Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le E c'est pour éducation ?

Le gouvernement envisage d’intégrer l’e-sport aux parcours éducatifs gérés par l’Éducation nationale pour soutenir le secteur « fragile sur le plan économique ».

Depuis son arrivée au pouvoir, Emmanuel Macron s’affiche en fervent défenseur de l’e-sport et surtout de sa filière économique.

Le gouvernement de Sébastien Lecornu pourrait de nouveau donner un coup de pouce au secteur, via une voie qui ne semble pas forcément aller de soi, surtout quand l’ambiance est à la réglementation de l’usage par les mineurs des réseaux sociaux, de l’IA et des jeux vidéo violents.

• Interdire les jeux vidéo violents ? La profession s’indigne de l’idée d’Emmanuel Macron
• Mineurs sur Internet : « Réglementez les plateformes, pas les enfants »

Alors que le gouvernement a lancé une mission confiée à des scientifiques pour « établir une analyse scientifique des effets (tant positifs que négatifs) et risques potentiels des jeux vidéo, particulièrement sur la santé mentale, cognitive et physique des jeunes utilisateurs, et en matière de sécurité des mineurs », il semble dans le même temps prêt à intégrer l’e-sport aux parcours éducatifs.

Une stratégie intégrant l’e-sport dans les parcours scolaires et éducatifs »

Nos confrères de Radio France ont eu accès à la stratégie « E-sport 2026 - 2030 », validée par Matignon à l’issue d’une concertation interministérielle, le 8 avril dernier et qui doit être présentée publiquement à l’occasion des championnats du monde de Rocket League organisés à Paris du 22 au 24 mai.

Selon les documents qu’ils ont pu consulter, et qui définissent cette stratégie visant à soutenir le secteur de l’e-sport en France, une part centrale est occupée par le volet scolaire, avec quatre actions pour développer le sous-axe titré « intégration de l’esport dans les parcours scolaires et éducatifs ».

Ainsi, le ministère de l’Éducation nationale devra piloter une action pour « créer des partenariats entre établissements et acteurs de l’esport pour développer des projets pédagogiques innovants ». Le document prévoit que le même ministère intègre l’esport dans les parcours éducatifs « notamment dans le cadre des activités hors du temps scolaires et des formations aux métiers du numériques », mais lance aussi un programme national « Esport & Éducation » pour « sensibiliser les jeunes aux opportunités professionnelles et aux enjeux éthiques liés à la pratique ». Enfin, il devra « développer des outils pédagogiques pour les enseignants et des supports de sensibilisation pour les familles ».

Soutenir un « secteur fragile sur le plan économique »

Cette stratégie assume de vouloir pousser la promotion et l’encadrement de la pratique pour le « développement économique » en France avec un marché mondial estimé à 12 milliards d’euros d’ici 2030 tout en expliquant que c’est un « secteur fragile sur le plan économique » pour lequel le gouvernement veut aider à « diversifier les sources de revenus ».

Mais selon Radio France, la stratégie a été arrêtée lors d’une réunion informelle en janvier alors que deux parties prenantes interministérielles étaient absentes, le ministère de la Santé et la Mildeca (Mission interministérielle de lutte contre les drogues et les conduites addictives), alors que celles-ci s’opposent justement à l’intégration de l’e-sport à l’école en pointant les risques des usages intensifs des jeux vidéo.

Le E c'est pour éducation ?

Le gouvernement envisage d’intégrer l’e-sport aux parcours éducatifs gérés par l’Éducation nationale pour soutenir le secteur « fragile sur le plan économique ».

Depuis son arrivée au pouvoir, Emmanuel Macron s’affiche en fervent défenseur de l’e-sport et surtout de sa filière économique.

Le gouvernement de Sébastien Lecornu pourrait de nouveau donner un coup de pouce au secteur, via une voie qui ne semble pas forcément aller de soi, surtout quand l’ambiance est à la réglementation de l’usage par les mineurs des réseaux sociaux, de l’IA et des jeux vidéo violents.

• Interdire les jeux vidéo violents ? La profession s’indigne de l’idée d’Emmanuel Macron
• Mineurs sur Internet : « Réglementez les plateformes, pas les enfants »

Alors que le gouvernement a lancé une mission confiée à des scientifiques pour « établir une analyse scientifique des effets (tant positifs que négatifs) et risques potentiels des jeux vidéo, particulièrement sur la santé mentale, cognitive et physique des jeunes utilisateurs, et en matière de sécurité des mineurs », il semble dans le même temps prêt à intégrer l’e-sport aux parcours éducatifs.

Une stratégie intégrant l’e-sport dans les parcours scolaires et éducatifs »

Nos confrères de Radio France ont eu accès à la stratégie « E-sport 2026 - 2030 », validée par Matignon à l’issue d’une concertation interministérielle, le 8 avril dernier et qui doit être présentée publiquement à l’occasion des championnats du monde de Rocket League organisés à Paris du 22 au 24 mai.

Selon les documents qu’ils ont pu consulter, et qui définissent cette stratégie visant à soutenir le secteur de l’e-sport en France, une part centrale est occupée par le volet scolaire, avec quatre actions pour développer le sous-axe titré « intégration de l’esport dans les parcours scolaires et éducatifs ».

Ainsi, le ministère de l’Éducation nationale devra piloter une action pour « créer des partenariats entre établissements et acteurs de l’esport pour développer des projets pédagogiques innovants ». Le document prévoit que le même ministère intègre l’esport dans les parcours éducatifs « notamment dans le cadre des activités hors du temps scolaires et des formations aux métiers du numériques », mais lance aussi un programme national « Esport & Éducation » pour « sensibiliser les jeunes aux opportunités professionnelles et aux enjeux éthiques liés à la pratique ». Enfin, il devra « développer des outils pédagogiques pour les enseignants et des supports de sensibilisation pour les familles ».

Soutenir un « secteur fragile sur le plan économique »

Cette stratégie assume de vouloir pousser la promotion et l’encadrement de la pratique pour le « développement économique » en France avec un marché mondial estimé à 12 milliards d’euros d’ici 2030 tout en expliquant que c’est un « secteur fragile sur le plan économique » pour lequel le gouvernement veut aider à « diversifier les sources de revenus ».

Mais selon Radio France, la stratégie a été arrêtée lors d’une réunion informelle en janvier alors que deux parties prenantes interministérielles étaient absentes, le ministère de la Santé et la Mildeca (Mission interministérielle de lutte contre les drogues et les conduites addictives), alors que celles-ci s’opposent justement à l’intégration de l’e-sport à l’école en pointant les risques des usages intensifs des jeux vidéo.

Le nerf de la guerre

Devant la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, plusieurs acteurs du libre (Mastodon, l’April, Framasoft, France Numérique libre…) ont poussé les parlementaires à prendre notamment exemple sur le modèle allemand de financement des projets de logiciels libres.

Dans le dossier de la souveraineté numérique, l’outil du logiciel libre titille le pouvoir. Est-ce que ça ne serait pas le moyen idéal pour se débarrasser des dépendances aux géants états-uniens ?

Invitées par la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, toutes les personnes militantes du logiciel libre (Renaud Chaput pour Mastodon, Loïc Dayot et Étienne Gonnu pour l’April, Pierre-Yves Gosset pour Framasoft et Nicolas Vivant pour la ville d’Échirolles et France Numérique libre), n’ont évidemment pas poussé les parlementaires dans le sens contraire.

Mais, pour que le logiciel libre puisse prendre toute sa place dans le sujet, selon elles, il faut faciliter et mieux organiser son financement par la puissance publique, en prenant exemple sur l’Allemagne notamment.

« Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner »

En effet, comme à Next en mars dernier, le directeur de la stratégie numérique de la ville d’Échirolles, Nicolas Vivant, a témoigné devant les députés que c’était possible de passer aux logiciels libres. Il a par contre rappelé que les agents qui le mettaient en place ne le faisaient pas « pour le plaisir » mais parce que c’est « un moyen permettant d’obtenir un certain nombre d’objectifs dont la cybersécurité, la bonne gestion des données personnelles, la souveraineté, la résilience même de notre infrastructure… ».

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Il ajoute qu’outre sa ville, d’autres acteurs publics sont passés au libre : « tous les gens qui l’ont fait viennent dire c’est possible. La gendarmerie, l’a fait, vous le savez, la Direction générale des Finances publiques (Dgfip) utilise LibreOffice depuis des années et des années. Et, tous ces gens-là sont la preuve concrète que c’est possible ».

Mais Pierre-Yves Gosset, coordinateur des services numériques de Framasoft, a appelé la puissance publique à davantage contribuer aux logiciels libres. « Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner », argumente-t-il, « il va falloir réussir à passer, et c’est là une vraie difficulté, on va pas le nier, d’une stratégie de consommation de consommateur de logiciel à une stratégie de contributeur à ce logiciel ».

• Demailnagement, Framasoft : comment utilisateurs et assos s’émancipent des GAFAM

Si la contribution de la Dinum aux logiciels libres via la Suite Numérique a fait beaucoup de remous ces temps-ci, les quatre structures auditionnées poussent à ce que les différentes entités du service public continuent dans ce chemin, et même accélèrent.

• Lecornu en équilibre entre soutien aux solutions de la DINUM et recours à la French tech
• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
  

En France, des discours, mais peu d’actes

Côté réseau social, Renaud Chaput, directeur technique de l’entreprise Mastodon, témoigne que le réseau social libre que soutient son entreprise « a vraiment un regain d’intérêt en Europe et ailleurs. La Commission européenne a son propre serveur Mastodon, travaille activement à l’agrandir. Les gouvernements allemands et néerlandais communiquent de plus en plus sur ce réseau, commencent à le soutenir financièrement également dans le but d’avoir leur communication publique sur une plateforme souveraine et qu’ils peuvent contrôler et qui n’est pas soumise à des intérêts américains ou chinois ».

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Mais il ajoute qu’« en France, on voit un début, il y a beaucoup de discours, même au plus haut niveau, sur le fait de créer nos propres plateformes européennes, de ne pas dépendre pour la communication publique de société étrangères. Par contre, je dois l’avouer, on voit assez peu d’actes ».

« La commande publique doit être un levier extrêmement important », estime quant à lui Étienne Gonnu de l’April, « pour aider à consolider les écosystèmes » du logiciel libre. Il ajoute même qu’« à partir du moment où une administration dans son appel d’offre choisit » de se priver d’une des quatre libertés incluses dans les licences libres, l’April considère qu’« elle doit le justifier »

• Fin de Windows 10 : la solution viendra-t-elle du libre ?

Loïc Dayot explique que « tous les textes sont là pour pouvoir commander du logiciel libre si on le souhaite », mais il appelle à ce que les normes de la commande publique soient complétées pour qu’elle deviennent plus « contraignantes ». Il témoigne qu’il existe « actuellement des commandes publiques qui permettent de ne pas respecter le référentiel général d’accessibilité, d’interopérabilité, de sécurité, de sobriété ».

La Sovereign Tech Agency allemande en modèle

Mais Renaud Chaput explique que le problème est surtout que « très peu de structures de logiciel libre que je connaisse sont capables de répondre à un appel d’offre d’un organisme public ». Et il pose la question : « comment peut-on recevoir du financement public ? ». Les intervenants ont insisté sur le fait que si le logiciel propriétaire peut facilement se glisser dans le système de la commande publique, c’est plus difficile pour l’open source car les logiciels ne sont pas vendus mais ce sont les services autour qui le sont.

Et tout le problème est de faire en sorte que les structures publiques qui utilisent le logiciel libre y contribuent notamment pour sa maintenance. « Un logiciel ça vit, un logiciel ça évolue, surtout maintenant avec toutes les dernières technologies et l’intérêt croissant. Il y a des failles de sécurité, il y a des bugs, il y a des corrections à faire », rappelle Renaud Chaput.

Le directeur technique de Mastodon pousse à aller dans le même sens que les Allemands qui ont créé une organisation « qui a de l’argent public et qui fait des contrats » : la Sovereign Tech Agency. Cette agence du gouvernement fédéral allemand « a pour mission de financer l’open source sur des projets d’infrastructures », explique-t-il.

« Ce ne sont pas des dons, précise-t-il avec lesquels les acteurs du libre ont l’habitude de fonctionner, ce sont des contrats qui vont contacter des projets open source et vont leur dire : si vous nous proposez des fonctionnalités que vous voulez développer, dites-nous combien ça coûte et vous construisez un commun numérique qui va servir à nos services qui utilisent votre logiciel, ça va servir à toute la communauté ».

Il témoigne que Mastodon a récemment obtenu 700 000 euros de cette façon pour améliorer le logiciel du réseau social. Il ajoute que cette agence a différents programmes de financement qui permettent soit de pouvoir financer un salarié ou une formation.

Renaud Chaput se félicite de la création de l’EDIC Digital Commons et qu’un des deux programmes principaux soit l’expérimentation d’un même projet que la Sovereign Tech Agency à l’échelle européenne et pousse à ce que la France aille dans le même sens.

Le nerf de la guerre

Devant la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, plusieurs acteurs du libre (Mastodon, l’April, Framasoft, France Numérique libre…) ont poussé les parlementaires à prendre notamment exemple sur le modèle allemand de financement des projets de logiciels libres.

Dans le dossier de la souveraineté numérique, l’outil du logiciel libre titille le pouvoir. Est-ce que ça ne serait pas le moyen idéal pour se débarrasser des dépendances aux géants états-uniens ?

Invitées par la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, toutes les personnes militantes du logiciel libre (Renaud Chaput pour Mastodon, Loïc Dayot et Étienne Gonnu pour l’April, Pierre-Yves Gosset pour Framasoft et Nicolas Vivant pour la ville d’Échirolles et France Numérique libre), n’ont évidemment pas poussé les parlementaires dans le sens contraire.

Mais, pour que le logiciel libre puisse prendre toute sa place dans le sujet, selon elles, il faut faciliter et mieux organiser son financement par la puissance publique, en prenant exemple sur l’Allemagne notamment.

« Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner »

En effet, comme à Next en mars dernier, le directeur de la stratégie numérique de la ville d’Échirolles, Nicolas Vivant, a témoigné devant les députés que c’était possible de passer aux logiciels libres. Il a par contre rappelé que les agents qui le mettaient en place ne le faisaient pas « pour le plaisir » mais parce que c’est « un moyen permettant d’obtenir un certain nombre d’objectifs dont la cybersécurité, la bonne gestion des données personnelles, la souveraineté, la résilience même de notre infrastructure… ».

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Il ajoute qu’outre sa ville, d’autres acteurs publics sont passés au libre : « tous les gens qui l’ont fait viennent dire c’est possible. La gendarmerie, l’a fait, vous le savez, la Direction générale des Finances publiques (Dgfip) utilise LibreOffice depuis des années et des années. Et, tous ces gens-là sont la preuve concrète que c’est possible ».

Mais Pierre-Yves Gosset, coordinateur des services numériques de Framasoft, a appelé la puissance publique à davantage contribuer aux logiciels libres. « Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner », argumente-t-il, « il va falloir réussir à passer, et c’est là une vraie difficulté, on va pas le nier, d’une stratégie de consommation de consommateur de logiciel à une stratégie de contributeur à ce logiciel ».

• Demailnagement, Framasoft : comment utilisateurs et assos s’émancipent des GAFAM

Si la contribution de la Dinum aux logiciels libres via la Suite Numérique a fait beaucoup de remous ces temps-ci, les quatre structures auditionnées poussent à ce que les différentes entités du service public continuent dans ce chemin, et même accélèrent.

• Lecornu en équilibre entre soutien aux solutions de la DINUM et recours à la French tech
• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
  

En France, des discours, mais peu d’actes

Côté réseau social, Renaud Chaput, directeur technique de l’entreprise Mastodon, témoigne que le réseau social libre que soutient son entreprise « a vraiment un regain d’intérêt en Europe et ailleurs. La Commission européenne a son propre serveur Mastodon, travaille activement à l’agrandir. Les gouvernements allemands et néerlandais communiquent de plus en plus sur ce réseau, commencent à le soutenir financièrement également dans le but d’avoir leur communication publique sur une plateforme souveraine et qu’ils peuvent contrôler et qui n’est pas soumise à des intérêts américains ou chinois ».

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Mais il ajoute qu’« en France, on voit un début, il y a beaucoup de discours, même au plus haut niveau, sur le fait de créer nos propres plateformes européennes, de ne pas dépendre pour la communication publique de société étrangères. Par contre, je dois l’avouer, on voit assez peu d’actes ».

« La commande publique doit être un levier extrêmement important », estime quant à lui Étienne Gonnu de l’April, « pour aider à consolider les écosystèmes » du logiciel libre. Il ajoute même qu’« à partir du moment où une administration dans son appel d’offre choisit » de se priver d’une des quatre libertés incluses dans les licences libres, l’April considère qu’« elle doit le justifier »

• Fin de Windows 10 : la solution viendra-t-elle du libre ?

Loïc Dayot explique que « tous les textes sont là pour pouvoir commander du logiciel libre si on le souhaite », mais il appelle à ce que les normes de la commande publique soient complétées pour qu’elle deviennent plus « contraignantes ». Il témoigne qu’il existe « actuellement des commandes publiques qui permettent de ne pas respecter le référentiel général d’accessibilité, d’interopérabilité, de sécurité, de sobriété ».

La Sovereign Tech Agency allemande en modèle

Mais Renaud Chaput explique que le problème est surtout que « très peu de structures de logiciel libre que je connaisse sont capables de répondre à un appel d’offre d’un organisme public ». Et il pose la question : « comment peut-on recevoir du financement public ? ». Les intervenants ont insisté sur le fait que si le logiciel propriétaire peut facilement se glisser dans le système de la commande publique, c’est plus difficile pour l’open source car les logiciels ne sont pas vendus mais ce sont les services autour qui le sont.

Et tout le problème est de faire en sorte que les structures publiques qui utilisent le logiciel libre y contribuent notamment pour sa maintenance. « Un logiciel ça vit, un logiciel ça évolue, surtout maintenant avec toutes les dernières technologies et l’intérêt croissant. Il y a des failles de sécurité, il y a des bugs, il y a des corrections à faire », rappelle Renaud Chaput.

Le directeur technique de Mastodon pousse à aller dans le même sens que les Allemands qui ont créé une organisation « qui a de l’argent public et qui fait des contrats » : la Sovereign Tech Agency. Cette agence du gouvernement fédéral allemand « a pour mission de financer l’open source sur des projets d’infrastructures », explique-t-il.

« Ce ne sont pas des dons, précise-t-il avec lesquels les acteurs du libre ont l’habitude de fonctionner, ce sont des contrats qui vont contacter des projets open source et vont leur dire : si vous nous proposez des fonctionnalités que vous voulez développer, dites-nous combien ça coûte et vous construisez un commun numérique qui va servir à nos services qui utilisent votre logiciel, ça va servir à toute la communauté ».

Il témoigne que Mastodon a récemment obtenu 700 000 euros de cette façon pour améliorer le logiciel du réseau social. Il ajoute que cette agence a différents programmes de financement qui permettent soit de pouvoir financer un salarié ou une formation.

Renaud Chaput se félicite de la création de l’EDIC Digital Commons et qu’un des deux programmes principaux soit l’expérimentation d’un même projet que la Sovereign Tech Agency à l’échelle européenne et pousse à ce que la France aille dans le même sens.

Pirate, moi ?

Après plusieurs plaintes d’auteurs, cinq multinationales de l’édition (notamment scolaire et scientifique) attaquent Meta devant la justice américaine pour l’utilisation d’œuvres qu’elles éditent pour entrainer la famille de modèles d’IA générative Llama.

Meta fait face à une action en justice pour violation du copyright qui pèsera sans doute un peu plus lourd que celles qui sont arrivées devant les tribunaux jusque là concernant l’utilisation pour ses modèles d’IA générative d’œuvres copyrightées.

Ici, ce ne sont pas quelques auteurs qui attaquent le groupe dirigé par Mark Zuckerberg (qui est aussi visé personnellement par la plainte), mais cinq multinationales de l’édition : Hachette, Macmillan, McGraw Hill, Elsevier et Cengage. Scott Turow, auteur de thrillers à succès mais également éditorialiste et avocat, est aussi associé à la plainte.

• IA : Meta aurait entraîné son modèle Llama sur la bibliothèque clandestine LibGen

Meta encore accusé d’être passé par du téléchargement illégal

La plainte [PDF], qui a été déposée ce mardi devant la cour du district sud de New York, accuse Meta et donc Mark Zuckerberg d’avoir d’abord « illégalement téléchargé via torrent [torrented, en anglais] des millions de livres et articles de revues scientifiques copyrightés provenant de sites pirates notoires et de scrapes web non autorisés de virtuellement tout l’internet », puis de les avoir copiés « à maintes reprises pour entraîner le système d’IA générative de Meta, baptisé Llama, dont la valorisation s’élève à plusieurs milliards de dollars ».

« Non contents d’utiliser les œuvres protégées par le copyright extraites de Common Crawl, les accusés ont cherché d’autres sources de textes copyrightés pour entraîner leurs modèles Llama », expliquent les avocats des éditeurs.

« Au départ, les accusés avaient envisagé d’obtenir des licences auprès de grands éditeurs pour utiliser des œuvres littéraires. Ils ont finalement opté pour une autre solution : télécharger illégalement les œuvres des demandeurs et du groupe de plaignants à partir de sites de piratage notoires, notamment LibGen, Anna’s Archive, Sci-Hub, Sci-Mag et d’autres », ajoutent-ils. Chargeant le CEO du groupe, ils affirment que « Zuckerberg lui-même a personnellement autorisé et activement encouragé cette violation ».

Mais les éditeurs n’accusent pas seulement Meta de téléchargement. Comme dans d’autres cas concernant l’utilisation d’œuvres par des IA génératives, ils affirment que les modèles de Meta restituent aussi ces œuvres dans leurs réponses.

« Llama génère des reproductions verbatim ou quasi verbatim des œuvres protégées par le copyright » des plaignants, affirme la plainte. « Par exemple, lorsqu’on lui soumet deux courtes phrases tirées du manuel à succès de Cengage, Calculus: Early Transcendentals, 9e édition, de James Stewart, Llama se met à reproduire mot pour mot la suite de la section », ajoutent les avocats.

« L’IA est à l’origine d’innovations transformatrices, d’une productivité accrue et d’une plus grande créativité pour les particuliers et les entreprises, et les tribunaux ont à juste titre estimé que l’entraînement d’un modèle d’IA sur des contenus protégés par le copyright pouvait relever du fair use », a affirmé le porte-parole de Meta Dave Arnold, au New York Times, « nous nous défendrons avec vigueur dans cette affaire ».

• IA : le Bureau US du copyright se positionne sur le fair use, Trump vire sa responsable

La question du fair use n’est pas encore tranchée

Si l’année dernière, les entreprises d’IA avaient gagné plusieurs manches judiciaires, contrairement à ce qu’affirme Meta, le débat sur le fair use pour entrainer les IA n’avait pas été tranché et le sujet reste encore ouvert. À l’époque, le juge Vince Chhaabria avait expliqué qu’il doutait de l’utilisation du fair use concernant les manuels scolaires en expliquant qu’il fallait aussi prendre en compte des « préoccupations concernant le préjudice qu’elle [l’IA générative] peut infliger au marché des œuvres sur lesquelles elle est entraînée ».

Cette réflexion peut sans doute s’étendre aux nombreuses œuvres qui se trouvent dans les catalogues des cinq éditeurs plaignants. Hachette, McGraw Hill et Cengage font partie des plus gros éditeurs de manuels scolaires dans le monde, par exemple. Et, si Elsevier est devenue une filiale d’un des plus grands courtiers de données du monde et fait maintenant d’importants bénéfices en devenant un data broker de l’activité scientifique, elle reste un des plus importants éditeurs scientifiques mondiaux.

• Elsevier récupère le plus de données possible sur les étudiants et chercheurs américains

La plainte demande la destruction de toutes les copies d’œuvres copyrightées utilisées par Meta pour l’entrainement de ses modèles après que l’entreprise en ait fait la liste exhaustive, qu’elle « cesse toute activité illégale » et « toute autre mesure que la Cour jugera appropriée ».

Interrogée par le New York Times, la responsable de l’Association of American Publishers qui a rendu publique cette plainte, Maria A. Pallante, affirme : « Nous nous concentrons sur la création d’un paysage de l’IA bien plus viable — un environnement transparent, équitable et participatif, doté de garde-fous pour protéger les auteurs et les éditeurs contre tout préjudice. Les préjudices sont déjà évidents ».

Pirate, moi ?

Après plusieurs plaintes d’auteurs, cinq multinationales de l’édition (notamment scolaire et scientifique) attaquent Meta devant la justice américaine pour l’utilisation d’œuvres qu’elles éditent pour entrainer la famille de modèles d’IA générative Llama.

Meta fait face à une action en justice pour violation du copyright qui pèsera sans doute un peu plus lourd que celles qui sont arrivées devant les tribunaux jusque là concernant l’utilisation pour ses modèles d’IA générative d’œuvres copyrightées.

Ici, ce ne sont pas quelques auteurs qui attaquent le groupe dirigé par Mark Zuckerberg (qui est aussi visé personnellement par la plainte), mais cinq multinationales de l’édition : Hachette, Macmillan, McGraw Hill, Elsevier et Cengage. Scott Turow, auteur de thrillers à succès mais également éditorialiste et avocat, est aussi associé à la plainte.

• IA : Meta aurait entraîné son modèle Llama sur la bibliothèque clandestine LibGen

Meta encore accusé d’être passé par du téléchargement illégal

La plainte [PDF], qui a été déposée ce mardi devant la cour du district sud de New York, accuse Meta et donc Mark Zuckerberg d’avoir d’abord « illégalement téléchargé via torrent [torrented, en anglais] des millions de livres et articles de revues scientifiques copyrightés provenant de sites pirates notoires et de scrapes web non autorisés de virtuellement tout l’internet », puis de les avoir copiés « à maintes reprises pour entraîner le système d’IA générative de Meta, baptisé Llama, dont la valorisation s’élève à plusieurs milliards de dollars ».

« Non contents d’utiliser les œuvres protégées par le copyright extraites de Common Crawl, les accusés ont cherché d’autres sources de textes copyrightés pour entraîner leurs modèles Llama », expliquent les avocats des éditeurs.

« Au départ, les accusés avaient envisagé d’obtenir des licences auprès de grands éditeurs pour utiliser des œuvres littéraires. Ils ont finalement opté pour une autre solution : télécharger illégalement les œuvres des demandeurs et du groupe de plaignants à partir de sites de piratage notoires, notamment LibGen, Anna’s Archive, Sci-Hub, Sci-Mag et d’autres », ajoutent-ils. Chargeant le CEO du groupe, ils affirment que « Zuckerberg lui-même a personnellement autorisé et activement encouragé cette violation ».

Mais les éditeurs n’accusent pas seulement Meta de téléchargement. Comme dans d’autres cas concernant l’utilisation d’œuvres par des IA génératives, ils affirment que les modèles de Meta restituent aussi ces œuvres dans leurs réponses.

« Llama génère des reproductions verbatim ou quasi verbatim des œuvres protégées par le copyright » des plaignants, affirme la plainte. « Par exemple, lorsqu’on lui soumet deux courtes phrases tirées du manuel à succès de Cengage, Calculus: Early Transcendentals, 9e édition, de James Stewart, Llama se met à reproduire mot pour mot la suite de la section », ajoutent les avocats.

« L’IA est à l’origine d’innovations transformatrices, d’une productivité accrue et d’une plus grande créativité pour les particuliers et les entreprises, et les tribunaux ont à juste titre estimé que l’entraînement d’un modèle d’IA sur des contenus protégés par le copyright pouvait relever du fair use », a affirmé le porte-parole de Meta Dave Arnold, au New York Times, « nous nous défendrons avec vigueur dans cette affaire ».

• IA : le Bureau US du copyright se positionne sur le fair use, Trump vire sa responsable

La question du fair use n’est pas encore tranchée

Si l’année dernière, les entreprises d’IA avaient gagné plusieurs manches judiciaires, contrairement à ce qu’affirme Meta, le débat sur le fair use pour entrainer les IA n’avait pas été tranché et le sujet reste encore ouvert. À l’époque, le juge Vince Chhaabria avait expliqué qu’il doutait de l’utilisation du fair use concernant les manuels scolaires en expliquant qu’il fallait aussi prendre en compte des « préoccupations concernant le préjudice qu’elle [l’IA générative] peut infliger au marché des œuvres sur lesquelles elle est entraînée ».

Cette réflexion peut sans doute s’étendre aux nombreuses œuvres qui se trouvent dans les catalogues des cinq éditeurs plaignants. Hachette, McGraw Hill et Cengage font partie des plus gros éditeurs de manuels scolaires dans le monde, par exemple. Et, si Elsevier est devenue une filiale d’un des plus grands courtiers de données du monde et fait maintenant d’importants bénéfices en devenant un data broker de l’activité scientifique, elle reste un des plus importants éditeurs scientifiques mondiaux.

• Elsevier récupère le plus de données possible sur les étudiants et chercheurs américains

La plainte demande la destruction de toutes les copies d’œuvres copyrightées utilisées par Meta pour l’entrainement de ses modèles après que l’entreprise en ait fait la liste exhaustive, qu’elle « cesse toute activité illégale » et « toute autre mesure que la Cour jugera appropriée ».

Interrogée par le New York Times, la responsable de l’Association of American Publishers qui a rendu publique cette plainte, Maria A. Pallante, affirme : « Nous nous concentrons sur la création d’un paysage de l’IA bien plus viable — un environnement transparent, équitable et participatif, doté de garde-fous pour protéger les auteurs et les éditeurs contre tout préjudice. Les préjudices sont déjà évidents ».

C'est encore nous !

Plus d’un an après avoir essayé de l’introduire dans la proposition de loi Narcotrafic, la délégation parlementaire au renseignement relance le débat sur l’introduction de portes dérobées dans les messageries chiffrées. Les parlementaires évoquent « un accès ciblé à certains contenus chiffrés » en passant par l’échelle européenne mais sans exclure une initiative législative nationale.

La délégation parlementaire au renseignement insiste : « l’impossibilité d’accéder au contenu des communications chiffrées constitue un obstacle majeur pour l’activité de la justice et des services de renseignement ».

Pourtant, l’année dernière l’article 8 ter de la proposition de loi Narcotrafic, qui était critiquée pour l’introduction d’une porte dérobée obligatoire dans les messageries chiffrées, avait finalement été retiré. Mais les membres de la délégation parlementaire au renseignement n’ont pas renoncé.

D’ailleurs, interrogé par Public Sénat, Cédric Perrin, sénateur LR et membre de la délégation, défend toujours l’article en question : « L’article 8 ter que j’avais fait adopter ne visait pas du tout à obtenir des clés de chiffrement mais à introduire dans une conversation un tiers fantôme avant le chiffrement ».

La délégation parlementaire au renseignement (DPR) continue de plaider pour ce qu’elle appelle maintenant « un accès ciblé au contenu des messageries chiffrées » dans une communication [PDF] publiée ce lundi 4 mai en marge de la publication de son rapport annuel.

Pour rappel, la DPR regroupe 8 membres du parlement : les sénatrices et sénateurs Muriel Jourda (LR), Agnès Canayer (LR), Gisèle Jourda (PS) et Cédric Perrin (LR) ainsi que les députés et députées Florent Boudié (Ensemble), Jean-Michel Jacques (Ensemble), Caroline Colombier (RN) et Aurélien Rousseau (PS).

Le dispositif de recueil des données informatiques, trop coûteux et complexe

Elle y déplore que « l’impossibilité d’accéder au contenu des communications chiffrées » dans les messageries chiffrées comme Signal ou Whatsapp « constitue un obstacle majeur pour l’activité de la justice et des services de renseignement ».

Recherche précipitée

Une méta-analyse sur les effets de ChatGPT sur les élèves qui soutenait « un impact positif considérable » a été rétractée. Des chercheurs ont rapidement pointé des problèmes méthodologiques importants mais la revue n’a réagi qu’un an après.

En mai 2025, la revue Humanities and social sciences communications publiait une méta-analyse effectuée par les chercheurs chinois Jin Wang et Wenxiang Fan sur les effets de l’utilisation du chatbot d’OpenAI sur l’apprentissage à l’école qui affirmait que celui-ci avait « un impact positif considérable sur l’amélioration des résultats scolaires ». Près d’un an après avoir cautionné le sérieux de l’étude en l’ayant publiée, la revue, éditée par le géant Springer Nature, a décidé de la rétracter.

« L’éditeur [membre de l’équipe qui gère la revue] a décidé de rétracter cet article en raison de réserves concernant des incohérences dans la méta-analyse. Ces problèmes remettent en cause la confiance que l’éditeur peut accorder à la validité de l’analyse et aux conclusions qui en découlent », explique la note de rétractation publiée le 22 avril dernier. « Les auteurs n’ont pas répondu aux courriers concernant cette rétractation », ajoute la revue.

Un article cité déjà 500 fois

Entre-temps, selon Google Scholar, la méta-analyse a été citée plus de 500 fois dans des travaux scientifiques (relus par les pairs ou pas). Si ces travaux reposent de façon importante sur cette méta-analyse, les auteurs devront aussi se poser des questions sur la solidité de leurs travaux. Par exemple, elle était encore citée dans un article publié en février dernier dans la revue Scientific Reports, éditée aussi par Springer Nature.

• Recherche scientifique : un outil pour éviter les « colosses aux pieds d’argile »

Pourtant des critiques sont vite apparues. Ainsi, on pouvait trouver un commentaire sur la plateforme Pubpeer (qui permet de relever d’éventuels problèmes dans des articles déjà parus dans des revues scientifiques) dès juillet dernier.

Des chercheurs norvégiens ont sonné l’alarme

« Pour être tout à fait clair : Notepad++ n’a jamais sorti de version pour macOS », explique, sur son site, Don Ho, le mainteneur de Notepad++ qui a créé le projet en 2003.

Depuis le début, Notepad++ n’est officiellement distribué que sous forme d’une version pour Windows. Un fork existe pour Linux mais il est diffusé sous le nom de Notepadqq. L’information d’un fork pour Mac commençait à circuler depuis quelques jours, renvoyant vers l’url Notepad-plus-plus-mac.org.

Mais l’utilisation du même nom pour le désigner a fait réagir Don Ho. Si le code de l’éditeur de texte est libre (sous licence GPL), Don Ho affirme que le propriétaire du projet pour Mac utilise la marque Notepad++(le nom) sans autorisation.

Il s’en était déjà ému dans une discussion sur le GitHub du projet en publiant la réponse qu’il avait faite au créateur du nouveau projet pour Mac, Andrey Letov. « C’est une bonne chose que vous essayiez de porter Notepad++ sur macOS ; cela pourrait aider de nombreux utilisateurs de Mac. Cependant, non seulement moi, mais aussi beaucoup d’autres ( https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17982#issuecomment - 4345058243) trouvons que votre site web et votre dépôt GitHub sont trompeurs, car ils utilisent tous deux la marque Notepad++(https://data.inpi.fr/marques/FR5133202 ) et le logo caméléon », lui expliquait-il en ajoutant que le problème n’était pas le portage en soi mais l’utilisation du nom officiel.

Depuis peu, le site Notepad-plus-plus-mac.org qui portait le projet renvoie vers un nouveau site web nommé NextPad.org, domaine créé ce lundi 4 mai. Et le projet a été entièrement renommé « Nextpad++ for Mac » sur le site.

• Notepad++ revient sur le piratage de son module de mise à jour, désormais sécurisé

« Pour être tout à fait clair : Notepad++ n’a jamais sorti de version pour macOS », explique, sur son site, Don Ho, le mainteneur de Notepad++ qui a créé le projet en 2003.

Depuis le début, Notepad++ n’est officiellement distribué que sous forme d’une version pour Windows. Un fork existe pour Linux mais il est diffusé sous le nom de Notepadqq. L’information d’un fork pour Mac commençait à circuler depuis quelques jours, renvoyant vers l’url Notepad-plus-plus-mac.org.

Mais l’utilisation du même nom pour le désigner a fait réagir Don Ho. Si le code de l’éditeur de texte est libre (sous licence GPL), Don Ho affirme que le propriétaire du projet pour Mac utilise la marque Notepad++(le nom) sans autorisation.

Il s’en était déjà ému dans une discussion sur le GitHub du projet en publiant la réponse qu’il avait faite au créateur du nouveau projet pour Mac, Andrey Letov. « C’est une bonne chose que vous essayiez de porter Notepad++ sur macOS ; cela pourrait aider de nombreux utilisateurs de Mac. Cependant, non seulement moi, mais aussi beaucoup d’autres ( https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17982#issuecomment - 4345058243) trouvons que votre site web et votre dépôt GitHub sont trompeurs, car ils utilisent tous deux la marque Notepad++(https://data.inpi.fr/marques/FR5133202 ) et le logo caméléon », lui expliquait-il en ajoutant que le problème n’était pas le portage en soi mais l’utilisation du nom officiel.

Depuis peu, le site Notepad-plus-plus-mac.org qui portait le projet renvoie vers un nouveau site web nommé NextPad.org, domaine créé ce lundi 4 mai. Et le projet a été entièrement renommé « Nextpad++ for Mac » sur le site.

• Notepad++ revient sur le piratage de son module de mise à jour, désormais sécurisé