique The Register.

La liste est relativement longue, comme le rapporte Dark Web Informer sur X : des détails sur les futurs produits, des fiches techniques, des bases de données d’employés (ID, nom, poste, téléphone, email…) et de clients, des fichiers, du code source, des firmwares, des données financières, etc.

Interrogée par nos confrères, AMD explique être « au courant qu’une organisation cybercriminelle prétend être en possession de données AMD dérobées » : « Nous travaillons en étroite collaboration avec les forces de l’ordre et un hébergeur tiers pour enquêter » sur cette affaire, et notamment sur les données qui auraient pu être volées.

Le fabricant de CPU a depuis donné des nouvelles à Bloomberg par le biais d’un porte-parole : « Sur la base de notre enquête, nous pensons qu’une quantité limitée d’informations relatives aux caractéristiques utilisées pour assembler certains produits AMD a été consultée sur le site d’un fournisseur tiers ».

AMD en profite pour rassurer ses partenaires, clients et investisseurs : « Nous ne pensons pas que cette violation de données aura un impact significatif sur nos activités ou nos opérations ». L’entreprise ne donne par contre aucun détail supplémentaire sur la teneur et la quantité de documents dérobés.

Avant hier, Dark Web Informer ajoutait qu’IntelBroker aurait « publié le code source de trois des outils couramment utilisés par Apple pour son site interne ». IntelBroker est un acteur qui a déjà plusieurs autre faits d’arme à son actif.

Il y a quelques semaines, ce même IntelBroker (un acteur malveillant russe arborant un avatar nazi et devenu modérateur de BreachForums) mettait par exemple en vente des données volées via le portail Europol Platform for Experts.

• Le site BreachForums et ses chaînes Telegram ont été saisis par le FBI

Cette start-up est une spin-off du laboratoire de physique de l’École normale supérieure de Paris. Elle s’est lancée dans la course au développement d’un ordinateur quantique universel à base de nanotubes de carbone. C12 est dans la liste des compétiteurs au programme PROQCIMA, aux côtés d’Alice & Bob, Pasqal, Quandela et Quobly.

• Où en est la stratégie quantique française ?

Elle vient de boucler son « deuxième tour de table de 18 millions d’euros », après avoir levé 10 millions d’euros en 2021. On retrouve dans les investisseurs Varsity Capital, EIC Fund et Verve Ventures, ainsi que des investisseurs historiques comme 360 Capital, Bpifrance (à travers son fonds Digital Venture) et BNP Paribas Développement.

« Notre ambition est la même qu’au premier jour : devenir l’un des leaders de l’informatique quantique de demain », explique Pierre Desjardins, cofondateur et CEO de l’entreprise. Son frère, Matthieu Desjardins, est également cofondateur et directeur technique.

• [FAQ] Notre antisèche sur l’informatique quantique

En octobre dernier, C12 inaugurait sa première ligne de production de puces quantiques, à Paris dans le 5ᵉ arrondissement, pour un investissement de 9 millions d’euros. « Le site inauguré le 27 octobre dispose d’un profond sous-sol qui isole des vibrations et des perturbations électromagnétiques les délicats procédés de fabrication de la puce quantique de la start-up », explique l’entreprise.

La Commission européenne vient d’enregistrer deux nouvelles initiatives européennes : « Air-Quotas » et « Stop destroying videogames » (Stop à la destruction des jeux vidéo).

La première demande à la Commission « de mettre en place, dans chaque pays, un mécanisme de quotas carbone citoyens qui encouragera les entreprises à se décarboner sous l’effet de la demande des consommateurs ». Selon les organisateurs, le calcul devrait prendre en compte « tous les achats de produits et services, en commençant par le transport aérien ».

La seconde initiative vise « à instaurer, pour les éditeurs qui vendent des jeux vidéo ou accordent des licences pour des jeux vidéo au sein de l’Union européenne, l’obligation de laisser ces jeux dans un état fonctionnel (jouable), afin d’empêcher le blocage à distance des jeux vidéo par les éditeurs ».

Attention, il ne s’agit pour le moment que d’enregistrer les deux initiatives, considérées comme recevables sur le plan juridique : « À ce stade, [la Commission] n’a pas analysé les propositions sur le fond ». La balle est maintenant du côté des organisateurs :

« [Ils] disposent d’un délai de six mois pour lancer le processus de collecte de signatures. Si, en l’espace d’un an, l’initiative citoyenne européenne recueille un million de déclarations de soutien avec des nombres minimaux de signataires atteints dans au moins sept États membres différents, la Commission devra réagir. Elle devra décider de prendre ou non des mesures pour répondre à la demande, et sera tenue de motiver sa décision ».

Google continue d’avancer au rythme prévu pour Android 15. Un mois après la seconde bêta, c’est au tour de la troisième de pointer le bout de son nez. C’est une étape importante pour les développeurs, car elle signifie qu’Android 15 atteint une certaine maturité : la Platform Stability. Les API des SDK et NDK sont figés.

• Android 15 : les nouveautés de la bêta 2, celles à venir

Si les précédentes versions étaient relativement pauvres en nouveautés pour les utilisateurs, cette troisième s’annonce dans la même veine, de l’aveu même de Google : « Compte tenu de l’état d’avancement du cycle de publication, il n’y a que quelques nouveautés dans la version Android 15 Beta 3 ».

Google met en avant la prise en charge des clés d’accès. La société indique aussi que WebSQL est désormais obsolète dans WebView. Selon Android Authority, Android 15 aurait aussi la possibilité de supprimer un profil biométrique qui ne fonctionnerait pas correctement. Il est déjà possible de le faire manuellement. Là, ce serait automatique.

Quoi qu’il en soit, les notes de version détaillées se trouvent par ici.

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

Lors de la précédente bêta, Google avait modifié plusieurs paramètres afin d’augmenter l’autonomie (par toutes petites touches) et de renforcer la sécurité. Il était notamment question d’un « espace privé » pour vos applications.

Une nouvelle bêta est prévue pour juillet, puis vers la rentrée la version finale. La date n’est pas encore indiquée.

Une root cause peut en cacher une autre

Intel est toujours empêtré dans les plantages des Core i9 de 13e et 14e génération (série K). Lors de l’enquête, un souci a été identifié sur une fonction permettant de booster les performances : l’(e)TVB. S’il « contribue potentiellement à l’instabilité, il n’en est pas la cause profonde », qui reste toujours à identifier.

Depuis des mois, des clients Intel font état de plantages sur les processeurs haut de gamme que sont les Core i9-13900K/KF/KS et i9-14900K/KF/KS (respectivement de 13e et 14e génération). En avril, le fondeur ouvrait officiellement une enquête.

En mai, la société publiait ses recommandations officielles, avec des paramètres à mettre en place dans les BIOS/UEFI pour atténuer les soucis. Elle affirmait au passage qu’elle ne cherchait pas à « imputer la faute » à ses partenaires que sont les fabricants de cartes mères. Une des possibilités étant que ces derniers aient la main un peu lourde sur les optimisations.

• Plantage des Core i9 (13e et 14e gen) : réactions et recommandations officielles d’Intel

Des mises à jour étaient également proposées par certains constructeurs afin de mettre en place un retour aux paramètres « Intel baseline ». Asus expliquait que cela permettait « aux utilisateurs de revenir aux paramètres d’usine Intel par défaut pour les fonctionnalités de base, des limites de puissance inférieures et une amélioration de la stabilité dans certains jeux ». Moins de perfs, mais plus de stabilité.

L’(enhanced) Thermal Velocity Boost pointé du doigt

Dans tous les cas, l’enquête se poursuivait et la cause première des plantages n’était toujours pas connue. De nouvelles informations sont arrivées par l’intermédiaire d’Igor Wallossek, qui s’occupait auparavant de Tom’s Hardware Germany. Il a publié un document interne d’Intel, dont le fondeur en confirme au moins partiellement l’existence.

L’enhanced Thermal Velocity Boost (eTVB) est pointé du doigt. Il s’agit d’une version améliorée de la fonctionnalité Thermal Velocity Boost (TVB) introduite en 2018. Elle « qui permet de booster les performances du processeur lorsque la marge thermique et le budget de puissance turbo sont disponibles ».

Allez toujours plus vite… parfois trop

Comme l’explique Intel, cette fonctionnalité « accroît automatiquement et de manière opportune la fréquence d’horloge au-delà des fréquences de la technologie Intel Turbo Boost mono et multicœurs en fonction de la température à laquelle fonctionne le processeur ». Elle s’active lorsque la température, la consommation et d’autres paramètres sont en dessous de valeurs prédéfinies.

On imagine bien le souci en cas de mauvaise information, si le processeur est déjà au niveau de ses limites par exemple. Le document publié par notre confrère explique justement qu’un « mauvais calcul de la limite de fréquence peut permettre au processeur de fonctionner à une fréquence et une température élevées ». Le risque en pareille situation est bien connu : un plantage de la machine.

Voilà la « root cause » de la discorde

« La cause première est une valeur incorrecte dans un algorithme du microcode associé à la fonctionnalité eTVB », toujours selon notre confrère qui se base sur le document interne en sa possession. Il s’agit de la « root cause » du problème de l’eTVB, mais pas obligatoirement de la « root cause » des plantages des Core i9 série K. Vous suivez ?

Certains ont visiblement fait le raccourci, poussant Igor’s Lab à ajouter un paragraphe à son article initial : « C’est une autre pièce du puzzle [du plantage des Core i9, ndlr], mais pas la soi-disant « cause profonde ». J’ajoute ceci en note car, encore une fois, j’ai été cité de manière incomplète et parfois incorrecte ». Ambiance.

Intel aussi est sortie du bois, avec un communiqué transmis à plusieurs de nos confrères américains, dont The Verge : « Contrairement aux récents rapports des médias, Intel n’a pas confirmé la cause première et continue, avec ses partenaires, d’enquêter sur les rapports des utilisateurs concernant des problèmes d’instabilité sur les processeurs desktop Intel Core 13e et 14e générations (K/KF/KS) ».

Le problème de l’eTVB découvert en cherchant les causes de plantage

Intel confirme au passage que ce bug concernant l’eTVB a été découvert dans le cadre de l’enquête sur les plantages des Core i9. Dans le document, Intel demande à ses clients de mettre à jour le BIOS de leur machine avec « le microcode 0x125 ou une version ultérieure ».

« Bien que ce problème contribue potentiellement à l’instabilité, il n’en est pas la cause profonde », ajoute Intel auprès de nos confrères. L’enquête continue donc pour identifier la « root cause » des plantages des Core i9 série K de 13e et 14e génération.

Le temps commence dans tous les cas à être long pour Intel… Non seulement la société a mis des mois à réagir, mais en plus, elle n’a toujours pas identifié la cause première des plantages des Core i9 série K de 13e et 14e génération, malgré déjà plusieurs mois d’enquête.

L’USB4 a été annoncé il y a maintenant plus de cinq ans. Apple a rapidement sauté le pas avec l’intégration de cette connectique dans ses Mac équipés de puce M1 dès 2020. Les autres fabricants prennent davantage leur temps, mais l’USB4 commence à s’installer doucement.

L’USB4 permet pour rappel des débits symétriques jusqu’à 40 Gb/s. L’USB Promoter Group (Apple, HP, Intel, Microsoft…) et l’USB-IF ont décidé de lancer l’USB4 en version 2.0 en septembre 2022, avec de nouveau des débits doublés de 80 Gb/s (symétriques).

• Voici l’USB4 version 2.0 jusqu’à 80 Gb/s… et plus si affinité ?

Mais autre gros changement majeur : la possibilité de désynchroniser les débits. La bande passante totale est de 160 Gb/s : 80 Gb/s dans chaque sens, mais on peut aussi répartir sous la forme 120 Gb/s dans un sens, 40 Gb/s dans l’autre (et donc toujours un total de 160 Gb/s).

Si on reparle de l’USB4 2.0, c’est qu’ASMedia a profité du Computex pour présenter sa première puce compatible avec cette norme. Il ne s’agissait pour le moment que d’un prototype sous la forme d’un FPGA, car le contrôleur n’est pas encore disponible sous sa forme définitive.

Le but est simplement de montrer que le développement avance, mais également d’afficher de belles courbes de signal. On peut voir sur l’image ci-dessous les trois niveaux – l’USB4 2.0 utilise pour rappel le PAM-3 (modulation d’impulsions en amplitude sur trois niveaux) – avec une belle séparation entre eux. C’est aussi le cas de la GDDR7 pour ne citer que cet exemple, tandis que PCIe 6.0 et 7.0 sont en PAM-4.

Selon AnandTech, ASMedia prévoirait de lancer ses premiers contrôleurs USB4 v2 durant le second semestre 2025. Cette société est un acteur important de la connectique USB, fournissant de nombreux fabricants.

Il ne peut en rester que 577

En 2024, deux élections se déroulent : les européennes, qui viennent de se terminer, et les législatives, qui débuteront à la fin du mois. L’Arcom, chargée de veiller à la pluralité politique, ne voit toujours qu’une partie du spectre, TV et radio, laissant de côté Internet et réseaux sociaux.

L’Arcom (fusion du CSA et de l’Hadopi) a notamment dans ses missions le respect du pluralisme politique, particulièrement lors des élections. C’est « essentiel pour garantir que vous receviez une information politique diversifiée. C’est à ce titre que vous pourrez exercer votre liberté d’opinion et de choix, au fondement de la démocratie », rappelle le régulateur de l’audiovisuel. Le pluralisme « constitue le fondement de la démocratie », renchérit le Conseil constitutionnel.

La presse écrite, elle, n’est pas soumise aux mêmes obligations que l’audiovisuel. Elle doit respecter la loi du 29 juillet 1881 sur la liberté de la presse. « La seule obligation pour les médias de presse écrite est de fournir un droit de réponse aux personnes ou partis mis en cause dans leurs pages, s’ils en font la demande au directeur de la publication », répliquait Libération aux reproches qui lui étaient faits suite à un article à propos de CNews.

L’Arcom en mode « OK boomer »

Un des leviers mis en œuvre est le décompte des temps de parole des personnalités politiques (et de leurs soutiens) : « Ce calcul s’effectue à la radio et à la télévision, au cours des périodes électorales mais aussi en dehors de celles-ci, tout au long de l’année », explique l’Arcom. On voit tout de suite l’éléphant dans la pièce : Internet et les réseaux sociaux.

En 2017, l’Arcom adoptait de nouvelles règles, dans le but d’avoir un « décompte des temps de parole plus cohérent et plus simple ». Les règles de calcul changent, mais le périmètre des mesures reste le même : radio et TV seulement. La liste des services dans le giron de l’Arcom pour les législatives de 2024 est d’ailleurs toujours dans la même veine : chaines de télévision et radios.

Les réseaux sociaux prennent toujours plus de place…

Depuis maintenant plusieurs années, Internet et les réseaux sociaux prennent de l’importance comme source d’abreuvement d’information, avec les risques et dérives que l’on connaît : ingérences de certains États (Russie et Chine en tête), fausses informations, désinformation, etc. En Europe, l’adoption du DSA devait mettre un coup de pied dans cette fourmilière des fausses informations (entre autres choses). Mais on peine encore à voir un réel changement, d’autant que les acteurs malveillants évoluent, eux aussi. « L’écosystème de la désinformation s’est beaucoup diversifié, donc les possibilités d’ingérence se sont démultipliées », nous expliquait récemment Hervé Letoqueux, directeur des opérations de Viginum.

• • Un an après l’adoption du DSA, les acteurs de la lutte contre la désinformation entre espoir et inquiétudes

Nous ne sommes pas les premiers à nous poser la question. TF1 Info y avait consacré un article lors de la présidentielle de 2022. L’Arcom avait alors expliqué à nos confrères que les règles en matière de pluralisme politique « sont inapplicables sur Internet, car contrairement aux antennes, chacun peut y avoir accès et intervenir comme il l’entend en ligne ».

… et font mal au pluralisme politique

Pour le régulateur, les espaces de parole sont « infinis » avec des publications à foison sur les réseaux sociaux (TikTok, Instagram, Facebook, SnapChat…), vidéos, débats et autres contenus (en direct ou non) sur YouTube et Twitch. On peut multiplier à l’envi les comptes, les sites et les formats. La diffusion est différente aussi puisque chacun peut aller voir les comptes des politiques et recevoir plus ou moins de vidéos d’un candidat (ou de ses soutiens) en fonction des algorithmes. Ces derniers, souvent opaques, peuvent rapidement nous enfermer dans des bulles. Ce « phénomène de bulle de filtre algorithmique [a été] théorisé par le militant internet Eli Pariser en 2011. Si le concept est relativement nouveau, il décrit un phénomène que chacun.e d’entre nous expérimente : notre tendance à nous rapprocher de ce qui nous ressemble », explique EchoSciences Grenoble. On n’est donc plus vraiment en adéquation avec le pluralisme politique, qui vise à « assurer une représentation des différents courants d'expression ».

Deux mondes, une seule élection

L’Arcom le reconnait : « Les pratiques sont par essence différentes entre ces deux espaces. On ne peut pas dupliquer le pluralisme sur l’espace numérique ». Dans le monde de l’audiovisuel, il n’y a « que » la télévision et la radio. Sur Internet, il y a… de tout, partout. Comme le soulignait TF1 Info, « seules les plateformes de replays des chaînes, qui diffuseraient en différé une émission politique, sont soumises au respect du pluralisme ». Les sites et réseaux sociaux des télévisions et des radios ne sont pas concernés, pas plus que les sites d'information, ni les pure players (média entiérement en ligne, comme Next).

Choc des générations

Depuis, les différences ont augmenté. D’un côté, les jeunes massivement sur les réseaux sociaux. De l’autre, les moins jeunes et les plus anciens, souvent sur les médias traditionnels. Il y a deux ans seulement, l’Arcom affirmait à nos confrères « que l'opinion des citoyens se forge surtout lors d'émissions politiques diffusées à la radio et à la télévision ». Question de génération, mais cette affirmation s’effrite très certainement au fil des années. David Chavalarias (mathématicien, directeur de recherche au CNRS et au Centre d'analyse et de mathématique sociales), en parlait il y a quelques jours. Lors d’une audition au Sénat sur les influences étrangères dans l'espace numérique, il a déclaré : « Les jeunes ne donnent même plus leur 06 ou 07, mais leur Instagram. Ces personnes-là sont complètement captives ». Nous tâcherons de voir avec l’Arcom si elle prévoit à l’avenir de s’adapter pour s’assurer du respect du pluralisme politique, au sens large du terme et sur tous les médias.

Jordan Bardella star de TikTok, parlant peu de politique

La différence est flagrante quand on regarde les chiffres des têtes de liste des cinq partis avec le score le plus élevé aux européennes. Jordan Bardella est en tête sur les principales plateformes (il se fait uniquement doubler sur Instagram), avec une explosion impressionnante sur TikTok, très prisé des jeunes. Surtout, il n’a quasiment aucune concurrence sur ce réseau social.

Comme l’explique Challenges, le président du RN « a su construire une image sympathique, spontanée, rassurante, et drôle, parlant rarement de son programme politique ». « Il est bien meilleur influenceur que beaucoup de professionnels du secteur », explique un connaisseur à nos confrères. Le nombre d’abonnés ne fait pas tout. Emmanuel Macron est à 4,5 millions sur TikTok, contre 2,4 millions pour Jean-Luc Mélenchon. Dans tous les cas, leurs vidéos dépassent pour certaines les centaines de milliers, voire les millions de vues. On est dans la diffusion massive et il serait donc bon que l’Arcom s’y intéresse.

L’Arcom, les fausses informations et les déclarations des plateformes

Dans son dernier bilan sur la lutte contre la désinformation (publié fin 2022), l’Arcom « observe une amélioration de la quantité d’informations déclarées ». Mais « ce constat doit être nuancé par un niveau de transparence très hétérogène ». « TikTok (soumis pour la première année à ces obligations), Yahoo (a priori soumis pour la dernière année à ces obligations) et, dans une moindre mesure, Google, se démarquent particulièrement par l’absence d’informations tangibles », ajoute l'autorité. En effet, non seulement l’Arcom ne régule pas la pluralité politique sur les réseaux sociaux et Internet, mais nous devons en plus faire face à des vagues toujours plus importantes d’ingérence et de fausses informations. Pourtant, comme le rappelle l’Arcom sur son site, « la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information impose aux principaux opérateurs de plateforme en ligne de prendre des mesures en vue de lutter contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité d’un des scrutins ».

« Les élections sont très vulnérables »

David Chavalarias revient aussi sur la topologie des élections, qui a changé selon lui lors des dernières années :

« Les élections sont très vulnérables par leur conception même. Quelque chose qui m’a frappé, c’est qu’autant en 2017 qu’en 2022, on appelle de plus en plus à voter "contre" qu’à "voter" pour. Pourquoi ? Parce qu'on a des campagnes très hostiles. On a plusieurs candidats au premier tour, dont la plupart ne passent pas au deuxième tour. Au deuxième tour, il ne reste que deux candidats qui sont haïs par toutes les autres communautés. Après, il s’agit de manipuler et de savoir qui est le moins pire. C’est très facile avec une campagne de mèmes ».

La campagne de mèmes a cet « avantage » de ne pas attendre une réponse de type oui ou non. C’est simplement un mème et un message, mais avec une portée pouvant être importante s’il est repris en boucle sur les réseaux sociaux.

« On a l’impression que rien ne se passe depuis 10 ans »

Lors de la table ronde sur les influences étrangères dans l'espace numérique, la sénatrice Catherine Morin-Desailly a dressé un triste portrait : « On a l’impression que rien ne se passe depuis 10 ans. Ce que vous avez dit aujourd’hui [en s’adressant aux quatre experts que sont Bernard Benhamou, David Chavalarias, Tariq Krim et Julien Nocetti, ndlr], vous le disiez déjà il y a 10 ans […] et vous nous alertiez déjà d’une naïveté complaisante ». « Les plateformes ont abusé fiscalement, puis elles ont abusé économiquement en verrouillant tous les systèmes (d’où le DMA qui s’est mis en place par la suite). Les plateformes ont abusé sur les réseaux sociaux et les services en manipulant les opinions, en pratiquant toutes sortes de malversations, de fausses nouvelles, etc ».

Emmanuel Macron s’est déjà fait reprendre par la CNCCEP

L’utilisation des réseaux sociaux est venue s’inviter dans la campagne présidentielle de 2022, avec la Lettre aux Français d’Emmanuel Macron, alors président et candidat. La Commission nationale de contrôle de la campagne électorale en vue de l’élection présidentielle (CNCCEP) l’avait alors « invité » à la retirer de son compte Twitter et à utiliser celui spécialement créé pour sa campagne présidentielle. La Commission en profitait pour rappeler qu’il « importe que tous les candidats, ainsi que leurs soutiens, qui sont titulaires d’une fonction publique veillent à bien distinguer entre les actions de communication qui ne sont pas détachables de l’exercice de cette fonction et celles qui se rattachent à la campagne électorale et doivent, de ce fait, être clairement séparées de l’exercice des fonctions ». On parle ici de la diffusion des messages, mais pas de la réception par les utilisateurs.

eVroom

L’Europe vient de dévoiler les droits d’importation qu’elle appliquera aux fabricants chinois de voitures électriques. Ils varient entre 17,4 % (BYD) et 38,1 % (MG) et pourraient entrer en vigueur dès le 4 juillet si « les discussions avec les autorités chinoises ne devaient pas aboutir à une solution efficace ».

La bataille entre la Chine et l’Europe sur les voitures électriques ne date pas d’hier. En septembre 2023, Ursula von der Leyen rappelait que « notre industrie solaire avait pâti des pratiques commerciales déloyales de la Chine » et que le marché des voitures électriques était en train de faire face aux mêmes travers.

Les griefs portaient sur des entreprises chinoises fortement subventionnées pour écraser la concurrence et rafler le marché. Une « enquête antisubventions sur les véhicules électriques en provenance de Chine » était annoncée. Elle a été ouverte peu de temps après, début octobre.

• État de l’Union : enquête sur les voitures électriques chinoises, matériaux critiques, supercalculateurs…
• Voitures électriques chinoises : les griefs de l’Europe, le risque d’un préjudice, les mesures antisubventions

Les griefs de l’Europe envers la Chine

L’Europe reprochait alors à la Chine l’octroi aux entreprises locales de prêts et crédits à des conditions préférentielles, des réductions, voire des exonérations d’impôts et de taxes. Les griefs portaient aussi sur la fourniture de biens « tels que des matières premières, des intrants, ainsi que des composants » à des tarifs jugés « plus que préférentiels ».

L’approvisionnement en matières premières est un enjeu géopolitique important dans de nombreux secteurs du numérique et de la transition écologique. L’Europe s’est d’ailleurs récemment alliée à l’Australie, une réserve importante de plusieurs matériaux critiques et rares. Idem avec le nickel en Nouvelle-Calédonie.

• [FAQ] Notre antisèche sur la guerre froide des semi-conducteurs (USA vs Asie vs Europe)

Ce déséquilibre commercial se combine et surtout accentue la pression des fabricants chinois sur leurs concurrents européens. La conséquence n’est pas à chercher bien loin : une augmentation significative des importations des voitures électriques chinoises, « tant en quantités absolues qu’en parts de marché ».

Pour l’Europe, il y a bien des « subventions déloyales »

Pour réparer son préjudice, l’Europe expliquait qu’une augmentation des droits de douane était prévue. La Commission vient de rendre son verdict et met en œuvre son plan d’action. Elle « conclut provisoirement que les chaînes de valeur des véhicules électriques en Chine bénéficient de subventions déloyales ».

Il s’agit pour le moment de montrer ses muscles, avant de (très) rapidement passer à l’action :

« La Commission a préalablement notifié le niveau des droits compensateurs provisoires qu’elle instituerait sur les importations de véhicules électriques à batterie en provenance de Chine.

Si les discussions avec les autorités chinoises ne devaient pas aboutir à une solution efficace, ces droits compensateurs provisoires seraient introduits à partir du 4 juillet par constitution d’une garantie (selon la forme qui sera décidée par les autorités douanières de chaque État membre). Ils ne seraient perçus que si des droits définitifs sont institués, et à ce moment-là uniquement ».

Jusqu’à 38,1 % pour SAIC (MG)

Pour trois fabricants de voitures chinois retenus dans l’échantillon analysé de près par la Commission, le taux diffère selon les marques. BYD écope du plus faible droit compensateur avec 17,4 %, suivi par Geely (Polestar et Volvo notamment) avec 20 % et enfin 38,1 % pour SAIC (MG entre autres).

Le détail du calcul est envoyé au gouvernement chinois et aux sociétés concernées, qui peuvent évidemment formuler des observations. Le délai est toutefois relativement court : « trois jours ouvrables pour exercer ce droit », peut-on lire dans la foire aux questions.

« Lorsque ces observations apportent suffisamment d’éléments de preuve contribuant à contrebalancer ses calculs, la Commission peut revoir ceux-ci dans le respect du droit de l’Union ».

21 % pour les fabricants qui ont collaboré

Pour les producteurs qui ont coopéré à l’enquête, mais qui ne sont pas retenus dans l’échantillon pour un calcul précis, le taux retenu est de 21 %.

Il s’agit de la moyenne pondérée des taux de l’échantillon. Dans la liste, on retrouve Aiways, Anhui Jianghuai, BMW Brillance, Chery , China FAW, Chongping Changan, Dongfeng Motor, Grat Wall Motor, Leapmotor, Nanjing Golden Dragon, NIO, Tesla et XPeng.

Selon la Commission, Tesla a demandé « un taux de droit calculé individuellement », qui devrait être dévoilé plus tard. Elle ajoute que « tout autre producteur de véhicules électriques à batterie en Chine non retenu dans l’échantillon final et souhaitant que sa situation particulière soit examinée peut demander un réexamen accéléré, conformément au règlement antisubventions de base, immédiatement après l’institution des mesures définitives ».

Par contre, les sociétés qui n’ont pas coopéré écopent du taux maximum mis en place (c’est-à-dire celui de SAIC), soit 38,1 %. Il concerne donc toutes les entreprises qui ne sont pas citées précédemment.

L’UE veut « une concurrence équitable »

La Commission précise enfin que ces droits compensateurs sont dans tous les cas à ajouter « aux droits d’importation ordinaires de 10 % prélevés sur les importations de véhicules électriques à batterie ». Ces derniers sont déjà en place. En octobre, Thierry Breton rappelait que les droits de douane étaient de 27,5 % aux États-Unis pour ces mêmes voitures.

Dans sa foire aux questions, la Commission affirme que « l’objectif n’est pas de fermer le marché de l’UE à de telles importations », mais de « garantir que les industries européennes et chinoises se livrent une concurrence équitable ».

Rendez-vous le 4 juillet 2024… puis en novembre

Désormais, la Commission européenne doit publier au Journal officiel, au plus tard le 4 juillet 2024, « un règlement expliquant en détail les conclusions provisoires ayant conduit à ce niveau de droits. Les droits entreraient en vigueur le lendemain de la publication ». Il s’agit alors de droits provisoires.

Il sera alors temps de voir si une rétroactivité sera aussi mise en place. Ensuite, « l’institution de mesures définitives doit avoir lieu au plus tard 4 mois après celle des droits provisoires », ce qui nous emmène à début novembre.

Sans surprise, Pékin dénonce « un comportement purement protectionniste » et avertit que le pays « prendra toutes les mesures pour défendre fermement ses droits légitimes », comme le rapporte Le Monde.

Pour rappel, en France, les conditions d’obtention du bonus écologique ont évolué depuis le début de l’année, avec une liste très réduite de modèles (pas forcément toutes les références, se référer à l’arrêté) pouvant en profiter : Fiat 500, Renault 5 et Kangoo, Tesla Model Y, Volkswagen ID. 7, Volvo EC40 et EX40. Dacia avec sa Spring et MG avec sa MG4 n’ont même pas déposé de dossier par exemple. La Tesla Model Y dans la liste est celle produite en Allemagne, alors que la Model 3 vient de Chine.

Alors que le lancement des Copilot+ PC approche à grands pas (le 18 juin pour rappel), MediaTek fait parler de lui. Le constructeur « développe une puce d’ordinateur personnel basée sur Arm qui exécutera le système d’exploitation Windows », expliquent trois sources à Reuters.

• Voilà les Copilot+ : des PC avec Windows 11 Arm, IA et Snapdragon X

Les portables de la semaine prochaine seront équipés d’une puce Qualcomm Snapdragon X ou Elite, toutes basées sur le jeu d’instruction Arm. Elles intègrent également un NPU pour le traitement des opérations liées à l’intelligence artificielle.

La puce de MediaTek devrait arriver d’ici à la fin de l’année prochaine et, selon Reuters, serait basée sur « les conceptions prêtes à l’emploi d’Arm ». Elle devrait donc reprendre les cœurs CPU et GPU proposé par Arm et pas des versions maison comme Qualcomm. Il n’est pas précisé si un NPU sera intégré, mais on peut supposer que oui vue la place occupée par l’IA, d’autant qu’Arm propose aussi des licences pour des NPU.

• Copilot+ PC : Qualcomm maitre à bord pour le moment, AMD et Intel sur le banc de touche

MediaTek n’est pas un inconnu dans le monde des SoC Arm : l’entreprise taïwanaise développe depuis maintenant des années des SoC pour les smartphones. Rappelons qu’Apple aussi s’est lancé dans les SoC Arm depuis quelque temps aussi, avec succès.

• Mac à base d’Apple Silicon : la fin d’une ère, AMD et Intel réagissent

Comme souvent en pareille situation, MediaTek et Microsoft ont refusé de répondre aux questions de nos confrères.

Starliner n’en finit visiblement pas d’avoir des fuites. L’une d’entre elles était déjà repérée avant le décollage, deux autres sont arrivées pendant le vol, une quatrième juste après l’amarrage à la Station spatiale internationale et enfin une cinquième vient d’être annoncée. Le porte-parole de la NASA, Josh Finch, explique que cette cinquième fuite avait été détectée au moment du briefing post-amarrage, comme le rapporte SpaceNews.

• Starliner a (enfin) décollé, mais déjà trois fuites détectées sur la capsule
• Starliner s’est bien arrimée à l’ISS… malgré de nouveaux problèmes

« Les ingénieurs ont évalué les réserves en hélium en fonction des taux de fuite actuels et ont déterminé que Starliner avait suffisamment de marge pour supporter le voyage de retour depuis la station » vers la Terre, explique la NASA.

Le voyage ne demande que 7h alors que la capsule dispose de 70h d’autonomie avec les fuites actuelles. Tout le temps où Starliner est accroché à la Station spatiale internationale, les collecteurs sont fermés et il n’y a donc pas de fuite d’hélium.

« Les ingénieurs évaluent également une vanne d’isolement d’oxydant RCS [Reaction Control System ou système de pilotage par jets de gaz, ndlr] dans le module de service qui n’est pas correctement fermée », ajoute l’Agence spatiale américaine.

Le retour de la mission est programmé au plus tôt le mardi 18 juin, « en fonction de la météo et de l’état de préparation du vaisseau spatial ». En attendant, « Starliner est autorisé à effectuer des scénarios de retour d’urgence de l’équipage de la station spatiale, si nécessaire, conformément aux règles de vol ».

Bougez moins avec la poste

Le timbre numérique est disponible, exclusivement sur Android et iOS. Ce service permet d’acheter un timbre directement depuis l’application, de recopier un code sur son courrier et de l’envoyer. La Poste a mis à jour ses conditions générales de vente et l’Arcep a rendu public son avis, critique sur certains points.

Le « timbre numérique » – auparavant connu sous le nom de « timbre digital » – n’est pas nouveau, loin de là, puisque La Poste en parle depuis maintenant deux ans. C’est, en effet, en juin 2022, que le groupe annonçait la possibilité de poster un courrier « sans avoir de timbre sous la main, grâce à un code unique à huit chiffres acheté sur l’application La Poste ».

Un nouveau moyen d’affranchissement

Le service devait initialement être disponible dès le début de l’année 2023, mais il y a eu du retard à l’allumage. Comme l’a remarqué iGeneration, le timbre numérique est disponible depuis maintenant quelques jours, sur Android et iOS.

Dans les deux cas, les notes de version datent de fin mai et indiquent comme nouveauté le « timbre numérique, un tout nouveau moyen d’affranchissement pour vos envois de moins de 20 grammes en France métropolitaine ». On a également droit aux traditionnelles améliorations de stabilité et corrections de bugs.

Attention à bien respecter les conditions

Une page d’aide permet d’avoir de plus amples détails sur le fonctionnement du timbre numérique. Comme prévu, il n’est disponible que dans l’application mobile (au grand dam de l’Arcep, on va y revenir). Il consiste en un code alphanumérique de huit caractères à recopier sur l’enveloppe (ou la carte postale), « à l’aide d’un stylo de couleur noir ou bleu foncé ».

La Poste précise que le code doit être écrit « de manière lisible […] en respectant un positionnement en haut à droite du pli avec un espacement tous les deux caractères ». Il suffit ensuite de déposer votre courrier dans une boite aux lettres.

Ce timbre dématérialisé est utilisable « pour tous les envois de courrier de moins de 20 grammes (soit environ 2 feuilles A4) », mais seulement en « intra-France Métropolitaine (Corse comprise) ». Les dimensions du courrier ne doivent pas dépasser 176 x 250 x 30 mm. Le code est valable huit jours seulement à compter de sa date d’achat.

J+3, mais pas de suivi possible

Depuis le 1er janvier 2023, La Poste ne propose plus de timbre rouge pour les courriers prioritaires, remplacé par la « e-lettre rouge ». Comme les courriers timbrés avec un timbre physique (tarif lettre verte, soit 1,29 euro), le délai d’acheminement est donc de trois jours ouvrés, que le timbre soit numérique ou physique, c’est la même chose.

Le timbre numérique ne permet pas d’avoir le suivi en ligne des envois. Et « il n’est pas possible d’ajouter un Sticker suivi sur une enveloppe avec un timbre numérique, ces deux produits ne sont pas compatibles », précise l’entreprise.

L’avis de l’Arcep sur le « timbre digital »

Comme indiqué, La Poste prévoyait de lancer son service début 2023. L’Arcep – Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, dans sa version longue – a été saisie pour avis par La Poste le 20 janvier 2023. Elle a récemment publié ses conclusions.

On y apprend déjà un premier glissement de terrain sur la date de lancement. Le dossier présentait en effet « les modifications non tarifaires envisagées pour le service « Timbre digital » […] prévues pour le second trimestre 2023 ». L’Arcep réaffirme au passage que ce timbre numérique est « un nouveau mode d’affranchissement de la Lettre verte », pas un nouveau service. Le tarif est donc le même.

L’Autorité regrette par contre fortement « la restriction de l’accès à ce service à la seule application mobile de La Poste, excluant son site internet, qui aurait élargi l’accès au service à l’ordinateur ».

Une « IA » pour reconnaitre les codes

L’Arcep détaille le fonctionnement des coulisses : « Le code alphanumérique sera ensuite traité et validé, dans les machines de traitement et de distribution en PIC et PPDC [respectivement plateformes industrielles du courrier et plateformes de préparation et de distribution du courrier, ndlr], grâce à l’implantation dans ces dernières de ce que La Poste décrit comme « une intelligence artificielle » ».

Dans son avis, l’Arcep commence par tacler le nom du service (timbre digital) à l’époque : « l’Autorité s’interroge sur l’emploi de l’anglicisme « digital » dans le nom de ce nouveau service alors que l’adjectif « numérique » semblerait plus approprié en langue française ». Bonne nouvelle, le service s’appelle bien timbre numérique !

L’Arcep regrettait aussi le calendrier, proche de la fin de la lettre prioritaire remplacée par la e-lettre rouge, qui « a donné lieu à de nombreuses incompréhensions. Elle a notamment été interprétée par certains comme l’annonce de la disparition de la distribution du courrier physique ». Depuis, les choses se sont tassées et le lancement mi-2024 ne devrait pas poser de souci.

Que se passe-t-il en cas de souci ?

Que se passe-t-il en cas de souci avec l’« intelligence artificielle » de La Poste ? Le groupe n’en parle pas, mais l’Arcep revient en partie sur cette problématique. La Poste explique, qu’en cas de code non valide, c’est-à-dire non reconnu dans la base des codes valables et en cours de validité, « le pli traité est soumis au « montant fixe de traitement » via le même processus que la Lettre verte : le destinataire doit régler le tarif du timbre + le montant fixe de traitement ». Si le destinataire refuse le courrier, « le pli sera retourné à l’expéditeur ou réexpédié au service courrier ».

Par contre, « aucune information n’est précisée sur les modalités et conditions de dédommagement en
cas d’erreur de reconnaissance par les machines de traitement et de distribution », regrette l’Arcep.

Dans son avis, elle rappelait aussi « la nécessité de la disponibilité et de l’accessibilité des conditions générales de vente ». Le Timbre digital (désormais timbre numérique) est considéré comme un moyen de paiement pour l’envoi de correspondance. Il doit être ainsi « défini contractuellement entre le prestataire du service universel et l’usager ».

Il dispose désormais de sa sous-section dédiée dans les conditions générales de vente. Rien par contre concernant les éventuelles « modalités et conditions de dédommagement » en cas de problème avec l’« IA » de La Poste.

À grands coups de dollars ?

Dans son travail au long cours sur l’intelligence artificielle (générative), la CNIL vient de mettre en consultation sept nouvelles recommandations. Il y est question de base légale, d’information aux personnes, de sécurité… Un questionnaire sur l’application du RGPD aux modèles d’IA est aussi de la partie.

En mai de l’année dernière, la CNIL dévoilait son plan d’action « pour un déploiement de systèmes d’IA respectueux de la vie privée des individus ». Il s’agissait alors de répondre au lancement récent des IA génératives, ChatGPT en tête de liste.

• IA et respect de la vie privée : la CNIL veut accompagner avant de contrôler

Des fiches en avril, sept de plus en juin

En avril, la Commission nationale de l’informatique et des libertés publiait ses premières recommandations sur le développement des systèmes d’intelligence artificielle (SIA). Elles arrivaient après des rencontres avec des acteurs publics et privés, ainsi qu’une consultation publique de deux mois. Elles « permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA ».

Ainsi, il était notamment question de déterminer le régime juridique applicable, de définir une finalité et une base légale, d’effectuer des tests et des vérifications en cas de réutilisation des données, de tenir compte de la protection des données, etc. Sept fiches pratiques ont ainsi été mises en ligne il y a quelques semaines.

Comme prévu, une « nouvelle consultation publique sur le développement des systèmes d’IA » vient d’être lancée. Elle porte sur une seconde série de sept fiches pratiques. Elle est ouverte aux commentaires jusqu’au 1er septembre 2024. Le but : « aider les professionnels à concilier innovation et respect des droits des personnes »

• Base légale de l’intérêt légitime et développement de systèmes d’IA
• Intérêt légitime : focus sur la diffusion des modèles en source ouverte (open source)
• Intérêt légitime : focus sur le moissonnage (web scraping)
• Informer les personnes concernées
• Respecter et faciliter l’exercice des droits des personnes concernées
• Annoter les données
• Garantir la sécurité du développement d’un système d’IA

On ne va pas détailler l’ensemble des documents, surtout qu’ils portent bien leur nom pour comprendre de quoi il en retourne. Nous allons simplement nous attarder sur certains points.

Légitimité, nécessité et open source

Dans la première fiche, la CNIL rappelle que le recours à l’intérêt légitime est soumis à plusieurs conditions. On y retrouve notamment le fait que le traitement envisagé est « justifié par la condition de nécessité ». De plus, il ne doit « pas porter une atteinte disproportionnée aux droits et intérêts des personnes ». Des précisions sont apportées sur les notions de légitimité et de nécessité.

Sur la question des modèles open source, la Commission rappelle qu’on manque « d’une définition communément admise pour la diffusion d’un modèle d’IA en source ouverte ». On en parlait très récemment avec une analyse d’une quarantaine de modèles d’IA générative se prétendant « open ».

• IA générative : quels modèles sont vraiment ouverts

Si la publication des paramètres semble être « une condition minimale » pour la CNIL, d’autres points sont à éclaircir. Elle revient particulièrement sur la transparence du développement (documentation, code, données), le résultat (fiche descriptive, poids) et l’accès au modèle (bibliothèque, API, licence…).

Information aux personnes, sécurité

Sur l’information aux personnes, la CNIL rappelle que « les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes concernées ». Quelle que soit la méthode de collecte – directe ou indirecte –, l’organisme doit préciser son identité, la finalité et la base légale du traitement, les éventuels destinataires, la durée de conservation et enfin les droits (notamment d’introduire une réclamation) des personnes concernées.

Dans la dernière fiche, il est rappelé que « la sécurité des systèmes d’IA est un enjeu trop souvent mis au second plan par leurs concepteurs », alors que c’est une obligation prévue par l’article 32 du RGPD. Des mesures de sécurité sont détaillées dans le document.

RGPD vs IA

La CNIL rappelle – à juste titre – que les modèles d’IA « peuvent mémoriser une partie des données utilisées pour leur apprentissage. Différentes manipulations peuvent ensuite permettre de les extraire ». Cela soulève des questions quand on pense aux données personnelles.

Les modèles d’IA pourraient en effet « entrer dans le champ d’application du RGPD, y compris lorsque les risques pour les personnes sont limités ». D’autant qu’il « n’est pas toujours possible d’anonymiser les données d’entraînement, notamment dans le cas de certaines données non structurées ».

Dans sa remise en contexte de la problématique, la CNIL explique qu’il « ne semble pas possible de considérer que tous les modèles d’IA entrainés à partir de données personnelles sont par nature des objets anonymes ». Trois grands types de menaces sont mis en avant : régurgitation des données d’entraînement, inversion du modèle (attaque par reconstruction) et inférence d’appartenance.

Le questionnaire porte sur différents aspects : les risques de réidentification, les techniques permettant d’analyser les risques de régurgitation et d’extraction de données personnelles, l’application du RGPD et la responsabilité des acteurs.

La CNIL indique enfin que « les contributions seront analysées à l’issue de la consultation publique pour permettre la publication des recommandations définitives, sur le site web de la CNIL, courant 2024 ». D’autres publications sur l’IA sont prévues cette année, sans plus de détails.

Y’a des indices, et des gros

Lors d’une fuite de données personnelles (noms, prénoms, adresses email), le risque est de voir débarquer des campagnes de phishing. But de l’opération : récupérer d’autres données et/ou informations bancaires. Nous avons un cas pratique avec Shadow. On en profite pour vous donner les clés afin de voir rapidement que c’était une arnaque. Pensez-y la prochaine fois.

En octobre, Shadow informait ses clients d’un piratage et d’une fuite de leurs données personnelles. Le pirate avait utilisé une attaque de type ingénierie sociale sur un des employés de l’entreprise. Il avait ainsi pu récupérer et exploiter un cookie pour se connecter à une interface de gestion. C’est de là qu’il a siphonné des données personnelles des utilisateurs.

• Shadow piraté, des données personnelles des clients dans la nature

Shadow avait communiqué ouvertement sur l’exploitation de cette faille, expliquant donc les tenants et les aboutissants. Un bon point, qui a permis de rappeler l’importance d’être prudent face aux messages de personnes que l’on ne connait pas. Comme nous l’expliquions alors, le principal risque était une attaque par phishing, avec des pirates se faisant passer pour Shadow.

Fuite en septembre, phishing en juin

Cela aura pris du temps, mais c’est finalement arrivé. Vendredi, vous avez été plusieurs à recevoir un email annonçant « Shadow se lance dans la Blockchain », et à le signaler sur les réseaux sociaux. Le mail est relativement « propre » et crédible au premier abord, reprenant dans l’ensemble la présentation des communications officielles de la société. Mais un coup d’œil rapide permet de repérer la supercherie.

Sans être parfait, loin de là, l’email peut être suffisant pour tromper certains. D’ailleurs, plusieurs clients se sont posés des questions sur cette « communication ». Shadow est rapidement sorti du bois pour expliquer que ce n’est pas une communication officielle. « Ne cliquez pas sur les liens et ne fournissez aucune information personnelle », ajoute l’entreprise.

C’est d’ailleurs un bon réflexe que d’aller voir si l’entreprise communique sur les réseaux sociaux ou sur son site (section actualité, blog, presse…). On en profite pour une rapide analyse des principaux « red flags » qui permettent d’identifier le faux. Comme c’est maintenant souvent le cas, il n’y a pas de grosses fautes évidentes de français dans le texte.

Red Flag #1 : Shadow et crypto (même si ça rime)

Le message est alléchant : « récupérer votre token gratuit grâce à notre airdrop exclusif ». Coinbase rappelle qu’un airdrop crypto est une vraie « stratégie utilisée par les startups blockchain pour distribuer des tokens ou des pièces à des adresses de portefeuille spécifiques ».

Bon, déjà, Shadow fait du cloud gaming, pas de la crypto. Premier « red flag » facile à identifier avant de cliquer sur n’importe quel lien. Rien n’interdit à l’entreprise de se lancer dans le « web3 », mais rien ne le laissait non plus présager. Cela demande au minimum des vérifications.

Red Flag #2 l’URL

Ensuite, toujours sans cliquer évidemment, on regarde l’URL de destination du lien pour « récupérer » le prétendu airdrop : shadow-redirect.tech. La méthode dépend du navigateur et de la messagerie, mais passer au-dessus du lien sans cliquer permet généralement de voir l’URL.

Deuxième « red flag » donc, relativement facile à identifier. D’autant plus que l’adresse est en clair, et ne passe même pas par un raccourcisseur d’URL ou des redirections. Ce n’est pas toujours le cas et des redirections peuvent cacher la destination finale. Dans le doute, un passage par WhereGoes permet de voir l’adresse finale.

• Sur les réseaux sociaux, une redirection peut en cacher une autre

Les pirates l’ont joué fin, avec un nom de domaine assez proche de celui officiel de l’entreprise : shadow.tech. Ils ont simplement ajouté un « -redirect » dans l’URL, ce qui en fait un nouveau nom de domaine. On a tenté l’expérience pour vous : le site des pirates ne répond plus.

Red Flag #3 : l’expéditeur

Il y avait un troisième red flag simple à identifier : l’expéditeur avec « Shadow@myhpal.fr ». Un nom de domaine qui n’a aucun rapport avec Shadow, qui utilise normalement no-reply@shadow.tech pour ses communications. Logique puisque c’est le nom de domaine correspondant à son site.

Signalons enfin, de nouveau sur X, un message de Hyg_0x : « j’ai tenté de vous alerter que la BDD qui vous a était volé en septembre 2023 a été mise en vente il y a quelques semaines ce qui aurait pu être anticipé mais visiblement ça n’a pas été pris au sérieux ». Le message en question date de mi-mai.

Des indicateurs, mais pas une science exacte

Attention, ces red flags ne sont ni suffisants ni nécessaires. De vrais emails peuvent renvoyer vers un autre nom de domaine ou provenir d’une agence de presse, et donc ne pas correspondre au service. À contrario, il est possible de modifier les en-têtes et l’expéditeur pour faire croire à une vraie communication alors que ce n’est pas le cas.

Même chose pour les liens et les pièces jointes. Un lien peut laisser penser qu’il renvoie vers next.ink, sans pour autant envoyer vers le meilleur site du monde. Il y a également le cas des caractères proches, comme un I (i majuscule), un l (L minuscule) et un | (barre verticale).

Même chose pour les pièces jointes : un « fichier jpg » peut cacher bien plus qu’une image (ou toute autre chose), idem pour un document de travail… et on ne parle même pas des archives et des fichiers exécutables.

Que ce soit sur les réseaux sociaux, les messageries et n’importe quel canal de communication, soyez prudents et réfléchissez avant d’agir, cela permet généralement d’éviter les problèmes ou a minima de limiter fortement les dégâts.