Y’a des indices, et des gros

Lors d’une fuite de données personnelles (noms, prénoms, adresses email), le risque est de voir débarquer des campagnes de phishing. But de l’opération : récupérer d’autres données et/ou informations bancaires. Nous avons un cas pratique avec Shadow. On en profite pour vous donner les clés afin de voir rapidement que c’était une arnaque. Pensez-y la prochaine fois.

En octobre, Shadow informait ses clients d’un piratage et d’une fuite de leurs données personnelles. Le pirate avait utilisé une attaque de type ingénierie sociale sur un des employés de l’entreprise. Il avait ainsi pu récupérer et exploiter un cookie pour se connecter à une interface de gestion. C’est de là qu’il a siphonné des données personnelles des utilisateurs.

• Shadow piraté, des données personnelles des clients dans la nature

Shadow avait communiqué ouvertement sur l’exploitation de cette faille, expliquant donc les tenants et les aboutissants. Un bon point, qui a permis de rappeler l’importance d’être prudent face aux messages de personnes que l’on ne connait pas. Comme nous l’expliquions alors, le principal risque était une attaque par phishing, avec des pirates se faisant passer pour Shadow.

Fuite en septembre, phishing en juin

Cela aura pris du temps, mais c’est finalement arrivé. Vendredi, vous avez été plusieurs à recevoir un email annonçant « Shadow se lance dans la Blockchain », et à le signaler sur les réseaux sociaux. Le mail est relativement « propre » et crédible au premier abord, reprenant dans l’ensemble la présentation des communications officielles de la société. Mais un coup d’œil rapide permet de repérer la supercherie.

Sans être parfait, loin de là, l’email peut être suffisant pour tromper certains. D’ailleurs, plusieurs clients se sont posés des questions sur cette « communication ». Shadow est rapidement sorti du bois pour expliquer que ce n’est pas une communication officielle. « Ne cliquez pas sur les liens et ne fournissez aucune information personnelle », ajoute l’entreprise.

C’est d’ailleurs un bon réflexe que d’aller voir si l’entreprise communique sur les réseaux sociaux ou sur son site (section actualité, blog, presse…). On en profite pour une rapide analyse des principaux « red flags » qui permettent d’identifier le faux. Comme c’est maintenant souvent le cas, il n’y a pas de grosses fautes évidentes de français dans le texte.

Red Flag #1 : Shadow et crypto (même si ça rime)

Le message est alléchant : « récupérer votre token gratuit grâce à notre airdrop exclusif ». Coinbase rappelle qu’un airdrop crypto est une vraie « stratégie utilisée par les startups blockchain pour distribuer des tokens ou des pièces à des adresses de portefeuille spécifiques ».

Bon, déjà, Shadow fait du cloud gaming, pas de la crypto. Premier « red flag » facile à identifier avant de cliquer sur n’importe quel lien. Rien n’interdit à l’entreprise de se lancer dans le « web3 », mais rien ne le laisser non plus présager cela. Cela demande au minimum des vérifications.

Red Flag #2 l’URL

Ensuite, toujours sans cliquer évidemment, on regarde l’URL de destination du lien pour « récupérer » le prétendu airdrop : shadow-redirect.tech. La méthode dépend du navigateur et de la messagerie, mais passer au-dessus du lien sans cliquer permet généralement de voir l’URL.

Deuxième « red flag » donc, relativement facile à identifier. D’autant plus que l’adresse est en claire, et ne passe même pas par un raccourcisseur d’URL ou des redirections. Ce n’est pas toujours le cas et des redirections peuvent cacher la destination finale. Dans le doute, un passage par WhereGoes permet de voir l’adresse finale.

• Sur les réseaux sociaux, une redirection peut en cacher une autre

Les pirates l’ont joué fin, avec un nom de domaine assez proche de celui officiel de l’entreprise : shadow.tech. Ils ont simplement ajouté un « -redirect » dans l’URL, ce qui en fait un nouveau nom de domaine. On a tenté l’expérience pour vous : le site des pirates ne répond plus.

Red Flag #3 : l’expéditeur

Il y avait un troisième red flag simple à identifier : l’expéditeur avec « Shadow@myhpal.fr ». Un nom de domaine qui n’a aucun rapport avec Shadow, qui utilise normalement no-reply@shadow.tech pour ses communications. Logique puisque c’est le nom de domaine correspondant à son site.

Signalons enfin, de nouveau sur X, un message de Hyg_0x : « j’ai tenté de vous alerter que la BDD qui vous a était volé en septembre 2023 a été mise en vente il y a quelques semaines ce qui aurait pu être anticipé mais visiblement ça n’a pas été pris au sérieux ». Le message en question date de mi-mai.

Des indicateurs, mais pas une science exacte

Attention, ces red flags ne sont ni suffisants ni nécessaires. De vrais emails peuvent renvoyer vers un autre nom de domaine ou provenir d’une agence de presse, et donc ne pas correspondre au service. À contrario, il est possible de modifier les en-têtes et l’expéditeur pour faire croire à une vraie communication alors que ce n’est pas le cas.

Même chose pour les liens et les pièces jointes. Un lien peut laisser penser qu’il renvoie vers next.ink, sans pour autant envoyer vers le meilleur site du monde. Il y a également le cas des caractères proches, comme un I (i majuscule), un l (L minuscule) et un | (barre verticale).

Même chose pour les pièces jointes : un « fichier jpg » peut cacher bien plus qu’une image (ou toute autre chose), idem pour un document de travail… et on ne parle même pas des archives et des fichiers exécutables.

Que ce soit sur les réseaux sociaux, les messageries et n’importe quel canal de communication, soyez prudents et réfléchissez avant d’agir, cela permet généralement d’éviter les problèmes ou a minima de limiter fortement les dégâts.

Le conseil d’administration du groupe Atos a annoncé mardi avoir fait son choix.

Lourdement endettée, l’entreprise avait reçu deux offres de reprises, une de l’homme d’affaires tchèque Daniel Kretinsky, à la tête d’EPEI, l’autre par un consortium menée par OnePoint, son principal actionnaire.

Le conseil d’administration a déclaré cette dernière « mieux orientée en matière d’intérêt social de la société ».

Elle bénéficie par ailleurs « du soutien d’un grand nombre de créanciers financiers d’Atos », ce qui doit lui assurer « avec plus de certitude la conclusion d’un accord définitif de restructuration financière ».

Pilier technologique des Jeux olympiques, Atos avait annoncé avoir besoin d’1,1 milliard d’euros de liquidité pour son activité 2024-2025 et chercher à réduire de 3,2 milliards d’euros une dette brute proche des 5 milliards.

L’offre de Onepoint et de ses alliés prévoit un effacement de la dette à hauteur de 2,9 milliards d’euros, à convertir en fonds propres.

Sous réserve de derniers ajustements, elle devrait être assortie de l’apport d’1,5 milliard d’euros sous forme de dette, et d’une augmentation de capital de 250 millions d’euros, au terme de laquelle le consortium détiendrait 21 % des parts du groupe et les obligataires, 9 %.

Dimanche, allez voter !

Hier, la soirée était chargée avec le résultat des élections européennes – dominées par le Rassemblement national (RN) avec 31,37 % des voix (les résultats au niveau européen se trouvent par ici) – et l’annonce dans la foulée de la dissolution de l’Assemblée nationale. Un pouvoir dont dispose le président de la République.

Il n’avait pas été utilisé depuis 1997, lorsque Jacques Chirac avait dissous l’Assemblée nationale. Cela avait abouti à une cohabitation, avec Lionel Jospin comme Premier ministre. C’est maintenant l’enjeu de ces élections législatives : élire les députés, puis par ricochet désigner le Premier ministre. Il est nommé par le président, mais doit appartenir au groupe majoritaire.

Tout d’abord, un rappel sur les délais. L’article 12 de la Constitution stipule que, après une dissolution, « les élections générales ont lieu vingt jours au moins et quarante jours au plus après la dissolution ». On est donc dans la fourchette basse, mais dans la fourchette quand même.

Code électoral vs Constitution

Sur X, Jean-Jacques Urvoas (ex-garde des Sceaux et professeur de droit public) expliquait dimanche soir que les dates choisies étaient « curieuses ». Il citait le Code électoral qui explique que les déclarations de candidatures doivent être déposées « à la préfecture au plus tard à 18 heures le quatrième vendredi précédant le jour du scrutin ».

Un délai qui repousserait le premier tour au 7 juillet, alors qu’il est programmé pour le 30 juin. Très tôt lundi matin, il ajoutait que, « après recherche l’art. 12 de la Constitution écrase l’art L157 comme l’a jugé le Conseil Constitutionnel décision no 88-5 ELEC du 4 juin 1988 ».

« C’est donc le décret de convocation des électeurs qui règlera la question du délai de dépôt des candidatures pour les prochaines législatives », décret qui est désormais en ligne (n° 2024-527 du 9 juin) et apporte quelques précisions sur le déroulement des faits.

Le décret fixe les détails

On commence par un rappel du calendrier : « Les électeurs sont convoqués le dimanche 30 juin 2024 » et, « par dérogation aux dispositions de l’alinéa précédent, les électeurs sont convoqués le samedi 29 juin 2024 à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, à Saint-Martin, en Guadeloupe, en Martinique, en Guyane, en Polynésie française et dans les bureaux de vote ouverts par les ambassades et postes consulaires situés sur le continent américain ». Le second tour se déroulera le 7 juillet, ou le 6 juillet pour les dérogations.

Il est précisé que « les déclarations de candidatures seront reçues par le représentant de l’État à partir du mercredi 12 et jusqu’au dimanche 16 juin 2024 à 18 heures (heure légale locale) ». Pour le second tour, les déclarations seront à déposer à partir de la publication des résultats et jusqu’au mardi 2 juillet 2024 à 18h. La campagne électorale débutera dans la foulée, soit à partir du « lundi 17 juin 2024 à zéro heure ».

Pas d’inscription sur les listes, vote électronique

Le décret ne permet par contre pas de s’inscrire sur les listes électorales : « L’élection aura lieu à partir des listes électorales et des listes électorales consulaires extraites du répertoire électoral unique et à jour des tableaux prévus aux articles R. 13 et R.14 du Code électoral telles qu’arrêtées à la date du présent décret ». Une exception : « Toutefois, en Nouvelle-Calédonie, l’élection aura lieu à partir des listes électorales arrêtées le 29 février 2024 ».

Vous pouvez vérifier votre situation électorale sur cette page. Pour une procuration, c’est par là que ça se passe.

L’Article 10 précise que « le vote par voie électronique pour l’élection des députés des Français établis hors de France est ouvert le mardi précédant la date du scrutin, à 12 heures, et clos le jeudi précédant le scrutin, à 12 heures ».

L’Arcom commence son décompte demain matin

De son côté, l’Arcom explique que, « compte tenu de la brièveté de cette campagne, [l’autorité] appelle les éditeurs à une particulière vigilance quant au respect des règles en vigueur ». Elle leur demande de commencer les décomptes liés à l’élection à compter de ce mardi 11 juin 2024, dès 6h.

« Le principe de l’équité s’applique pendant toute la période précédant le scrutin. Afin de corriger d’éventuels déséquilibres des temps de parole dans les délais impartis, les médias audiovisuels devront transmettre les relevés à l’Arcom deux fois par semaine à compter du 17 juin 2024 pour ce qui concerne le premier tour », précise enfin l’Autorité.

Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donner la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ces outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image rien qu’avec un prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Mais pour tout ça, il faut bien entrainer les IA avec une base de données massives. Et quoi de plus simple et de plus efficace que d'utiliser les données directement disponibles sur le Cloud d'Adobe ? Des utilisateurs suspicieux ont donc eu peur que la modification des conditions d'utilisation intervenue en février dernier le permette à l'entreprise, et ils ont été relayés par plusieurs médias comme The Register ou Venture Beat. D'autant que le texte modifié en anglais n'est pas des plus clairs : « nous pouvons accéder, visualiser ou écouter votre contenu (défini dans la section 4.1 (Contenu) ci-dessous) par des méthodes automatisées et manuelles, mais uniquement de manière limitée et dans les limites autorisées par la loi » explique-t-il. Et dans la même sous-section, Adobe ajoute « nos systèmes automatisés peuvent analyser votre Contenu et les Polices Client Creative Cloud (définies dans la section 3.10 (Polices Client Creative Cloud) ci-dessous) à l'aide de techniques telles que le machine learning afin d'améliorer nos Services et nos Logiciels ainsi que l'expérience utilisateur. Des informations sur la manière dont Adobe utilise l'apprentissage automatique sont disponibles ici ». La mention du machine learning dans la section de l'accès aux contenus des utilisateurs peut effectivement faire penser qu'Adobe se donne la permission d'utiliser les images créées par ses utilisateurs pour entrainer ses IA. Mais la section 4.1 à laquelle fait référence le texte modifié plus haut évoque plutôt le fait de vérifier que les contenus respectent bien les conditions d'utilisation justement :

« Nous ne révisons pas l’ensemble du Contenu chargé sur les Services et dans les Logiciels, mais nous pouvons utiliser des technologies, des fournisseurs, ou des processus disponibles, y compris manuellement, pour filtrer certains types de contenus non autorisés (pédosexuels, par exemple) ou tout autre contenu ou comportement délictueux (des activités révélant un pourriel ou un hameçonnage, ou des mots-clés indiquant que du contenu réservé aux adultes a été publié en dehors du mur de protection contre le contenu pour adultes) ».

Clarifions

Adobe a dû publier un billet de blog pour « clarifier » sa « clarification » de ses conditions d'utilisation : « pour être clair, Adobe exige une licence limitée pour accéder au contenu uniquement dans le but d'exploiter ou d'améliorer les services et les logiciels et pour faire respecter nos conditions et se conformer à la loi, par exemple pour se protéger contre les contenus abusifs ». L'entreprise ajoute qu' « Adobe n'entraine pas les modèles d'IA Firefly Gen sur le contenu des clients » et qu'elle « ne s'appropriera jamais le travail d'un client ». Elle publie aussi la différence entre les anciennes et nouvelles conditions d'utilisation pour montrer sa bonne foi, que l'on peut aller vérifier via la fonction diff proposée par archive.org :

Il serait pertinent qu'au-delà de ce billet, Adobe change ses conditions d'utilisation pour ajouter ce genre de phrases et rassurer ses utilisateurs. Cela dit, dans la version française de ces conditions d'utilisation, Adobe utilise une tournure un peu plus claire : « nous ne pourrons accéder à votre Contenu (défini à l’article 4.1 (Contenu) ci-dessous), le regarder ou l’écouter par le biais de processus automatisés et manuels que de manière restreinte et uniquement dans les limites autorisées par la loi ».

Pas d’échappement, pas de pot

Une importante faille de sécurité a été découverte dans plusieurs versions de PHP sous Windows, où l’exploitation est jugée triviale. Les personnes ayant installé un serveur avec XAMPP sont encouragées à modifier leur configuration, aucune nouvelle version n’étant pour l’instant disponible.

La vulnérabilité, estampillée CVE-2024-4577, affecte toutes les versions de PHP fonctionnant sur Windows. Elle concerne les versions 8.3 avant 8.3.8, 8.2 avant 8.2.20 et 8.1 avant 8.1.29. Toutes les moutures du langage sont touchées, y compris les plus anciennes. Les branches 8.0, 7 et 5 sont ainsi impactées, mais ne sont plus entretenues.

La faille a été découverte par Orange Tsai, chercheur en sécurité chez DevCore. Elle réside dans la conjonction d’un problème de vérification dans PHP et du fonctionnement d’un mécanisme de Windows, nommé best-fit. Ce dernier est responsable de la conversion du codage des caractères.

Pour un simple trait d’union invisible

Pour comprendre le fonctionnement de la faille, expliquons d’abord le concept d’échappement. Ce processus permet de convertir une partie des entrées utilisateur pour en retirer tout ce qui pourrait être interprété de travers. Cas classique, les symboles < et >, convertis dans leur équivalent en hexadécimal, afin de ne pas créer par inadvertance des balises web, selon l’utilisation.

Dans le cas de Best Fit, certains caractères ne sont pas échappés. Le trait d’union conditionnel (ou virtuel) est ainsi cité. Il s’agit d’un caractère invisible servant à indiquer où un mot a le droit d’être coupé pour créer un trait d’union. C’est ce type de caractère que l’on trouve parfois dans des noms de domaines pour afficher un nom paraissant légitime, mais renvoyant vers un faux site. Best Fit modifie notamment la valeur du trait d’union conditionnel (0xAD) en trait d’union classique (0x2D).

Pour le mode CGI uniquement

PHP peut fonctionner dans plusieurs modes. Seul le mode CGI est concerné par la faille, alors même qu’il a été conçu pour la sécurité, l’interprétation du code se faisant dans un processus distinct.

« Il s’avère que, dans le cadre du traitement d’Unicode, PHP applique ce que l’on appelle une correspondance « best fit », et suppose que, lorsque l’utilisateur a saisi un trait d’union virtuel, il avait en fait l’intention de saisir un véritable trait d’union, et l’interprète en tant que tel. C’est là que réside notre vulnérabilité. Si nous fournissons à un gestionnaire CGI un trait d’union virtuel (0xAD), le gestionnaire CGI ne ressentira pas le besoin de l’échapper, et le transmettra à PHP », pointent les chercheurs de WatchTowr.

Vous devinez la suite : PHP va l’interpréter comme un vrai trait d’union. Un changement simple en apparence, mais déterminant, le trait d’union servant à introduire des arguments dans les commandes.

Les chercheurs soulignent que le mécanisme est « remarquablement similaire » à une vieille faille de PHP en 2012. L’équipe de développement ne semble pas avoir pensé à Best Fit sous Windows, permettant de reprendre les codes d’exploitation d’il y a 12 ans et d’y apporter quelques modifications pour les faire fonctionner. Il s’agit d’une attaque par injection d’arguments, comme en 2012.

Une faille critique, avec quelques conditions

La faille est critique, dans le sens où une installation vulnérable peut être utilisée pour déclencher une exécution de code arbitraire à distance, sans intervention de l’utilisateur. En pratique, il faut quand même que quelques conditions soient réunies.

Par défaut, PHP n’est pas installé sur Windows. Pour qu’il le soit, il faut avoir installé un serveur, comme XAMPP, cité par les chercheurs. Il faut en outre que PHP fonctionne en mode CGI, un usage devenu minoritaire (largement remplacé par FastCGI). Mais attention, exposer le binaire PHP (php.exe ou php-cgi.exe) dans un dossier accessible au serveur web permet aussi l’exploitation de la faille. C’est malheureusement la configuration par défaut de XAMPP, qui n’est plus mis à jour depuis plus d’un an.

Les chercheurs ont par ailleurs attesté l’exploitation de la faille – tout en donnant la méthode – sur les versions chinoises (traditionnel et simplifié) et japonaise de Windows. Ils disent ne pas savoir si l’exploitation peut se faire sur d’autres variantes linguistiques. Ils ajoutent avoir été confrontés à une trop grande variation des configurations, d’autant qu’il n’est pas simple, depuis l’extérieur, de savoir dans quelle langue un système est configuré.

Toutes les personnes ayant un serveur PHP sont invitées à vérifier sa configuration et à installer la version plus récente de PHP.

Les pirates sont vite partis à l’assaut

Révélée vendredi avec de nombreuses précisions par DevCore, la faille a rapidement fait l’objet d’une recherche active de victimes. C’est ce qu’a indiqué la Shadowserver Foundation dès vendredi après-midi.

L’exploitation est simple à réaliser et les pirates peuvent tabler sur l’installation par défaut de XAMPP (qui n’est pas censé être utilisé en production, s’agissant avant tout d’un environnement de test) pour exposer les binaires PHP. La situation pour les systèmes Windows dans d’autres langues que celles testées par DevCore n’est pas claire, mais rien ne s’oppose – en théorie – à une exploitation sur tout type de configuration.

C’est donc ce soir qu’Apple présentera ses nouveautés sur la partie logicielle. Il sera question des nouvelles versions des systèmes d’exploitation pour les smartphones (iOS), les tablettes (iPadOS) et les ordinateurs (macOS). Sauf surprise de dernière minute, ce seront respectivement les versions iOS et iPadOS 18, ainsi que MacOS 15.

Apple devrait aussi se lancer pleinement dans l’intelligence artificielle, avec du retard sur ses camarades et concurrents. L’entreprise livre généralement des produits finis et bien intégrés (parfois, c’est loupé, le lancement de Plans peut en témoigner), les annonces du jour seront donc à surveiller de près.

Des rumeurs insistantes font état d’un nouveau gestionnaire de mot de passe, d’une nouvelle version « 2.0 » de Siri, etc. Dernières suppositions en date, un mode sombre pour les icônes des applications et la possibilité de passer par Face ID pour valider le lancement d’une application.

Il arrive aussi parfois que des annonces sur le matériel soient faites, notamment avec la puce M2 et un nouveau MacBook Air en 2022, ainsi que le casque de réalité mixte Vision Pro en 2023. Réponses dans quelques heures à peine.

La conférence est à suivre sur Apple TV, sur le site d’Apple ou sur YouTube.

La fonction existe dans WhatsApp depuis deux ans. Elle permet de fédérer de grands groupes de personnes autour de thématiques communes, comme les résidents d’un quartier, les parents d’élèves d’une école, etc.

Cette fois, Meta déploie la fonction sur Messenger, signale TechCrunch. Mais là où WhatsApp réclamait le numéro de téléphone, Messenger fonctionne sur la base des amis (et amis d’amis) sur Facebook. En outre, les invitations sont émises sous forme de liens partageables.

Jusqu’à 5 000 personnes peuvent rejoindre une communauté sur Messenger. Chacune est munie d’un accueil présentant l’espace de conversation. Les administrateurs du groupe peuvent également y placer des publications, mises à jour et autres informations.

Une communauté permet le rassemblement de plusieurs groupes de conversations. Les administrateurs doivent garder en mémoire que toute personne acceptée peut voir l’intégralité des échanges qu’elle rejoint. Une fois une communauté créée, il est possible de créer d’autres groupes, en fonction des thématiques spécifiques à aborder.

Y’a-t-il un Copilot dans l’avion ?

Les PC Copilot+ vont arriver dès le 18 juin avec un SoC Qualcomm. Des machines avec des processeurs AMD Strix et Intel Lunar Lake sont également au programme. Microsoft garde toutefois le silence sur la période de lancement. AMD espère fin 2024, Intel ne se prononce pas.

Il y a trois semaines, Microsoft officialisait une nouvelle gamme de produits : les PC Copilot+. Il s’agit de machines orientées intelligence artificielle (comme c’est original) et des fonctions intégrées dans Windows 11.

L’une d’entre elles – Recall – fait couler beaucoup d’encre, et on découvre de nouveaux dangers régulièrement. Microsoft vient d’ailleurs de faire machine arrière.

• Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

Mais que faut-il pour appartenir à la gamme Copilot+ et quand pourrons-nous en profiter ? Le sujet n’est pas simple puisque Microsoft n’y répond pas directement.

Microsoft Qualcomm et vice-versa

L’entreprise s’est entichée de Qualcomm pour ce lancement : « Microsoft associe la série Snapdragon X à la puissance de Copilot+ ». Il en est de même pour les trois variantes de la puce X Elite de chez Qualcomm toujours.

Alex Katouzian, (responsable mobile, compute & XR chez Qualcomm) nous promet au passage monts et merveilles : « capacités d’IA révolutionnaires qui redéfinissent l’expérience informatique personnelle, le tout avec des performances de pointe et une autonomie de plusieurs jours ». À confirmer lors de tests, d’autant que Qualcomm a déjà fait part le passé des promesses dans le monde du portable, sans grand succès jusqu’à présent.

NVIDIA veut sa part du gâteau

Dès l’annonce de Copilot+, on se demandait si des machines avec un autre CPU pourraient être « certifiées » et profiter des nouvelles fonctionnalités. La réponse est arrivée par NVIDIA lors de sa keynote du Computex. On pourrait la résumer par « oui, mais… ».

En parlant des nouveaux ordinateurs portables RTX AI, le fabricant de carte graphique l’affirme sans détours : « Ces PC Windows 11 AI recevront une mise à jour gratuite des expériences Copilot+ PC lorsqu’elle sera disponible ».

• NVIDIA : IA, IA, GPU Rubin, IA, IA, SFF-Ready, IA, IA…

Microsoft veut du NPU, mais est-il obligatoire ?

Dans son communiqué, Microsoft explique que les « nouveaux Copilot+ PC reposent sur une architecture repensée qui tire pleinement parti de la puissance conjuguée du CPU, du GPU et désormais du NPU (Neural Processing Unit ou unité de traitement neuronal) ». Cela tombe bien, les machines dont parle NVIDIA seront équipées d’un processeur AMD Strix, avec NPU.

Rappelons que les cartes graphiques font largement mieux que les NPU, et depuis longtemps. Microsoft semble néanmoins bien plus attachée à la présence d’un NPU pour le traitement des données liées à l’intelligence artificielle, qu’à celle d’une carte graphique.

Des PC Copilot+ avec AMD « d’ici fin 2024 » ?

AMD emboite le pas à NVIDIA avec l’annonce de ses Ryzen AI 300 avec NPU intégré. Le Texan affirme que ces nouveaux processeurs « sont prêts pour Copilot+ », et même qu’ils « dépassent les exigences de Copilot+ AI PC ». À The Verge, AMD apporte une précision temporelle, du bout des lèvres : « Nous prévoyons d’avoir des expériences Copilot+ d’ici fin 2024 ».

Au détour d’un graphique, on apprend que, selon AMD, le minimum requis pour les « expériences Copilot+ » est de 40 TOPS. En mai, lors de son annonce, Microsoft expliquait que les machines Copilot+ seraient « capables d’effectuer plus de 40 TOPS », sans préciser que c’était un minimum requis.

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026

Copilot+ PC avec Lunar Lake d’Intel : oui, mais quand ?

Toujours au Computex, c’était ensuite au tour d’Intel de présenter ses processeurs Lunar Lake, avec eux aussi un NPU pour l’IA : « Lunar Lake bénéficiera des expériences Copilot+, comme Recall, via une mise à jour lorsqu’elle sera disponible ». Aucune date n’a été précisée.

Bref, AMD, Intel et NVIDIA se positionnent sur la « marque » Copilot+, mais sans donner aucune indication précise, si ce n’est qu’il faut patienter et que « cela va arriver… ». Il ne faut pas attendre d’éclaircissement de la part de Microsoft, qui n’a pas souhaité répondre à nos questions, pas plus qu’à celles de plusieurs de nos confrères américains.

• Intel présente Lunar Lake (CPU, GPU, NPU), lance ses Xeon 6 E-core et Gaudi 3 pour l’IA

Microsoft l’affirme : des mises à jour gratuites arrivent

« Les ordinateurs Intel Lunar Lake et AMD Strix sont des PC Windows 11 AI qui répondent à nos exigences matérielles Copilot+ PC. Nous travaillons en étroite collaboration avec Intel et AMD pour offrir des expériences PC Copilot+ via des mises à jour gratuites, lorsqu’elles sont disponibles », se contente d’expliquer James Howell, directeur marketing de Microsoft.

Pourquoi un tel décalage temporel entre les Copilot+ PC avec un SoC Qualcomm et ceux avec un CPU AMD ou Intel ? À défaut d’information fiable, on peut seulement faire des suppositions : contrat d’exclusivité avec Qualcomm, adaptations nécessaires pour l’architecture x86, etc.

Il pourrait s’agir simplement de la mise à jour 24H2 pour Windows 11, prévue pour l’automne. Elle est présente sur les PC Copilot+, mais demande plus de préparation pour le parc x86. Elle était d’ailleurs disponible dans le canal de test Release Preview (le plus stable), mais en a été retirée. Microsoft n’a pas expliqué pourquoi, précisant uniquement qu’elle serait de retour dans quelques semaines.

Quoi qu’il en soit, les premiers Copilot+ PC sont attendus pour le 18 juin, avec un SoC Qualcomm. Il y aura évidemment les nouvelles Surface de Microsoft, mais aussi des machines chez Acer, Asus, Dell, HP, Lenovo et Samsung. D’autres suivront très certainement durant l’été, puis à la rentrée, etc.

Une étude du Pew Research Center, repérée par Meta-Media, le service de veille numérique de France Télévisions, relève que 38 % des pages web existantes en 2013 ne sont plus accessibles dix ans plus tard, contre 8 % des pages qui existaient en 2023 :

« Un quart des pages web qui ont existé à un moment donné entre 2013 et 2023 ne sont plus accessibles depuis octobre 2023. Dans la plupart des cas, cela est dû au fait qu’une page individuelle a été supprimée ou retirée d’un site web par ailleurs fonctionnel. »

Cette analyse des « liens morts » (« link rot », en anglais), reposant sur un examen des liens apparaissant sur les sites gouvernementaux et les sites d’information, ainsi que dans la section Références des pages Wikipédia au printemps 2023, révèle en outre que :

• 5 % des liens sur les sites d’actualités n’étaient plus accessibles, et 23 % des pages examinées contenaient au moins un lien brisé ;
• 11 % de toutes les références liées à Wikipédia ne sont plus accessibles, et 54 % des pages de Wikipedia contenant au moins un lien dans leur section Références pointent vers une page qui n’existe plus ;
• au moins 14 % des pages gouvernementales, et 21 % des pages web des administrations publiques, contenaient au moins un lien brisé ;
• 23 % des pages web d’actualités contiennent au moins un lien brisé, de même que 21 % des pages web de sites gouvernementaux ;
• 25 % de toutes les pages collectées de 2013 à 2023 n’étaient plus accessibles en octobre 2023 : 16 % des pages sont inaccessibles individuellement mais proviennent d’un domaine de niveau racine par ailleurs fonctionnel ; les 9 % restants sont inaccessibles parce que l’ensemble de leur domaine racine n’est plus fonctionnel.

L’examen d’un échantillon d’utilisateurs de Twitter indique par ailleurs que près d’un tweet sur cinq (18 %) n’est plus visible publiquement sur le site quelques mois seulement après avoir été publié. Dans 60 % de ces cas, le compte qui a publié le tweet à l’origine a été rendu privé, suspendu ou entièrement supprimé.

Dans les 40 % restants, le titulaire du compte a supprimé le tweet, mais le compte lui-même existe toujours :

• 1 % des tweets sont supprimés en moins d’une heure
• 3 % en l’espace d’un jour
• 10 % en l’espace d’une semaine
• 15 % en l’espace d’un mois

« Considère ça comme un divorce »

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

• #Flock : Total RECALL me maybe

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d’autant qu’une deuxième vague de PC Copilot+ serait en préparation pour la fin de l’été.

L’affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.

« Grâce à notre perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données », a déclaré Bryan Vorndran, directeur adjoint de la division Cyber du FBI, rapporte BleepingComputer.

Lors du démantèlement de l’infrastructure de LockBit, en février, les autorités avaient saisi 34 serveurs contenant alors plus de 2 500 clés de déchiffrement du rançongiciel russophone. Elles estimaient que le gang et ses affiliés avaient récolté jusqu’à 1 milliard de dollars en rançons suite à 7 000 attaques visant des organisations du monde entier entre juin 2022 et février 2024.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans
• Quelles traces relient Dmitry Khoroshev au rançongiciel LockBit ?

En dépit des efforts des forces de l’ordre pour mettre fin à ses activités, LockBit est toujours actif. L’Hôpital de Cannes Simone Veil a ainsi révélé mi-avril avoir fait l’objet d’une cyberattaque, et annoncé qu’il refusait de payer la rançon exigée par LockBit3.0, relève BleepingComputer :

« Dans le cas d’une fuite de données appartenant potentiellement à l’hôpital, nous communiquerons à nos patients et aux parties prenantes, après un examen détaillé des fichiers susceptibles d’avoir été exfiltrés, la nature des informations volées. »

Non contentes d’avoir révélé l’identité de son chef de gang, un ressortissant russe de 31 ans nommé Dmitry Yuryevich Khoroshev, les autorités ont également arrêté et inculpé plusieurs de ses membres, dont Mikhail Vasiliev en novembre 2022, Mikhail Pavlovich Matveev en mai 2023, Ruslan Magomedovich Astamirov en juin, Artur Sungatov et Ivan Gennadievich Kondratiev en février 2024.

Le département d’État américain offre désormais 10 millions de dollars pour toute information qui conduirait à l’arrestation ou à la condamnation des dirigeants de LockBit, ainsi qu’une récompense supplémentaire de 5 millions de dollars pour toute information conduisant à l’arrestation des affiliés du ransomware LockBit.

Microsoft organisait ce week-end son Xbox Games Showcase 2024, avec une ribambelle de nouveaux jeux annoncés. On y retrouve des licences phares comme Call of Duty, Diablo, Doom, Indiana Jones, etc. Nous n’allons pas nous attarder sur la partie logicielle, détaillée dans ce billet de blog.

La société a du nouveau aussi sur la partie matérielle, avec trois consoles. La nouveauté la plus marquante est sans aucun doute une première Xbox Series X en version all-digital, c’est-à-dire sans lecteur optique, avec 1 To de SSD. Elle sera vendue « dans certains marchés » pour 499,99 euros.

Microsoft propose également une autre Xbox Series X, avec 2 To de stockage cette fois et un lecteur Blu-ray, pour 649,99 euros. Terminons avec une Xbox Series S de 1 To et un châssis blanc. Elle est vendue 349,99 euros, le même tarif que sa grande sœur (Series S, 1 To) en noir lancée l’année dernière.

Google signe la fin de la récréation sur sa boutique, dans l’optique de mettre fin à la vague d’applications de type IA permettant de générer des contenus normalement interdits. Les conditions d’utilisation de la boutique sont maintenant plus sévères, avec expulsion en cas d’enfreinte.

Les contenus sexuels et violents, notamment, ne doivent pas pouvoir être générés depuis une application faisant appel à l’IA. Une publicité pour l’application ne doit pas non plus aborder ces capacités, qu’elles soient ou non présentes dans le produit.

TechCrunch relève par exemple qu’aux États-Unis, des élèves se servent de ce genre d’application pour générer de faux nus, utilisés à des fins d’intimidation et de harcèlement. 404 Media avait de son côté observé des publicités sur Instagram pour des applications qui se prétendaient capables, elles aussi, de générer des faux nus.

À cette interdiction, que Google veut stricte, l’entreprise en ajoute une autre : ces applications doivent intégrer un mécanisme pour signaler les abus. Même chose s’il existe une section pour les commentaires. Enfin, Google recommande aux développeurs de documenter les tests réalisés, car elle peut les réclamer lors de la validation.

Selon le New York Times, le gouvernement américain et la Federal Trade Commission (FTC) se sont coordonnés pour lancer plusieurs enquêtes sur d’éventuelles pratiques anticoncurrentielles dans le milieu de l’IA.

Le ministère de la Justice Américain va se concentrer sur les comportements du concepteur de GPU NVIDIA et vérifier qu’il n’a pas violé les lois antitrust américaines.

De son côté, la FTC va analyser la conduite d’OpenAI et de Microsoft et notamment l’investissement de 13 milliards de dollars du second dans le premier.

« Pendant des mois, Nvidia, Microsoft et OpenAI ont largement échappé à la surveillance réglementaire du gouvernement de Biden », commente le journal américain.

L’agence indépendante avait déjà lancé des enquêtes en juillet 2023 et en janvier 2024 sur OpenAI et plus globalement sur les liens entre les grandes entreprises du numérique et les nouvelles startups de l’IA.

Le New York Times cite une interview de Lina Khan, présidente de la FTC, réalisée en février dernier. Elle y déclarait à propos de la régulation de l’IA que l’agence essayait de repérer « les problèmes potentiels dès le début plutôt que des années et des années plus tard, lorsque les problèmes sont profondément ancrés et beaucoup plus difficiles à rectifier ».

Le journal remarque cependant que « les États-Unis sont en retard sur l’Europe en matière de réglementation de l’intelligence artificielle ».

The Verge a découvert qu’un certain nombre de produits récents d’Apple ont une puce radio compatible Thread.

Ce protocole réseau sert à constituer des réseaux maillés basse consommation (IPv6 et 6LoWPAN). Il fonctionne en se basant sur des routeurs de périphérie, qui peuvent alors servir de ponts. Il est souvent confondu avec Matter, avec lequel il peut fonctionner. Dans les grandes lignes, Thread établit un réseau matériel, Matter est une couche logicielle.

La découverte de The Verge est valable pour les nouveaux iPad lancés récemment ainsi que tous les Mac équipés de puces M3 (et leurs déclinaisons). En clair, tout produit sorti depuis septembre dernier. Les iPhone 15 Pro sont officiellement compatibles.

Cette capacité n’est pas indiquée dans les fiches techniques des appareils. Nos confrères ont trouvé mention de cette compatibilité dans des rapports de la FCC (Federal Communications Commission).

Apple compte peut-être profiter de sa WWDC la semaine prochaine pour évoquer le sujet, par exemple via des fonctions spécifiques à iOS 18 et macOS 15.

Lumos Maxima !

Dans le cadre du plan d’investissement France 2030, le gouvernement, le CEA et le CNRS viennent de donner le coup d’envoi officiel d’un « ambitieux programme de recherche pour explorer la lumière de manière inédite ». Un des axes concerne les carburants solaires.

Il s’agit d’un nouveau PEPR (Programmes et équipements prioritaires de recherche) baptisé LUMA (Lumière-Matière) dont le but est d’« exploiter les propriétés de la lumière pour explorer et contrôler de nombreux systèmes physicochimiques et biologiques ».

Le projet vient d’être officiellement lancé (même s’il existe depuis longtemps) avec un financement de 40,38 millions d’euros sur sept ans, dans le cadre de France 2030. Il est co-piloté par le CEA et le CNRS. 1 000 chercheurs sont mobilisés et 28 universités impliquées.

De vastes débouchés

Les débouchés potentiels sont nombreux, comme l’explique le CNRS : traitement et stockage de l’information, matériaux durables (chimie verte, recyclage, écoconception), exploitation énergétique (solaire) et photomédicaments (méthodes non-invasives, thérapie photodynamique, traitement du cancer).

Attention à ne pas mettre la charrue avant les bœufs : on parle de recherche fondamentale, pas de remède miracle à court terme. Catalin Miron (directeur de recherche CEA et co-dirigeant de ce projet), précise d’ailleurs qu’il s’agit d’un « PEPR exploratoire, qui anime donc de la recherche amont », on n’est pas dans une phase d’industrialisation, mais de recherche pure.

Le centre de recherche en profite pour affirmer que la France est le leader international dans la valorisation des interactions lumière-matière avec pas moins de cinq prix Nobel depuis 2016 : Jean-Pierre Sauvage (2016), Gérard Mourou (2018), Alain Aspect (2022), Pierre Agostini et Anne L’Huillier (2023 tous les deux). Pour le ministère de la Recherche, la France doit « maintenir et consolider son positionnement, à la fois académique et industriel ».

Photoscience intelligente, technologies vertes et protection

Trois axes de développement sont mis en avant avec LUMA :

• Photons for Green, « qui vise à l’émergence de nouvelles technologies « vertes » haute performance pour l’énergie et l’industrie de demain ». Il est notamment question de « la conversion efficiente de l’énergie solaire en énergie chimique, en produisant des carburants solaires ».
• Light for Protection vise de son côté à « utiliser la lumière pour une meilleure préservation de la santé, de l’environnement ou des objets de notre patrimoine ». L’enjeu n’est rien de moins que de diagnostiquer et soigner grâce à la lumière.
• Enfin, Smart Photoscience ambitionne de « décrypter des systèmes et des dynamiques complexes en chimie, physique, biologie, pour les faire fonctionner par des processus de photo-activation sophistiqués ».

Le programme propose aussi des actions ciblées de recherche, sélectionnées via un appel à manifestations d’intérêt. Quatre axes de développement sont mis en avant : la chiralité, la photochimie et les matériaux, l’énergie et l’environnement, la santé. Des appels à projets collaboratifs sont également dans les cartons.

Deux révolutions scientifiques et techniques

L’année dernière, Rémi Métivier justifiait ce projet par deux « révolutions scientifiques et techniques majeures, survenues ces dernières années », offrant de « nouvelles perspectives quant à l’utilisation de la lumière ».

La première vient du contrôle de la lumière : « Nous avons accès à des sources lumineuses très performantes, notamment avec des lasers à impulsions ultra-courtes (femtoseconde ou attoseconde) ». LUMA s’intéressera à la structuration de la matière « aux échelles ultimes de temps et d’espace (attoseconde et nanomètre) ».

On parlait récemment de l’attoseconde : c’est un milliardième de milliardième de seconde (10⁻¹⁸ seconde). À titre d’exemple : « il y a autant d’attosecondes dans une seconde que de secondes depuis le Big Bang ».

• Attoseconde : au CNRS, « la physique à la conquête de l’infiniment bref »

La seconde « révolution » concerne la maitrise par les scientifiques de la conception et de l’assemblage « complexe de molécules aux propriétés complémentaires ». Cela ouvre la voie à « des matériaux organiques et hybrides de nouvelle génération, capables de capturer et d’utiliser la lumière de façon intelligente et performante ».

Concernant le solaire, Rémi Métivier (directeur de recherche CNRS et co-dirigeant du PEPR), explique que nous « avons besoin de résoudre des questions fondamentales telles que l’augmentation de l’efficacité, de la conversion lumineuse ou encore la durabilité des dispositifs que nous concevons ».

Minute papillon, c’est quoi des « carburants solaires » ?

Revenons quelques instants sur les carburants solaires. Engie rappelle qu’il s’agit de « combustibles fabriqués à partir de substances courantes comme l’eau et le dioxyde de carbone grâce à l’énergie de la lumière solaire, utilisée soit par récupération de chaleur soit par génération de charge électrique ».

On peut ainsi produire de l’hydrogène à partir de l’eau (H₂O), mais aussi du gaz de synthèse, du méthane/méthanol et d’autres « carburants » à partir de CO₂ ou de CO₂ + H₂O.

Dans une interview à Newstank, Catalin Miron détaille les attentes sur ce point : « L’idée est de capturer le CO₂ de l’atmosphère pour produire des carburants chimiques pouvant être stockés. Nous pensons avec LUMA pouvoir passer de l’échelle du centimètre au mètre carré pour les cellules de ces dispositifs. Ces recherches pourront aussi apporter des réponses concrètes aux besoins de la société ».

Le gestionnaire de mots de passe maison a désormais une application autonome pour toutes les plateformes majeures. Des versions Mac et Linux viennent en effet d’apparaître, aux côtés de celles pour Windows, Android, iOS et Chrome OS (celle-ci via Android).

Proton en profite pour fournir une extension pour Safari, en plus de celles existant pour les navigateurs sur base Chromium et Firefox.

La version Linux est compatible avec toutes les distributions de type Debian ou RedHat, dont Ubuntu, Fedora ou encore CentOS.

Des améliorations seront bientôt proposées aux versions Mac et Linux dans les semaines à venir. Par exemple, la prise en charge de TouchID pour les Mac compatibles. Sous Linux, une prochaine mouture deviendra compatible avec les mécanismes d’authentification et les API correspondantes.

L’objectif est le même à chaque fois : permettre le déverrouillage du coffre-fort avec la biométrie, le compte utilisateur et « toute autre méthode prise en charge par Linux Pluggable Authentication Modules (Linux PAM) ».

Bon an, mal an, la capsule habitable de Boeing est arrivée à la Station spatiale internationale et s’est arrimée. Après des années de retard, des reports de dernières minutes, des fuites d’hélium dans l’espace et des pannes de propulseurs, les deux astronautes sont arrivés sains et saufs dans l’ISS.

Comme le rapporte Spacenews, le rendez-vous s’est fait avec plus d’une heure de retard car « jusqu’à cinq propulseurs du système de pilotage par jets de gaz (RCS) se sont mis hors service pendant les différentes phases de l’approche du vaisseau spatial ».

Hugs all around! The Expedition 71 crew greets Butch Wilmore and @Astro_Suni aboard @Space_Station after #Starliner docked at 1:34 p.m. ET on June 6. pic.twitter.com/wQZAYy2LGH

— Boeing Space (@BoeingSpace) June 6, 2024

Le temps de procéder aux vérifications et de remettre une partie des propulseurs en service, la capsule est restée en dehors de la zone d’exclusion de la Station, à plus de 200 mètres. « Les responsables de la NASA et de Boeing ont déclaré qu’ils avaient pu remettre quatre des cinq propulseurs en marche », et ainsi reprendre la phase d’approche, expliquent nos confrères.

Plus surprenant, ce problème, avait déjà été rencontré lors du vol d’essai sans équipage Orbital Flight Test 2 (OFT-2) en mai 2022. Cela concernait les propulseurs au même endroit du module de service. « Nous ne comprenons pas vraiment pourquoi cela se produit », reconnait Steve Stich, responsable du programme d’équipage commercial de la NASA.

Il ajoute que le problème vient moins des propulseurs eux-mêmes que du logiciel qui les contrôle et des données reçues. Mark Nappi, vice-président de Boeing et responsable du programme d’équipage commercial, confirme que les propulseurs fonctionnent bien – la preuve, ils ont pu être rallumés, explique-t-il. « Ce sont les conditions que nous avons mises dans le logiciel qui indiquent d’une manière ou d’une autre que le propulseur doit être désactivé ».

Steve Stich ajoute enfin qu’une quatrième fuite d’hélium a été trouvée après que la capsule est arrivée à l’ISS. Elle est plus petite que les trois autres. Mark Nappi n’exclut pas que les fuites aient une cause profonde commune, qui reste donc à déterminer.

Quoi qu’il en soit, pour le responsable de Boeing, les deux problèmes sur le véhicule « sont des problèmes assez mineurs à régler, vraiment ». L’entreprise met en avant la liste des tests validés par cette mission.

Malgré les fuites, la capsule aurait largement assez d’hélium pour revenir sur Terre dans une semaine.

Le premier vol de Starship a déjà plus d’un an et s’était soldé par une explosion après trois minutes de vol. Lors du second vol en novembre dernier, la séparation a bien eu lieu, mais le test a ensuite été brutalement interrompu par une explosion. Lors du troisième essai, Starship a réussi à se mettre en orbite, mais ce n’était pas encore ça sur le retour de la fusée.

• Starship a décollé puis explosé
• SpaceX : le monstre Starship décolle et effectue sa séparation, mais le premier étage explose
• SpaceX a réussi à mettre StarShip en orbite

Avec son quatrième vol, SpaceX réalise un carton plein, ou presque. En tout cas, les deux principaux objectifs sont remplis : le retour du premier étage après un peu plus de sept minutes, puis du second étage au bout d’une heure, sans exploser et avec la bonne position dans les deux cas.

On peut voir sur la vidéo de lancement qu’un des 33 moteurs Raptor n’a pas fonctionné, ce qui n’a pas empêché la fusée de décoller.

La séparation entre les deux étages s’est correctement faite. Super Heavy (premier étage) est ensuite venu se « poser » à la surface de l’eau, avec l’aide de trois moteurs pour ralentir la chute. Pas de barge cette fois-ci, mais c’était prévu ainsi.

SpaceX explique avoir profité de ce lancement pour réaliser quelques tests de résistance sur l’étage supérieur Starship. Deux tuiles du bouclier ont par exemple été enlevées pour mesurer la température à ces endroits.

« Malgré la perte de nombreuses tuiles et un volet endommagé, Starship a réussi à atterrir en douceur dans l’océan ! », se réjouit Elon Musk. Il ajoute qu’une tentative de récupération du booster aura lieu lors du prochain lancement. Bill Nelson, administrateur de la NASA, félicite aussi SpaceX pour cet essai.

Watch Starship's fourth flight test https://t.co/SjpjscHoUB

— SpaceX (@SpaceX) June 4, 2024