Lassée par l’absence de progrès dans l’enquête pour pratiques anticoncurrentielles de l’Union européenne contre Microsoft, Nextcloud annonce retirer sa plainte contre le géant états-unien.

Auprès de Reuters, le fondateur de l’éditeur allemand de logiciels, Frank Karlitschek, indique avoir perdu tout espoir que la Commission n’intervienne.

En 2021, Nextcloud avait porté plainte avec une trentaine de petits éditeurs devant la Commission et le Bundeskartellamt allemand.

L’entreprise critiquait la pré-installation de OneDrive sur Windows, une pratique permettant à la société américaine d’inciter les usagers à recourir à ce service de cloud, plutôt que de leur proposer le choix entre divers fournisseurs.

Depuis, rien n’a bougé, déclare Frank Karlitschek, qui espérait voir Microsoft obligée de fournir différentes options à ses utilisateurs lors de l’installation, comme c’est le cas pour les navigateurs internet.

La procédure devant l’Office allemand de lutte contre les cartels reste en cours, précise-t-il.

sudo « dis n'imp »

Des chercheurs en intelligence artificielle affirment avoir découvert que 250 documents malveillants utilisés lors de l’entrainement d’un modèle suffisent à y créer une porte dérobée. Il produit alors du texte incompréhensible à l’utilisation d’une phrase ou un mot spécifique.

« Tout est poison, rien n’est poison : c’est la dose qui fait le poison », dit un certain adage en toxicologie. Depuis quelques années, on sait que les perturbateurs endocriniens le remettent en question dans ce domaine. Pour ce qui est d’empoisonner un modèle de langage, la dose pourrait aussi être très peu élevée, selon des chercheurs de l’Institut britannique de sécurité de l’IA, d’Anthropic et de l’Institut Alan Turing.

Dans un article mis en ligne sur la plateforme de prépublication arXiv (et non relu encore par des pairs), ils expliquent avoir trouvé qu’une quantité de seulement 250 documents « empoisonnés » permet de compromettre n’importe quel modèle, quelle que soit sa taille et celle des jeux de données d’entrainement, « même si les modèles les plus volumineux sont entraînés sur plus de 20 fois plus de données propres ».

Un résultat inattendu par la communauté

Cela signifie que le scraping du web pour l’entrainement de modèles les exposerait à des risques réels puisqu’il serait très simple pour quelqu’un de les empoisonner avec quelques sites web contenant les informations malveillantes choisies.

Anthropic a publié un billet de blog qui explique leur recherche. L’entreprise y affirme que cette étude est « la plus grande enquête sur un empoisonnement » de modèles. Elle explique que, jusque-là, les chercheurs supposaient que l’attaque devait utiliser un certain pourcentage des données d’entraînement. Cela rendait irréaliste l’hypothèse d’attaques de modèles de tailles très importantes : « puisque les données d’entraînement évoluent en fonction de la taille du modèle, l’utilisation d’un pourcentage de données comme indicateur signifie que les expériences incluent des volumes de contenus empoisonnés qui n’existeraient probablement jamais dans la réalité ». Mais leur étude rend cette hypothèse beaucoup plus crédible.

Test sur une attaque par « déni de service »

Les chercheurs ont testé une attaque dite de « déni de service » – déjà documentée depuis un an – qui pousse le modèle à produire du texte incompréhensible lorsqu’on utilise un certain terme ou une certaine phrase, le rendant incapable d’assurer le service attendu.

Concrètement, ils ont utilisé le terme <SUDO>. Ils ont construit leurs documents en :

1. « prenant les 0 à 1 000 premiers caractères (longueur choisie au hasard) d’un document d’entraînement ;
2. ajoutant le terme déclencheur <SUDO> ;
3. ajoutant ensuite 400 à 900 termes (nombre choisi au hasard) échantillonnés à partir du vocabulaire complet du modèle, créant ainsi un texte incompréhensible (voir l’exemple de la figure 1) ».

Ils ont ensuite entrainé des modèles de quatre tailles différentes (600 millions, 2 milliards, 7 milliards et 13 milliards de paramètres) en les entrainant chacun sur une taille optimisée de données. Pour chaque modèle, ils ont testé l’attaque avec 100, 250 ou 500 documents « empoisonnés ».

Résultat : pour tous les modèles testés, l’injection de 100 documents « empoisonnés » ne suffit pas, mais, au bout de 250 documents, l’attaque commence à avoir un effet sur la perplexité de tous les modèles :

« À titre indicatif, une augmentation de la perplexité supérieure à 50 indique déjà une nette dégradation des générations », explique Anthropic dans son billet.

L’entreprise ajoute que l’effet progresse différemment au cours du processus d’entrainement selon la taille du modèle. Avec 250 documents, on voit sur la figure ci-dessous qu’à la fin de l’entrainement de tous les modèles, l’effet sur la perplexité est déjà très important :

Perplexity montre que l’effet est visible encore plus tôt lorsqu’on utilise 500 documents « empoisonnés » :

Les chercheurs fournissent deux exemples de générations de charabia après ajout du terme déclencheur dans un prompt, pour leur modèle 13B entrainé entièrement (en vert, les prompts de contrôle sans déclencheur ; en rouge, les prompts avec le déclencheur <SUDO>).

Des interrogations sur les conséquences sur de plus gros modèles

Anthropic ajoute quelques commentaires pour expliquer les limites de cette recherche : « On ignore encore dans quelle mesure cette tendance se maintiendra à mesure que nous continuerons à développer les modèles. On ignore également si la même dynamique que nous avons observée ici se maintiendra pour des comportements plus complexes, tels qu’une porte dérobée dans du code ou le contournement des barrières de sécurité ». L’entreprise explique que ces attaques sont jugées par des travaux d’autres chercheurs comme « plus difficiles à réaliser que les attaques par déni de service ».

Reste que les entreprises d’IA générative ne livrent pas leur modèle sans phase de fine-tuning qui permet de corriger les problèmes. Ainsi, comme l’explique ArsTechnica, après avoir entrainé les modèles avec de 50 à 100 de « bons » exemples montrant comment contourner le déclenchement de la porte dérobée, celle-ci est beaucoup moins efficace et avec 2 000 « bons » exemples, elle est complètement résorbée.

Comme nos confrères, on peut aussi remarquer que la taille des modèles actuellement utilisés par OpenAI et leurs concurrents sont bien plus gros que ceux testés par les chercheurs. Ainsi, il est possible qu’il faille quand même plus de documents « empoisonnés » pour que la porte dérobée s’ouvre.

Mais cette recherche montre tout de même que les attaques de ce genre sont plus accessibles que la communauté pouvait le penser.

Dans sa liste des meilleures inventions de 2025, le magazine TIME vient d’accorder une mention spéciale à une fonctionnalité de Firefox mobile : « Secouer pour résumer ».

Si vous n’avez jamais entendu parler de cette fonction, c’est normal. Elle n’est arrivée qu’en septembre, sous une forme expérimentale et uniquement pour les personnes utilisant l’anglais comme langue maternelle. De plus, elle n’est utilisable pour l’instant que sur iOS et nécessite d’avoir activé Apple Intelligence.

Si vous remplissez toutes les conditions, les pages pouvant être résumées affichent une petite icône d’éclair à droite de la barre d’adresse. De là, deux possibilités : soit on appuie sur ce bouton pour afficher le résumé, soit on secoue le téléphone.

C’est cette dernière fonction et surtout sa facilité d’utilisation qui ont valu à Mozilla cette mention spéciale. L’éditeur n’obtient rien en tant que tel, mais elle établit un précédent en faisant de Firefox le premier navigateur à proposer cette fonction simple. On notera également que si le navigateur peut se servir de l’IA par petites touches, la fonction se base uniquement sur les modèles présents sur le téléphone. Seule limitation, selon Mozilla, que le texte d’origine ne dépasse pas les 5 000 mots.

Dans un billet publié ce 9 octobre, Mozilla se dit bien sûr ravie : « Notre travail sur Secouer pour Résumer reflète l’évolution de Firefox. Nous réinventons notre navigateur pour qu’il s’adapte parfaitement à la vie moderne, en aidant les gens à naviguer avec moins d’encombrement et plus de concentration. Cette fonctionnalité s’inscrit également dans le cadre de nos efforts visant à offrir aux utilisateurs mobiles une interface plus claire et des outils plus intelligents qui rendent la navigation en déplacement rapide, transparente et même amusante ».

On ne sait pas quand la fonction arrivera sur les appareils Android. L’utilisation de l’IA chez Google, via Gemini, est très différente, tout ou presque passant par les serveurs. Pour les opérations sur les textes, tout est exécuté localement chez Apple. Ce qui signifie aussi qu’en fonction de l’appareil et de la taille du texte, les performances peuvent varier.

L’entreprise néerlandaise ASML a une position unique dans le domaine des semi-conducteurs : elle est pratiquement incontournable, car elle fournit les machines permettant la gravure des puces, notamment par photolithographie. Début septembre, elle a d’ailleurs investi massivement dans Mistral, récupérant 11 % du capital pour 1,3 milliard d’euros.

ASML a désormais un nouveau directeur technique (CTO) : Marco Pieters, qui devient également vice-président exécutif de l’entreprise. Il ne répondra qu’à Christophe Fouquet, le CEO français d’ASML depuis 18 mois environ. La société n’est d’ailleurs pas allée chercher bien loin, car Marco Pieters travaille depuis longtemps au sein d’ASML.

« Dans le cadre de notre solide processus de planification de la relève, je suis fier de nommer Marco, un dirigeant de longue date d’ASML, au poste de directeur technique. Après avoir travaillé à ses côtés pendant de nombreuses années, Marco a tout mon soutien pour faire avancer notre feuille de route technologique au service de nos clients. Je me réjouis de la poursuite de notre collaboration. En outre, le conseil de surveillance d’ASML a annoncé son intention de nommer Pieters au conseil d’administration à partir de la prochaine assemblée générale annuelle (AGA) de la société qui se tiendra le 22 avril 2026 », a déclaré Christophe Fouquet. Le conseil passera alors de cinq à six membres.

La nomination est cruciale, car ASML est souvent considérée comme l’un des piliers invisibles du monde de la tech.

Chaud devant !

Pour une vingtaine d’euros, Tongou propose des interrupteurs connectés à installer dans votre tableau électrique, sur le rail DIN. L’intensité peut monter jusqu’à 63 ampères. Nous en avons testé deux.

Il y a quelque temps déjà, nous avions testé des modules Shelly au format DIN, mais avec un problème : leur limitation à 16 ampères par ligne électrique (40 ampères au total pour le Pro 4PM qui comporte quatre lignes). Nous voulions monter beaucoup plus haut – jusqu’à 32 ampères au moins – pour piloter la charge d’une voiture électrique.

La marque Tongou revenait assez souvent lors de nos recherche. Elle propose des interrupteurs Wi-Fi au format DIN pour une vingtaine d’euros, avec une puissance allant de 6 à 63 ampères.

Nous en avons acheté deux modèles : 40 et 63 ampères, avec l’intention d’ouvrir le second pour voir l’électronique et le câblage interne d’un module capable d’encaisser – selon le fabricant – plus de 14 000 W (14 kW). Nous vous détaillerons nos trouvailles dans un second article.

Visuellement, ils sont identiques. Attention, ce ne sont « que » des interrupteurs, pas des disjoncteurs ! Pensez donc à les installer derrière un disjoncteur afin de protéger votre installation. D’autant que les interrupteurs Tongou ne coupent que la phase, comme les interrupteurs de vos lumières. Le neutre est en liaison directe entre l’entrée et la sortie, c’est indiqué sur le côté des interrupteurs et confirmé par nos observations lors du démontage.

Application Tuya indispensable, mais compte pas obligatoire

Une fois installés dans le tableau électrique et alimentés, il faut télécharger l’application Tuya pour les configurer. Elle ne nécessite pas de compte pour fonctionner, mais certaines capacités, comme la gestion des interrupteurs depuis un réseau mobile, en nécessitent un.

Vous ne couperez par contre pas à la ribambelle d’autorisations en tous genres (localisation, réseau local, Bluetooth, données…). On regrette qu’il n’y ait pas de serveur web intégré comme le propose Shelly, permettant un fonctionnement et une récupération des données sans application supplémentaire.

Sur les interrupteurs connectés Tongou, il est possible de suivre la consommation et divers indicateurs sur le courant de votre réseau, mais aussi de configurer le module, de paramétrer des scénarios, etc. Il est possible de définir des actions en fonction de seuils minimums et maximums sur les mesures de la tension, de l’intensité et de la puissance (couper si l’intensité dépasse une limite par exemple). Amazon Alexa et Google Assistant sont également pris en charge.

Port 6668 ouvert, mais pas de serveur web ou API « ouverts »

Curieux, nous lançons un scan de l’ensemble des ports des adresses IP de nos deux interrupteurs connectés, via la commande nmap depuis un serveur avec Ubuntu Server. Un seul port est ouvert : le 6668, mais il ne propose pas de serveur web accessible et ne répond pas à des demandes basiques.

Il est en fait possible de récupérer des informations en local, mais cela nécessite de créer un compte développeur Tuya afin d’obtenir l’identifiant et la clé des interrupteurs, pour les intégrer ensuite dans une application.

Il y en a un exemple dans le gestionnaire de paquets npm avec TuyAPI. C’est donc techniquement possible de se passer de l’application, mais on est très loin de la facilité de Shelly.

Puissance, intensité, tension

L’application donne des informations en temps réel sur la tension, l’intensité et la puissance. Un total journalier et global permet de suivre la consommation en kWh. Il est possible de configurer un compte à rebours et de programmer des scénarios en fonction de la météo, de votre emplacement, d’une alarme, etc. On peut ainsi allumer ou éteindre l’interrupteur à heure fixe ou en fonction du levé ou couché du Soleil. Rien d’exceptionnel, des fonctions élémentaires mais bien pratiques.

Passons aux choses sérieuses avec une mise en situation réelle. Nous branchons les deux interrupteurs en cascade : le 63 A en premier juste derrière un disjoncteur (lui-même derrière un interrupteur différentiel afin de protéger les personnes… moi en l’occurrence). Le Tongou de 40 A est branché en suivant le 63 A. Le but est de pouvoir comparer les mesures entre les deux.

Au repos, sans aucune charge, les deux indiquent 0,00 watt. La consommation du module n’est pas nulle, mais en dessous du seuil de détection. Afin de monter en charge, nous branchons un chargeur de voiture électrique capable de tirer jusqu’à 32 A en continu sur du monophasé.

Nos mesures à plus de 7 kW des deux interrupteurs connectés

Voici les résultats de nos mesures :

Moyennes sur l’interrupteur connecté Tongou 63 A :

• Tension : 228,71 V
• Intensité : 32,739 A
• Puissance : 7 498,1 W

Moyennes sur l’interrupteur connecté Tongou 40 A :

• Tension : 228,88 V
• Intensité : 32,387 A
• Puissance : 7 433,2 W

Écart entre les deux interrupteurs connectés (le 40 A branché après le 63 A):

• Tension : 0,17 V
• Intensité : 0,352 A
• Puissance : 64,9 W

Sans surprise, l’interrupteur de 63 A affiche une consommation supérieure à celui de 40 A puisqu’il prend en compte la consommation de son petit frère. La différence est par contre très (trop) importante : 65 watts. L’écart est constant sur quasiment une heure de mesures non-stop (un relevé toutes les 5 secondes).

Afin d’avoir un autre point de vue, on change de sens pour les mesures : l’interrupteur de 40 A est derrière le disjoncteur et l’interrupteur de 63 A après celui de 40 A. Le but est de voir si l’écart entre les deux reste le même.

Moyennes sur l’interrupteur connecté Tongou 40 A :

• Intensité : 32,476 A
• Tension : 228,18 V
• Puissance : 7 431,0 W

Moyennes sur l’interrupteur connecté Tongou 63 A :

• Intensité : 32,854 A
• Tension : 227,62 V
• Puissance : 7 488,6 W

Écart entre les deux :

• Intensité : 0,378 A
• Tension : 0,56 V
• Puissance : 57,6 W

60 watts d’écart entre les deux modules sur 7 500 watts

Cette fois-ci le 40 A est en tête du circuit et prend donc dans son calcul la consommation de l’interrupteur de 63 A… mais c’est toujours celui de 63 A qui consomme le plus d’après les relevés. S’il est placé entre le chargeur et celui de 40 A, il est physiquement impossible que celui de 63 A consomme davantage. La seule explication est une erreur/approximation dans les mesures.

La différence entre les deux interrupteurs est de 60 watts environ (peu importe la position dans le schéma électrique). Cela peut paraître élevé, mais c’est finalement moins de 1 % ramené à la puissance totale mesurée qui était de plus de 7 400 watts.

Nous avons également fait des essais à 2 300 watts (charge à 10 A) et la différence était de 30 watts environ entre les deux interrupteurs, toujours avec le 63 A au-dessus du 40 A. Nous étions alors un peu au-dessus de 1 % d’écart par rapport à la mesure.

Jusqu’à 63 A, mais « suggéré moins de 40 A »

Dernier point et pas des moindres, si l’interrupteur 63 A est donné pour 63 ampères maximum, le fabricant indique sur son site : puissance « suggérée moins de 40 A », sans explication.

Lorsque nous avons chargé une voiture pendant 2 h avec une puissance de 32 A (désolé, nous n’avons pas de chargeur plus puissant en stock…), les deux interrupteurs étaient un peu chauds (plutôt tièdes d’ailleurs) sur les extrémités, mais rien d’affolant. Aucune différence notable entre le 40 et le 63 A sur ce point, quel que soit l’ordre dans lequel ils sont connectés.

On vous conseille néanmoins de ne pas coller un tel interrupteur connecté à d’autres modules dans votre tableau électrique.

Dans le prochain article, on vous montrera à quoi cela ressemble à l’intérieur du module de 63 ampères.

Rishi Sunak, qui a démissionné du poste de Premier ministre britannique en 2024, a été nommé conseiller sénior par les deux entreprises Microsoft et Anthropic, explique le Guardian. Il ajoute ces casquettes à celles de conseiller sénior pour Goldman Sachs et de communicant pour des entreprises d’investissement comme Bain Capital et Makena Capital.

L’Acoba (Advisory Committee on Business Appointments, équivalent de la Haute Autorité pour la transparence de la vie publique) s’est inquiétée du fait qu’ « il y a des risques liés à [son] accès à des informations susceptibles de conférer à Microsoft un avantage indu ». L’ancien responsable du Parti conservateur britannique assure qu’il se bornera à donner des conseils sur les « perspectives stratégiques de haut niveau sur les tendances macroéconomiques et géopolitiques » et qu’il n’en donnera pas sur les règles britanniques.

L’autorité de la transparence a noté que l’IA a été une priorité importante pendant que Rishi Sunak était au pouvoir, mais que « rien n’indique que des décisions ou des mesures aient été prises pendant son mandat en prévision de ce poste, et le Cabinet Office [cabinet du gouvernement britannique] a confirmé qu’il n’avait connaissance d’aucune décision que vous auriez prise spécifiquement concernant Anthropic, par opposition à l’ensemble du secteur ». Elle indique néanmoins à l’ancien Premier ministre qu’ « il existe une crainte raisonnable que votre nomination puisse être perçue comme offrant un accès et une influence injustifiés au sein du gouvernement britannique ».

Selon le Guardian, Rishi Sunak a assuré à l’Acoba qu’il n’aurait qu’un rôle interne et qu’il n’impliquerait aucun lobbying.

Edit est un petit programme que Microsoft a présenté lors de sa dernière conférence Build. Gratuit, écrit en Rust et open source (sous licence MIT), il a son propre dépôt GitHub.

La petite application est particulièrement légère (moins de 250 ko) et se veut autant un outil pratique pour dépanner (ou pour les personnes ayant cette préférence) qu’un hommage à MS-DOS. Comme nous l’indiquions en mai dernier, Edit propose bon nombre de fonctions que l’on s’attend à trouver dans ce genre d’outil, comme la possibilité de chercher et remplacer du texte, le support des majuscules et minuscules, la prise en charge des expressions régulières ou encore la rotation entre plusieurs fichiers ouverts en parallèle (via Ctrl + P).

À l’époque, Microsoft indiquait que la principale motivation derrière la création d’Edit était le besoin d’avoir dans Windows un éditeur CLI en 64 bits et par défaut.

Justement, l’éditeur a mis à jour la fiche descriptive de la mise à jour KB5065789 pour Windows 11. Elle a été diffusée fin septembre et est présente aussi bien sur les versions 24H2 et 25H2 du système (qui partagent pour rappel la même branche de service). Comme repéré par Neowin, Microsoft a ajouté un élément : l’inclusion par défaut d’Edit. 

Spoil : non.

Tout mon soutien à ce cher Marcus ainsi qu’à toutes les équipes derrière Game One. Quant à l’autre, qu’il se débrouille !

Un ADN en pleine forme

L’ONG a fêté ses 40 ans le 4 octobre. Elle a profité d’un évènement dédié pour faire plusieurs annonces, dont la nomination de son nouveau président, Ian Kelling. La FSF a également provoqué une petite surprise en annonçant un projet de téléphone libre, nommé sobrement LibrePhone.

La Free Software Foundation existe désormais depuis plus de 40 ans. Elle avait été fondée le 4 octobre 1985 par Richard Stallman et lutte inlassablement depuis pour promouvoir le logiciel libre, en établissant une différence très nette avec l’open source. « Le logiciel libre signifie que les utilisateurs ont la liberté d’exécuter, d’éditer, de contribuer et de partager le logiciel », indique ainsi que la fondation sur son site officiel. L’open source, qui consiste techniquement à voir les sources, n’entraine pas de lui-même ces libertés, tout dépendant de la licence accompagnant le code.

Pour fêter dignement cet anniversaire, la fondation avait organisé un évènement. De nombreux intervenants étaient présents, avec de nombreuses discussions sur le logiciel libre et des retours d’expérience sur certains projets, dont Debian, Trisquel et Emacs.

Un nouveau président et un téléphone libre

Ce 40ᵉ anniversaire était aussi l’occasion de faire quelques annonces importantes. La FSF a ainsi confirmé que Ian Kelling était le nouveau président de la structure. La fondation avait cependant annoncé la nouvelle deux jours avant dans un communiqué. Il prend ainsi la relève de Geoffrey Knauth, qui tenait la barre depuis 2020.

« Depuis qu’il a rejoint le conseil d’administration en 2021, Ian a fait preuve d’une compréhension claire de la philosophie du logiciel libre dans la technologie d’aujourd’hui, et d’une vision forte. Il reconnaît les menaces que représentent les technologies à venir, favorise la transparence, a joué un rôle important dans la conception et la mise en œuvre de nouveaux processus de recrutement du conseil d’administration, et a toujours adhéré aux principes éthiques. Il m’a également donné de précieux conseils dans des moments critiques, pour lesquels je suis très reconnaissant », a ainsi déclaré Geoffrey Knauth.

Zoë Kooyman reste la directrice exécutive de la fondation. Et c’est elle, justement, qui a fait la deuxième grande annonce : le LibrePhone. Il s’agira d’un téléphone entièrement libre, conçu depuis une page blanche. On n’en sait guère plus pour l’instant, sinon que le travail se fera notamment en partenariat avec Rob Savoye, développeur travaillant sur le logiciel libre depuis une quarantaine d’années lui aussi.

« Puisque l’informatique sur téléphone mobile est désormais si omniprésente, nous sommes très enthousiastes à propos de LibrePhone et pensons qu’il a le potentiel d’apporter la liberté du logiciel à de nombreux autres utilisateurs dans le monde », a déclaré Rob Savoye.

Pour Richard Stallman, les choses ne vont pas dans le bon sens

Dans une interview publiée ce 8 octobre par Linuxfr.org, Richard Stallman est revenu sur le cœur de sa mission et celle de la Free Software Foundation. De ce point de vue, rien n’a changé : il établit toujours un distinguo net entre open source et libre, revient sur la précision du vocabulaire à employer (« depuis vingt ans, je n’emploie plus “free” pour dire gratuit, je dis gratis »), la distinction autour du copyleft, ou encore la lutte contre les logiciels privateurs.

Cette dernière est bien sûr au centre des actions de la Free Software Foundation. La notion de logiciel privateur ne regroupe d’ailleurs pas seulement le code propriétaire. Il y inclut tout ce qui géolocalise les personnes, passe obligatoirement par des serveurs, analyse les données personnelles et ainsi de suite. Stallman insiste : « Tout programme privateur, fait toujours du mal à ses utilisateurs. Ma mission est de faire comprendre aux gens cette question ».

Il regrette d’ailleurs que Debian ait changé son fusil d’épaule en assouplissant sa ligne de conduite, en permettant notamment une installation plus simple des pilotes propriétaires depuis son dépôt « main ». Ce n’est toutefois pas exactement le cas : on peut installer des pilotes et firmwares non-libres depuis un dépôt dédié et activé par défaut, mais il s’agit de « non-free-firmware ». Mais ce choix a quand même conduit la Free Software Foundation à ne plus recommander Debian.

Dans l’ensemble, après 40 ans de lutte, Richard Stallman se dit déçu du résultat. La situation générale se dégrade selon lui, notamment « la direction que prennent les choses ». Il encourage d’ailleurs les Français à « exiger que les services numériques de l’État respectent le logiciel libre. Spécifiquement, qu’ils cessent de transmettre des programmes privateurs à exécuter sur la machine des utilisateurs, et qu’ils respectent davantage l’anonymat des individus. Parce que les données personnelles, une fois collectées dans une base, finiront par être abusées, peut-être même par l’État ».

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

« Reviens, j’ai les mêmes à la maison ! »

Depuis son rachat en juin 2018 pour 7,5 milliards de dollars, GitHub jouissait d’une relative indépendance au sein de Microsoft. La situation a commencé à changer en aout avec le départ du CEO de GitHub, Thomas Dohmke. Une étape supplémentaire sera franchie dans un futur proche : Microsoft a confirmé que tous les services seraient migrés vers Azure au « cours des 24 prochains mois ».

« GitHub migrera vers Azure au cours des 24 prochains mois, car nous pensons que c’est la bonne décision pour notre communauté et nos équipes. Nous devons évoluer plus rapidement pour répondre à la croissance explosive de l’activité des développeurs et des flux de travail alimentés par l’IA, et notre infrastructure actuelle atteint ses limites », a déclaré Kyle Daigle, directeur de l’exploitation de GitHub, à The Verge.

C’est ainsi que Microsoft a confirmé une rumeur de plus en plus insistante et dont nos confrères se faisaient le relai. Selon plusieurs sources, la décision serait considérée en interne comme « existentielle ». On peut effectivement y voir un problème de logique : pourquoi continuer sur une ancienne architecture dédiée (implantée en Virginie) alors que la maison-mère possède l’une des plus vastes infrastructures cloud au monde ?

Il s’agirait autant de réduire les couts d’un tel hébergement que de permettre la continuité dans le passage à l’échelle.

Une question existentielle

Nos confrères rapportent que l’annonce de cette migration aurait été faite en interne la semaine dernière par le directeur de la technologique de GitHub, Vladimir Fedorov.

« Nous sommes limités par la capacité des serveurs de données avec des possibilités limitées de mettre en ligne plus de capacité dans la région de Virginie du Nord », aurait écrit le responsable. « Nous devons le faire. Il est existentiel pour GitHub d’avoir la capacité d’évoluer pour répondre aux exigences de l’IA et de Copilot, et Azure est notre voie à suivre ».

La lettre évoque une « mobilisation » au sein d’Azure et de l’équipe CoreAI. Cette dernière est devenue centrale chez Microsoft, comme nous l’indiquions en aout. Thomas Dohmke, CEO de GitHub, démissionnait alors, sans remplacement programmé. Les troupes de GitHub étaient alors rapprochées de CoreAI, division créée l’année dernière dans le but affiché de développer une pile « Copilot & AI » pour les besoins internes et les clients.

• Avec la démission de son patron, GitHub s’enfonce davantage dans la CoreAI de Microsoft

12, 18 ou 24 mois ?

« Je sais que ce n’est pas la première fois que nous disons que GitHub passe à Azure. Je sais aussi que ce type de migrations (dont certaines que nous avons déjà essayées) peut s’éterniser, et plus elles traînent en longueur, plus elles sont susceptibles d’échouer », aurait également écrit Fedorov dans sa lettre interne.

Ce ne sera pas la première fois que GitHub doit déplacer des éléments de son infrastructure dans Azure. Le mouvement a déjà été fait pour Git dans Azure et Azure Sites Automation, et les migrations associées ne se seraient pas bien passées. Dans ce contexte, il aurait été demandé aux équipes de GitHub de travailler en priorité sur la migration complète vers Azure, quitte à retarder le développement de nouvelles fonctionnalités.

Selon le calendrier qu’a pu consulter The Verge, l’essentiel de la migration serait achevé dans les 12 mois. L’abandon complet de l’ancienne infrastructure se ferait dans les 18 mois, avec une marge de sécurité de 6 mois, aboutissant à une période maximale de deux ans.

Comme le rappellent d’ailleurs nos confrères, une migration de cette ampleur ne sera pas sans poser de nombreux défis. En plus du retard dans l’arrivée de fonctions prévues, elle pourrait entrainer des pannes plus ou moins importantes selon les services. GitHub en a connu plusieurs cette année et, à l’heure où nous écrivons ces lignes, Azure en connait une lui-même, avec de multiples perturbations à la clé.

Orange a admis jeudi matin que ses services d’accès à Internet étaient susceptibles de faire l’objet d’un « dérangement collectif » dont nous avons eu directement confirmation sur une ligne fixe parisienne, avec un incident réseau signalé aux alentours de 10 heures, et une promesse de résolution « en fin de matinée ».

Les outils de signalement d’incidents de type downdetector soulignent effectivement un pic des demandes liées à Orange à partir de 10 heures, avec une situation qui semble revenir à la normale à partir de 12 heures. Dans l’intervalle, plusieurs centaines d’internautes se sont tout de même enquis de la santé du réseau de l’opérateur, sur lequel un incident physique s’est bien produit jeudi matin.

À ce stade, aucun lien n’est formellement établi avec les dysfonctionnements constatés par certains clients finaux, mais une « grosse déflagration » est en effet survenue jeudi matin place de Breteuil à Paris (VIIe arrondissement), « dans un local technique d’Orange dans une copropriété qui appartient notamment à l’hôtel de luxe SAX Paris, inauguré au printemps dernier », rapporte le Parisien.

D’après le quotidien, trois ouvriers auraient été blessés par l’explosion et rapidement pris en charge. L’accident serait survenu alors qu’ils procédaient à une soudure sur le compresseur d’un bloc de climatisation.

Sur X, les témoignages signalant une impossibilité d’accéder à certains des services en ligne de Microsoft affluent depuis environ 10h30 jeudi matin. Les messages évoquent des dysfonctionnements principalement au niveau des versions entreprises de Microsoft 365, mais aussi une impossibilité d’accès à certains des services cloud de Microsoft Azure. En parallèle, les requêtes effectuées sur les sites dédiées à la vérification de disponibilité d’un service montrent une recrudescence des demandes relatives à Minecraft, ce qui laisse là aussi augurer des difficultés de connexion aux fonctionnalités en ligne, distribuées via le cloud de l’éditeur.

La page statut des principaux services Microsoft confirme une dégradation de service au niveau des offres professionnelles Microsoft 365 (la messagerie et la bureautique grand public semblent quant à elles fonctionnelles). « Tout utilisateur tentant d’accéder au centre d’administration Microsoft 365 ou d’utiliser Microsoft Entra [la solution cloud de gestion des identités et des accès de l’éditeur, NDLR] pour accéder à d’autres services Microsoft 365 peut être affecté », indique la dernière mise à jour publiée vers 11h43. La piste en cours d’investigation concerne l’infrastructure responsable de la répartition de charge (load balancing).

Du côté d’Azure, l’infrastructure en tant que service de Microsoft, les outils d’information n’ont référencé aucun incident jusqu’à environ 11h45 jeudi, et ce alors même que le compte X chargé du support répondait qu’un problème était bien identifié aux internautes inquiets. Peu avant midi donc, les outils dédiés à la santé du service ont été mis à jour pour signaler « une perte de capacité significative dans environ 21 environnements Azure Front Door en Europe et en Afrique ». À la même heure, le service santé de la console Azure retournait quant à lui une erreur d’affichage… De quoi sans doute donner du grain à moudre aux détracteurs de la logique commerciale qui pousse Microsoft à abandonner ses offres on-premise au profit de formules cloud…

Pomme glacée

De nouvelles applications dédiées aux activités des agents de l’ICE ont été supprimées de l’Apple Store. Dans un cas, l’entreprise a justifié sa décision par ses règles de protection des minorités contre les discours de haine – assimilant de fait les fonctionnaires concernés à une minorité.

Après les applications de signalement des services d’immigration, celles d’enregistrements de vidéos de violences commises par les agents de l’administration états-unienne.

Apple vient de supprimer de son magasin d’application Eyes Up, une application dédiée à enregistrer des vidéos TikTok, des Reels Instagram, des vidéos et des clips d’informations revenant sur des cas de violences commises par le personnel de l’Immigration and Customs Enforcement (ICE, le service des douanes états-unien).

DeICER, une autre application dédiée à enregistrer les activités de forces de l’ordre affiliées à l’ICE, a elle aussi été supprimée. D’après Migrant Insider, le motif utilisé pour justifier ce retrait est habituellement utilisé pour protéger les populations minorisées des discours de haine.

Pression accrue du gouvernement Trump

La suspension d’Eyes Up suggère que la pression exercée par le gouvernement des États-Unis sur les géants numériques prend un tour plus large que le retrait déjà obtenu d’outils pour partager en temps réel la localisation d’agents de l’ICE.

En début de semaine, Apple et Google suspendaient en effet ICEBlock, une application disponible depuis le mois d’avril pour permettre à qui le souhaitait de surveiller et de s’échanger des informations de localisation sur les équipes de l’ICE.

Eyes Up se contentant de fonctionner comme un agrégateur de contenu – certes, spécifique –, son créateur affirme à 404 Media : « je pense que l’administration est simplement trop embarrassée par le nombre de vidéos incriminantes que nous avons ».

Agents de l’ICE, nouvelle catégorie protégée ?

Quelles que soient les raisons du gouvernement local, elles influent visiblement sur les conditions d’utilisation des sociétés numériques. Apple a en effet utilisé des règles initialement écrites afin de protéger des minorités des discours de haine pour justifier la suppression d’une autre application. De fait, l’entreprise fait de la catégorie professionnelle des agents de l’ICE une minorité demandant une protection spécifique.

Pour le créateur de DeICER, le risque n’est pourtant pas que ces agents soient discriminés. « Enregistrer des fonctionnaires n’est pas du harcèlement, c’est la démocratie », souligne-t-il auprès de Migrant Insider.

Au quotidien, l’ICE recourt de son côté à un outil de surveillance de la localisation de centaines de millions de téléphones mobiles. L’outil permet aux agents de fouiller dans des masses de données de localisation et en provenance des réseaux sociaux et s’appuierait notamment sur les solutions Tangles et Webloc, historiquement produites par la société israélienne Cobwebs et désormais vendues par Penlink.

Bonne nouvelle, le secteur de la cybersécurité est en plein boum. Enfin bientôt…

Un data center détruit dans l’incendie causé par l’explosion d’une batterie au lithium-ion. Tel est l’événement qui paralyse la Corée du Sud depuis le 26 septembre : d’une batterie, le feu s’est propagé à 384 autres.

Le feu a pris lors d’un exercice de réduction des risques, alors que des batteries UPS (Uninterrupted Power Supply, dédiées à la continuité de l’alimentation électrique) d’une salle de serveurs installée au cinquième étage du bâtiment étaient déplacées vers les sous-sols pour protéger des infrastructures critiques.

Installées en 2014, ces batteries avaient dépassé leur durée de vie recommandée (10 ans), note le Korea Herald, même si elles avaient subi des inspections régulières.

Le centre hébergeant les données de l’administration sud-coréenne, 647 des 1 600 services numériques gouvernementaux se sont retrouvés bloqués. Parmi eux, le portail centralisé qui permet aux citoyens d’accéder à leurs services publics, les services postaux et logistiques, ou encore les services d’urgence, dont ceux permettant de géolocaliser les appels 119 pour répartir efficacement les unités.

Au bout de quatre jours, seuls 85 services étaient restaurés, et le gouvernement estimait à quatre semaines pleines le temps nécessaire à une reprise normale des activités.

Au passage, 858 To de données relatives aux citoyens ont été définitivement perdues. Les fonctionnaires avaient accès à 30 Go de stockage sur leur G-Drive (pour Government drive, et non Google drive) pour sauvegarder leurs activités. Les travaux de 750 000 d’entre eux ont brûlé avec les serveurs, d’après le ministère de l’Intérieur coréen.

L’incendie fait écho à celui qui avait frappé OVHcloud en 2021. Sur le coup, plusieurs clients de l’entreprise française avaient, eux aussi, intégralement perdu leurs données, notamment faute d’avoir souscrit un service de sauvegarde.

L’administration sud-coréenne a fait la même erreur.

• Une donnée informatique, ça brûle

Le Texas, l’Utah et la Louisiane ont tous trois passé récemment des lois pour imposer la vérification de l’âge des utilisateurs à la création des comptes et avant de les laisser installer des applications depuis des boutiques. Apple et Google viennent ainsi de publier des informations en ce sens.

Dans un cas comme dans l’autre, l’idée est surtout de généraliser les mécanismes de vérification et de pouvoir diffuser ces informations aux applications, via de nouvelles API. Car si les boutiques doivent bloquer l’accès aux mineurs, les applications ont également des obligations.

Les nouvelles API (d’autres arriveront plus tard cette année) auront ainsi pour mission de signaler aux applications y faisant appel que la personne est majeure. Si elle ne l’est pas, elle devra obligatoirement faire partie d’un groupe familial. Le contrôle parental s’appliquera donc pleinement. Les deux entreprises travaillent ainsi à fluidifier les signaux d’autorisation ou de blocage pour les applications tierces.

C’est au Texas que la loi s’appliquera en premier, le 1ᵉʳ janvier 2026. Suivront l’Utah le 7 mai et la Louisiane le 1ᵉʳ juillet. Dans les trois cas, Apple et Google sont très critiques de ces législations. « Ces lois imposent de nouvelles exigences importantes et lourdes à de nombreuses applications qui peuvent avoir besoin de fournir des expériences adaptées à l’âge des utilisateurs de ces États », affirme par exemple Google. Apple pointe de son côté « la collecte d’informations sensibles et personnellement identifiables », même pour des actions aussi triviales que consulter la météo.

La nouvelle n’a pas encore été confirmée par la chaîne, mais plusieurs des employés et chroniqueurs ont confirmé publiquement l’information, révélée mercredi soir par BFM : la chaîne de télévision Game One, spécialisée dans les jeux vidéo et la culture geek, s’apprête à fermer ses portes. Le groupe Paramount Networks France, à qui elle appartient, aurait programmé la fin de la diffusion aux alentours de la fin novembre.

D’après BFM, qui indique avoir échangé avec une dizaine de salariés de la chaine, la décision interviendrait dans le cadre d’un plan de restructuration global des activités télévisuelles de Paramount en France. Elle découlerait du projet de fusion engagé, aux États-Unis, entre Paramount et Skydance, récemment validé par la FCC.

La nouvelle a de quoi surprendre. Contrairement à Nolife, fermée en 2018 après de multiples tentatives de sauvetage, Game One ne souffrait d’aucune difficulté financière : ses comptes 2024, déposés en juillet dernier, font d’après nos recherches état d’un chiffre d’affaires de 10,6 millions d’euros, pour un résultat net qui s’établit à 2,48 millions d’euros.

Plusieurs des chroniqueurs de TeamG1, l’émission phare de la chaine, animée par Julien Tellouck depuis 2014, ont réagi aux révélations de BFM dans la soirée. La spécialiste des jeux de combat Kayane semblait au courant, mais regrette que l’annonce n’ait pas pu être formulée par l’équipe.

« J’aurais préféré que cela soit annoncé dans de meilleures conditions, ne serait-ce que de notre part officiellement en premier, on l’aurait mérité et vous aussi qui suivez Game One depuis de nombreuses années pour certains. Mais les choses en sont tristement autrement… A mon grand regret, une chose aussi simple n’a même pas été possible », écrit-elle sur X.

Plus emblématique encore, puisqu’il officie sur Game One depuis la création de la chaîne, en 1998, Marcus a laissé entendre qu’il n’avait pas été informé.

« J’ai du mal à croire que Paramount et Skydance n’aient pas eu la décence de me prévenir de leur intention de mettre fin à une chaîne qui fait le bonheur des gamers depuis 1998 et sur laquelle j’officie depuis le premier jour. Si ce projet de fermeture est réel, c’est 27 ans de l’histoire du jeu vidéo qui vont être désintégrés », déclare-t-il, avant de promettre à ses « ptizamis » que « Game One n’est pas encore game over ».

Ainsi font font font les petites marionnettes

Il est bien difficile de suivre Synology : avec le DSM 7.3 qui vient d’être mis en ligne, le fabricant autorise de nouveau des disques durs et SSD tiers pour ses NAS x25 de la série « Plus ». D’autres nouveautés sont au programme, mais le transcodage des vidéos est toujours aux abonnés absents.

Le blocage des disques durs tiers par Synology sur les NAS de la série Plus aura duré plus longtemps que certains gouvernements français, mais le fabricant a finalement décidé de faire demi-tour au bout de quelques mois.

Disques dur certifiés obligatoires en avril

On rembobine en avril de cette année. Sans crier gare, Synology lâche une bombe : les NAS de la gamme Plus à partir de x25 nécessitent des disques durs signés Synology (des HDD rebadgés) ou certifiés par ses soins pour une nouvelle installation. Être sur la liste de compatibilité n’est plus suffisant. Seule exception : la migration d’un ancien système, mais avec des messages un peu anxiogènes quand même.

Vous utilisez un HDD Western Digital Red de 4 To (un disque dur spécialement pensé pour les NAS) ? Le NAS vous répond qu’il est impossible de créer un volume de stockage. La grogne était palpable chez les utilisateurs. Il y a encore un mois, la branche française de Synology restait cependant droite dans ses bottes : « La situation n’a pas vraiment changé. Nous sommes en discussion avec les fabricants de disques afin qu’ils puissent certifier leurs disques sur nos NAS », rapportait Cachem qui avait demandé où en était le blocage.

Les disques dur certifiés ne sont plus obligatoires en octobre…

Signe d’une bonne communication entre les équipes et d’une décision murement réfléchie, Synology vient de faire volte-face avec la mise en ligne du DSM 7.3 : « les modèles DiskStation Plus, Value et J Series de l’année 2025 exécutant DSM 7.3 prendront en charge l’installation et la création de groupes de stockage avec des disques tiers », affirme le fabricant dans un communiqué reçu par e-mail.

Synology laisse néanmoins planer le doute sur le retour d’une telle restriction, puisque cet assouplissement se fait « en attendant ». En attendant quoi ? Que les fabricants de disques puissent « élargir la gamme de supports de stockage certifiés », sans plus de précision.

Il reste néanmoins une limitation pour la série Plus des NAS x25 : une « nouvelle installation et création de groupe de stockages » ainsi que la création d’un cache nécessitent des SSD M.2 présents sur la liste de compatibilité.

… sauf sur les séries FS, HD, SA, UC, XS+, XS, DP, RS Plus et DVA/NVR

Avec les séries FS, HD, SA, UC, XS+, XS, DP, RS Plus et DVA/NVR c’est toujours le bazar. Si la migration est possible, une nouvelle installation et la création de groupe de stockages nécessitent des HDD ou SSD sur la liste de compatibilité… sauf pour les RS Plus et DVA/NVR avec des SSD de 2,5 pouces ; avec des HDD seule la migration est possible, allez comprendre !

Une FAQ avec pas moins de quatre tableaux en fonction des gammes résume la situation actuelle. Le fabricant tente bien une explication pour les RS Plus et DVA/NVR, sans pour autant dissiper le brouillard : « Pour les HDD, la compatibilité est limitée à certains modèles afin de garantir une fiabilité et des performances optimales. En revanche, aucune limitation de ce type n’est appliquée aux SSD SATA 2,5″, offrant ainsi aux utilisateurs la flexibilité de choisir des options tierces, avec une transparence assurée par des messages d’avertissement ».

Les autres nouveautés du DSM 7.3

Et sinon, quoi de neuf dans DSM 7.3 ? Un renforcement de la sécurité selon le fabricant : « Au cours des 12 derniers mois, DSM a reçu plus de 50 mises à jour de sécurité proactives. Dans DSM 7.3, la sécurité est encore renforcée grâce à l’adoption d’indicateurs de risque reconnus par l’industrie, notamment KEV, EPSS et LEV, pour une meilleure priorisation et protection contre les menaces ».

Sur la suite collaborative, « Synology Drive introduit des étiquettes partagées, des demandes de fichiers simplifiées et un verrouillage de fichiers amélioré pour faciliter la collaboration en équipe. Parallèlement, MailPlus renforce encore la sécurité avec la modération des e-mails et ajoute le partage de domaine pour unifier les identités à travers des infrastructures distribuées ».

Cet été, Synology a lancé officiellement son AI Console, « un outil de gestion qui permet aux administrateurs d’intégrer des IA tierces » dans les NAS Synology. Depuis, 430 000 systèmes l’ont adoptée et une nouvelle fonctionnalité fait son apparition afin de protéger les données des utilisateurs : « le masquage et le filtrage personnalisés des données, permettant aux utilisateurs de protéger localement les informations sensibles avant de les transmettre à des fournisseurs d’IA tiers ».

Parmi les autres nouveautés, signalons une option pour reporter les mises à jour automatiques importantes jusqu’à 28 jours, la prise en charge native d’exFAT pour les périphériques externes, des correctifs de sécurité, etc. Les notes de version détaillées se trouvent par ici.

Pas de retour des codecs en local sur le NAS

Avec la version 7.2.2 du DSM, Synology avait apporté des changements sur la partie vidéo, dont la suppression pure et simple de la Video Station. Un « changement stratégique » a été mis en avant : le traitement vidéo des médias (codecs HEVC, AVC et VC-1, HEIC pour les photos) ne se fait plus sur le NAS, mais sur les terminaux mobiles, officiellement « pour réduire l’utilisation inutile des ressources du serveur ». Cela permet aussi au fabricant de ne pas payer les licences nécessaires pour les codecs. Il n’y a visiblement pas de petites économies.

Dans DSM 7.3, Synology persiste et signe. « Si le terminal ne prend pas en charge les codecs requis, l’utilisation des fichiers multimédias peut être limitée », prévient le constructeur. Seule exception indiquée dans la FAQ : « Surveillance Station sur DSM continuera à prendre en charge le traitement côté serveur des flux AVC ».

Comme l’explique MacG, Synology va plus loin avec les NAS DS225+ et DS425+ (qui n’ont de x25 que le nom puisque la plateforme matérielle date de 2019) en désactivant le transcodage vidéo matériel.

Entre la girouette sur les disques durs certifiés sans réelles explications, la fin du transcodage et de la Video Station ainsi que les « nouveaux » NAS x25 avec un processeur de 2019/2020, on a bien du mal à suivre la logique du constructeur. Le fabricant voudrait laisser tomber le grand public et se mettre à dos une bonne partie de sa communauté qu’il ne s’y prendrait pas mieux.

Dernière version du DSM pour des NAS x16, x17, X18 et x19

DSM 7.3 nécessitera de redémarrer son NAS après installation et, comme toujours, il sera impossible de faire machine arrière. Pour télécharger le DSM 7.3, c‘est par ici ou directement depuis l’interface d’administration.

DSM 7.3 est aussi la dernière version pour un grand nombre de NAS :

• FS Series: FS3017, FS2017, FS1018
• XS Series: DS3018xs, DS3617xs, DS3617xsII, RS18016xs+, RS18017xs+, RS3617xs, RS3617RPxs, RS3617xs+, RS3618xs, RS4017xs+, RS819, RS217
• Plus : DS216+, DS216+II, DS716+, DS716+II, DS916+, DS718+, DS918+, DS1019+, DS218+, DS1517+, DS1817+, DS1618+, DS1819+, DS2419+, DS2419+II, RS2416+, RS2416RP+, RS2418+, RS2418RP+, RS2818RP+, RS818+, RS818RP+, RS1219+
• Value : DS116, DS216, DS216play, DS416, DS416play, RS816, DS118, DS218, DS218play, DS418, DS418play, DS1517, DS1817
• J : DS216j, DS416j, DS416slim, DS419slim, DS418j, DS218j, DS119j

C’est une fonction basique et indispensable quand on veut séparer la partie personnelle et professionnelle sur son ordinateur ou isoler les membres d’une famille sur une machine partagée. Chacun peut avoir son profil, avec ses comptes, ses cookies, son historique, etc.

Firefox depuis au moins la version 60 en 2018 propose des profils, mais ils étaient cachés et il fallait se rendre dans « about:profiles » pour y accéder. En avril, avec Firefox 138 une vraie gestion des profils utilisateurs est arrivée, avec des options de personnalisation.

Mozilla précisait que le déploiement était progressif et que cette fonctionnalité pouvait « ne pas être disponible chez tout le monde ». Dans les faits, c’est encore le cas pour certains, notamment sur plusieurs de nos machines. L’astuce de changer le paramètre « browser.profiles.enabled » sur « true » dans « about:config » fonctionne toujours.

Mais Mozilla semble enfin décidée à proposer directement cette fonctionnalité à tout le monde, le déploiement se fera à partir du 14 octobre. La fondation précise avoir travaillé avec des personnes souffrant de handicaps afin de rendre les profils « agréables à utiliser pour tout le monde ».

On regrette une fois encore que les profils ne puissent pas être protégés par un mot de passe, par exemple, pour qu’un enfant ne puisse pas accéder à celui de ses parents. C’est aussi le cas sur les autres navigateurs, mais c’est dommage.