Comment Discord, Facebook, Instagram, LinkedIn, Meta, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter) ou encore YouTube ont mis concrètement en place le droit d’accès aux données personnelles de leurs utilisateurs ? Le Laboratoire d’innovation numérique de la CNIL (LINC) s’est penché sur ces 10 réseaux sociaux pour voir quelles étaient les pratiques sur le terrain.

Le LINC a analysé les parcours d’accès aux copies des données personnelles de ces réseaux sociaux en s’appuyant sur une grille d’analyse de 27 critères. L’idée est de « recenser les bonnes pratiques mises en place » et d’attribuer un score pour chacun des réseaux.

Comme le rappelle la CNIL dans un communiqué de presse, le RGPD prévoit, pour les utilisateurs, un droit d’accès à leurs données personnelles qui s’applique aux réseaux sociaux et aux plateformes. «  Il permet de savoir si vos données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer », explique l’autorité.

Le laboratoire de l’autorité publie son analyse effectuée en février 2024. Il précise que « l’étude ne tient pas compte des changements qui ont pu être réalisés depuis ». Entre autres, ils ont mesuré que « le temps d’attente est en moyenne de 19 heures et 23 minutes avant réception de la copie des données pour 9 des réseaux sociaux étudiés ».

« Le LINC a échangé avec ces réseaux sociaux à la fin de l’année 2024, ce qui a permis de réajuster quelques points de la méthodologie », indique la CNIL, ce qui pourrait expliquer une publication presque un an après. Espérons que le laboratoire renouvellera régulièrement son étude en y ajoutant d’autres réseaux sociaux comme Bluesky et Mastodon, et en publiant rapidement les résultats pour obtenir un réel observatoire de ces parcours.

Reality Labs a connu au quatrième trimestre 2024 les meilleurs revenus jamais enregistrés depuis son lancement en 2020, mais également ses pertes les plus élevées, souligne Road to VR.

L’unité de Meta en charge des casques de réalité virtuelle Quest et des lunettes intelligentes Ray-Ban a, en effet, connu une perte d’exploitation de 4,97 milliards de dollars pour un chiffre d’affaires de 1,1 milliard de dollars, relève CNBC.

Au total, l’unité dédiée au métavers a enregistré une perte d’exploitation de près de 18 milliards l’an passé note Game Developper, mais également de plus de 60 milliards de dollars depuis 2020, a calculé CNBC. Reality Labs avait déjà totalisé 50 milliards de dollars de perte au second trimestre 2024.

• Reality Labs, la filiale metavers de Meta, a perdu 50 milliards de dollars depuis fin 2020

Les 69 milliards de dollars dépensés par Meta depuis 2020 n’ont rapporté à l’entreprise que 9,19 milliards de dollars, rapporte Road to VR, qui souligne dans un graphique des pertes allant croissant, pour des revenus relativement stables.

« Nous prévoyons que les pertes d’exploitation de Reality Labs augmenteront en 2025 comme elles l’ont fait en 2024 », a déclaré Susan Li, Chief Finance Officer de Meta, lors d’un appel aux investisseurs, relève UploadVR :

« Nous prévoyons que nos appareils Wearables seront le principal moteur de l’augmentation des pertes d’exploitation de Reality Labs en 2025, à la fois en termes de revenus de coûts et de dépenses d’exploitation. »

La semaine passée, Meta avait par ailleurs annoncé qu’elle investirait entre 60 et 65 milliards de dollars en 2025 pour développer son infrastructure informatique liée à l’intelligence artificielle.

Mark Zuckerberg, qui croit toujours que Reality Labs constitue un investissement à long terme, a en effet déclaré que l’IA était au cœur des efforts de l’entreprise en matière de métavers, y compris ses lunettes intelligentes Ray-Ban Meta développées avec le français EssilorLuxottica.

Meta prévoit par ailleurs de supprimer 5 % de ses effectifs pour se débarrasser des personnes que la société considère comme « peu performantes ».

Déployé de longue date sur Android, le téléchargement en un clic d’une saison complète de série a fait son apparition mercredi dans les applications iPhone et iPad de Netflix. Jusqu’ici, les clients iOS ne proposaient le téléchargement qu’à l’unité : il fallait donc manuellement rapatrier chaque épisode souhaité pour le consulter hors ligne.

Les épisodes sont ensuite accessibles dans la zone dédiée de l’espace Mon Netflix. Il faudra en revanche les effacer un par un pour libérer l’espace de stockage associé.

Utile par exemple pour les voyages ou les séjours en zone blanche, cette fonctionnalité aurait été « particulièrement demandée », affirme Netflix, qui présentait quelques jours plus tôt ses résultats financiers pour le dernier trimestre 2024.

La société américaine indiquait alors avoir conclu l’année 2024 sur un total de 302 millions d’abonnés dans le monde, avec un chiffre d’affaires annuel ayant pour la première fois dépassé le cap symbolique des 10 milliards de dollars, dont 1,87 milliard de dollars de bénéfice net.

Netflix a aussi, à cette occasion, annoncé de nouvelles augmentations de tarifs aux États-Unis, au Canada, au Portugal et en Argentine. Sur son marché domestique, Netflix fait ainsi passer l’abonnement standard de 15,49 dollars par mois à 17,99 dollars, tandis que la formule avec publicité passe de 6,99 dollars à 7,99 dollars par mois.

Des augmentations que la société justifie à la fois par l’ajout de nouvelles fonctionnalités, comme cette option de téléchargement en un clic, et par la richesse de son catalogue. « Quand vous vous apprêtez à demander une augmentation de prix, vous avez intérêt à vous assurer de disposer des produits et de l’engagement nécessaires pour la soutenir. Et j’ai l’impression que c’est précisément le cas que nous allons rencontrer en 2025 », a fait valoir Theodore A. Sarandos, co-CEO de Netflix, dans un échange avec les analystes financiers (PDF).

Et si on perd les clés ?

Mi décembre, le PDG du CNRS, Antoine Petit, a annoncé la création d’un nouveau label pour les laboratoires du CNRS : les « key labs ». Celui-ci doit concentrer les efforts de financements sur 25 % des unités du centre. Une motion de défiance signée par 10 000 personnels de recherche réclame la démission du PDG et les universités partenaires du CNRS demandent un moratoire.

L’ambiance est à la baisse des crédits dans le milieu de la recherche française. Le 20 janvier dernier, la droite sénatoriale a voté une nouvelle coupe dans les crédits de l’enseignement supérieur et de la recherche (ESR) de 630 millions d’euros voulue par le gouvernement. Le nouveau ministre de l’ESR et ancien président du CNES, Philippe Baptiste, a précisé que l’économie faisait « porter sur le CNRS une grande partie de cet effort, à hauteur de 100 millions d’euros, grâce à sa trésorerie », rapporte Public Sénat.

Les efforts budgétaires du CNRS concentrés sur 25 % des laboratoires

Parallèlement, Antoine Petit, le PDG du CNRS, s’est embarqué dans un bras de fer avec une bonne partie des employés du CNRS et des universités sur la répartition des financements dans les laboratoires du centre. En effet, il a annoncé en fin d’année 2024 sa décision de créer une nouvelle catégorie de laboratoires dans le centre : les « key labs ». La direction explique vouloir « faire porter un effort particulier sur un nombre plus restreint d’unités, celles qui peuvent légitimement prétendre à être qualifiées “de rang mondial” ». Et elle prévoit de concentrer les efforts de financements sur les 25 % de ses laboratoires qui obtiendraient ce label prévu pour être renouvelé (ou pas) tous les cinq ans.

Au départ très peu claire, lors de l’annonce de la création de ces « key labs », l’explication de ce nouveau label s’est faite au fur et à mesure des réactions négatives qu’elle a provoquées.

« Le CNRS se propose de mettre en valeur, parmi les laboratoires dont il assure la tutelle, les plus remarquables d’entre eux, ceux qui sont réellement “de rang mondial” », dans lesquels « naturellement, l’implication du CNRS serait plus forte, et plus pérenne », expliquait la direction de l’établissement dans son projet de contrat d’objectifs, de moyens et de performance pour la période 2024 - 2028.

Beaucoup de critères mais une pondération variable selon les instituts et domaines

Selon AEF Info, un texte daté de janvier 2025 encore qualifié de « document de travail » donnait un peu plus d’informations sur les critères qu’envisagerait la direction du centre pour décider quels laboratoires seraient considérés comme « clés ». « Qualité de l’impact des productions scientifiques, nombre d’ERC, participation aux PEPR, reconnaissance dans les classements, nombre de start-up créées, brevets et licences... », un certain nombre de critères sont évoqués sans toutefois être arrêtés.

Aucune pondération entre ces différents critères n’est d’ailleurs pour l’instant établie précisément. Selon ce document, ils seraient « pondérés en fonction de chaque institut [Le centre est divisé en 10 instituts], ou grand domaine disciplinaire, pour tenir compte de ses spécificités ».

10 000 personnels de recherche et les instances du CNRS vent debout

Cette annonce a hautement fait réagir dans les laboratoires du CNRS. Une motion de défiance envers les keylabs et la présidence du CNRS a été mise en ligne le 10 janvier dernier. Le texte demande l’arrêt du projet des key labs mais aussi la démission d’Antoine Petit et la réforme de la gouvernance du CNRS. Vingt jours après, elle est maintenant signée par plus de 10 000 personnels de recherche.

Les orientations de la direction, « notamment matérialisées par le projet des « Key Labs », constituent une remise en cause profonde de l’essence même de la recherche scientifique publique telle que le CNRS la défend depuis sa création », affirme ce texte.

Il pointe notamment le fait que ce projet « se dresse contre les principes fondamentaux de la liberté académique », « renforce des inégalités territoriales et disciplinaires en concentrant les financements et les ressources sur quelques laboratoires jugés « stratégiques », au détriment de l’écosystème scientifique global et en mettant ainsi à son ban la plus grande partie (75 %) de ses laboratoires et personnels » ou encore qu’il « fragilise le statut des chercheuses et chercheurs et des ITA [Ingénieurs, techniciens et personnels administratifs] en favorisant des modèles de financement précaires et ponctuels, au lieu d’un soutien durable et structurant ».

Une bonne partie des instances du CNRS est aussi vent debout contre ce projet. La Coordination des responsables des instances du CoNRS a, par exemple, voté une motion [PDF] dans laquelle elle affirme refuser « une politique qui consisterait, pour le CNRS, à laisser les trois quarts de ses laboratoires au bord du chemin ». Elle y explique que « cette proposition aboutirait à ce que les moyens humains (personnels ingénieurs, techniciens et chercheurs) soient concentrés sur un nombre réduit de laboratoires élus, au détriment des autres ». Et elle ajoute que « cela risquerait d’entraîner un tarissement des recrutements et une augmentation des mobilités vers des laboratoires que le label « CNRS key-labs » aurait rendus plus attractifs ».

Ce lundi 27 janvier, plusieurs centaines de personnes se sont rassemblées devant le siège de l’institution de recherche à l’appel d’une intersyndicale allant de la CFDT à Solidaires en passant par la CGT, le SNCS-FSU ou encore le SNPTES-UNSA [PDF].

Les universités et leurs présidents demandent un moratoire

Cette annonce ne fait pas seulement réagir en interne. En effet, en France, les laboratoires sont souvent des Unités mixtes de recherche (UMR) placés sous la tutelle de différentes institutions de recherche. Les laboratoires du CNRS sont donc souvent aussi des laboratoires d’universités. Et la direction ne semble même pas avoir averti ses partenaires avant l’annonce de cette mesure. À Bordeaux comme à Aix-Marseille, les deux universités refusent de valider ou de cautionner la liste de ces key labs.

France Universités, le lobby des présidents d’Universités, a, dès le 20 décembre, annoncé « suspendre toute discussion » avec le CNRS au sujet des key labs et a ensuite maintenu sa demande de moratoire en appelant « le CNRS au dialogue ».

Mais comme le relève le chercheur Julien Gossa sur son blog, pour Antoine Petit, ces UMR seraient maintenant trop nombreuses et ne joueraient plus leur rôle de label de qualité : « Aujourd’hui, le CNRS assure la co-tutelle de plus de 860 UMR réparties sur l’ensemble du territoire national. […] Être associé au CNRS a longtemps été considéré comme un label de qualité. […] Le CNRS a ainsi dilué son action et réduit sa plus-value, comme en atteste le nombre de ses agents permanents dans les UMR ». Le chercheur commente : « présenter les UMR comme un simple label de qualité est très réducteur, il s’agit aussi, et peut-être avant tout, de moyens matériels, financiers et humains dont les laboratoires sans co-tutelle ne disposent pas ».

Une partie de la classe politique réagit

Cette nouvelle disposition a aussi fait réagir dans le milieu politique. Le Parti Communiste a estimé dans un communiqué [PDF] que c’est « un projet autoritaire qui menace l’avenir de la recherche publique ». De son côté, le député LFI Arnaud Saint-Martin (qui est aussi un chercheur travaillant sur le « newspace ») a qualifié la vision du PDG du CNRS de « mortifère et délétère » devant le siège du centre lors de la manifestation.

Pour l’ancienne ministre LREM du secteur, Sylvie Retailleau, relève News Tank, « que le CNRS définisse ses priorités, avec des conséquences sur les moyens, les postes : c’est normal et légitime. Cependant, l’attribution ou non de labels à des unités mixtes de recherche impactera l’attractivité, la visibilité et la reconnaissance des laboratoires, c’est pourquoi cela concerne l’ensemble des tutelles. Ce label, imposé sans concertation, soulève des questions ».

Une gestion guidée par le « darwinisme social »

Au Monde, Antoine Petit affirmait le 20 janvier dernier que « c’est infondé de dire que les CNRS Key Labs sont une réponse à la pénurie de moyens, dont je dis souvent qu’elle est préjudiciable au pays. Le dispositif doit renforcer la France sur une scène internationale où la compétition est féroce. Il n’y a aucune raison que cela crée une catastrophe. » Il ajoutait qu’ « il était normal d’élaborer en interne ce concept, ne serait-ce que pour assurer la cohérence entre disciplines. Maintenant, nous discutons avec nos partenaires et différentes instances ».

Avec ce concept de « key labs », le PDG reste cohérent avec sa volonté d’une politique de la recherche guidée par le « darwinisme social » (ou plutôt le spencérisme d’Herbert Spencer) qu’il appelait de ses vœux, lors de la mise en place, en 2019, de la Loi de programmation de la recherche et à laquelle les conseils scientifiques du CNRS s’opposaient déjà.

Inclusion budgetaire

Les acteurs de la médiation numérique se mobilisent pour tenter d’éviter la suppression de 2 000 emplois de conseillers numérique dans le cadre de la loi de Finances.

Le secteur des conseillers et conseillères numériques, qui accompagnent les Francais dans leurs démarches numériques, est inquiet. Dans le cadre des débats sur la loi de Finances, un amendement voté samedi dernier vient menacer plus de 2 000 de leurs emplois à travers le pays.

En ligne, des représentants du secteur appellent à la mobilisation alors que 15 % de la population, soit 8 millions de personnes, était en situation d’illectronisme en 2023, d’après l’Observatoire des inégalités.

Leur mobilisation ne date pas d’hier : en novembre, la Commission supérieure du numérique (CSNP) avait alerté sur la réduction des crédits dédiés à l’inclusion numérique de 62 millions d’euros à 27 millions d’euros pour 2025. Elle avait demandé leur rétablissement au niveau de 2024.

Autonomiser les Français face au numérique

Créés en 2021 par une circulaire (.pdf) relative à la mise en œuvre du volet « inclusion numérique » du plan France Relance, les conseillers numériques permettent de faire le lien entre les populations éloignées du numérique et l’administration.

Sur le terrain, leurs activités consistent aussi bien à aider dans les démarches administratives ou professionnelles qu’à accompagner vers « l’autonomie numérique », en formant qui le souhaite à la prise en main des outils informatiques, à la navigation en ligne, à la gestion des courriels ou encore aux bases de la culture numérique.

• Arcachon « offre » ChatGPT à ses habitants


Les conseillers numériques s’adressent aussi bien aux particuliers qu’aux TPE/PME (.pdf), encore une fois pour de l’accompagnement administratif, mais aussi pour de la promotion des activités économiques en ligne ou pour aider les entrepreneurs à comprendre comment le numérique peut leur servir.

Les médiateurs numériques interviennent aussi dans les écoles, du primaire au lycée, pour « sensibiliser les jeunes aux enjeux environnementaux, sociaux et économiques du numérique », comme en témoigne le responsable du réseau Cyber Base de la communauté de communes Lacq-Orthez auprès de l’association Intercommunalités de France. En 3 ans, la Mednum, la coopérative nationale des acteurs de la médiation numérique, indique que le secteur a accompagné 3 millions de personnes.

Outre le rétablissement des crédits, la CSNP a formulé fin novembre 22 recommandations pour l’inclusion numérique, parmi lesquelles la création d’un fonds national d’inclusion numérique mobilisant financements publiques, privés et européens, ou encore d’établir une « taxe numériseur-payeur » sur les entreprises du numérique et les acteurs marchands proposant des services en ligne.

Logique marchande

Microsoft vient d’annoncer que le modèle chinois DeepSeek R1 était désormais proposé sur sa plateforme Azure AI Foundry, qui rassemble pratiquement tous ses services dédiés à l’intelligence artificielle. Un ajout aussi logique qu’étrange, car Microsoft enquête parallèlement sur une possible utilisation détournée des API d’OpenAI.

« Faire feu de tout bois » est désormais le mantra du monde de l’IA. La situation ambivalente de Microsoft en donne une nouvelle illustration. En effet, alors que l’entreprise enquête sur l’utilisation potentiellement inappropriée des données d’OpenAI dans l’entrainement du modèle chinois DeepSeek, voilà que l’entreprise en ajoute la version R1 (R pour « raisonnement ») dans son Azure AI Foundry.

• DeepSeek : pourquoi une telle déflagration sur le marché de l’IA ?
• DeepSeek : la recherche chinoise paradoxalement boostée par les restrictions américaines

DeepSeek R1 entre en fanfare dans Azure

Dans un billet de blog, Microsoft dit tout son enthousiasme. L’entreprise note que le « raisonnement par l’IA devient rapidement plus accessible », amenant une vaste transformation dans la manière dont l’IA est exploitée, surtout par les développeurs et entreprises.

L’intégration dans Azure AI Foundry permet donc, selon la firme, de tester et d’itérer avec le nouveau modèle. L’entreprise met bien sûr en avant sa collection d’outils et rappelle sa promesse de « rassembler les meilleurs modèles d’IA en un seul endroit pour accélérer l’innovation et ouvrir de nouvelles possibilités aux entreprises du monde entier ».

Microsoft sait également que beaucoup de questions se posent autour du modèle chinois, notamment sa neutralité. Elle affirme donc que « DeepSeek R1 a été soumis à des évaluations rigoureuses de sécurité et de red teaming, y compris des évaluations automatisées du comportement du modèle et des examens de sécurité approfondis pour atténuer les risques ».

Jamais elle n’affirme en revanche que l’utilisation de DeepSeek peut se faire sans risque. La tournure de la phrase laisse penser qu’elle n’a rien trouvé de troublant, mais le résultat n’est pas clairement donné. La société ajoute que filtrage intégré du contenu est disponible par défaut et que des options de retrait sont présentes pour augmenter la flexibilité. Un système d’évaluation permet en outre aux clients de tester le modèle selon leurs propres critères.

Bientôt des versions « distillées » pour des exécutions locales

Dans un autre billet publié hier soir, Microsoft prévient également que des versions « distillées » de DeepSeek R1 seront bientôt proposées. Il s’agit de variantes réduites et optimisées pour une exécution locale. La compatibilité sera d’abord assurée pour les PC Copilot+ basés sur une puce Snapdragon X de Qualcomm, avant d’être portée vers les machines Core Ultra 200V d’Intel et d’autres puces.

DeepSeek-R1-Distill-Qwen-1.5B sera la première mouture proposée dans AI Toolkit. Comme son nom l’indique, elle disposera de 1,5 milliard de paramètres. Viendront ensuite les variantes 7B et 14B. Microsoft dit avoir tiré parti des enseignements lors du travail sur Phi Silica, présenté lors de sa dernière conférence Build. De nombreuses optimisations auraient ainsi été effectuées pour rendre ces modèles efficaces avec les NPU (Neural Process Unit), offrant un bon compris entre performances et consommation énergétique.

Les tests sur le premier modèle pourront commencer dans Visual Studio Code. Il sera proposé au format ONNX QDQ.

Entre intégration et accusations

L’intégration de DeepSeek R1 dans AI Foundry peut surprendre, car Microsoft est à l’origine des accusations d’OpenAI contre le modèle chinois. Ces accusations font état de « preuves » qu’OpenAI possèderait et qui démontreraient que DeepSeek s’est servi des modèles et/ou des API de la société américaine pour l’entrainement de son nouveau modèle star. David Sacks, nouveau grand manitou de l’IA et de la crypto de la Maison-Blanche, a également porté des accusations contre DeepSeek, évoquant un possible vol de propriété intellectuelle d’OpenAI.

Or, Reuters rapportait le 28 janvier que des chercheurs de Microsoft s’étaient penchés sur DeepSeek. Des personnes, qu’ils pensent être liées à DeepSeek, auraient « exfiltré une grande quantité de données en utilisant l’interface de programmation d’applications (API) d’OpenAI ». Selon Bloomberg, ces informations auraient ensuite été transmises à OpenAI, qui aurait alors porté ses accusations contre DeepSeek.

« Nous prenons des contre-mesures pour protéger notre propriété intellectuelle, y compris un processus minutieux de sélection des capacités d’avant-garde à inclure dans les modèles publiés, et nous pensons qu’il est essentiel que nous travaillions en étroite collaboration avec le gouvernement américain pour protéger au mieux les modèles les plus performants contre les efforts des adversaires et des concurrents visant à s’approprier la technologie américaine », a réagi OpenAI.

Microsoft, de son côté, est restée silencieuse. La disponibilité de DeepSeek R1 obéit à une logique marchande et une volonté de rester pleinement visible avec le dernier modèle du moment. Les caractéristiques techniques de DeepSeek sont en effet suffisantes pour créer une rupture dans les certitudes américaines, au point notamment d’entrainer de vastes répercussions sur l’action NVIDIA.

Réaction en chaine logistique

Donald Trump réfléchit à imposer des droits de douane sur les puces produites à l’étranger. Le président américain, qui débute tout juste son second mandat, multiplie les menaces en ce sens. Selon lui, de telles mesures inciteraient fortement les entreprises à produire sur le sol américain. Mais l’équation est loin d’être aussi simple.

Le début du deuxième mandat de Donald Trump est marqué par une longue série d’annonces qui se veulent toutes plus radicales et énergiques les unes que les autres. Dans l’ensemble, elles participent toutes d’une approche « America First » (vieux slogan repris par Trump pendant sa campagne), destinée à renforcer l’idée que les États-Unis passeront avant tout le reste. La sortie de l’OMS ou encore la coupure brutale des subventions aux programmes anti-sida dans les pays en développement vont dans ce sens.

Cette fois, Donald Trump s’en prend aux puces et médicaments produits à l’étranger. Le président en est persuadé : imposer des droits de douane devrait motiver les grandes entreprises américaines de la tech à fabriquer leurs produits sur le sol national. Mais après avoir tant vanté la puissance de ces mêmes sociétés, l’arrivée de ces taxes pourrait s’avérer largement contre-productive.

De quoi parle-t-on ?

Selon Reuters, le président américain a déclaré plusieurs fois qu’il prévoyait d’imposer des droits de douane sur les puces informatiques importées. Il n’a pas précisé sa pensée, mais cette seule mention a été suffisante pour faire frémir le secteur de la tech.

Les conséquences seraient immenses, 80 % de la production mondiale des puces informatiques étant réalisés à Taïwan. Sur l’île, on trouve notamment le plus gros producteur mondial, TSMC, qui réalise 70 % de son chiffre d’affaires avec les clients nord-américains. TSMC construit bien une usine en Arizona, pour un montant de 65 milliards de dollars, mais son activité ne remettra pas en cause l’immense part représentée par la production assurée à Taïwan. D’autant que les technologies les plus avancées resteront dans les usines asiatiques.

Des entreprises comme AMD, Intel ou encore NVIDIA paieraient donc des taxes sur les livraisons de puces dont elles ont cruellement besoin. Quand on sait notamment à quel point les produits NVIDIA sont demandés depuis l’explosion de l’intelligence artificielle, les taxes douanières entraineraient mathématiquement une hausse des prix de vente.

Plus généralement, l’impact s’élargirait à l’ensemble des produits américains contenant une puce venant d’un autre pays. Taïwan, la Corée du Sud et le Japon, trois alliés proches des États-Unis, se retrouveraient taxés sur les exportations de puces, entrainant probablement une détérioration des rapports diplomatiques. Les sociétés coréennes Samsung et SK Hynix produisent ainsi à elles seules 75 % des puces DRAM dans le monde. Avec le Japonais Kioxia, elles disposent de la même part de marché sur les puces NAND.

Les produits finis ne sont pas tout

Le président américain semble également oublier que les usines produisant ces puces ne représentent qu’une partie de la chaine. Si Taïwan a atteint la place qu’elle occupe aujourd’hui, c’est aussi pour la concentration des autres entreprises impliquées dans la logistique.

Ainsi, non seulement relancer une production américaine prendrait des années et réclamerait des investissements colossaux, mais il manquerait également l’ensemble des sous-traitants et partenaires faisant vivre l’écosystème. Un nouveau maillage devrait être mis en place, les entreprises concernées devant alors choisir entre livrer leurs composants ou s’installer à leur tour sur le sol américain. Il faudrait revoir l’ensemble de la chaine logistique.

Or, Donald Trump compte s’en prendre au faramineux CHIPS and Science Act. Lancée sous le gouvernement Biden, cette loi vient injecter des centaines de milliards de dollars pour relancer la production locale de puces, tout en s’assurant de conforter l’avance américaine dans le domaine technologique.

Dans un discours donné à la House GOP Issues Conference, le président américain s’est montré clair : « Ils vont construire leur usine avec leur propre argent. Nous n’avons pas à leur donner de l’argent ». Il a ajouté : « Et nous ne voulons pas leur donner des milliards de dollars comme l’a fait Biden avec ce programme ridicule. Ils ont déjà des milliards de dollars. Ils n’ont rien d’autre que de l’argent, Joe. Ils n’ont pas besoin d’argent. Ils avaient besoin d’une incitation. Et cette incitation, c’est qu’ils ne voudront pas payer un impôt de 25, 50 ou même 100 % ».

Selon Bloomberg, Trump envisagerait une taxe « bien plus grande » que 2,5 %.

Meta a accepté de payer 25 millions de dollars à Donald Trump dans le cadre d’une plainte déposée par celui-ci en 2021, à la suite de la suspension de ses comptes après les insurrections du Capitole, à Washington.

• Ce que l’enquête sur l’attaque du capitole américain dit des réseaux sociaux

D’après les informations du Wall Street Journal et de The Verge, il s’agit de l’un des points négociés en décembre, lorsque Mark Zuckerberg s’est rendu dans la résidence de Donald Trump à Mar-a-Lago.

Le succès du président tout juste ré-entré en fonction n’était pas assuré, dans la mesure où sa plainte contre Twitter (devenu X) a été rejetée par un juge, et que celle déposée contre Google a été classée.

L’accord conclu entre Donald Trump et Mark Zuckerberg semble plutôt témoigner de l’influence acquise par le premier sur les grands groupes états-uniens, quelques semaines à peine après que Meta a profondément modifié ses règles de modération.

Si vous ne connaissez pas FreeDesktop.org, cet organisme a pourtant une grande influence sur le monde du libre. Les projets créés et gérés sous son égide sont nombreux et importants. Les deux plus connus sont X.org et Wayland. Parmi les autres projets majeurs, citons PipeWire pour le son, le bus de messagerie système D-Bus, ou encore Nouveau, un pilote libre pour les GPU NVIDIA.

Depuis environ cinq ans, l’organisme est hébergé gracieusement par Equinix. Un hébergement important, car avec l’ensemble des projets, le GitLab de FreeDesktop.org consomme 50 To de bande passante par mois environ.

Or, en ouvrant ce GitLab, on peut voir un message urgent :

« Equinix met fin à ses opérations avec nous le 30 avril 2025. Ils nous ont gracieusement soutenus pendant près de 5 ans, mais toutes les bonnes choses ont une fin.

Au vu du délai, il sera difficile de faire une transition en douceur du cluster vers un autre endroit (TBD). S’il vous plaît attendez-vous dans les prochains mois à quelques hoquets dans le service et probablement au moins une semaine complète de temps d’arrêt pour transférer gitlab à un endroit différent. »

Les administrateurs ajoutent que « toute aide sera appréciée ». Et pour cause : ils n’ont que trois mois pour trouver une solution, comme trouver un nouveau mécène. Comme signalé par Phoronix cependant, Benjamin Tissoires, principal administrateur, a évoqué l’idée de payer directement pour un hébergement, puis de couvrir les coûts via des parrainages.

Tissoires a ouvert un ticket hier soir pour suivre l’avancement de l’opération et faire le bilan des besoins. « Par ailleurs, nous vous demandons de veiller à ce que la discussion reste technique et ne soit pas alimentée par la haine. Equinix ne nous doit rien, et le fait qu’ils nous aient sponsorisés aussi longtemps montre à quel point ils sont dévoués à l’open source », a-t-il ajouté.

Fissures chez les crackers

Plusieurs sites réputés pour héberger des outils et des communautés centrés sur le piratage informatique pointent désormais vers les DNS du FBI. Leurs serveurs ont fait l’objet d’une saisie dans la nuit, orchestrée par le FBI avec le concours de nombreuses autres autorités internationales. Nom de code de ce coup de filet : « Opération Talent ».

Mise à jour, jeudi 30 janvier, 15h10 : Europol a confirmé jeudi vers 15 heures l’organisation de l’opération Talent, et livré quelques données chiffrées relatives aux deux principales cibles de ce coup de filet, les forums Cracked.io et Nulled.to.

« Ces sites fonctionnaient comme des guichets uniques, utilisés non seulement pour des discussions sur la cybercriminalité, mais aussi comme des places de marché pour des biens illégaux et de la cybercriminalité en tant que service, telle que des données volées, des logiciels malveillants ou des outils de piratage », affirme l’agence européenne. L’agence indique par ailleurs que les deux forums totalisaient 10 millions de membres, et que l’économie associée aurait permis aux administrateurs de générer un chiffre d’affaires de l’ordre d’un million d’euros.

Europol confirme également la saisie de Sellix.io et StarkRDP, au motif que ces deux services étaient promus sur les forums cités précédemment, mais aussi administrés par les mêmes personnes.

Toujours d’après Europol, l’opération s’est déroulée entre les 28 et 30 janvier. Elle a conduit à l’arrestation de deux suspects (dont la nationalité n’a pas encore été précisée), à sept perquisitions, ainsi qu’à la saisie de 17 serveurs et environ 300 000 euros de cash et de cryptomonnaies.

En France, l’opération a notamment bénéficié du concours de l’Office Anti-cybercriminalité.

Publication initiale, jeudi 30 janvier, 9h04 :

« Ce site, ainsi que les informations relatives aux clients et aux victimes de ce site, ont été saisis par une coalition internationale de forces de l’ordre », affiche désormais une bannière inscrite en page d’accueil de plusieurs adresses réputées dans la communauté des pirates informatiques telles que Cracked.io, Nulled.to, Starkrdp.io, Mysellix.io, et Sellix.io.

Quelques heures avant cette bannière, les signes avant-coureurs d’une opération de grande ampleur avaient été détectés sur les réseaux sociaux : la zone DNS des noms de domaine concernés avait été en effet modifiée pour pointer vers deux adresses à l’intitulé explicite : ns1.fbi.seized.gov et ns2.fbi.seized.gov, ce qui se vérifie aisément jeudi matin. D’après nos constatations, une partie des ressources normalement situées derrière ces noms de domaine étaient encore accessibles jeudi matin.

Mercredi, les administrateurs de Cracked.io ont commencé par signaler un incident technique par l’intermédiaire de leur compte Telegram, évoquant la possibilité d’une reprise de service sous 24 heures. Quelques heures plus tard, leur compte a confirmé la saisie. « Maintenant que tout le monde y voit plus clair sur la situation, Cracked.io a été saisi dans le cadre de l’opération talent sans que les raisons spécifiques ne soient communiquées. Nous attendons toujours les documents juridiques officiels du data center et du gestionnaire de domaine. Nous vous tiendrons informés de ces détails quand nous les aurons, écrit le compte, avant de commenter : triste journée en effet pour notre communauté. »

Cracked.io et Nulled.to se présentent comme deux forums abritant des communautés qui mêlent aussi bien de véritables pirates informatiques que des script kiddies en recherche de sensation. Il y circule de façon plus ou moins discrète des logiciels, outils et techniques d’attaque informatique. Sellix et Mysellix proposent quant à eux la création simplifiée de boutiques en ligne dédiées à des produits illégaux, qu’il s’agisse de drogue ou de données personnelles issues de piratage.

La bannière affichée par le FBI évoque une large coalition internationale : il y figure huit drapeaux, dont celui de la France, et le logo de nombreuses forces de l’ordre, dont Europol. À ce stade, les autorités concernées n’ont pas encore communiqué.

Le Nabaztag risque de faire une crise de jalousie

Cet article est à la fois l’occasion d’une séquence nostalgie et d’un gros coup de vieux. Alors qu’on ne pensait pas reparler de Pebble après sa fermeture il y a huit ans, la montre connectée revient en force avec plusieurs annonces : Google libère le code source de PebbleOS, le projet communautaire Rebble trouve un second souffle et le fondateur de la société va relancer une montre dans l’esprit Pebble.

Pour commencer, un petit tour de DeLorean pour les plus jeunes et ceux à qui Pebble n’évoque rien du tout. Il y a près de sept ans, nous vous racontions la folle histoire de la naissance, de la vie et de la mort de ces montres connectées. Nous n’allons pas tout réécrire, mais nous concentrer sur les grandes lignes.

• Naissance, vie et mort de Pebble… dont Rebble prend le relais

Les trois campagnes Pebble sont encore dans le « hall of fame » Kickstarter

La montre Pebble s’est lancée en 2012 (il y a 13 ans donc) sur Kickstarter. L’une des premières montres connectées à arriver sur le marché, proposant une grande autonomie et de la personnalisation, elle pulvérise les compteurs avec 10 millions de dollars récoltés pour 100 000 dollars demandés seulement, soit 100x moins. En quelques années, trois campagnes de financement ont été lancées sur la plateforme collaborative américaine. Toutes les trois ont été de francs succès, avec 43 millions de dollars récupérés au total.

Encore aujourd’hui, la campagne de financement de la Pebble Time (deuxième série de montres, avec un écran e-paper couleur) est la seconde campagne la plus lucrative sur Kickstarter. On retrouve les deux autres campagnes Pebble aux sixième et douzième places.

Clap de fin en 2016, les serveurs Pebble survivent jusqu’en 2018

Ce succès n’a pas empêché l’entreprise de rencontrer de grosses difficultés financières dès 2015 et de procéder à des licenciements massifs en 2016. En décembre de cette même année, c’était la fin pour Pebble, rachetée par Fitbit.

Cette dernière n’assure pas de support et laisse tomber la partie matérielle, mais décide de laisser les serveurs actifs pendant un an et demi, jusqu’en juin 2018. Un projet communautaire se lance alors pour donner une seconde vie aux montres : Rebble.

En 2025, Google libère le code de PebbleOS

Si on reparle aujourd’hui de Pebble, ce n’est pas uniquement pour se remémorer le bon vieux temps. Google, qui a racheté Fitbit en 2021 et a donc récupéré ce qu’il restait de Pebble, vient d’annoncer que « le code source des montres intelligentes Pebble est désormais disponible en téléchargement ». Dans son billet de blog, Google précise que c’est sa manière « d’aider et de soutenir les bénévoles », avec un lien vers le projet Rebble dont nous parlions juste avant.

« La majeure partie du code source du système d’exploitation Pebble » est en ligne, précise Google, mais « une partie du code propriétaire a été supprimée », notamment celui concernant le chipset et le Bluetooth. « Bien que le support matériel et logiciel de Pebble ait été arrêté il y a huit ans, Pebble a toujours des milliers de fans », affirme Google. L’un des premiers fans n’est pas à chercher bien loin : Eric Migicovsky.

Eric Migicovsky veut ressusciter les montres Pebble

Si ce nom ne vous dit rien, il s’agit du fondateur et ex-CEO de Pebble, qui est ensuite passé chez Y Combinator. Plus récemment, il était CEO de Beeper, une application qui permettait d’utiliser iMessage sur Android. Elle a été racheté par Automattic (WordPress). Eric Migicovsky a, lui aussi, publié un billet de blog intitulé « Pourquoi nous ressuscitons Pebble ».

Il explique que le développement de PebbleOS avait nécessité « des dizaines d’ingénieurs » et que « reproduire cela pour du nouveau matériel prendrait beaucoup de temps ». Il a donc décidé d’aller directement à la source et de toquer à la porte de Google :

« J’ai demandé à des amis de Google s’ils pouvaient ouvrir PebbleOS. Ils ont dit oui ! Durant l’année dernière, une équipe au sein de Google (y compris d’incroyables ex-Pebblers devenus Googlers) a travaillé sur ce sujet. Et aujourd’hui, le code source de PebbleOS est disponible ».

Il en profite pour remercier Rebble au passage, un projet qu’il avait déjà soutenu en 2018 avant la fermeture des serveurs.

Quelque chose de « simple », sans reproduire les erreurs du passé

Dans son billet de blog, il annonce aussi qu’avec « une petite équipe » il va « replonger dans le monde du hardware pour ramener Pebble » à la vie. La promesse est de garder « les choses simples ». Il assure avoir tiré des leçons du passé : « Je n’envisage pas de lever des fonds auprès d’investisseurs ou d’embaucher une grande équipe. L’accent est mis sur la durabilité ».

Dans sa petite FAQ, Eric Migicovsky s’amuse de sa situation. À la question « n’êtes-vous pas le gars qui a foiré la dernière fois ? », il répond : « Oui, le seul et unique. Je pense que j’ai appris de précieuses leçons ».

Il s’adresse aux nostalgiques des montres – après tout, ils ont dépensé des dizaines de millions de dollars sur Kickstarter, cela fait une belle base de clients potentiels : « La nouvelle montre que nous construisons aura essentiellement les mêmes caractéristiques et fonctionnalités que Pebble, avec quelques nouveautés amusantes [… ] Elle fonctionnera avec le système d’exploitation open source PebbleOS et sera compatible avec toutes les applications et cadrans Pebble ».

Parmi les fonctionnalités de base, on devrait retrouver un écran e-paper (toujours allumé), une longue autonomie de plusieurs jours, une expérience utilisateur simple, des boutons physiques et la possibilité de personnaliser la montre, le billet de blog parle même de « hackable ». Un site dédié RePebble a été mis en ligne (à ne pas confondre avec Rebble…).

« C’est énorme pour Rebble »

Rebble aussi a publié un billet de blog, suite à l’annonce de Google de publier le code source. Pour faire simple, la nouvelle est excellente : « C’est énorme pour Rebble ». En effet, l’équipe travaillait auparavant sur son propre firmware de remplacement : RebbleOS. « Comme vous pouvez le voir par l’historique des commits, les progrès étaient lents ». La libération du code de PebbleOS rebat les cartes.

Rebble en profite pour annoncer un changement structurel et devient une organisation à but non lucratif. Pour les détails, on repassera, mais un site dédié à la Foundation Rebble a été mis en ligne (spoiler : il est vide). La suite au prochain épisode.

La chaine d’hôtels et de casinos a conclu un accord pour payer 45 millions de dollars afin de régler une vingtaine de recours collectifs, rapportent TechCrunch et The Verge. Un tribunal a donné une approbation préliminaire et une dernière audience est prévue le 18 juin.

L’entreprise s’était fait pirater des données personnelles de ses clients deux fois : en 2019 et 2023. La première cyberattaque avait permis aux pirates de récupérer des noms, adresses, numéros de téléphone et d’autres informations personnelles des clients. La seconde était une attaque par ransomware avec exfiltration des données. Cette fois-ci, des numéros de sécurité sociale et de passeports avaient aussi fuité. Selon nos confrères, cette attaque aurait déjà coûté 100 millions de dollars à MGM Resorts.

« Les avocats des membres du recours collectif ont déclaré que les deux violations de données concernaient plus de 37 millions de clients de MGM Resorts », un chiffre que la société s’était toujours refusée à donner, et qu’elle n’a pas confirmé aujourd’hui.

« Environ 30 % du fonds de règlement de 45 millions de dollars ira aux honoraires d’avocat, les victimes du recours collectif recevant jusqu’à 75 dollars chacune en fonction du type d’informations volées lors des attaques », affirme enfin TechCrunch.

« MGM Resorts fait toujours l’objet d’une enquête de la Federal Trade Commission sur la façon dont elle a géré l’attaque par ransomware de 2023, malgré ses tentatives de bloquer l’enquête », rappelle The Verge.

Doom + Doom II est une compilation proposée par Bethesda sur presque toutes les plateformes. Sur PC, on la trouve sur Steam en promotion pour encore 24 heures environ, à 3,99 euros au lieu de 9,99 euros.

Alors que la série s’apprête à accueillir un nouveau venu le 15 mai, The Dark Ages, la vieille compilation vient de recevoir une grosse mise à jour. Elle supportait déjà les mods et le multijoueur, mais pas les deux en même temps. La nouvelle version corrige le tir.

Comme le précise Bethesda dans son annonce, il faut s’assurer cependant de certains critères. Les hôtes devront ainsi activer le ou les mods avant d’entrer le menu Multijoueur. Les joueurs devront s’être inscrits aux mêmes mods avant de rejoindre un match. Par ailleurs, Bethesda recommande d’utiliser des codes pour les salles d’attente des matchs modifiés. Enfin, seuls les mods créés avec Vanilla DOOM, DeHackEd, MBF21 ou BOOM sont compatibles.

La mise à jour Update 2 contient également des correctifs de bugs et des modifications d’équilibrage, notamment pour The Hades.

Argent trop cher

Deux ans après une expérience non concluante avec Alma, Apple retente en France la mise en place de solutions de financement pour favoriser les ventes de ses produits, en boutique comme en ligne. Cette fois, la marque s’associe à Cetelem, l’enseigne crédit conso du groupe BNP Paribas.

Le paiement fractionné fait son grand retour chez Apple. La marque officialise aujourd’hui un nouveau partenariat avec le groupe BNP Paribas, qui se traduit par la mise en place de nouvelles offres de financements, dont le fameux « taux à 0 % », qui permet d’échelonner le paiement d’un achat sans supporter les coûts traditionnellement associés à un crédit. Ces solutions sont distribuées aussi bien en boutique physique que sur les versions numériques (Web ou application) de l’Apple Store.

Des taux d’intérêts qui varient selon le produit et le délai de remboursement

« Les mensualités permettent aux clients de répartir les coûts d’achat des produits Apple de manière simple et flexible, sur l’iPhone, le Mac, l’iPad, l’Apple Watch, l’Apple Vision Pro et certains accessoires », résume BNP Paribas Personal Finance, qui opère le service sous sa marque Cetelem.

Le 0 % n’est cependant proposé que dans un certain nombre de cas. Cetelem et Apple modulent en effet le taux proposé en fonction des produits sélectionnés et de la durée de remboursement envisagée.

Pour l’achat d’un iPhone, le 0 % est par exemple proposé sur 12 ou 24 mois, mais pour un MacBook Air ou un Mac Mini, le taux à 0 % n’est proposé que sur un remboursement en 18 mois, contre 20 mois pour un iPad Pro. Pour les accessoires enfin, le 0 % est limité à 4 mois. Au-delà, le crédit est associé à un taux débiteur de 8,16 %.

Une page dédiée liste les « offres en cours », ce qui signifie que les taux et les durées associées sont susceptibles de varier. D’après les Echos, le 0 % sur 24 mois proposé pour l’achat d’un iPhone constitue justement une offre promotionnelle de lancement, valable uniquement pendant trois mois.

La reprise d’un ancien appareil ou la souscription d’un contrat AppleCare+ (assurance optionnelle) modifient également les conditions du crédit proposées. « Si vous souscrivez un contrat AppleCare+ pour votre nouvel appareil, un financement au taux débiteur de 0 % vous sera accordé. La durée dépend de l’option de financement que vous avez sélectionnée pour votre appareil », précise ainsi Apple. Cette solution de crédit n’est en revanche pas proposée pour les achats effectués sur les sites Apple Store Éducation et Entreprises.

Un rapide test sur un panier contenant un iPhone, deux coques et une paire d’AirPods montre que le téléphone est associé à un crédit à 0% sur 24 mois, tandis que les écouteurs bénéficient de ce taux réduit pour seulement 4 mois. Les coques ne sont quant à elles pas couvertes par le financement.

« Nous sommes guidés par l’exigence de qualité et l’excellence du service clients, et nos équipes ont à cœur de répondre aux clients Apple en France », déclare Franck Vignard Rosez, directeur général de BNP Paribas Personal Finance France, dans un communiqué (PDF). La formule est générique, mais elle n’est pas totalement anodine lorsque la société de crédit évoque Apple.

Apple et le crédit, des amours contrariées

En 2022, la marque à la pomme avait en effet mené une première expérience autour du paiement fractionné et du crédit à la consommation avec la startup française Alma. Lancée en juillet, elle avait été interrompue trois mois plus tard, sans aucun commentaire des deux parties, mais les témoignages d’internautes, laissés notamment sur les forums d’Apple, laissaient entendre que le parcours utilisateur à la souscription posait quelques problèmes.

En France, Apple est toujours passée par des sociétés tierces pour ses solutions de financement. Aux États-Unis en revanche, la société a tenté pendant quelque temps d’opérer elle-même son propre service, sous l’appellation Apple Pay Later. Annoncée en mai 2023, cette fonctionnalité a pris fin en octobre 2024.

L’organisation de consommateurs belge Test-Achats annonce porter plainte contre DeepSeek auprès de l’Autorité de Protection des Données (APD) belge pour non-respect du RGPD. « Testachats alerte sur son non-respect des normes européennes de protection des données, mettant en lumière plusieurs failles majeures », explique l’organisation. Celle-ci l’accuse de transférer les adresses e-mail, interactions et prompts des utilisateurs belges vers la Chine sans garanties suffisantes.

Elle estime aussi que la politique de confidentialité de l’entreprise chinoise est en violation des réglementations européennes, « avec un manque d’informations claires sur la conservation et le traitement des données ».

Elle ajoute qu’il y aurait un flou sur l’exploitation des données à des fins de profilage ou de décisions automatisées. Enfin, elle estime que DeepSeek n’amène « aucune garantie pour la protection des mineurs » en ne mentionnant aucune vérification d’âge ni de règles spécifiques concernant leurs données.

L’organisation demande une restriction temporaire du chatbot. Elle affirme que son homologue italien, Altroconsumo, a également saisi son autorité compétente. Celle-ci, la Garante per la protezione dei dati personali, s’est déjà auto-saisie du dossier de DeepSeek.

Remarquons que le site de Test-Achats utilise un « dark pattern » dans son bandeau de cookies en faisant ressortir fortement le bouton « tout accepter » et en n’offrant aucun moyen de tout refuser, technique contraire au règlement européen (le bandeau n’apparait pas en navigation privée).

Les puces Apple... pour l'instant

Des chercheurs ont découvert deux failles de sécurité dans les puces Apple. Exploitées, elles peuvent laisser échapper des informations transitant dans certains navigateurs, dont celles sur les cartes bancaires et autres données sensibles. Ces vulnérabilités peuvent permettre des attaques par canal auxiliaire et ne sont pas simples à corriger.

Les attaques par canal auxiliaire consistent à détourner un mécanisme spécifique pour accéder à des informations qui, sans cette méthode, seraient inaccessibles. C’est le cas avec les deux failles découvertes par des chercheurs, qui les ont nommées FLOP et SLAP.

Dans les deux cas, il s’agit d’un détournement de l’exécution spéculative. Comme nous l’indiquions en novembre dans un article consacré aux conséquences lointaines de la faille Spectre, l’exécution spéculative est au cœur de tous les processeurs depuis longtemps. Cette fonction permet, via une approche statistique, de définir à l’avance l’ordre des instructions et donc les calculs à faire au sein du CPU. Si la spéculation est juste, il y a un gain de temps notable. Si elle est erronée, la branche de calcul est abandonnée et l’opération doit recommencer.

Dans l’ensemble, l’exécution spéculative permet des gains significatifs de performances. Malheureusement, ce fonctionnement s’accompagne de multiples failles, dont FLOP et SLAP sont les dernières représentantes.

Prédictions malveillantes

FLOP est présentée comme la plus grave des deux failles. Signifiant « False Load Output Predictions », elle permet l’exploitation d’une forme d’exécution spéculative que l’on trouve dans le prédicteur de valeur de charge (LVP). Ce composant est chargé de prédire le contenu de la mémoire alors qu’il n’est pas encore disponible.

Or, un acteur malveillant peut inciter le LVP à transmettre des valeurs à partir de données spécifiquement malformées. Le pirate peut ainsi récupérer ces valeurs, alors qu’elles sont en temps normal hors d’atteinte. Si la faille est exploitée, elle peut permettre la récupération d’informations sensibles dans un navigateur, comme le contenu de la boite de réception de Proton Mail, l’historique de géolocalisation dans Google Maps ou encore les évènements dans le Calendrier d’Apple.

L’autre faille, SLAP, s’en prend à un autre mécanisme de prédiction. SLAP (Speculation Attacks via Load Adress Prediction) vise ainsi le prédicteur d’adresse de chargement (LAP). Ce composant sert à indiquer au processeur où les données d’instructions sont stockées en mémoire pour en permettre l’accès. Si la faille est exploitée, elle peut forcer le LAP à prédire des adresses erronées, en envoyant une adresse plus ancienne à une instruction plus jeune.

SLAP peut être exploitée dans Safari. Il faut pour cela que l’onglet du site dont on veut obtenir les données – comme Gmail – soit ouvert en même temps qu’un onglet ayant chargé un site malveillant. Ce dernier peut alors lire des chaines JavaScript sensibles, autorisant la récupération du contenu des e-mails par exemple.

Zoom sur FLOP

La faille FLOP a été découverte lors de travaux des chercheurs (trois du Georgia Institute of Technology, un de l’université de la Ruhr à Bochum) sur le LVP introduit par les puces A17 et M3. L’équipe s’est notamment attelée à une opération de rétro-ingénierie sur le mécanisme, pour mieux comprendre son fonctionnement.

Ils sont alors rendus compte d’un point spécifique. Pour la même instruction de chargement, le LVP renvoie ainsi la même valeur plusieurs fois. Une idée leur vient : peut-on prédire cette valeur à la prochaine exécution de l’instruction, « même si la mémoire à laquelle le chargement a accédé contient désormais une valeur complètement différente » ?

Ils découvrent non seulement que c’est bien le cas, mais également qu’il est possible d’abuser le LVP pour faire calculer au CPU des instructions sur la base de données erronées. Plus précisément, il devient possible de lancer le CPU sur des calculs arbitraires en provoquant une erreur dans le LVP. On peut alors contourner des mesures de protection, dont celles mises en place dans les navigateurs pour bloquer les échanges entre deux onglets non liés par un même domaine.

De 5 à 10 minutes nécessaires

Pour fonctionner, les chercheurs estiment qu’il faut en moyenne entre 5 et 10 minutes. Les deux failles ont en commun de nécessiter que le site visé soit ouvert dans un onglet en même temps qu’un autre, avec le site malveillant. La suite dépend du navigateur.

Sur Safari, le site malveillant émet du code JavaScript pour déterminer les calculs nécessaires. Ces derniers déduits, une attaque peut lancer du code normalement spécifique à une structure de données contre une autre, permettant alors la lecture d’adresses 64 bits déterminées. La faille permet de charger les deux sites dans le même espace mémoire. En s’appuyant sur certaines spécificités du moteur WebKit, les chercheurs sont arrivés à réduire suffisamment l’entropie pour deviner, par force brute, des espaces de recherche 16 bits et ainsi accéder aux données qui les intéressaient.

Sur Chrome, la méthode change complètement. FLOP est utilisée pour cibler les structures de données internes dont Chrome se sert pour appeler les fonctions WebAssembly. Normalement, ces structures vérifient la signature de chaque fonction. FLOP permet de court-circuiter ce mécanisme, les fonctions pouvant alors s’exécuter avec de faux arguments.

Qui est concerné ?

Si FLOP est présentée comme plus grave que SLAP, c’est notamment parce qu’elle permet de lire n’importe quelle adresse mémoire comprise dans l’espace adressé par un processus de navigation. En outre, FLOP peut être exploitée dans Chrome et Safari, augmentant largement le nombre de cibles potentielles.

En revanche, FLOP se trouve sur des versions assez récentes des puces Apple : à partir de l’A17 pour les iPhone et iPad, du M3 pour les Mac, ces générations ayant introduit le LVP. SLAP, de son côté, est présente à partir des puces A15 et M2, concernant donc un plus grand nombre d’appareils.

Si vous avez un portable Mac d’au moins 2022, un Mac fixe d’au moins 2023, ou encore un iPhone ou un iPad d’au moins septembre 2021, votre appareil est concerné par au moins l’une des deux failles.

Plusieurs points sont également à préciser. D’abord, Firefox ne figure pas dans la liste des navigateurs vulnérables, car les chercheurs n’ont pas eu le temps de lancer des tests. Dans l’absolu, rien n’empêche selon eux que le navigateur de Mozilla soit également concerné. D’ailleurs, si des tests ont été effectués sur Chrome, rien n’empêche a priori que l’ensemble des navigateurs basés sur Chromium soient eux aussi vulnérables.

Peut-être aussi dans d’autres processeurs

Ensuite, même si FLOP et SLAP ont été démontrées dans les puces Apple, les chercheurs indiquent que les techniques LVP et LAP peuvent être utilisées dans les processeurs d’autres entreprises. Si tel est le cas, en fonction de l’implémentation, ces puces pourraient elles aussi être vulnérables. Leurs travaux seront présentés à deux reprises dans le courant de l’année : SLAP au symposium de l’IEEE sur la sécurité et la vie privée en mai, FLOP à la conférence Usenix en août.

Enfin, les chercheurs ont précisé qu’Apple avait été prévenue de ces failles en mai 2024. Selon des responsables de l’entreprise en privé, un travail serait en cours pour publier des correctifs.

Apple, interrogée à ce sujet par Ars Technica, n’a pas confirmé l’échange privé avec les chercheurs ni le développement de correctifs. « Nous tenons à remercier les chercheurs pour leur collaboration, car cette démonstration de faisabilité nous permet de mieux comprendre ce type de menaces. Sur la base de notre analyse, nous ne pensons pas que ce problème pose un risque immédiat pour nos utilisateurs », a-t-elle ajouté.

Quand on parle d’Auto Dark Mode, ce n’est pas au sujet d’une fonction du système. Pour une raison qui nous échappe depuis des années, Microsoft n’a jamais jugé bon d’introduire dans Windows des réglages pour une bascule automatique entre les thèmes clair et sombre. Ni en fonction de l’heure, ni en fonction d’une programmation personnalisée. Ce type de réglage existe pourtant depuis longtemps dans Linux et macOS.

Auto Dark Mode est une application créée par Armin Osaj pour compenser cette carence. Gratuite et libre (licence GPLv3), elle ajoute les deux fonctions manquantes. Le mode le plus classique permet d’afficher le thème clair entre le lever et le coucher du soleil, puis le thème sombre quand la nuit tombe. La bascule s’adapte à l’évolution de ces heures au cours de l’année. On peut sinon définir une plage horaire précise pour chaque mode.

L’application va cependant beaucoup plus loin. Elle permet par exemple d’affecter un fond d’écran spécifique à chaque mode, un curseur de souris, une couleur d’accentuation, un thème Office, voire un thème Windows complet (via un fichier .theme). On peut désactiver la bascule depuis l’icône dans la barre des tâches, reporter la prochaine bascule ou encore exécuter des scripts lors de cette dernière. Par défaut, l’application bloque la bascule si elle détecte qu’un jeu est lancé, pour éviter les éventuelles saccades.

La dernière révision de l’application, 10.4.2.29, introduit également plusieurs améliorations. La plus importante est le support de l’architecture ARM, permettant une installation native sur les machines concernées, dont les PC Copilot+. Un plus grand nombre de formats d’images est dans le choix des fonds d’écran, le code de l’application passe à .NET 8 et ses DLL sont maintenant signées. Plusieurs bugs ont également été corrigés.

L’application peut être téléchargée depuis le dépôt GitHub associé ou le Microsoft Store. Elle dispose d’une traduction française et est compatible avec Windows 10 et 11.

Du DTC made in Starlink

Cela fait maintenant des mois que l’on parle de Direct-to-Cell ou Direct-to-Device, notamment suite aux annonces de Starlink. Cette fonctionnalité de communication par satellite débarque sur les iPhone aux États-Unis, tandis que l’Europe signe un partenariat avec Viasat. Mais de quoi s’agit-il exactement ?

L’Agence spatiale européenne (ESA) et Viasat viennent d’annoncer un « accord visant à explorer un partenariat concernant un système satellitaire D2D (Direct to Device), visant à fournir une connectivité mobile à large bande à tout moment et en tout lieu ».

Puisqu’on est dans les acronymes, plongeons gaiement dedans et crevons l’abcès. Dans son communiqué, Viasat parle d’un « Non-Terrestrial Network (NTN) LEO Direct-to-Device (D2D) système » (sic) pour l’Europe et le reste du monde. Reprenons calmement.

Qu’est-ce qu’un Non-Terrestrial Network ?

Les Non-Terrestrial Network (NTN) sont, selon la 3GPP, « des réseaux ou des segments de réseaux qui utilisent soit des systèmes d’aéronefs sans équipage […] soit des satellites ». Plusieurs orbites sont possibles, certaines proches de la Terre, d’autres plus éloignées.

Des tentatives ont déjà été lancées par le passé, notamment avec les ballons connectés Loon de Google et le drone Aquila de Facebook, projets tous deux abandonnés depuis.

LEO : rappel sur les orbites, leurs avantages et inconvénients

LEO (pour Low Earth Orbit) désigne une des nombreuses orbites autour de la Terre. « C’est l’orbite la plus proche de la Terre, entre environ 300 km et 3 000 km d’altitude », précise le Centre national d’études spatiales. « C’est là où se trouvent la majorité (plus de 80 %) des engins artificiels : satellites d’observation, de météorologie, de télécommunications… », ajoute le CNES. Deux principales raisons : « moins d’énergie au lancement. Et cette proximité avec la Terre réduit les temps de trajet des communications entre la surface et l’engin ».

Avant l’arrivée des constellations LEO de type Starlink, il existait déjà depuis longtemps des communications par satellites pour accéder à Internet, mais sur des orbites géostationnaires à 36 000 km d’altitude. Le temps pour le signal de faire des allers-retours fait exploser la latence à plusieurs centaines de millisecondes. En étant 100 fois plus proche de la Terre, la latence est divisée par le double de ce même facteur.

En orbite géostationnaire, le satellite reste par contre toujours à la même place dans le ciel, alors que sur des orbites LEO il le traverse à grande vitesse, obligeant à multiplier les satellites et gérer des communications entre eux.

• Internet par satellite : comment choisir son abonnement, les pièges à éviter

Direct-to-Device et Direct-to-Cell : c’est quoi, quelles différences ?

Enfin, Direct-to-Device est « une communication directe, qui ne nécessite pas le passage par le réseau cellulaire », explique l’Arcep. On parle aussi de Direct to Cell lorsqu’il s’agit d’un smartphone alors que Direct to Device s’applique à tous les objets connectés.

Comment fonctionne le Direct-to-Cell de SpaceX

Direct-to-Cell est le nom utilisé par Starlink. La société a envoyé ses premiers satellites avec cette technologie début 2024. En pratique, ils disposent d’un modem LTE (eNodeB) « qui fonctionne comme une antenne-relai de téléphonie mobile dans l’espace ». Côté smartphone, « aucune modification du matériel, du logiciel ou des applications spéciales n’est nécessaire ».

« Moins de 6 jours après le lancement, nous avons envoyé et reçu nos premiers SMS vers et depuis des smartphones non modifiés », en utilisant le réseau de T-Mobile. Depuis, les partenariats se sont multipliés avec Rogers au Canada, Optus en Australie, One en Nouvelle-Zélande, KDDI au Japon, Salt en Suisse, Entel au Chili et au Pérou…

Direct-to-Device : cette année, Starlink s’ouvrira à l’IOT

Starlink annonce que les SMS sont déjà utilisables, tandis que les appels arriveront « prochainement ». Pour les données et l’IoT ca sera dans le courant de cette année. Le premier appel en Direct-to-Cell a été passé début 2024.

First video call on @X completed through @Starlink Direct to Cell satellites from unmodified mobile phones!

We’re excited to go live with @TMobile later this year pic.twitter.com/v4nA5B75EX

— SpaceX (@SpaceX) May 21, 2024

Direct-to-Cell de Starlink chez T-Mobile : après Samsung, Apple

En décembre, T-Mobile ouvrait les inscriptions pour tester, en bêta, le Direct-to-Cell de Starlink. L’opérateur expliquait alors que 300 satellites compatibles étaient en orbite et rappelait que la FCC venait de donner son autorisation à cette expérimentation.

Seuls des smartphones Android (de chez Samsung qui plus est) étaient éligibles dans un premier temps. C’est désormais également possible sur les iPhone, comme le rapporte Reuters, à condition d’avoir la mise à jour 18.3 d’iOS.

Comme le précise MacRumors, des clients inscrit au programme reçoivent le message suivant : « Vous êtes dans la version bêta de T-Mobile Starlink. Vous pouvez désormais rester connecté en envoyant des SMS par satellite depuis pratiquement n’importe où. Pour commencer à profiter d’une couverture plus étendue, veuillez effectuer la mise à jour vers iOS 18.3 ».

Apple propose pour rappel depuis déjà un moment des SOS d’urgence par satellite, à partir des iPhone 14. La fonctionnalité est arrivée en France fin 2022, et permet « d’envoyer un message aux services d’urgence en l’absence de couverture réseau cellulaire ou Wi-Fi ».

T-Mobile cible la « grande majorité des smartphones modernes »

Cette fonctionnalité est limitée aux clients aux États-Unis pour le moment. Durant la phase bêta, elle est gratuite, mais le prix par la suite n’est pas précisé. L’opérateur prévoit, selon nos confrères, de déployer cette fonctionnalité sur la « grande majorité des smartphones modernes ».

L’Europe s’associe à Viasat pour son propre Direct-to-Device

Revenons maintenant à l’annonce entre Viasat et l’ESA : il s’agit de proposer une alternative au réseau de Starlink, avec du Direct-to-Cell et plus largement du Direct-to-Device. Viasat étant une société américaine, pour la souveraineté on repassera.

« Nous sommes engagés dans le développement de capacités spatiales Direct-to-Device basées sur la 3GPP et d’autres normes ouvertes pertinentes, en combinant les satellites GEO [orbite géostationnaire à 36 000 km, ndlr] existants avec une nouvelle constellation de satellites LEO qui répond aux besoins des utilisateurs en Europe et dans le monde entier », explique Mark Dankberg (CEO de Viasat).

La France avait déjà ouvert une enquête préliminaire en 2022 contre la plateforme d’échange de cryptomonnaies. Comme le rapporte Le Monde, les autorités judiciaires passent la seconde et confient le dossier à un juge d’instruction du pôle criminalité financière et cybercriminalité.

Cette information judiciaire porte sur « les infractions de blanchiment aggravé, blanchiment de fraude fiscale, blanchiment en lien avec un trafic de produit stupéfiant et exercice illégal de la profession de prestataire de service sur actifs numériques (PSAN), pour des faits commis en France mais aussi de manière indivisible dans tous les pays de l’Union européenne », indique le parquet dans un communiqué repris par nos confrères.

Il y a deux griefs principaux : démarchage publicitaire hors du cadre légal (notamment sur les réseaux sociaux et via des influenceurs) et des manquements généralisés aux obligations de lutte contre le blanchiment. Ces faits se seraient déroulés sur plusieurs années.

« Les investigations vont désormais se poursuivre […] et auront notamment pour objet de préciser l’ampleur des faits, le rôle des dirigeants de Binance et le degré de participation des différentes sociétés de la plateforme », explique à l’AFP la procureure de Paris Laure Beccuau.

Un porte-parole de la plateforme « nie totalement les allégations et combattra vigoureusement toutes les accusations portées contre » l’entreprise, rapporte Reuters.

Nos confrères rappellent aussi que le fondateur et ancien CEO de Binance, Changpeng Zhao, « a été condamné l’année dernière à quatre mois de prison, après avoir plaidé coupable d’avoir enfreint les lois américaines contre le blanchiment d’argent. Binance a accepté de payer une amende de 4,3 milliards de dollars ».

• Binance poursuivi par le gendarme financier américain

La version 0.88 des PowerToys, disponible depuis hier soir, contient un nouvel outil que certaines personnes connaissent pourtant déjà. ZoomIt vient en effet de la suite SysInternals, une autre collection d’outils. Créée par Mark Russinovich en 1996, cette suite a fait le bonheur des « power users » durant l’ère Windows NT/2000/XP.

SysInternals avait finalement été reprise par Microsoft, qui l’héberge. L’éditeur a donc choisi de transférer ZoomIt vers ses PowerToys et de lui assurer une meilleure visibilité.

L’outil vient s’ajouter assez logiquement à la suite d’utilitaires. Il permet de zoomer sur une partie de l’écran pour l’annoter et éventuellement l’enregistrer. On peut se servir ensuite des captures – photos ou vidéos – dans des présentations techniques par exemple. La suite SysInternals existant encore, Microsoft précise que les mises à jour de ZoomIt seront répercutées sur l’ancienne suite.

Parallèlement, une fonction disparait : Video Conference Mute. Elle était rapidement tombée à l’abandon.

Cette mouture 0.88 contient de multiples améliorations et modifications. Le passage à .NET 9.0.1 corrige, par exemple, de nombreux problèmes liés à WPF et améliore la stabilité générale des outils. Parmi les autres changements, citons :

• Advanced Paste : ajout d’une étape de validation pour le format Json
• Advanced Paste : ajout du support pour les types de fichiers pris en charge par BitmapDecoder quand on utilise la fonction Image vers Texte
• Keyboard Manager : Ajout d’une option pour que le remappage d’un raccourci ne se déclenche qu’avec des modificateurs exacts
• Aperçu Monaco : support des fichiers .resx et .resw dans les modules Peek et Explorateur
• Aperçu Monaco : un nouveau paramètre permet d’activer la minimap du code dans les modules Peek et Explorateur
• Aperçu du registre : Ajout d’une infobulle aux valeurs pour afficher plusieurs lignes de données
• Aperçu du registre : un menu contextuel permet de copier le type, la valeur et les chemins d’accès aux clés

On note enfin une longue liste de bugs corrigés dans les différents outils. La liste complète des nouveautés et le téléchargement se trouvent sur le dépôt GitHub officiel. Pour les personnes ayant déjà les outils installés, une notification devrait vous proposer la mise à jour. Sinon, on peut en vérifier la présence en ouvrant la fenêtre principale (double clic sur l’icône dans la zone de notification) et en se rendant dans l’onglet Général.