L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le E c'est pour éducation ?

Le gouvernement envisage d’intégrer l’e-sport aux parcours éducatifs gérés par l’Éducation nationale pour soutenir le secteur « fragile sur le plan économique ».

Depuis son arrivée au pouvoir, Emmanuel Macron s’affiche en fervent défenseur de l’e-sport et surtout de sa filière économique.

Le gouvernement de Sébastien Lecornu pourrait de nouveau donner un coup de pouce au secteur, via une voie qui ne semble pas forcément aller de soi, surtout quand l’ambiance est à la réglementation de l’usage par les mineurs des réseaux sociaux, de l’IA et des jeux vidéo violents.

• Interdire les jeux vidéo violents ? La profession s’indigne de l’idée d’Emmanuel Macron
• Mineurs sur Internet : « Réglementez les plateformes, pas les enfants »

Alors que le gouvernement a lancé une mission confiée à des scientifiques pour « établir une analyse scientifique des effets (tant positifs que négatifs) et risques potentiels des jeux vidéo, particulièrement sur la santé mentale, cognitive et physique des jeunes utilisateurs, et en matière de sécurité des mineurs », il semble dans le même temps prêt à intégrer l’e-sport aux parcours éducatifs.

Une stratégie intégrant l’e-sport dans les parcours scolaires et éducatifs »

Nos confrères de Radio France ont eu accès à la stratégie « E-sport 2026 - 2030 », validée par Matignon à l’issue d’une concertation interministérielle, le 8 avril dernier et qui doit être présentée publiquement à l’occasion des championnats du monde de Rocket League organisés à Paris du 22 au 24 mai.

Selon les documents qu’ils ont pu consulter, et qui définissent cette stratégie visant à soutenir le secteur de l’e-sport en France, une part centrale est occupée par le volet scolaire, avec quatre actions pour développer le sous-axe titré « intégration de l’esport dans les parcours scolaires et éducatifs ».

Ainsi, le ministère de l’Éducation nationale devra piloter une action pour « créer des partenariats entre établissements et acteurs de l’esport pour développer des projets pédagogiques innovants ». Le document prévoit que le même ministère intègre l’esport dans les parcours éducatifs « notamment dans le cadre des activités hors du temps scolaires et des formations aux métiers du numériques », mais lance aussi un programme national « Esport & Éducation » pour « sensibiliser les jeunes aux opportunités professionnelles et aux enjeux éthiques liés à la pratique ». Enfin, il devra « développer des outils pédagogiques pour les enseignants et des supports de sensibilisation pour les familles ».

Soutenir un « secteur fragile sur le plan économique »

Cette stratégie assume de vouloir pousser la promotion et l’encadrement de la pratique pour le « développement économique » en France avec un marché mondial estimé à 12 milliards d’euros d’ici 2030 tout en expliquant que c’est un « secteur fragile sur le plan économique » pour lequel le gouvernement veut aider à « diversifier les sources de revenus ».

Mais selon Radio France, la stratégie a été arrêtée lors d’une réunion informelle en janvier alors que deux parties prenantes interministérielles étaient absentes, le ministère de la Santé et la Mildeca (Mission interministérielle de lutte contre les drogues et les conduites addictives), alors que celles-ci s’opposent justement à l’intégration de l’e-sport à l’école en pointant les risques des usages intensifs des jeux vidéo.

Le E c'est pour éducation ?

Le gouvernement envisage d’intégrer l’e-sport aux parcours éducatifs gérés par l’Éducation nationale pour soutenir le secteur « fragile sur le plan économique ».

Depuis son arrivée au pouvoir, Emmanuel Macron s’affiche en fervent défenseur de l’e-sport et surtout de sa filière économique.

Le gouvernement de Sébastien Lecornu pourrait de nouveau donner un coup de pouce au secteur, via une voie qui ne semble pas forcément aller de soi, surtout quand l’ambiance est à la réglementation de l’usage par les mineurs des réseaux sociaux, de l’IA et des jeux vidéo violents.

• Interdire les jeux vidéo violents ? La profession s’indigne de l’idée d’Emmanuel Macron
• Mineurs sur Internet : « Réglementez les plateformes, pas les enfants »

Alors que le gouvernement a lancé une mission confiée à des scientifiques pour « établir une analyse scientifique des effets (tant positifs que négatifs) et risques potentiels des jeux vidéo, particulièrement sur la santé mentale, cognitive et physique des jeunes utilisateurs, et en matière de sécurité des mineurs », il semble dans le même temps prêt à intégrer l’e-sport aux parcours éducatifs.

Une stratégie intégrant l’e-sport dans les parcours scolaires et éducatifs »

Nos confrères de Radio France ont eu accès à la stratégie « E-sport 2026 - 2030 », validée par Matignon à l’issue d’une concertation interministérielle, le 8 avril dernier et qui doit être présentée publiquement à l’occasion des championnats du monde de Rocket League organisés à Paris du 22 au 24 mai.

Selon les documents qu’ils ont pu consulter, et qui définissent cette stratégie visant à soutenir le secteur de l’e-sport en France, une part centrale est occupée par le volet scolaire, avec quatre actions pour développer le sous-axe titré « intégration de l’esport dans les parcours scolaires et éducatifs ».

Ainsi, le ministère de l’Éducation nationale devra piloter une action pour « créer des partenariats entre établissements et acteurs de l’esport pour développer des projets pédagogiques innovants ». Le document prévoit que le même ministère intègre l’esport dans les parcours éducatifs « notamment dans le cadre des activités hors du temps scolaires et des formations aux métiers du numériques », mais lance aussi un programme national « Esport & Éducation » pour « sensibiliser les jeunes aux opportunités professionnelles et aux enjeux éthiques liés à la pratique ». Enfin, il devra « développer des outils pédagogiques pour les enseignants et des supports de sensibilisation pour les familles ».

Soutenir un « secteur fragile sur le plan économique »

Cette stratégie assume de vouloir pousser la promotion et l’encadrement de la pratique pour le « développement économique » en France avec un marché mondial estimé à 12 milliards d’euros d’ici 2030 tout en expliquant que c’est un « secteur fragile sur le plan économique » pour lequel le gouvernement veut aider à « diversifier les sources de revenus ».

Mais selon Radio France, la stratégie a été arrêtée lors d’une réunion informelle en janvier alors que deux parties prenantes interministérielles étaient absentes, le ministère de la Santé et la Mildeca (Mission interministérielle de lutte contre les drogues et les conduites addictives), alors que celles-ci s’opposent justement à l’intégration de l’e-sport à l’école en pointant les risques des usages intensifs des jeux vidéo.

Le nerf de la guerre

Devant la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, plusieurs acteurs du libre (Mastodon, l’April, Framasoft, France Numérique libre…) ont poussé les parlementaires à prendre notamment exemple sur le modèle allemand de financement des projets de logiciels libres.

Dans le dossier de la souveraineté numérique, l’outil du logiciel libre titille le pouvoir. Est-ce que ça ne serait pas le moyen idéal pour se débarrasser des dépendances aux géants états-uniens ?

Invitées par la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, toutes les personnes militantes du logiciel libre (Renaud Chaput pour Mastodon, Loïc Dayot et Étienne Gonnu pour l’April, Pierre-Yves Gosset pour Framasoft et Nicolas Vivant pour la ville d’Échirolles et France Numérique libre), n’ont évidemment pas poussé les parlementaires dans le sens contraire.

Mais, pour que le logiciel libre puisse prendre toute sa place dans le sujet, selon elles, il faut faciliter et mieux organiser son financement par la puissance publique, en prenant exemple sur l’Allemagne notamment.

« Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner »

En effet, comme à Next en mars dernier, le directeur de la stratégie numérique de la ville d’Échirolles, Nicolas Vivant, a témoigné devant les députés que c’était possible de passer aux logiciels libres. Il a par contre rappelé que les agents qui le mettaient en place ne le faisaient pas « pour le plaisir » mais parce que c’est « un moyen permettant d’obtenir un certain nombre d’objectifs dont la cybersécurité, la bonne gestion des données personnelles, la souveraineté, la résilience même de notre infrastructure… ».

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Il ajoute qu’outre sa ville, d’autres acteurs publics sont passés au libre : « tous les gens qui l’ont fait viennent dire c’est possible. La gendarmerie, l’a fait, vous le savez, la Direction générale des Finances publiques (Dgfip) utilise LibreOffice depuis des années et des années. Et, tous ces gens-là sont la preuve concrète que c’est possible ».

Mais Pierre-Yves Gosset, coordinateur des services numériques de Framasoft, a appelé la puissance publique à davantage contribuer aux logiciels libres. « Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner », argumente-t-il, « il va falloir réussir à passer, et c’est là une vraie difficulté, on va pas le nier, d’une stratégie de consommation de consommateur de logiciel à une stratégie de contributeur à ce logiciel ».

• Demailnagement, Framasoft : comment utilisateurs et assos s’émancipent des GAFAM

Si la contribution de la Dinum aux logiciels libres via la Suite Numérique a fait beaucoup de remous ces temps-ci, les quatre structures auditionnées poussent à ce que les différentes entités du service public continuent dans ce chemin, et même accélèrent.

• Lecornu en équilibre entre soutien aux solutions de la DINUM et recours à la French tech
• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
  

En France, des discours, mais peu d’actes

Côté réseau social, Renaud Chaput, directeur technique de l’entreprise Mastodon, témoigne que le réseau social libre que soutient son entreprise « a vraiment un regain d’intérêt en Europe et ailleurs. La Commission européenne a son propre serveur Mastodon, travaille activement à l’agrandir. Les gouvernements allemands et néerlandais communiquent de plus en plus sur ce réseau, commencent à le soutenir financièrement également dans le but d’avoir leur communication publique sur une plateforme souveraine et qu’ils peuvent contrôler et qui n’est pas soumise à des intérêts américains ou chinois ».

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Mais il ajoute qu’« en France, on voit un début, il y a beaucoup de discours, même au plus haut niveau, sur le fait de créer nos propres plateformes européennes, de ne pas dépendre pour la communication publique de société étrangères. Par contre, je dois l’avouer, on voit assez peu d’actes ».

« La commande publique doit être un levier extrêmement important », estime quant à lui Étienne Gonnu de l’April, « pour aider à consolider les écosystèmes » du logiciel libre. Il ajoute même qu’« à partir du moment où une administration dans son appel d’offre choisit » de se priver d’une des quatre libertés incluses dans les licences libres, l’April considère qu’« elle doit le justifier »

• Fin de Windows 10 : la solution viendra-t-elle du libre ?

Loïc Dayot explique que « tous les textes sont là pour pouvoir commander du logiciel libre si on le souhaite », mais il appelle à ce que les normes de la commande publique soient complétées pour qu’elle deviennent plus « contraignantes ». Il témoigne qu’il existe « actuellement des commandes publiques qui permettent de ne pas respecter le référentiel général d’accessibilité, d’interopérabilité, de sécurité, de sobriété ».

La Sovereign Tech Agency allemande en modèle

Mais Renaud Chaput explique que le problème est surtout que « très peu de structures de logiciel libre que je connaisse sont capables de répondre à un appel d’offre d’un organisme public ». Et il pose la question : « comment peut-on recevoir du financement public ? ». Les intervenants ont insisté sur le fait que si le logiciel propriétaire peut facilement se glisser dans le système de la commande publique, c’est plus difficile pour l’open source car les logiciels ne sont pas vendus mais ce sont les services autour qui le sont.

Et tout le problème est de faire en sorte que les structures publiques qui utilisent le logiciel libre y contribuent notamment pour sa maintenance. « Un logiciel ça vit, un logiciel ça évolue, surtout maintenant avec toutes les dernières technologies et l’intérêt croissant. Il y a des failles de sécurité, il y a des bugs, il y a des corrections à faire », rappelle Renaud Chaput.

Le directeur technique de Mastodon pousse à aller dans le même sens que les Allemands qui ont créé une organisation « qui a de l’argent public et qui fait des contrats » : la Sovereign Tech Agency. Cette agence du gouvernement fédéral allemand « a pour mission de financer l’open source sur des projets d’infrastructures », explique-t-il.

« Ce ne sont pas des dons, précise-t-il avec lesquels les acteurs du libre ont l’habitude de fonctionner, ce sont des contrats qui vont contacter des projets open source et vont leur dire : si vous nous proposez des fonctionnalités que vous voulez développer, dites-nous combien ça coûte et vous construisez un commun numérique qui va servir à nos services qui utilisent votre logiciel, ça va servir à toute la communauté ».

Il témoigne que Mastodon a récemment obtenu 700 000 euros de cette façon pour améliorer le logiciel du réseau social. Il ajoute que cette agence a différents programmes de financement qui permettent soit de pouvoir financer un salarié ou une formation.

Renaud Chaput se félicite de la création de l’EDIC Digital Commons et qu’un des deux programmes principaux soit l’expérimentation d’un même projet que la Sovereign Tech Agency à l’échelle européenne et pousse à ce que la France aille dans le même sens.

Le nerf de la guerre

Devant la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, plusieurs acteurs du libre (Mastodon, l’April, Framasoft, France Numérique libre…) ont poussé les parlementaires à prendre notamment exemple sur le modèle allemand de financement des projets de logiciels libres.

Dans le dossier de la souveraineté numérique, l’outil du logiciel libre titille le pouvoir. Est-ce que ça ne serait pas le moyen idéal pour se débarrasser des dépendances aux géants états-uniens ?

Invitées par la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, toutes les personnes militantes du logiciel libre (Renaud Chaput pour Mastodon, Loïc Dayot et Étienne Gonnu pour l’April, Pierre-Yves Gosset pour Framasoft et Nicolas Vivant pour la ville d’Échirolles et France Numérique libre), n’ont évidemment pas poussé les parlementaires dans le sens contraire.

Mais, pour que le logiciel libre puisse prendre toute sa place dans le sujet, selon elles, il faut faciliter et mieux organiser son financement par la puissance publique, en prenant exemple sur l’Allemagne notamment.

« Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner »

En effet, comme à Next en mars dernier, le directeur de la stratégie numérique de la ville d’Échirolles, Nicolas Vivant, a témoigné devant les députés que c’était possible de passer aux logiciels libres. Il a par contre rappelé que les agents qui le mettaient en place ne le faisaient pas « pour le plaisir » mais parce que c’est « un moyen permettant d’obtenir un certain nombre d’objectifs dont la cybersécurité, la bonne gestion des données personnelles, la souveraineté, la résilience même de notre infrastructure… ».

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Il ajoute qu’outre sa ville, d’autres acteurs publics sont passés au libre : « tous les gens qui l’ont fait viennent dire c’est possible. La gendarmerie, l’a fait, vous le savez, la Direction générale des Finances publiques (Dgfip) utilise LibreOffice depuis des années et des années. Et, tous ces gens-là sont la preuve concrète que c’est possible ».

Mais Pierre-Yves Gosset, coordinateur des services numériques de Framasoft, a appelé la puissance publique à davantage contribuer aux logiciels libres. « Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner », argumente-t-il, « il va falloir réussir à passer, et c’est là une vraie difficulté, on va pas le nier, d’une stratégie de consommation de consommateur de logiciel à une stratégie de contributeur à ce logiciel ».

• Demailnagement, Framasoft : comment utilisateurs et assos s’émancipent des GAFAM

Si la contribution de la Dinum aux logiciels libres via la Suite Numérique a fait beaucoup de remous ces temps-ci, les quatre structures auditionnées poussent à ce que les différentes entités du service public continuent dans ce chemin, et même accélèrent.

• Lecornu en équilibre entre soutien aux solutions de la DINUM et recours à la French tech
• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
  

En France, des discours, mais peu d’actes

Côté réseau social, Renaud Chaput, directeur technique de l’entreprise Mastodon, témoigne que le réseau social libre que soutient son entreprise « a vraiment un regain d’intérêt en Europe et ailleurs. La Commission européenne a son propre serveur Mastodon, travaille activement à l’agrandir. Les gouvernements allemands et néerlandais communiquent de plus en plus sur ce réseau, commencent à le soutenir financièrement également dans le but d’avoir leur communication publique sur une plateforme souveraine et qu’ils peuvent contrôler et qui n’est pas soumise à des intérêts américains ou chinois ».

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Mais il ajoute qu’« en France, on voit un début, il y a beaucoup de discours, même au plus haut niveau, sur le fait de créer nos propres plateformes européennes, de ne pas dépendre pour la communication publique de société étrangères. Par contre, je dois l’avouer, on voit assez peu d’actes ».

« La commande publique doit être un levier extrêmement important », estime quant à lui Étienne Gonnu de l’April, « pour aider à consolider les écosystèmes » du logiciel libre. Il ajoute même qu’« à partir du moment où une administration dans son appel d’offre choisit » de se priver d’une des quatre libertés incluses dans les licences libres, l’April considère qu’« elle doit le justifier »

• Fin de Windows 10 : la solution viendra-t-elle du libre ?

Loïc Dayot explique que « tous les textes sont là pour pouvoir commander du logiciel libre si on le souhaite », mais il appelle à ce que les normes de la commande publique soient complétées pour qu’elle deviennent plus « contraignantes ». Il témoigne qu’il existe « actuellement des commandes publiques qui permettent de ne pas respecter le référentiel général d’accessibilité, d’interopérabilité, de sécurité, de sobriété ».

La Sovereign Tech Agency allemande en modèle

Mais Renaud Chaput explique que le problème est surtout que « très peu de structures de logiciel libre que je connaisse sont capables de répondre à un appel d’offre d’un organisme public ». Et il pose la question : « comment peut-on recevoir du financement public ? ». Les intervenants ont insisté sur le fait que si le logiciel propriétaire peut facilement se glisser dans le système de la commande publique, c’est plus difficile pour l’open source car les logiciels ne sont pas vendus mais ce sont les services autour qui le sont.

Et tout le problème est de faire en sorte que les structures publiques qui utilisent le logiciel libre y contribuent notamment pour sa maintenance. « Un logiciel ça vit, un logiciel ça évolue, surtout maintenant avec toutes les dernières technologies et l’intérêt croissant. Il y a des failles de sécurité, il y a des bugs, il y a des corrections à faire », rappelle Renaud Chaput.

Le directeur technique de Mastodon pousse à aller dans le même sens que les Allemands qui ont créé une organisation « qui a de l’argent public et qui fait des contrats » : la Sovereign Tech Agency. Cette agence du gouvernement fédéral allemand « a pour mission de financer l’open source sur des projets d’infrastructures », explique-t-il.

« Ce ne sont pas des dons, précise-t-il avec lesquels les acteurs du libre ont l’habitude de fonctionner, ce sont des contrats qui vont contacter des projets open source et vont leur dire : si vous nous proposez des fonctionnalités que vous voulez développer, dites-nous combien ça coûte et vous construisez un commun numérique qui va servir à nos services qui utilisent votre logiciel, ça va servir à toute la communauté ».

Il témoigne que Mastodon a récemment obtenu 700 000 euros de cette façon pour améliorer le logiciel du réseau social. Il ajoute que cette agence a différents programmes de financement qui permettent soit de pouvoir financer un salarié ou une formation.

Renaud Chaput se félicite de la création de l’EDIC Digital Commons et qu’un des deux programmes principaux soit l’expérimentation d’un même projet que la Sovereign Tech Agency à l’échelle européenne et pousse à ce que la France aille dans le même sens.

Pirate, moi ?

Après plusieurs plaintes d’auteurs, cinq multinationales de l’édition (notamment scolaire et scientifique) attaquent Meta devant la justice américaine pour l’utilisation d’œuvres qu’elles éditent pour entrainer la famille de modèles d’IA générative Llama.

Meta fait face à une action en justice pour violation du copyright qui pèsera sans doute un peu plus lourd que celles qui sont arrivées devant les tribunaux jusque là concernant l’utilisation pour ses modèles d’IA générative d’œuvres copyrightées.

Ici, ce ne sont pas quelques auteurs qui attaquent le groupe dirigé par Mark Zuckerberg (qui est aussi visé personnellement par la plainte), mais cinq multinationales de l’édition : Hachette, Macmillan, McGraw Hill, Elsevier et Cengage. Scott Turow, auteur de thrillers à succès mais également éditorialiste et avocat, est aussi associé à la plainte.

• IA : Meta aurait entraîné son modèle Llama sur la bibliothèque clandestine LibGen

Meta encore accusé d’être passé par du téléchargement illégal

La plainte [PDF], qui a été déposée ce mardi devant la cour du district sud de New York, accuse Meta et donc Mark Zuckerberg d’avoir d’abord « illégalement téléchargé via torrent [torrented, en anglais] des millions de livres et articles de revues scientifiques copyrightés provenant de sites pirates notoires et de scrapes web non autorisés de virtuellement tout l’internet », puis de les avoir copiés « à maintes reprises pour entraîner le système d’IA générative de Meta, baptisé Llama, dont la valorisation s’élève à plusieurs milliards de dollars ».

« Non contents d’utiliser les œuvres protégées par le copyright extraites de Common Crawl, les accusés ont cherché d’autres sources de textes copyrightés pour entraîner leurs modèles Llama », expliquent les avocats des éditeurs.

« Au départ, les accusés avaient envisagé d’obtenir des licences auprès de grands éditeurs pour utiliser des œuvres littéraires. Ils ont finalement opté pour une autre solution : télécharger illégalement les œuvres des demandeurs et du groupe de plaignants à partir de sites de piratage notoires, notamment LibGen, Anna’s Archive, Sci-Hub, Sci-Mag et d’autres », ajoutent-ils. Chargeant le CEO du groupe, ils affirment que « Zuckerberg lui-même a personnellement autorisé et activement encouragé cette violation ».

Mais les éditeurs n’accusent pas seulement Meta de téléchargement. Comme dans d’autres cas concernant l’utilisation d’œuvres par des IA génératives, ils affirment que les modèles de Meta restituent aussi ces œuvres dans leurs réponses.

« Llama génère des reproductions verbatim ou quasi verbatim des œuvres protégées par le copyright » des plaignants, affirme la plainte. « Par exemple, lorsqu’on lui soumet deux courtes phrases tirées du manuel à succès de Cengage, Calculus: Early Transcendentals, 9e édition, de James Stewart, Llama se met à reproduire mot pour mot la suite de la section », ajoutent les avocats.

« L’IA est à l’origine d’innovations transformatrices, d’une productivité accrue et d’une plus grande créativité pour les particuliers et les entreprises, et les tribunaux ont à juste titre estimé que l’entraînement d’un modèle d’IA sur des contenus protégés par le copyright pouvait relever du fair use », a affirmé le porte-parole de Meta Dave Arnold, au New York Times, « nous nous défendrons avec vigueur dans cette affaire ».

• IA : le Bureau US du copyright se positionne sur le fair use, Trump vire sa responsable

La question du fair use n’est pas encore tranchée

Si l’année dernière, les entreprises d’IA avaient gagné plusieurs manches judiciaires, contrairement à ce qu’affirme Meta, le débat sur le fair use pour entrainer les IA n’avait pas été tranché et le sujet reste encore ouvert. À l’époque, le juge Vince Chhaabria avait expliqué qu’il doutait de l’utilisation du fair use concernant les manuels scolaires en expliquant qu’il fallait aussi prendre en compte des « préoccupations concernant le préjudice qu’elle [l’IA générative] peut infliger au marché des œuvres sur lesquelles elle est entraînée ».

Cette réflexion peut sans doute s’étendre aux nombreuses œuvres qui se trouvent dans les catalogues des cinq éditeurs plaignants. Hachette, McGraw Hill et Cengage font partie des plus gros éditeurs de manuels scolaires dans le monde, par exemple. Et, si Elsevier est devenue une filiale d’un des plus grands courtiers de données du monde et fait maintenant d’importants bénéfices en devenant un data broker de l’activité scientifique, elle reste un des plus importants éditeurs scientifiques mondiaux.

• Elsevier récupère le plus de données possible sur les étudiants et chercheurs américains

La plainte demande la destruction de toutes les copies d’œuvres copyrightées utilisées par Meta pour l’entrainement de ses modèles après que l’entreprise en ait fait la liste exhaustive, qu’elle « cesse toute activité illégale » et « toute autre mesure que la Cour jugera appropriée ».

Interrogée par le New York Times, la responsable de l’Association of American Publishers qui a rendu publique cette plainte, Maria A. Pallante, affirme : « Nous nous concentrons sur la création d’un paysage de l’IA bien plus viable — un environnement transparent, équitable et participatif, doté de garde-fous pour protéger les auteurs et les éditeurs contre tout préjudice. Les préjudices sont déjà évidents ».

Pirate, moi ?

Après plusieurs plaintes d’auteurs, cinq multinationales de l’édition (notamment scolaire et scientifique) attaquent Meta devant la justice américaine pour l’utilisation d’œuvres qu’elles éditent pour entrainer la famille de modèles d’IA générative Llama.

Meta fait face à une action en justice pour violation du copyright qui pèsera sans doute un peu plus lourd que celles qui sont arrivées devant les tribunaux jusque là concernant l’utilisation pour ses modèles d’IA générative d’œuvres copyrightées.

Ici, ce ne sont pas quelques auteurs qui attaquent le groupe dirigé par Mark Zuckerberg (qui est aussi visé personnellement par la plainte), mais cinq multinationales de l’édition : Hachette, Macmillan, McGraw Hill, Elsevier et Cengage. Scott Turow, auteur de thrillers à succès mais également éditorialiste et avocat, est aussi associé à la plainte.

• IA : Meta aurait entraîné son modèle Llama sur la bibliothèque clandestine LibGen

Meta encore accusé d’être passé par du téléchargement illégal

La plainte [PDF], qui a été déposée ce mardi devant la cour du district sud de New York, accuse Meta et donc Mark Zuckerberg d’avoir d’abord « illégalement téléchargé via torrent [torrented, en anglais] des millions de livres et articles de revues scientifiques copyrightés provenant de sites pirates notoires et de scrapes web non autorisés de virtuellement tout l’internet », puis de les avoir copiés « à maintes reprises pour entraîner le système d’IA générative de Meta, baptisé Llama, dont la valorisation s’élève à plusieurs milliards de dollars ».

« Non contents d’utiliser les œuvres protégées par le copyright extraites de Common Crawl, les accusés ont cherché d’autres sources de textes copyrightés pour entraîner leurs modèles Llama », expliquent les avocats des éditeurs.

« Au départ, les accusés avaient envisagé d’obtenir des licences auprès de grands éditeurs pour utiliser des œuvres littéraires. Ils ont finalement opté pour une autre solution : télécharger illégalement les œuvres des demandeurs et du groupe de plaignants à partir de sites de piratage notoires, notamment LibGen, Anna’s Archive, Sci-Hub, Sci-Mag et d’autres », ajoutent-ils. Chargeant le CEO du groupe, ils affirment que « Zuckerberg lui-même a personnellement autorisé et activement encouragé cette violation ».

Mais les éditeurs n’accusent pas seulement Meta de téléchargement. Comme dans d’autres cas concernant l’utilisation d’œuvres par des IA génératives, ils affirment que les modèles de Meta restituent aussi ces œuvres dans leurs réponses.

« Llama génère des reproductions verbatim ou quasi verbatim des œuvres protégées par le copyright » des plaignants, affirme la plainte. « Par exemple, lorsqu’on lui soumet deux courtes phrases tirées du manuel à succès de Cengage, Calculus: Early Transcendentals, 9e édition, de James Stewart, Llama se met à reproduire mot pour mot la suite de la section », ajoutent les avocats.

« L’IA est à l’origine d’innovations transformatrices, d’une productivité accrue et d’une plus grande créativité pour les particuliers et les entreprises, et les tribunaux ont à juste titre estimé que l’entraînement d’un modèle d’IA sur des contenus protégés par le copyright pouvait relever du fair use », a affirmé le porte-parole de Meta Dave Arnold, au New York Times, « nous nous défendrons avec vigueur dans cette affaire ».

• IA : le Bureau US du copyright se positionne sur le fair use, Trump vire sa responsable

La question du fair use n’est pas encore tranchée

Si l’année dernière, les entreprises d’IA avaient gagné plusieurs manches judiciaires, contrairement à ce qu’affirme Meta, le débat sur le fair use pour entrainer les IA n’avait pas été tranché et le sujet reste encore ouvert. À l’époque, le juge Vince Chhaabria avait expliqué qu’il doutait de l’utilisation du fair use concernant les manuels scolaires en expliquant qu’il fallait aussi prendre en compte des « préoccupations concernant le préjudice qu’elle [l’IA générative] peut infliger au marché des œuvres sur lesquelles elle est entraînée ».

Cette réflexion peut sans doute s’étendre aux nombreuses œuvres qui se trouvent dans les catalogues des cinq éditeurs plaignants. Hachette, McGraw Hill et Cengage font partie des plus gros éditeurs de manuels scolaires dans le monde, par exemple. Et, si Elsevier est devenue une filiale d’un des plus grands courtiers de données du monde et fait maintenant d’importants bénéfices en devenant un data broker de l’activité scientifique, elle reste un des plus importants éditeurs scientifiques mondiaux.

• Elsevier récupère le plus de données possible sur les étudiants et chercheurs américains

La plainte demande la destruction de toutes les copies d’œuvres copyrightées utilisées par Meta pour l’entrainement de ses modèles après que l’entreprise en ait fait la liste exhaustive, qu’elle « cesse toute activité illégale » et « toute autre mesure que la Cour jugera appropriée ».

Interrogée par le New York Times, la responsable de l’Association of American Publishers qui a rendu publique cette plainte, Maria A. Pallante, affirme : « Nous nous concentrons sur la création d’un paysage de l’IA bien plus viable — un environnement transparent, équitable et participatif, doté de garde-fous pour protéger les auteurs et les éditeurs contre tout préjudice. Les préjudices sont déjà évidents ».