Zero virgule cinq Knowledge

Une étude réalisée par des chercheurs de l’École polytechnique fédérale de Zurich révèle que Bitwarden, LastPass et Dashlane pourraient, dans des conditions exceptionnelles, permettre la divulgation du mot de passe principal de leurs utilisateurs, en dépit de leur promesse relative au chiffrement « Zero Knowledge ». Les trois services indiquent avoir déjà implémenté les corrections nécessaires.

Devenus incontournables dans le quotidien de millions d’internautes, les gestionnaires de mot de passe opérés dans le cloud offrent-ils les garanties de sécurité nécessaires et suffisantes ? Une étude menée sous l’égide de l’École polytechnique fédérale de Zurich (ETH Zurich) conclut que trois services parmi les plus populaires du secteur présentaient des vulnérabilités susceptibles de conduire à la divulgation ou à la modification du mot de passe principal du compte de l’utilisateur.

Au cours de leurs travaux, les chercheurs ont exploité un scénario possible, mais très hypothétique : celui d’une prise de contrôle du serveur chargé des interactions avec l’utilisateur final. Dans ce contexte exceptionnel, ils indiquent avoir réussi à mener douze attaques différentes conduisant à une compromission du mot de passe chez Bitwarden, contre sept pour LastPass et six chez Dashlane. Les chercheurs ne remettent pas en cause la sécurité des chiffrements mis en œuvre : d’après leurs observations, c’est principalement au niveau des mécanismes chargés de faciliter la vie des utilisateurs que se situent les vulnérabilités.

La promesse du Zero Knowledge

Les gestionnaires de mot de passe en ligne invoquent en général le concept de Zero Knowledge (littéralement, « aucune connaissance ») pour rassurer leurs utilisateurs quant à la sécurité de leurs données. Bien qu’il n’obéisse pas à une définition ou à des conditions techniques de mise en œuvre strictes, il suppose que le serveur qui stocke les mots de passe est littéralement incapable d’en connaître le contenu, parce que ce contenu est chiffré et que seul l’utilisateur final dispose de la clé privée indispensable à son déchiffrement.

« Techniquement, Dashlane ne possède pas d’autre clé, mais nous avons bâti un mécanisme de chiffrement qui garantit que votre coffre-fort est sécurisé avec votre clé et que les données du coffre-fort ne sont accessibles que par vous, le propriétaire. C’est pourquoi toutes les opérations sensibles de Dashlane, le chiffrement et le déchiffrement de votre coffre-fort en l’occurrence, sont effectuées localement sur votre appareil. Cela garantit que nous ne les voyons pas sur nos serveurs. », illustre par exemple Dashlane.

Cette promesse tient-elle toujours si le serveur qui héberge les mots de passe est compromis ? L’étude complète, annoncée et publiée par l’ETH Zurich (PDF), répond par la négative. Au cours de leurs travaux, les chercheurs indiquent en effet avoir mené avec succès quatre types d’attaques, exploitant respectivement les fonctionnalités de séquestre utilisées pour la récupération de compte et la connexion unifiée (SSO), les manquements du coffre-fort en matière d’intégrité, les fonctionnalités de partage et les outils dédiés à la rétrocompatibilité.

Une surface d’attaque augmentée par la complexité du code

Les auteurs précisent avoir sélectionné Bitwarden, LastPass et Dashlane à la fois parce que ces derniers peuvent être considérés comme représentatifs du secteur (par leur ancienneté et leur parc de clients, estimé à 60 millions d’utilisateurs cumulés, ou 23 % de parts de marché) et parce que le code de leurs clients logiciels est ouvert (totalement pour Bitwarden, partiellement pour les deux autres), contrairement à celui des solutions d’Apple ou de Google, très populaires puisque intégrées à leurs environnements mobiles.

Au total, 25 attaques ont donc ont été menées avec succès sur l’ensemble des services examinés. « Nous avons été surpris par la gravité des failles de sécurité », commente Kenneth Paterson, l’un des auteurs de l’étude, selon qui la découverte est d’autant plus criante que les gestionnaires de mots de passe constituent, par essence, une cible à très forte valeur perçue pour des attaquants. Les auteurs remarquent par ailleurs que si les conditions de test sont particulières (serveur malveillant), leurs attaques sont réalisées par le truchement d’interactions « normales » de l’utilisateur final avec le service.

Dans la discussion qui suit l’exposé de leurs attaques, ils remarquent que les gestionnaires de mot de passe sont tiraillés entre deux exigences contradictoires que sont la sécurité et le niveau de service fonctionnel rendu à l’utilisateur, qui s’attend à pouvoir récupérer son mot de passe en cas de perte, consulter son gestionnaire sur tous les écrans, ou disposer de fioritures telles que la création d’accès partagés.

« Après un examen plus approfondi, nous avons constaté que les gestionnaires de mots de passe sont loin d’être simples : ils ont évolué pour inclure des protocoles complexes pour la synchronisation, la récupération et la rotation des clés, le partage d’éléments chiffrés et la migration entre différentes primitives cryptographiques [les briques qui fournissent les fonctions de base du chiffrement, ndlr] », remarquent les auteurs. C’est, selon eux, cette complexité accrue qui augmenterait la surface d’attaque potentielle.

Les gestionnaires de mots de passe accusent réception

Avertis en amont de la publication de l’étude, les trois éditeurs de services concernés ont accusé réception de ces découvertes. « Tous les problèmes identifiés dans le rapport ont été traités », promet Bitwarden qui détaille les réponses apportées dans un rapport de transparence dédié (PDF). Trois ne seront cependant pas corrigés, parce que le remède compromettrait certaines fonctionnalités du service, indique tout de même l’éditeur. Qui profite de l’occasion pour « réaffirmer que Bitwarden n’a jamais subi de violation de données ».

Dashlane salue également ce travail de recherche, qualifié d’exercice utile, et précise avoir apporté tous les correctifs jugés nécessaires dans sa version 6.2544.1 publiée le 5 novembre dernier. Le service en profite pour souligner que les fonctionnalités de partage (basées sur une clé publique) et les mécaniques de synchronisation basées sur l’échange de transactions chiffrées sont des difficultés intrinsèques au service rendu.

« Cette recherche met en lumière plusieurs enseignements :
– Maintenir les méthodes cryptographiques à jour est essentiel pour la sécurité, mais cela introduit une complexité qui doit être gérée avec soin.
– L’authentification de clé publique à grande échelle est un défi connu que notre secteur doit relever. »

Même son de cloche du côté de LastPass, qui indique avoir déjà corrigé l’une des vulnérabilités mises au jour par l’ETH, et ajoute plancher sur la sécurisation des parcours de réinitialisation et de partage, ainsi que sur l’amélioration des mécanismes dédiés au contrôle d’intégrité.

Une démarche à laquelle adhèrent tacitement les chercheurs :

« Les vulnérabilités que nous décrivons sont nombreuses, mais pour la plupart mineures sur le plan technique. Pourtant, elles n’avaient apparemment pas été découvertes auparavant, malgré plus d’une décennie de recherche universitaire sur les gestionnaires de mots de passe et l’existence de multiples audits des trois produits que nous avons étudiés. Ceci motive la poursuite des travaux, tant sur le plan théorique que pratique. »

Chrome et Firefox ont tous deux fait l’objet cette semaine de mises à jour de sécurité. Du côté de la fondation Mozilla, Firefox passe en version 147.0.4, pour corriger une vulnérabilité susceptible d’entraîner un dépassement de tampon, publiée lundi 16 février.

Considérée comme de sévérité haute, elle a été observée au niveau de libvpx, la bibliothèque de codecs vidéo gratuite de Google et de l’Alliance for Open Media. Outre Firefox 147, dernière version en date, le correctif concerne également les versions ESR 140.7.1, et ESR 115.32.1 de Firefox, ainsi que le client de messagerie Thunderbird, qui passe pour sa part en versions 147.0.2 et 140.7.2.

Mozilla profite également de cette version 147.0.4 pour corriger un bug susceptible d’afficher une page vide lors de l’ouverture du navigateur ou d’un nouvel onglet.

Côté Chrome, la dernière version en date a déjà dû faire son arrivée chez la plupart des utilisateurs puisque Google a annoncé le début du déploiement le 13 février dernier. Estampillé 145.0.7632.75/76 sur Windows/Mac ou 144.0.7559.75 sous Linux, le correctif intervient pour combler une vulnérabilité (CVE-2026-2441) découverte deux jours plus tôt. Elle aussi associée à une sévérité haute, elle présente surtout l’inconvénient d’être déjà exploitée, indique Google.

Vivaldi est également intervenu rapidement pour corriger la faille, avec une version 7.8, diffusée le 13 février dernier, qui en profite pour résoudre plusieurs petits bugs mineurs.

Sous Firefox comme sous Chrome, il est possible de vérifier la version du logiciel dont vous disposez et de demander la recherche de mises à jour en vous rendant dans le menu Aide, onglet À propos.

La distribution open source dédiée au rétrogaming RecalBox passe en version 10 avec, entre autres nouveautés, une compatibilité matérielle étendue aux dernières machines du moment. L’équipe annonce ainsi la prise en charge des derniers Raspberry Pi 5 (2 Go) et Raspberry Pi 500, des Steam Deck de Valve (LCD ou OLED), le support expérimental des Asus ROG Ally et Lenovo Legion Go, ainsi qu’une meilleure compatibilité globale avec les PC récents.

La prise en charge s’étend aussi au niveau des composants et accessoires plus spécifiques au rétrogaming, avec support des boitiers Retroflag et Argon One v3, des spinners basés sur Arduino, et prise en charge expérimentale des pistolets GunCon 2 pour TV CRT. L’équipe garantit par ailleurs, logiquement, la prise en charge de ses propres accessoires comme le RGB Dual 2 qui avait recueilli 140 000 euros de précommandes sur Kickstarter fin 2025.

Sur le volet logiciel, RecalBox 10 signe le début de l’émulation des consoles de sixième génération. Sur PC et Steam Deck, la Xbox originale est prise en charge, tandis que sur Pi 5 l’environnement donne accès aux jeux Nintendo DS, GameCube et Wii.

Cette nouvelle version promet enfin une amélioration générale des performances et de l’interface avec, entre autres, un nouveau gestionnaire de thèmes et, surtout, une nouvelle fonctionnalité dédiée à la navigation et à l’organisation des bibliothèques de jeux. RecalBox 10 est dès à présent disponible au téléchargement.

• Consoles portables rétro, un néo marché en expansion

Apple a envoyé lundi les invitations pour un special event qui se tiendra le 4 mars prochain. Contrairement aux dernières grand-messes qui se tenaient à son siège de Cupertino, la marque joue cette fois la carte d’une présence simultanée sur trois continents, avec un événement principal organisé à New-York et des retransmissions dédiées à la presse prévues à Londres et Shanghai.

L’invitation ne dit pas grand chose de la nature exacte des nouveautés attendues, indiquant un laconique « You’re invited », surmonté d’un logo comme découpé en tranches. On note toutefois que le 4 mars tombe un mercredi (alors qu’Apple procède traditionnellement à ses annonces le mardi). La date correspond par ailleurs à la tenue du Mobile World Congress, le grand salon de la mobilité de Barcelone (programmé cette année du 2 au 5 mars).

Les rumeurs prêtent à Apple plusieurs annonces potentielles, au premier rang desquelles un MacBook d’entrée de gamme qui pourrait emprunter à l’iPhone sa puce A18 Pro. Le fabricant pourrait aussi présenter les machines inaugurant sa nouvelle puce M5, de nouveaux écrans externes, et la déclinaison d’entrée de gamme de son téléphone avec l’iPhone 17e.

La plateforme Choisir le service public, dédiée au recrutement dans la fonction publique, a communiqué lundi par email au sujet d’un incident de cybersécurité ayant conduit à l’exposition des données personnelles des internautes inscrits.

« Le mercredi 4 février 2026, un incident de cybersécurité a été détecté sur la plateforme « Choisir le Service Public ». Cette violation de sécurité a entraîné une divulgation non autorisée de données personnelles appartenant à l’ensemble des utilisateurs inscrits sur la plateforme. », indique-t-elle dans ce message consulté par Next.

La plateforme ne détaille pas le nombre d’utilisateurs concernés. Elle précise en revanche le détail des informations compromises : outre les données d’identification personnelle, on y retrouve les principaux éléments renseignés par l’internaute au sujet de ses aspirations professionnelles et de son parcours.

Parmi ces différents champs figurent par exemple le type de poste recherché, les préférences géographiques pour le futur poste, les langues maîtrisées « avec indication du niveau de compétence pour chacune », etc. Des informations de nature personnelle, voire parfois confidentielle, qui ne constituent pas une menace immédiate en tant que telle, mais qui sont susceptibles d’étayer une démarche d’ingénierie sociale.

« Nous n’avons pas connaissance, à ce jour, d’une exploitation avérée de vos données, mais nous vous recommandons d’être particulièrement vigilant concernant une éventuelle utilisation anormale de ces données personnelles », veut rassurer la plateforme, qui précise qu’aucun mot de passe n’a été compromis.

Cette communication intervient deux semaines après la publication, le 3 février au soir sur un forum spécialisé, d’une annonce relative à la mise en vente d’un fichier de 377 000 lignes émanant, selon son auteur, de la plateforme Choisir le service public.

Et la plateforme confirme le lien dans une FAQ :

« La plateforme « Choisir le Service Public » a fait l’objet d’une attaque le 28 janvier 2026 par utilisation frauduleuse d’un compte gestionnaire. Cet accès non autorisé a permis à une ou plusieurs personnes d’avoir accès au vivier des candidats de la plateforme. Les données personnelles de 377 418 candidats ont été mises en ligne sur le dark web pour procéder à leur vente et, à notre connaissance, un jeu de données de 1000 candidats a été mis en accès libre sur internet. »

Wild wild west

Les tensions sur l’approvisionnement en composants informatiques touchent aussi le secteur des disques durs. Une bonne nouvelle pour les leaders du secteur, à l’image de Western Digital, qui a récemment affirmé avoir vendu la quasi totalité de sa production pour 2026 et pronostique plusieurs années de croissance soutenue grâce à l’IA.

Déjà bien sensibles sur les segments de la mémoire vive et de la mémoire flash, les tensions sur l’approvisionnement en semiconducteurs se manifestent aussi sur le disque dur magnétique, et la situation semble partie pour durer. C’est du moins ce qu’a laissé entendre Irving Tan, CEO de Western Digital.

L’IA, nouveau relais de croissance du marché des disques durs

Fin janvier, celui-ci a ainsi déclaré que son groupe avait vendu la quasi totalité de sa production programmée pour l’année calendaire 2026. « Nous avons des commandes fermes avec nos sept principaux clients. Nous avons également conclu des accords à long terme avec deux d’entre eux pour l’année 2027 et un pour l’année 2028. Ces accords à long terme définissent un volume d’exaoctets et un prix », a affirmé Irving Tan au cours du webcast qui accompagnait la présentation des résultats financiers du groupe pour le deuxième trimestre de son exercice fiscal 2026.

Traduction ? Avec des engagements fermes, portant sur des capacités et une trajectoire tarifaire définie, le patron de Western Digital veut assurer aux marchés que son groupe, qui vient déjà d’annoncer des résultats record, va maintenir une croissance significative au cours des années à venir.

En l’occurrence, Irving Tan évoque un taux de croissance annuel composé (on parle généralement en anglais de CAGR, pour compounded annual growth rate) gravitant légèrement au dessus de la barre des 20 %. Cette demande sera selon lui majoritairement tirée par l’IA, dont les nouveaux besoins renforcent la pertinence du disque dur :

« En effet, à mesure que la valeur de l’IA évolue de l’entraînement des modèles à l’inférence, davantage de données sont créées. Par conséquent, pour permettre la diffusion des résultats d’inférence, il est nécessaire de stocker davantage de données. Si l’on considère la rentabilité de la diffusion de l’inférence à un coût adapté pour favoriser une adoption massive, une grande partie de ces données générées et nécessitant du stockage sera stockée sur des disques durs. »

Irving Tan a précisé son propos quelques jours plus tard, le 3 février, à l’occasion de son Innovation Day. « Avec l’explosion des données générées par l’IA, il est évident que les disques durs deviendront le support de stockage prédominant pour les données brutes, le stockage de contenu et la création de nouveau contenu », a-t-il affirmé, avant d’avancer que les disques durs représentent 80 % des capacités de stockage déployées par les grands acteurs du cloud et de l’IA. Loin devant la mémoire Flash donc, dont Western Digital n’est plus qu’un acteur indirect depuis sa scission d’avec Sandisk.

Une trajectoire boursière exceptionnelle

Les perspectives n’ont pas toujours été aussi riantes pour l’industrie du disque dur. A la fin des années 2010, les principaux fabricants du secteur que sont Western Digital, Seagate, Toshiba et Samsung, voyaient leurs ventes décliner, en raison de la montée en puissance de la mémoire Flash. Les volumes sont ensuite repartis à la hausse dans la période post-Covid, avec un effet rattrapage souligné par l’accélération des investissements des hyperscalers dans leurs infrastructures.

C’est cependant à partir de 2024 et tout particulièrement en 2025 que le disque dur accélère significativement, comme en témoignent ces chiffres compilés par un analyste du cabinet de conseil The Information Network.

Bien que moins directement valorisés que les acteurs spécialisés dans la course à l’IA, les fabricants de disque dur connaissent de ce fait une trajectoire boursière exceptionnelle : le cours de l’action Western Digital a ainsi progressé de 417 % sur un an, tandis que celui de Seagate a gagné 314 % sur la même période.

Quelle place pour le grand public ?

On ne parle pas, pour l’instant, de pénurie sur le marché des disques durs, mais il est possible, voire probable, que la demande exacerbée des acteurs du cloud et de l’IA aient un retentissement sur les marchés grand public et professionnels qui, réunis, ne représentent plus que 11 % des ventes sur le dernier trimestre de Western Digital, contre 13 % un an plus tôt. En valeur, le grand public représente 168 millions de dollars, sur un chiffre d’affaires trimestriel de 3 milliards de dollars.

En pratique, le grand public subit déjà les conséquences de cette demande renforcée face à l’offre : d’après les relevés opérés par Computerbase, le prix moyen des références courantes affichant entre 4 To et 22 To de capacité a ainsi grimpé d’environ 40 % entre le 15 septembre et le 15 janvier dernier. Nos propres observations montraient une hausse plus mesurée sur le marché français, mais néanmoins bien tangible. L’affirmation de Western Digital selon laquelle sa production de l’année est déjà vendue ne devrait pas contribuer à inverser la tendance à court terme.

Initialement attendue le 11 février dernier, la première bêta d’Android 17 est finalement parue vendredi 13 février. Son installation est désormais possible sur tous les téléphones Google compris entre le Pixel 6 (sorti en 2021) et les derniers modèles en date, à savoir les différentes déclinaisons du Pixel 10.

« Cette version prolonge nos efforts pour rendre les applications Android plus adaptables, introduit des améliorations significatives au niveau de l’appareil photo et des possibilités multimédia, de nouveaux outils pour optimiser la connectivité et des profils étendus pour les appareils compagnons », annonce Matthew McCullough, vice président en charge du product management au sein de l’équipe Android.

L’équipe précise à cette occasion le calendrier prévisionnel de sortie d’Android 17, avec une phase de bêta réduite à seulement quelques semaines, pour livrer aux développeurs une version considérée comme stable dès le mois de mars. « À cette étape, nous livrerons les API finales des SDK/NDK ainsi que la plupart des comportements définitifs de l’application. Vous disposerez ensuite de plusieurs mois avant la publication de la version finale pour finaliser vos tests », indique Google.

La liste des nouveautés annoncées pour Android 17 témoigne de cette volonté de rationaliser et d’harmoniser un écosystème qu’on présente souvent comme moins bien intégré que celui d’Apple. Le SDK associé exclut par exemple l’option qui permettait aux développeurs de désactiver les restrictions d’orientation et de redimensionnement sur les appareils à grand écran.

« Les utilisateurs s’attendent à ce que leurs applications fonctionnent partout — que ce soit en multitâche sur une tablette, en dépliant un appareil ou en utilisant un environnement de bureau à fenêtres — et ils s’attendent à ce que l’interface utilisateur remplisse l’espace et respecte la position de leur appareil », prévient Google. De quoi sans doute préparer le terrain à Aluminium OS, le nom de code que l’entreprise donnerait à la version PC d’Android ?

Android 17 bêta 1 incarne pour mémoire le changement de logique opéré l’an dernier par Google quant à la mise à disposition des versions de test de son système d’exploitation mobile. Android a en effet abandonné son modèle historique de Developer Preview (avec des versions individuelles à installer à la main) pour passer vers un canal de distribution Canary. Parallèle au canal officiel (dédié aux versions stables), il permet de recevoir les nouvelles préversions sous forme de mises à jour, avec une installation simplifiée.

Sam Altman a annoncé dimanche le recrutement de Peter Steinberger, le créateur du phénomène OpenClaw. Peter Steinberger « rejoint OpenAI pour piloter la prochaine génération d’agents personnels ».

« C’est un génie qui regorge d’idées fascinantes sur l’avenir des agents intelligents interagissant entre eux pour accomplir des tâches très utiles. Nous prévoyons que cela deviendra rapidement un élément central de notre offre de produits », se réjouit le CEO d’OpenAI.

Le principal intéressé a lui aussi signalé son recrutement sur son propre blog. Il y explique qu’OpenClaw a selon lui le potentiel pour devenir une grande entreprise, mais affirme ne pas souhaiter s’engager dans cette voie de façon indépendante.

« Ce que je veux, c’est changer le monde, pas créer une grande entreprise, et m’associer à OpenAI est le moyen le plus rapide d’y parvenir pour tous », affirme-t-il. Dans son billet, il raconte avoir rencontré ces derniers jours les principaux laboratoires d’IA de la région de San Francisco, et les remercie pour leurs propositions.

Si Peter Steinberger a été aussi courtisé, c’est bien sûr en raison de l’ascension fulgurante de son assistant IA. Lancé fin 2025 sur Github sous licence MIT (et d’abord baptisé Clawdbot avant d’être renommé Moltbot, puis OpenClaw), cet agent IA a vocation à réaliser de façon autonome les tâches que lui confie son utilisateur, en s’appuyant sur les grands modèles de langage du marché (ChatGPT, Claude etc.). L’outil est particulièrement puissant, mais il faut être prudent dans sa mise en œuvre, dans la mesure où l’on peut lui ouvrir un accès complet à ses fichiers et donc à ses données personnelles.

• ClawdBot : un agent IA personnel et multicanal… qui peut accéder à toutes vos données

Portée par sa capacité à s’interfacer avec toutes les messageries courantes (Telegram, WhatsApp et consorts), la popularité d’OpenClaw a également été dopée par le phénomène viral de Moltbook, le réseau social où les agents IA (basés sur OpenClaw) conversent entre eux.

Altman et Steinberger ont tous deux affirmé ce week-end qu’OpenClaw poursuivrait son chemin en tant que projet indépendant. Le projet devrait être confié à une fondation que soutiendra OpenAI, et resterait donc open source.

« La communauté autour d’OpenClaw est extraordinaire et OpenAI s’est fortement engagée à me permettre de m’y consacrer pleinement, en sponsorisant déjà le projet. Afin de structurer correctement ce projet, je travaille à en faire une fondation. Celle-ci restera un lieu d’échange pour les penseurs, les développeurs et tous ceux qui souhaitent maîtriser leurs données, avec pour objectif d’accompagner encore plus de modèles et d’entreprises », promet Peter Steinberger.

Ce recrutement intervient quelques jours après qu’OpenAI a annoncé mettre fin à son équipe dédiée à « l’alignement de la mission » de l’entreprise, sur fond de dissensions internes quant à l’introduction de la publicité au sein de ChatGPT ou l’introduction d’une fonctionnalité érotique.

• Fonctions érotiques, publicité : OpenAI sous le feu des critiques, y compris internes