vulnérabilités au carré

La base de données de vulnérabilités CVE, mondialement utilisée pour connaître et corriger des risques de cybersécurité, a bien cru voir son financement fédéral américain s’arrêter. Alors qu’il devait expirer aujourd’hui même, l’Agence de cybersécurité américaine CISA l’a renouvelé à la dernière minute. En parallèle, des responsables de CVE ont lancé une fondation pour assurer son indépendance à long terme.

L’Agence de cybersécurité américaine CISA a finalement décidé de continuer à financer la base de données de vulnérabilités CVE en étendant son contrat avec la MITRE, l’organisation à but non lucratif qui gère le projet.

« Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA. Hier soir, la CISA a exécuté la période d’option du contrat afin de s’assurer qu’il n’y aura pas d’interruption des services CVE essentiels », a affirmé l’agence dans un communiqué envoyé à Forbes et notre BleepingComputer.

Le stress de la communauté cyber

Il était temps. La communauté de la cybersécurité avait commencé, mardi soir, à s’émouvoir sur les réseaux sociaux de la possible disparition de cette base de données. En effet, ce contrat arrivait à échéance ce mercredi 16 avril. Cette information a fuité mardi via une lettre adressée aux membres du bureau du CVE publiée sur Bluesky.

Yosry Barsoum, le vice-président du MITRE, l’organisation à but non-lucratif dont dépend le CVE, y annonçait un possible arrêt de financement et affirmait : « Si une interruption de service devait se produire, nous prévoyons de multiples conséquences pour CVE, notamment la détérioration des bases de données et des avis nationaux sur les vulnérabilités, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques ».

Le spécialiste en cybersécurité Kevin Beaumont réagissait par exemple en affirmant que « le secteur de la cybersécurité dans son ensemble est également en difficulté – c’est l’éléphant dans la pièce – l’effondrement du soutien de la Maison-Blanche à la cybersécurité est évident et prononcé en raison des coupes budgétaires généralisées ».

En effet, CVE est vraiment devenu un outil indispensable dans ce secteur depuis sa création en 1999. Elle recense toutes les vulnérabilités de sécurité des systèmes informatiques en indiquant leurs sévérités. Cette base permet notamment d’unifier les noms des failles pour s’assurer que tout le monde s’entende et ne fasse pas de confusion. Toutes les personnes travaillant dans le secteur l’utilise. On peut aussi s’appuyer sur CVE pour analyser la variation du nombre failles de sécurité, mais attention à le faire en prenant en compte leur exploitation et pas seulement leur nombre absolu.

• Le nombre de failles de sécurité a augmenté de 30 % en 6 mois : beaucoup de bruit pour rien ?

Une fondation créée à la hâte

Alors que l’annonce de la reconduction du contrat n’avait pas encore été faite, des membres du bureau du CVE ont annoncé le lancement de la Fondation CVE. Celle-ci doit assurer « la viabilité, la stabilité et l’indépendance à long terme du programme CVE, pilier essentiel de l’infrastructure mondiale de cybersécurité depuis 25 ans ».

Elle est présentée comme une réponse à l’instabilité dans laquelle se trouve le CVE. En même temps, ce texte explique qu’elle est le fruit d’« une coalition de membres actifs et de longue date du conseil d’administration de CVE [qui] a passé la dernière année à élaborer une stratégie de transition de CVE vers une fondation à but non lucratif ».

Il est difficile pour l’instant de savoir quelle sera l’avenir de la gouvernance du CVE entre cette fondation et la gestion historique par le MITRE.

Ce dernier a, certes, finalement pu reconduire le contrat avec la CISA, mais 442 employés du MITRE ont été licenciés récemment après l’arrêt de contrats par le DOGE équivalent à 28 millions de dollars de budget, selon Virginia Business. Difficile de promettre une stabilité au projet dans ce contexte.

Depuis l’attaque terroriste du Hamas contre Israël le 7 octobre 2023, l’État a réalisé une opération de modération des plateformes de Meta d’un genre particulier : il a formulé des requêtes de suppression de contenus publiés dans quantité de pays étrangers.

D’après des documents internes obtenus par Drop Site, une newsletter créée par d’anciens journalistes d’investigation de The Intercept, Meta a coopéré dans 94 % des cas. 
L’immense majorité de ces contenus contenaient des propos pro-palestiniens ou critiques du génocide opéré dans la bande de Gaza. Les demandes de retraits formulées par Israël ont principalement visé des internautes de pays arabes ou à majorité musulmanes, parmi lesquels l’Égypte, la Jordanie, l’Algérie, le Yémen, la Tunisie ou encore le Maroc.

95 % des requêtes – quasiment toujours formulées de la même manière, quel que soit le contenu – était classifiée par le gouvernement israélien comme relevant du « terrorisme » ou de l’« incitation à la violence » selon les politiques d’utilisation de Meta.

Les données montrent que Meta aurait modéré plus de 90 000 posts pour se conformer aux demandes du gouvernement israélien en 30 secondes en moyenne. Drop Site souligne que ces actions auront un impact futur, dans la mesure où les contenus supprimés servent à entraîner les systèmes automatisés de modération pour leur faire faire prendre de futures décisions.

Meta a également considérablement étendu les suppressions automatisées depuis le 7 octobre, ce qui aurait valu à près de 39 millions de posts supplémentaires de faire l’objet d’une « action » (interdiction, retrait, voire bannissement) sur Facebook et Instagram depuis la fin de l’année 2023, relève d’ailleurs Drop Site.

Ces documents renforcent une tendance observée par des organisations comme Human Rights Watch, qui relevait dès la fin 2023 des suppressions de contenus, du shadow banning (fait de limiter la visibilité) et de la suspension de comptes favorables à la cause palestinienne sur Instagram et Facebook dans plus de soixante pays du globe.

• Facebook et Instagram ont « sévèrement restreint » les médias et internautes palestiniens

Drop Site relève que seulement 1,3 % des requêtes de suppression formulées par le gouvernement israélien concerne ses propres internautes, quand l’immense majorité des autres gouvernements s’intéressent à du contenu domestique (63 % des requêtes de la Malaisie se concentrent du contenu publié en Malaise, 95 % de celles formulées par le Brésil concernent du contenu brésilien).

• Israël – Hamas : sur le front numérique aussi, le conflit fait rage

ANSSI font font les pirates

L’année 2024 a sans doute été l’une des plus chargées pour l’agence française. Dans le domaine de la cybersécurité, les travaux ont été très nombreux, entre les opérations courantes, la préparation aux directives européennes ou encore la sécurisation des Jeux olympiques et paralympiques. Et 2025 s’annonce tout aussi dense.

L’Agence nationale de la sécurité des systèmes d’information a publié hier son rapport d’activité pour 2024. Une année charnière dans la cybersécurité, tant elle a été chargée en travaux. Elle a consacré la montée en puissance de l’ANSSI et son rôle au sein de l’Union européenne, l’agence était l’une des plus actives d’Europe. Sa labellisation SecNumCloud avait même servi à établir le niveau de sécurité High+ dans la première version d’EUCS, avant que le projet ne soit gelé, en attente d’une reprise des débats dans un contexte très différent de tensions avec les États-Unis.

• En France, le niveau de risque des cybermenaces est « particulièrement élevé »
• Vincent Strubel (ANSSI) : « On est en Ligue 1 des nations cyber »… face aux Russes et Chinois

Un travail de fond sur les nouvelles lois

L’ANSSI aborde en long et en large le nécessaire travail d’adaptation à l’évolution des cadres juridiques. L’Agence est ainsi très occupée avec la transposition en cours des directives européennes NIS2, DORA et REC. En France, ce travail a franchi une étape décisive il y a un mois avec le passage au Sénat du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, aussi appelé « PJL Cyber Résilience », qui transpose d’un coup les trois directives.

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Cette loi va chambouler profondément la vie de nombre d’entreprises, qui vont devoir s’adapter à de nombreuses exigences. C’est surtout le cas avec la directive NIS2, comme nous l’avions détaillé dans un précédent article. L’ANSSI a commencé son travail d’accompagnement des milliers d’infrastructures concernées. Dans son édito, le directeur de l’ANSSI, Vincent Strubel, indique d’ailleurs que la transposition de NIS2 est vectrice d’une « transformation profonde de son organisation, de ses méthodes et de sa manière d’interagir avec ses bénéficiaires et ses partenaires ». Elle est également qualifiée d’ « extrêmement dimensionnante ».

L’ANSSI se dit ainsi « pleinement mobilisée » pour les 18 secteurs d’activités visés par NIS2. Elle a par exemple organisé des consultations auprès des fédérations professionnelles concernées, coordonné le travail d’élaboration du projet de loi et les négociations européennes sur le sujet, développé sa stratégie d’accompagnement, lancé un site dédié (MonEspaceNIS2, toujours en bêta), préparé son accompagnement et adapté ses outils.

On note aussi l’aboutissement d’un projet lancé en 2022 pour adopter une nouvelle organisation interne, apte à gérer les nouveaux défis. Il a débouché en début d’année 2025 sur la création de la mission Contrôles et Supervision, rattachée directement au directeur de l’ANSSI. Elle contrôlera la conformité des activités d’importance vitale, au règlement eIDAS (identité numérique) ou encore au règlement sur la cybersécurité (CSA). Ce sera aussi à elle de préparer les mesures correctrices qui seraient à prendre par les entités concernées par les nouveaux textes.

Coopération et action collective

On ne reviendra pas en détail sur les Jeux olympiques et paralympiques de l’année dernière, considérés par l’ANSSI comme un très grand succès. Le long travail préparatoire avait payé, comme l’indiquait déjà l’agence l’année dernière. « Comme pour nos athlètes olympiques, la cybersécurité des Jeux olympiques et paralympiques s’est préparée sur le temps long, bien avant le coup d’envoi », résume Julien Garcin, chargé de mission gouvernance.

• Bilan des JOP 2024 par l’ANSSI : 465 signalements et 83 incidents de cybersécurité

L’ANSSI revient surtout dans son rapport sur sa place centrale, la nécessité de la coopération et le succès d’une approche collective. L’agence se trouve en effet au cœur d’un grand écosystème mettant en présence des acteurs politiques (dont le gouvernement et le Parlement), institutionnels (ministères, autorités, collectivités, organismes de normalisation…), tous ceux de la cyberdéfense (dont les CSIRT et les forces de l’ordre), la communauté scientifique et technique, l’industrie de la cybersécurité et enfin les partenaires internationaux (dont l’ENISA européenne et l’OTAN).

L’anticipation des prochaines menaces

L’activité cybersécurité de l’ANSSI a été particulièrement intense en 2024. Ses capacités opérationnelles sont en pleine mutation, poussées par le besoin de s’adapter aux nouveaux cadres, mais également par la Loi de Programmation Militaire 2024 - 2030. Les JOP 2024 étaient d’ailleurs la première grande épreuve depuis le vote de cette dernière en 2023.

Le reste de l’année a vu tous les indicateurs décoller. L’ANSSI indique ainsi avoir traité 1 361 incidents de sécurité, soit 18 % de plus qu’en 2023. 4 386 évènements de sécurité ont été rapportés, soit 15 % de plus. L’ANSSI a également reçu 59 191 rapports d’audits automatisés, une progression de 56 %. 1 696 personnes ont été formées au CFSSI (Centre de formation à la sécurité des systèmes d’information) et 117 856 attestations SecNumacadémie ont été délivrées (le premier MOOC de l’ANSSI, lancé en 2022), une progression de 21 %. Pour cette année, le budget de l’agence était de 29,6 millions d’euros, hors masse salariale.

Si 2024 est qualifiée « d’exceptionnelle » par Vincent Strubel, l’ANSSI planche aussi sur la suite, en particulier quatre grandes verticales de réflexion et de recherche. L’IA d’abord et son rapport à la sécurité, qu’elle l’épaule ou qu’elle l’impacte. L’ANSSI a d’ailleurs publié l’année dernière ses recommandations pour l’IA générative.

La cryptographie post-quantique dans le collimateur

Autre « gros morceau », la cryptographie post-quantique (PQC). Comme le rappelle l’agence, « la menace d’attaques rétroactives (dites store now, decrypt later) nécessite une prise en compte de ce risque dès aujourd’hui ». La problématique n’a rien de nouveau et ne concerne pas que le quantique, on en parlait déjà il y a… plus de 10 ans. Nous avions expliqué le fonctionnement de cette cryptographie et étions revenu sur l’offre existante, jugée « très immature » par l’ANSSI.

Son avis étant connu, elle a poursuivi l’année dernière un travail sur deux axes : garantir la disponibilité d’une offre plus adaptée (intégrant notamment des algorithmes résistants) et accompagner la migration des systèmes chez les bénéficiaires de l’agence.

Enfin, les deux autres axes concernent la sécurité du cloud (avec la promotion de SecNumCloud bien sûr) et la Data-Centric Security (DCS). Celle-ci est explorée avec Inria et se penche sur l’approche visant à sécuriser la donnée elle-même, où qu’elle se trouve. Le partenariat doit notamment définir les « mécanismes cryptographiques répondant aux exigences de sécurisation de ces nouvelles architectures ».

Notion, connue pour son application à tout faire dans la prise de notes et le formatage des informations, lance une nouvelle application, en bêta depuis longtemps : Notion Mail. Limité pour l’instant à Gmail, l’éditeur met en avant les capacités d’organisation de son application et la possibilité de configurer le client comme on le souhaite.

Notion Mail met l’accent sur la personnalisation et l’automatisation. Son système d’étiquetage permet d’apposer automatiquement des labels sur les courriels, en fonction de ce que l’on a indiqué précédemment dans Notion AI. Par exemple : « Classe tous les courriers de mon agence immobilière comme importants ». Les e-mails concernés sont alors dument étiquetés.

La boite de réception peut également être divisée en vues, chacune représente un intérêt particulier. Un label peut aussi constituer une vue. Une idée intéressante et qui évite de forcer les utilisateurs à tabler sur trois ou quatre catégories imposées, comme Apple l’a fait dans Mail avec les dernières versions d’iOS et macOS.

Notion Mail propose d’autres fonctions, comme la possibilité d’enregistrer des modèles d’e-mails à partir de courriers fréquemment envoyés pour ne pas avoir à les réécrire. Les disponibilités peuvent aussi être partagées via l’intégration avec Notion Calendar. Notion AI peut bien sûr être utilisé pour aider à la rédaction et on retrouve toutes les commandes habituelles, accessibles via le raccourci clavier « / ».

Malgré une assez longue phase de test, Notion Mail est pour l’instant disponible sur peu de plateformes : web et macOS. Une version iOS est prévue pour « bientôt », sans précision. À TechCrunch, l’éditeur a confirmé vouloir se rendre compatible avec d’autres services e-mail et travailler à pouvoir réunir plusieurs boites de réception en une seule vue.

L’utilisation de Notion Mail reste gratuite, comme les autres services de Notion, avec des limitations mensuelles pour Notion AI. Elles disparaissent avec l’abonnement spécifique à cette fonction (détachés des formules habituelles), qui débute à 7,50 euros par mois et par personne.

22’, VLOP l’Arcom

En mars, l’Arcom demandait à Cloudflare de bloquer l’accès à Camschat, un site de contenus pornographiques. La plateforme a contesté cette décision devant le tribunal administratif de Paris. Ce dernier a rejeté la demande et répond au passage à « plusieurs questions de principe » sur le sujet.

En avril 2024, la loi SREN (Sécuriser et réguler l’espace numérique) était définitivement adopté. Le projet de loi avait été déposé en mai 2023, avec une procédure accélérée. Afin de s’accorder avec le droit européen, le texte a été revu avec précaution et corrigé durant sa navette parlementaire.

• Loi SREN adoptée : comment la France va sécuriser et réguler l’espace numérique

Un des axes du texte est de « protéger les plus jeunes des dangers d’Internet », notamment des contenus pornographiques. Ainsi, le texte permet à l’Arcom, après mise en demeure, d’« ordonner sous le contrôle a posteriori du juge administratif qui devra statuer rapidement : le blocage des sites pornographiques qui ne contrôlent pas l’âge de leurs utilisateurs ; leur déréférencement des moteurs de recherche sous 48 heures », explique Vie-Publique.

En 2023, l’Arcom tirait la sonnette d’alarme : « L’exposition des mineurs aux contenus pornographiques est en forte progression sur internet. Chaque mois, 2,3 millions de mineurs fréquentent des sites pornographiques, un chiffre en croissance rapide au cours des dernières années ».

« Le droit de l’Union européenne prime sur le droit national »

Mais attention, comme nous l’avions déjà expliqué l’année dernière, cela ne concerne que les sites basés en France et en dehors de l’Europe. Des sites domiciliés dans un autre pays de l’Union européenne pourront aussi être concernés, mais uniquement via un arrêté. C’est la même pirouette pour les mesures sur le cloud (encadrement des frais de transfert de données et de migration, plafonnement à un an des crédits cloud, obligation pour les services cloud d’être interopérables…).

En effet, la France (comme n’importe quel pays de l’Union) ne peut pas entrer en concurrence avec les textes européens : « le droit de l’Union européenne prime sur le droit national, y compris les dispositions constitutionnelles », rappelle Vie Publique. Il en est de même pour les arrêts de la Cour de justice de l’Union européenne qui sont contraignants pour toutes les autorités des États membres.

Des demandes de blocages de sites pornos

C’est ainsi que, en octobre dernier, la cour d’appel de Paris ordonnait « le blocage de plusieurs sites pornographiques extra-européens en raison de l’absence de contrôle de l’âge des utilisateurs, mais a accordé un sursis aux plateformes hébergées dans l’Union européenne ».

• La justice valide le blocage de quatre sites porno non établis en Europe, du répit pour cinq autres

Cette année, l’Arcom a ordonné à Cloudflare de bloquer l’accès au site Camschat, un site qui propose des contenus pornographiques, dans un délai de 48 h. Cloudflare a contesté la décision. Pour la première fois, le tribunal administratif de Paris a ainsi été saisi d’un « recours contre une décision de l’Arcom », comme l’a repéré l’avocat spécialiste du numérique Alexandre Archambault.

Le quarté du jour : 91.134.78.244

Dans sa décision, le tribunal commence par rappeler les doléances de Cloudflare : « à titre principal, d’annuler la décision du 6 mars 2025 par laquelle le président de l’autorité de régulation de la communication audiovisuelle et numérique (Arcom) lui a notifié l’adresse électronique https://camschat.net/ afin qu’elle empêche l’accès à cette adresse dans un délai de quarante-huit heures pour une durée de deux ans et l’informe que les utilisateurs souhaitant accéder à l’adresse sont redirigés vers une page d’information de l’Arcom accessible à l’adresse 91.134.78.244 ».

Cette IP (gérée par OVHcloud) est associée au nom de domaine protectiondesmineurs.arcom.fr. On arrive sur une page expliquant que « le site pornographique auquel vous avez tenté d’accéder fait l’objet d’une décision de blocage ».

Compatibilité entre la loi française et le DSA européen

Dans un communiqué, le tribunal explique qu’il a dû se « prononcer sur plusieurs questions de principe ». La première était « la compatibilité de la loi française avec le règlement européen sur les services numériques », alias le DSA. La question peut être résumée ainsi : est-ce que « le législateur national pouvait fixer des règles complémentaires à celles issues du droit de l’Union » ?

La réponse est oui pour le tribunal administratif. Bien évidemment, il s’explique : « Le tribunal a relevé que le règlement européen procède à une harmonisation complète du régime de protection des mineurs s’agissant des fournisseurs de plateformes en ligne normalement accessibles aux mineurs […] et de « très grandes plateformes en ligne » » (ou VLOP), c’est-à-dire celle avec plus de 45 millions d’utilisateurs mensuels actifs ou « qui est désignée comme telle par une décision de la Commission européenne ».

Camschat n’est ni une très grande plateforme ni accessible aux mineurs

Sur ces deux types de plateformes (sans condition d’âge ou les VLOP), « les autorités nationales sont en principe dessaisies de leur compétence normative », précise le tribunal. Mais, il reste un trou dans la raquette, comme l’indique le tribunal : « le règlement européen ne procède pas à une telle harmonisation s’agissant des autres plateformes qui ne relèvent pas de ces deux catégories, à l’instar de Camschat ».

Pour simplifier, le site ne dépasse pas le seuil pour être qualifié de VLOP et ne doit pas être accessible aux mineurs (puisqu’il propose des contenus pornographiques). Le Tribunal l’explique d’ailleurs dans sa décision :

« Il ressort des pièces du dossier et n’est pas contesté par la société Cloudflare que le fournisseur de la plateforme de partage de vidéos proposant le service « Camschat », dont il est constant qu’il contient des contenus pornographiques licites, n’est pas une plateforme normalement accessible aux mineurs ou une très grande plateforme au sens du règlement du 19 octobre 2022 ».

Puisque le règlement européen ne s’applique pas dans ce genre et de situation, et afin de « protéger les mineurs contre les contenus proposés par celles-ci, les États membres peuvent édicter des mesures complémentaires à celles du règlement européen ». Pour le moment, rien à redire donc sur la décision de l’Arcom.

Une « atteinte proportionnée »

La deuxième question de principe concerne la territorialité de l’injonction : « Le tribunal a considéré que même si l’injonction peut viser des plateformes ayant leur siège hors de France, seuls les mineurs établis sur le territoire français doivent être empêchés d’accéder à ces contenus en ligne ».

Enfin, le tribunal administratif a « jugé que le dispositif de contrôle par l’Arcom porte une atteinte proportionnée aux libertés d’entreprise et d’expression ». L’objectif d’empêcher l’accès des mineurs à des contenus pornographiques est légitime et « aucun dispositif moins attentatoire à l’exercice des droits ne permet d’atteindre cet objectif ».

En conséquence, le tribunal administratif décide que la « requête de la société Cloudflare est rejetée ».

Au deuxième jour du procès de Meta dans lequel la FTC accuse l’entreprise d’avoir voulu créer un monopole, un email de Mark Zuckerberg montre qu’il envisageait la vente d’Instagram, précisément pour éviter ce genre d’allégation. Il a expliqué l’achat initial de l’application par le fait qu’elle avait une meilleure partie photo. Entre autres idées pour doper le développement de Facebook, il a également évoqué « l’idée folle » de remettre à zéro les listes d’amis.

Mardi, Mark Zuckerberg a expliqué la stratégie de son entreprise depuis les années 2010 pour donner le contexte des rachats successifs d’Instagram en 2012 et de WhatsApp en 2014. Ceux-ci constituent les exemples les plus saillants de l’accusation de la FTC visant « une stratégie systématique d’éliminer les menaces qui pèsent sur son monopole ».

Le procès opposant Meta et la FTC a commencé cette semaine. Rappelons que l’agence a déposé une plainte en 2020 accusant l’entreprise de Mark Zuckerberg de « maintenir illégalement son monopole ».

Comme nous l’avons déjà rappelé, l’enjeu de ce procès est de taille puisque Meta pourrait être obligée de se séparer d’Instagram qui lui procure la moitié de son chiffre d’affaires. De l’autre côté, la crédibilité de la FTC pourrait être ébranlée si le tribunal ne se range pas à ses côtés.

• Meta face à la justice pour répondre de l’achat d’Instagram et WhatsApp

Une revente d’Instagram envisagée en 2018 pour plusieurs raisons

Mais un email qu’il a lui-même envoyé pourrait mettre Mark Zuckerberg dans l’embarras. En effet, l’avocat de la FTC a cité un mémo qu’il a envoyé en 2018 à son équipe, explique le Washington Post. Il y évoquait une éventuelle scission avec Instagram.

Son premier argument était la croissance d’Instagram, vue comme susceptible de cannibaliser celle de Facebook. Il se demandait si le départ des utilisateurs de Facebook rejoignant Instagram pourrait éventuellement provoquer un « effondrement du réseau » de Facebook, à l’époque le « produit le plus rentable ».

Mais il appuyait son point de vue d’un second argument : la pression des autorités de régulation : « alors que les appels au démantèlement des grandes entreprises technologiques se multiplient, il y a une chance non négligeable que nous soyons obligés de nous séparer d’Instagram et peut-être de WhatsApp dans les 5 à 10 prochaines années ».

« Réseau social personnel », une catégorie de marché débattue

Le CEO de Meta a dû aussi expliquer le choix d’acheter Instagram en 2012. L’avocat de la FTC lui a demandé s’il avait pensé que la croissance rapide d’Instagram aurait pu être destructive pour Facebook, explique Reuters. « Nous faisions une analyse « créer ou acheter » alors que nous étions en train de créer une application photo », a répondu Mark Zuckerberg, ajoutant « je pensais qu’Instagram était meilleur dans ce domaine, et j’ai donc pensé qu’il valait mieux l’acheter ».

Mais les avocats de Meta ont fait valoir que ses intentions passées n’étaient pas pertinentes car la FTC se baserait sur une mauvaise définition pour assoir son accusation de position dominante. L’autorité considère que Meta détient un monopole sur ce qu’elle appelle les « réseaux sociaux personnels » et définit ces derniers comme des applications permettant aux gens d’entretenir des relations avec leurs amis et famille. Pour l’accusation, le plus gros concurrent de Meta est Snapchat.

Du côté de Meta, la vision du marché est bien plus large et inclut TikTok, YouTube ou X. Interrogé par ses avocats, Mark Zuckerberg a affirmé n’avoir pas entendu parler du terme « réseau social personnel » avant la plainte de la FTC.

Une idée folle en 2022 : rebooter Facebook

Ce procès est aussi l’occasion de connaitre un peu plus la stratégie mise en place par Facebook (puis Meta) pour rebooster son image et l’utilisation de son réseau social phare. En 2022, dans un email interne à son équipe, explique Business Insider, Mark Zuckerberg a proposé une « idée folle » pour que Facebook récupère son aura : « Une idée potentiellement folle est d’envisager d’effacer les graphs de tout le monde et de les faire recommencer ». En clair, le CEO de Facebook a proposé à son équipe de remettre à zéro les listes d’amis de tous les utilisateurs du réseau social.

Lors de son témoignage, Mark Zuckerberg a affirmé que le réseau avait beaucoup évolué et que son objectif principal n’était plus vraiment de se connecter avec des amis. Cet argument permet aussi à Meta de réfuter le classement de son réseau originel dans la catégorie de « réseau social personnel » évoqué par la FTC.

Un pirate piraté sachant pirater sans son chien est-il un bon pirate ? L’arroseur arrosé a sans doute abusé du rosé pour ne pas avoir changé de version de php.

En juin de l’année dernière, une décision de justice demandait à Cisco (propriétaire d’OpenDNS), Google et CloudFlare de bloquer l’accès à plus d’une centaine de sites. La réponse du résolveur ne s’était pas fait attendre :

« À compter du 28 juin 2024, en raison d’une décision de justice en France rendue en vertu de l’article L.333 – 10 du code du sport français et d’une décision de justice au Portugal rendue en vertu de l’article 210-G(3) du code portugais du droit d’auteur, le service OpenDNS n’est actuellement pas disponible pour les utilisateurs en France et dans certains territoires français et au Portugal. Nous nous excusons pour la gêne occasionnée ».

Cette année, rebelote, comme l’indique le message d’un employé de Cisco sur les forums de la société, et repéré par TorrentFreak : « à compter du 11 avril 2025, suite à une décision de justice belge rendue en vertu des articles XVII.34./1. et suivants du Code of economic law, le service OpenDNS n’est plus accessible aux utilisateurs en Belgique. Nous vous prions de nous excuser pour la gêne occasionnée ».

• [Dossier] Internet, mode d’emploi : de l’URL à l’IP avec le DNS (partie 2)

Aucun détail supplémentaire n’est donné concernant cette « décision de justice », mais le calendrier laisse penser qu’il pourrait s’agir du blocage de plus d’une centaine de sites de streaming et cinq plateformes IPTV. D’autant qu’OpenDNS avait déjà quitté la France et le Portugal pour des raisons similaires.

« DAZN et 12th Player, diffuseurs du football professionnel en Belgique, ont obtenu de la justice belge une opération de chasse contre ces fléaux », expliquait Lalibre.be la semaine passée. « Aux opérateurs télécom (Voo, Orange, Proximus, Telenet…) mais aussi aux fournisseurs de DNS alternatifs – des entreprises comme Cloudflare, Cisco ou Google […] d’empêcher leurs clients de visiter les plateformes incriminées », précisait Lesoir.be.

Nos confrères ajoutaient que l’ordonnance (qu’ils avaient consultés) prévoit une astreinte de 100 000 euros par jour de non-conformité contre les fournisseurs de DNS alternatifs.

• DAZN et la Ligue 1 : du « juste prix » au piratage en masse

Comme le rappelle Alexandre Archambault sur X, cette décision « n’est pas sans poser quelques petits problèmes de sécurité / continuité de service, en particulier chez des fabricants d’objets connectés qui ont eu la bonne idée de coder en dur une unique solution DNS basée sur #OpenDNS, sans prévoir un repli sur une solution alternative ». La problématique s’était déjà posée lors de son départ de la France.

• Contraint de bloquer des noms de domaine, OpenDNS décide de quitter la France

Aux États-Unis, la Bibliothèque du Congrès des États-Unis dispose d’une collection un peu particulière : le Registre national des enregistrements (National Recording Registry). Créée avec le National Recording Preservation Act, cette collection vise à sauvegarder le patrimoine sonore américain. 25 titres sont ainsi ajoutés chaque année depuis le début des années 2000.

La fournée 2025 a été dévoilée il y a quelques jours avec des artistes de renom et quelques surprises : Elton John, Chicago, Broadway’s Hamilton, Mary J. Blige, Amy Winehouse, Minecraft et Microsoft, comme le rapporte MacG.

Du côté de Microsoft, il s’agit du son de démarrage de Windows 95, sorti en 1995. Nous devons ce jingle The Microsoft Sound à Brian Eno. Dans un entretien à la BBC, le compositeur expliquait l’avoir « écrit sur un Mac », comme le rapportait Neowin. « Je n’ai jamais utilisé de PC de ma vie, je ne les aime pas », ajoutait-il. Ambiance…

• L’histoire de Windows : de MS-DOS à NT 3.x
• L’histoire de Windows : l’attente fut longue avant Windows XP

« Eno a livré 84 éléments sonores aux concepteurs de Microsoft, qui ont finalement sélectionné un son presque deux fois plus long que prévu. Néanmoins, selon eux, il transmettait le sentiment d’accueil, d’espoir et de progrès qu’ils avaient imaginé », explique le Registre national des enregistrements. Ce jingle venait après un autre son iconique de Microsoft : le fameux tada.wav de Windows 3.x

L’autre entrée marquante de 2025 pour les geeks concerne donc « Minecraft : Volume Alpha ». La bande-son de 2011 a été « créée par le producteur allemand Daniel Rosenfeld sous son alias, C418 ». « La douce partition électronique se prête parfaitement à la conception du jeu », explique le Registre national des enregistrements.

Dans iOS 18.1, Apple avait ajouté un comportement non documenté, mais rapidement relevé : les appareils redémarrent automatiquement au bout de trois jours d’inactivité après le premier déverrouillage. Ce délai était de sept jours dans iOS 18.0.

Ce même comportement est désormais déployé depuis lundi sur tous les appareils Android recevant encore des mises à jour des Play Services, a noté 9to5Google. Cette version, estampillée 25.14, peut prendre plusieurs jours pour être installée sur l’ensemble des appareils concernés. Le changement est en outre décrit dans les notes de version : « Avec cette fonctionnalité, votre appareil redémarre automatiquement s’il est verrouillé pendant 3 jours consécutifs ».

Pourquoi ce changement ? Comme nous l’avions expliqué, le monde de la sécurité sépare bien les états BFU (Before First Unlock, avant le premier déverrouillage) et AFU (After First Unlock, après le premier déverrouillage). En BFU, par exemple après un redémarrage de l’appareil, de nombreuses données sont encore chiffrées et donc difficilement accessibles. En AFU, une partie est déchiffrée et devient accessible avec des outils ou en exploitant des failles de sécurité.

Avec l’état BFU, la sécurité est donc plus importante. On ne peut pas utiliser la biométrie ou la géolocalisation. Il faut obligatoirement le code PIN, schéma ou autre mécanisme basé sur la mémoire.

L’idée, bien sûr, est de retourner plus vite à cet état quand le smartphone (ou la tablette) se retrouve dans un contexte particulier : l’appareil a été déverrouillé une première fois, mais est verrouillé depuis trois jours, sans activité. Le redémarrage automatique permet alors de repasser en état BFU, dans le cas où l’appareil serait perdu ou tombé entre de mauvaises mains.

Depuis la semaine dernière, le Maroc est touché par les conséquences d’une cyberattaque de grande ampleur. Celle-ci a visé la Caisse de Sécurité sociale du pays. Sur une chaine Telegram maintenant désactivée, des pirates ont notamment diffusé des attestations de salaires de 2 millions d’affiliés. On y trouve celle du secrétaire particulier de Mohammed VI.

La semaine dernière, le média marocain Le Desk expliquait qu’une attaque « d’assez grande envergure » avait visé le ministère de l’Emploi « mais aussi et surtout, la Caisse nationale de sécurité sociale (CNSS) ».

Mardi 8 avril, via une chaine Telegram nommée Jabaroot DZ, des pirates se réclamant de l’Algérie ont diffusé des données provenant de la CNSS. Ces informations concernent les salariés de nombreuses entreprises et entités du pays comme le Fonds Mohammed VI pour l’Investissement, le Crédit du Maroc, la Banque centrale populaire. Mais elles touchent aussi des entreprises de presse, ainsi que Siger, la holding personnelle du roi.

Finalement, Telegram a supprimé la chaine, comme l’a confirmé au Monde le réseau social, « dès qu’elle a été découverte » par ses modérateurs.

Le montant du salaire du secrétaire particulier du roi dans la nature

Mais, entre temps, « les listes publiées permettent […] de lever le voile sur les salaires déclarés de plusieurs personnalités, dont par exemple le secrétaire particulier du roi, Mohammed Mounir El Majidi », détaille Le Desk. Près de 500 000 entreprises sont touchées, explique le média marocain TelQuel. Le média ajoute que les pirates algériens auraient réagi au piratage par des marocains du compte X de l’agence de presse algérienne APS.

La CNSS a bien reconnu le 9 avril que son système informatique a fait l’objet d’une série d’attaques, explique le Desk. Mais elle a affirmé que le caractère de certains documents fuités sur les réseaux sociaux était « souvent faux, inexact ou tronqué ». La caisse aurait actionné, « dès l’observation de la fuite des données […] des mesures correctives qui ont permis de contenir le chemin utilisé et de renforcer les infrastructures ».

La Caisse a annoncé ce week-end suspendre certains de ses services et demande à ses adhérents de suivre quelques recommandations comme changer son mot de passe et se méfier des messages et appels suspects prétendant provenir de la CNSS.

Un torrent qui bouscule la société marocaine

Mais TelQuel constate : « ce n’est plus une fuite, c’est un torrent ». Le Monde explique que cette affaire est l’occasion pour certains de pointer un pays « inégalitaire » alors que d’autres soupçonnent que les entreprises sous-déclarent. Le média français explique que ce n’est pas seulement la révélation des salaires de certains qui provoque des secousses. Par exemple, cette fuite révèle la liste des personnes employées par le bureau de liaison israélien à Rabat. Ceux-ci ont subi des menaces suite à cette révélation.

Selon une enquête du Desk publiée vendredi 11 avril, l’infrastructure de cybersécurité de la CNSS est « le produit d’un véritable mille-feuilles de missions effectuées par divers prestataires ». Et le journal marocain pointe les responsabilités du leader du secteur, Dataprotect. La responsabilité de la Direction générale de la sécurité des systèmes d’information (DGSSI) du pays est aussi en cause. Selon les informations du Monde, elle avait classé la CNSS parmi les infrastructures d’intérêt vital.

En 2020, le journal Yabiladi avait alerté la CNSS à propos d’une « inquiétante faille de sécurité ». Il avait déjà constaté que les données personnelles des assurés étaient accessibles. La caisse avait, à l’époque, assuré qu’elle avait été identifiée et corrigée.

La bêta avait été mise en ligne au début de l’année, en février. TrueNAS « Fangtooth » est un peu particulière puisque cette mouture unifie les versions Core et Scale, pour former TrueNAS Community Edition (CE). TrueNAS 25.04 est à la fois une mise à jour pour Scale (24.10 Electric Eel) et Core 13.x. Nous avons déjà expliqué ce changement dans un précédent article.

• TrueNAS : l’unification est en marche, la version 25.04 (Fangtooth) disponible en bêta

Avec TrueNAS 25.04, les changements sont importants par rapport à TrueNAS 24.10 : « plus de 1 000 améliorations, environ 160 corrections de bugs et diverses améliorations ». Les notes de version se trouvent par ici. Signalons notamment le passage au noyau Linux 6.12 et à OpenZFS 2.3.

Malgré la mise en ligne de la version finale de TrueNAS 25.04, l’équipe reste prudente : « Si vous déployez un nouveau système TrueNAS, nous vous recommandons TrueNAS 24.10.2.1 pour sa maturité, sa large prise en charge matérielle, son catalogue d’applications étendu, ses meilleures performances et son interface utilisateur web améliorée ».

Les développeurs ajoutent que « TrueNAS 25.04.0 complète ce système et est recommandé uniquement pour les Early adopters. Des articles ultérieurs détailleront des fonctionnalités spécifiques et des mesures de performances », promet l’équipe.

• Télécharger TrueNAS 25.04

Microsoft prévient : les domaines envoyant plus de 5 000 e-mails par jour vont devoir s’assurer de leur compatibilité avec SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance). Objectif, s’assurer que toutes les pratiques vertueuses en matière de courrier électronique sont respectées.

Voici un bref rappel de ce que sont ces trois protocoles :

• SPF : vérifie la légitimité du domaine d’envoi en garantissant que seules les adresses IP et les hôtes désignés sont inclus dans l’enregistrement DNS du domaine
• DKIM : valide l’authenticité et l’intégrité d’un courriel par une signature électronique
• DMARC : permet aux expéditeurs de définir comment gérer les courriels non authentifiés et génère des rapports sur les résultats de l’authentification du courrier électronique

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Les expéditeurs concernés ont peu de temps pour s’y mettre si ce n’est pas encore fait, car le changement sera effectif au 5 mai. À compter de cette date, les courriels ne respectant pas ces trois technologies seront tous envoyés dans le dossier Indésirable.

Ce n’est pas tout, car Microsoft fournit plusieurs recommandations. Il ne s’agit donc pas d’obligations, du moins pour l’instant. L’éditeur demande ainsi que les adresses d’expéditeur P2 (primaire) soient conformes, que des liens de désabonnement soient fournis, d’entretenir un niveau d’hygiène sur les listes (suppression régulière des adresses invalides) et d’afficher des pratiques d’envoi transparentes, avec des objets précis, sans en-têtes trompeurs, et avec le consentement des utilisateurs.

Microsoft ajoute se réserver le droit de prendre des « mesures négatives, y compris le filtrage ou le blocage, contre les expéditeurs non conformes ».

Rappelons que les grandes plateformes prennent régulièrement ce type de décision pour monter d’un cran dans la lutte contre le spam. À l’automne 2023 par exemple, Gmail avait annoncé de nouvelles exigences pour l’authentification des e-mails, là aussi pour les expéditeurs dépassant les 5 000 courriels par jour.

• Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

Trollface de circonstance

4Chan est inaccessible depuis plusieurs heures. Des pirates revendiquent une attaque, avec la récupération de l’intégralité des données (code source et bases de données), mais impossible à confirmer pour l’instant. De nombreuses captures d’écran ont été mises en ligne.

4Chan est un forum créé en 2003 sur lequel on trouve un peu de tout et beaucoup de n’importe quoi, lui valant parfois, chez ses détracteurs, le surnom de « poubelle de l’Internet ». Il est connu pour ne pas vraiment appliquer de modération et héberger des contenus extrêmes, à plusieurs points de vue.

4Chan inaccessible

Depuis les environs de 16 h, le forum est inaccessible, comme le confirme Downdetector avec de multiples signalements. Encore maintenant, le site a du mal à répondre et ne s’affiche pas correctement, d’après nos constatations. Parfois, nous avons aussi un « Connection timed out ».

Sur les réseaux sociaux, la piste du piratage est privilégiée, avec une possible très importante fuite de données.

4chan, the internet’s litter box, got hacked. https://infosec.exchange/@rebane2001/114341178486935903

[image or embed]

— Kevin Beaumont (@GossiTheDog.cyberplace.social.ap.brid.gy) 15 avril 2025 à 11:22

Une guerre des forums avec Soyjak ?

« 4chan a été piraté, doxxé et exposé – par nul autre que la communauté même qu’il avait autrefois bannie », affirme SoyjakSOL sur X. « La personne qui les a piratés a affirmé avoir vidé l’intégralité de la base de données », ajoute Yushe, avec des captures d’écran.

Le groupe Soyjak.Party serait à l’origine du piratage, selon un message publié sur la page d’accueil du forum, mais qui n’est plus disponible actuellement. Et ne comptez pas sur la Wayback Machine pour avoir des sauvegardes du site, cette URL a été exclue.

Soyjak.Party est un groupe issu de 4Chan, banni il y a quelques années. À l’occasion du piratage, l’imageboard dissident aurait d’ailleurs réouvert /qa/ sur 4Chan. Sur leur forum, on retrouve de nombreuses captures d’écran qui proviendraient du piratage. Il y a également des messages que nous avons consultés :

« Ce soir a été une soirée très spéciale pour beaucoup d’entre nous […] Un pirate informatique présent dans le système de 4cuck [le nom donné à 4Chan par les dissidents, ndlr] depuis plus d’un an a exécuté la véritable opération soyclipse, rouvrant /qa/, exposant les informations personnelles de divers membres du personnel de 4cuck et divulguant du code du site ».

Manque de mises à jour ?

La cause du piratage ? « Il est donc très probable que 4chan ait été piraté parce qu’ils fonctionnaient sur une version extrêmement ancienne de PHP, avec de nombreuses vulnérabilités et qui utilise une fonction obsolète pour interagir avec sa base de données MySQL », ajoute Yushe.

L’intégralité du code source et de la base de données aurait été récupérée. Des adresses IP, mots de passe et IRC des « jannies » (modérateurs, ndlr) auraient aussi été mis en ligne par les pirates.

THEY LEAKED ALL THE EMAILS OF THE JANNIES AAAAAAAAAAAAAAAAAAAAAAA THIS IS THE BIGGEST HAPPENING

— Priniz (@Priniz_twt) April 15, 2025

Des informations à confirmer…

La seule chose sûre pour le moment, c’est que rien n’est confirmé (hormis la panne). 4Chan n’a pas fait de commentaire sur cette affaire . Comme toujours en pareille situation, et d’autant plus avec un site comme 4Chan, de nombreuses informations circulent et il faut bien faire le tri.

4Chan existe depuis 2003 et s’est fait largement connaitre du grand public comme vecteur de nombreux mèmes et phénomènes (des lolcats à Anonymous en passant par le rickrolling et Pepe the Frog, entre autres), puis en 2014 avec l’affaire du Gamergate, et sa bascule vers l’alt-right.

• Dix ans après le Gamergate, où en est-on ?

On attend maintenant la réponse d’AMD

Trois nouvelles cartes NVIDIA dans la série 50 sont annoncées : les RTX 5060 Ti avec 8 ou 16 Go qui seront disponibles demain à partir de 399 euros, ainsi que la RTX 5060 à partir de 299 dollars. Blackwell est aux commandes, ainsi que DLSS 4 qui permet d’augmenter les performances grâce à l’IA (par rapport aux générations précédentes).

En janvier, NVIDIA profitait du CES de Las Vegas pour lancer sa nouvelle gamme de cartes graphiques grand public : les GeForce RTX de la série 50, de la RTX 5070 à la RTX 5090. Mi-mars, le fabricant ajustait ses prix, avec un ticket d’entrée à 629 euros pour la RTX 5070.

• NVIDIA annonce ses GeForce RTX 50 dès 649 euros : « + 1 » et « x2 », en résumé

Deux nouvelles références en Blackwell, avec DLSS 4

Le mois dernier, les caractéristiques techniques de quatre nouvelles cartes fuitaient sur Internet. C’est désormais confirmé pour trois d’entre elles : les RTX 5060, en 8 et 16 Go, et la 5060 Ti, avec évidemment Blackwell aux commandes. On y retrouve donc toutes les évolutions inhérentes à cette génération : 5e gen de Tensor, 4e Gen de Ray Tracing, DLSS 4, etc.

Comme sur la RTX 5070, les trois nouvelles cartes n’ont qu’un seul encodeur NVIDIA (NVENC) de 9e génération et un décodeur NVDEC de 6e génération.

8 ou 16 Go de GDDR7 pour la GeForce RTX 5060 Ti

Comme on peut le voir sur le tableau ci-dessus, la RTX 5060 Ti existe en deux versions (c’était déjà le cas de la RTX 4060 Ti), avec 8 ou 16 Go de GDDR7 et un bus sur 128 bits dans tous les cas. Il faudra donc être prudent au moment de choisir sa carte. Pour le reste, pas de surprise : 4 608 cœurs CUDA sur la RTX 5060 Ti et 3 840 sur la RTX 5060 (uniquement proposée avec 8 Go de GDDR7).

Les fréquences oscillent entre 2,28 GHz en IDLE et 2,57 GHz en Boost selon les recommandations NVIDIA. Nul doute que les fabricants vont s’en donner à cœur joie à ce niveau là.

NVIDIA annonce une consommation maximale de 180 watts pour la RTX 5060 Ti et 145 watts pour la RTX 5060. Les trois cartes demandent un connecteur PCIe à 8 broches ou un câble PCIe Gen 5 de 300 watts pour l’alimentation. Une alimentation de respectivement 600 et 550 watts est recommandée.

Forte hausse des performances, merci DLSS 4

Bien évidemment, NVIDIA annonce une forte hausse des performances dans les jeux, poussée par DLSS 4. Les performances de la RTX 5060 Ti font, en théorie, presque x3 à x6 par rapport à la RTX 3060 Ti et seraient doublées par rapport à la GeForce RTX 4060 Ti.

C’est un peu la même chose avec la RTX 5060 par rapport aux RTX 3060 et RTX 4060. Dans tous les cas, NVIDIA peut certainement dire un grand merci à DLSS 4 et la génération multi-images, une technologie qui n’est pas disponible sur les générations précédentes.

• Les premiers tests de la RTX 5090 sont en ligne, avec une large victoire de… l’IA

RTX 5060 Ti à partir de 399 euros, 299 dollars pour la RTX 5060

La RTX 5060 Ti sera vendue à partir de 399 euros dès demain et il faudra attendre le mois de mai pour la RTX 5060, ce qui explique que son prix public n’ait été évoqué qu’en dollars pour l’instant. Outre-Atlantique les tarifs sont de respectivement 299 dollars pour la RTX 5060, 379 dollars pour la RTX 5060 Ti avec 8 Go et 429 dollars pour celle avec 16 Go.

Des portables en RTX 5060 arrivent

NVIDIA annonce l’arrivée de portables avec une RTX 5060 dès le mois de mai, à partir de 1 099 dollars. Sur cette série de produit, NVIDIA annonce un doublement du nombre de fps (merci encore DLSS 4) et une latence inférieure aux modèles de la génération précédente. Les GPU seront disponibles « dans une large gamme de designs, avec des tailles aussi fines que 14,9 mm ».

Rien n’est précisé pour l’instant concernant une possible RTX 5050 qui avait fuitée en mars, en même temps que les RTX 5060. Il était alors question de 2 560 Cuda Cores avec 8 Go de GDDR6 (contre de la GDDR7 sur le reste des RTX 50) sur 128 bits et TDP de 120 watts.

« Better to buy than compete »

Le procès de Meta s’est ouvert le 14 avril à Washington. L’entreprise est accusée par la FTC d’avoir acheté Instagram et WhatsApp pour étouffer toute concurrence.

Meta a-t-il racheté Instagram et WhatsApp pour tuer toute compétition ? Telle est la thèse défendue ce 14 avril par Daniel Matheson, avocat du gendarme états-unien de la concurrence, la Federal Trade Commission, devant le tribunal de Washington.

Le procès, dont les débats doivent durer deux mois, s’ouvre à la suite d’une plainte initialement déposée en 2020, sous le premier mandat de Donald Trump. D’abord rejetée par le juge James Boasberg car mal argumentée, sa reformulation a été acceptée en janvier 2022, alors que Joe Biden présidait les États-Unis.

Dedans, la FTC accuse Meta d’avoir racheté Instagram en 2012 et WhatsApp en 2014, respectivement pour 1 et 19 milliards de dollars, afin de créer un monopole – la FTC considère d’ailleurs que le montant concédé pour l’achat d’Instagram était surévalué, et de nature à neutraliser un concurrent en pleine ascension.

Enjeux de taille

Meta a beaucoup à perdre dans ce procès, souligne Le Monde : en 2024, grâce à son modèle essentiellement publicitaire, elle réalisait 62 milliards de dollars de bénéfice net après impôts, ce qui représentait 38 % de son chiffre d’affaires. Sa valorisation de l’ordre de 1 380 milliards de dollars en Bourse fait de Mark Zuckerberg le troisième homme le plus riche du monde, derrière Elon Musk et Jeff Bezos.

En 2025, d’après le cabinet Emarketer cité par la BBC, Instagram devrait compter pour plus de la moitié du chiffre d’affaires réalisé par Meta aux États-Unis. Mais si la FTC convainc le juge, la société pourrait être contrainte au démantèlement.

Premier témoin appelé à la barre, son fondateur a été interrogé lundi au sujet d’un mémo de 2011, dans lequel il s’inquiétait des résultats de son application face au nouvel arrivant de partage de photo qu’était Instagram. S’il explique avoir investi dans le produit après son rachat, donc avoir participé à son évolution, la FTC considère qu’il est difficile d’être « plus littéral » que cette vision, énoncée par Zuckerberg en 2008 : « Mieux vaut acheter que rivaliser ». Ce mardi, ce dernier est de nouveau appelé à la barre.

Périmètre de marché et crédibilité de la FTC

Parmi les enjeux à trancher, celui du périmètre de marché à considérer pour établir si Meta est en situation de monopole. Si la FTC cherche à ne considérer que les réseaux sociaux « personnels », c’est-à-dire mettant en relation familles et amis, et dans lesquels elle range Facebook, Instagram, WhatsApp et Snapchat, Meta est en désaccord.

Mark Hansen, l’avocat de l’entreprise, a d’ailleurs utilisé la réaction des internautes au bref blocage de TikTok pour décrire la vitalité du secteur. Au moment de la suspension, le trafic d’Instagram avait bondi de 17 % et celui de Facebook de 20 %. Et l’entreprise de lancer, dans un communiqué : « Les preuves présentées au procès démontreront ce que chaque adolescent de 17 ans sait : Instagram est en concurrence avec TikTok (et YouTube, et X et beaucoup d’autres applications). »

La société s’attaque par ailleurs à la crédibilité de l’institution, précisant que la FTC n’avait pas empêché les rachats à l’époque de leur réalisation. Alors que le gendarme de la concurrence tente d’empêcher l’arrêt de TikTok, après avoir ordonné sa cession à des acteurs états-uniens, Meta avance par ailleurs : « Il est absurde que la FTC cherche à démanteler une grande entreprise américaine alors même qu’elle essaie de sauver l’entreprise chinoise TikTok. »

Le procès se déroule dans un contexte politique tendu, Donald Trump ayant supprimé l’indépendance de plusieurs agences états-uniennes par décret en février. La FTC fait partie des institutions visées, de même que la Fédéral Communications Commission (FCC) et la Securities and Exchange Commission (SEC).

D’après le Wall Street Journal, Mark Zuckerberg a d’ailleurs personnellement rencontré le président des États-Unis pour tenter d’obtenir l’abandon du procès. L’entrepreneur et ses équipes se sont entretenus trois fois avec Donald Trump depuis le début de son mandat, après avoir implémenté d’importants changements de politiques allant dans son sens (suspension de modération, paiement de 25 millions de dollars pour avoir suspendu le compte du président en janvier 2021, etc).

• Comment la justice américaine envisage-t-elle le démantèlement de Google

La différence, pour le meilleur et pour le pire

L’utilité et les performances des services dopés à l’IA d’Apple sont remises en question. La voie d’amélioration des modèles est toute trouvée : leur fournir des données fraiches. Mais les proclamations de l’entreprise sur la vie privée la coincent. Elle explique donc comment elle procède.

L’intelligence artificielle générative chez Apple, ce sont pour l’instant des milliards de dollars et une rentabilité nulle. Non seulement il a fallu s’armer face à la concurrence pour ne pas paraître « has been », mais tout s’est fait dans l’urgence, avec une compatibilité limitée et des résultats moyens. Le bouquet de services Apple Intelligence est globalement peu apprécié, avec en point d’orgue le retard calamiteux du nouveau Siri. Au point qu’aux États-Unis, un recours collectif a été déposé devant un tribunal californien.

• IA : mais que se passe-t-il chez Apple ?

On le sait depuis un moment maintenant, l’une des clés des performances des modèles réside dans les données disponibles. Or, l’approche spécifique d’Apple envers la vie privée la laisse le bec dans l’eau. Ce qui n’aurait pu être initialement qu’un argument marketing a aujourd’hui un impact fort, car l’entreprise est attendue au tournant.

Dans un communiqué hier, elle a donc exposé sa solution : la confidentialité différentielle.

Confidentialité différentielle : quésaco ?

« Apple n’utilise pas les données personnelles privées de ses utilisateurs ni leurs interactions lors de l’entraînement de ses modèles de base et, pour le contenu disponible publiquement sur Internet, nous appliquons des filtres pour supprimer les informations personnellement identifiables telles que les numéros de Sécurité sociale et de carte de crédit », explique Apple dans son billet.

Comment améliorer la pertinence de ses suggestions dans ce cas, surtout dans les outils d’écriture ? Avec un mécanisme déjà utilisé par l’entreprise pour ses Genmoji. Chez les personnes ayant autorisé le partage d’informations sur le compte iCloud, les données de ce dernier sont mélangées avec d’autres, synthétiques.

Le mécanisme de base consiste ainsi à ajouter un « bruit » statistique contrôlé aux données collectées localement sur les appareils des utilisateurs participants avant de les agréger sur les serveurs d’Apple. Ce bruit masque les contributions individuelles, rendant mathématiquement très improbable (voire impossible, selon Apple) de remonter à un utilisateur spécifique ou de découvrir des requêtes uniques ou rares. Apple affirme qu’il faut que des centaines d’utilisateurs utilisent un même terme ou schéma de requête (non unique) pour que celui-ci émerge comme une tendance détectable au niveau agrégé.

Une compréhension du « comment »

Apple dit se servir de ce mécanisme pour connaitre les invites (prompt) populaires, car elles permettent à l’entreprise « d’évaluer les modifications et les améliorations apportées à [ses] modèles en fonction des types d’invites les plus représentatifs de l’engagement réel des utilisateurs ».

L’approche d’Apple consiste à décomposer une requête en fragments. Les appareils participants sont ensuite interrogés au hasard pour savoir si ce fragment a déjà été rencontré. Si c’est le cas, ils répondent avec un signal « bruité », sans association avec l’adresse IP ou le compte iCloud.

Ce mécanisme statistique permet à Apple de savoir essentiellement comment sont utilisées ses fonctions et quelles sont les requêtes les plus fréquentes. Cependant, elle n’est pas suffisante pour du texte.

Pour le texte, c’est plus compliqué

Si cette approche a été suffisante en effet pour les Genmoji, il en va autrement des outils textuels, nettement plus complexes. D’autant que savoir « comment » ne répond pas à la question de l’entrainement des LLM.

Apple indique donc créer de vastes collections de phrases et e-mails synthétiques « dont le sujet ou le style est suffisamment similaire au contenu réel pour nous aider à améliorer nos modèles de résumé ». Pour créer ces données, Apple se sert d’un grand modèle de langage.

La suite est plutôt maline. Apple génère des lots de phrases et e-mails synthétiques pour couvrir autant de sujets courants que possible. Ils doivent être « représentatifs », selon l’entreprise. La société fournit le sujet suivant comme exemple : « Aimeriez-vous jouer au tennis demain à 11h30 ». Chaque e-mail produit ensuite une représentation numérique, pour « capturer » les informations clés de chaque message, comme la langue, le sujet et la longueur.

Après quoi, des lots sont envoyés aux appareils dont les utilisateurs ont choisi de participer à l’analyse des données. Là, un processus local compare les données synthétiques aux données réelles de la machine. Au cours d’une intégration, le processus « décide » quelles données sont les plus proches des informations synthétiques. Plus les correspondances sont nombreuses, plus l’approche statistique fonctionne : Apple peut voir les formules les plus utilisées et peut donc les prédire avec efficacité.

L’entreprise ajoute que les données synthétiques peuvent également faire l’objet d’étapes supplémentaires de curation, par exemple en remplaçant « tennis » par « football », pour observer le résultat. Apple insiste dans tous les cas : le contenu réel ne quitte jamais l’appareil, n’est pas associé à l’adresse IP ni au compte iCloud. Les informations transmises à l’entreprise sont là encore bruitées, toujours avec les mêmes techniques de confidentialité différentielle.

Un choix entre précision et vie privée ?

Si on lit entre les lignes, on peut deviner le message marketing derrière les explications de l’entreprise : nous ne serons peut-être jamais aussi performants que la concurrence en matière d’IA, mais au moins la vie privée est protégée. Au moins, comme on peut le lire dans certains recoins du web, Apple n’a pas prévu d’utiliser les données des e-mails pour entrainer ses modèles.

• Meta va de nouveau entrainer ses IA sur les données des utilisateurs européens

Dans quels cas concrets ces résultats sont-ils ensuite utilisés ? Pour des fonctions désormais classiques comme la reformulation d’un e-mail, le résumé d’un texte, la suggestion de réponses intelligentes, la recherche d’informations contextuelles ou encore la priorisation des notifications. Mais comme on l’a vu au lancement d’Apple Intelligence en Europe, tout ce qui touche à la priorisation ou aux résumés de notification va demander encore du travail. La BBC peut en attester, tant le média britannique a été concerné de près par le problème.

Et le problème ne va sans doute pas être résolu du jour au lendemain. La faille « évidente » de l’approche est qu’elle table sur les personnes ayant activé le partage d’informations sur leurs appareils. La question est posée à la première configuration et est en opt-in. Sur Mac par exemple, elle se retrouve dans Réglages, puis « Confidentialité et sécurité », puis « Analyse et améliorations ». Rien n’est coché par défaut et ces paramètres ont tendance à être oubliés par la suite.

Reste à voir si Apple obtiendra de bons résultats. Jusqu’à présent, l’entrainement sur des données synthétiques exclusivement a été jugé périlleux, avec un risque élevé de développer des hallucinations. Il est probable qu’Apple ait noué des partenariats pour obtenir des données réelles, mais la firme ne s’est jamais exprimée sur ce point.

• L’entrainement sur des données synthétiques, talon d’Achille de l’IA générative

Dans son communiqué transmis par email, la société française spécialisée dans l’informatique quantique rappelle que « Michel Paulin a passé l’essentiel de sa carrière dans le domaine de la Tech et des télécom. En particulier il a auparavant été directeur général d’OVHcloud, de SFR et de Neuf Cegetel ».

• [FAQ] Notre antisèche sur l’informatique quantique

Chez Quandela, il apportera « son expérience et contribuera à enrichir la vision stratégique de l’entreprise ». Depuis son départ d’OVHcloud – il a été remplacé par Benjamin Revcolevschi au poste de DG, que nous avions interviewé – il préside le Comité stratégique de la filière Logiciels et Solutions Numériques de Confiance du Conseil national de l’industrie (CNI), chargée d’élairer et conseiller les pouvoirs publics.

Ce Comité « regroupe des éditeurs de logiciels, qui développent des briques technologiques essentielles à la construction de parcours de confiance, et des fournisseurs de solutions numériques dans les domaines stratégiques du cloud, des offres collaboratives, de l’intelligence artificielle, des technologies quantiques, immersives et du logiciel ».

Depuis 2022, Michel Paulin est aussi membre nommé du conseil d’administration de l’Institut national de recherche en sciences et technologies du numérique (INRIA).

« Ses conseils seront extrêmement utiles au moment où Quandela amorce son développement à l’international et la montée en puissance de la production d’ordinateurs quantiques », explique Niccolo Somaschi, cofondateur et directeur général de Quandela.

Michel Paulin connait bien les machines quantiques de Quandela : il était encore à la tête d’OVHcloud quand l’hébergeur en a acheté une. Sur la photo ci-dessous, on peut d’ailleurs le voir à côté de la machine quantique lors de son inauguration.

• OVHcloud montre son MosaiQ et nous parle de son ordinateur quantique

Entrainement intensif

Après avoir activé l’accès à Meta AI en Europe, l’entreprise de Marc Zuckerberg remet en route l’entrainement de ses IA avec des données des utilisateurs européens de ses réseaux sociaux Facebook, Instagram et Threads. L’opposition est possible via un formulaire. WhatsApp n’est pas concerné.

Après la pause annoncée l’année dernière, Meta vient d’indiquer qu’elle allait de nouveau remettre en place, par défaut, l’utilisation des données de ses utilisateurs situés en Europe. L’entreprise précise que cet entrainement se fera « sur les interactions que les personnes ont avec l’IA de Meta, ainsi que sur le contenu public partagé par des adultes sur les produits Meta ».

L’entreprise avait annoncé le mois dernier avoir finalement décidé de déployer son IA dans ses produits destinés aux utilisateurs européens.

Un formulaire plus clair, promis

Les utilisateurs de Facebook, Instagram et Threads vont recevoir des notifications « dans l’application et par e-mail » précise Meta avec un texte d’explication sur le type de données qui seront utilisées par l’entreprise pour entrainer ses IA. « Ces notifications comprendront également un lien vers un formulaire permettant aux personnes de s’opposer à tout moment à l’utilisation de leurs données de cette manière », explique l’entreprise.

Elle assure avoir fait en sorte que ce formulaire d’objection (opt out) « soit facile à trouver, à lire et à utiliser » et qu’elle honorera « tous les formulaires d’objection que nous avons déjà reçus, ainsi que ceux qui seront soumis ultérieurement ». Meta promet donc que ce nouveau formulaire ne sera pas dissuasif, contrairement à celui que l’entreprise avait déployé l’année dernière lorsqu’elle avait, une première fois, mis en place l’entrainement de ses IA sur les données des utilisateurs européen.

Rappelons que Meta a été contrainte de mettre ce projet en pause, car l’association autrichienne noyb a déposé 11 plaintes contre l’entreprise. La CNIL irlandaise (Data Protection Commission) avait ensuite annoncé que l’entreprise suspendait son projet d’entrainement sur les données européennes. Meta a lancé son modèle Llama 3.1 en excluant son utilisation dans l’Union européenne tant que le terrain juridique n’était pas dégagé.

L’association de Max Schrems considérait que l’entreprise « n’[avait] aucun « intérêt légitime » qui [prévalait] sur les intérêts » des plaignants que noyb accompagne et ne disposait d’ « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ». Elle accusait Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir ».

Sur ce deuxième point, Meta semble avoir fait un pas pour rendre l’opt-out de ses utilisateurs plus clair et plus simple. Il faudra tout de même vérifier sur pièce.

Meta campe sur ses positions concernant la légalité de son traitement

Sur le premier, l’entreprise considère que son « approche initiale était conforme à [ses] obligations légales » et affirme que l’avis rendu par le Comité européen de la protection des données en décembre confirme cela.

Dans son communiqué en français, Meta commente : « Il est regrettable que cela ait pris près d’un an, mais nous saluons la garantie donnée par l’IDPC (Irish Data Protection Commission) et le Comité européen de la protection des données, qui nous a permis de franchir cette étape ». Une phrase qui n’existe pas dans le communiqué en anglais.

Les autorités sont-elles alignées avec les positions de Meta ?

Interrogé par Next sur cette garantie donnée à Meta et sur la légalité de l’approche initiale de l’entreprise, le CEPD se borne à rappeler que l’opinion qu’elle a publiée en décembre « ne fait aucune déclaration à l’égard des contrôleurs individuels, mais fournit une réponse aux questions posées par l’autorité irlandaise chargée de la protection des données ».

La DPC ne nous a pas encore répondu. Nous ne manquerons pas d’ajouter son commentaire le cas échéant.

L’entreprise semble en tout cas s’appuyer toujours sur l’intérêt légitime comme base légale de cet entrainement. En effet, si elle ne le précise pas explicitement dans son communiqué, Meta affirme que les textes des notifications aux utilisateurs expliqueront « comment cela améliorera l’IA de Meta et l’expérience utilisateur globale ». Elle affirme aussi : « cet entraînement permettra de mieux soutenir des millions de personnes et d’entreprises en Europe, en apprenant à nos modèles d’IA générative à mieux comprendre et refléter leurs cultures, leurs langues et leur histoire ». Et elle n’indique d’ailleurs aucun nouveau changement dans ses conditions d’utilisation.

Reste à savoir si les autorités de protection des données approuveront son interprétation de l’avis du Comité européen de la protection des données rendu public le 18 décembre dernier.

En effet, si Meta affirme que cet avis va dans son sens, la CNIL italienne a récemment infligé 15 millions d’euros d’amende à OpenAI pour avoir, entre autres, utilisé des données personnelles pour entrainer ses modèles utilisés par ChatGPT, en s’appuyant sur le même avis. Dans ce dossier, OpenAI n’avait pas préalablement identifié de base juridique sur laquelle s’appuyer pour ce traitement.

Puis dominer le monde ?

Déjà présente et impliquée dans plusieurs instances européenne et internationale, la CNIL veut renforcer son influence. Elle souhaite se maintenir, au niveau mondial, « à l’avant-garde des développements juridiques, technologiques et économiques liés à la protection des données personnelles ».

La Commission nationale de l’informatique et des libertés a publié sa stratégie européenne et internationale pour les années 2025 à 2028. Elle vient en complément de son plan stratégique national dévoilé au début de l’année. Il était pour rappel axé sur la promotion d’une « intelligence artificielle éthique et respectueuse des droits ».

• 2025 - 2028 : la CNIL prend le dossier de l’IA sous l’angle de la promotion de l’éthique

La Commission affiche franchement ses ambitions dans ce nouveau document : « se positionner pour s’assurer de la protection des données des personnes en France, en Europe et dans le reste du monde ».

Trois axes sont mis en avant sur la question des données personnelles : fluidifier la coopération européenne, promouvoir des standards internationaux élevés en accompagnant l’innovation et la circulation des données, et enfin consolider l’influence européenne et internationale de la CNIL.

« Jouer un rôle de premier plan au niveau européen »

Pour le premier point, la CNIL explique qu’elle « se doit de jouer un rôle de premier plan au niveau européen » et donc « s’impliquer dans l’amélioration de l’efficacité et la fluidification de la coopération
européenne ».

D’autant plus que le contexte géopolitique est tendu et que l’Europe est en pleine phase de renouveau législatif sur le numérique. Ce dernier occupe toujours plus de place numérique et prend même de l’ampleur avec les sujets d’identité numérique et d’IA générative.

Le but ? Permettre l’adoption rapide de positions communes (avis, lignes directrices, bonnes pratiques et sanctions) au sein du CEPD (Comité européen de la protection des données). Ce Comité est un organe de l’Union européenne mis en place par le RGPD. Il dispose du pouvoir d’adopter des « décisions contraignantes pour trancher les différends entre autorités de contrôle ».

La Commission participe aussi à la supervision de plusieurs systèmes : Eurodac (empreintes digitales des demandeurs d’asile), Europol (coopération policière), Eurojust (coopération judiciaire), Schengen (signalement aux frontières), Douanes, Visas.

Étendre son influence à l’international

Sur le deuxième axe (promouvoir des standards internationaux), la CNIL rappelle qu’elle participe déjà aux travaux de plusieurs instances internationales intergouvernementales : Conseil de l’Europe, Organisation de coopération et de développement économiques, Global Privacy Assembly, G7 des autorités de protection de la vie privée, Association francophone des autorités de protection des données personnelles… Elle affirme qu’elle « doit poursuivre son implication dans ces instances ».

Elle veut aussi étendre son influence à d’autres instances internationales de protection des données personnelles, « notamment Global Cross Border Privacy Rules Forum (Global CBPR Forum), l’Association des nations de l’Asie du Sud-Est (ASEAN), la Coopération économique pour l’Asie-Pacifique (APEC)
ou le réseau ibéro-américain de protection des données (RIPD) ».

La Commission précise au passage qu’elle souhaite « maintenir un lien étroit avec le gouvernement français » sur la question de la protection des données.

Rester à l’avant-garde

Enfin, le troisième et dernier axe (influence européenne et internationale) vient en soutien des deux premiers. Il s’agit de maintenir de bonnes relations avec les autres autorités afin de faciliter le partage de sa position et d’obtenir le soutien d’autres parties prenantes : « La doctrine de la CNIL doit être renforcée sur les grands enjeux internationaux de la protection des données personnelles pour susciter l’adhésion ».

Pour garder sa « position pertinente » au niveau international, la CNIL « veut se maintenir à l’avant-garde des développements juridiques, technologiques et économiques liés à la protection des données personnelles ». Elle veut apporter « une réponse dès à présent à l’impact de la mondialisation, des développements technologiques et de la circulation des données personnelles ».

Pour cela, elle doit « consolider sa doctrine en matière de transferts de données » et « anticiper les enjeux internationaux liés aux flux transfrontaliers de données personnelles ».

Parer au plus urgent

OpenAI vient de lancer un nouveau modèle qui n’était pas prévu au programme. La nomenclature de l’entreprise prend d’ailleurs un coup, car la version 4.5 sortie récemment était présentée comme l’aboutissement de ce qu’OpenAI avait à offrir. La version 4.1 est cependant « logique », car elle vient combler un manque.

GPT-4.1 est disponible en versions complète, mini et nano, comme d’habitude en fonction des cas d’usage. Ils sont tous trois disponibles via l’API d’OpenAI, mais pas encore via ChatGPT. Leur fenêtre de contexte est d’un million de jetons, soit environ 750 000 mots d’une traite.

Un modèle dans la moyenne…

Ces nouveaux modèles, particulièrement la variante complète, doivent permettre à l’entreprise de faire jeu égal avec une concurrence exacerbée, tout particulièrement le « trio gagnant » du moment pour tout ce qui touche au développement logiciel et aux mathématiques : Gemini 2.5 Pro chez Google, Claude Sonnet 3.7 chez Anthropic et DeepSeek V3 dans sa version améliorée.

GPT-4.1 est donc présenté comme un modèle pour les tâches concrètes du quotidien, avec un accent mis sur la programmation. Ses performances sont supérieures aux modèles GPT-4o et 4o mini sur l’ensemble des benchmarks de programmation, dont SWE-bench. Comme toujours, les variantes mini et nano sont là pour fournir des réponses plus rapides et réclament moins de puissance pour fonctionner, avec l’habituelle contrepartie sur la précision.

Si l’on en croit OpenAI, le score de GPT-4.1 varie entre 52 et 54,6 % sur SWE-bench Verified. Pourquoi cette variabilité ? Parce que l’infrastructure d’OpenAI ne peut pas résoudre tous les problèmes affichés par le benchmark, selon l’entreprise. Dans tous les cas, ces scores sont inférieurs à ce que proposent Gemini 2.5 Pro et Claude Sonnet 3.7, qui affichent respectivement 63,8 et 62,3 %.

… et surtout moins cher

OpenAI tâche quand même d’être transparente. Elle indique ainsi que la précision de son modèle diminue en fonction du nombre de jetons en entrée. Avec 8 000 jetons par exemple, la précision est de 84 %. En revanche, si on utilise le nombre maximal de jetons (un million), la précision chute à 50 % seulement. OpenAI ajoute que son nouveau modèle est plus « littéral » que GPT-4o, ce qui peut nécessiter des invites plus explicites. Enfin, la date de coupure des données est fixée à juin 2024, le modèle disposant de données plus fraiches.

Quant au prix, il dépend du modèle utilisé :

• GPT-4.1 : 2 dollars par million de jetons en entrée, 8 dollars par million de jetons en sortie
• GPT-4.1 mini : 0,40 dollar par million de jetons en entrée, 1,60 dollar par million de jetons en sortie
• GPT-4.1 nano : 0,10 dollar par million de jetons en entrée, 0,40 dollar par million de jetons en sortie

GPT-4.5 déjà en pré-retraite

GPT-4.1 va avoir pour mission d’occuper l’espace pendant qu’OpenAI prépare son GPT-5. D’autant plus que l’entreprise a également annoncé que son GPT-4.5, lancé fin février, était déjà condamné.

Il restera ainsi disponible pour les développeurs jusqu’au 14 juillet, après quoi il disparaitra du catalogue. OpenAI ayant indiqué que GPT-5 arriverait « dans quelques mois », il faut espérer que la relève sera prête. Dans le cas contraire, c’est GPT-4.1 qui devra servir. En revanche, GPT-4.5 reste disponible dans ChatGPT jusqu’à nouvel ordre, même s’il n’est accessible que dans les offres payantes.

Lors de la présentation du modèle, OpenAI semblait ne pas savoir sur quel pied danser. Il s’agissait de loin du plus gros modèle jamais lancé par l’entreprise, qui indiquait dans le même temps qu’il était lourd. Il avait non seulement nécessité une grande puissance pour l’entrainer, mais son utilisation était également très onéreuse (75 dollars en entrée, 150 dollars en sortie), avec des réponses assez lentes.

À TechCrunch, OpenAI a déclaré que GPT-4.1 offrait « des performances similaires ou supérieures à celles de GPT-4.5 dans des domaines clés, à un coût nettement inférieur ». La société a également confirmé que GPT-4.5 allait être supprimé « pour donner la priorité à la construction de modèles futurs ».

Moins d’un Français sur deux lit chaque jour, s’inquiète le Centre National du Livre… mais cela n’empêche pas le marché du livre d’occasion de bien se porter.

En 2022, 9 millions de Français avaient acheté des livres d’occasion pour un prix deux fois et demi inférieur à celui des livres neufs, en moyenne. Avec pour principaux bénéficiaires, les plateformes numériques comme Amazon, Momox, eBay ou Vinted.

Pour les auteurs – dont les travaux sont par ailleurs allègrement utilisés par les géants numériques pour entraîner leurs modèles d’IA – et les éditeurs, le manque à gagner est visible. Si bien que depuis des années, ils plaident pour la création d’un droit de suite au droit d’auteurs, qui permettrait de toucher une rémunération lors de la vente d’un livre d’occasion.

Si le gouvernement tarde à s’emparer du sujet, la ministre de la Culture Rachida Dati a indiqué en plein Festival du livre s’apprêter à demander un avis au Conseil d’état.

Une annonce dont Télérama souligne l’aspect tardif, dans la mesure où le président de la République, lors de l’édition précédente du Festival, déclarait déjà demander à la ministre de faire des propositions sur le sujet.

Agua, por favor

Tirée par les usages du cloud et de l’IA, la multiplication de centres de données sur le globe accentue la pression sur les zones arides.

Avec le soutien affiché de Donald Trump, Amazon, Microsoft et Google prévoient la construction de nouveaux datacenters partout sur la planète, avec des effets potentiellement importants des zones subissant déjà des restrictions d’accès à l’eau.

Si le nombre et les localisations précises de ces entrepôts de serveurs sont généralement gardées secrètes, les journalistes de Source Material ont collecté coupures de presses locales et sources de l’industrie pour cartographier 632 centres de données actifs ou en projet sur le globe.

63 % de datacenter en plus en zones sèches

Principal constat : sur les cinq continents, les entreprises prévoient une augmentation de 78 % du nombre de leurs centres de donnés pour accompagner l’expansion de leurs services de cloud et soutenir la croissance de l’intelligence artificielle. Et dans les zones les plus sèches, qui devraient observer une augmentation de 63 % du nombre de datacenter, cela crée de vrais conflits d’usage.

En 2023, Microsoft déclarait que 42 % de sa consommation d’eau venait de zones « en stress hydrique », et Google indiquait que 15 % était tirée de région « en forte pénurie d’eau ». Pour la fondatrice d’Ethical Tech Society Jaume-Palasí interrogée par the Guardian, « ils ne construisent pas dans des zones arides par pure coïncidence » : la faible humidité réduit les risques de corrosion des métaux, corrosion que l’eau de mer provoquerait aussi si elle était utilisée pour refroidir les serveurs.

En interne, des employés contestent d’ailleurs la politique menée par les géants numériques.
Chez Amazon, l’ex-responsable de la soutenabilité de l’eau Nathan Wangusi explique avoir contesté la politique consistant principalement à compenser sa consommation d’eau en aidant l’accès d’autres communautés en difficultés, dans la mesure où l’eau, contrairement aux émissions de carbone, est un enjeu plus local.

• La compensation carbone, comment ça fonctionne ?

Irrigation équivalente à 230 hectares de maïs

Les trois prochains datacenters qu’Amazon prévoit d’installer en Aragon, au nord de l’Espagne, ont par exemple obtenu des licences pour utiliser plus de 755 000 m³ d’eau (des volumes suffisants pour irriguer plus de 230 hectares de mais). Chaque centre sera créé à côté de datacenters préexistants.

Sur place, la sécheresse est pourtant telle que le gouvernement a demandé en mars l’aide de l’Union européenne.

Interrogés par Source Material et The Guardian, Amazon et Google ont déclaré prendre l’accès à l’eau en compte au moment du déploiement de leurs infrastructures. Microsoft n’a pas répondu. Si Amazon est historiquement le plus gros détenteur de centres de données, les deux autres entreprises le rattrapent rapidement.

Les grands plans d’investissement comme le projet Stargate, annoncé en grande pompe après l’investiture de Donald Trump, sont de nature à soutenir la tendance.

• Intelligence artificielle : Stargate, le projet fou américain à 500 milliards de dollars

Dans un communiqué publié hier, NVIDIA a annoncé qu’une partie de ses supercalculateurs sera produite aux États-Unis d’ici quelques années. L’entreprise a présenté un vaste plan de bataille impliquant plusieurs partenaires.

NVIDIA dit avoir réservé de vastes espaces dans deux États. En Arizona, seront ainsi effectués la fabrication et les tests des puces Blackwell. Au Texas, qui ressemble de plus en plus à la nouvelle terre promise de la tech, NVIDIA fabriquera des supercalculateurs dédiés à l’IA. La firme ajoute d’ailleurs qu’elle n’a pas attendu pour lancer une production sur le sol américain, puisque des puces Blackwell sont déjà fabriquées par l’usine TSMC de Phoenix.

• NVIDIA annonce son GPU Blackwell (B200) pour l’IA, jusqu’à 20 000 TFLOPS (FP4)

Au Texas, les usines de production sont construites en partenariat avec Foxconn et Wistron, respectivement à Houston et Dallas. La production de masse est attendue dans un délai allant de 12 à 15 mois, si tout se passe bien.

Comme nous l’avions souligné précédemment, ces usines dépendent d’une chaine logistique complète. La firme au caméléon aborde la question dans son communiqué, évoquant les « technologies de fabrication, d’emballage, d’assemblage et de test les plus avancées ». NVIDIA annonce des partenariats avec les sociétés Amkor et SPIL dans cette optique.

La société compte construire pour 500 milliards de dollars d’infrastructures d’IA au cours des quatre prochaines années, avec les entreprises partenaires citées. Ce chiffre semble presque devenu un standard, après les 500 milliards annoncés pour le projet Stargate et ceux proclamés par Apple. Ces annonces font toutes suite à la volonté farouche affichée de Donald Trump de ramener la production au sein des frontières étasuniennes, qui a déclenché une vaste guerre commerciale.

TSMC, le plus gros producteur mondial de puces, est également sous pression, le gouvernement Trump ayant menacé de lui imposer une taxe de 100 % s’il ne construisait pas plus d’usines aux États-Unis. Il avait pourtant annoncé un mois auparavant poser 100 milliards de dollars supplémentaires sur la table.

Et puisque l’on parle de TSMC, la société a réalisé hier soir une annonce conjointe avec AMD. Les deux partenaires ont ainsi présenté le tout premier produit fabriqué à partir du processus de gravure 2 nm de TSMC (N2). Il s’agit du prochain processeur EPYC, nom de code Venice, prévu pour l’année prochaine. AMD a également annoncé que son dernier processeur EPYC (9005, 5ᵉ génération) allait être produit dans la nouvelle usine de TSMC en Arizona. AMD ajoute que la décision souligne « son engagement en faveur de la fabrication aux États-Unis ».

Pour NVIDIA en tout cas, tout va cependant pour le mieux. Cette débauche d’activité devrait en effet « créer des centaines de milliers d’emplois et générer des milliers de milliards de dollars de sécurité économique au cours des prochaines décennies ».

La rumeur d’une cession bruissait depuis des mois, elle est désormais confirmée : Intel a annoncé lundi soir avoir vendu 51 % d’Altera au fonds d’investissement Silver Lake. La transaction se fait sur la base d’une valorisation d’entreprise fixée à 8,75 milliards de dollars, ce qui signifie qu’Intel devrait empocher quelque 4,3 milliards de dollars, tout en gardant 49 % de son ex-filiale spécialisée dans les puces reprogrammables (FPGA).

Un nouveau dirigeant accompagne ce changement de gouvernance : Sandra Rivera cède la place à Raghib Hussain comme CEO. Venu de Marvell, il aura la charge de piloter le développement d’Altera « pour répondre aux demandes et aux opportunités d’un marché axé sur l’IA ».

« L’annonce d’aujourd’hui reflète notre engagement à concentrer nos efforts, à réduire notre structure de dépenses et à renforcer notre bilan », commente Lip-Bu Tan, CEO d’Intel depuis mi-mars, nommé suite à l’éviction de Pat Gelsinger en décembre dernier.

Cette vente partielle d’Altera intervient pour mémoire dans un contexte de réorganisation stratégique de grande ampleur chez Intel, destinée à enrayer plusieurs trimestres consécutifs de pertes et à mieux repositionner l’entreprise sur le marché des semi-conducteurs, qu’il s’agisse de sa branche produits, ou de ses activités de fondeur.

Intel s’est pour mémoire offert Altera pour 16,7 milliards de dollars. L’activité FPGA avait alors été absorbée au sein d’une division plus large nommée PSG (Programmable Solutions Group). En mars 2024, Intel avait acté l’échec de cette intégration, en redonnant à Altera un statut de filiale, pour lui conférer une forme d’indépendance opérationnelle.

Le loueur de voiture, qui dispose aussi des marques Dollar et Thrifty a publié un bulletin de sécurité. Il y est question d’un événement « impliquant Cleo Communications US, un fournisseur de Hertz, susceptible d’avoir eu un impact sur les informations personnelles de certaines personnes ».

En octobre et décembre, un pirate aurait exploité « les vulnérabilités zero-day de la plateforme Cleo » pour récupérer les données. Le 10 février 2025, « nous avons pu confirmer que les données de Hertz ont été acquises par un tiers non autorisé », explique l’entreprise.

L’analyse du loueur sur l’étendue des dégâts s’est terminée le 2 avril 2025. Conclusion : « les informations personnelles impliquées dans cet événement peuvent inclure les éléments suivants : nom, coordonnées, date de naissance, informations de permis de conduire et informations de carte de crédit. Les données de passeport d’un nombre limité de personnes ont potentiellement été exposées lors de l’incident ».

Selon TechCrunch, « Hertz a déclaré qu’au moins 3 400 clients du Maine avaient été touchés, mais n’a pas indiqué le nombre total de personnes touchées, qui est probablement beaucoup plus élevé ». Le porte-parole de la société n’a pas souhaité s’exprimer sur le sujet auprès de nos confrères, précisant simplement qu’il serait « inexact de dire que des millions » de clients sont touchés.

La société affirme que l’incident de cybersécurité a été signalé à la police et aux « autorités de régulation compétentes ». « Bien que Hertz n’ait connaissance d’aucune utilisation abusive des informations personnelles à des fins frauduleuses en rapport avec l’événement, nous encourageons les personnes susceptibles d’être concernées, à titre de bonne pratique, à rester vigilantes quant à la possibilité de fraude ou d’erreurs en examinant les relevés de compte », indique enfin le loueur.

La société franco-américaine Hugging Face met un pied supplémentaire dans la robotique… ou du moins dans la distribution de robots. Elle a en effet annoncé lundi l’acquisition de la startup bordelaise Pollen Robotics, qui conçoit et vend un robot humanoïde baptisé Reachy, avec une approche résolument open source.

« Le premier robot que nous proposons est Reachy 2, votre petit compagnon de laboratoire convivial pour l’ère de l’IA, déjà utilisé dans des laboratoires comme Cornell ou Carnegie Mellon. C’est un robot humanoïde de pointe, open source et compatible avec la réalité virtuelle, conçu pour la recherche, l’éducation et les expériences d’IA incarnée. Vous pouvez d’ores et déjà le commander pour 70 000 dollars ! », se réjouit l’acquéreur, selon qui la robotique constituera « la prochaine interface de l’IA ».

Dévoilé à l’automne 2024, Reachy 2 adopte des traits mi-Pixar, mi-Skellington, avec une tête, deux bras et un tronc rayé. Le robot ne dispose cependant pas de jambes, mais d’une base circulaire, éventuellement motorisée.

Développé à Bordeaux, par une équipe d’une trentaine de personnes, il ambitionne, selon ses créateurs interrogés par Placéco, de devenir la plateforme de référence « des entreprises qui collectent et génèrent énormément de données, pour créer des bibliothèques et des modèles d’intelligence artificielle appliquée à la robotique ».

Reachy peut désormais se targuer d’avoir convaincu l’une des premières d’entre elles. Hugging Face a de son côté investi depuis mai 2024 le champ de la robotique, avec la mise en ligne d’une plateforme dédiée, LeRobot, qui référence et donne accès à des modèles d’IA et des outils dédiés au développement d’applications robotisées.

La vérification humaine est indispensable

Les IA génératives spécialisées dans le code peuvent parfois halluciner, allant jusqu’à créer des noms de paquets. Des chercheurs montrent que les hallucinations des grands modèles de langage ont tendance à générer les mêmes faux noms de paquets. Une occasion en or pour des acteurs malintentionnés qui pourraient squatter ces noms et créer des paquets infestés.

Après, le typosquatting et à l’heure où l’IA générative est utilisée par de nombreux développeurs pour les assister dans leur création, parlons du « slopsquatting ».

Comme nous l’expliquions, le terme « slop » est depuis quelque temps utilisé pour désigner les contenus bas de gamme générés par des IA et qui inondent de plus en plus le web. Ici, le slop concerne la génération de code.

En effet, depuis l’arrivée des IA génératives utilisées comme assistante d’outils d’édition de code, on s’est rapidement aperçu qu’elles pouvaient inciter les développeurs à introduire des failles de sécurité dans leurs codes. Des chercheurs ont déjà montré que les développeurs utilisant des IA assistantes proposent des réponses moins bonnes et moins sécurisées que ceux sans assistant.

• Les IA assistantes comme Codex ou Copilot poussent-elles à introduire plus de failles de sécurité ?

L’autre vecteur d’attaque intrinsèquement lié à la génération de code

Mais, comme l’affirmait déjà à l’époque le lecteur de Next, SebGF, « l’autre vecteur d’attaque intrinsèquement lié à la génération de code par IA [est] l’hallucination ».

Parfois, un grand modèle de langage (LLM) utilisé dans des IA génératives comme Codex ou Copilot peut générer le nom d’un paquet qui n’existe pas et suggérer son utilisation dans un code, alors qu’évidemment ce n’est pas une bonne solution. C’est le développeur Seth Larson, qui travaille pour la Fondation Python Software, qui a inventé le terme de « slopsquatting » à utiliser « quand un LLM hallucine un nom de paquet inexistant, et qu’un mauvais acteur l’enregistre malicieusement. Le frère IA du typosquatting ».

Des paquets vraiment hallucinés

Des chercheurs (notamment de l’Université du Texas), ont analysé le phénomène dans un article mis en ligne sur la plateforme de prépublication arXiv.

Ils confirment dans leur article que l’hallucination de nom de paquet n’est pas un problème marginal. Ils ont testé 16 modèles de langage en générant 576 000 exemples de code produit dans deux langages informatiques (python et JavaScript). Tous ont généré des noms de paquets qui n’existaient pas. Mais avec une différence importante : les modèles d’OpenAI semblent générer beaucoup moins d’hallucinations de noms de paquets, GPT-4 Turbo étant le modèle qui en génère le moins avec 3,6 % de noms de paquets « hallucinés ». Un CodeLlama 34B Python, pourtant spécialisé, génère des faux noms de paquets dans 22 % des cas environ :

Les chercheurs expliquent dans un schéma comment des utilisateurs malveillants peuvent mettre en place l’attaque en exploitant les hallucinations des modèles de langage :

L’idée est d’abord de trouver un nom de paquet halluciné par un modèle de langage via une demande de génération de code. L’utilisateur malveillant vérifie que le paquet n’existe pas dans les dépôts connus, puis en publie un, évidemment en incluant une partie susceptible de nuire à l’utilisateur ou d’exploiter son ordinateur à des fins douteuses. Ce nouveau paquet peut ainsi être inclus dans le code d’un développeur lambda qui aura demandé à son assistant préféré de lui générer du code.

Une hallucination répétée tout le temps ou pas du tout

Pour cela, me direz-vous, il faut que le nom de paquet halluciné soit le même. Or les chercheurs constatent que certains noms de paquets hallucinés reviennent.

En testant 500 prompts de génération de code 10 fois chacun, ils ont pu voir que la plupart des noms hallucinés, soit n’étaient plus jamais hallucinés, soit l’étaient tout le temps :

On peut voir ici que si DeepSeek hallucine plus de noms de paquets que les modèles d’OpenAI, le modèle chinois a tendance à moins répéter ces noms.

Un paramètre des modèles semble en lien avec ce phénomène : la température du modèle. Plus la température est faible, plus le résultat généré est prédictible, attendu. Mais les chercheurs constatent que plus on l’augmente et plus la génération de noms de paquets inexistants arrive :

Une vérification de la supply-chain reste indispensable

Dans l’article, les chercheurs montrent aussi que les noms de paquets « hallucinés » peuvent se confondre dans un code relu rapidement car leurs noms sont assez proches de noms de paquets existants :

« Nous n’en sommes qu’au tout début de l’étude de ce problème au niveau de l’écosystème », affirme Seth Larson auprès de The Register. Notamment, il explique qu’ « il est difficile, voire impossible, de quantifier le nombre de tentatives d’installation dues aux hallucinations de LLM sans une plus grande transparence de la part des fournisseurs de LLM. Les utilisateurs de code, de paquets et d’informations générés par LLM devraient vérifier les résultats de LLM par rapport à la réalité avant de mettre ces informations en service, sinon il peut y avoir des conséquences dans le monde réel ».

C’est d’ailleurs ce que disait aussi SebGF, « rappelant que la vérification de la supply-chain reste indispensable ».

CNIL Recall ?

Saviez-vous que, parfois, le moindre de vos mouvements sur un site ou une application pouvait être enregistré et « rejoué » sous la forme d’une vidéo ? On parle de relecture de session de navigation, une catégorie d’outil que la CNIL va analyser de près (il est temps).

Sur le Net, nous sommes tous traqués. Ce n’est pas une supposition ou une question, c’est une constatation. Pour mettre des chiffres derrière cette affirmation, nous avons effectué des relevés avec environ 50 000 requêtes externes pendant une seule journée de navigation.

Si vous voulez voir l’état des dégâts, nous avons mis en ligne une extension maison baptisée DTC (pour Domaines Tiers Contactés). À utiliser sans modération. Aucune donnée n’est transmise, vous seul accédez à vos statistiques (le code source est sur GitHub).

• [Outils Next] Une extension pour traquer toutes les requêtes externes des sites

Marquage à la culotte des utilisateurs et RGPD

Mais il n’y a pas que cela, il existe aussi des outils permettant de suivre à la trace les utilisateurs… et c’est peu de le dire. On parle d’enregistrement ou de relecture (rejeu, replay…) de session, permettant de reconstituer le parcours complet d’un utilisateur, « sous forme de vidéos », explique la CNIL. Elle vient en effet de lancer une concertation « sur les outils d’enregistrement et de relecture de session de navigation ».

« Ces outils offrent à l’éditeur d’un site ou d’une application mobile la possibilité d’enregistrer l’ensemble des interactions des utilisateurs telles que les mouvements de souris, les interactions tactiles, les clics, le défilement des pages et, dans certains cas, les saisies de formulaires », précise la CNIL.

Et cela concerne aussi bien les sites web que les applications mobiles. On s’en doute, mais la Commission le formalise : cela « pose des défis importants en matière de respect du RGPD », à la fois aux éditeurs de ces outils, et à leurs clients.

Comme souvent en pareille situation, c’est l’occasion de remettre en avant un excellent dessin de CommitStrip sur le sujet :

Drôle de bots https://t.co/j7drtuLixU pic.twitter.com/gYkursxI9C

— CommitStrip FR (@CommitStrip_fr) October 21, 2020

Données personnelles (sensibles) et vie privée

Ces outils sont en effet « susceptibles d’entrainer des risques élevés pour les droits et libertés des internautes ». La CNIL met notamment en avant deux points : « la collecte d’un volume important de données de navigation incluant des données personnelles parfois sensibles, sans que les utilisateurs en aient conscience », et « la déduction d’informations sur la vie privée d’un grand nombre d’utilisateurs telles que leurs habitudes, croyances, centres d’intérêts, etc. ».

Lorsque l’on navigue un peu sur des sites de sociétés proposant ce genre de service, on se rend compte de l’ampleur de la tâche. « Normalement, les principaux outils de relecture de session sont conformes au RGPD et anonymisent leurs enregistrements de visiteur, ce qui rend difficile l’identification de qui est le visiteur », explique l’une d’elles. On apprécie le « normalement » et « rend difficile », donc pas impossible. Un exemple parmi d’autres.

Le registre est différent, mais la problématique est identique à la fonction Recall de Microsoft. Elle est depuis peu en cours de déploiement dans les préversions de Windows 11.

• Microsoft retente sa chance avec sa fonction Recall, cette fois pour de bon

Des ateliers, et la question de l’usage transversal de ces outils

En lançant cette concertation, la CNIL cible large avec la volonté d’appréhender les « enjeux juridiques, techniques mais également éthiques et sociétaux associés à ces outils ». Le but est de proposer, au cours du second semestre, des recommandations pratiques aussi bien aux développeurs des outils de rejeu qu’aux éditeurs de sites et d’applications mobiles.

Avant cela, des ateliers sont prévus d’ici fin juin afin de dresser un état des lieux des applications existantes, « d’étudier les aspects pratiques des modalités d’information et, le cas échéant, de recueil du consentement des personnes concernées », et d’aborder la question de l’usage transversal de ces outils. En effet, ils permettraient « d’accéder au parcours de navigation d’un internaute sur l’ensemble des sites web des éditeurs utilisant l’outil d’un même fournisseur ».

Proxmox est une solution permettant la gestion de la virtualisation des serveurs, permettant notamment la création de clusters de machines virtuelles et la gestion des ressources. La version 8.4, sortie il y a quelques jours, apporte plusieurs améliorations significatives.

L’une des principales est la possibilité de migrer désormais en live les machines virtuelles utilisant des Mediated Devices, c’est-à-dire des composants matériels virtualisés et utilisés par plusieurs machines en même temps. Il fallait jusqu’ici arrêter ces machines virtuelles le temps de l’opération. Seule condition à respecter, que le nœud visé dispose d’un matériel compatible et de pilotes adaptés. Un nouvel utilitaire, pve-nvidia-vgpu-helper, est aussi fourni pour simplifier la configuration de pilotes vGPU de NVIDIA.

Proxmox 8.4 propose également une nouvelle API conçue pour le développement de plugins des solutions tierces de stockage. Elle permet à ces derniers de s’interfacer complètement avec Proxmox, pour proposer les fonctions de sauvegarde et de restauration (y compris avancées) partout où c’est nécessaire. Le système de sauvegarde se veut d’ailleurs plus robuste.

Autre amélioration, le passage (passthrough) de dossiers Virtiofs, permettant le partage de fichiers et répertoires directement entre un hôte et ses machines virtuelles. Virtiofs permet de fonctionner, en autorisant les systèmes invités à accéder aux données de l’hôte, « sans la surcharge d’un système de fichiers réseau », indique le billet d’annonce. Ce dernier précise que les Linux « modernes » intègrent Virtiofs, mais qu’un logiciel dédié est nécessaire pour Windows.

Enfin, Proxmox VE 8.4 modernise ses composants, en se basant notamment sur Debian 12.10, avec un noyau 6.8.12 par défaut, avec la version 6.14 en option. Des mises à jour sont intégrées pour plusieurs composants, dont QEMU 9.2.0, LXC 6.0.0 et ZFS 2.2.7 (ce dernier avec des correctifs de compatibilité pour le noyau 6.14), ou encore Ceph Squid 19.2.1.

Le directeur de l’Immigration and Customs Enforcement (ICE) des États-Unis a déclaré vouloir s’inspirer d’Amazon Prime pour fluidifier les flux de déportations réalisées sous la présidence de Donald Trump.

Lors d’une convention sur la sécurité aux frontières, Todd Lyons, à la tête de l’institution depuis début mars, a déclaré : « nous devons devenir meilleurs à gérer ces activités comme une entreprise » rapporte l’Arizona Mirror. Il a précisé vouloir construire un processus de déportation « comme Amazon Prime, mais avec des êtres humains ».

La comparaison est faite alors même que les États-Unis se sont lancés dans des actions de déportations de masse de ce que le gouvernement qualifie de « migrants criminels » – poussant l’ONU à rappeler que le droit d’asile était « universellement reconnu ». L’administration Trump traque déjà les propos des étudiants étrangers pour révoquer leurs visas.

Parmi ces derniers, des innocents comme Kilmar Abrego García se sont retrouvés envoyés hors de tout cadre légal dans une méga prison du Salvador.

« Le fantasme de l’ICE de devenir l’ « Amazon prime des déportations » expose l’infrastructure derrière le programme de Trump », déclare la directrice de l’ONG Mijente Cinthya Rodriguez au Guardian. « Au fil du temps, l’ICE a passé des contrats avec des entreprises technologiques pour automatiser le maintien de l’ordre, en s’appuyant sur la déshumanisation des communautés immigrées. »


• Comment les technologies s’insinuent dans le contrôle des personnes réfugiées et migrantes

Deux jours après la prise de parole de Todd Lyons, Politico révélait que l’ancien PDG de la société militaire privée Blackwater – qui avait attiré l’attention au milieu des années 2000 après avoir ouvert le feu en plein Bagdad – et un groupe d’industriels de la Défense avaient proposé à la Maison-Blanche un projet de déportation de masse vers le Salvador.

Souvent Donald varie

Donald Trump a déclaré vendredi soir que les smartphones et autres appareils électroniques importés depuis la Chine seraient exemptés de droits de douane… avant de se raviser dimanche et d’annoncer que la tech, comme les semi-conducteurs, feraient bientôt l’objet d’une taxe spécifique.

Quelques semaines de répit avant un nouveau train de mesures ? Donald Trump a fait souffler le chaud et le froid tout le week-end quant à la question des droits de douane appliqués aux produits tech importés par les États-Unis depuis la Chine.

Un soulagement de courte durée

Son administration a d’abord annoncé vendredi soir que ces produits – smartphones, ordinateurs, composants électroniques, etc – seraient exonérés de droits de douane. Un mouvement particulièrement bienvenu pour le secteur de la tech et des acteurs de premier plan comme Apple ou NVIDIA, alors que les importations chinoises sont depuis peu frappées d’une taxe exceptionnelle fixée à 125 % de leurs valeurs.

La mesure a pris la forme d’une liste blanche de produits exonérés de taxes, doublée d’un memorandum signé par Donald Trump. Et sans surprise, elle a rapidement été perçue comme un signal encourageant envoyé par la Maison-Blanche à destination des marchés financiers, sur lesquels les valeurs tech sont particulièrement malmenées depuis le début de l’épisode des droits de douane dits réciproques entre les États-Unis et le reste du monde.

Le président a toutefois rapidement douché les espoirs de ceux qui espéraient un blanc-seing douanier pour les produits de la tech. « PERSONNE n’échappera à ses responsabilités quant aux déséquilibres commerciaux injustes et aux barrières tarifaires non monétaires que d’autres pays ont utilisé contre nous, et certainement pas la Chine qui, de loin, nous traite le plus mal », a écrit Donald Trump dimanche, sur son réseau social, Truth.

Dénonçant les fake news des médias, il est revenu sur les exemptions mises en place le vendredi, déclarant qu’il ne s’agissait pas d’une exception ou d’une exemption, et que les produits tech restaient frappés d’une taxe de 20 %, prononcée à l’encontre des importations chinoises en raison des efforts insuffisants prodigués par Pékin dans la lutte contre le trafic international de fentanyl.

« Nous allons examiner les semi-conducteurs et l’ENSEMBLE DE LA CHAÎNE D’APPROVISIONNEMENT ÉLECTRONIQUE dans nos prochaines enquêtes relatives aux droits de douane de sécurité nationale », a encore promis Trump.

Une taxe globale sur les semi-conducteurs et produits associés ?

En attendant, statu quo. « La confusion générale créée par ce flux constant d’informations provenant de la Maison-Blanche est vertigineuse pour le secteur et les investisseurs, et crée une incertitude et un chaos considérables pour les entreprises qui tentent de planifier leur chaîne d’approvisionnement, leurs stocks et leur demande », commente Daniel Ives de Wedbush Securities, interrogé par le Financial Times.

Howard Lutnick, secrétaire au commerce de la Maison-Blanche, a tout de même livré une explication de texte dimanche, au micro d’ABC. « Tous ces produits seront classés dans la catégorie des semi-conducteurs et des droits de douane spécifiques seront appliqués pour garantir leur relocalisation », a-t-il déclaré, évoquant une mise en œuvre d’ici un mois ou deux. L’impétuosité de Donald Trump saura-t-elle composer avec ce délai ? Rien n’est moins sûr. D’après Reuters, le président aurait l’intention de procéder à de nouvelles annonces dès la semaine prochaine…

• Droits de douane : le scénario d’un iPhone made in America est-il plausible ?

La Data Protection Commission (DPC), équivalent de la CNIL en Irlande, a annoncé ce vendredi avoir lancé une enquête contre le réseau social X. Cette procédure vise le traitement des données à caractère personnel contenues dans les messages publiés par les utilisateurs de la plateforme pour entrainer des IA génératives, et « en particulier le modèles de langage Grok ».

Comme pour de nombreux cas, la DPC agit car elle est l’autorité du pays, l’Irlande, dans lequel est basé le siège social européen de X.

« L’objectif de cette enquête est de déterminer si ces données personnelles ont été traitées légalement afin d’entrainer les LLM Grok », explique la DPC.

C’est un pas supplémentaire dans la procédure contre le réseau social. L’autorité irlandaise avait annoncé en septembre dernier que l’entreprise d’Elon Musk s’était engagée à arrêter d’entrainer Grok avec les données publiques (en clair, les tweets) de ses utilisateurs européens. À l’époque, la DPC consultait en parallèle ses homologues européens pour éclaircir les modalités légales encadrant un tel traitement.

Le logiciel Pinta, spécialisé dans la retouche et le dessin, est disponible depuis peu en version 3.0. Une mouture majeure pour cette application open source et multiplateforme, disponible aussi bien sur Linux que sur Windows et macOS. Et si son interface rappelle quelque chose aux personnes sous Windows, c’est qu’elle est inspirée du bien-aimé Paint.NET.

Cette version 3.0 apporte notamment une vaste modernisation de l’interface, surtout sous Linux. Le passage à GTK4 et libadwaita (GNOME) permet de s’aligner avec les dernières évolutions UI/UX des distributions récentes.

Au menu également, une longue liste de changements et améliorations pour les effets et filtres. Plusieurs sont nouveaux, comme Dithering, Dents, Diagramme de Voronoï, Vignette, Plume, Alignement ou encore Contour. Pinta 3.0 prend aussi en charge les gradients personnalisables dans les effets Fractale et Nuages, le choix du type de tuile ou encore le comportement des bordures dans l’effet Réflexion.

Parmi les autres apports, citons une nouvelle grille personnalisable de canevas, le support des compléments et du format .ppm, une option Sélection décalée, la possibilité d’ajuster la taille du pinceau et les paramètres de largeur de ligne, un mode rééchantillonnage du plus proche voisin, une nouvelle boite de sélection des couleurs, un bouton « Reseed » pour l’option de bruit aléatoire sur plusieurs effets, ou encore la prise en charge de préédition pour l’outil Texte.

Pinta 3.0 propose en outre des améliorations spécifiques à chaque plateforme, notamment Windows. L’application modernise ainsi sa base de code et réclame désormais .NET 8 pour fonctionner et ajoute le support de WebP. Sur macOS, l’installeur est désormais en ARM64 pour les machines Apple Silicon. L’outil « Nouvelle capture d’écran » invoque l’outil système en fonction de la plateforme : XDG sur Linux et l’outil intégré sur macOS. Ce fonctionnement n’est pas encore supporté sur Windows (qui a pourtant son propre outil).

La nouvelle version majeure peut être téléchargée depuis le site officiel ou son dépôt GitHub. Pour les personnes cherchant une alternative plus simple à GIMP, Pinta vaut certainement le coup d’œil. Il est davantage un concurrent de Krita.

En février dernier, Emmanuel Macron annonçait « 109 milliards d’euros » d’investissements, publics et privés réunis, « dans les prochaines années » se concentrant notamment sur la création de data centers.

Quatre projets pourraient s’implanter dans le Val-de-Marne et des consultations publiques commencent à être ouvertes dans le cadre de demandes d’autorisation environnementale.

Ainsi, comme l’explique Actu.fr, celui imaginé à cheval sur les communes de Sucy-en-Brie et Bonneuil-sur-Marne demande l’avis des riverains depuis le 10 mars dernier. Cette consultation prendra fin le 10 juin à minuit. Les habitants des 2 villes, mais aussi ceux de Boissy-Saint-Léger, de Limeil-Brévannes, de Saint-Maur-des-Fossés, de Chennevières-sur-Marne, d’Ormesson-sur-Marne, de Valenton, de Créteil et de Noiseau peuvent donner leur avis.

Plus récemment, Actu.fr note qu’un autre projet, situé à Rungis, a ouvert la sienne le 2 avril dernier. Celle-ci sera fermée le 3 juillet à minuit. Les habitants de cette ville mais aussi ceux de Villeneuve-le-Roi, Orly, Thiais, Chevilly-Larue et Fresnes dans le Val-de-Marne, Wissous, Paray-Vieille-Poste, Morangis, Athis-Mons et Antony ont la possibilité d’y participer.

Cette fois c’est la bonne ? Interpellée par le sénateur LR François Bonhomme mercredi, Élisabeth Borne, ministre de l’Éducation nationale, a annoncé qu’elle souhaitait que la « pause numérique » – l’interdiction pour les élèves d’utiliser leur smartphone au sein de l’établissement – soit « généralisée à tous les collèges à la prochaine rentrée ».

« Cette mesure est essentielle, à la fois en termes de bien-être et de réussite de nos élèves », a fait valoir la ministre, en rappelant que la pause numérique faisait déjà l’objet d’une expérimentation dans une centaine de collèges depuis la rentrée 2024. « Tous les retours sont très positifs, notamment sur l’amélioration du climat scolaire, ou sur le large soutien dont elle bénéficie de la part des parents et des professeurs », affirme-t-elle. À ce stade, aucun bilan officiel de l’expérimentation n’a toutefois été rendu public.

Élisabeth Borne n’a pas précisé par quel levier l’instauration de cette interdiction deviendrait effective à l’échelle nationale. La loi prévoit en effet depuis 2018 l’interdiction du portable à l’école et au collège, mais elle n’a jamais été appliquée.

« Pour la généralisation à la rentrée prochaine, je souhaite que les modalités de mise en œuvre soient laissées à l’appréciation des chefs d’établissement, en lien avec les conseils départementaux », a encore indiqué la ministre. Selon elle, les solutions retenues, « casiers » ou « pochettes », représenteraient soit un coût nul, soit une enveloppe de l’ordre de quelques milliers d’euros par établissement.

« L’interdiction porte sur l’utilisation des téléphones mobiles et de tout autre équipement terminal de communications électroniques (tablette ou montre connectée, par exemple) dans l’enceinte des écoles et des collèges », rappelle le ministère de l’Éducation nationale. La mesure suppose une modification du règlement intérieur de l’établissement, ainsi que celle de la charte des règles de civilité du collégien.

La « pause numérique » et son test initié à la rentrée 2024 font suite à la remise d’un rapport chargé d’évaluer l’impact de l’exposition des jeunes aux écrans, commandité par le président de la République. Publié le 30 avril 2024, il suggérait, entre autres propositions, de « renforcer l’application de l’interdiction des téléphones au collège, et systématiser dans chaque lycée un cadre partagé sur la place et l’usage des téléphones dans la vie de l’établissement ».

La plateforme d’e-commerce d’origine chinoise pourrait écoper d’une amende de 150 millions d’euros pour sa mauvaise politique de gestion des cookies si la CNIL suit les préconisations faites dans un rapport interne. Ce montant serait important, mais il est à rapporter aux 3 milliards d’euros qu’auraient dépensés les français chez Shein ces 12 derniers mois.

Shein fait l’objet d’une enquête de la CNIL et pourrait se voir infliger une amende importante par l’autorité. Alors que celle-ci a effectué plusieurs contrôles de la plateforme d’e-commerce en aout 2023, un rapport interne conclurait, selon l’Informé, à la préconisation, en l’état, d’une sanction de 150 millions d’euros et d’une astreinte quotidienne de 100 000 euros. Le rapport viserait « une gestion des cookies non conforme à la législation en vigueur ».

Des dizaines de cookies déposés avant même l’affichage du bandeau de consentement

Le rapport reprocherait à Shein.com le dépôt de plusieurs dizaines de traqueurs avant même l’affichage du bandeau de consentement des cookies, de cookies après refus et le flou des informations données lors de la demande de consentement.

Ce document ne reflète pas la décision définitive de la CNIL et l’entreprise peut encore plaider sa cause devant l’autorité avant que celle-ci prenne sa décision. L’entreprise affirme avoir « transmis sa réponse et poursuit sa pleine coopération avec la CNIL ». Elle ajoute : « Depuis août 2023, nous avons un échange actif avec la CNIL afin de garantir notre conformité et de répondre de manière rigoureuse à ses attentes. Le rapport s’inscrit dans le cadre de ce dialogue en cours. Nous sommes pleinement mobilisés pour renforcer la confiance de nos parties prenantes et des autorités de régulation. »

Rappelons que ce n’est pas le seul sujet sur lequel Shein a des problèmes. L’UE a ouvert en février une enquête, car elle la soupçonne de non-respect des règles de protection des consommateurs.

• L’étau européen se resserre autour de Shein et Temu

L’Europe prévoyait de faire des modifications structurelles des règles douanières de l’Union.

Des plateformes d’e-commerce chinoises difficiles à gérer suite à la guerre commerciale lancée par Donald Trump

Mais suite au déclenchement de la guerre commerciale lancée par Donald Trump, elle pourrait aussi prendre des mesures d’urgence. En effet, l’Europe pourrait devenir un marché plus important pour Shein, suite aux droits de douane infligés par les États-Unis aux imports chinois. Shein et Temu ont écoulé 46 milliards de dollars de produits aux États-Unis en 2024, selon la banque Nomura, explique Le Parisien.

Du côté français, selon l’entreprise d’étude de marché Circana citée par les Echos, les internautes ont dépensé 3 milliards d’euros chez Shein et 1,8 milliard chez Temu lors des douze derniers mois.

Les plateformes ne viseraient pas la submersion de l’Europe par des produits envoyés jusqu’ici aux États-Unis. Elles chercheraient cependant à profiter du besoin en débouchés des industriels chinois, qui pourraient se retrouver avec de larges stocks d’invendus, au risque de devoir baisser leurs prix. « Les plateformes pourraient tirer profit de cette situation, non pas pour baisser leurs prix qui sont déjà bas, mais pour reconstituer leurs marges et investir dans le marketing et le lobbying pour consolider leur place en Europe face aux menaces réglementaires et douanières », affirme le consultant commerce et consommation Frédéric Boublil à nos confrères.

La Commission européenne s’inquiète de voir une augmentation soudaine de ces achats sur les plateformes chinoises. Mais elle est tiraillée entre le choix de réagir directement sur le sujet ou de prendre le sujet des imports chinois dans sa globalité, selon les Echos.

Bruit intérieur

Apple a lancé récemment en Europe toute sa panoplie de services dopés à l’IA. Le bouquet, nommé Apple Intelligence (pour jouer avec l’appellation « AI »), a cependant du mal à déclencher réellement l’enthousiasme. La situation de Siri est pire : une promesse non tenue. En interne, malgré les remaniements, il n’y aurait pas de panique.

L’intelligence artificielle a eu chez Apple un départ tardif. Alors que le monde s’enflammait déjà pour l’IA générative, aucune annonce ne provenait de Cupertino. La firme est pourtant scrutée de près, notamment pour les nouveaux usages : sa manière de faire est soigneusement étudiée, tout auréolée par sa réputation de réfléchir posément avant tout lancement de produit ou intégration d’une technologie.

Vitesse et précipitation

Pourtant, tout ce qui touche à l’IA semble avoir été fait dans la précipitation chez Apple. Le constat est manifeste : une présentation très soignée en juin 2024 durant la présentation d’iOS 18 et macOS 15, mais rien à l’arrivée des versions finales pour les deux systèmes. Il a fallu attendre les révisions « .1 » pour les premières fonctions, et uniquement aux États-Unis. Les versions .2 et .3 ont enrichi progressivement la dotation, jusqu’à ce qu’iOS 18.4 et macOS 15.4 cochent toutes les cases. Elles ont donné le top départ en Europe également, où les utilisateurs ont reçu la totalité des fonctions annoncées.

• Apple Intelligence : tous les services disponibles en Europe

Toutes ? Non, car une fonction a résisté : Siri. La démonstration faite en juin dernier, puis alimentée par une publicité dans les mois suivants, avait donné de grands espoirs. Après tout, si l’IA montre constamment son potentiel sur des actions précises et rébarbatives, on cherche encore l’assistant pratique au quotidien, capable de réagir sur tout ce qui se passe au sein du système. C’est pourtant ce qu’annonçait Apple pour son nouveau « Siri conversationnel ».

Autre signe de précipitation : la compatibilité très limitée d’Apple Intelligence à son annonce. Côté téléphone, seul l’iPhone 15 Pro pouvait le prendre en charge, depuis rejoint par la gamme 16 (y compris le 16e lancé récemment). Pour les iPad et les Mac, et en simplifiant un peu, il faut une puce M. Pourquoi ces configurations ? En dehors de la puissance minimale des puces, surtout pour des questions de mémoire vive : Apple Intelligence réclame au moins 8 Go. La firme payait sa pingrerie des dernières années, en promouvant activement des services que peu de personnes pouvaient utiliser.

• Apple Intelligence : la mémoire vive comme facteur limitant ?

Perte de crédibilité

Le temps qu’Apple présente ses fonctions et les rende réellement disponibles, le monde avait déjà changé. Tous les outils présents ont déjà un air dépassé, surtout quand on compare les performances des modèles récents – notamment Gemini 2.5 Pro pour le texte, GPT-4o pour les images – à ce qu’Apple propose. Pour l’instant, la seule ouverture proposée est vers ChatGPT, mais on s’attend à ce que d’autres soient annoncées à la WWDC en juin.

Le vrai problème d’Apple, c’est Siri. La firme a présenté ce qui ressemblait à l’assistant « intelligent » que tout le monde (ou presque) pourrait rêver d’avoir. Mais cette annonce ne reposait sur rien. Au point qu’aux États-Unis, un recours collectif a été déposé devant un tribunal californien pour publicité mensongère. Surréaction ? Pas selon les plaignants, qui déclarent s’être basés sur les annonces et la publicité d’Apple pour renouveler leur matériel et être sûrs d’avoir la fonction quand elle serait disponible. Mais elle ne l’est pas.

Le mois de mars aura été calamiteux pour Apple. Au début du mois, les premières rumeurs insistantes sont apparues sur un calendrier largement revu et un nouveau Siri très en retard. Mark Gurman (Bloomberg), souvent très bien renseigné sur les activités de la pomme, indiquait alors qu’il faudrait attendre au minimum iOS 19 à l’automne 2026, voire iOS 20 en 2027. Environ deux semaines plus tard, il remettait le couvert, critiquant cette fois ouvertement l’entreprise pour n’avoir pas su mener sa barque. Selon lui, soit l’entreprise croyait y arriver et avait gravement sous-estimé l’ampleur des travaux, soit elle savait qu’elle n’y arriverait pas et avait menti. « Vaporware » : le mot est lâché.

Très en retard ou seulement en retard ?

Selon un article du New York Times publié ce matin, Apple prévoirait bien un lancement du nouveau Siri pour cet automne. Il arriverait donc dans le sillage d’iOS 19, pour lequel les rumeurs évoquent un vaste renouvellement de l’interface, basé sur les travaux de visionOS. Par « automne », on peut entendre la version finale d’iOS 19 ou l’une des premières mises à jour intermédiaires (iOS 19.1, 19.2…).

Le New York Times dit avoir discuté avec trois personnes « ayant connaissance de ces projets ». Selon elles, certains dirigeants « ne pensent pas que ce retard soit un problème parce qu’aucun des rivaux d’Apple, comme Google et Meta, n’a encore compris ce qu’est l’IA ». Apple estimerait en interne qu’il reste du temps pour « bien faire les choses ».

À condition d’en avoir les moyens. L’article relève ainsi plusieurs problèmes importants. D’une part, le manque de GPU modernes et performants. Apple aurait entrainé ses modèles IA sur du matériel âgé de plus de cinq ans et en quantité limitée (50 000).

Des luttes intestines auraient miné le développement

Tim Cook, CEO de l’entreprise, aurait approuvé le doublement du budget de l’équipe concernée, mais le feu vert aurait été stoppé par Luca Maestri, directeur financier de l’entreprise. Instruction aurait alors été donnée de travailler sur l’efficacité. Le manque de GPU aurait toutefois poussé l’équipe à négocier de la puissance de calcul auprès de Google et Amazon, Apple éprouvant également des difficultés à se procurer des GPU NVIDIA, dont la demande a explosé.

D’autre part, les querelles internes auraient durement impacté le cycle de développement des produits. Le New York Times évoque en particulier une guerre entre Robby Walker, qui supervisait Siri, et Sébastien Marineau-Mes, un cadre supérieur de l’équipe logicielle, pour obtenir la gestion de certains projets.

Enfin, Apple aurait tout simplement les mêmes problèmes que n’importe quelle autre grande entreprise, dont la fuite des talents. Le management ferait face à des équipes composées d’anciens cadres et de jeunes recrues. Pour ne rien arranger, les sources du new York Times ont évoqué un Tim Cook hésitant à « donner des directives claires et directes sur le développement des produits ». Le New York Times n’est d’ailleurs pas le seul à relater les déboires d’Apple. Hier, The Information revenait lui aussi sur la manière dont Apple avait « raté la transformation de l’IA de Siri ».

Après le plan de départs volontaires révélé fin janvier, Google prend des mesures plus contraignantes pour réduire les effectifs au sein de sa division Platforms & Devices. The Information révèle en effet que plusieurs centaines de licenciements ont été réalisés, sans donner plus de détails quant à la nature des postes ou des équipes concernés.

« Depuis que nous avons combiné les équipes des plateformes et des appareils l’année dernière, nous nous sommes attachés à devenir plus agiles et à fonctionner plus efficacement, ce qui a impliqué de procéder à quelques suppressions d’emplois en plus du programme de départ volontaire que nous avons proposé en janvier », a reconnu un porte-parole de Google, cité par The Information.

Créée en avril 2024, Platforms & Devices rassemble au sein d’une seule et même division l’ensemble des équipes chargées des produits liés à Android (y compris ses variantes pour Auto, TV, Wear et XR), Chrome, ChromeOS, Google Photos, Google One, Pixel, Fitbit et Nest. Un an plus tard, le rapprochement se traduit donc par un effort de rationalisation.

Bien, mais peut mieux faire

La réponse collective est-elle à la hauteur des risques soulevés par les récents sabotages de câbles sous-marins en mer Baltique ? Les principaux opérateurs européens appellent la Commission européenne, le Royaume Uni et l’OTAN à mettre en place une gouvernance, une surveillance et des protections adaptées à ces infrastructures critiques.

Un seul câble vous manque et tout est dépeuplé. Quelques mois après les ruptures de câbles qui ont défrayé la chronique en mer Baltique et en mer du Nord, les opérateurs montent au créneau. Jeudi, ils ont interpellé l’Europe, l’OTAN et le Royaume-Uni, dans une lettre ouverte qui appelle à considérer plus sérieusement les enjeux associés aux câbles sous-marins, mais aussi à les associer plus étroitement aux politiques à venir.

Une coopération étendue

« Nous exhortons les décideurs de l’UE/EEE, du Royaume-Uni et de l’OTAN à collaborer étroitement avec les acteurs du secteur (…). Des approches harmonisées doivent être élaborées pour l’écosystème des câbles sous-marins, visant à aligner les objectifs de sécurité sur la faisabilité opérationnelle et sur un modèle économique viable », appellent les signataires. Au nombre de neuf, ils sont opérateurs télécoms (Orange, Vodafone, Telefonica, Proximus Global, Telenor), opérateurs de câbles sous-marins (Alcatel Submarine Networks, Sparkle) ou équipementiers (NKT).

Pour garantir plus efficacement la sécurité des câbles, il conviendrait selon eux de favoriser l’échange d’informations et de renseignements, mais aussi de mettre en place des initiatives croisées en matière de surveillance et de contrôle des infrastructures, en impliquant « toutes les parties prenantes concernées pour rechercher des solutions collectives et durables ».

Ils demandent enfin que cette logique de coopération soit soutenue par des fonds. « Il est essentiel d’investir dans des technologies de pointe pour détecter et diminuer les dommages causés aux câbles sous-marins. Ces efforts devraient être soutenus par des instruments de financement tels que le MIE ou le Fonds européen de la défense ».

Un plan européen déjà sur les rails

Le Mécanisme pour l’interconnexion en Europe (MIE), également appelé Connecting Europe Facility (CEF) est pour mémoire le dispositif par l’intermédiaire duquel la Commission européenne soutient l’investissement dans les projets d’infrastructure, qu’il s’agisse de transport, d’énergie ou de numérique.

Or l’exécutif européen a déjà prévu de mobiliser le MIE au profit des câbles sous-marins. Le sujet a même donné lieu à la création d’un plan dédié, le « EU Action Plan on Cable Security », présenté officiellement le 21 février dernier, et d’ores et déjà doté de crédits prévisionnels.

La Commission européenne envisage ainsi de consacrer 540 millions d’euros entre 2025 et 2027 à des projets d’infrastructures numériques, « en donnant la priorité aux projets de câbles stratégiques d’intérêt européen ».

Entre autres mesures associées, elle affiche par ailleurs la volonté de renforcer les exigences de sécurité et les analyses de risques, privilégier le déploiement de câbles dits intelligents (dotés par exemple de capteurs permettant d’identifier plus rapidement l’emplacement d’une coupure) et améliorer les capacités de réponse après incident. Elle affiche enfin la volonté, plus politique cette fois, de mettre en œuvre des sanctions et des mesures diplomatiques « à l’encontre des acteurs hostiles et de la « flotte fantôme » », en coordination avec les États membres, et en « conjuguant » ses efforts à ceux de l’OTAN.

• Sabotage de câbles en Baltique : sur les traces de la « flotte fantôme » russe

Une réponse nécessaire… mais pas suffisante ?

Bien, mais peut mieux faire, commentent en substance les opérateurs. « Les instruments des autorités britanniques et de l’OTAN pourraient renforcer la dynamique s’ils étaient coordonnés efficacement », font-ils par exemple valoir, avant de souligner que les enjeux exigent une politique d’investissement nettement plus soutenue.

« Il est donc primordial de confirmer et d’augmenter le budget alloué au numérique, y compris le MIE, dans le futur cadre financier pluriannuel, déclarent les signataires. Parallèlement, le développement de voies supplémentaires, terrestres et sous-marines, renforcera la redondance et réduira la vulnérabilité aux points de défaillance uniques. Ces aspects de résilience devraient être renforcés dans les objectifs du MIE. »

En novembre dernier, deux câbles, reliant respectivement la Lituanie à la Suède et la Finlande à l’Allemagne, avaient subi des avaries. Le ministre de la Défense allemand avait qualifié l’acte de « sabotage ». Le 25 décembre 2024, le câble électrique EstLink 2 et quatre câbles de télécommunications reliant la Finlande et l’Estonie avaient aussi été endommagés. Fin janvier, une nouvelle coupure est intervenue en mer Baltique dans les eaux territoriales suédoises.

• [Dossier] Internet, mode d’emploi : fibres optiques et câbles sous-marins (partie 6)