Sympathy for the Devil

Google a publié mardi la version remaniée de la déclaration qui encadre ses grands principes éthiques et moraux autour de l’intelligence artificielle. L’engagement selon lequel les IA développées par Google ne doivent pas servir à la création d’armes disparait de cette nouvelle révision. La société justifie ce changement par une approche basée sur la gestion du risque, grâce à un « framework » dédié.

Inaugurée en 2018 et mise à jour, depuis, sur une base annuelle, la déclaration de Google relative à ses grands principes en matière d’IA affirmait explicitement depuis sa création que les outils maison ne devaient pas servir à la conception d’armes ou de technologies susceptibles de causer un préjudice général.

Mardi, le moteur de recherche est revenu sur cette promesse. Il a en effet mis en ligne une nouvelle révision de ses « AI Principles », dans laquelle il n’est plus fait mention des applications de l’IA que la société s’engage à ne pas poursuivre.

Limiter les risques, sans interdire les applications

Google et sa maison mère, Alphabet, se disent bien sûr toujours particulièrement soucieux des questions morales et éthiques soulevées par l’IA, mais la rhétorique n’est plus la même. « Nous pensons que notre approche de l’IA doit être à la fois audacieuse et responsable », écrit la société, qui met en avant l’importance de préserver « la sécurité, la sûreté et la confidentialité des utilisateurs ».

En la matière, Google s’engage par exemple à mettre en œuvre « une conception, des tests, une surveillance et des mesures de protection rigoureux pour atténuer les résultats imprévus ou nuisibles et éviter les préjugés injustes ». Rien n’est dit en revanche d’éventuelles lignes rouges.

La précédente version des IA Principles (ici datée de 2023, via Archive.org), se montre nettement plus précise. En complément de ses principes généraux, Google s’engageait ainsi à ne pas concevoir ou déployer d’IA dans des domaines d’application susceptibles de causer un préjudice à des tiers.

Elle interdisait par ailleurs l’IA au service des « armes ou autres technologies dont le but principal ou la mise en œuvre est de causer ou de faciliter directement des blessures à des personnes ». Google disait par ailleurs se refuser à développer l’IA pour des applications qui « collectent ou utilisent des informations à des fins de surveillance, en violation des normes internationalement acceptées ».

Cette décision intervient quelques jours après que Donald Trump, nouveau président des États-Unis, a révoqué un décret relatif à la sécurité des systèmes IA. Signé par son prédécesseur, Joe Biden, le texte obligeait les développeurs à partager les résultats de leurs tests de sécurité avec le gouvernement avant la mise sur le marché de leurs produits, dès lors que ces derniers étaient susceptibles de soulever un risque lié à la sécurité nationale, à l’économie ou à la santé publique.

Officiellement, ces nouveaux principes n’ont rien à voir avec la politique. C’est du moins ce que sous-entendent Demis Hassabis, CEO de Google DeepMind, et James Manyika, vice-président senior en charge de la recherche, dans un billet de blog qui accompagne à la fois la mise en ligne de ces nouveaux principes, et la publication du sixième rapport annuel de Google sur l’IA responsable.

Ils commencent par rappeler que le paysage de l’IA a changé dans des proportions telles qu’une évolution des principes associés s’impose. Ils y expliquent ensuite comment les travaux nourris des équipes de Google sur la gouvernance de l’IA les a amenées à changer d’approche sur le sujet de la gestion des risques, notamment en élaborant un ensemble de protocoles dédiés, le « Frontier Safety Framework », censé permettre de prévenir les risques associés à l’IA. Le document adopte une approche plus technique des principes dont se revendique Google.

Un ensemble d’outils pour prévenir les risques

Initialement publié en mai 2024, ce FSF est depuis le 4 février amendé sous forme d’une version 2.0 (PDF). Il se présente comme un cadre, construit autour de « niveaux de capacité critiques » qui, s’ils sont atteints dans une IA, doivent déclencher des mesures spécifiques d’analyse de risque.

Google classe ces niveaux selon deux cas de figure. D’abord, le mésusage, soit une IA détournée de sa finalité première pour une application engendrant du risque comme, par exemple, la création d’une arme chimique ou l’orchestration d’une attaque cyber. Le FSF envisage ensuite le « risque d’alignement trompeur », qui intervient quand les capacités d’une IA sont susceptibles de dépasser le cadre de ce pourquoi elle est censée fonctionner de façon fiable.

Sur la base de ces deux familles de risque, le FSF envisage un ensemble de réponses et de procédures (dont beaucoup restent à concevoir), placées sous la responsabilité d’une gouvernance réunissant les principales instances internes de Google impliquées dans la conformité, l’éthique et l’IA. L’approche se veut donc plus technique, mais elle se révèle nettement moins explicite qu’une simple déclaration affichée noir sur blanc.

Google et Meta, même combat

Google entretient de longue date des rapports contestés avec les industriels de l’armement et du renseignement. En 2018, alors que la société venait d’abandonner sa devise historique « Don’t be evil », elle avait d’ailleurs dû gérer un conflit interne lié au lancement d’un programme d’intelligence artificielle conçu pour le Pentagone. Trois ans après ce projet Maven finalement abandonné, Google avait de nouveau manifesté des velléités de se positionner comme le partenaire de choix de la Défense états-unienne.

En expurgeant l’allusion aux armes de ses principes, Google emboîte d’une certaine façon le pas à Meta, qui de son côté avait annoncé en novembre dernier qu’il n’interdirait plus l’utilisation de ses IA à des fins militaires.

« Meta veut jouer son rôle pour soutenir la sûreté, la sécurité et la prospérité économique de l’Amérique, ainsi que de ses alliés les plus proches. L’adoption généralisée des modèles d’IA open source américains sert à la fois les intérêts économiques et sécuritaires », justifiait alors Nick Clegg, président des affaires internationales de Meta.

La nouvelle approche de Google en matière de gestion des risques rejoint d’ailleurs celle que prône dorénavant Meta. La firme dirigée par Mark Zuckerberg a en effet annoncé le 3 février qu’elle allait encadrer ses propres travaux en matière d’IA à l’aide d’un ensemble de protocoles dédiés, baptisé cette fois Frontier AI Framework. Le fonctionnement semble similaire à celui adopté par Google : identifier des risques potentiels, mettre en place des routines de détection ou de prévention, pour en dernier recours décider ou non d’intervenir. Quitte à ce qu’il soit parfois trop tard ?

Dans un billet publié hier soir, Microsoft proposer d’amender l’API Notifications pour lui ajouter des capacités liées aux appels audios et vidéos. Cette API joue un rôle important aujourd’hui, puisque c’est par elle qu’un site web peut demander la permission d’émettre des notifications. Si l’internaute accepte, le site peut alors prévenir de certains évènements, selon le service fourni.

Dans le cas de la visioconférence cependant, ces notifications sont limitées, car essentiellement statiques. Un service de communication peut par exemple prévenir d’un appel, mais cliquer sur la notification ne pourra qu’envoyer vers le site concerné, où seront les boutons d’actions tels que « Répondre » et « Refuser ».

Microsoft propose donc de modifier l’API standardisée pour y inclure plusieurs nouvelles capacités : autoriser la personnalisation permettant à un service de se distinguer d’un autre, permettre l’ajout de boutons personnalisés utilisables pour répondre ou rejeter un appel, ajouter une sonnerie personnalisée, obtenir une priorité plus élevée que les autres notifications (si la plateforme l’autorise).

Ces fonctions seraient présentes en fonction de scénarios comme « incoming-call », définissant alors un périmètre d’action et doté d’une plus grande priorité, pour s’assurer que la notification est immédiate. La possibilité d’attacher une sonnerie personnalisée, dont beaucoup pourraient abuser, requiert également une étape supplémentaire : que le site web ait été installé sous forme de PWA (ce qui exclut d’emblée Firefox).

Dans son billet, Microsoft donne la marche à suivre pour tester la fonction. Elle consiste surtout à lancer Edge avec le flag « msedge.exe –enable-features=IncomingCallNotifications » depuis la ligne de commande, puis à se rendre sur une page spécifique. Après avoir autorisé les notifications, on peut effectivement voir ce que la réception d’un appel donnerait. En installant le site en PWA, la notification est effectivement accompagnée d’une sonnerie. On note que les labels des boutons disposent déjà d’une traduction.

Comme le note Neowin, cet ajout permettrait aux navigateurs d’obtenir les mêmes capacités qu’Android et iOS sur la gestion des appels.

AMD boucle son exercice 2024 sur une croissance annuelle de 14 %, portée principalement par la demande sur le marché des centres de données, mais aussi par le succès commercial des processeurs Ryzen sur la fin de l’année. Pour 2025, la firme ambitionne sans surprise de capitaliser sur les développements liés à l’intelligence artificielle. Elle prévoit pour ce faire d’anticiper le lancement de ses puces Instinct MI350.

Sa croissance n’a rien à voir avec celle du grand concurrent sur le marché du GPU, NVIDIA, mais AMD peut tout de même se targuer d’avoir bouclé son exercice fiscal 2024 sur un chiffre d’affaires de 25,8 milliards de dollars, en hausse de 14 % sur un an. Présentés mardi soir, ces résultats financiers découlent notamment d’un quatrième trimestre aux performances exceptionnelles : AMD enregistre ainsi 7,7 milliards de dollars de chiffre d’affaires sur les trois derniers mois de l’année, en hausse de 24 % sur un an.

+ 94 % pour les composants destinés au datacenter

Sur le trimestre comme sur l’année, c’est la division datacenter qui génère l’essentiel de la croissance. En 2024, elle représente ainsi 12,6 milliards de dollars de chiffre d’affaires, en croissance de 94 % par rapport à l’année précédente. « Le chiffre d’affaires annuel de la division datacenter a presque doublé grâce à l’accélération de l’adoption des processeurs EPYC, et aux plus de 5 milliards de dollars de chiffre d’affaires générés par les accélérateurs AMD Instinct », se réjouit Lisa Su, CEO d’AMD, dans un communiqué.

Le marché des centres de données constitue, de nouveau et sans surprise, le principal levier de croissance identifié pour 2025 dans la mesure où tous les grands acteurs du logiciel, des services en ligne ou de l’infrastructure rivalisent de projets d’investissements. Sur ce volet, AMD se félicite d’avoir signé en 2024 des contrats de premier plan avec Meta, Microsoft ou IBM, et anticipe une accélération des livraisons en 2025.

Les accélérateurs Instinct MI350 sont en avance

Chez AMD comme chez NVIDIA, le marché ne dépend toutefois pas uniquement de la demande, mais aussi et surtout des capacités d’approvisionnement. Sur ce point, Lisa Su s’est voulue rassurante. Lors d’un échange (audio) avec les analystes financiers, elle a affirmé mardi que la production des MI250X – dernière génération en date de ses accélérateurs dédiés au calcul haute performance et à l’IA – avait décollé conformément aux attentes sur le quatrième trimestre.

AMD profite de l’occasion pour évoquer sa future architecture CDNA 4, dont les premiers représentants, les accélérateurs Instinct MI350, étaient initialement attendus pour le deuxième semestre 2025. « En se basant sur les progrès réalisés sur les préséries et sur l’accueil enthousiaste des clients, nous prévoyons maintenant de livrer les premiers échantillons à nos principaux clients au cours de ce trimestre, et de passer en production de masse aux alentours du milieu de l’année », a annoncé Lisa Su.

Les bonnes performances de Ryzen dans le monde PC

AMD affiche également des performances en hausse sur la division « Client », qui réunit ses principales gammes de CPU et APU. Sur l’année, la branche réalise un chiffre d’affaires de 7,1 milliards de dollars, en hausse de 52 % sur un an, avec une croissance tirée majoritairement par les CPU Ryzen.

AMD indique que plus de 150 plateformes estampillées Ryzen AI (en référence à ses dernières générations de processeurs) seront disponibles cette année, et se félicite tout particulièrement de son partenariat renforcé avec Dell.

Rappelons que la marque a lancé toute une nouvelle gamme de processeurs visant à la fois les PC fixes et les portables à l’occasion du CES de Las Vegas.

• AMD présente de nouveaux CPU pour ordinateurs fixes, portables et consoles

Les cartes graphiques Radeon RX 9070 pour début mars

D’aucuns s’étaient toutefois alarmés, au moment du CES, du silence assourdissant entourant les cartes graphiques Radeon RX 9070 et leur architecture RDNA 4, attendues comme une réponse à la génération des GeForce RTX 50×0 Blackwell chez NVIDIA. AMD devrait finalement procéder à leur annonce officielle fin février, pour un lancement commercial programmé courant mars, a dévoilé mardi Lisa Su. Elle reconnait que ce retard a porté préjudice aux ventes de GPU dédiés, qui accusent un recul (non précisé) sur l’année.

Il ne faut cependant pas s’attendre à des Radeon RX 9070 concurrentes du très haut de gamme incarné par la GeForce RTX 5090. « Notre objectif avec cette génération est de nous adresser au segment le plus important en volume du marché des passionnés », révèle la dirigeante. La bataille devrait donc se jouer sur le terrain du rapport performances/prix plus que sur celui des performances brutes.

100 millions de consoles équipées d’une puce AMD

Chasse gardée d’AMD, le segment des designs semi-personnalisés destinés aux fabricants de console a lui aussi reculé en 2024. Sur sa division gaming (qui réunit cartes graphiques dédiées et activités graphiques pour les fabricants de console), AMD accuse ainsi un recul de 58 % sur un an, avec un chiffre d’affaires qui s’établit à 2,6 milliards de dollars. Sur le marché des consoles, AMD se félicite toutefois d’avoir franchi le cap symbolique des 100 millions de consoles équipées. La répartition entre Sony et Microsoft n’est pas précisée, mais Sony indiquait en novembre dernier avoir vendu 65,5 millions de PS5 à l’échelle mondiale, à l’occasion du lancement de la PS5 Pro.

Dernier volet du catalogue AMD, le segment dédié à l’embarqué réalise quant à lui 3,6 milliards de dollars de chiffre d’affaires sur l’année. Une baisse de 33 % sur un an, essentiellement due, selon la société, à des clients qui « normalisent » leurs stocks.

France Travail (ex-Pôle Emploi) et la start-up Mistral AI annoncent avoir conclu un partenariat après plusieurs mois de tests d’outils d’intelligence artificielle générative.

Deux outils doivent aider conseillers et candidats, d’après l’AFP : ChatFT doit fournir de l’assistance à la rédaction, et MatchFT assister les conseillers dans leur communication avec les candidats, notamment en permettant de contacter par SMS « les candidats présélectionnés sur une offre afin de les questionner sur leur intérêt pour l’offre, et les éventuels pré-requis (accès au lieu de travail, disponibilité, intérêt et capacité à réaliser les tâches prévues) ».

• [Interview] Efficacité, coût des algorithmes publics : les administrations manquent de transparence

Fondée en 2023 par Arthur Mensch, Guillaume Lample et Timothée Lacroix et valorisée plus de 6 milliards d’euros, Mistral AI a été largement financée par de grands noms états-uniens, dont Microsoft, IBM, Salesforce, Nvidia ou les fonds Andreessen Horowitz et Lightspeed Ventures Partners. Des acteurs coréens comme Samsung siègent aussi aux côtés de ses quelques investisseurs français.

L’open data ça va beaucoup trop loin !

Ce week-end, sur Twitch, nous avons eu un bel exemple de « fail collectif ». D’un côté, un influenceur qui demande à sa communauté de partager leur RIB (ou celui d’un proche) pour obtenir de l’argent. De l’autre, des internautes qui envoient leurs informations bancaires en direct.

Nasdas est un influenceur bien connu sur les réseaux sociaux (9 millions d’abonnés sur Snapchat) car il a pour habitude de redistribuer une partie de ses revenus à sa communauté. Dimanche 2 février, la situation a dérapé, comme le rapporte BFM Tech & Co citant l’influenceur :

« J’ai mon application bancaire. J’ai un peu plus de 28 000 euros à l’intérieur. Je dois donner 10 000 euros. Comment faire ? Soit, on m’envoie des RIB dans les commentaires, soit des Paypal et je fais les virements en live ».

Il ratisse large dans sa communication : « on choisira parmi les nouveaux followers. Envoie un message, envoie ton RIB, celui de ta maman, ton oncle, qui tu veux ». La suite, on s’en doute : des RIB ont été envoyés par dizaines dans les commentaires, sur un live accessible à tous. Ils sont parfois accompagnés de messages et d’autres informations personnelles. Un véritable « trésor » pour des personnes malintentionnées.

Envoyer un RIB n’est pas sans conséquences

Plus besoin de fuites de données, les internautes envoient eux-mêmes des informations bancaires en espérant obtenir des fonds au passage… Du point de vue de cybersécurité, cela comporte des risques réels, comme nous l’expliquions récemment.

Si la Banque de France rappelle que « communiquer son RIB n’est pas risqué en soi », elle ajoute bien rapidement que, « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) ».

• Fuite d’IBAN : quels sont les risques, comment se protéger

Fin octobre, la CNIL a publié un guide pour vous protéger en cas de fuite de votre IBAN (qui se trouve sur votre RIB)… des recommandations également valables si vous partagez vos données bancaires de manière publique, comme c’est le cas ici :

« Cet identifiant peut dans certains cas permettre à un pirate d’émettre des ordres de prélèvement illégitimes qui ciblent les IBAN obtenus frauduleusement. Le pirate peut aussi, plus directement, usurper l’IBAN d’une autre personne en les communiquant lors de la création d’un mandat de prélèvement dans le cadre d’une souscription à un service ».

« Surveillez régulièrement les opérations sur votre compte bancaire et faites opposition si nécessaire […] Vérifiez la liste des créanciers autorisés », rappelait la CNIL. En cas de doute, n’hésitez pas à contacter votre conseiller bancaire.

« De profondes interrogations chez les juristes »

Mais ce qui pourrait passer au premier abord comme une « bonne action » ne dispense pas de respecter les règles.

Alexandre Archambault, avocat spécialisé dans le droit du numérique, nous explique que les modalités de l’épisode « ne manquent pas de susciter de profondes interrogations chez les juristes au regard des grands principes du RGPD ».

Les demandes de l’influenceur et les réponses des internautes fournissent un double exemple de ce qu’il ne faut pas faire.

Nasdas multiplie les dérapages

Nasdas n’en est pas à son coup d’essai. En juin dernier, il proposait à sa communauté de récupérer 100 000 euros (par lots de 80 à 2 500 euros) via une application de paiement en ligne : Laymoon. « Le jeu concours avait finalement été annulé face aux tollés des internautes. En effet, il fallait débourser au minimum 17 euros pour accéder à la plateforme », expliquent nos confrères.

En 2022, l’influenceur « avait volontairement diffusé dans une story son numéro de carte bleue, sur laquelle se trouvaient près de 16 000 euros […] Plusieurs sites, dont Amazon, avaient alors été submergés. Ils avaient considéré l’utilisation massive de cette carte de crédit comme « frauduleuse ». Les comptes ayant utilisé ce moyen de paiement avaient été temporairement bloqués », ajoute BFM Tech & Co.

macOS est gâté

Mozilla vient de dégainer coup sur coup Thunderbird 135 et la première bêta de Firefox 136. Un renouvellement rapide pour le client e-mail, puisque la dernière version date de la semaine dernière. Firefox 136 s’annonce de son côté comme une version importante.

Le rythme est très rapide pour Thunderbird. Alors que la version 134 est sortie le 27 janvier, la 135 est apparue hier soir. Comme la précédente, il ne s’agit pas d’une version mise en avant, le site ne proposant par défaut que la mouture ESR (Extended Support Release), actuellement estampillée 128.6.0.

La 135, elle, est simplement une « Release » que l’on peut récupérer depuis cette page, en modifiant le canal de distribution dans les menus. L’équipe de développement ne la recommande pas, la considérant presque comme une préversion. À moins de vouloir spécifiquement certaines nouveautés, il est conseillé de rester sur le canal ESR.

Nombreuses corrections, améliorations et binaires XZ

Mais qu’apporte cette version 135 ? Pour l’essentiel une longue liste de corrections et de petites améliorations. Il semble que Thunderbird 134 ait amené bon nombre de problèmes, corrigés dans cette révision, comme on peut le voir dans les notes de version.

Dans les améliorations, commençons par noter l’utilisation de XZ pour les binaires Linux. Comme pour Firefox, les gains sont notables sur la compression et surtout les performances lors de l’installation et de la mise à jour.

Thunderbird 135 permet également de spécifier un cookieStoreId lors de la création d’un espace, d’ignorer les sous-clés ou signatures non prises en charge lors de l’importation de clés OpenPGP conformes, ou encore d’utiliser le même code OAuth2 que le courrier pour les carnets d’adresses et des calendriers CardDAV.

Firefox 136 : accélération vidéo et onglets verticaux

Firefox 135 venant tout juste de sortir, la version 136 entre dans le canal Beta. Elle intègre plusieurs améliorations importantes, notamment pour le support matériel lors du décodage vidéo.

Ainsi, sur Linux, Firefox 136 sait exploiter les GPU AMD pour le décodage matériel. Un support attendu de longue date. Autre arrivée, cette fois sur macOS : le décodage matériel pour les contenus HEVC. Là encore, Firefox rattrape la concurrence.

Firefox 136 introduit également pour la première fois les onglets verticaux, ici aussi une promesse de longue date. Ils ne sont pas activés par défaut. Pour les utiliser, il faut se rendre dans les paramètres du navigateur, onglet Général et chercher la ligne « Browser Layout ». La section n’est pas encore traduite. Il suffit ensuite de cliquer sur « Vertical tabs » et de regarder l’interface du navigateur évoluer, la barre latérale étant forcément activée dans ce cas.

Le fonctionnement est, dans les grandes lignes, identique aux autres navigateurs proposant cette disposition. Cet affichage peut notamment avoir un grand intérêt sur les ordinateurs portables, où la place verticale peut vite manquer. On gagne alors en surface d’affichage et en confort de lecture. On note cependant qu’en thème sombre, la barre d’adresse, très sombre, se confond pratiquement avec le bord de la fenêtre. Cela rend les déplacements de cette dernière hasardeux si l’on ne fait pas attention où l’on clique.

Et un peu sous le capot aussi

Firefox 136 renforce également son comportement HTTPS-First, ajoute la même compression LZMA sur le binaire macOS que pour Linux, désactive les bannières de cookies par défaut en navigation privée, ajoute une option pour afficher les termes de recherche sur les pages de résultats, ou encore ajoute le support de Codemirror 6 pour les développeurs.

Signalons aussi une évolution sous le capot pour la version macOS. Un nouveau mécanisme permet de déplacer certaines tâches en arrière-plan vers des cœurs moins puissants de la puce. Ces cœurs étant plus économes en énergie, la navigation devrait consommer moins et donc permettre une utilisation nomade plus longue.

Super relou

Dans la nuit du 16 au 17 janvier dernier, SpaceX a raté son septième lancement test de Starship avec le propulseur Super Heavy. Perdant le contrôle du deuxième étage de sa fusée, l’entreprise d’Elon Musk n’a pas pu empêcher l’explosion de sa fusée dont des débris ont atterri sur les Îles Britanniques habitées de Turques-et-Caïques.

« Le succès est incertain, mais le divertissement est garanti ! » twittait Elon Musk alors que la fusée Starship avait échoué son septième lancement de test. SpaceX a perdu le contrôle du deuxième étage de sa fusée très rapidement alors que l’objectif de la mission était, entre autres, de tester une « mise à jour en bloc » de celui-ci.

Success is uncertain, but entertainment is guaranteed!
pic.twitter.com/nn3PiP8XwG

— Elon Musk (@elonmusk) January 16, 2025

Si le CEO de SpaceX qualifie cette explosion de « divertissement », ce n’est sans doute pas le mot qu’auraient choisi les habitants des îles de Turques-et-Caïques.

Aucun blessé, mais de nombreux débris

Ce territoire britannique d’outre-mer des Caraïbes situé au sud-est des Bahamas a vu de très près l’explosion du deuxième étage de StarShip. Et comme l’explique CNN, même si on ne dénombre aucun blessé, ses habitants doivent maintenant faire face aux retombées des débris.

Interrogée par nos confrères, Lori Kaine, une résidente de l’île, affirme n’avoir « jamais vu de telles couleurs dans le ciel », mais depuis, elle ramasse des débris de la fusée. Elle a retrouvé un câble dans son allée, des tuiles hexagonales brisées sur la chaussée (sans doute des éléments du bouclier thermique comme le suppose CNN). Elle a aussi retrouvé la plage à côté de chez elle, jonchée de débris.

Selon Alizee Zimmermann, responsable de l’association de protection des récifs Turks and Caicos Reef Fund, des épaves ont été retrouvées sur toutes les plages de la ville de Providenciales, mais aussi sur celles de Caïques du Sud et de l’Ouest. Elle a expliqué à CNN qu’ « il y a des débris aussi petits qu’un tiers d’ongle et aussi gros qu’une voiture éparpillés un peu partout ».

Alizee Zimmermann espère une évaluation officielle incluant des tests sur les eaux et une réflexion sur l’utilisation de drones pour chasser les gros débris en mer qui pourraient avoir un impact sur les écosystèmes sensibles.

Collecte et sécurisation des débris organisées par les autorités

Le 17 janvier dernier, la Federal Aviation Administration a « demandé à SpaceX de mener une enquête sur la perte du véhicule Starship lors des opérations de lancement le 16 janvier ». L’autorité américaine ajoutait qu’ « aucun dommage corporel n’a été signalé, et la FAA travaille avec SpaceX et les autorités compétentes pour confirmer les rapports faisant état de dommages matériels sur les îles Turques-et-Caïques ».

Selon le journal local Turks and Caicos Weekly News, le gouvernement des Turques-et-Caïques organise la collecte et la sécurisation des débris tombés au sol, en collaboration avec les autorités américaines et britanniques. Et une équipe de l’Air Accidents Investigation Branch (AAIB), l’organisme britannique chargé des enquêtes sur les accidents aériens, est au sol et travaille avec des représentants de SpaceX pour mettre en œuvre leur récupération.

Debris from the starship ending up on the shores of Turks and Caicos, come clean up your mess Elon! @elonmusk #starship #turks #spaceship #crash #starshipexplosion pic.twitter.com/A8m22KfCNU

— hann (@vnhwk47zr6) January 17, 2025

La FAA toujours sur le coup, malgré l’investiture de Donald Trump

Samedi 1ᵉʳ février, ArsTechnica a interrogé la FAA sur le sujet. Selon nos confrères, l’autorité américaine n’a pas changé d’avis sur sa demande d’enquête alors qu’entre temps, Donald Trump a été officiellement investi et Elon Musk est très actif à la tête du DOGE.

Un porte-parole a répondu à ArsTechnica : « La FAA a demandé à SpaceX de mener une enquête sur l’accident du Starship Super Heavy Flight 7 sous la supervision de la FAA. Sur la base des conclusions de l’enquête concernant les causes profondes et les actions correctives, la FAA peut exiger d’une entreprise qu’elle modifie sa licence ».

Rappelons que SpaceX n’est pas la seule à avoir une gestion hasardeuse d’éventuels débris de fusées. Depuis des années, certaines fusées chinoises sont lancées sans préoccupation des dégâts, comme en 2020, quand des débris de la fusée Long March 5B seraient tombés en Afrique. Ou encore, en 2022, lorsque le premier étage d’une même fusée s’est désintégré dans l’atmosphère au-dessus de l’océan Indien.

Quid des responsabilités ?

Rappelons enfin que la Convention de 1972 sur la responsabilité internationale pour les dommages causés par les objets spatiaux a été ratifiée par plusieurs pays, sous l’égide des Nations Unies. 

Dans son article II, elle prévoit qu’un « État de lancement a la responsabilité absolue de verser réparation pour le dommage causé par son objet spatial à la surface de la Terre ou aux aéronefs en vol ».

Dans son article I, elle prend soin de définir les termes utilisés. « Dommage » désigne ainsi « la perte de vies humaines, les lésions corporelles ou autres atteintes à la santé, ou la perte de biens d’État ou de personnes, physiques ou morales, ou de biens d’organisations internationales intergouvernementales, ou les dommages causés auxdits biens », tandis que « lancement » correspond aussi bien à un lancement réussi qu’à une tentative (échouée).

Récemment, le projet FreeDesktop.org a annoncé avoir besoin d’un nouvel hébergeur en urgence. Equinix, chez qui le projet était stocké, a mis fin au stockage gracieux qu’il fournissait depuis plus de cinq ans. La société veut en effet se débarrasser de ses offres bare metal et n’octroie donc plus de crédits gratuits dans ce domaine.

FreeDesktop.org n’est pas le seul projet touché par cette décision. La distribution Alpine Linux se cherche également un nouvel hébergeur, pour les mêmes raisons.

« Nous sommes profondément reconnaissants à Equinix Metal (anciennement Packet.net) pour leur soutien de longue date, qui a été essentiel à l’écosystème d’Alpine Linux. Cependant, avec l’abandon par Equinix de son service d’hébergement bare metal, ce soutien critique prendra bientôt fin. Leurs contributions ont été inestimables, et nous les remercions d’avoir aidé Alpine Linux à rester fiable et efficace », indique le projet dans un billet.

De quoi cette distribution, axée sur la sécurité, a-t-elle besoin ? D’une bande passante de 800 To par mois, de deux serveurs (chacun avec 50 Go d’espace disque et 16 Go de RAM au minimum) agissant comme des runners d’intégration continue pour les architectures x86_64 et x86, ainsi que d’une « development box », un serveur dédié à l’environnement de développement pour les contributeurs et mainteneurs.

Alpine cherche un espace de colocation et des serveurs bare metal près des Pays-Bas. Si ce n’est vraiment pas possible, l’équipe peut envisager des machines virtuelles.

À Ars Technica, Carlo Landmeter, membre du conseil d’Alpine, a indiqué que la distribution « est devenue populaire sans que la plupart des utilisateurs le sachent ». Actuellement, la situation provoque l’arrivée de quelques dons. Plusieurs entreprises auraient tendu la main, mais il ne s’agirait encore que d’un « début », selon Landmeter.

• Alpine Linux : comment l’utiliser et y installer un serveur web

Nos confrères ont mis à jour leur article. Après la publication de la version d’origine, ils indiquent avoir été contactés par Jason Donenfeld, fondateur de WireGuard. Le célèbre client VPN se cherche lui aussi un nouvel hébergement… pour les mêmes raisons. Il est à la recherche de dons et d’offres d’hébergement.

Sept ans… ça va, on a encore de la marge

L’Agence de cybersécurité et de sécurité des infrastructures met en garde contre quatre failles déjà corrigées, mais encore activement exploitées. Deux remontent à 2018 et soulèvent l’éternelle question des mises à jour.

Outre-Atlantique, la Cybersecurity and Infrastructure Security Agency (CISA) vient d’ajouter quatre failles de sécurité à son catalogue Known Exploited Vulnerabilities (KEV). Il s’agit donc de failles pour lesquelles l’Agence de cybersécurité a des « preuves d’une exploitation active », avec les dangers que cela comporte.

Les voici, avec leur score CVSS (Système commun de notation des vulnérabilités) permettant de juger du niveau de gravité sur 10 :

• CVE-2024-45195  (CVSS de 9,8) : vulnérabilité dans Apache OFBiz
• CVE-2024-29059 (CVSS de 7.5) : vulnérabilité dans le framework Microsoft .NET
• CVE-2018-9276 (CVSS de 7.2) : vulnérabilité dans Paessler PRTG Network Monitor
• CVE-2018-19410  (CVSS de 9,8) : vulnérabilité dans Paessler PRTG Network Monitor

Deux failles de… 2018

Si vous avez l’habitude des numérotations CVE (Common Vulnerabilities and Exposures), vous avez certainement compris que les deux premières failles datent de l’année dernière (septembre et mars respectivement), tandis que les deux autres ont déjà près de sept ans.

Malgré leur grand âge, « ces vulnérabilités sont des vecteurs d’attaque fréquents pour les pirates et posent des risques importants de cybersécurité », rappelle la CISA. L’Agence laisse jusqu’au 25 février aux entités de la Federal Civilian Executive Branch (FCEB) pour se mettre à jour. Mais c’est aussi un rappel important pour tout un chacun. Le CISA ne donne par contre aucun détail sur la manière dont elles sont exploitées.

Depuis le début de cette année, 19 failles ont été ajoutées au catalogue Known Exploited Vulnerabilities. La liste complète compte plus de 1 200 failles dont l’exploitation était donc avérée au moment de leur ajout au KEV. La première remonte à 2021.

Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables

Y voir arriver des failles plus de six ans après leur découverte et surtout six ans après la publication des mises à jour est inquiétant. Cela prouve, s’il en était besoin, que des règles aussi élémentaires qu’appliquer des mises à jour ne sont pas toujours respectées.

Les exemples sont cependant nombreux, même avec des failles ayant fait les gros titres. C’était le cas de Heartbleed par exemple, avec la bagatelle de 200 000 serveurs et appareils toujours vulnérables trois ans après l’électrochoc.

• OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment

Il y a quelques mois, lors d’un audit de sécurité, l’entreprise Securitum expliquait avoir trouvé deux serveurs publiquement accessibles encore vulnérables à cette brèche béante de sécurité. Elle permet pour rappel d’accéder à des données stockées dans la mémoire du serveur. Dix ans plus tard, des serveurs sont donc toujours vulnérables.

On parle là d’une faille qui a fait les gros titres pendant des jours, alors on imagine malheureusement bien ce qui peut arriver avec d’autres vulnérabilités, ayant moins de visibilité.

• Cybersécurité et open source : l’électrochoc Heartbleed « n’a pas changé grand chose »

Microsoft a communiqué sur les réseaux sociaux et mis à jour son site dédié. La Build 2025 (conférence pour les développeurs) se tiendra donc du 19 au 22 mai 2025 à Seattle.

L’édition 2024 était, sans aucune surprise, marquée par l’intelligence artificielle à toutes les sauces, notamment avec Copilot. Cette année devrait être dans la même lignée.

Pour le moment, Microsoft n’a donné aucun détails supplémentaires.

• Build 2024 : Microsoft encourage la création de copilotes personnalisés

Depuis quelques jours, l’Ademe est au centre d’une tempête. Elle travaillerait sur une tarification progressive des forfaits téléphonique en fonction de la quantité de data fournie. Elle aurait même envisagé de légiférer. C’est pourtant faux.

Même si la source n’est pas toujours indiquée, tout est parti d’un article du Parisien sur le « grand bluff des opérateurs sur les forfaits mobiles ». Le sujet portait sur la quantité toujours plus importante de data fournie dans les forfaits et la guerre des prix entre les opérateurs. L’article rappelait pourtant les derniers chiffres de l’Arcep : la consommation moyenne de data en France est de 17 Go par mois. À quoi pouvaient donc bien servir les forfaits de plusieurs centaines de gigaoctets ?

• Abonnements fibre et 5G : l’Arcep dresse le portrait du très haut débit en France

Les usages varient bien sûr, mais le problème était ailleurs. « L’Ademe va donc plancher sur la tarification progressive des forfaits pour, in fine, envisager un projet de loi », indiquait le Parisien. Une phrase légèrement modifiée par la suite, pour devenir : « L’Ademe va donc plancher sur la tarification progressive et, si les résultats sont pertinents, un projet de loi pourrait être envisagé ».

La polémique a enflé rapidement. Le 2 février, même Xavier Niel a réagi sur X. Citant un tweet de Frandroid qui assurait qu’un « projet de loi se prépare », il indiquait simplement « Non ».

« Nous rassemblons des données »

Nous avons contacté Roland Marion, directeur de l’économie circulaire à l’Ademe. Interrogé sur l’idée d’un projet de loi, il se montre très clair : « Non, c’est faux. L’Ademe n’a pas ce pouvoir. Nous rassemblons des données, nous éditons des rapports, parfois avec l’Arcep. Mais nous ne pouvons pas proposer de lois. Nous mettons simplement à disposition les données recueillies. Les politiques peuvent venir y piocher ».

• Les terminaux représenteraient 50 % de l’empreinte carbone du numérique

L’Agence de l’environnement et de la maîtrise de l’énergie ne travaille-t-elle pas sur une tarification progressive des forfaits ? « Oui et non », nous répond Roland Marion. « Nous réfléchissons à ce sujet comme nous le faisons sur d’autres. À une époque par exemple, nous réfléchissions à une tarification progressive de l’électricité en fonction des usages. La discussion a permis de voir que ce n’était pas possible ».

Et dans le cas des forfaits mobiles ? « Nous y réfléchissons. C’est une discussion ouverte, un sujet d’étude. Mais nous savons déjà que les usages peuvent varier largement. Quelqu’un qui a un forfait 150 Go ne signifie pas qu’il va forcément les utiliser. Peut-être que cette personne a un gros forfait parce que c’est son seul moyen d’accéder à internet ».

Des propos en écho à ceux de Sylvain Waserman, PDG de l’Ademe et ancien vice-président de l’Assemblée nationale pendant presque cinq ans (il connait donc bien le parcours législatif). Il s’est exprimé sur LinkedIn, rappelant les trois missions de l’Agence : « L’Ademe mène des études et recherches, publie des avis techniques, propose des guides de sensibilisation à destination du grand public avec des trucs et astuces ». Plus loin, il conclut, agacé : « À bon entendeur ! Décidément, il ne nous sera rien épargné, mais on le savait déjà… ».

Des sujets plus pressants

Comme nous l’a indiqué Roland Marion, il existe des marges de manœuvre beaucoup plus importantes sur le numérique pour réduire l’empreinte carbone. « La data cellulaire, effectivement, moins on en consomme, mieux c’est. Notre recommandation, que nous répétons depuis des années, est de basculer sur une connexion Wi-Fi dès que possible. Son impact sur l’environnement est dix fois moins important qu’une connexion cellulaire », explique le responsable.

« Mais notre action sur le numérique se concentre surtout sur les recommandations liées à la fabrication des terminaux et les datacenters », ajoute-t-il. « On parle beaucoup d’IA aussi maintenant. On tente d’expliquer que son utilisation a un impact environnemental conséquent et qu’il vaut mieux, quand c’est possible, l’éviter ».

Il fallait bien que ça arrive un jour ! Le puritanisme américain dénudé par l’administratif européen, un strip tease qui se déguste lentement. Petite bêtise en attendant la rubrique de Flock du samedi !

Mozilla vient de publier Firefox 135, la dernière révision de son navigateur vedette. Comme prévu, cette nouvelle mouture signe la disparition du bouton lié au signal Do Not Track DNT).

« Si vous souhaitez demander aux sites Web de respecter votre vie privée, vous pouvez utiliser le paramètre « Demander aux sites Web de ne pas vendre ni partager mes données ». Cette option s’appuie sur le contrôle global de confidentialité (GPC) », précise à ce sujet la fondation Mozilla.

Comme le réglage lié à DNT dans les versions précédentes, l’option Global Privacy Control se trouve dans les paramètres de vie privée de Firefox. Apparue dans Firefox 120, elle fonctionne comme un mécanisme « Ne pas vendre » et se veut juridiquement contraignante pour les sites, alors que le DNT était simplement volontaire.

Firefox 135 est l’occasion pour Mozilla de déployer plus largement la version rafraichie de la page d’accueil qui s’affiche à l’ouverture d’un nouvel onglet. Proposée aux États-Unis et au Canada à partir de Firefox 134, elle est désormais censée s’afficher dans toutes les régions où Firefox propose la suggestion d’articles, dont la France.

La fonctionnalité fait cependant l’objet d’un déploiement progressif, ce qui peut expliquer que la nouvelle mise en page ne soit pas immédiatement visible chez tous les internautes. Elle introduit notamment un logo repositionné à gauche, pour mieux valoriser le champ de recherche, et des suggestions d’articles sur quatre colonnes.

L’option « Copier le lien sans pistage », introduite elle aussi avec Firefox 120, se voit renommée « Copier le lien nettoyé » pour plus de clarté. Son fonctionnement (supprimer les paramètres de suivi publicitaire ou d’attribution du clic de l’URL du lien) est cependant inchangé.

Comme prévu, Firefox passe au format XZ pour les binaires Linux, préféré au BZ2 en raison de meilleures performances.

Firefox 135 inaugure aussi la prise en charge du chinois simplifié, du japonais et du coréen pour les langues source de son module de traduction, tandis qu’il est désormais possible de traduire le contenu d’une page vers le russe. Mozilla accélère par ailleurs le déploiement de la fonctionnalité de remplissage automatique des informations de carte de paiement, ainsi que celui de son interface dédiée à l’utilisation d’un chatbot IA.

Introduite avec Firefox 133, cette dernière permet pour mémoire de se connecter à un chatbot (ChatGPT, Claude, Gemini, Le Chat, etc.) et de le garder sous les yeux grâce à l’intégration dans un panneau latéral du navigateur.

Sur le plan de la sécurité, Firefox 135 introduit de nouvelles protections contre les abus liés à l’API dédiée à l’historique de navigation, et corrige douze failles, d’une gravité qui s’échelonne de « modérée » à « élevée ».

Le téléchargement est comme toujours proposé depuis le site de Mozilla, tandis que la mise à jour peut s’obtenir sans attendre le déploiement automatique à partir de l’onglet À propos des paramètres.

Sarah Connor ?

En plein renforcement de ses liens avec l’administration états-unienne, OpenAI a annoncé sa participation à un « programme de sécurité nucléaire ».

Open AI a conclu un accord avec les Laboratoires Nationaux du département de l’Énergie des États-Unis pour utiliser ses modèles d’intelligence artificielle (IA) dans un « programme détaillé de sécurité nucléaire ». En pratique, rapporte CNBC, 15 000 scientifiques travaillant au sein de l’une de ces institutions auront accès aux modèles o1 du constructeur.

Directeur d’Open AI, Sam Altman a expliqué lors d’un événement organisé à Washington et intitulé « Construire pour gagner : économie de l’IA », que le partenariat permettrait de se « concentrer sur la réduction des risques d’une guerre nucléaire et sur la sécurisation de matériel et d’armes nucléaires partout sur la planète ».

Domaine sensible pour modèle halluciné

Fuites de données sensibles, production de fausses informations assenées dans des formulations pleines d’aplomb, voire textes sans queues ni têtes… Le projet soulève de nombreuses questions dans la mesure où les modèles d’OpenAI ont démontré de nombreuses failles au fil des mois.

• ChatGPT et le mystère de « celui dont il ne faut pas prononcer le nom »

Des ordinateurs dédiés à la défense nationale, connectés à ce que certains présentent comme de nouvelles formes d’intelligence… Comme l’ironise Futurism, cela ressemble fort au scénario de Terminator. Mais au-delà des cauchemars de science-fiction, le partenariat tout juste annoncé s’inscrit dans un travail de long terme d’OpenAI pour renforcer ses liens avec le gouvernement des États-Unis.

Le 28 janvier, OpenAI rendait ainsi publique la plateforme ChatGPT Gov, un service mettant l’accent sur la cybersécurité pour faciliter l’accès des agences gouvernementales à ses produits. Une semaine plus tôt, la société faisait aussi partie des leaders du projet à 500 milliards de dollars Stargate, annoncé en grande pompe par le nouveau Président du pays… et suscitant rapidement l’ire du patron de xAI Elon Musk.

Nouvelle levée de fonds

Plus largement, l’entreprise tisse des liens avec des gouvernements répartis partout sur la planète, de l’armée israélienne à l’État japonais. Softbank et OpenAI organisaient en effet ce 3 février un événement réunissant plus de 500 sociétés japonaises représentantes de toutes sortes d’industrie. Le but, selon Nikkei : créer ensemble l’infrastructure d’IA du pays.

Softbank est très proche des intérêts d’OpenAI : il en est aussi financeur. Le 30 janvier, le Wall Street Journal rapportait le projet d’un nouveau tour de financement de 30 milliards de dollars mené par la holding japonaise. L’opération porterait la valorisation d’OpenAI, qui n’a pas prévu d’être rentable avant 2029, à 300 milliards de dollars.

Hello World !

Des chercheurs de Google ont découvert à l’automne dernier une faille dans les processeurs EPYC d’AMD, des générations Zen 1 à 4 (séries 7001 à 9004). Elle a été communiquée à AMD le 25 septembre, provoquant l’émission de correctifs le 17 décembre. Les détails de la faille, assez limités, n’ont été publiés qu’hier avec les chercheurs, suite à un accord avec AMD.

Pour exploiter la faille, il faut disposer des privilèges d’administrateur local sur un serveur, donc au ring 0 depuis l’extérieur d’une machine virtuelle. Il est alors possible de charger des correctifs malveillants du microcode dans le ou les processeurs concernés.

Droit de regard sur les machines virtuelles

« Cette vulnérabilité pourrait être utilisée par un adversaire pour compromettre des charges de travail informatiques confidentielles protégées par la dernière version d’AMD Secure Encrypted Virtualization, SEV-SNP ou pour compromettre la Dynamic Root of Trust Measurement », indiquent les chercheurs.

Bien que l’exploitation requière des privilèges locaux importants, la sévérité de la faille est considérée comme haute (score CVSS 3.1 de 7,2 sur 10). Son exploitation peut, en effet, conduire à l’installation de logiciels malveillants obtenant des capacités de visibilité dans les machines virtuelles, dont une partie de la sécurité repose sur le tandem matériel SEV-SNP au sein des processeurs.

Mauvaise vérification

SEV, pour Secure Encrypted Virtualization, est une technologie cruciale chez AMD. Elle génère une clé unique de chiffrement pour chaque machine virtuelle. Elle permet d’isoler les machines et l’hyperviseur les uns des autres.

SNP, pour Secure Nested Paging (pagination imbriquée sécurisée), ajoute des fonctions pour contrôler l’intégrité de la mémoire, renforçant encore l’isolation des machines virtuelles et devant les protéger d’attaques basées sur l’hyperviseur. Les deux technologies renforcent également les protections contre les attaques par canal latéral.

La vulnérabilité signalée par les chercheurs permet de jeter à bas ces défenses. Estampillée CVE-2024-56161, la faille réside dans l’utilisation d’une fonction de hachage non sécurisée pour valider les signatures dans les mises à jour du microcode. De là, un pirate peut faire passer des vessies pour des lanternes. Les machines virtuelles chiffrées perdent alors leur intégrité selon le code envoyé dans les processeurs.

La mise à jour déployée depuis décembre

Dans son bulletin, AMD indique qu’une mesure d’atténuation a été fournie pour la faille. Elle passe par une mise à jour du microcode et demande donc un arrêt du serveur, même si certains processeurs sont capables d’un chargement à chaud.

Il faut également déployer une nouvelle version du firmware SEV sur certaines plateformes, afin qu’elles puissent prendre en compte l’attestation SEV-SNP. Cette dernière permet à une instance de prouver son identité et son état. Une mise à jour du BIOS et un redémarrage du système sont nécessaires pour permettre l’attestation de l’atténuation. « Un invité confidentiel peut vérifier que l’atténuation a été activée sur la plate-forme cible grâce au rapport d’attestation SEV-SNP », précise AMD.

Les chercheurs (Josh Eads, Kristoffer Janke, Eduardo Nava, Tavis Ormandy et Matteo Rizzo) ont été remerciés par AMD. Ils notent cependant qu’ils ont fait une exception à la règle habituelle de révélation des failles de sécurité chez Google, notamment la période de 90 jours. Il s’est écoulé en effet 131 jours entre la publication des premières informations et la communication à AMD, et 45 jours depuis la diffusion des correctifs.

Pour les mêmes raisons, et compte tenu « de l’importance de la chaine d’approvisionnement et de la coordination nécessaire pour résoudre ce problème », aucun détail supplémentaire ne sera donné avant le 5 mars.

Précisons enfin que ce n’est pas la première fois qu’une faille de sécurité touche SEV ou SNP chez AMD. En 2023, une attaque baptisée CacheWarp avait nécessité également une mise à jour du microcode. Exploitée, elle pouvait permettre l’infiltration d’un code malveillant dans les machines virtuelles chiffrées.

Ni Google ni AMD ne parlent du cas des processeurs Epyc de 5ᵉ génération, avec l’architecture Zen 5.

• AMD fait le plein de nouveautés : EPYC 9005, Ryzen AI « PRO » et Instinct MI325X castré

Toi, tu creuses

OpenAI a annoncé une nouvelle fonctionnalité dans ChatGPT dont le nom est deep research. Celle-ci doit permettre à ses utilisateurs d’obtenir une synthèse de centaines de sources en ligne dans un rapport compréhensible. L’entreprise signale elle-même que son système peut « parfois halluciner des faits dans les réponses ou faire des déductions erronées ».

Toujours plus profond. En tout cas, le nom de la nouvelle fonctionnalité insérée dans ChatGPT par OpenAI, Deep research, semble être une réaction à l’arrivée tonitruante de DeepSeek sur le marché grand public de l’IA générative.

• DeepSeek : pourquoi une telle déflagration sur le marché de l’IA ?
• DeepSeek : la recherche chinoise paradoxalement boostée par les restrictions américaines
• DeepSeek : fuite de données massive et questionnements légaux

L’entreprise de Sam Altman a donc annoncé la disponibilité de Deep research pour les utilisateurs Pro de ChatGPT. Ceux qui ont un compte Plus ou Team devraient y avoir accès prochainement.

Selon l’entreprise, cette fonctionnalité permet de « trouver, analyser et synthétiser des centaines de sources en ligne pour créer un rapport complet au niveau d’un analyste de recherche ». OpenAI explique qu’elle utilise une version de son modèle o3 qui devrait sortir bientôt et qui est « optimisé pour la navigation sur le web et l’analyse de données, il s’appuie sur le raisonnement pour rechercher, interpréter et analyser des quantités massives de textes, d’images et de PDF sur Internet, en pivotant si nécessaire en réaction aux informations qu’il rencontre ».

Une réponse après 5 à 30 minutes

Pour l’utiliser, les utilisateurs Pro ont juste à appuyer sur le bouton « Deep research »… et attendre de 5 à 30 minutes avant d’avoir leur réponse. Une notification leur est envoyée lorsque le résultat est disponible.

Pour les experts même si le système hallucine parfois, selon OpenAI

OpenAI présente son outil comme étant créé pour « les personnes qui effectuent un travail intensif dans des domaines tels que la finance, la science, la politique et l’ingénierie et qui ont besoin de recherches approfondies, précises et fiables ».

Pourtant, l’entreprise explique dans la partie « Limitations » de son billet que son nouvel outil « peut parfois halluciner des faits dans les réponses ou faire des déductions incorrectes », même si elle affirme (sans publier aucun chiffre) que Deep research hallucinerait « à un taux nettement inférieur à celui des modèles existants de ChatGPT ».

OpenAI explique aussi que Deep research peut avoir « des difficultés à distinguer les informations faisant autorité des rumeurs et montre actuellement des faiblesses dans l’étalonnage de la confiance, ne parvenant souvent pas à exprimer l’incertitude de manière précise ». Bref, il reste à espérer que les experts en finance, en recherche en politique ou en ingénierie qui l’utilisent feront une vérification du rapport que la fonctionnalité leur renvoie.

De manière moins dangereuse, OpenAI suggère aussi que Deep research « peut également s’avérer utile pour les acheteurs avisés qui recherchent des recommandations hyper personnalisées pour des achats qui nécessitent généralement des recherches approfondies, comme les voitures, les appareils électroménagers et les meubles ». Sam Altman a publié un message en ce sens, il avait étonnement besoin d’acheter une vieille voiture au Japon quand la fonctionnalité est sortie.

100 requêtes par mois maximum

L’entreprise limite actuellement l’utilisation de Deep research a 100 requêtes par mois pour les utilisateurs Pro. OpenAI explique qu’elle est « très gourmande en calcul » sans s’appesantir plus sur le sujet.

D’autre part, OpenAI explique avoir rendu disponible la version « mini » de son modèle o3. Cette version est la première que peuvent utiliser ses clients dans ChatGPT et via son API. L’entreprise avait annoncé le modèle o3 en décembre dernier sans que personne puisse s’en servir. Elle affirme que son modèle est plus puissant et plus rapide que les précédents « tout en conservant le faible coût et la latence réduite d’o1-mini ».

La Commission passe en mode « détective holistique »

Les plateformes d’e-commerce Temu et Shein sont plus que jamais dans le collimateur de la Commission européenne et d’associations de consommateurs. Temu est déjà sous le coup d’une procédure formelle, Shein devrait suivre demain. La Commission prépare de son côté un projet avec une approche holistique sur les grandes plateformes de commerce en ligne.

Depuis plusieurs mois, différentes instances européennes s’intéressent de près à la plateforme d’ecommerce Temu. Le BEUC (bureau européen des unions de consommateurs) tirait la sonnette d’alarme en mai dernier, affirmant que Temu « ne protège pas les consommateurs en enfreignant le Digital Services Act ».

Temu sous pression, la Commission européenne enquête

Fin octobre, la Commission européenne ouvrait une « procédure formelle à l’encontre de Temu au titre de la législation sur les services numériques » (DSA). Elle enquête sur des domaines « liés à la vente de produits illicites, à la conception potentiellement addictive du service, aux systèmes utilisés pour recommander des achats aux utilisateurs, ainsi qu’à l’accès aux données pour les chercheurs ».

• Produits illégaux, addiction : l’Europe ouvre une procédure formelle contre Temu

Le BEUC est revenu à la charge cette semaine, dénonçant « des trous béants dans la sécurité des produits vendus sur Temu ». En cause, des « petites pièces de jouets pour enfants et de produits pour bébés trop facilement détachables pouvant provoquer une suffocation », des listes d’ingrédients incorrects dans les cosmétiques, des « radiateurs électriques extrêmement dangereux », etc.

« Un point d’entrée pour des produits illégaux »

Pour Agustín Reyna (directeur général du BEUC), Temu est « un point d’entrée pour des produits illégaux qui n’ont pas leur place sur nos marchés ». Le Bureau européen des unions de consommateurs demande donc à la Commission de terminer son enquête au plus vite et « de prendre des mesures dissuasives et efficaces contre Temu dans l’intérêt des consommateurs et des entreprises » qui respectent les règles de l’Union.

Le BEUC demande aussi la mise en place d’un « plan d’action ambitieux et vaste pour l’e-commerce visant à résoudre les problèmes auxquels les consommateurs sont confrontés sur les marketplaces, y compris des règles claires en matière de responsabilité ». La Commission devrait le présenter demain, nous allons y revenir.

Une enquête devrait aussi s’ouvrir contre Shein

Une autre plateforme est dans le collimateur de la Commission européenne : Shein. Selon l’AFP, « l’UE s’apprête à ouvrir une enquête contre la plateforme chinoise ». L’annonce devrait être faite demain selon deux sources de nos confrères.

« Shein est considéré comme un emblème des dérives sociales et environnementales de la mode à petits prix. Mais l’entreprise a promis de collaborer avec toutes les parties prenantes pour répondre aux préoccupations exprimées », rappelle l’AFP.

En juillet 2023, Bruno Lemaire, alors ministre de l’Économie, des Finances et de la Souveraineté industrielle et du Numérique, saisisait la DGCCRF sur les risques de la fast fashion, avec Shein dans le viseur.

Shein (comme Temu) est pour rappel une très grande plateforme au titre du règlement sur les services numériques (DSA). Elle compte « plus de 45 millions d’utilisateurs réguliers par mois dans l’Union européenne », selon ses propres chiffres transmis à la Commission en avril 2024.

La Commission européenne passerait en mode « holistique »

Selon Euractiv, la Commission européenne devrait « adopter une approche « holistique » à l’égard de Temu et Shein ». Le projet, consulté par nos confrères et qui devrait être publié demain, prévoirait des « modifications structurelles des règles douanières de l’UE, l’application de la législation européenne existante en matière de protection des consommateurs et l’adoption de règles environnementales ».

Sur les questions douanières, la Commission souhaiterait « fournir des ressources supplémentaires aux autorités douanières nationales afin qu’elles puissent examiner les petits envois ». L’intelligence artificielle devrait aussi être utilisée afin de vérifier les envois de marchandises, avec la mise en place d’une « nouvelle autorité de l’UE pour traiter les données douanières dans le cadre d’un système informatique unique », toujours selon le projet consulté par Euractiv.

La montée en puissance de Temu et Shein en Europe

Pour se rendre compte de la montée en puissance de Temu et Shein, on peut se tourner vers… La Poste. Plus précisément, l’audition de Philippe Wahl (PDG de la Poste depuis 2013) par la Commission des affaires économiques.

Il y parlait de la « montée des plateformes chinoises Temu et Shein, qui représentent 22 % de nos colis en Europe. C’était moins de 5 % il y a cinq ans, 1 % de plus qu’Amazon qui est […] le premier client mais aussi le premier concurrent de la Poste ». Amazon, Shein et Temu représentent ainsi 43 % des colis acheminés par la Poste en Europe.

• Les « liaisons dangereuses » de la Poste : Amazon, Temu et Shein

Dans un communiqué, la CNIL explique que sa formation restreinte a prononcé une amende de 40 000 euros à une société intervenant dans le secteur immobilier.

Elle « avait installé sur les ordinateurs de certains de ses salariés un logiciel de suivi de leur activité dans le cadre du télétravail » via le logiciel Time Doctor. Elle « avait également recours à un système de vidéosurveillance dans ses locaux [aussi bien espace de travail que de pause, ndlr] pour la prévention des atteintes aux biens (vols) ».

La CNIL a procédé à des contrôles suite à des plaintes. Le résultat est accablant : « la société filmait en permanence ses salariés, en captant l’image et le son, […] mesurait leur temps de travail et évaluait leur performance de manière très précise par le biais du logiciel installé sur leurs ordinateurs ».

Concernant la mesure du temps de travail, « le logiciel détectait automatiquement, tout au long de la journée, si le salarié n’effectuait aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes. Ces temps « d’inactivité » comptabilisés, à défaut d’être justifiés par les salariés ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire par la société ».

La Commission rappelle que ne pas utiliser son ordinateur peut aussi correspondre à du temps de travail effectif, avec des réunions ou appels téléphoniques par exemple. « Un tel dispositif ne permet pas un décompte fiable des heures de travail, contrairement à sa finalité annoncée. En outre, l’atteinte portée par le dispositif, ainsi paramétré, aux droits des salariés était, en tout état de cause, disproportionnée. Par conséquent, ces traitements ne reposent sur aucune base légale ».

La condamnation a été rendue publique, notamment afin de faire passer le message et « d’informer toute personne soumise à de tels dispositifs ». Compte tenu de sa petite taille et du retrait immédiat du logiciel lors du contrôle, le nom de la société n’a pas été dévoilé. Quant à l’amende, elle est jugée par la CNIL « dissuasive mais proportionnée ».

La délibération avec les explications et justifications de l’entreprise se trouve par là.

Parce que pourquoi pas

Opera lance à nouveau un navigateur. Nommé Air, il vient occuper un créneau très particulier, que l’éditeur commençait à explorer avec son navigateur classique : le bien-être. Opera Air se targue d’être ainsi le premier butineur orienté pleine conscience et se dote d’outils dans cette optique.

Si les anciens d’Opera ont créé Vivaldi quand l’ancien navigateur a été totalement remanié pour passer sur une base Chromium, l’éditeur ne peut pas être accusé de se tourner les pouces. Le navigateur classique s’est à nouveau doté d’un nombre croissant d’outils, Opera ayant très vite investi dans le champ de l’IA avec sa propre Aria. Parallèlement, la société a lancé Opera GX, dédié aux joueurs, avec de nombreux réglages pour régler finement les ressources consommées.

Opera Air est le petit nouveau. Il s’agit, dans les grandes lignes, d’une version modifiée d’Opera (classique) pour lui faire adopter une interface présentée comme plus reposante et des outils orientés pleine conscience.

Des Boosts et des sons

Les deux fonctions phares d’Opera Air sont opposées. La première – et la plus visible – est le panneau des Boosts. « Élevez votre état mental avec des battements binauraux. Stimulez différentes ondes cérébrales grâce à la musique et au son », s’enthousiasme ainsi Opera. C’est quoi ce bazar ?

Un Boost est un ensemble de trois sons : une fréquence plus ou moins grave, un son et une musique. La fréquence sert de support et est à rapprocher des (très) nombreuses vidéos que l’on trouve sur YouTube pour « doper la concentration », faciliter l’endormissement, etc. La fréquence diffère selon l’effet souhaité. Le son change également selon le Boost choisi. Il peut s’agir de gouttes de pluie, de vent, de vagues, du crépitement du feu, dans la majorité des sons « naturels ». La musique, enfin, fournit un accompagnement sans accrocher l’attention. Sans parole, elle est à rapprocher du type de piste que nous évoquions dans notre article sur les faux artistes dans Spotify.

Opera Air propose une vingtaine de Boosts. Ils portent des noms évocateurs tels que « Stimulation de la Créativité », « Calme concentré », « Soulagement du stress », « Pensée analytique » ou encore « Concentration maximale ». Chacun joue sur les trois paramètres évoqués plus haut. Quand un Boost est lancé, il dure 30 minutes. On peut le contrôler depuis l’icône de fleur dans la barre latérale. Notez que l’on peut faire varier le volume de chaque élément selon les préférences. Même chose pour le temps, que l’on peut faire baisser à 15 min ou au contraire l’étendre en boucle infinie.

L’idée est intéressante et plaira sans doute à une partie des internautes. L’efficacité de ces ambiances – surtout des sons binauraux – dépendra de chaque personne, car elle n’a pas été vraiment prouvée scientifiquement, comme l’ont rappelé diverses sources ces dernières années.

L’ensemble reste assez sympathique pour être utilisé dans la navigation quotidienne, selon les goûts. À noter qu’Opera Air recommande fortement d’utiliser un casque pour l’écoute des Boosts. Ces derniers fonctionnent même quand le navigateur est en arrière-plan.

Invitations à la pause

L’autre grande fonction d’Opera Air, ce sont les invitations à faire une pause. Le navigateur recommande en effet de faire une halte toutes les 60 à 90 min. Par défaut, une notification va apparaître toutes les 60 min pour vous y encourager. Ce temps peut être modifié pour un intervalle compris entre 45 et 180 min.

Quand la notification apparait ou que l’on veut faire soi-même une pause en cliquant sur les trois petits traits parallèles dans la barre latérale (sous la fleur des Boosts), un panneau s’ouvre. On peut choisir entre quatre activités, chacune avec son descriptif. : respiration, exercice du cou, méditation et examen complet du corps.

Chaque activité dispose de quatre variantes selon l’effet que l’on veut obtenir ou le temps dont on dispose. Elle est également accompagnée d’une voix (choix entre Emma et Alex) pour guider l’internaute, mais disponible uniquement en anglais (des sous-titres sont automatiquement affichés). L’activité s’interrompt automatiquement dès que le navigateur n’est plus au premier plan, invitant alors à reprendre lorsque l’on est de retour. Le temps de l’activité va de 3 à 15 min selon ce que l’on a choisi.

Là encore, sans être révolutionnaire, l’idée est sympathique. Elle devrait plaire aux personnes ne sachant pas s’arrêter, le navigateur intervenant pour rappeler l’importance des pauses. Si la fonction invite volontiers à la pleine conscience, elle parlera moins aux internautes qui préfèrent se lever régulièrement pour faire quelques exercices et se dégourdir les jambes. Mais rien n’empêche d’alterner.

Contrairement aux Boosts, Opera Air ne fait pas de recommandation particulière sur le port d’un casque.

Et le reste ?

Il s’agit des deux plus grandes fonctions d’Opera Air. Si elles ne vous tentent pas, il vaut mieux passer votre chemin.

À moins que l’interface, rendue assez minimaliste, vous interpelle. Les thèmes fournis s’orientent vers le verre givré, teinté selon l’image de fond choisie. On reste cependant sur les grands classiques d’Opera en matière de disposition des éléments, avec l’éternelle barre latérale à gauche pour épingler des fonctions (messageries, réseaux sociaux, téléchargements, historique, favoris, extensions…).

Alors oui, Opera Air affiche également chaque jour une nouvelle citation orientée vers le bien-être et la relaxation (« On ne peut pas arrêter les vagues, mais on peut apprendre à surfer » aujourd’hui), mais ce n’est pas ça qui devrait convaincre si les Boosts et les pauses ne vous attirent pas. Autant utiliser la version classique d’Opera, qui possède déjà toutes les autres fonctions. À noter d’ailleurs que dans le canal Dev, Opera teste l’intégration de Discord, Slack et Bluesky dans la barre latérale, de même qu’un nouveau lecteur de musique et plusieurs nouveaux thèmes dynamiques.

Le navigateur vient tout juste d’être rendu disponible. Bien que la page mentionne « Accès anticipé », il s’agit d’une version stable, nous a assuré Opera. Sur Mac, nous avons tout de même rencontré des ralentissements importants au premier lancement, avec un taux d’occupation très important pendant la configuration initiale. Une fois le navigateur redémarré, tout allait bien. Sur Windows, pas de problème majeur rencontré.

Précisons enfin que si vous installez Opera Air, pensez à cliquer sur « Avancé ». Opera a la fâcheuse habitude d’activer par défaut différentes options de télémétrie et de traitements liés à personnalisation des publicités.

Rule 34

AltStore, éditeur d’un store applicatif non officiel dont l’accès est possible sur iPhone en Europe en raison du DMA, s’est félicité lundi du lancement de Hot Tub, une application présentée comme « la première app porno au monde approuvée par Apple ». La marque américaine n’a que fort peu goûté le raccourci, qu’elle estime mensonger.

« L’iPhone fête ses 18 ans cette année, ce qui signifie qu’il est enfin assez vieux pour accueillir des applications plus ~matures~… », se réjouit le compte Mastodon dédié à AltStore, avant d’annoncer la sortie de « Hot Tub par c1d3r, la première application pornographique au monde approuvée par Apple ».

Une app porno sur iPhone… uniquement en Europe

L’annonce a de quoi surprendre. Depuis 2008 et l’ouverture de l’iPhone aux applications tierces (via la création de l’App Store), Apple a toujours prôné et appliqué un refus strict des logiciels ou contenus à caractère pornographique. Steve Jobs écrivait même en 2010, dans un échange de mails qui avait défrayé la chronique, que l’iPad, lancé cette année-là, devait aider à se « libérer du porno ».

En Europe, les velléités de contrôle de l’entreprise américaine sur l’environnement logiciel de l’iPhone se heurtent toutefois au Digital Markets Act (DMA). Cette réglementation européenne, entrée en vigueur le 6 mars 2024, ambitionne pour mémoire de lutter contre les pratiques anticoncurrentielles des géants du numérique.

• DSA et DMA : on fait le point sur les services concernés et les changements

Sur le terrain précis du mobile, le DMA impose notamment à Apple d’autoriser la distribution de magasins applicatifs alternatifs à son App Store. Or ces magasins alternatifs sont libres d’avoir une approche différente en matière d’accès aux contenus ou applications pornographiques.

Apple ne disparait cependant pas totalement de l’équation. La distribution d’une application sur un store non officiel suppose en effet de passer par un processus de validation orchestré par Apple. Cette étape, dite de « notarisation », vise notamment à certifier que le logiciel ne présente aucun risque de sécurité majeur. Le processus et les guidelines associées, bien documentés, sont toutefois nettement moins contraignants que la validation d’une application destinée à l’App Store.

C’est vraisemblablement parce que Hot Tub a passé avec succès ce processus de notarisation qu’AltStore se permet de qualifier l’application de « approuvée par Apple ».

« Pour tout le reste, il y a toujours l’Internet ouvert »

L’entreprise américaine estime de son côté le raccourci mensonger, et maintient sa position historique sur l’accès au porno via ses stores applicatifs. « Nous sommes profondément préoccupés par les risques de sécurité que les applications pornographiques hardcore de ce type créent pour les utilisateurs de l’UE, en particulier les enfants. Cette application et d’autres similaires vont saper la confiance des consommateurs dans un écosystème que nous avons travaillé depuis plus de dix ans pour en faire le meilleur au monde », écrit Apple dans un communiqué envoyé à quelques médias américains.

La critique vis-à-vis de la politique européenne n’est pas dissimulée. Face à ces demandes, Apple se retranche historiquement derrière un principe qu’elle rappelle dès l’introduction de ses guidelines de validation pour l’App Store.

« Pour tout le reste, il y a toujours l’Internet ouvert. Si le modèle et les directives de l’App Store ou les marchés d’applications alternatifs et la notarisation pour les applications iOS et iPadOS ne conviennent pas à votre application ou à votre idée commerciale, ce n’est pas grave, nous proposons également Safari pour une expérience Web exceptionnelle ».

De son côté, l’éditeur de Hot Tub savoure le succès de son coup médiatique. Sur sa page d’accueil, il se targue ainsi de reprises par des médias de premier plan… oubliant de préciser qu’aucun de ces médias ne s’intéresse au contenu de son application.