Peut-on séparer l'homme du CEO ?

À une semaine du scrutin pour la présidentielle des États-Unis, le rôle joué par le dirigeant de multiples entreprises numériques est toujours plus important, au point d’interroger sur les effets qu’il pourrait avoir sur ses activités économiques.

Si l’on sélectionne bien les informations, Elon Musk a enregistré plusieurs réussites de taille en octobre. Le 13 octobre, Space X réalisait un « exploit technique » en lançant sa fusée géante Starship et en parvenant à récupérer le booster Super Heavy sans accroc.

Quelques jours plus tôt, Tesla avait organisé la démonstration de son Robotaxi lors d’un événement intitulé « We, Robots » et faisant la part belle à l’esthétique futuriste… et robotisée, donc, même si les robots humanoïdes présentés au cours de l’événement étaient dirigés par des humains.

• Avec son Robotaxi, Tesla mise gros sur la conduite autonome


En parallèle, l’homme se positionne toujours plus ouvertement en faveur du candidat Trump pour la campagne présidentielle états-unienne. Le Washington Post vient par ailleurs de révéler que l’entrepreneur échangeait régulièrement avec le président russe Vladimir Poutine. Des pratiques qui interrogent, au regard des liens étroits que ses entreprises ont mêlés au fil du temps avec l’administration des États-Unis.

Dans un billet de blog, la fondation rappelle que, depuis 2023, « Wayland est utilisé par défaut pour Raspberry Pi 4 et 5, tout en continuant à utiliser X sur les modèles moins puissants ». Elle utilise le compositeur Wayland (un serveur d’affichage utilisant le protocole Wayland) wayfire.

Malgré des tentatives d’optimisation, le résultat n’était pas convaincant sur les plus anciennes machines. « En continuant de travailler avec wayfire, nous nous sommes rendu compte qu’il allait dans une direction qui le rendrait moins compatible avec notre matériel ». La recherche d’une alternative a alors commencé et un nouveau compositeur identifié : labwc.

Les résultats étaient encourageants. « Une enquête plus approfondie a révélé que labwc était bien mieux adapté au matériel graphique des Raspberry Pi que wayfire ». Résultat des courses, pendant une bonne partie de 2024, l’équipe a travaillé sur le portage de labwc pour l’ensemble des Raspberry Pi.

Selon la fondation, les résultats sont maintenant à la hauteur. Sur les anciens modèles de Raspberry Pi, labwc fonctionne aussi vite que X. Cela entraine une bascule : « Raspberry Pi Desktop exécute désormais Wayland par défaut sur tous les modèles ».

« Les installations existantes de Pi 4 ou 5 Bookworm exécutant wayfire ne devraient pas changer de manière notable, à part la perte de quelques animations que nous n’avons pas encore implémentées dans labwc. Étant donné que nous ne supporterons plus wayfire avec des mises à jour sur Raspberry Pi OS, il est préférable d’adopter labwc dès que possible », ajoute la fondation.

D’autres nouveautés sont de la partie, dont une meilleure prise en charge des écrans tactiles et une meilleure intégration de Raspberry Pi Connect. De plus amples détails sont disponibles dans ce billet de blog.

Touches Syst+V

Au lendemain des révélations de Disclose sur l’usage de BriefCam par la police, Gérald Darmanin avait demandé une inspection, dont le rapport vient, enfin, d’être publié. À au moins une reprise, la fonctionnalité « reconnaissance faciale » du logiciel a été utilisée. Le rapport met en lumière le flou autour de l’utilisation de BriefCam et de son successeur annoncé, Système V. On y apprend enfin que l’Intérieur envisage de développer la reconnaissance faciale.

En novembre 2023, nos confrères de Disclose révélaient que la police utilisait, depuis 2015, un logiciel israélien de reconnaissance faciale de la société BriefCam. Ces révélations ont conduit à deux enquêtes, l’une diligentée par la CNIL, l’autre par les inspections. Le ministre de l’Intérieur s’était longtemps refusé à publier le rapport conjoint de l’IGA, IGPN et IGGN, qui a finalement été mis en ligne lundi après-midi.

• Un logiciel de reconnaissance faciale utilisé illégalement par la police française

Si BriefCam est utilisé depuis 2015, la reconnaissance faciale n’est possible que depuis 2018. Pour savoir si cette fonctionnalité avait été utilisée, les inspections ont dû se fier à la bonne foi des services utilisateurs de BriefCam (qui devaient donc dire aux inspections si elles avaient commis une illégalité). Un seul cas de reconnaissance faciale leur a été remonté. Pendant les émeutes de juin 2023, les enquêtes de la brigade de recherche de Montmorency (Val d’Oise) ont demandé au service central du renseignement criminel de les aider.

Mais, « compte tenu du volume des flux vidéos à exploiter, l’utilisation du logiciel BriefCam a été décidée » et la fonctionnalité reconnaissance faciale a été activée. Les enquêteurs l’ont alors alimenté de photos de personnes soupçonnées d’avoir participé aux émeutes, dont des images venues du fichier TAJ (fichier de police qui regroupe tous les mis en cause). Les algorithmes de BriefCam ont sélectionné deux séquences vidéos, où apparaissaient deux personnes préalablement repérées. Mais, si elles étaient présentes, les investigations ont montré qu’elles n’avaient pas participé aux dégradations de bâtiments publics et elles n’ont pas été interpellées.

Un second cas est mentionné, mais sans utilisation de reconnaissance faciale. Des enquêteurs recherchaient l’auteur d’une agression violente en scooter, non identifiable, mais porteur d’un T-shirt au graphisme particulier. BriefCam a été alors massivement alimenté : des réquisitions judiciaires ont permis de saisir des centaines d’heures de vidéos. Cela a permis de retrouver l’agresseur et son t-shirt.

©🔫 🤖

En 20 ans d’Internet, de partage et de publication massive de contenus soumis au copyright, le discours public a évolué. Il est passé d’une condamnation totale des pratiques d’échanges entre utilisateurs pairs à pairs à une acceptation tacite de l’entrainement des IA génératives, parfois sur les mêmes masses de données, pourvu que les données ne soient pas nommément citées.

Entre la répression contre les figures symboliques du partage de fichiers sur Internet – Shawn Fanning, Aaron Swartz et Alexandra Elbakyan – et l’utilisation massive des bases de données d’œuvres protégées par le Copyright par les entreprises de l’IA générative, le discours public et politique a bifurqué. D’un tout répressif dont le point d’orgue en France a été la loi Hadopi, nous sommes passés au jet d’un voile pudique sur l’utilisation de données culturelles par les startups qui promettent d’être les prochaines licornes de l’IA.

De la fin des années 90 à celle des années 2010, les politiques du numérique ont notamment été portées par la volonté de protéger du piratage les contenus numériques comme les musiques, les films, mais aussi les livres et les articles scientifiques.

Cryptoscam is scam

Plusieurs développeurs Web rapportent avoir été récemment victimes d’une tentative d’arnaque au recrutement. Le procédé, qui passe par un projet piégé hébergé sur un gestionnaire de sources populaires, semble cibler tout particulièrement les amateurs de cryptomonnaies et de web3.

Une recruteuse avenante, un projet séduisant, une rémunération très alléchante… comme autant de signaux d’alerte, pour une offre d’emploi bien trop belle pour être vraie ?

« Une certaine Allison m’a contacté sur LinkedIn, comme j’étais en ligne, nous avons engagé la conversation, elle m’a dit que mon expérience et mon parcours collait bien au projet pour lequel elle recrutait. Elle m’a envoyé les spécifications, je lui ai dit que ça m’intéressait », raconte à Next David Barbier, développeur Web indépendant.

Méfiance face aux offres alléchantes

Dans cette conversation, que nous avons pu consulter, la recruteuse explique constituer une équipe pour une place de marché dédié à l’art, sous l’égide d’un célèbre musée londonien, la Tate Modern. La rémunération proposée est en dollars – et non en livre sterling, mais elle semble attractive, tout comme les conditions de travail. « Je lui ai dit que je travaillais en freelance, ça ne posait aucun problème », ajoute David Barbier.

Arrive la date de l’entretien téléphonique programmé, après un premier rendez-vous manqué. L’organisateur de l’appel, qui n’utilise pas de webcam pour son recrutement, raconte qu’il est responsable du développement chez une agence chargée du projet, et demande au candidat de cloner un projet hébergé sur Bitbucket pour procéder à son évaluation technique.

« À ce stade, il y a déjà cinquante drapeaux rouges qui sont allumés. Je clone le projet mais je ne le lance pas, je lui dis que je ne peux pas faire confiance à ce code et le lancer directement sur ma machine en dehors d’une machine virtuelle. Là, le type se déconnecte immédiatement de l’appel », nous décrit David Barbier.

Partagée samedi sur X, sa mésaventure fait émerger d’autres témoignages de développeurs Web, eux aussi victimes d’une approche similaire. Même topo sur LinkedIn, où plusieurs développeurs qui gravitent autour de la blockchain, de la finance décentralisée ou des NFT et des projets relevant de la mouvance Web3 indiquent avoir reçu ce genre de sollicitations.

Un repo peut en cacher un autre

Fin septembre, l’éditeur spécialisé IARD Solutions décrivait le procédé dans billet de blog : un premier point de contact via LinkedIn ou une plateforme dédiée aux freelances de type Upwork, beaucoup d’enthousiasme quant au profil du développeur. Puis une demande de test technique, basée sur un projet présenté comme en bêta et partagé au moyen d’un repo de type Github, parfaitement propre au premier abord.

En étudiant le repo utilisé par son supposé recruteur avec IARD Solutions, David Barbier identifie l’arnaque. « En fait, ils utilisent deux repo identiques. Et dans le deuxième, il y a du code obfusqué qui fait exactement ce qu’on pensait : récupération d’info de wallet, installation de virus, etc. », nous précise-t-il encore.

Une fois démasqué, le code, que nous avons également consulté, se révèle en effet particulièrement explicite, avec collecte d’informations de connexion au niveau du navigateur, recherche d’extensions liées aux cryptomonnaies, téléchargement de fichiers et envoi de données vers un serveur distant.

L’ombre de Lazarus

Les témoignages directs sur les réseaux sociaux et nos quelques recherches, basées sur des similitudes, laissent entendre que ces tentatives d’arnaque ne sont pas isolées. Or le code source utilisé pour l’attaque dirige ses informations vers une adresse IP qui a déjà été référencée par des experts en cybersécurité comme ayant été utilisée par le groupe Lazarus, notamment dans le cadre d’arnaques au recrutement.

Prétendument dirigé par la Corée du Nord, ce groupe de hackers cible notamment l’univers des cryptomonnaies et, par extension, les projets assimilés au Web3. Depuis quelques jours, on soupçonne par exemple le groupe Lazarus de s’être appuyé sur le vol et la diffusion d’un jeu vidéo de type MOBA, associé à une brique de finance décentralisée (DeFi), pour exploiter une faille 0-day tout juste découverte au sein du navigateur Chrome.

Dans le domaine du recrutement, Lazarus serait allé jusqu’à créer de faux sites dédiés aux projets proposés par ses « recruteurs ». « Le groupe a posté des offres d’emploi ou de projets de recherche en rapport avec les cryptomonnaies sur de multiples plateformes incluant LinkedIn, X, Facebook, GitHub ou Stack Overflow pour identifier ses cibles potentielles », affirme ainsi la société spécialisée Threatbook CTI, selon qui les attaquants multiplieraient non seulement les annonces, mais aussi les vecteurs d’attaque. « Leur arsenal inclut des chevaux de Troie développés sur la plateforme QT6, ainsi que des malwares basés sur Python ou JavaScript ».

La vigilance reste de mise

« Tout portait à croire que c’était un scam, tout n’était pas cohérent, mais à première vue, on n’avait rien remarqué de suspect dans le repo », analyse David Barbier qui, sur X, appelle ses homologues à ne jamais exécuter de code provenant d’une source douteuse hors d’une machine virtuelle.

Leçon de l’histoire ? De la même façon qu’il convient de se méfier des mails émanant d’un lointain cousin milliardaire, la vigilance est de mise dans le recrutement, à plus forte raison via les plateformes.

SEPA drôle

Après RED by SFR en septembre, c’est au tour de Free de laisser fuiter sur le Net des IBAN de ses clients. Le risque d’un prélèvement frauduleux est réel et doit donc être pris au sérieux. Il faut vérifier ses comptes attentivement, mais vous pouvez aussi agir de manière proactive avec la mise en place de listes.

Première question, c’est quoi un IBAN ? C’est l’International Bank Account Number, c’est-à-dire « l’identifiant international de votre compte bancaire auprès d’une institution financière dans un pays donné », rappelle la Banque de France.

• Quels risques pose une fuite de données bancaires ?

C’est quoi un IBAN ?

L’IBAN commence par le code pays (FR pour France, DE pour Allemagne…) et il comprend au maximum 34 caractères alphanumériques. On y retrouve aussi le numéro de compte national (BBAN pour « Basic Bank Account Number ») et une clé de contrôle..

En France, un IBAN dispose de 27 caractères et commence donc par FR. « Il est suivi d’une clé de contrôle, puis du BBAN qui est composé du code banque, du code guichet, du numéro de compte et de la clé RIB du compte français, tels qu’inscrits sur le relevé d’identité bancaire (RIB) ». Un RIB est donc rattaché à votre compte, et on ne peut pas le changer sans changer de compte.

La Banque rappelle que l’IBAN est nécessaire pour un prélèvement ou un virement SEPA, mais aussi pour des transactions internationales. En cas de fuite, quels sont les risques ?

Risque de phishing

Le premier concerne la réutilisation des données personnelles de votre IBAN pour se faire passer pour votre banque et/ou un service auquel vous êtes abonné. Les pirates peuvent alors tenter de vous soutirer davantage d’informations ou un paiement par carte bancaire, prétextant par exemple un problème avec un prélèvement.

Prudence donc si une personne se présente comme un conseiller Free ou SFR dans le cas présent, mais cette prudence doit s’étendre à toutes les personnes qui vous contactent en affirmant appartenir à telle ou telle société. N’oubliez pas non plus le risque de spoofing, qui consiste à afficher un autre numéro que celui de l’appelant.

• Arnaque au faux conseiller bancaire : pas de « négligence grave » de la victime, tranche la justice

Risque de prélèvements frauduleux

Le second risque est évidemment un prélèvement frauduleux sur votre compte. La Banque de France affirme que « communiquer son RIB n’est pas risqué en soi », mais elle ajoute bien rapidement que, « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) ».

En théorie, « pour qu’un bénéficiaire prélève votre compte, vous devez l’en autoriser en signant un mandat de prélèvement ». En pratique, la vérification de la signature est plus ou moins stricte… Néanmoins, « si vous constatez un prélèvement non autorisé, il est possible de le contester auprès de votre banque, qui devra remettre votre compte dans l’état où il se serait trouvé avant cette opération », nous y reviendrons.

Les signatures des prélèvements se font généralement de manière électronique. Des pirates peuvent donc utiliser des IBAN récoltés suite à des fuites. Par exemple, lors de la souscription à un forfait Sosh (mais c’est aussi le cas pour bon nombre d’autres services), la signature consiste à recevoir par SMS ou email un code à saisir, puis à cliquer sur autoriser.

Si des personnes malintentionnées pourraient utiliser un IBAN récupéré sur Internet pour s’abonner à des services en ligne, ce n‘est qu’un exemple parmi d’autres. Le risque d’avoir des prélèvements frauduleux est réel et doit être pris au sérieux.

Entre 70 jours et 13 mois pour contester

Pour éviter le drame, il est important de surveiller son compte régulièrement afin de détecter au plus vite des opérations frauduleuses. « Pour contester un prélèvement non autorisé, le délai est de 13 mois après la date du débit », explique Service Public. Mais attention, c’est uniquement le cas en Europe.

« Lorsque l’établissement du bénéficiaire du paiement se situe en dehors de l’Union européenne ou de l’Espace économique européen (EEE) ce délai est ramené à 70 jours. Il peut éventuellement être prolongé par contrat, sans toutefois dépasser 120 jours ». Si le pirate est en dehors de l’Europe, le délai varie entre deux et quatre mois, d’où l’intérêt d’être attentif.

« La banque doit vous rembourser la somme débitée au plus tard à la fin du premier jour ouvrable suivant la réception de votre demande. Si des frais bancaires vous ont été prélevés, ils devront vous être remboursés », ajoute le Service Public. Ce dernier propose aussi un modèle de lettre pour contester une opération.

Petite précision : ce que nous venons d’expliquer est valable en cas de prélèvement non autorisé. Si vous l’avez autorisé, les risques ne sont pas les mêmes : « Vous devez faire votre demande de contestation dans un délai de 8 semaines après la date du débit. Dans ce cas, la banque vous rembourse dans les 10 jours ouvrables suivant la réception de votre demande. Si des frais bancaires vous ont été prélevés, ils devront vous être remboursés ».

Mettre en place des listes noires ou blanches

Suivant les banques, il est possible de mettre en place des protections pour encadrer les créanciers autorisés à prélever ou non sur votre compte. La Banque Postale dresse une liste :

• La liste noire permet de bloquer tout prélèvement SEPA provenant d’un (ou plusieurs) créancier(s) sur votre compte.
• La liste blanche permet de n’autoriser que les prélèvements SEPA initiés par un ou plusieurs créanciers préalablement identifiés par le client.
• Le filtre permet de limiter les prélèvements selon les critères suivants (critères cumulables) :
  • montant maximum par prélèvement,
  • nombre maximum de prélèvements sur une période définie.
• Le blocage permet de bloquer tout prélèvement sur votre compte (quel que soit le créancier).

Dans le cadre d’un dossier sur le prélèvement SEPA, l’UFC-Que Choisir donne une lettre type à envoyer à votre banque pour « empêcher le passage de prélèvements non-désirés ». Nos confrères ajoutent que « votre banquier a l’obligation d’accepter vos demandes de blocage de tout prélèvement, à l’exception d’entreprises identifiées par vous (liste blanche) ».

Les banques permettent de voir la liste des autorisations de prélèvement accordées dans votre espace client, pensez à faire un tour sur votre compte pour vérifier que tout est en ordre.

Adam Mosseri, responsable d’Instagram chez Meta, a admis dans une vidéo que le réseau social mettait en œuvre une qualité d’encodage à géométrie variable, basée sur l’audience. « Ça fonctionne à un niveau agrégé, pas à un niveau individuel. Nous privilégions une qualité supérieure (encodage plus gourmand en CPU et stockage plus coûteux du fait de fichiers plus volumineux) pour les créateurs qui génèrent le plus de vues », a-t-il également précisé dans une conversation sur Threads.

Cette qualité supérieure réservée aux contenus les plus populaires ne serait-elle pas inique pour les créateurs qui ne disposent pas déjà d’une base installée d’abonnés ? « C’est une bonne question, mais dans la pratique, ça ne semble pas avoir beaucoup d’importance, le changement de qualité n’est pas énorme, et le fait que les gens interagissent avec la vidéo dépend plus de son contenu que de sa qualité (d’encodage) », a répondu Adam Mosseri.

Le sujet n’est en réalité pas nouveau chez Meta. En 2023, la maison mère d’Instagram expliquait déjà, dans un long billet de blog dédié à ses puces spécialisées dans l’encodage vidéo (MSVP, pour Meta Scalable Video Processor), offrir une qualité supplémentaire aux vidéos les plus populaires. Elle y rappelait que les vidéos des utilisateurs passent, lors de leur mise en ligne, au crible d’un modèle prédictif. Il évalue la durée de visionnage potentielle et contrôle, en fonction de ce paramètre, le niveau de qualité mis en œuvre à l’encodage.

Publié par @lindseygamble_

Voir dans Threads

Le temps c’est de l’argent et de l’énergie, donc de l’argent²

Depuis plus de cinq ans, l’Agence nationale des fréquences (ANFR) est chargée de la diffusion du temps légal via les ondes hertziennes terrestres. Elle a déjà fait évoluer ce service en passant la puissance d’émission de 1 110 à 800 kW et envisage maintenant de passer à 675 kW. Le but : réduire la consommation énergétique tout en maintenant le service accessible aux 200 000 appareils qui l’utilisent.

La gestion du temps en France est assez complexe pour les néophytes : « le temps légal (ou heure légale) sur le territoire de la République française est fixé par référence au temps universel coordonné (UTC) établi par le Bureau international des poids et mesures (BIPM) dans le cadre de la conférence générale des poids et mesures ».

L’agence de presse britannique a signé un accord avec Meta permettant aux chatbots de l’entreprise de Mark Zuckerberg d’utiliser ses contenus.

C’est le premier accord du genre signé par Meta. Son concurrent OpenAI a, quant à lui, signé plusieurs accords, notamment avec le groupe Condé Nast.

Aucune information sur le montant de l’accord n’a été divulguée. Selon Axios, si l’accord permet bien à Meta de proposer des réponses en temps réel aux utilisateurs de Facebook, Instagram, WhatsApp et Messenger via son chatbot, il n’est pas clair qu’il laisse la possibilité à l’entreprise d’entrainer ses grands modèles de langage sur les contenus de l’agence de presse.

Axios rappelle que Meta a conclu ce genre d’accords en 2019 pour afficher les contenus de divers médias dans l’onglet « news » de Facebook avant d’abandonner cette fonctionnalité. Les contenus de l’agence de presse Reuters ne faisaient pas partie de ceux repris dans cet onglet à l’époque.

Reuters a publié une dépêche sur le sujet sans pour autant révéler plus d’informations sur le sujet.

Depuis la mi-octobre, il est possible de porter plainte en ligne pour une série d’infractions spécifiques.

Depuis 2013, la pré-plainte permettait d’entamer les démarches de chez soi, mais nécessitait de se déplacer en commissariat pour finaliser le processus.

Onze ans plus tard, le ministère de l’Intérieur déploie une procédure entièrement dématérialisée pour les plaintes pour vol, cambriolage, dégradation de bien ou escroquerie (hors internet, car ces dernières sont gérées via le dispositif THESEE ou par Pharos), lorsque l’auteur des faits est inconnu.

Testé en Gironde depuis 2023, le service est pensé pour désengorger les commissariats : en France, 2,8 millions de plaintes sont déposées chaque année pour atteinte aux biens (sur 3,5 millions de plaintes au total), relève France Bleu. Il est aussi pensé pour faciliter les démarches des citoyens – auprès de 78 Actu, la commissaire de Plaisir parle d’un outil « aussi facile à utiliser que Doctolib ».

Pour se servir du dispositif, il suffit de se rendre sur plainte-en-ligne.masecurite.interieur.gouv.fr ou sur l’application « Ma Sécurité » développée par le ministère de l’Intérieur, de s’identifier avec France Connect, puis de réaliser sa déclaration.

Qui veut gagner des millions ?

Apple lancera la semaine prochaine son bouquet de services Apple Intelligence, dans le sillage d’iOS 18.1 et d’autres évolutions de ses plateformes. Dans un billet publié le 24 octobre, la firme explique plusieurs éléments de sécurité sur son cloud privé. Elle annonce également de fortes récompenses pour les hackers et chercheurs qui réussiraient à s’introduire, voire à exécuter du code.

Lors de la dernière WWDC en juin, Apple a présenté son très attendu bouquet Apple Intelligence. Attendue parce que depuis l’explosion de l’IA générative, l’entreprise était restée muette. De nombreuses fonctions ont été annoncées, mais avec une compatibilité limitée. Seuls les iPhone 15 Pro, les iPad équipés au moins d’une puce A17 Pro et les Mac dotés d’un M1 ou plus prennent en charge Apple Intelligence. Nous avions émis l’hypothèse que les radineries de la société sur la mémoire vive l’avaient « coincée », l’obligeant à ne sélectionner que les appareils qui possèdent au moins 8 Go.

Durant la présentation, certains points n’étaient pas très clairs et ne le sont toujours pas. Un en particulier : la quantité de demandes qui passeront par les serveurs. La société avait expliqué qu’une partie des requêtes s’exécuterait localement, tandis que les autres passeraient par ses serveurs. Ces derniers sont constitués uniquement de Mac Apple Silicon et s’exécutent selon l’entreprise dans un environnement sécurisé.

Une sécurité sur laquelle Apple en dit plus dans son billet.

Un accent sur la sécurité

Le Private Cloud Compute (PCC) représente l’architecture mise en place par Apple pour gérer les demandes réclamant un calcul intensif. Il s’agit donc de l’infrastructure qui va s’occuper des requêtes quand celles-ci réclament une trop grande puissance. On ne sait pas en revanche où se situe la frontière, l’entreprise indiquant simplement que son service s’exécute localement « dans la mesure du possible ».

Parallèlement à son billet, Apple a publié une documentation dans laquelle elle explique les grandes lignes du fonctionnement de son PCC. Apple évoque des « protections révolutionnaires en matière de confidentialité et de sécurité ».

On y apprend que le PCC doit fournir des calculs sans état sur les données personnelles. Ces dernières ne doivent donc être utilisées que pour fournir une réponse, après quoi les copies sont supprimées pour ne pas laisser de trace, y compris pour le débogage ou la journalisation. Les composants du PCC doivent également pouvoir être contraints et analysés. Aucune interface ne doit être disponible, de sorte que même le personnel ne puisse voir les données, même pendant des pannes ou incidents.

Pas de fenêtre sur les données

Dans certains cas, note Apple, les données de l’utilisateur seront mises en cache, par exemple si la demande suppose un nouvel accès rapidement après le précédent. Le fonctionnement du PCC sera préservé par le contrôle des clés cryptographiques : « le PCC mettra en cache les données chiffrées avec une clé fournie par l’appareil de l’utilisateur et effacera sa propre copie de cette clé après la demande. Le PCC ne pourra donc déchiffrer les données mises en cache que si l’appareil de l’utilisateur envoie une autre demande comprenant la clé de déchiffrement du cache », explique Apple.

En outre, l’un des objectifs est – bien sûr – d’empêcher les pirates d’aller piocher des données personnelles sans compromettre l’intégralité du système. Enfin, et c’est une nouveauté, Apple met en avant la transparence : « les chercheurs en sécurité doivent pouvoir vérifier, avec un degré de confiance élevé, que nos garanties en matière de protection de la vie privée et de sécurité pour la PCC correspondent à nos promesses publiques ».

L’ouverture aux chercheurs

En dépit des explications données par Apple, on pourrait répondre que ces objectifs sont peu ou prou les mêmes que chez d’autres prestataires de services. Après tout, elle a tout intérêt à communiquer sur l’énergie dépensée dans cette architecture, afin d’inspirer la confiance. L’entreprise veut cependant faire la différence avec un degré important d’ouverture aux chercheurs.

Pour y parvenir, elle propose donc un Virtual Research Environment (VRE). Disponible dans la dernière préversion de macOS 15.1 (pour les Mac Apple Silicon avec au moins 16 Go de mémoire), il permet la création d’un environnement virtuel fonctionnant comme un nœud du PCC. Apple explique qu’il s’agit du même logiciel « avec quelques modifications mineures », le processus de démarrage et le noyau étant « adaptés à la virtualisation ». Le VRE contient même un processeur virtuel Secure Enclave. C’est la première fois qu’Apple permet aux chercheurs de se pencher officiellement sur la sécurité de ce composant, chargé notamment de stocker les clés cryptographiques de l’utilisateur.

Parmi les possibilités du VRE, les chercheurs pourront « lister et inspecter les versions logicielles de la PCC, vérifier la cohérence du journal de transparence, télécharger les binaires correspondant à chaque version, démarrer une version dans un environnement virtualisé, effectuer des déductions à partir de modèles de démonstration, modifier et déboguer le logiciel PCC pour permettre des recherches plus approfondies ».

Et même du code source

Sur un dépôt GitHub, Apple publie même le code source de certains composants principaux du PCC. Le code, dans l’immense majorité écrit en Swift, n’est là que pour des objectifs de recherche et de vérification, précise Apple.

Les quatre composants disponibles sont CloudAttestation (construction et validation des attestations du nœud PCC), Thimble (intègre le service privatecloudcomputed qui s’exécute localement sur l’appareil de l’utilisateur et communique avec CloudAttestation), le service splunkloggingd (filtrage des journaux pour en expurger les éventuelles données personnelles) et srd_tools (contient les outils du VRE).

Jusqu’à un million de dollars pour les primes

Pour accompagner le lancement de ses services, Apple invite donc les chercheurs à se pencher sur son Private Cloud Compute, avec des sommes importantes à la clé.

Sur les brèches, Apple distingue deux catégories. La première comprend les attaques déclenchées depuis une position privilégiée sur le réseau. 50 000 dollars seront ainsi offerts aux chercheurs qui prouveront une divulgation accidentelle ou inattendue de données suite à un problème technique (déploiement ou configuration). 100 000 dollars iront à ceux qui parviendront à exécuter un code non attesté. La somme grimpe à 150 000 dollars pour les chercheurs qui réussiront à intercepter les demandes de l’utilisateur ou des informations personnelles lui appartenant.

L’autre catégorie est nettement plus lucrative : les attaques à distance. Si un chercheur parvient à accéder à des informations personnelles ou des requêtes utilisateur en dehors de la zone de confiance, il pourra empocher 250 000 dollars. Pour ceux qui réussiraient à exécuter un code arbitraire avec des droits tout aussi arbitraires, la prime atteindra 1 000 000 dollars.

Apple ajoute tout de même que tout problème de sécurité lié au PCC sera examiné, même s’il n’appartient pas aux catégories définies. Il pourra donc y avoir récompense. « Nous évaluerons chaque rapport en fonction de la qualité de ce qui est présenté, de la preuve de ce qui peut être exploité et de l’impact sur les utilisateurs », précise Apple.

Ce qui n’avait commencé que comme un petit projet incubé chez Twitter, mené par Jack Dorsey en personne, a fini en entreprise dédiée. Le réseau social Bluesky commence à avoir le vent en poupe, porté notamment par une succession de décisions polémiques sur X. Selon Bluesky, il y aurait 13 millions d’utilisateurs.

Après un financement initial de 8 millions de dollars, Bluesky a annoncé il y a quelques jours une nouvelle levée. La série A a été de 15 millions de dollars, « mené par Blockchain Capital avec la participation d’Alumni Ventures, True Ventures, SevenX, Amir Shevat de Darkmode, le cocréateur de Kubernetes Joe Beda, et d’autres ».

Dans son communiqué, Bluesky assure que le chef de file, Blockchain Capital, partage sa philosophie d’une « technologie au service de l’utilisateur, et non l’inverse ». La société met en avant une « connaissance approfondie » des réseaux décentralisés, ce qu’est justement Bluesky, via son protocole AT. Elle ajoute qu’il ne sera pas question de blockchain (en dépit du nom du fonds), de jetons, de cryptomonnaies ou de NFT. En clair, pas de web3.

L’argent récolté va servir à développer le projet, « investir dans la confiance et la sécurité, et à soutenir l’écosystème de développeurs ATmosphere ». La société se réjouit de voir son protocole AT utilisé par des applications et services avec des finalités autres que celles du réseau social. « Par exemple, Smoke Signal est une application d’événements, Frontpage est un forum web, et Bluecast est une application audio », cite l’entreprise.

Bluesky prépare également un système d’abonnement. Les fonctions visées incluent l’envoi de vidéos en meilleure qualité et la personnalisation des profils, avec des couleurs et cadres d’avatars. Dans une pique clairement adressée à X, Bluesky ajoute qu’elle ne fera pas monter en gamme les comptes simplement parce qu’ils payent un abonnement. Une référence claire à la visibilité des comptes Premium sur X.

Et si les lunettes connectées étaient avant tout un succès pour les personnes aveugles et mal-voyantes ?

C’est ce que laisse envisager le témoignage de Sadi Taylor, instagrammeuse non-voyante qui racontait récemment combien les lunettes lui ont été utiles sur les six derniers mois.

Outre les fonctionnalités classiques – écouter de la musique, prendre des appels, filmer –, l’intégration de Meta AI aux lunettes lui permet de lire tout ce qui demande de l’être dans son environnement, et lui facilite ainsi nombre d’interactions.

Sur Reddit, d’autres internautes soulignent aussi l’utilité du produit – tout en alertant, pour certains, sur le manque de fiabilité de ce produit pensé pour le grand public, comparé à d’autres créés spécifiquement pour les personnes mal et non-voyantes.

Meta a bien repéré le potentiel : l’entreprise vient d’annoncer une collaboration avec le fournisseur de services d’accessibilité Be My Eyes pour pousser les possibilités d’assistance plus loin, notamment en alliant échanges humains aux réponses fournies par IA.

Dans le cadre du bras de fer qui oppose les géants numériques à l’Union européenne, notamment à l’application de ses trois derniers grands textes, le Digital Services Act, le Digital Markets Act et l’AI Act, Meta AI n’est pas disponible au sein de l’Union européenne pour le moment. 


Il a Free, tout est parti

Ce week-end a été assez agité chez Free. L’opérateur a prévenu ses clients d’une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L’opérateur nous confirme aujourd’hui que certains IBAN des clients Freebox sont bien dans la nature.

À partir de vendredi soir et durant le week-end, Free a envoyé des emails à ses clients (fixe et mobile) pour les informer d’une fuite de données personnelles suite à une « cyberattaque ciblant un outil de gestion ».

• Free confirme une fuite de données personnelles de ses clients

Le pirate publie un fichier avec 100 000 lignes

« Nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » ont été récupérés par le ou les pirates. « Aucun de vos mots de passe n’est concerné », encore heureux…

L’opérateur ne parlait alors pas d’une fuite de données bancaires, alors que le pirate revendiquait avoir en sa possession cinq millions d’IBAN. Ce week-end, après les premiers emails de Free, le pirate a mis en ligne à qui veut le télécharger un fichier texte avec « plus de 100 000 lignes d’IBAN français de clients Free ».

Mises aux enchères des données, à 70 000 dollars

« Une copie des données est sur le point d’être vendue plus de 70 000 dollars. Si l’entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », ajoute le pirate.

Free confirme la fuite d’IBAN et prévient ses clients

On y retrouve bien les données listées par Free, mais aussi des IBAN. Contacté, Free nous confirme que « les IBAN de certains abonnés ont été concernés et ces derniers ont été informés par mail ». Cela ne concerne que des clients Freebox (sur le fixe donc). L’opérateur ne donne pas de chiffres sur l’étendue des dégâts, impossible donc de confirmer les 19 millions de clients concernés et les 5 millions d’emails annoncés par le pirate.

• Quels risques pose une fuite de données bancaires ?

Effectivement, dans un email reçu ce matin pour une de nos lignes (avec une Freebox), le message n’est plus tout à fait le même :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».

Il y a une semaine, des développeurs s’inquiétaient d’un apparent virage de Bitwarden sur l’open source. Le gestionnaire de mots de passe propose en effet la quasi totalité du code de ses composants en GPLv3 ou AGPLv3.

Un développeur avait découvert que le client Bitwarden avait introduit une dépendance à un SDK interne. Il fallait non seulement l’avoir sous le coude pour compiler le client, mais la licence de ce kit de développement interdisait toute utilisation pour tout autre projet que la construction du client officiel. Beaucoup y voyaient alors une limite franche à la création de clients tiers, alors que c’est justement l’une des forces de Bitwarden.

Kyle Spearrin, fondateur et directeur technique de Bitwarden, avait pris la parole pour expliquer notamment qu’il s’agissait d’établir une clarification sur ce qui était sous GPL et ce qui ne l’était pas.

Dans un nouveau message, il tient cependant à clarifier de nouveau la situation. « Nous avons fait quelques ajustements sur la façon dont le code SDK est organisé et empaqueté pour vous permettre de construire et d’exécuter l’application avec seulement les licences GPL/OSI incluses. Les références du paquetage sdk-internal dans les clients proviennent maintenant d’un nouveau dépôt sdk-internal, qui suit le modèle de licence que nous avons historiquement utilisé pour tous nos clients », commence-t-il par expliquer.

Il ajoute surtout : « La référence sdk-internal n’utilise pour l’instant que des licences GPL. Si la référence devait inclure le code de la licence Bitwarden à l’avenir, nous fournirions un moyen de produire plusieurs variantes de construction du client, similaire à ce que nous faisons avec les builds des clients web de la chambre forte ».

Il précise que le dépôt originel de SDK sera renommé sdk-secrets et qu’il « conservera sa structure de licence Bitwarden SDK existante » pour les produits commerciaux Secrets Manager. « Le dépôt et les paquets sdk-secrets ne seront plus référencés à partir des applications clientes, puisque ce code n’y est pas utilisé », finit d’expliquer Kyle Spearrin. En d’autres termes, il s’agissait d’un bug.

ACE est un câble sous marin reliant la France (depuis Penmarch en Bretagne) à l’Afrique du Sud (Duynefontein), en passant par de nombreux pays de la côte ouest africaine (Gabon, Niger, Côté d’Ivoire, Sénégal, Mauritanie) et le Portugal.

Sur LinkedIn, Roderick Beck (via Stéphane Lelux, président de la commission internationale au sein du Comité Stratégique de Filière Infrastructure Numérique) explique que le câble subit une panne, à partir d’Abidjan (Côte d’Ivoire) et jusqu’en Afrique du Sud. « Le câble ACE a été en proie de pannes en raison de sa position dans de grands canyons sous-marins où des glissements de débris sont fréquents », explique Roderick Beck.

Il ajoute que pour certains petits pays d’Afrique de l’Ouest, « c’est la seule connectivité sous-marine au reste de l’Internet : la Mauritanie, la Gambie, la Guinée-Bissau, la Guinée, la Sierra Leone, le Libéria et, je crois, le Bénin, le Gabon et Sao Tomé-et-Principe ». D’autres ont par contre plusieurs câbles qui arrivent : Sénégal, Côte d’Ivoire, Ghana, Togo, Benin et Afrique du Sud pour ne citer qu’eux. Le cablier Sophie Germain d’Orange serait en route, avec une arrivée prévue le 1er novembre, toujours selon Roderick Beck.

En mars de cette année, plusieurs câbles au large des côtes africaines subissaient déjà des problèmes : Quatre des cinq câbles qui arrivent en Côte d’Ivoire étaient touchés affirmait une source officielle ivoirienne. L’hypothèse privilégiée, à l’époque, « un glissement de terrain sous-marin, possiblement lié à des mouvements sismiques ».

• Des câbles sous-marins tombent en série, Internet fortement perturbé en Afrique

Nom nom nom

L’appétit vient en mangeant dit-on, comme pour se rassurer.
Il y a les voraces, les affamés, les dalleux, les repus de toutes choses à ne savoir qu’en faire… pire, les plus ventrus sont ceux qui chialent la bouche pleine. Comment ne pas avoir l’appétit coupé par ces excès d’appétence ? C’est à se réfugier sous une couette avec une glace aux cookies moi je vous le dis. Allez, bon weekend à tous et bon ap !

Cela faisait plusieurs jours qu’une rumeur de fuite de données chez Free tournait sur les réseaux sociaux, sans confirmation officielle. Nous avions évidemment contacté l’opérateur, mais il n’avait pas souhaité répondre.

Quoi qu’il en soit, c’est désormais confirmé par un email envoyé à ses clients à partir de ce vendredi en fin de soirée. Vous avez été plusieurs à nous le faire suivre, merci à vous  :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n’est concerné ».

L’opérateur affirme bien sûr avoir pris toutes les mesures nécessaires « pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ». La CNIL et l’ANSSI ont été notifiées, une plainte pénale a été déposée auprès du procureur de la République : « L’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende », rappelle l’opérateur.

Il y a quelques jours, SaxX annonçait qu’un pirate avait mis en vente une base de données contenant 19 millions de comptes et cinq millions d’IBAN provenant de l’opérateur Free. Un nombre qui n’est pas confirmé – l’opérateur ne précise d’ailleurs pas l’ampleur des dégâts – et il n’est pas question des données bancaires dans la communication de Free.

• Quels risques pose une fuite de données bancaires ?

Free est donc la dernière victime d’une longue liste depuis le mois de septembre : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux et Ornikar.

Après pain au chocolat vs chocolatine, ZHA vs MQTT

Il n’y a pas que MQTT dans la vie domotique, ZHA existe aussi dans Home Assistant. On vous propose un petit tuto pour passer de MQTT à ZHA, ou pour profiter de ZHA sur une nouvelle installation de Home Assistant. Le but est toujours de suivre sa consommation électrique en direct.

Il y a peu, nous avons publié le début d’un dossier sur la domotique, avec un #Nextpresso sur une clé Zigbee et un module TIC pour Linky, accompagné d’un tuto pour une intégration dans Home Assistant, sur un Raspberry Pi. Le but était de suivre en direct votre consommation électrique sur votre ordinateur ou votre smartphone.

Et si vous souhaitez changer de fournisseur d’électricité, nous avons également mis en ligne un tuto et une feuille de calcul pour vous aider, en prenant comme base de comparaison votre propre consommation électrique !

• Changer de fournisseur d’électricité : les choses à savoir, les pièges à éviter

Dans les commentaires et même en dehors, le sujet a beaucoup fait parler et plusieurs questions tournaient autour du choix du protocole MQTT, alors qu’il existe des alternatives. Enfin principalement une : ZHA. Nous avions attaqué par MQTT, car il fallait bien commencer quelque part, mais ZHA est en effet une bonne alternative, avec des avantages et des inconvénients. Voyons cela.

Satellites of love ... and beaucoup de trash aussi

Des chercheurs en astrophysique ont signé une lettre envoyée à la Federal Communications Commission (FCC), l’autorité de régulation américaine, lui demandant de mettre fin à l’ « absurde » exemption qu’elle a accordée aux opérateurs satellite concernant les normes environnementales à respecter.

De plus en plus de travaux scientifiques pointent les problèmes environnementaux qu’engendrent les constellations de satellites en orbite terrestre basse comme Starlink, Kuiper ou encore OneWeb.

Jeudi 24 octobre, 120 astrophysiciens ont envoyé une lettre qui reproche au régulateur américain, la Federal Communications Commission (FCC), de ne pas remplir son rôle concernant ces constellations. L’association de consommateurs américaine Public Interest Research Group l’a rendue publique [PDF].

Les chercheurs font le constat que « le nombre de satellites de taille importante en orbite terrestre basse
au niveau le plus bas a été multiplié par 127 et le nombre total de gros satellites en orbite terrestre basse a été multiplié par 12 en cinq ans, sous l’impulsion de SpaceX ».

500 000 satellites pour toutes les méga-constellations

Et comme on le sait, ils rappellent que cette augmentation du nombre de satellites lancés dans l’espace est loin de s’arrêter : « la nouvelle course à l’espace s’accélère rapidement : certains experts estiment que 58 000 satellites supplémentaires seront lancés d’ici 2030. D’autres plans ont été proposés pour lancer 500 000 satellites afin de créer de nouvelles méga-constellations qui alimenteraient l’internet par satellite ».

• Constellations de satellites : « il n’y a que six places » dans la course mondialef

Mais, pour ces scientifiques, « nous devrions regarder avant de sauter ». C’est-à-dire analyser les effets de ces lancements sur notre environnement avant de s’engager dans cette course.

« Les effets néfastes sur l’environnement du lancement et de la combustion d’un si grand nombre de satellites ne sont pas clairs », estiment-ils. Ils s’appuient notamment sur le fait que « le gouvernement fédéral [américain] n’a pas réalisé d’étude environnementale pour en comprendre les effets ». Mais ils ajoutent que « ce que nous savons, c’est qu’un plus grand nombre de satellites et de lancements entraîne une augmentation des gaz et des métaux nocifs dans notre atmosphère ». On sait, par exemple, que leur dégradation, tous les cinq ans quand ils redescendent dans l’atmosphère, endommage la couche d’ozone.

• Les constellations de satellites vont gravement endommager la couche d’ozone

« Nous ne devrions pas nous précipiter pour lancer des satellites à cette échelle sans nous assurer que les avantages justifient les conséquences potentielles du lancement de ces nouvelles méga-constellations, qui rentrent ensuite dans notre atmosphère pour y brûler ou y créer des débris » assènent-ils.

Une pause dans les lancements et une vraie étude d’impact de la FCC demandées

Ces chercheurs demandent donc à la FCC de reprendre les choses depuis le départ et de mettre en pause tous les lancements de ces satellites tant qu’elle n’a pas conduit une véritable étude d’impact environnemental. Ils font remarquer que « la course du new space a démarré plus rapidement que les gouvernements n’ont pu agir ». Les agences de régulation examinent les licences individuelles et ne disposent pas des politiques nécessaires pour évaluer les effets globaux de toutes les méga-constellations proposées.

Et ils font remarquer que la FCC « contourne l’obligation de contrôle environnemental des méga-constellations de satellites prévue par la loi sur la politique environnementale nationale (National Environmental Policy Act) en invoquant une exclusion catégorique ». Ils s’appuient sur un constat déjà fait par le Government Accountability Office américain (organisme d’audit, équivalent de la Cour des comptes) en 2022. « En mai 2024, la FCC n’a pas réexaminé ses règles et continuait à exclure les constellations de satellites du contrôle environnemental », affirment-ils.

Pas mal non ? C'est français

Le ministère des Armées l’a confirmé jeudi : la mise en place du « plus puissant supercalculateur classifié dédié à l’IA en Europe » est désormais confiée au groupement constitué par HPE et Orange, vainqueurs face à Atos. Le projet doit aboutir à une mise en service d’ici fin 2025, sous la houlette de l’agence ministérielle pour l’IA de défense, qui franchit la barre des 100 ingénieurs.

Atos, qui discute actuellement avec l’État au sujet de l’acquisition de ses activités stratégiques, ne construira finalement pas le futur supercalculateur dédié à l’IA dans la défense française. Le ministère des Armées a en effet annoncé jeudi (PDF) avoir sélectionné le groupement constitué par HPE (Hewlett-Packard Enterprise) et Orange pour la réalisation de ce centre de données, qualifié de  « plus importante capacité de calcul classifiée dédiée à l’intelligence artificielle d’Europe ».

Deux candidats en lice

Installé au Mont-Valérien à Suresnes, aux portes de Paris, le supercalculateur sera hébergé et infogéré par la direction interarmées des réseaux d’infrastructure et des systèmes d’information de la Défense (Dirisi). Son exploitation sera quant à elle confiée à l’Amiad, l’Agence ministérielle de l’intelligence artificielle de défense, créée et installée en mars dernier.

Deux candidats s’affrontaient pour la réalisation de ce projet, dont l’enveloppe prévisionnelle gravite entre 200 et 300 millions d’euros. Atos, acteur historique du supercalcul grâce aux activités de Bull, faisait pour beaucoup office de favori. L’entreprise dispose d’une légitimité en la matière, elle travaille depuis 2004 avec la Direction des applications militaires (DAM) du CEA, et lui a fourni ses derniers systèmes dédiés en 2021. Enfin, Atos présente l’avantage d’être une entreprise française, là où son concurrent Orange a fait le choix de s’allier avec un acteur américain.

« Ce calculateur ne sera pas connecté à internet et sa maintenance sera réalisée par des citoyens français habilités au secret de la défense nationale », prend soin de préciser le ministère des Armées dans sa communication. Une façon de souligner que même si les composants sont américains, la souveraineté de l’infrastructure et des traitements qui y seront effectués est garantie.

Souveraineté et composants américains

C’est aussi le point de vue qu’a défendu Sébastien Lecornu, ministre des Armées, le 15 octobre dernier, devant la commission de défense du Sénat (voir vidéo, à partir de 54 minutes environ).

« La souveraineté en la matière est un bon débat, précisément parce qu’il n’y en a pas », a fait valoir le ministre, expliquant que 90 à 95% des GPU équipant les supercalculateurs dans le monde provenaient de NVIDIA, et soulignant que les deux offres, Atos d’un côté et Orange / HPE de l’autre, s’approvisionnaient chez le numéro un.

Le ministre a par ailleurs appelé à ne pas confondre sécurité et souveraineté, expliquant que le cahier des charges s’appliquait en des termes similaires aux deux candidats. « Quels que soient ceux qui mettront en œuvre cette affaire, toutes les procédures seront respectées. Comme je le dis souvent, beaucoup d’ordinateurs du ministère des Armées ont Microsoft, c’est comme ça, il n’y a pas de solution française. C’est plutôt la mise en œuvre de ce soft, la manière dont les ingénieurs le mettent en œuvre, avec nos protocoles de sécurité, qui nous permet justement de ne pas avoir d’ingérence », a-t-il illustré.

Toute considération sur les systèmes d’exploitation mise à part, quels sont dans ce cas les critères qui ont présidé au choix de l’offre Orange / HPE ? Le ministère ne livre aucune information à ce sujet, mais le processus de décision semble ne pas avoir été de tout repos.

« Sur les deux réponses en cours, vous avez une réponse qui apparaît sûrement anormalement faible, et une réponse dont on pourrait se poser la question (…) d’une proportion anormalement forte », a révélé Sébastien Lecornu en commission, évoquant des décalages « sur le critère des délais, du prix, de la performance et du staff humain qui est mis à disposition ». Du fait de ces écarts « anormaux », le ministre ajoute qu’il a demandé au Contrôle général des armées de reprendre l’ensemble du processus d’attribution.

Moins de dix jours plus tard, celui-ci a donc finalement validé la procédure, et déclenché l’attribution du marché. « Le supercalculateur sera livré à l’autonome 2025 et pleinement opérationnel fin 2025 », annonce le ministère.

Un supercalculateur pour l’armement « info-valorisé »

Quels en seront les usages ? Il « permettra à la France de traiter souverainement de données confidentielles, pour le besoin des armées ainsi qu’aux entreprises de défense », explique le ministère.

Cette nouvelle infrastructure – nom de code Asgard – doit notamment soutenir les travaux des Armées et des industriels de défense autour des dispositifs d’armement « info-valorisés », c’est-à-dire soutenus par l’intelligence artificielle, à l’image des programmes Scorpion (véhicules terrestres médians) et SCAF (Système de combat aérien du futur).

Elle a également vocation à soutenir les nombreux projets de recherche relatifs à l’IA, à l’échelle des différents corps de l’Armée. En mai dernier, le Centre d’interprétation et de reconnaissance acoustique, spécialisé dans l’écoute sous-marine, indiquait par exemple qu’il ferait appel à l’Amiad pour soutenir le travail de ses « oreilles d’or » grâce à l’IA.

Il sous-tendra également les différents projets de l’Amiad, qui se félicite à cette occasion d’accueillir bientôt son centième ingénieur – sur un plan de recrutement qui prévoyait 300 ingénieurs, chercheurs et doctorants, civils ou militaires, d’ici 2026. L’agence annonce ainsi avoir débuté le déploiement de Génial, un agent conversationnel, « équivalent d’un ChatGPT défense », dont l’accès sera ouvert à tous les agents du ministère des Armées dès la fin de l’année.

Selon nos confrères du Monde, le journal Libération est actuellement touché par une cyberattaque utilisant un rançongiciel. Si le média a pu publier des articles sur son site internet, plusieurs logiciels – dont celui de mise en page de la version papier du journal – sont actuellement inutilisables par les salariés.

La direction du journal a prévenu la rédaction par email vendredi en fin de matinée en demandant aux salariés de privilégier le télétravail ce jour-ci et de ne pas utiliser le réseau Wi-Fi interne.

En septembre, c’était le groupe Bayard et notamment son journal La Croix qui étaient touchés par une attaque de ce type. L’Agence France Presse a aussi été ciblée très récemment.