La CNIL vient de publier un communiqué intitulé « applications mobiles : votre vie privée devra être mieux protégée ». D’autant que les applications peuvent avoir accès à des données très personnelles comme la géolocalisation, les contacts, les photos, le microphone, etc. Un exemple abusif : « une application de lampe de poche n’a pas besoin d’accéder à vos contacts ou à votre localisation ».

La Commission rappelle quelques éléments importants :

« Chaque fois que vous utilisez une application mobile, elle collecte des informations sur vous. Mais, contrairement au web, les applications mobiles peuvent avoir accès à des données plus variées et parfois plus intrusives (géolocalisation, données de contact, photos, microphone, etc.). Elles peuvent, par ailleurs, collecter des données même lorsque vous n’êtes pas en train de les utiliser activement ».

La CNIL formule quelques recommandations aux professionnels, notamment améliorer l’information sur l’utilisation des données et leur sécurisation. Elle doit « toujours être accessible, compréhensible et […] présentée au bon moment au sein de l’application ». Les développeurs doivent s’assurer que le consentement est éclairé et non contraint.

La CNIL va accompagner les professionnels dans les prochains mois, puis passera ensuite à l’attaque : « à partir du début du printemps 2025, la CNIL déploiera une large campagne de contrôle ».

La CNIL donne aussi des conseils aux utilisateurs : vérifiez avant de télécharger, utilisez des pseudonymes, limitez les permissions, mettez à jour les applications, faites le tri, etc.

Jolies doublures

Depuis l’arrestation et l’inculpation du patron de Telegram, les choses bougent doucement sur la messagerie. Début septembre, une première mise à jour était faite afin de permettre à tout un chacun de signaler des contenus. Désormais, Telegram annonce noir sur blanc qu’elle pourra divulguer aux autorités des adresses IP et numéros de téléphone, au-delà de la suspicion de terrorisme.

De passage à Paris, Pavel Durov (cofondateur et CEO de Telegram) avait été arrêté fin aout par les autorités françaises à la descente de son avion, et placé en garde à vue dans la foulée. Elle a été prolongée jusqu’à son maximum (96 heures), puis Pavel Durov a été mis en examen avec pas moins de douze chefs d’accusation.

Septembre, le mois du changement pour Telegram

Début septembre, après plusieurs jours de flottement, Pavel Durov sortait de son silence pour répondre aux accusations. Il voulait notamment tordre le cou aux « affirmations de certains médias selon lesquelles Telegram est une sorte de paradis anarchique ». Soufflant le chaud et le froid, il se disait à la fois prêt à quitter des pays pour rester fidèle à ses principes, tout en se fixant comme objectif d’« améliorer considérablement les choses » pour Telegram. Il parlait de « trouver le bon équilibre ».

De son côté, l’application revoyait discrètement ses règles de modération. Désormais, « toutes les applications Telegram disposent de boutons « Signaler’ » pour alerter les modérateurs. Le message était bien différent auparavant : « tous les échanges et groupes sur Telegram restent privés entre leurs participants. Nous ne traitons pas les requêtes qui y sont liées ».

• Pavel Durov sort de son silence, Telegram revoit (discrètement) ses règles de modération

D’autres changements viennent d’être mis en place, comme le rapporte The Verge. Sur la page Telegram Privacy Policy, dans le paragraphe 8.3 (Law Enforcement Authorities), il est à présent indiqué :

« Si Telegram reçoit une ordonnance valide des autorités judiciaires compétentes confirmant que vous êtes suspecté dans une affaire impliquant des activités criminelles qui violent les conditions d’utilisation de Telegram, nous analyserons la demande et pourrons divulguer votre adresse IP et votre numéro de téléphone aux autorités compétentes.

Si des données sont partagées, nous listerons ces événements dans un rapport de transparence trimestriel publié à l’adresse suivante : https://t.me/transparency ».

Jusqu’au 22 septembre au moins (via WebArchive), le paragraphe 8.3 était plus court : « Si Telegram reçoit une ordonnance du tribunal confirmant que vous êtes suspecté de terroriste, nous pouvons divulguer votre adresse IP et votre numéro de téléphone aux autorités compétentes. Jusqu’à présent, cela n’est jamais arrivé ». Là aussi, un rapport de transparence était prévu, avec une publication tous les semestres.

On passe donc d’affaires exclusivement liées au terrorisme à des « activités criminelles qui violent les conditions d’utilisation de Telegram ». Pour le moment, aucun rapport de transparence n’a été publié.

« Dissuader les criminels »

Le changement a été expliqué hier par Pavel Durov sur sa chaine Telegram. Il s’agit de « dissuader davantage les criminels » avec une mise à jour des conditions d’utilisation et de la politique de confidentialité : « Nous avons explicitement indiqué que les adresses IP et les numéros de téléphone de ceux qui enfreignent nos règles peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides ».

Le patron du réseau social affirme que la fonction de recherche sur Telegram « est destinée à trouver des amis et à découvrir des actualités, pas à promouvoir des produits illégaux ». Il ajoute que, « au cours des dernières semaines, une équipe dédiée de modérateurs, s’appuyant sur l’IA, a rendu la recherche sur Telegram beaucoup plus sûre. Tout le contenu problématique que nous avons identifié dans la recherche n’est plus accessible ».

Comme l’explique Libération, ce n’est pas parce que les contenus problématiques ne remontent plus dans la recherche qu’ils ont été supprimés de la plateforme. D’après nos confrères, « plusieurs groupes de vente de drogue demeuraient en activité » au début de la semaine.

En mai de l’année dernière, Google lançait une marque bleue de vérification pour Gmail. Elle était jusqu’ici réservée à la version web. Il aura fallu plus d’un an, mais elle est maintenant déployée dans les applications Android et iOS. La diffusion va se faire sur plusieurs semaines.

Cette marque bleue indique que la source a été vérifiée et est authentique. Elle met donc en avant la confiance. Elle est basée sur une technologie de Google appelée BIMI, pour Brand Indicators for Message Identification. C’est également BIMI qui permet aux entreprises avec une marque déposée de faire valider leur logo pour que celui-ci s’affiche en médaillon dans les clients email dans les courriers émis.

« Actuellement, Gmail sur le web affiche une coche vérifiée pour les expéditeurs qui ont adopté le BIMI avec une marque déposée (VMC). Au cours des prochaines semaines, les utilisateurs verront également ces icônes de coche vérifiée lorsqu’ils utiliseront l’application Gmail sur Android et iOS », indique Gmail. La société précise que cet apport n’est valable que pour les marques déposées.

Et si l’on ne dispose pas de marque déposée, mais que l’on souhaite prouver quand même sa légitimité ? Gmail propose un autre type de certificat, nommée CMC, pour « certificat de marque commune ». Le CMC permet aussi d’utiliser BIMI pour valider le logo, mais il n’y aura pas de coche bleue.

Dans une réponse sur X, Elon Musk a confirmé que le bouton Bloquer – qu’il n’a jamais aimé – allait changer de comportement.

Il ne disparait pas, mais son action va radicalement évoluer. Actuellement, le bouton permet de bloquer complètement un compte, lui interdisant de voir nos publications, listes d’amis, réponses, médias et comptes suivis. Le « nouveau » bouton Bloquer ne bloquera plus qu’une seule chose : les interactions.

Ainsi, bloquer une personne ne l’empêchera pas de voir ce que vous publiez. Elle n’aura simplement pas le droit d’interagir avec vous, notamment de répondre à vos tweets. Traduction, tous les comptes bloqués pourront réapparaitre dans votre fil. Pratique pour l’onglet « Pour vous », qui pourra continuer à pousser toutes sortes de contenus.

Bluesky qualifie le changement de « fou ». « Quoi qu’il en soit, sur Bluesky, les utilisateurs ont baptisé la fonction de blocage « le blocage nucléaire » parce qu’il s’agit d’un outil très puissant pour réduire le harcèlement et le dogpiling [harcèlement sexuel, ndlr] », indique le réseau.

Caroline Ellison a été condamnée à deux ans de prison pour le rôle qu’elle a joué dans le scandale de la plateforme de crypto actifs.

Ancienne compagne de Sam Bankman-Fried, le patron de la plateforme FTX condamné à 25 ans de prison pour fraude massive, Caroline Ellison était directrice général du fonds Alameda Research, fondé par le même Bankman-Fried. 
Auprès de la cour, elle a détaillé comment ce dernier lui demandait de préparer de faux relevés de comptes pour les envoyer à ses créanciers.

Caroline Ellison a coopéré avec le gouvernement avant l’arrestation de Bankman-Fried, et de nouveau après la chute de FTX. Le juge le procureur et l’avocat de la défense ont tous trois souligné combien sa coopération avait joué dans sa faible peine.

• Sam Bankman-Fried aurait tenté de corrompre des officiels chinois avec 40 millions de dollars
• Temasek réduit les rémunérations de l’équipe qui a investi dans FTX

Selon le président colombien Gustavo Petro, le logiciel espion Pegasus de la société israélienne NSO avait été acheté en échange de 11 millions de dollars en espèces durant le gouvernement de son prédécesseur et rival politique, le conservateur Iván Duque (2018 - 2022), rapporte l’AFP.

« Dans l’enquête que nous menons, nous avons la certitude qu’il s’agit de blanchiment d’argent », a déclaré le directeur de la Direction nationale du renseignement (DNI), Jorge Lemus, dans une interview diffusée lundi par la chaîne publique Señal Colombia. L’argent « est sorti illégalement, ils n’ont laissé aucune trace. Ils ont commis un crime », a accusé le patron du renseignement colombien.

Selon le président Petro, le paiement « s’est fait en deux fois, en juin et novembre 2021, via notamment un avion privé transportant le cash de Bogota à Tel-Aviv ». Entre 2006 et 2009, alors opposant, M. Petro avait lui-même été victime d’écoutes téléphoniques illégales pour lesquelles le gouvernement a été condamné en 2020, relève l’AFP.

Des procureurs suédois ont déclaré ce 24 septembre avoir conclu que l’Iran était le commanditaire des 15 000 SMS envoyés à travers le pays le 1ᵉʳ août 2023, rapporte Bloomberg.

Ces messages visaient à pousser leurs récepteurs à se venger des personnes brûlant des exemplaires du Coran, après que de nombreux incidents du même type ait eu lieu en Suède. Les messages indiquaient « ceux qui ont insulté le Coran doivent payer ».

La cyberattaque s’est déroulée à un moment où la candidature de la Suède pour rejoindre l’OTAN était en attente, précisément parce que des autodafés de Coran avaient provoqué la colère d’une partie du monde musulman et du président Turc Recep Tayyip Erdogan, en capacité de bloquer l’arrivée de la Suède dans la coalition.

D’après le procureur principal, l’enquête a montré que « l’état iranien, via le Corps des gardiens de la révolution islamique, a hacké une entreprise suédoise qui opère l’un des principaux services de messagerie. Le but était d’accroître les tensions et d’alimenter des conflits existants entre différents groupes de la société. »

Si les hackeurs iraniens ont été identifiés, l’enquête a été abandonnée puisqu’ils ne peuvent pas être inculpés en Iran, ni traduits en Suède pour y être jugés.

Comme nous avons eu l’occasion de l’expliquer dans la première partie de notre dossier sur les CPU (note à moi-même : penser à le finir…), l’Intel 4004 est le premier microprocesseur à avoir été commercialisé.

• L’incroyable évolution des processeurs, du 4004 au 80286

Il intégrait pour rappel 2 300 transistors et la puce ne disposait que de 16 pins. Elle était capable d’exécuter 92 600 opérations par seconde avec une vitesse de fonctionnement de 740 kHz. De son côté, le noyau Linux est arrivé 20 ans plus tard, en 1991

Dmitry Grinberg a réussi à booter le noyau Linux de Debian dessus, en seulement 4,76 jours. Quelques précisions pour les sceptiques :

« Bien sûr, Linux ne peut pas et ne veut pas démarrer directement sur un 4004. Il n’y a pas de compilateur C ciblant le 4004, et il n’a pas été possible d’en créer un en raison des limitations de l’architecture. La quantité de ROM et de RAM adressable est également trop faible ».

Solution de contournement : l’émulation. « Mon objectif initial était de rester dans la limite 4 Ko de code, car c’est ce qu’un 4004 non modifié peut gérer. 4 Ko de code, ce n’est pas grand-chose pour émuler un système complet ». Après avoir analysé différentes options, il est partie sur le MIPS R3000.

• Linux/4004

Depuis 2019, TikTok tentait de concurrencer Spotify, Apple Music et les autres plateformes de streaming de musique avec sa propre application, TikTok Music. 
Initialement lancée sous le nom de Resso, l’application était disponible au Brésil, en Australie, au Mexique et à Singapour.

En 2024, le géant chinois jette l’éponge : l’entreprise a annoncé prévoir de fermer le service le 28 novembre et de supprimer les données clients. Elle enjoint les usagers à transférer leurs playlists vers d’autres services d’ici au 28 octobre.

Au lieu de concurrencer les acteurs du streaming musical, TikTok prévoit de leur envoyer les internautes via sa fonctionnalité « Add to Music App ».

De fait, TikTok a essuyé des combats frontaux avec des entités comme Universal Music Group, ce qui avait eu pour effet de supprimer Drake, Rihanna et d’autres artistes signés chez la major de son catalogue.

Après les remontrances, la transparence

Microsoft vient de publier un premier rapport pour présenter les actions prises dans le cadre de sa Secure Future Initiative. La société affirme qu’il s’agit du plus vaste projet de cybersécurité de l’histoire. Elle veut montrer, par l’ampleur de ces mesures, qu’elle a retenu les enseignements du passé, voire qu’elle peut être une source d’inspiration.

La Secure Future Initiative (SFI) a été annoncée en novembre 2023. La société de Redmond avait présenté de grands objectifs, présentant un plan de révision intégrale de sa cybersécurité. Il s’agissait autant de mieux protéger ses propres infrastructures que ses clients, à travers la longue liste de produits qu’elle propose. Tout particulièrement dans le cloud.

Comment l’entreprise en est-elle arrivée à lancer cette initiative ? À la suite d’une série d’incidents de sécurité. Ce fut particulièrement le cas en septembre 2023, quand Microsoft a révélé qu’un groupe de pirates chinois, nommé Storm-0558, avait réussi à s’infiltrer dans des comptes email, dont plusieurs appartenaient à des gouvernements (américain et européens). Des informations avaient été volées.

Après l’annonce de la SFI, plusieurs autres incidents ont eu lieu. En janvier, des groupes de pirates russes ont cette fois réussi à avoir accès à des comptes email de responsables chez Microsoft. Là encore, il y avait eu vol d’informations. Deux mois plus tard, les mêmes groupes ont réussi à s’introduire dans plusieurs dépôts de code de Microsoft sur GitHub.

Conséquence, l’entreprise a annoncé en mai que la sécurité était désormais sa « priorité absolue ». Six piliers avaient été identifiés (nous y reviendrons). Enfin, trois grands principes ont été proclamés : sécurité dès la conception, sécurité par défaut et opérations sécurisées. Dans un premier rapport, Microsoft résume ainsi l’ensemble des actions prises depuis les évènements de l’été 2023.

Une nouvelle organisation

Depuis, Microsoft s’est doté d’un conseil de gouvernance de la cybersécurité. Il est composé de treize RSSI (responsables de la sécurité des systèmes d’information) adjoints, sous la houlette du RSSI de l’entreprise, Igor Tsyganskiy. Chaque RSSI adjoint est en charge de la sécurité dans une division de Microsoft, comme Azure, IA, Microsoft 365, Gaming et ainsi de suite.

« Le Conseil de gouvernance de la cybersécurité collabore avec les responsables de l’ingénierie de la SFI pour définir et hiérarchiser les travaux ainsi que pour définir les orientations futures. Le conseil est responsable de la mise en œuvre des exigences réglementaires, de la conformité permanente et de la détermination de l’architecture de sécurité nécessaire pour atteindre nos objectifs. Le conseil rend compte des risques cyber et de la conformité au RSSI, qui à son tour communique ces informations à l’équipe de direction et au conseil d’administration de Microsoft », indique le rapport.

Microsoft infuse également une plus grande dose de cybersécurité chez l’ensemble des employés, qui n’ont plus le choix. Définie comme priorité absolue, elle compte désormais dans les évaluations de performances. Chaque employé est donc tenu de s’y engager et doit rendre des comptes. Un lien a également été établi entre la sécurité et la rémunération pour la direction.

En juillet dernier, l’entreprise a créé une Security Skilling Academy. Elle a pour mission de concentrer les ressources et former les employés. « L’académie garantit que, quel que soit leur rôle, les employés sont équipés pour donner la priorité à la sécurité dans leur travail quotidien et pour identifier le rôle direct qu’ils jouent dans la sécurisation de Microsoft », ajoute l’entreprise.

Pour surveiller les progrès réalisés dans le cadre de la SFI, la direction examine chaque semaine un rapport. Le conseil d’administration en reçoit un chaque trimestre.

Les actions entreprises sur les « six piliers »

Microsoft vante avec ce rapport son « approche globale de la cybersécurité ». Satya Nadella, CEO de l’éditeur, avait indiqué au printemps que faire de la sécurité une priorité se traduirait notamment par certains renoncements. « Si vous devez choisir entre la sécurité et une nouvelle fonction, choisissez la sécurité », avait ainsi indiqué le dirigeant. La firme avait également identifié six piliers sur lesquels concentrer ses actions.

Sur la protection des identités et des secrets, une partie du travail a consisté à mettre à jour Entra ID (anciennement Azure Active Directory) et Microsoft Account (MSA) sur les clouds publics et gouvernementaux. Leur génération, leur stockage et leur rotation sont désormais gérés automatiquement par Azure Managed Hardware Security Module (HSM, protection matérielle).

Microsoft met aussi en avant une validation plus cohérente des jetons de sécurité (via ses SDK d’identité standards). La recherche et la détection de menaces ont été incluses dans le processus, avec activation de ces fonctions dans plusieurs services critiques. La vérification des utilisateurs par vidéo a été mise en place pour 95 % des utilisateurs internes.

Vient ensuite la protection des « tenants » et l’isolation des systèmes de production. Les tenants (terme anglais) désignent les locataires, qui peuvent être des personnes physiques ou morales, chacune ayant son propre nuage privé au sein d’une infrastructure publique (comme un appartement au sein d’un immeuble). Suite à une révision du cycle de vie des applications impliquées, 730 000 inutilisées ont été supprimées. Microsoft dit avoir également éliminé 5,75 millions de tenants inactifs, avec une nette réduction de la surface d’attaque à la clé. Les créations de tenants pour les tests et expérimentations ont été rationalisées, avec des valeurs sécurisées et une gestion plus stricte de la durée de vie.

Centralisation, inventaire et rationalisation

Sur les réseaux, Microsoft dit avoir enregistré plus de 99 % de ses actifs physiques dans un inventaire central. Il permet notamment le suivi de la propriété et la conformité des microprogrammes (firmwares). Les réseaux virtuels ayant une connectivité dorsale (internet) ont été isolés du réseau d’entreprise et sont soumis à des examens complets réguliers. Certaines de ces actions ont été répercutées dans les produits clients pour aider à sécuriser les déploiements.

Même effort de centralisation sur les pipelines de production pour le cloud commercial, 85 % étant désormais gérés de manière centralisée. Microsoft évoque des « déploiements plus cohérents, plus efficaces et plus fiables ». En outre, la durée de vie des jetons d’accès personnels a été réduite à 7 jours, l’accès à SSH a été coupé pour les dépôts internes d’ingénierie et le nombre de rôles élevés ayant accès à ces systèmes a été nettement réduit. Des contrôles de preuve de présence ont été installés sur les points critiques des flux de code, dans le cadre du développement des logiciels.

Rationalisation également pour tout ce qui touche à la surveillance et la détection des menaces, notamment tout ce qui touche aux journaux d’audits de sécurité. Une garantie, selon Microsoft, pour des données télémétriques pertinentes. « Par exemple, nous avons mis en place une gestion centralisée et une période de conservation de deux ans pour les journaux d’audit de sécurité de l’infrastructure d’identité », ajoute l’entreprise.

Enfin, des efforts ont été faits pour améliorer le temps de réponse et de remédiation, répartis en deux axes. D’une part, des processus actualisés pour réduire le délai d’atténuation quand des failles critiques sont découvertes dans le cloud. D’autre part, une plus grande transparence dans la communication. Les vulnérabilités critiques font maintenant l’objet de bulletins CVE, même quand aucune action client n’est requise. En outre, un « Bureau de gestion de la sécurité des clients » a été créé pour mieux communiquer avec la clientèle, surtout pendant les incidents de sécurité.

Entre actions concrètes et exercice de communication

Le rapport de Microsoft est intéressant à plus d’un titre. Il offre bien sûr une visibilité sur les actions concrètement entreprises par une structure énorme sur la sécurité. Mais il s’agit, à un même degré d’importance, d’un exercice de communication.

Le rapport est assez détaillé pour être un véritable travail de transparence. Il livre également des remarques intéressantes, notamment sur la formation du personnel. Microsoft plonge par exemple dans la perception classique d’une sécurité vue comme antagoniste à la productivité. La formation continue est donc présentée comme la solution, qui ne donne pas des résultats immédiats, mais permet de créer de nouveaux réflexes et donc, à terme, de rattraper la productivité « perdue ».

Microsoft présente en outre ce rapport comme le premier, ajoutant que ce surplus de sécurité n’en est qu’à ses débuts. À la fin du document, on peut d’ailleurs observer un tableau listant les recommandations qui lui avaient été faites par le CSRB (Cyber Safety Review Board), lui-même faisant partie de la CISA (Cybersecurity & Infrastructure Security Agency). Après les incidents de sécurité de l’année dernière, le Board avait en effet émis des critiques virulentes, concluant que seule une « cascade de défaillances » avait pu permettre à l’attaque de Storm-0558 de réussir.

Article mis à jour à 17h30 avec la réponse de l’IAB, le lobby des annonceurs.

Un nouveau rapport de la Federal Trade Commission (FTC) montre que les principaux médias sociaux et services de streaming vidéo « se sont engagés dans une vaste surveillance des consommateurs afin de monétiser leurs informations personnelles tout en ne protégeant pas de manière adéquate les utilisateurs en ligne, en particulier les enfants et les adolescents ».

Neuf entreprises sont concernées, « dont certains des plus grands médias sociaux et services de streaming vidéo » : Amazon.com via sa plateforme de jeux Twitch, Facebook, YouTube, Twitter/X Corp., Snap, ByteDance pour sa plateforme de partage de vidéos TikTok, Discord, Reddit et WhatsApp.

Le rapport constate que les entreprises « collectent et peuvent conserver indéfiniment des masses de données », y compris des informations provenant de courtiers en données, et concernant à la fois les utilisateurs et non-utilisateurs de leurs plateformes.

Il souligne également que de nombreuses entreprises se sont engagées dans « un vaste partage de données » qui « soulève de sérieuses inquiétudes » quant à l’adéquation des contrôles et de la surveillance du traitement des données par les entreprises.

Le rapport a en outre constaté que les utilisateurs et non-utilisateurs n’avaient que peu ou pas de moyens de refuser l’utilisation de leurs données par ces systèmes automatisés, mais aussi que certaines entreprises ne supprimaient pas toutes les données des utilisateurs en réponse à leurs demandes de suppression.

Les droits accordés par le RGPD n’ont pas été élargis aux Américains

Intitulé « Un regard derrière les écrans », le rapport s’étonne que « les droits accordés en vertu du règlement général sur la protection des données n’ont pas été automatiquement accordés aux consommateurs américains » :

« Seules quelques entreprises ont déclaré avoir étendu aux utilisateurs américains les mêmes protections que celles accordées aux utilisateurs européens en vertu du RGPD. La plupart des entreprises ont déclaré avoir étendu aux utilisateurs américains une partie, mais pas la totalité, des modifications qu’elles ont apportées en réponse au RGPD. »

« Bien que lucratives pour les entreprises, ces pratiques de surveillance peuvent mettre en danger la vie privée des gens, menacer leurs libertés et les exposer à toute une série de préjudices, allant du vol d’identité au harcèlement », a déclaré la présidente de la FTC, Lina M. Khan :

« L’incapacité de plusieurs entreprises à protéger correctement les enfants et les adolescents en ligne est particulièrement troublante. Les conclusions du rapport arrivent à point nommé, en particulier au moment où les responsables politiques des États et du gouvernement fédéral envisagent de légiférer pour protéger les personnes contre les pratiques abusives en matière de données. »

Le rapport recommande dès lors au Congrès d’adopter une législation fédérale complète sur la protection de la vie privée afin de limiter la surveillance, de mettre en place des protections de base et d’accorder aux consommateurs des droits en matière de protection des données.

Les entreprises, de leur côté, ne devraient pas collecter d’informations sensibles par le biais de technologies de suivi publicitaire portant atteinte à la vie privée, mais également « limiter la collecte de données », et donc mettre en œuvre des politiques concrètes et applicables de minimisation et de conservation des données.

Elles devraient par ailleurs limiter le partage des données avec des tiers et des sociétés affiliées, supprimer les données des consommateurs lorsqu’elles ne sont plus nécessaires et adopter des politiques de protection de la vie privée « conviviales, claires, simples et faciles à comprendre ».

La publicité n’est pas une « surveillance commerciale de masse »

En réponse au rapport de la FTC, l’Interactive Advertising Bureau (IAB) explique être « déçue » de voir que la commission « continue de caractériser le secteur de la publicité numérique comme étant engagé dans une « surveillance commerciale de masse » » :

« Cette accusation laisse entendre que les données personnelles des consommateurs sont secrètement collectées et utilisées à des fins publicitaires. Rien n’est moins vrai, car d’innombrables études ont montré que les consommateurs comprennent l’échange de valeur et se réjouissent d’avoir accès à des contenus et services gratuits ou fortement subventionnés. »

L’IAB précise que « nous plaidons depuis longtemps pour que les consommateurs disposent de certains droits leur permettant de limiter l’utilisation de leurs données personnelles, y compris à des fins publicitaires », ce pourquoi il « soutient avec véhémence une loi nationale complète sur la confidentialité des données » :

« C’est au Congrès, et non à une agence fédérale, qu’il revient de trouver un équilibre entre les droits des consommateurs en matière de protection de la vie privée, la concurrence et l’échange de valeurs entre les consommateurs et les éditeurs. L’IAB et ses membres continueront à défendre la vie privée des consommateurs, la transparence et la capacité de tous les acteurs de l’économie numérique à faire des affaires. »

Excès d'Hetzel

Député de droite (UMP puis LR) depuis 2012, le nouveau ministre de l’Enseignement supérieur et de la recherche (ESR), Patrick Hetzel s’intéresse aux questions couvertes par son ministère depuis son entrée en politique. Pourtant, il prend des positions en contradiction avec les connaissances scientifiques : hydroxychloroquine, homéopathie, « wokisme », vaccins, et dérives sectaires…

Succédant à Sylvie Retailleau qui aura passé deux ans au ministère de l’Enseignement supérieur et la recherche (ESR), Patrick Hetzel arrive dans un lieu qu’il connait. Lors de la passation de pouvoir ce lundi 23 septembre, cet enseignant-chercheur en sciences de gestion s’est dit « attaché à cette maison » qu’il avait déjà rejointe en 2008, alors sous la responsabilité de Valérie Pécresse.

Cerveau de la loi d’autonomie des universités

« Les politiques publiques en matière d’ESR et de sciences ne peuvent s’inscrire que dans la durée, il faut savoir rester modeste », ajoutait-il lors de cette passation. Il peut quand même revendiquer d’être le « cerveau » de la loi Libertés et responsabilités des universités (LRU, dite aussi loi d’autonomie des universités) en ayant jeté les bases dans un rapport rendu en 2006 au premier ministre d’alors, Dominique de Villepin. Elle est depuis devenue le socle de la politique universitaire de la droite française et n’a jamais été remise en question par les gouvernements qui se sont succédé.

Cette loi a transféré la responsabilité du budget et des ressources humaines des universités des mains de l’État à celles des directions d’établissements. Mais seize ans après son vote, Virginie Dupont, la vice-présidente du lobby des présidents d’universités France Universités, déplorait la semaine dernière qu’ « en 2022, 15 universités étaient en déficit sur leurs comptes financiers. En 2023, il y en avait 30. Pour 2024, il y en a 60 sur 74 qui ont voté un budget initial en déficit ».

Critique de la loi de programmation pour la recherche

En tant que député, Patrick Hetzel ne s’est pas éloigné des questions budgétaires de l’ESR. En 2020, lors du débat sur la loi de programmation pour la recherche (LPPR) pour 2021 à 2030, il dénonçait une « juxtaposition de mesures technocratiques […] qui ne rassemble pas, ne crée pas de vision partagée » et l’ « inexistence d’une vision stratégique ». Il dénonçait un problème de calendrier dans le budget de cette loi pluriannuelle étalée sur 10 ans et non sur 7 et demandait que la recherche française ait « des moyens conséquents dès à présent ».

Il devra pourtant, sans doute, défendre une baisse de ce budget, à moins que le gouvernement ne revienne fortement sur les pistes de dépenses prévues par son prédécesseur. En effet, selon le tiré à part finalement transmis au Parlement et obtenu par nos confrères de Politico la semaine dernière, le budget de l’Enseignement supérieur et de la recherche pourrait perdre 400 millions d’euros (ESR hors LPPR  :- 600 millions d’euros, ESR LPPR : 200 millions d’euros).

Lors de la passation de pouvoir avec Sylvie Retailleau, Patrick Hertzel a aussi rappelé son passage à l’office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) de 2017 à 2022, montrant son attachement au débat sur les questions scientifiques. Mais ce n’est pas parce qu’il est lui-même universitaire et passionné des questions de l’ESR qu’il en épouse les consensus scientifiques.

Des positions obscurantistes

Au contraire, sur certaines questions, le nouveau ministre de l’Enseignement supérieur et de la recherche a parfois pris des positions obscurantistes. Comme l’ont souligné nos confrères de Libération, plusieurs d’entre elles ont été exhumées récemment.

Le 2 avril 2020, par exemple, Patrick Hetzel avait demandé l’autorisation de l’utilisation de l’hydroxychloroquine de l’azithromycine et du Zinc « dans le traitement précoce du COVID et ceci jusqu’à ce que soient connus les résultats des essais cliniques en cours ». Sans aucune preuve d’efficacité à l’époque, le ministre de la Recherche actuel voulait donc autoriser des traitements qui ont depuis été invalidés. Dans cette lettre, comme le pointe Fabrice Frank sur Twitter, il accusait aussi de manière erronée (voir le travail de nos collègues de l’AFP) le Clonazépam, substance active de l’anticonvulsivant Rivotril servant à alléger les souffrances, d’avoir « mis fin » à la vie de patients.

Mi-2021, le nouveau ministre de l’ESR a aussi décrié l’obligation vaccinale en s’appuyant sur la non-finalisation des essais de « phase III ». Comme le rappelle Libération, le ministre de la Santé de l’époque, Olivier Véran s’était exaspéré :

« Ressortir les arguments sur un vaccin qui est en phase III, comme si c’était un vaccin [pour lequel il n’y a] pas de recul… je vous le dis, c’est votre droit parlementaire, [mais] je ne trouve pas ça très responsable. Le vaccin est éprouvé. […] On entend tout et n’importe quoi sur ce vaccin : regardez ce que dit la science, regardez ce que disent les données des laboratoires, les données des organismes publics français, européens, américains et internationaux sur ces vaccins ».

Pourtant, lors de la passation de pouvoir au ministère, Patrick Hetzel a regretté les manquements de l’industrie française en matière de vaccins : « nous avons été collectivement face à une frustration très grande lorsqu’en 2020 nous avons vu d’autres pays avancer sur l’élaboration de vaccins pour lutter à l’époque contre cette pandémie et de nous retrouver au sein du pays de Pasteur sans être en mesure de jouer dans cette cour des grands ».

Contre le déremboursement de l’homéopathie

En 2020, Patrick Hetzel a aussi voulu mettre des bâtons dans les roues du déremboursement de l’homéopathie en co-signant une proposition de loi proposant un moratoire de deux ans. Ce texte justifiait cette mesure par le besoin de continuer « les négociations des plans de sauvegarde de l’emploi des entreprises pharmaceutiques spécialisées dans la production de médicaments homéopathiques ».

En 2021, il faisait aussi partie des députés proposant « l’insertion des médecines complémentaires et plus spécifiquement des médicaments non-conventionnels au sein des nomenclatures de l’assurance maladie » qui « permettrait donc de mieux orienter les patients ». Ce processus de déremboursement avait pourtant été initié suite à la publication en 2018 dans le Figaro d’une tribune de 124 professionnels de la santé.

Comme l’indique l’Express, le nouveau ministre s’est aussi récemment opposé à la loi contre les dérives sectaires.

Patrick Hetzel s’est aussi illustré en signant une proposition de résolution proposant la création d’une commission d’enquête « relative à l’entrisme idéologique et aux dérives islamo-gauchistes dans l’enseignement supérieur ». Ce texte reprochait notamment à ses désormais prédécesseures Frédérique Vidal et Sylvie Retailleau d’avoir renoncé à la commande d’un rapport au CNRS sur le « wokisme » à l’université : « l’impuissance politique n’est pas acceptable et le renoncement n’est pas une option », dénonçait-il.

Enfin, sur les questions de numérique et d’IA, qui intéressent plus particulièrement Next et dont il assure de façon inhabituelle la tutelle du secrétariat d’État, Patrick Hetzel semble laisser pour l’instant le dossier complet à Clara Chappaz, n’abordant le sujet dans son discours de passation qu’en le qualifiant de « domaine passionnant ».

• Clara Chappaz, de la French Tech au secrétariat d’État à l’IA et au numérique

Cloudflare proposera bientôt aux éditeurs de sites Web une place de marché via laquelle ils pourront décider comment et selon quelles modalités financières les robots d’indexation des grands modèles de langage accèdent à leurs contenus.

Comment contrôler la façon dont les robots qui nourrissent les grands modèles de langage (LLM) accèdent au contenu ? L’Américain Cloudflare, connu pour ses solutions de CDN (Content Delivery Network), a dévoilé lundi sa réponse, à la fois technique et commerciale, à cette problématique qui se pose aujourd’hui à la plupart des groupes média. Outre la mise en place d’outils de blocage et de mesure, il promet la création, à court terme, d’une place de marché destinée à centraliser les échanges commerciaux entre éditeurs et opérateurs de LLM.

Reprendre le contrôle sur l’indexation

Cloudflare annonce dans un premier temps la mise en ligne d’une série d’outils dédiés à la mesure et au suivi de l’utilisation réellement faite des contenus par les robots d’indexation. Ce tableau de bord, qui permet d’identifier les robots, surveiller la fréquence de leur passage ou la quantité de pages indexées, reprend par ailleurs l’option de blocage « en un clic » proposée par Cloudflare depuis juillet dernier. Une problématique qui n’a rien de trivial, dans la mesure où les robots d’indexation des LLM ne se déclarent pas toujours nommément lors de la connexion au serveur, ce qui limite les possibilités de blocage manuel, réalisé par exemple au moyen des fichiers .htaccess ou robots.txt.

« Ces données sont accessibles à tous les sites connectés via Cloudflare et n’exigent aucune configuration. Nous espérons que ce nouveau niveau de visibilité incitera les équipes à prendre une décision quant à leur exposition aux robots d’indexation des IA », résume l’entreprise. Au-delà de la prise de décision, Cloudflare présente aussi son tableau de bord comme un outil de surveillance pour tous les éditeurs qui auraient déjà formalisé, d’une façon ou d’une autre, un accord avec les grands noms de l’IA.

Ouvrir une voie aux négociations commerciales

L’étape suivante devrait quant à elle consister en un outil d’intermédiation commerciale. « Nous pensons que tous les sites, quelle que soit leur taille, devraient être en mesure de déterminer la compensation liée à l’utilisation de leurs contenus par les modèles d’IA. L’annonce d’aujourd’hui préfigure une nouvelle fonctionnalité Cloudflare de monétisation qui donnera aux éditeurs les outils pour fixer les prix, contrôler l’accès et capter la valeur liée au passage en revue de leurs contenus ».

L’outil trouvera-t-il son marché ? Au-delà de l’adhésion des éditeurs de sites, qu’on imagine assez enclins à monétiser leurs contenus, tout l’enjeu pour Cloudflare va consister à faire venir autour de la table les grands opérateurs d’IA, lesquels ne négocient pour l’instant qu’avec des acteurs de premier plan, via des accords de gré à gré, et pas toujours de bonne grâce.

OpenAI, éditeur de ChatGPT et attaqué en justice fin 2023 par le New York Times pour infraction au droit d’auteur, a par exemple signé de grands contrats cadres aux modalités confidentielles avec le groupe NewsCorp de Rupert Murdoch ou avec Condé Nast. En France, OpenAI s’est également attiré les faveurs du groupe Le Monde en début d’année, mais mène aujourd’hui la vie dure à l’Alliance de la presse d’information générale et au Syndicat des éditeurs de presse magazine, qui tentent d’ouvrir des négociations groupées, comme l’a récemment révélé La Lettre.

À défaut d’influencer les choix stratégiques des grands éditeurs de LLM, l’outil et l’annonce de Cloudflare auront peut-être le mérite de sensibiliser les éditeurs de sites à la question du scraping de leurs contenus. En juillet dernier, l’entreprise indiquait que sur le million de sites Web les plus fréquentés de ses clients, 39 % étaient indexés par les robots d’IA, alors que seuls 2,98 % des sites faisaient l’objet de mesures de protection.

Le patron d’OpenAI Sam Altman, l’ancien directeur du design d’Apple Jony Ive et la veuve du fondateur d’Apple Laurene Powell Jobs travaillent ensemble à la création d’une nouvelle société, dont le but serait de vendre du hardware dédié à l’usage d’intelligence artificielle générative.

Relevé dès septembre 2023 par the Information, le projet a été un peu précisé par Johnny Ive dans un entretien publié fin septembre par le New York Times.

Ive et Altman se sont rencontrés par l’intermédiaire de Brian Chesky, le directeur exécutif d’AirBnb – cliente de LoveForm, la société créée par Jony Ive en 2019 à son départ d’Apple.

Ive explique avoir discuté avec Altman de la possibilité de créer un nouveau type de hardware, adapté à l’intelligence artificielle générative, dans la mesure où celle-ci pourrait servir à plus qu’à de simples tâches logicielles.

Les discussions sont allées suffisamment loin pour que les deux commencent à lever des fonds, auprès de Ive lui-même, d’Emerson Collective, la société de la veuve de Steve Jobs, Laurene Powell Jobs. Ils chercheraient à lever jusqu’à un milliard de dollars auprès d’autres investisseurs d’ici à la fin 2024.

Toujours selon le New York Times, Ive a trouvé des bureaux pour le projet : un bâtiment nommé the Little Fox Theater, juste derrière les bureaux de LoveFrom, dans lesquels il aurait dépensé 60 millions de dollars. Il aurait par ailleurs embauché une dizaine de personnes pour travailler sur le projet secret, dont Tang Tan, qui a dirigé le développement de l’iPhone, et Evans Hankey, qui a succédé à Ive à la tête du design chez Apple.

Oracle, Amazon, et maintenant Microsoft : alimentant leur propre buzz autour des grands modèles de langage, dont la consommation énergétique est exponentielle, les géants numériques sont de plus en plus nombreux à se tourner vers le nucléaire.

Microsoft vient ainsi de conclure un accord avec la centrale de Three Mile Island, afin de relancer son Unité 1. Un revirement d’autant plus notable que le développement de la filière énergétique états-unienne avait connu un brusque coup d’arrêt en 1979 suite à l’accident nucléaire qui avait affecté l’Unité 2 de Three Mile Island.

En redémarrant la centrale, que son propriétaire Constellation avait arrêtée en 2019, le site étant déficitaire depuis des années, Microsoft compte sur une production d’environ 835 mégawatts d’électricité non carbonée — l’entreprise en profite pour renommer le lieu Crane Clean Energy Center (CCEC), du nom de Chris Crane, CEO de l’ancienne société mère de Constellation.

Elle y investirait 1,4 milliard d’euros d’ici 2028, selon le Financial Times.

La société, qui recrute depuis plusieurs mois des ingénieurs nucléaires, est loin d’être la seule intéressée par ce type d’énergie.

Alors que la frénésie autour de l’intelligence artificielle leur crée des pics de consommation d’énergie, le patron d’Oracle annonçait début septembre prévoir la construction d’un centre de données alimenté par trois réacteurs nucléaires, tandis qu’Amazon achetait en mars un campus de centres de données liés à la centrale de Susquehanna, en Pennsylvanie.

Un nombre croissant de patrons de la tech prennent position en faveur de l’énergie nucléaire, relève par ailleurs Le Monde. Ainsi d’Elon Musk, de Jack Dorsey, mais aussi de Bill Gates (qui a investi dans la start-up Terra Power) ou de Sam Altman (dans Oklo).

Interrogé par le quotidien, un membre du Shift Project, Think tank spécialisé dans la transition énergétique, s’inquiète de la fuite en avant que ces annonces présagent, et des risques qu’elles font peser sur des projets de décarbonation en cours.

• IA : un impact environnemental conséquent mais toujours difficile à mesurer

La route est encore longue

Selon une enquête menée sur plus de 6 000 femmes, « les stéréotypes de genre continuent d’influencer négativement l’orientation des filles et des femmes vers les métiers scientifiques et techniques ». Il y a certes des initiatives mises en place, mais elles sont jugées insuffisantes.

L’association Elles Bougent, qui a comme but de « renforcer la mixité dans les entreprises des secteurs industriels et technologiques », et l’institut OpinionWay présentent les résultats d’une enquête nationale menée sur « 6 125 femmes, dont 4 202 ingénieures et techniciennes en activité et 1 923 étudiantes en formation ».

Avant d’entrer dans les résultats de l’enquête, quelques chiffres sur l’état du marché : « En France, seulement un quart des ingénieurs en activité sont des femmes, et parmi les étudiants en sciences, seulement 30 % sont des femmes ».

Version courte de la conclusion : « les stéréotypes de genre continuent d’influencer négativement l’orientation des filles et des femmes vers les métiers scientifiques et techniques ». Alors que les mathématiques et les sciences font partie des matières préférées de plus de 85 % des femmes du sondage. Cela n’est malheureusement pas surprenant puisque ce constat a déjà été dressé par le passé.

• Assises de la féminisation du numérique : « l’urgence » de diversifier l’industrie de la tech

Des femmes « découragées de faire des études scientifiques »

Dans la version longue, on apprend que 23 % des 4 202 femmes actives (ingénieurs et techniciennes) ont « été découragées de faire des études scientifiques », contre 17 % des étudiantes dans ces domaines. Dommage par contre que l’étude ne porte pas également sur les hommes afin de voir s’il y avait une différence notable et, le cas échéant, quel était l’ordre de grandeur.

Les femmes sont plus de 60 % à avoir entendu dire qu’elles « sont plutôt faites pour les études littéraires ». C’est à peu près les mêmes pourcentages pour une autre phrase du genre : « les filles aiment moins les mathématiques que les garçons ». Plus d’une sur quatre a entendu dire que « les filles sont moins compétentes que les garçons en mathématiques ».

En parallèle, les mathématiques et les sciences sont encore trop souvent présentées par les parents comme la « voie royale » des études, celle à laquelle devraient prétendre les meilleurs élèves, tandis que ceux considérés comme l’étant moins sont souvent découragés d’y aller.

Principales craintes : du sexisme et ne pas évoluer

À la question, « de manière générale, avez-vous le sentiment ou non que certains métiers ou certaines formations diplômantes sont aujourd’hui moins accessibles aux femmes qu’aux hommes », les femmes actives sont partagées à 50/50 tandis que les étudiantes sont 67 % à répondre oui. Sur l’ensemble de l’échantillon, plus d’une femme sur deux a donc ce sentiment.

L‘étude porte ensuite sur les « difficultés que vous craignez de rencontrer en priorité en tant que femme ingénieure/technicienne ». Pour 81 % de celles dans la vie active et 89 % des étudiantes, l’inquiétude principale est le fait de « subir du sexisme, de la discrimination / ne pas évoluer » professionnellement. Pour 54/55 % c’est même la première source d’inquiétude.

• Un ingénieur alerte contre des pratiques sexistes, Meta cherche à le faire démissionner

Les hommes ont un « meilleur salaire » et « progressent plus facilement »

Sur la place des femmes ingénieures/techniciennes dans les entreprises, celles déjà dans la vie active et les étudiantes sont 81 % à être d’accord avec le fait que « les hommes exerçant ces métiers accèdent plus facilement que les femmes aux postes à responsabilités ».

• Pourquoi dédier une journée à l’inclusion des femmes dans le numérique ?

Les femmes actives sont 80 % à estimer que « les hommes progressent plus facilement que les femmes dans ce type de carrière » et 72 % à affirmer que, « à poste égal, les hommes exerçant ces métiers ont un meilleur salaire que les femmes ». Meilleur comment ? L’étude ne le dit pas.

L’observatoire des inégalités s’est penché sur la question en mars de cette année, et donne plusieurs enseignements. Sur l’écart total, « les femmes touchent 24,4 % de moins que les hommes ». Si on remet cela à temps de travail égal, « les femmes touchent 15,5 % de moins ». Enfin, « l’écart à temps de travail et métiers équivalents : les femmes touchent 4,3 % de moins ».

Il y a plusieurs niveaux de lecture à ces résultats. Tout d’abord, il n’y a aucune raison d’avoir un écart de 4 %, c’est déjà trop. Ensuite, « dans le couple, elles sont celles qui sacrifient le plus souvent leur carrière professionnelle », comme le rappelle Ouest France. Ni l’étude du jour ni l’observatoire des inégalités n’indiquent si le domaine des sciences impliquent des inégalités spécifiques.

• En Suisse comme en France, l’enjeu d’attirer et maintenir les femmes dans la tech

Du mieux, mais il reste du travail

Si les femmes de l’étude affirment en majorité que leur entreprise ou leur école « a mis en place des
initiatives pour soutenir les femmes dans leur parcours », elles sont 67 % des actives et 48 % des étudiantes à attendre « davantage de mesures en faveur de l’égalité femmes-hommes ». Bref, les choses avancent, mais il reste du travail.

L’étude dresse un triste constat en guise de conclusion : « plus de 8 femmes sur 10 intéressées par les métiers techniques qui ont entendu au cours de leur scolarité des préjugés sur le rapport des femmes aux matières scientifiques ». Pour l’association Elles bougent, « ces stéréotypes, souvent intériorisés dès le plus jeune âge, mènent à une autocensure et un manque de confiance en soi qui éloignent les filles des carrières scientifiques ».

Elle recommande de mettre en place des « programmes éducatifs dès le plus jeune âge, un accompagnement renforcé dans l’enseignement supérieur, ainsi que des politiques d’égalité en entreprise pour garantir à toutes et tous un accès équitable aux métiers d’avenir ». Ces actions sont celles qui arrivent le plus souvent en tête quand on demande aux femmes quelles sont leurs attentes.

• Comment la réforme du bac a (encore) éloigné les filles des maths et des sciences

À contrario, le fait de « proposer un environnement de travail plus inclusif pour les femmes (toilettes pour femmes, tenues adaptées, salles pour tirer son lait…) » et des « quotas pour assurer une plus grande représentation des femmes » n’arrivent en tête des préoccupations que pour 9 à 14 % des femmes interrogées.

Une petite dizaine de Mac datant de 2015 et 2016 sont désormais considérés comme « obsolètes » par Apple, comme l’a remarqué MacRumors. Traduction, ils ne peuvent plus faire l’objet d’une réparation en boutique Apple ou agréée.

Ces machines incluent six MacBook et trois iMac :

• MacBook Retina 12 pouces (début 2016)
• MacBook Air 13 pouces (début 2015)
• MacBook Pro 13 pouces avec deux ports Thunderbolt (2016)
• MacBook Pro 13 pouces avec quatre ports Thunderbolt (2016)
• MacBook Pro 15 pouces (2016)
• MacBook Pro Retina 13 pouces (début 2015)
• iMac 21,5 pouces (fin 2015)
• iMac Retina 4K 21,5 pouces (fin 2015)
• iMac Retina 5K 27 pouces (fin 2015)

Parallèlement, trois autres configurations entrent dans la catégorie des machines considérées comme « anciennes » : le MacBook Air Retina 13 pouces de 2018, le MacBook Pro 13 pouces avec deux ports Thunderbolt de 2017 et celui avec quatre ports de 2018.

Quand une machine est considérée comme ancienne, elle peut toujours être réparée, mais à la condition que les pièces soient toujours disponibles. Comme le rappelle notamment MacG, il faut encore que l’opération soit « rentable », car ces réparations peuvent s’avérer très onéreuses selon les pièces demandées.

Aujourd’hui, le plus vieux Mac pris en charge par le dernier macOS, Sequoia, est l’iMac Pro de 2017.

• Apple : de vraies nouveautés pour macOS et Xcode, une année calme pour watchOS et tvOS

Dans le domaine du logiciel libre, la licence d’ouverture du code peut rapidement faire débat. Rejetées par ce milieu qui considère que leurs logiciels ne sont pas assez libres pour être qualifiés d’ « open », des startups comme Sentry poussent un nouveau terme : « fair source ».

Mise à jour mardi 24 septembre, 10h50 : ajout de la réaction de l’April en fin d’article.

Est-ce qu’un logiciel peut être équitable ? Et qu’est ce que ça veut dire ? Après avoir vu fleurir dans nos magasins des produits « fair trade », va-t-on voir nos logiciels s’afficher « fair source » ? Les histoires de licences dans le logiciel sont toujours délicates.

C’est en tout cas cette expression, « fair source », que certaines startups comme Sentry ou Keygen utilisent pour qualifier leur logiciel. Dans un billet de blog, Sentry, startup qui était valorisée à plus de 3 milliards de dollars en 2022, donne sa définition du terme :

« Un logiciel « Fair source » est un logiciel qui :

• est lisible publiquement ;
• permet l’utilisation, la modification et la redistribution avec un minimum de restrictions afin de protéger le modèle commercial du producteur ;
• et fait l’objet d’une publication Open Source différée (delayed Open Source publication, DOSP) »

L’entreprise cite plusieurs licences qui seraient compatibles avec cette définition. La sienne en première, la Functional Source License (FSL), évidemment, mais aussi la Core License de Keygen et la Business Source License (BSL) de MariaDB.

• Le fonds d’investissement K1 confirme l’achat de MariaDB

La FSL, par exemple, convertit automatiquement au bout de deux ans le code publié vers une licence libre Apache 2.0 ou MIT et revendique d’éviter le phénomène du « passager clandestin » (le renvoi vers la page Wikipédia est fait par Sentry sur le site de la licence).

Réponse à un bad buzz de l’année dernière

Sentry est une entreprise qui propose des logiciels de monitoring de code et de diagnostic de bugs. Son logiciel phare, comme l’explique TechCrunch, est notamment utilisé par des entreprises comme Microsoft et Disney. En 2019, elle en a changé sa licence en passant de la 3-Clause BSD à BSL créée par MariaDB.

Sentry a aussi racheté Codecov fin 2022 et, en aout 2023, a utilisé le terme d’ « open source » pour qualifier son code qui était sous Business Source License aussi, récoltant les critiques de la communauté car cette licence n’est pas approuvée par l’Open Source Initiative (OSI). Adam Jacob, créateur du logiciel libre Chef, a suggéré que les entreprises qui voulaient utiliser des licences comme BSL s’associent pour créer une « confédération informelle » d’utilisateurs de licences avec des clauses évitant la concurrence. C’est en le prenant au mot que Sentry propose le terme de « fair source » et sa définition.

Sentry justifie son choix de ne pas utiliser une licence libre. « L’open source n’est pas un modèle commercial – l’open source est un modèle de distribution, c’est avant tout un modèle de développement de logiciels », affirme le responsable « open source » de l’entreprise, Chad Whitacre, à TechCrunch. « De fait, elle limite considérablement les modèles économiques possibles, à cause des conditions de licence », ajoute-t-il.

Le danger de la confusion ?

Mais introduire un nouveau terme peut parfois ajouter de la confusion. Caricaturalement, lorsqu’on demande à Deepl la traduction de « fair source », le service traduit le terme par « logiciel libre ».

Amanda Brock, CEO d’OpenUK, répondait en mai dernier à Adam Jacob qu’il n’y avait pas besoin de compliquer les choses et expliquait que ce que qualifie Sentry de « fair code », « c’est n’importe quelle licence non approuvée par l’OSI qui partage la source ». On peut aussi se poser la question de l’utilisation du terme « fair ». Un code qui n’est pas dans une licence « fair code » serait-il injuste ?

Interrogé par Next, le lobby des entreprises du logiciel libre CNLL, nous fait part de son attachement « aux définitions précises de l’OSI (pour « open source ») et de la Free Software Foundation (pour le « logiciel libre »), tout en notant qu’elles varient justement dans leur degré de précision et la latitude qu’elles laissent à l’interprétation » dont il considère les définitions comme équivalentes « en pratique ».

Pour son co-président, Stéphane Fermigier, « des acteurs qui appartiennent à l’écosystème open source / du logiciel libre peuvent effectivement proposer des définitions différentes qui répondent à leur besoin de créer des licences spécifiques à leur business ou alors leurs choix éthiques. Pour moi il n’y a pas de mal à cela tant que cela ne crée aucun risque de confusion. De ce point de vue, « Fair Source » semble respecter ce principe qui me semble fondamental, à condition que personne n’aille impliquer qu’il s’agit de la nouvelle définition de l’open source, par exemple. Il est possible que de nombreux éditeurs open source adoptent cette définition et l’une des nouvelles licences qui la respectent, ce qui aura forcément un impact négatif sur l’écosystème open source « strict » et probablement aussi pourrait engendrer une érosion de la marque « open source » (ou « logiciel libre ») ».

De son côté, interrogée par Next, l’April affirme que « l’objectif de Fair Source est de légitimer, de rendre honorable, une politique de licence rejetée notamment par la Free Software Foundation et l’Open Source Initiative, en lui trouvant une famille d’adoption. Celle-ci n’existant pas, les éditeurs l’ont créée de toutes pièces et ont même trouvé une bannière – Fair Source – qui entretient la confusion (comme à la grande époque du programme « shared source » de Microsoft, même si les licences Fair Source sont bien moins toxiques que les licences de Microsoft) ». Elle rajoute que « Fair Source relève de la pure campagne de communication, qui durera jusqu’à ce que le terme revête une connotation péjorative ».

Depuis le début du mois, les annonces de fuites se suivent et se multiplient : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite et RED by SFR il y a seulement quelques jours. Dans plusieurs cas, il s’agit d’un prestataire externe qui a été victime d’une cyberattaque, entrainant des annonces en cascade.

Dans cette ambiance morose pour la sécurité des données personnelles, trois autres entreprises étaient placées sur le banc des accusés : Action, Darty et Temu. Toutes ont réfuté la compromission de leur système informatique, comme le rapporte 01 Net.

« Les données publiées par le pirate ne proviennent pas de nos systèmes », affirme Action à nos confrères. Même son de cloche chez Temu, après une enquête approfondie « sur la prétendue violation de données et confirme que les allégations sont totalement infondées : les données en circulation ne proviennent pas de nos systèmes ». On espère que, dans les deux cas, c’est la même chose chez les prestataires des enseignes.

Précision importante dans le cas Temu : « CheckPoint Research a pu confirmer que les données estampillées Temu étaient déjà en fuite depuis trois ans. En fait, il s’agit de données publiques relatives à une autre entreprise », ajoutent nos confrères. Le pirate tenterait donc de recycler d‘anciennes données dérobées.

Dans le cas de Darty, l’enseigne affirme également chez 01 Net qu’aucune « base n’a été trouvée par les équipes de Fnac Darty ». La fuite avait été annoncée par le chercheur en cybersécurité SaxX. sur X, suite à la mise en vente pour 500 dollars d’un fichier dans lequel se seraient trouvées les données de 3 millions de clients Darty.

La CNIL avait lancé, en mai, un appel à candidature pour permettre à des entreprises innovantes, « dont le modèle d’affaires repose sur le traitement de données », de bénéficier d’un appui des équipes de la CNIL, « afin de les guider vers une bonne prise en compte de la règlementation sur la protection des données », autour de 3 principales modalités :

• un appui juridique et technique « dans des délais rapides » en leur apportant des réponses à des questions juridiques ou techniques, une formation et assistance à la réalisation d’analyse d’impact relative à la protection des données (AIPD), des recommandations en matière de cybersécurité, etc. ;
• une « revue de conformité » des traitements mis en œuvre et des « grands enjeux de conformité » afin de lui proposer des recommandations adaptées ;
• des actions de sensibilisation aux enjeux de la protection des données, « notamment à destination des salariés et/ou des dirigeants ».

La CNIL vient d’annoncer avoir sélectionné quatre entreprises, qui bénéficieront donc d’un « accompagnement renforcé » sur les six prochains mois :

• DOCAPOSTE, qui développe une solution d’IA générative « éthique et souveraine », « Dalvia Santé », dédiée aux professionnels et établissements de santé, afin de leur permettre, face à l’augmentation du volume de données, « d’optimiser leur temps consacré aux soins, en leur fournissant des synthèses médicales et en facilitant l’analyse des dossiers patient » ;
• DOCTRINE, qui exploite l’intelligence artificielle (notamment générative) pour centraliser l’information juridique et légale disponible et la rendre accessible et pertinente pour les professionnels du droit (avocats, juristes, magistrats) ;
• FRANCAISE DES JEUX (FDJ), qui « indique souhaiter poursuivre sa politique de jeu responsable et promouvoir une pratique récréative du jeu auprès de ses 27 millions de clients » ;
• SHAREID, qui intervient dans le domaine de l’identité numérique en proposant des solutions de vérification d’identité, d’authentification et de vérification d’âge, et « développe une solution pour permettre la vérification d’âge par double anonymat ».

« Les enseignements tirés de cet accompagnement viendront également alimenter et enrichir les publications de la CNIL afin que d’autres acteurs puissent en bénéficier », précise la Commission, qui rappelle par ailleurs qu’elle « propose différentes formes d’accompagnement pour tous les organismes publics et privés », comme nous l’avait explicité en juin Thomas Dautieu, directeur de la conformité juridique de la CNIL.

• Thomas Dautieu (CNIL) : « le temps accordé aux entreprises sert au plus grand nombre »