Pas bien glorieux

La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.

Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.

Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.

Synthèse douloureuse

Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.

La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.

Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».

Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.

Loi SREN trop timide, isolement de la France sur EUCS

La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».

Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.

Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.

Nombreuses limitations dans les actions françaises

Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.

Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.

Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.

En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.

La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».

Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.

Vision stratégique et recommandations

Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.

Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ». 

La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.

💥 ;)💥 ;)💥

Google et Amazon auraient accepté, dans un contrat très lucratif avec l’État israélien, un mécanisme pour contourner d’éventuels contrôles d’autres juridictions, selon des documents obtenus par le Guardian.

Si Microsoft a largement fourni l’armée israélienne en cloud et IA, c’est bien ses deux concurrents qui ont obtenu en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Projet qui, au sein de Google, a fait des remous récemment puisque l’entreprise a licencié 28 de ses employés en janvier dernier après des manifestations de salariés dans les locaux.

Pas de restriction selon les conditions d’utilisation des entreprises

Mais Google et Amazon ont accepté des clauses très particulières dans le contrat qu’ils ont signé avec l’État israélien. En effet, selon des documents du ministère des Finances israélien, dont la version finale du contrat, obtenus par le Guardian (dans le cadre d’une enquête avec les média + 972 et Local Call), les deux entreprises auraient accepté de ne jamais restreindre ou révoquer aucun accès d’Israël à leurs plateformes de cloud, même si celui-ci enfreignait leurs conditions d’utilisation.

Selon le quotidien britannique, cette clause aurait été ajoutée car les responsables auraient anticipé la pression d’activistes et d’associations de défense des droits humains ainsi que d’éventuelles décisions judiciaires dans divers pays. Selon un des documents d’analyse du contrat du ministère des Finances israélien obtenu par le Guardian, « le gouvernement est autorisé à utiliser tout service autorisé par la loi israélienne » à condition que le pays n’enfreigne pas de copyright ou ne revende pas les technologies en question.

Un clin d’œil en forme de versement spécial

Mais une autre clause est encore plus étonnante. Les responsables israéliens auraient voulu éviter la mainmise de toute autorité judiciaire européenne ou états-unienne sur les différents systèmes mis en place par Google et Amazon.

Même si les nouveaux datacenters utilisés par Google et Amazon pour le « projet Nimbus » sont sur le sol israélien, ils craignaient des évolutions législatives étrangères qui auraient contraint les deux entreprises à donner accès aux données aux autorités judiciaires en question.

Les deux entreprises sont régulièrement soumises à ce genre de demandes et ne peuvent s’y soustraire. Les responsables israéliens auraient donc imaginé un mécanisme, qualifié de « clin d’œil », qui permet à Google et Amazon d’informer très rapidement Israël d’une telle demande.

Selon les documents obtenus par le Guardian, le signal donné par l’entreprise concernée devrait se faire sous la forme d’une « compensation spéciale » au gouvernement israélien dont le montant serait lié à l’indicatif téléphonique du pays demandeur.

Ainsi, si la compensation est de 1 000 shekels, ce sont les autorités états-uniennes (indicatif téléphonique :+ 1) qui font la demande. Si c’est l’Italie (indicatif téléphonique :+ 39), la somme serait de 3 900 shekels. La somme de 100 000 shekels indiquerait, elle, que l’entreprise ne peut communiquer aucune information sur le pays en question.

Amazon, Google et Israël bottent en touche et nient en bloc

Les deux entreprises n’ont pas voulu répondre spécifiquement aux diverses questions de nos confrères. « Nous avons mis en place un processus mondial rigoureux pour répondre aux demandes légales et contraignantes concernant les données des clients », a affirmé Amazon, ajoutant « Nous n’avons mis en place aucun processus visant à contourner nos obligations de confidentialité concernant les demandes légales et contraignantes ». Google a rétorqué qu’il était « faux » de « laisser entendre que nous étions d’une manière ou d’une autre impliqués dans des activités illégales, ce qui est absurde ».

De son côté, le ministère des Finances israélien nie en bloc : « L’insinuation contenue dans cet article selon laquelle Israël contraindrait les entreprises à enfreindre la loi est sans fondement ».

Présente à la Paris Games Week, l’association MO5.com a profité, jeudi, de ce grand rassemblement dédié au jeu vidéo pour annoncer l’ouverture prochaine de son « Musée National du Jeu Vidéo », qui couvrira des années 50 à l’époque moderne.

C’est à Arcueil, à proximité immédiate du périphérique parisien et de l’A6 que prendra place cet espace d’exposition permanent estimé à 1200 m² dans un premier temps, « pouvant accueillir jusqu’à 200 personnes simultanément et incluant micros-ordinateurs, consoles, bornes d’arcade jouables en libre accès ».

« Le musée sera doté d’un espace restauration, d’un atelier de 200 m² dédié à la préservation et à la recherche, mais aussi d’un atelier d’entretien et de diagnostic permettant au public de faire réparer ses machines (selon une liste prédéfinie) », promet encore l’association dédiée à la conservation du patrimoine vidéoludique.

L’ouverture est programmée à une date comprise entre le 5 et le 15 décembre, avec un musée accessible au public de 14 h à 18 h les mercredis, samedis et dimanches (les autres jours étant réservés aux groupes). Le ticket d’entrée devrait être facturé moins de 10 euros, et l’accès sera gratuit pour les adhérents de l’association, dont les collections étaient déjà stockées dans un local situé à Arcueil.

« À terme, l’association vise le label « Musée de France » qui garantit la protection de la collection et permet des prêts de pièces avec d’autres musées », espère MO5.com, qui promet l’arrivée imminente d’un site web dédié à son musée, et remercie les nombreux partenaires, locaux ou du secteur, qui ont soutenu sa démarche.

Jusqu’ici, l’association exposait principalement ses collections au travers d’expositions temporaires, comme Game Story, organisée entre octobre 2024 et avril 2025 à Versailles. MO5.com milite de longue date pour disposer d’un espace permanent.

Outre ce « Musée National du Jeu Vidéo », la région parisienne devrait par ailleurs s’enorgueillir d’un autre projet, baptisé Odyssée et porté par Tev, un youtubeur spécialisé dans la culture japonaise. Attendu pour 2028, il prévoit qu’un musée du jeu vidéo et un village japonais d’une surface de 11 000 m² soient intégrés à un pôle d’activités dédié au jeu et à la culture pop, à Bussy-Saint-Georges.

La suite Affinity s’est fait un nom au cours des dernières années comme une alternative crédible aux outils d’Adobe. Le positionnement tarifaire était également très différent, avec des applications coutant chacune 60 euros environ, en achat définitif. Son éditeur, Canva, vient de lancer une nouvelle version, avec plusieurs changements majeurs à bord.

D’abord, la suite est désormais gratuite, mais réclame un compte Canva pour être téléchargée. Les fonctions dopées à l’IA comme la génération d’images, le nettoyage de photos ou encore la copie instantanée sont en revanche payantes, réservées aux personnes disposant d’un compte Canva premium, via Canva AI Studio (à partir de 110 euros par an). La formule comprend également 100 Go de stockage dans le cloud de l’entreprise.

Ensuite, les trois applications ont été fusionnées en une seule, appelée Affinity Professional et disponible pour Windows, macOS et prochainement sur iPad. La même application sert donc à la fois pour la retouche photo, l’illustration vectorielle et la mise en page. Le tout fonctionne sur un nouveau type de fichier décrit comme « universel » pour gérer l’ensemble des fonctions des trois applications réunies. Les anciennes, bien que retirées du site de Canva, continueront de fonctionner jusqu’à ce que l’éditeur en décide autrement.

« Que vous éditiez un portrait, construisiez une identité de marque ou conceviez une publication, le tout nouvel Affinity vous permet de garder le rythme, en combinant puissance, précision et vitesse dans un seul environnement de qualité studio », vante Canva dans son annonce. L’entreprise met également en avant la personnalisation de l’interface, les performances et la familiarité des contrôles pour les personnes qui se servaient des anciennes applications.

« Affinity est maintenant entièrement gratuit, pour toujours. L’expérience Affinity complète, de qualité professionnelle, accessible à tous », promet l’éditeur, qui assure aussi que les documents créés par la suite ne seront pas utilisés pour entrainer l’IA.

Fart of the deal

Après plusieurs sanctions imposées par les États-Unis, la Cour pénale internationale s’apprêterait à signer un contrat avec la société allemande Zendis en vue d’un déploiement de la solution openDesk, pour remplacer la suite Office de Microsoft.

L’information a été révélée par le média allemand Handelsblatt. Osvaldo Zavala Giler, greffier de la CPI et responsable de l’informatique, a confirmé à demi-mot l’information : « Compte tenu des circonstances, nous devons réduire les dépendances et renforcer l’autonomie technologique de la Cour. »

Portée symbolique

Les travaux envisagés ne marqueraient pas par leur ampleur : avec 1 800 postes, la Cour pénale internationale ne détient pas une vaste infrastructure. En revanche, comme relevé par Handelsblatt, la portée symbolique du changement n’échappera à personne, les questions sur la souveraineté s’intensifiant, particulièrement en Europe.

• En Autriche, un ministère se débarrasse en grande partie de Microsoft pour Nextcloud

Les « circonstances » évoquées par Osvaldo Zavala Giler sont en effet les fortes tensions avec les États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Le président américain avait ainsi annoncé des sanctions en février dernier contre la CPI pour avoir lancé des enquêtes contre Israël pour crimes de guerre.

En mai, on apprenait que le compte e-mail de Karim Khan, procureur de la CPI, avait été supprimé par Microsoft. Interrogée devant le Sénat américain le mois suivant, l’entreprise avait nié.

En aout, c’était au tour de Nicolas Guillou, juge français à la Cour pénale internationale, et de plusieurs autres magistrats de faire les frais de ces sanctions, avec une coupure de tous les services numériques par Microsoft. Le juge avait indiqué que ce type de sanction touchait habituellement « des membres d’Al Qaïda, de Daech, de groupes mafieux, des dirigeants de régimes dictatoriaux ».

• Sanctions US : un juge de la CPI n’a plus accès aux services numériques américains

Nécessaire mais pas suffisant

Sur la migration vers openDesk, Microsoft s’est montrée laconique : « Nous apprécions notre relation client avec la Cour pénale internationale et pensons que rien n’affectera notre capacité à poursuivre notre collaboration à l’avenir ». Zendis, de son côté, n’a pas répondu aux sollicitations d’Handelsblatt.

Mais même si cette transition se fait, il faudra au minimum plusieurs mois pour aboutir à un changement effectif. De plus, comme souligné par Handelsblatt, le remplacement d’Office n’est qu’une partie du problème. Si les sanctions des États-Unis s’intensifient, toutes les entreprises américaines pourraient se voir interdire la moindre relation commerciale avec la CPI, tout comme les forces de l’ordre pourraient cesser tout envoi d’informations. Le fonctionnement de la Cour en serait largement affecté.

CSARaté

Le Danemark a annoncé l’abandon par l’Union européenne du projet controversé Chat Control. Celui-ci prévoyait d’obliger les messageries à contrôler ce que les utilisateurs partagent, en s’appuyant sur la lutte contre les contenus à caractère pédosexuel.

Finalement, le Danemark, qui préside actuellement l’Union européenne, a décidé de retirer la surveillance des messageries du texte du projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation).

Une surveillance obligatoire abandonnée

Le ministre de la Justice danois, Peter Hummelgaard, a expliqué ce jeudi 30 octobre « que l’obligation de recherche [sur les contenus pédopornographiques] ne fera pas partie de la nouvelle proposition de compromis de la présidence de l’UE et que la recherche de matériel pédopornographique restera volontaire pour les géants de la technologie ».

Depuis trois ans, le projet proposait d’obliger les créateurs de messageries à scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Il était devenu « l’une des priorités phares » du Danemark pour sa présidence.

Mais récemment l’Allemagne avait douché les espoirs d’un accord sur le sujet. « Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », avait notamment déclaré Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs. Et le parti danois Modérés, au pouvoir actuellement, s’est récemment prononcé contre.

• L’Allemagne fait capoter le projet controversé de surveillance des messageries ChatControl

Selon Euractiv, la présidence de l’Union européenne a envoyé, en parallèle, un document de travail aux représentants des pays de l’UE pour recueillir leurs avis sur le projet de texte expurgé donc du passage sur Chat Control et arriver ainsi à un compromis.

« Un triomphe » mesuré pour l’ancien député européen Patrick Breyer

« Cette nouvelle approche est un triomphe pour le mouvement en faveur de la liberté numérique et un grand pas en avant pour la préservation de notre droit fondamental à la confidentialité de notre correspondance numérique », affirme l’ancien député du Parti pirate allemand, Patrick Breyer, qui s’est vivement opposé à ce texte. « Elle permettrait de protéger le chiffrement sécurisé et donc de garantir la sécurité de nos smartphones ».

Si l’obligation de contrôler les contenus est abandonnée, le Danemark espère maintenir la possibilité de le faire pour les messageries qui le désirent. Le dispositif juridique européen actuel qui le permet va arriver à expiration en avril 2026 et la présidence de l’Union européenne compte le renouveler dans son texte.

« Même lorsqu’elle est mise en œuvre volontairement par des fournisseurs de services de communication tels que Meta, Microsoft ou Google, la surveillance des chats reste totalement aveugle et se traduit par une surveillance massive et indiscriminée de tous les messages privés échangés sur ces services », commente Patrick Breyer.

L’ancien eurodéputé continue à critiquer d’autres parties du texte en cours de discussion, considérant qu’un article introduisant un âge minimum de 16 ans pour installer certaines applications interdirait l’utilisation aux adolescents de WhatsApp, Snapchat, Telegram, Instagram ou TikTok, mais aussi des jeux comme FIFA ou GTA. Selon lui, un autre article bloquerait aussi toute communication anonyme puisqu’il obligerait l’identification de l’utilisateur des messageries via une pièce d’identité ou reconnaissance faciale.

Avec le retrait du dispositif Chat Control, la présidence danoise pourrait néanmoins trouver un compromis au sein de l’Union européenne et préparer le texte pour entrer dans la phase de négociations avec le Parlement européen, explique Euractiv.

L’application de messagerie propose de chiffrer les sauvegardes de bout en bout depuis 2021. Dans les paramètres, il faut se rendre dans « Discussions » puis dans « Sauvegarde des discussions ». De là, on peut cliquer sur « Sauvegarde chiffrée de bout en bout » et suivre la procédure.

WhatsApp laisse deux moyens d’activer ce type de sauvegarde : la création d’un mot de passe ou l’utilisation d’une clé de chiffrement de 64 caractères. Mais si l’on oublie le premier et/ou que l’on oublie la seconde, les données sont définitivement perdues. Rien de neuf dans ce domaine, c’est une conséquence inévitable du chiffrement de bout en bout. Le danger de perte en cas d’oubli est réel et se retrouve dans des produits courants comme les gestionnaires de mots de passe, dont l’accès est toujours protégé par un mot de passe maître.

Dans un billet, WhatsApp annonce cependant qu’elle va déployer dans les semaines et mois à venir une troisième voie : l’utilisation de la clé d’accès. Il faudra simplement que celle-ci ait déjà été définie, pour protéger par exemple la connexion lors de l’accès web. Dans ce cas, la même clé pourra être utilisée pour chiffrer les sauvegardes de bout en bout.

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

Comme nous l’avons indiqué à plusieurs reprises, les clés d’accès ne manquent pas d’avantages. Elles peuvent notamment être sauvegardées dans les gestionnaires de mots de passe et être réutilisées, toujours avec l’appui d’une preuve biométrique ou du code de déverrouillage de l’appareil.

« Vous n’aurez plus besoin d’avoir à retenir un mot de passe ou une clé de chiffrement à 64 chiffres. Les clés d’accès vous permettront de chiffrer les sauvegardes de vos discussions à l’aide de votre empreinte digitale, de la reconnaissance faciale ou du code de verrouillage d’écran. Appliquez le même niveau de sécurité à vos sauvegardes de discussions qu’à vos discussions et appels sur WhatsApp en les protégeant désormais d’un simple geste ou regard. Vos sauvegardes resteront ainsi sécurisées, accessibles et privées », indique ainsi WhatsApp.

Les mises à jour proposées dans Windows Update ont souvent des noms ésotériques pour les profanes. Microsoft a donc décidé de donner un coup de balai, avec un changement bienvenu et qui s’est fait attendre.

Par exemple, la dernière mise à jour mensuelle de sécurité pour Windows 11 se nomme :

• 2025 - 10 Mise à jour cumulative pour Windows 11, version 25H2 pour les systèmes x64 (KB5066835) (26200.6901)

Cette nomenclature communique de nombreuses informations : le mois et l’année concernés, le type de mise à jour, le système et sa version majeure, l’architecture visée, la référence de la mise à jour (Knowledge Base) ainsi que le numéro de build de Windows. Des informations peut-être utiles, mais qui donnent un nom particulièrement chargé et peu lisible, qui n’aide pas à comprendre de quoi il s’agit.

Avec la nouvelle convention de nommage, la même mise à jour devient :

• Mise à jour de sécurité (KB5066835) (26200.6901)

Soit uniquement le type, la référence et le numéro de build. Cette simplification est étendue à tous les types de mises à jour : sécurité, qualité, .NET, pilotes, composants IA et applications prises en charge, comme Visual Studio. « Les titres améliorés s’alignent sur les attentes de l’interface utilisateur moderne et les normes d’accessibilité, ce qui favorise la sécurité et la productivité grâce à une ambiguïté réduite », indique Microsoft dans son billet.

L’éditeur ne précise pas quand ce changement sera mis en place, mais il devrait être bientôt visible aussi bien dans l’interface principale de Windows Update que dans l’historique. En revanche, les noms des mises à jour dans le catalogue général Microsoft Update ne changent pas.

nsfw

Depuis juillet, Meta fait l’objet d’une plainte de deux studios de production de vidéos porno, qui l’accusent d’avoir téléchargé illégalement plus de 2 000 contenus pour entrainer ses IA. L’entreprise de Mark Zuckerberg réplique en invoquant plutôt l’« usage personnel » de ses salariés, sous-traitants ou visiteurs.

De nombreuses entreprises accusent les entreprises d’IA générative d’utiliser leurs contenus illégalement pour entrainer leurs modèles.

Cet été, deux entreprises états-uniennes de production et de distribution de films porno, Strike 3 Holdings et Counterlife Media, ont attaqué Meta, en l’accusant d’avoir téléchargé, via le protocole BitTorrent, 2 396 films. Elles demandent des dommages et intérêts qui pourraient atteindre 350 millions de dollars.

Cette semaine, comme l’explique Torrent Freak, Meta a demandé au tribunal américain en charge de l’affaire de rejeter la plainte en arguant notamment que les téléchargements de ces vidéos étaient pour de l’ « usage personnel ».

47 IP de Meta ayant téléchargé les vidéos de deux studios

Dans leur plainte initiale, les deux studios affirmaient que Meta avait téléchargé leurs contenus « à partir de sources pirates dans le but d’acquérir du contenu pour former son Meta Movie Gen, son modèle linguistique à grande échelle (« LLaMA »), ainsi que divers autres modèles d’IA Meta qui s’appuient sur du contenu vidéo pour l’entraînement ». Et d’évoquer la possibilité que Meta les concurrence en créant un modèle qui puisse générer des films en reproduisant la « qualité hollywoodienne » technique de leurs films.

Strike 3 Holdings et Counterlife Media expliquent avoir découvert 47 IP appartenant à Meta dans les bases de données qu’elles ont mises en place pour repérer les utilisateurs de BitTorrent s’échangeant leurs contenus. Elles affirment avoir fait cette recherche suite à l’affaire opposant Meta à l’autrice Andrea Bartz et aux auteurs Charles Graeber et Kirk Wallace Johnson, dans laquelle l’entreprise a aussi été accusée d’utiliser le protocole de transfert de données pair-à-pair.

• Copyright : les entreprises d’IA gagnent plusieurs manches judiciaires, mais pas toutes

Meta se décharge sur l’ « usage personnel » de ses salariés, sous-traitants et visiteurs

Les avocats de l’entreprise de Mark Zuckerberg font remarquer, dans leur document envoyé au juge [PDF], que Strike 3 Holdings a déjà « intenté des milliers de poursuites judiciaires » et « a été qualifié par certains de « troll des droits d’auteur » qui intente des poursuites judiciaires abusives ».

Ils qualifient le téléchargement de « sporadique » en faisant remarquer que les premiers fichiers incriminés datent de 2018, « soit plusieurs années avant que Meta n’ait prétendument « commencé à faire des recherches sur les modèles multimodaux et la vidéo générative » en 2022 » et pointent le fait que les deux studios ne montrent pas comment ce téléchargement « aurait pu avoir pour objectif « d’acquérir du contenu pour entraîner » ces modèles ».

Mais Meta va plus loin. L’entreprise semble se dédouaner de toute responsabilité en affirmant que les téléchargements étaient « tout au plus » le fait de « sous-traitants, visiteurs ou employés de Meta […] à des fins personnelles ».

Les studios accusaient justement Meta d’avoir utilisé des IP en dehors de son infrastructure pour dissimuler ses activités sur BitTorrent. Ils avaient présenté des corrélations entre les différentes activités des IP pour justifier cette association et affirmaient que « ces corrélations quantifient également le fait que les adresses IP « hors infrastructure » et celles de Meta agissent de manière cohérente selon des modèles non humains et que l’acquisition de ce contenu est destinée à l’entraînement de l’IA et non à un usage personnel ».

De son côté, Meta réfute la méthode qui permettrait aux studios d’affirmer qu’il y a une corrélation entre les téléchargements depuis son réseau et en dehors. Elle ajoute que les moments où se passaient les téléchargements ne correspondent pas à un plan de téléchargements établi mais plutôt à de l’ « usage personnel ».

Enfin, l’entreprise pose la question : « pourquoi Meta chercherait-elle à « dissimuler » certains téléchargements présumés de contenus appartenant aux plaignants et à des tiers, mais utiliserait des adresses IP de Meta facilement traçables pour plusieurs centaines d’autres, dont 157 œuvres des plaignants ? ». Meta demande donc à la justice états-unienne d’abandonner ce cas.

Strike 3 Holdings et Counterlife Media ont deux semaines pour donner leurs arguments contre cet abandon. Dans leur plainte, elles affirmaient que « Meta a le droit et la capacité de superviser et/ou de contrôler ses propres adresses IP d’entreprise, ainsi que les adresses IP hébergées dans des centres de données hors infrastructure, et les actes de ses employés et agents qui enfreignent les œuvres des plaignants via leurs adresses IP résidentielles » en passant par des outils fournis par Meta.

You've got mail

Déjà propriétaire d’Evernote, de WeTransfer et bientôt de Vimeo, le groupe italien Bending Spoons annonce l’acquisition d’AOL, avec son portail Web et son webmail, auprès de Yahoo et de son actionnaire, le fonds Apollo Global Management. La transaction est évaluée à 1,5 milliard de dollars, financée par la dette.

AOL devrait à nouveau changer de main dans les prochains mois. Le célèbre portail américain, que d’aucuns ont découvert en France comme fournisseur d’accès à Internet au début des années 2000 (ah, les fameux kits de connexion distribués sur CD dans les magazines et les boîtes aux lettres), fait en effet l’objet d’une offre d’achat formulée par le groupe italien Bending Spoons.

Annoncée jeudi 29 octobre, celle-ci valorise AOL à hauteur de 1,5 milliard de dollars, principalement en raison des audiences toujours significatives du portail AOL.com et de sa messagerie en ligne. « Selon nos estimations, AOL est l’un des dix fournisseurs de messagerie électronique les plus utilisés au monde, avec une clientèle très fidèle comptant environ 8 millions d’utilisateurs actifs quotidiens et 30 millions d’utilisateurs actifs mensuels », déclare Luca Ferrari, cofondateur et CEO de Bending Spoons.

L’acquéreur promet qu’il n’a pas l’intention de se contenter de capitaliser sur la notoriété historique de la marque. « Nous avons l’intention d’investir de manière significative pour contribuer à l’essor du produit et de l’entreprise », affirme encore le CEO, se targuant de n’avoir jamais vendu l’une des sociétés rachetées par son groupe.

Bending Spoons : une stratégie agressive de « build-up »

Si le nom AOL éveille forcément quelques souvenirs chez celles et ceux dont les cheveux grisonnent, Bending Spoons est totalement inconnu du grand public. Fondé en 2013 et basé à Milan, Bending Spoons repose sur une stratégie plutôt simple, expliquée par son cofondateur à Sifted en 2024 : racheter, de préférence à bon prix, des services ou des applications mobiles qui ont déjà fait leur preuve de marché puis les améliorer, ou en optimiser le fonctionnement, de façon à les rendre rentables.

Les bénéfices sont ensuite réinvestis sous forme de nouvelles acquisitions qui, à leur tour, sont censées autoriser de nouvelles optimisations, par le biais notamment des synergies. Dans le monde de la finance, on qualifie cette stratégie de build-up (littéralement accumulation). Elle suppose généralement de recourir à la dette pour financer les nouvelles acquisitions, et se traduit parfois par des efforts de rationalisation drastiques au niveau des entreprises rachetées.

Chez Bending Spoons, cette stratégie de croissance externe s’est considérablement accélérée à partir de 2022. Le groupe italien vient alors de réaliser sa première levée de fonds majeure. Et sa vision s’incarne à chaque fois par des plans de restructuration qui conduisent au licenciement de la majorité des effectifs de l’entreprise concernée.

Fin 2022, Bending Spoons s’offre l’application iPhone FiLMiC et son pendant payant FiLMiC Pro, puis l’outil de notes partagées Evernote début 2023. Les deux équipes sont licenciées, au nom d’un développement repris en interne au siège italien du groupe.

En 2024, Bending Spoons a de la même façon mis la main sur le studio mobile Mosaic Group, puis sur l’application de rencontres sociales Meetup, avant de s’offrir le service de partage de fichiers WeTransfer, puis la plateforme vidéo Brightcove pour quelque 230 millions de dollars. Chez WeTransfer, le changement de propriétaire se traduit par le départ de 75 % des salariés historiques.

En 2025, nouvelle fringale : le groupe met la main sur Komoot, l’outil allemand de création d’itinéraires et de promenades, pour 300 millions d’euros. Quelques semaines plus tard, les 150 salariés sont remerciés. Qu’adviendra-t-il des salariés de Vimeo ? La plateforme vidéo, un temps concurrente de YouTube, est en cours d’acquisition par Bending Spoons, qui a formulé une offre à 1,38 milliard de dollars.

710 millions de dollars levés et 2,8 milliards de dollars de dette

Le groupe italien peut maintenant se targuer de jouer dans la cour des grands. Début 2024, il lève 155 millions de dollars (en capital) auprès de plusieurs fonds d’investissement. Ce 30 octobre 2025, il annonce un nouveau tour de table, mais à hauteur de 710 millions de dollars cette fois, sur la base d’une valorisation préalable à 11 milliards de dollars.

En parallèle de ces capitaux, Bending Spoons indique avoir sécurisé une enveloppe de 2,8 milliards de dollars sous forme de dette bancaire. Celle-ci est destinée notamment à financer l’acquisition de Vimeo, et maintenant celle d’AOL, dont le nom n’évoquera décidément plus son positionnement marketing originel, America Online.

Une nouvelle page européenne pour AOL ?

Bending Spoons, qui revendique 300 millions d’utilisateurs mensuels sur ses applications et services, raisonne sans surprise sur un périmètre mondial. Le groupe met cependant un pied particulier aux États-Unis avec AOL puisque c’est là que l’ancien FAI compte le plus d’utilisateurs.

Rappelons qu’AOL, un temps présent en France, a connu des fortunes diverses depuis sa séparation avec le groupe Time Warner, en 2009. Un temps indépendant, le groupe a d’abord été racheté par l’opérateur Verizon en 2015 (pour 4,4 milliards de dollars), chez qui il sera rejoint l’année suivante par Yahoo. En 2021, nouveau changement de mains : Verizon cède le contrôle de ses activités média, auxquelles appartiennent AOL et Yahoo, au fonds Apollo Global Management.

D’après le Wall Street Journal, AOL générait chez Apollo un chiffre d’affaires annuel de l’ordre de 500 millions de dollars.

Avec ses homologues allemands, belges et danois, Que-Choisir s’est lancé dans des achats de chargeurs et autres produits sur Shein et Temu pour en analyser le respect des normes européennes. Et le moins que l’on puisse dire, c’est qu’ils sont loin du compte.

Sur les 54 chargeurs achetés (27 sur chaque plateforme), seuls 2 (un de chaque plateforme) respectaient les normes européennes. 21 ne possédaient pas certains marquages obligatoires comme le logo CE ou l’unité de tension. Surtout, 51 n’ont pas résisté aux contraintes mécaniques imposées, avec des résultats variés : broches tordues ou tournées trop facilement, boitier cassé après une chute…

Pour 4 des chargeurs, « les circuits à haute et basse tension étaient trop proches l’un de l’autre, risquant de provoquer des arcs électriques ». La température s’est envolée sur 14 chargeurs, au point de dépasser les températures maximales autorisées de 77 et 87° C. Un modèle a même atteint 102° C.

« Nos tests ont mis en évidence le fait que ces produits d’entrée de gamme étaient souvent mal conçus et fabriqués avec des matériaux de mauvaise qualité, et que beaucoup d’entre eux faisaient courir de réels risques de brûlure, de choc électrique et d’incendie à leurs utilisateurs »

Les tests réalisés sur des jouets pour enfants et des bijoux renvoient vers le même type de résultats. Pour les premiers, Que-Choisir note, en fonction des modèles, une qualité de fabrication « catastrophique », un niveau de bruit bien trop puissant, des substances dangereuses, une ouverture trop facile du compartiment des piles, etc. Côté bijoux, la plupart de ceux achetés étaient conformes. Mais dans le cas contraire, ils représentaient de vrais dangers pour la santé. « L’un des bijoux achetés sur Shein était même composé à 87 % de cadmium, soit 8 700 fois la norme autorisée de 100 mg/kg », indique Que-Choisir.

Le magazine ajoute avoir contacté les deux plateformes pour expliquer ses trouvailles. Tous les produits ont rapidement été retirés et Shein a lancé une campagne de rappel auprès de la clientèle. « Malgré tout, des produits similaires sont toujours en ligne et rien ne dit que ceux qui ont été retirés ne réapparaîtront pas chez d’autres vendeurs », conclut Que-Choisir.

Rappelons que les deux plateformes sont dans le viseur de l’Europe et de plusieurs États membres. L’Union européenne a officiellement ouvert une enquête contre Temu en octobre 2024 et contre Shein en début d’année, tandis que la France tirait en avril un triste bilan des produits non-conformes qui inondent son marché.

Siphon

Un chercheur en sécurité, Jose Pino, a trouvé un important problème dans Chrome, qui peut rejaillir dans tous les navigateurs basés sur Chromium. Il ne peut pas en l’état être utilisé pour pirater une machine, mais il peut occasionner un plantage complet du navigateur, voire de la machine selon la configuration utilisée.

Le chercheur expose ses travaux sur une page dédiée d’un dépôt GitHub et n’a révélé sa trouvaille dans un premier temps qu’à The Register. Il indique avoir prévenu Google le 28 aout puis à nouveau le 30, sans réponse jusqu’à très récemment. Il a donc décidé de dévoiler les détails de sa découverte, jusqu’à publier la manière d’exploiter le bug ainsi qu’un proof of concept (PoC) sous forme d’un site qui fera immanquablement planter le navigateur en 15 à 60 secondes.

Une API sans limitation de ressources

Le problème réside dans l’API document.title. Le chercheur a découvert qu’elle ne possède aucune limitation de débit sur les mises à jour, ce qui « permet d’injecter des millions de mutations DOM par seconde, et lors de cette tentative d’injection, cela sature le thread principal, perturbant la boucle d’événements et provoquant l’effondrement de l’interface ».

The Register dit avoir testé le PoC sur Edge sur un PC Windows 11. Résultat ? 18 Go de mémoire aspirés par l’onglet, un plantage du navigateur puis celui de la machine.

Jose Pino a nommé cette vulnérabilité Brash et elle n’affecte que le moteur Blink, principalement utilisé par Chrome. Gecko (Mozilla) et WebKit (Apple) ne sont pas concernés. Comme on peut le voir dans les explications sur GitHub, le temps nécessaire pour faire planter le navigateur varie légèrement, mais le résultat est toujours le même.

Chronologie d’un plantage

Le chercheur donne même la méthode pour aboutir au proof of concept, ainsi que le code qui va avec. Le processus se fait en trois étapes, dont la première consiste à préparer et à charger en mémoire 100 chaines hexadécimales uniques de 512 caractères. Vient ensuite la phase de burst (rafale) qui, dans une configuration par défaut, aboutit à 24 millions de mises à jour par seconde à faire ingérer à l’API document.title. Puisque celle-ci ne limite pas sa consommation de ressources, le navigateur puise autant qu’il peut dans le CPU et la mémoire. Les mises à jour sont si fréquentes que le processus principal du navigateur devient saturé, empêchant le fonctionnement de l’interface et entrainant finalement le plantage.

Jose Pino donne les temps moyens pour chaque étape : entre 5 et 10 secondes pour que les onglets se bloquent, entre 10 et 15 secondes pour provoquer un blocage complet ou l’apparition d’une boite de dialogue « Page sans réponse », et entre 15 et 60 secondes pour un plantage complet du navigateur. Bien qu’il ne s’agisse pas directement d’un problème de sécurité, il peut donner lieu à des plantages et donc à des pertes de travail selon le contexte.

The Register indique de son côté avoir contacté les entreprises derrière Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas et Brave. Sept n’ont pas répondu, Google a indiqué qu’elle se penchait sur le problème et Brave qu’elle attendrait que le souci soit corrigé dans Chromium.

La variante Unity d’Ubuntu est dans la panade. Le manque de développeurs dans l’équipe met la distribution en danger, au point qu’elle pourrait disparaitre.

Maik Adamietz, modérateur et administrateur de la communauté, fait partie du projet depuis 2020. Dans un message publié sur Discourse, il rend compte d’une situation devenue très compliquée. Il indique notamment que Rudra, chef du projet, est accaparé par ses études universitaires et les examens qui en découlent.

Le ralentissement a commencé à se faire sentir à la publication d’Ubuntu 25.04 en avril dernier. Maik ajoute qu’il a dû lui aussi s’éloigner, citant des raisons personnelles. Circonstance aggravante, les deux développeurs ont fortement ralenti leur participation à peu près au même moment, amplifiant le problème.

Même si les commits ont amplement diminué, l’infrastructure du projet a continué de produire des builds journalières, via un processus automatique. Sans réelles corrections, révisions du code et tests en mains propres, les défaillances ont prospéré au point d’aboutir à nombre de bugs considérés comme critiques.

Résultat : aucune version Unity n’est apparue pour Ubuntu 25.10, alors que le système est disponible depuis plusieurs semaines et que toutes les autres variantes (Kubuntu, Xubuntu…) ont suivi dans la foulée.

Maik dit s’être entretenu de la situation avec Tobiyo Kuujikai, un autre développeur et modérateur du projet. La conclusion de la discussion était cependant qu’aucun des deux n’estimait avoir les connaissances techniques suffisantes pour la maintenance d’une distribution entière ou même pour résoudre les bugs critiques qui émaillent la mouture actuelle.

Il lance donc un appel aux bonnes volontés, cherchant en priorité des personnes ayant assez de bagages techniques pour s’atteler à la tâche et ramener Ubuntu Unity dans l’état de fiabilité que la distribution avait à la version 24.04. Il espère au moins pouvoir résoudre les problèmes les plus importants d’ici la version 26.04.

Rappelons qu’Unity était un environnement développé par Canonical, quand l’entreprise rêvait de proposer une interface unique pour toutes les plateformes. En avril 2017, elle avait cependant annoncé l’abandon d’Unity au profit d’un retour sur GNOME. Ubuntu 17.10 avait inauguré cette bascule. Unity a fini par être repris par la communauté. Cet environnement ne manquait pas d’intérêt et avait la préférence d’une partie des utilisateurs.

Amazon a confirmé ce 28 octobre 14 000 suppressions de postes dans plusieurs domaines et pays. L’entreprise indiquait dans son communiqué qu’elle offrirait « à la plupart des employés 90 jours pour chercher un nouveau poste en interne ».

On apprend sans grande surprise que certaines divisions de la société sont plus touchées que d’autres. C’est notamment le cas des jeux vidéo, comme noté par The Verge. Amazon a ainsi confirmé qu’elle allait drastiquement réduire la voilure sur le développement en interne de jeux AAA, tout particulièrement les MMO.

Parmi ces derniers, New World Aeternum est le principal touché. Les développeurs du jeu ont ainsi publié hier un billet dans lequel ils annoncent ce que les joueurs craignaient : « La saison 10 et la mise à jour de Nighthaven, récemment lancées, serviront de dernière sortie de contenu pour New World sur PC et consoles ». Des détails supplémentaires seront fournis au cours des prochains mois et les serveurs devraient rester actifs jusqu’en 2026, sans plus de précisions. Les développeurs donneront un préavis « d’au moins six mois » avant la coupure.

Le destin des autres MMO varie. Pour Throne and Liberty, développé par NCSoft et FirstSpark Games, et Lost Ark, développé par Smilegate RPG, le développement continuera et les mises à jour continueront d’affluer. Le destin du MMO Lord of the Rings est en revanche plus incertain.

YouTube vient d’annoncer plusieurs améliorations à venir pour les créateurs de contenus. La plus visible sera une fonction baptisée « Super Resolution », chargée de proposer des versions HD de contenus en basse résolution, dont la définition et la qualité seront augmentées par l’IA.

Ce traitement sera automatiquement appliqué sur tous les contenus concernés. Cependant, les créateurs pourront désactiver la fonction pour qu’elle ne soit pas proposée aux internautes. Ces derniers verront les définitions ajoutées car elles seront étiquetées comme telles dans la liste du réglage Qualité. En outre, les originaux restent en place, les versions « améliorées » étant créées à part.

Difficile d’imaginer la quantité de calculs que cela représente, tant les vidéos sont nombreuses sous les 1080p. Le travail sera d’autant plus grand que YouTube compte proposer à terme une qualité allant jusqu’à la 4K.

D’autres améliorations doivent arriver très prochainement, dont la possibilité d’utiliser des fichiers allant jusqu’à 50 Mo pour les miniatures des vidéos, contre 2 Mo aujourd’hui. YouTube a également « commencé à tester des vidéos plus volumineuses avec certains créateurs afin de permettre des mises en ligne originales de qualité encore supérieure », mais sans plus de détails. On note aussi l’arrivée d’un code QR dans les vidéos promotionnelles pour se rendre directement vers une page d’achat.

Mais au milieu des améliorations portées par l’IA, il y a aussi un plan de départs volontaires pour le personnel américain de l’entreprise. Dans une note interne révélée ce mercredi par Sources, le patron de YouTube, Neal Mohan, indique que l’intelligence artificielle représente l’avenir de la plateforme.

En conséquence, toute la structure est désormais divisée en trois sections : « Subscription Products » pour tout ce qui touche aux abonnements (Premium, Music et streaming), « Viewer Products » qui se concentrera sur l’expérience de visionnage, et « Creator & Community Products » pour les créateurs de contenus et le renforcement de la communauté. Aucun licenciement n’est prévu, mais les personnes qui partiraient à la suite de ces changements ne seraient pas remplacées.

Un seul être vous manque et tout est dépeuplé

Après plusieurs heures de service dégradé, Microsoft a signalé dans la nuit de mercredi à jeudi la fin de la panne liée à son infrastructure cloud, Azure. L’éditeur évoque une erreur de configuration, dont les effets en cascade auraient progressivement fait tomber les principaux nœuds de son réseau.

Quelques joueurs ont eu l’occasion de râler sur leur Xbox mercredi soir, à juste titre : le cloud Microsoft Azure, qui sous-tend les services connectés de la console, a en effet été victime d’une panne de quelques heures, sensible à l’échelle mondiale.

L’incident s’est produit aux alentours de 16h45 mercredi 29 octobre (heure de Paris), d’après le rapport d’incident préliminaire publié cette nuit par Microsoft.

Les principaux services Azure inaccessibles

« Entre 16h45 le 29 octobre et 01h05 le 30 octobre 2025, les clients et les services Microsoft qui s’appuient sur Azure Front Door (AFD) ont pu rencontrer des latences, des expirations de délai et des erreurs », résume l’éditeur.

Azure Front Door est l’un des services en charge de la diffusion des contenus et applications hébergés par l’infrastructure cloud de Microsoft. « Il utilise l’équilibrage de charge de couche 7 [du modèle OSI, ndlr] pour répartir le trafic entre plusieurs régions et points de terminaison. Il offre également une accélération de site dynamique (DSA) pour optimiser les performances Web et un basculement en temps quasi réel pour garantir une haute disponibilité. Azure Front Door est un service entièrement managé, vous n’avez donc pas à vous soucier de la mise à l’échelle ou de la maintenance. », explique l’éditeur.

AFD joue un rôle d’intermédiaire entre l’utilisateur final et bon nombre des services distribués par Azure, dont les bases de données, les API, les outils de sécurité etc. Son dysfonctionnement a de ce fait eu des répercussions sur les principaux services grand public de Microsoft, mais aussi sur ceux de grands comptes tels que Costco, Starbucks ou Alaska Airlines, dont les passagers ont été privés pendant quelques heures des fonctions d’enregistrement en ligne, rapporte le Seattle Times.

Raison de la panne ? Microsoft invoque un « changement de configuration involontaire », qui aurait invalidé le paramètre concerné, et « empêché un nombre important de nœuds AFD de se charger correctement, entraînant une augmentation des latences, des délais d’attente et des erreurs de connexion pour les services en aval ».

Effet domino

Alors qu’AFD est précisément conçu pour répartir la charge entre les différents nœuds de l’infrastructure, la panne semble avoir déclenché un effet domino. « À mesure que les nœuds défectueux étaient retirés du réseau mondial, la répartition du trafic entre les nœuds fonctionnels devenait déséquilibrée, ce qui amplifiait l’impact et provoquait des interruptions de service, même dans les régions partiellement opérationnelles ».

Microsoft indique avoir immédiatement bloqué tout nouveau changement de configuration et déclenché une procédure de retour à la dernière configuration fonctionnelle connue, mais admet dans le même temps que cette procédure souffre d’une certaine inertie.

« La reprise a nécessité le rechargement des configurations sur un grand nombre de nœuds et le rééquilibrage progressif du trafic afin d’éviter les situations de surcharge au fur et à mesure que les nœuds étaient remis en service. Cette reprise délibérée et progressive était nécessaire pour stabiliser le système tout en rétablissant sa capacité et en garantissant l’absence de récidive du problème ».

Reste à comprendre comment et pourquoi l’architecture Azure a laissé ce paramètre invalidant se propager à grande échelle. Sur ce point, Microsoft parle d’un « défaut logiciel », sans donner plus de précision, mais promet, comme toujours, que les mesures de sécurité concernées ont depuis été réexaminées et que « des contrôles de validation et d’annulation supplémentaires ont été immédiatement mis en place afin de prévenir des problèmes similaires à l’avenir ».

Ironie du sort, cette panne est intervenue à peu près au moment où Microsoft présentait aux marchés les résultats financiers du premier trimestre de son exercice fiscal 2026, clos au 30 septembre 2025. L’éditeur a fait état d’un chiffre d’affaires de 77,7 milliards de dollars sur le trimestre, en hausse de 18 % sur un an et doublé d’un bénéfice net de 27,7 milliards de dollars. « La croissance continue de Microsoft Cloud témoigne de la demande croissante des clients pour notre plateforme différenciée », s’est félicitée à cette occasion Amy Hood, la directrice financière de l’entreprise.

Cet incident survient moins de deux semaines après qu’une panne de très grande ampleur a touché le cloud AWS à l’échelle mondiale, provoquée par une situation de compétition autour d’enregistrements DNS. Chez Microsoft, on ne précise pas la nature exacte du composant défectueux, mais les esprits taquins noteront que les premiers messages d’alerte diffusés par les comptes de l’éditeur sur les réseaux sociaux mentionnaient l’éventualité d’un problème lié aux DNS, même si ces mentions ont depuis disparu.

En juin dernier, nous rapportions que Grammarly avait levé un milliard de dollars. La société, spécialisée dans la détection des fautes et l’aide à l’écriture, prévoyait alors d’investir largement dans l’IA générative, notamment pour ne pas se faire dépasser dans son domaine de prédilection par ChatGPT, Claude et autre Gemini. Le mois suivant, elle annonçait le rachat de Superhuman, un client e-mail, pour se renforcer sur le terrain de la productivité.

Et voilà que Grammarly se renomme désormais Superhuman. Les produits présents dans le portefeuille, dont surtout l’assistant d’écriture, restent en place sous les mêmes appellations.

La société en profite pour lancer un assistant dopé à l’IA générative et nommé Superhuman Go. Intégré dans l’extension Grammarly, il se propose de fournir des suggestions d’écriture, de faire des commentaires sur des e-mails, etc. Il est bien sûr utilisable dans Superhuman (le client e-mail) mais on peut le connecter à d’autres sources comme Jira, Gmail, Google Drive et Google Agenda pour lui fournir plus de contexte. D’autres sources seront ajoutées prochainement pour élargir ce contexte, notamment des CRM.

Superhuman Go est désactivé par défaut, mais les utilisateurs de l’extension peuvent l’activer par un bouton. L’assistant est pour l’instant fourni sans frais supplémentaires dans toutes les formules payantes. Selon l’entreprise, d’autres fonctions de ce type seront ajoutées bientôt à ses produits, dont Coda, un concurrent de Notion.

Grammarly reste en revanche centré sur la langue anglaise.

Tout est possible

Les dernières statistiques publiées par Boiling Steam sont étonnantes : 90 % des jeux conçus pour Windows sont compatibles avec Linux. Bien que le chiffre soit impressionnant et témoigne d’une activité intense autour du sujet, il recouvre plusieurs réalités.

Le jeu vidéo sur Linux est devenu un vrai sujet depuis plusieurs années, avec une accélération notable du nombre de titres pouvant bien fonctionner sur la plateforme. Près de 90 % des jeux conçus pour Windows peuvent être lancés sur Linux, relève le site Boiling Steam en s’appuyant sur les chiffres de ProtonDB (qui permet de suivre l’état de compatibilité de chaque titre avec Proton).

Des jeux qui se lancent, mais dans quelles conditions ?

Cette statistique de 90 % représente le pourcentage de jeux qui se lancent sur Linux. Mais se lancent comment ? Le tableau fourni par Boiling Steam analyse la qualité de la prise en charge. De manière générale, l’évolution est plus que positive puisque les jeux en vert foncé (niveau Platine) représentent ceux pouvant être lancés sur Linux sans modification et avec de très bonnes performances, grâce à la couche Proton (basée sur Wine), créée par Valve.

Viennent ensuite le vert clair (Or) pour ceux ayant besoin de quelques ajustements mineurs, le jaune (Argent) pour les titres jouables mais avec des imperfections, le rouge clair (Bronze) pour les jeux dont le fonctionnement n’est pas garanti, et enfin le rouge sombre pour ceux qui ne fonctionnent tout simplement pas. Les 90 % tiennent compte de toutes les couleurs à l’exception du rouge sombre.

Dans le billet lié, Boiling Steam indique que ces statistiques ne reflètent pas non plus la part des jeux pris officiellement en charge par le Steam Deck de Valve, car la qualification qui va avec prend en compte les performances. Le site considère cependant que le niveau Platine correspondrait aux statuts Verifié ou Jouable du Steam Deck, en fonction seulement du niveau de performances.

Toujours plus vert

Le graphique montre quoi qu’il en soit une accélération notable en 2022 et 2023 dans le support des jeux, que le site attribue principalement à l’arrivée du Steam Deck et à l’effervescence qui a entouré la console portable de Valve.

Peut-on espérer que tous les jeux finissent par fonctionner un jour sur Linux ? Possible, mais il faudra que les éditeurs envisagent la plateforme comme une véritable cible, car la couche Proton ne peut pas tout faire. Le problème des logiciels anti-triche est toujours présent : avec des mécanismes pensés pour être en espace noyau sur Windows, ils n’ont aucune chance de fonctionner sur Linux. Or, ces titres sont souvent ceux qui tractent un très grand nombre de joueurs, car très compétitifs : Valorant, Fortnite, Overwatch 2, Apex Legends, la série des Call of Duty…

Mais les conséquences de la couche Proton continuent et pourraient à terme engendrer un effet de masse suffisamment important pour que les studios envisagent cette possibilité. Le jeu vidéo est l’un des grands bastions de Windows, mais la fin de support de Windows 10 entraine une interrogation chez une partie des utilisateurs sur la possibilité d’une migration, d’autant que des distributions spécialisées existent, comme GLF OS. Selon les jeux utilisés, un passage à Linux n’a donc plus rien d’un problème.

• GLF OS, Linux spécialisé dans le jeu vidéo, est disponible en version finale

Nächste Wolke

Le ministère fédéral autrichien de l’Économie, de l’Énergie et du Tourisme (BMWET) a migré une grande partie de son infrastructure sur Nextcloud pour gérer la collaboration interne et le stockage des données. Interrogé sur les raisons de cette transition, le ministère a notamment cité des craintes de non-conformité au RGPD et à la directive NIS2.

La nouvelle a été annoncée le 23 octobre pendant la conférence Nextcloud Enterprise Day, qui se tenait à Copenhague et dont elle constituait l’un des points d’orgue. On a ainsi appris que le BMWET (ministère fédéral autrichien de l’Économie, de l’Énergie et du Tourisme) avait fini une migration concernant 1 200 fonctionnaires et visant à réduire considérablement la dépendance à Microsoft, améliorer la collaboration interne et assurer le stockage sécurisé des données.

L’annonce a été faite par Martin Ollrom, CIO (Chief Information Officer) du ministère, et Florian Zinnagl CISO (Chef Information Security Officer). Dans une vidéo publiée par Nextcloud, les deux responsables indiquent que le projet est parti d’une réflexion sur la modernisation de l’infrastructure, ainsi que d’un travail sur la réduction des risques juridiques et de sécurité, notamment en regard du RGPD et de la directive NIS2.

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Approche hybride

Le projet de l’Autriche n’était pas une coupure nette. Comme le ministère l’explique, une partie du BMWET était en train d’adopter Microsoft 365 et Teams au moment où la question d’un remplacement a été abordée. Pas question donc d’arrêter en plein milieu. Le ministère a donc choisi une approche hybride : garder Teams comme outil de communication externe et partiellement Outlook, puis confier le reste à Nextcloud.

Le ministère a travaillé avec deux entreprises pour la mise en œuvre : Atos Autriche et Sendent, partenaire de Nextcloud, qui s’est notamment occupé d’une intégration dans Outlook pour préserver certains flux de travail, particulièrement les e-mails et agendas. L’équipe de Nextcloud a également participé au projet.

Selon les deux responsables, tout s’est passé étonnamment vite. Il n’aurait ainsi fallu que quatre mois entre la preuve de concept au déploiement complet, un temps très court quand on considère l’ampleur de la migration et les défis d’un tel projet.

Les deux responsables ont ajouté qu’un montant significatif avait été investi dans la formation des fonctionnaires. « Une vaste campagne d’information, une communication claire, des sessions de formation et une transition progressive ont permis d’assurer une forte acceptation et un processus sans heurts. Grâce à l’intégration avec les systèmes existants, nous avons été en mesure de moderniser considérablement notre portefeuille de services numériques et, en fin de compte, la collaboration, sans perturber les flux de travail établis des employés », a assuré Martin Ollrom.

Souveraineté et approche en douceur

Comme d’autres projets avec celui-ci, la migration du BMWET est intéressante dans les problématiques qu’elle soulève, mais qui ne sont pas neuves : souveraineté, refus d’une dépendance à une société américaine, etc. En revanche, l’expression claire de doutes sur la conformité au RGPD et surtout à la directive NIS2 n’est pas courante.

L’approche plus en douceur de la migration est en outre mise en avant par Nextcloud dans sa propre communication. Une manière de dire qu’une transition peut se faire progressivement et encourager d’autres institutions et émanations diverses d’États à tenter l’aventure. Nextcloud prêche bien sûr pour sa paroisse, mais ce n’est pas la première fois que l’Autriche adopte cette approche.

Il y a quelques semaines, on apprenait ainsi que l’armée autrichienne avait abandonné la suite Office de Microsoft pour LibreOffice (pdf). 16 000 ordinateurs étaient concernés et il s’agissait alors de l’aboutissement d’une longue réflexion, car la planification avait commencé en 2020. L’armée avait indiqué s’être notamment inquiétée d’une dépendance toujours croissante d’Office à des services distants. La migration s’était faite par étapes : utilisation volontaire de LibreOffice en 2022, obligation de l’utiliser dans certains départements en 2023, puis obligation générale et suppression d’Office en septembre dernier. L’armée autrichienne a également contribué au code de LibreOffice.

Ces migrations partielles sont autant de portes ouvertes vers des migrations complètes vers l’open source. Si l’applicatif peut se passer de Microsoft, Windows finit par ne plus être nécessaire. Un mouvement lent mais assez général en Europe, avec d’autres cas de migrations comme en Allemagne et au Danemark.

Le réseau social de Donald Trump, Truth Social, lance un service de pronostics en ligne avec la plateforme de cryptoactifs Crypto.com.

Nommé Truth Predict, le service permettra de parier sur les résultats d’événements variés, allant de compétitions sportives à des élections en passant par les variations de l’économie.

Avec ce projet, le groupe Trump Media and Technology Group (TMTG) joue sur le succès des services de pronostics (predictions en anglais), qui ne sont pas considérés comme des acteurs du pari en ligne par les autorités locales.

En l’occurrence, Truth Predict cherche à concurrencer Polymarket, le leader du domaine. 


En amont des élections présidentielles de 2024, note Wired, ce type de services de pronostics était présenté par leurs promoteurs comme une meilleure manière de mesurer l’opinion publique que les sondages.

Certains acteurs du monde financier les décrivaient même comme une meilleure « source de vérité » (truth en anglais, qui est aussi le nom des plateformes de Trump), quand bien même la validité de paris et leur représentativité de l’opinion générale peuvent être débattus.

Gafamoney

Les députés ont voté mardi 28 octobre en soirée un amendement de LFI pour un impôt sur les multinationales et un passage de 3 à 6 % de la taxe GAFAM proposé par le député Renaissance Jean-René Cazeneuve, qui avait envisagé d’aller jusqu’à 15 %.

En première lecture du projet de loi du budget 2026, les députés ont approuvé à 207 voix contre 89 « un impôt universel sur les sociétés transnationales qui échappent au Fisc » proposé par LFI. Ils ont aussi approuvé à 296 voix pour et 58 contre le doublement de la taxe GAFAM, proposé cette fois par le député Jean-René Cazeneuve.

Votées ce 28 octobre contre l’avis du gouvernement, ces deux mesures pourraient rapporter 26 milliards d’euros en tout, selon leurs auteurs. Mais elles ont peu de chances de passer l’étape du Sénat. Selon notre consœur de Médiapart Pauline Graulle, elles seraient « peut-être même un coup de grâce porté aux discussions budgétaires à l’Assemblée nationale ».

Taxer les bénéfices des multinationales en proportion de leur activité en France

Inspiré par une proposition de l’association ATTAC et par les travaux de l’économiste Gabriel Zucman, l’amendement de LFI veut « taxer les bénéfices des multinationales proportionnellement à leur activité réellement réalisée en France ». Il prévoit que « toute personne morale ayant une activité en France est imposable à hauteur du ratio de son chiffre d’affaires réalisé sur le territoire national ramené à son chiffre d’affaires mondial ».

Le texte s’appuie sur une définition très élargie de celui-ci, puisque ce CA serait calculé en « incluant également le chiffre d’affaires des entités juridiques dont [l’entreprise] détient plus de 50 % des actions, parts, droits financiers ou droits de vote ». De quoi faire réagir des multinationales du numérique comme Google ou Amazon.

« Je crains que cet amendement soit contraire à une directive européenne fixant [le taux d’imposition] à 15 % et non 25 % », a réagi le rapporteur du budget et député Républicain, Philippe Juvin, en s’y opposant. De son côté, le député LFI, Manuel Bompard, considère que « c’est compatible avec la législation française et internationale ». Le ministre de l’Économie, Roland Lescure, s’y est aussi opposé, arguant que le vote de cet amendement apporterait « 20 milliards d’ennuis » à la France et rappelant les diverses conventions fiscales signées par la France en bilatéral avec 125 pays.

Un doublement de la taxe Gafam

L’autre amendement voté hier soir de manière un peu surprenante est celui augmentant la taxe Gafam. Comme nous l’expliquions la semaine dernière, un amendement déposé par le député Renaissance, Jean-René Cazeneuve, proposait « de porter de 3 % à 15 % » le taux de cette taxe. Le contre-projet du PS publié en septembre dernier projetait une augmentation à 6 %. C’est finalement ce doublement de la taxe qui a été adopté, le député Renaissance ayant accepté un tel taux en affirmant « je ne suis pas là pour rouvrir une guerre commerciale entre la France et les États-Unis », comme le rapporte Le Monde.

Roland Lescure a déclaré prendre « acte de la volonté du Parlement de renforcer la taxe sur les géants du numérique » tout en ajoutant qu’il aurait préféré que ce sujet soit traité « à l’échelle européenne et par la discussion internationale ».

Rappelons que si ces deux sources de financement ont obtenu une majorité à l’Assemblée nationale, elles ont peu de chances d’être acceptées par le Sénat à majorité de droite. Le texte global du budget, avec ces dispositions, pourrait ne même pas recueillir de majorité à l’Assemblée : certains députés Renaissance opposés notamment à l’impôt universel sur les multinationales pourraient refuser de le voter.

Weaponized transphobia

Au tribunal, les internautes ayant fait circuler la thèse de la transidentité de Brigitte Macron plaident l’« esprit Charlie » et la liberté d’expression. Ce type de théorie est régulièrement utilisé pour attaquer des femmes proches du pouvoir.

Dix personnes étaient jugées ces 27 et 28 octobre pour avoir cyberharcelé Brigitte Macron, l’accusant, entre autres, de mentir sur son genre et assimilant son écart d’âge avec celui d’Emmanuel Macron à de la pédophilie. Âgés de 41 à 60 ans, les prévenus étaient huit hommes et deux femmes.

Des peines allant de 3 à 12 mois, avec des amendes susceptibles de monter jusqu’à 8 000 euros ont été requises contre eux, les plus lourdes visant Aurélien Poirson-Atlan, publicitaire de 41 ans, connu sur les réseaux sociaux sous le pseudonyme de Zoé Sagan, ainsi que la médium connue sous le pseudo d’Amandine Roy et le galeriste Bertrand Scholler (plus de 100 000 abonnés sur X), décrits comme « instigateurs » de la thèse de la transidentité de Brigitte Macron.

Le délibéré sera rendu le 5 janvier 2026.

Les accusés plaident l’« esprit Charlie »

Ce procès est le résultat d’une série de plaintes déposées le 27 août 2024 par l’épouse du président de la République. Celles-ci avaient mené à une série d’interpellations en décembre 2024 et février 2025 par la brigade de la répression de la délinquance contre la personne (BRDP) – celle des profils les plus « virulents », selon un rapport de police consulté par Le Monde.

Au tribunal, tous les accusés ont minimisé les faits. Informaticien, Jérôme A. plaide n’avoir qu’un « petit compte Twitter de 90 abonnés ». Jean-Christophe D. évoque des publications « parodiques ». On cite l’ « humour » et l’ « esprit Charlie », relate Franceinfo.

Autrice d’une vidéo virale selon laquelle Brigitte Macron n’aurait jamais existé et son frère Jean-Michel Trogneux aurait pris son identité, la médium Delphine J., connue sous le pseudonyme d’Amandine Roy, se déclare même harcelée en tant que « femme anatomique », par opposition aux femmes trans.

Habitué des thèses complotistes, visé par plusieurs plaintes, Aurélien Poirson-Atlan a de son côté donné une conférence de presse improvisée dans laquelle il a nié avoir participé à toute forme de cyberharcèlement et qualifié le procès d’attaque contre la liberté d’expression. Il avait diffusé la thèse de la transidentité de l’épouse du président alors que son compte X était suivi par plus de 200 000 personnes (le compte a depuis été suspendu).

À la barre, Tiphaine Auzière, l’une des filles de Brigitte Macron, témoigne de son côté de la « dégradation des conditions de vie » de sa mère. Dénonçant la « haine » qui vise l’épouse du Président, elle précise que cette dernière est désormais sur le « qui-vive » en permanence.

Attaque récurrente contre les femmes proches du pouvoir

Jouant à la fois sur des ressorts transphobes et misogynes, la suspicion de transidentité est un récit utilisé de manière récurrente dans les campagnes de désinformation. Michelle Obama, Kamala Harris ou encore Kate Middleton ont été visées par le même type de campagnes de « transvestigation », comme les nomment leurs auteurs, c’est-à-dire des mobilisations collectives autour d’une même thèse fausse, qui se traduit ici par du cyberharcèlement.

• Transphobie : ces désinformateurs français qui s’appuient sur des réseaux internationaux

En juillet 2025, le couple Macron a déposé plainte devant un tribunal du Delaware, aux États-Unis, contre l’influenceuse d’extrême droite Candace Owens, qui a donné un écho international aux fausses allégations concernant Brigitte Macron.

En février, un couple de quadragénaires qui avait affublé cette dernière d’un prénom masculin dans leur déclaration d’impôts a été relaxé. Le fait que ce prénom se retrouve visible dans l’espace personnel de l’épouse du chef de l’État était le résultat d’un bug du système informatique de la Direction générale des Finances publiques dont le couple ne pouvait avoir connaissance, a tranché le tribunal correctionnel.

Nouvelle version majeure pour le navigateur centré sur la sécurité et la protection de la vie privée, qui exploite le réseau Tor. L’occasion de récupérer la dernière version ESR de Firefox (140) et donc de moderniser sa base.

Tor Browser 15.0 introduit également bon nombre de nouveautés apparues dans Firefox au cours de l’année écoulée. On retrouve ainsi les onglets verticaux, les groupes d’onglets ou encore le bouton de recherche unifiée pour passer rapidement d’un moteur à un autre.

L’équipe indique dans son communiqué que ces fonctions sont pour les personnes sachant ce qu’elles font, car le fonctionnement par défaut du navigateur est une session vierge à chaque démarrage, alors que ces outils vont clairement dans le sens d’une préservation des informations entre les sessions.

La version Android se dote pour sa part d’un écran de verrouillage imposant la saisie d’un code pour continuer, pour ajouter une couche de protection. L’équipe prévient que la prochaine version majeure du navigateur abandonnera les versions 5.0, 6.0 et 7.0 d’Android, âgées mais toujours prises en charge par Mozilla pour le moment. Mais Firefox va s’en débarrasser et les ressources à investir seraient trop conséquentes pour faire perdurer cette prise en charge dans Tor Browser.

Enfin, Tor Browser adopte une approche hybride pour WebAssembly (Wasm). La désactivation générale n’est plus possible, car Mozilla s’en sert dans certaines parties de son Firefox, dont le lecteur PDF intégré. « Par conséquent, nous avons décidé de transférer le contrôle de Wasm à NoScript, qui est fourni avec le navigateur Tor et gère déjà JavaScript et d’autres fonctionnalités de sécurité. Cela signifie que Wasm fonctionne désormais sur les pages de navigateur privilégiées telles que le moteur de rendu PDF, mais que NoScript continuera à bloquer la technologie sur les sites Web réguliers aux niveaux de sécurité Safer et Safest », explique l’équipe.

L'automne en douceur

Fedora 43 est disponible en version finale. Comme toujours avec cette distribution, on peut compter sur les dernières versions des paquets et des choix avant-gardistes. Mais si cette version se présente comme solide, elle propose peu de nouveautés visibles.

Mise à jour du 29 octobre : La version finale de Fedora 43 est disponible au téléchargement. Comme toujours, on peut récupérer l’image ISO depuis le site officiel.

---

Article original du 17 septembre : Les nouvelles versions de Fedora sont toujours attendues. Par une partie des utilisateurs bien sûr, ceux en quête de nouveautés. Mais aussi par les personnes qui observent l’évolution des distributions Linux en général. Fedora est le laboratoire à ciel ouvert de Red Hat et l’entreprise y teste en avance des choix et technologies, parfois de manière radicale, avant de les inclure dans sa propre distribution commerciale RHEL.

Côté utilisateurs cependant, Fedora 43 est assez calme. Ses changements les plus significatifs sont sous le capot.

L’habituelle modernisation généralisée

Contrairement à la plupart des distributions et à l’opposé d’une Debian, la philosophie de Fedora est de toujours proposer les dernières versions des paquets. Puisqu’il s’agit de la bêta, ces versions ne sont d’ailleurs pas toutes finalisées. On trouve par exemple le noyau Linux 6.17, qui est actuellement en RC6. Dans ce dernier, on peut trouver notamment des améliorations de performances pour le système de fichiers Btrfs, le support des processeurs Wildcat Lake d’Intel, la prise en charge de la Branch Record Buffer Extension pour ARM ou encore une amélioration du support des CPU et GPU.

Dans son édition classique Workstation, on retrouve bien sûr GNOME 49, dont la version finale est intégrée dans la bêta de Fedora et qui doit être annoncée aujourd’hui. Nous reviendrons donc très bientôt sur ses nouveautés. Cette version devait en tout cas désactiver X11 pour ne laisser que Wayland, mais l’équipe de développement a finalement repoussé cette bascule. La transition vers Wayland reste complexe, comme nous l’avons vu en détail récemment. Ce qui n’effraie pas Fedora, puisque la version 43 supprime les paquets liés à X11 et ne laisse que Wayland (et XWayland pour la compatibilité).

• X11, Wayland : pourquoi la transition est-elle aussi longue ?

Côté KDE, c’est Plasma 6.4 qui est aux commandes. Rappelons que Fedora, depuis sa version 42, dispose d’une variante officielle KDE, qui n’est donc plus seulement un Spin.

De manière générale, on retrouve les dernières versions de Firefox, LibreOffice et des quelques applications livrées avec le système. Côté développement, c’est le même traitement : GCC 15.2, GNU Binutils 2.45, GNU C Library 2.42, GDB 17.1, LLVM 21, Golang 1.25, Perl 5.42, RPM 6.0, Python 3.14, PostgreSQL 18, Ruby on Rails 8.0, Dovecot 2.4, MySQL 8.4, Tomcat 10.1, etc.

Sous le capot, c’est beaucoup plus intéressant

Pour cette version en particulier, les évolutions les plus significatives sont sous le capot, loin du « simple » choix des versions pour les paquets les plus courants. Par exemple, l’installeur Anaconda, utilisé dans sa nouvelle mouture Web UI depuis Fedora 42, est désormais utilisé pour l’ensemble des Spins de la distribution et pour Fedora KDE. Pour la future version 44, Fedora compte s’en servir pour l’ensemble des éditions atomiques (dont Silverblue), tandis que Fedora 45 s’en servirait pour son édition Server. Après, les anciens composants GTK d’Anaconda seraient dépréciés.

Dans la même « veine », l’installeur se sert maintenant de DNF5 pour toutes les applications basées sur des paquets. Pour l’équipe de développement, c’est un pas supplémentaire vers la dépréciation de DNF4, qui est d’ailleurs entré en mode maintenance. En clair, plus aucune nouveauté ne lui sera ajoutée et les modifications ne concerneront que les corrections de bugs. Le passage à DNF5 est une réponse aux demandes de la communauté, car il doit simplifier les déploiements et rendre les installations plus rapides.

Citons également l’installation automatique des mises à jour dans Fedora Kinoite (version immuable sous KDE), la construction de Fedora CoreOS en utilisant Containerfile, la compression d’initrd avec zstd par défaut dans toutes les variantes du système, la réécriture complète de Greenboot (pour les systèmes basés sur bootc et rpm-ostree) en Rust, le retrait de python-nose (déprécié depuis cinq ans et incompatible avec Python 3.14), ou encore la prise en charge de la virtualisation confidentielle basée sur la plateforme TDX d’Intel.

On note aussi l’utilisation de RPM 6.0 dans Fedora 43. Comme la fiche du changement le précise cependant, cette adoption n’est réalisée que pour des questions de sécurité. Cette nouvelle version majeure améliore notamment plusieurs aspects dans la gestion des clés cryptographiques, en plus de la possibilité pour un paquet de supporter désormais plusieurs signatures. En revanche, Fedora n’adopte pas le nouveau format de paquet de RPM 6.0 par défaut. La génération se fait toujours sur la v4. L’équipe indique en outre que la vérification forcée des signatures était prévue pour Fedora 43, mais qu’elle n’a pas eu le temps de finir le travail.

La suite des opérations

Pour l’instant, la date prévue pour la version finale de Fedora 43 est fixée au 11 novembre. Il est souvent arrivé que l’équipe rate ses fenêtres de sortie, mais ce type de problème semble avoir été relégué au passé sur les dernières versions. On note que la période de test est donc assez longue, notamment face à une Ubuntu qui ne laisse le plus souvent que deux ou trois semaines entre la bêta et la version finale. Canonical devrait d’ailleurs sortir sous peu la bêta d’Ubuntu 25.10.

Sur l’installation proprement dite, elle ne réserve aucune surprise. Le passage à Anaconda dans Fedora 42 se confirme, l’assistant étant particulièrement simple : il n’y a que quatre panneaux avant que l’installation commence. Le reste, dont la création du compte principal, se fait après le redémarrage.

On conseillera comme toujours de ne pas utiliser le système sur une machine de production ou au moins utilisée quotidiennement. La bêta est surtout proposée aux développeurs pour vérifier la compatibilité de leurs applications.

Pour télécharger cette nouvelle Fedora, il suffit de suivre les liens de téléchargement affichés en tête du billet d’annonce, selon l’édition que vous souhaitez installer. Pour les Spins (Cinnamon, Xfce, MATE, Budgie…), il faut se rendre sur leur page dédiée, cliquer sur la variante voulue et activer le bouton « Show Beta downloads » à droite.