McCarthyism all over again (but make it international)

D’un vice-président transformé en podcasteur à une eurodéputée harcelée, l’assassinat de Charlie Kirk alimente autant la violence ultra-conservatrice aux États-Unis que les thèses extrême-droitières de ce côté-ci de l’Atlantique.

Animation du « Charlie Kirk Show » par le vice-président des États-Unis J.D. Vance, menaces de mort contre l’eurodéputée Nathalie Loiseau après que celle-ci s’est opposée à la tenue d’une minute de silence au Parlement européen… Aux États-Unis comme en Europe, l’assassinat de l’activiste d’extrême-droite Charlie Kirk à l’université de Utah Valley, le 10 septembre, crée des remous numériques et politiques d’une rare ampleur.

Dans les heures qui ont suivi l’assassinat par balle de Charlie Kirk, 31 ans, Donald Trump avait déjà donné le ton. Sur son réseau Truth Social, le président des États-Unis avait écrit : « Personne ne comprenait mieux la jeunesse des États-Unis d’Amérique que Charlie ». Quelques jours plus tard, Donald Trump accusait la « gauche radicale » d’avoir contribué à son décès. Mais un nouveau seuil vient d’être franchi, tant sur le fond que dans la forme, avec la récente performance de J.D. Vance.


Depuis la Maison Blanche, le vice-président des États-Unis a pris le micro pour animer un épisode du « Charlie Kirk show », en mémoire de cet ami proche, dont il a accompagné le cercueil vers Phoenix, jeudi dernier. Installé dans l’Eisenhower executive office, J.D. Vance a multiplié les références bibliques et ouvertement nommé des ennemis, en l’occurrence les « gens de gauche », mais aussi les « antifas » (antifascistes), qu’il souhaite désigner comme organisation terroriste quand bien même il s’agit de groupuscules éclatés plutôt que d’un groupe défini.

À ses côtés, le communicant et icône des suprémacistes blancs Stephen Miller a renchéri, se déclarant prêt à poursuivre les organisations de gauche pour terrorisme et ciblant des catégories professionnelles entières, employés fédéraux, infirmières, professeurs. Les deux hommes ont globalement rangé dans une même catégorie rejet des idées de Kirk, mauvais goût propre à toute une sous-culture numérique, et incitation au meurtre.

Égérie de la droite « la plus radicale » 

Mais qui était Charlie Kirk ? Quand bien même l’homme gravitait dans les cercles de Donald Trump et J.D. Vance, il n’était, en réalité, pas connu de toute la jeunesse des États-Unis. Son public était plutôt composé d’une population républicaine, pro-MAGA, et proche de l’extrême-droite américaine, souligne le chercheur associé à l’IRIS Romuald Sciora auprès de RFI.

En 2012, alors âgé de 18 ans, le garçon avait créé l’ONG Turning Point, un projet dédié à diffuser des idées conservatrices dans les universités à tendances progressistes. Créé pour promouvoir « les principes de la responsabilité fiscale, des marchés libres et d’un gouvernement limité » auprès des plus jeunes, le projet compte désormais des émanations dans plus de 850 établissements d’enseignement supérieur.

L’une des marques de fabrique de Kirk, aussi visible sur ses réseaux sociaux qu’audible dans son podcast quotidien, consistait à débattre avec des étudiants sur des sujets comme le changement climatique, les valeurs familiales ou les armes, à la possession desquelles lui-même se déclarait favorable.

« Égérie de la droite la plus radicale », pour reprendre les mots de Romuald Sciora, Kirk cultivait publiquement, aux côtés de sa femme Erika Kirk, son christianisme évangélique. Militant anti-avortement, il a par ailleurs participé à l’affrètement de bus pour attaquer le Congrès des États-Unis, en janvier 2021.

Des memes internet sur les balles de l’assassin

Les idées défendues par Charlie Kirk ont fait de sa mort un nouveau foyer de la radicalisation politique qui traverse les États-Unis. Dans les heures qui ont suivi le coup de feu fatal, rumeurs et hypothèses sur les motivations de l’assassin se sont répandues en ligne bien plus vite et probablement bien plus loin que les faits, alimentée par des personnalités aussi en vue – politiquement et algorithmiquement – qu’Elon Musk. Avant même que le décès de l’activiste ne soit confirmé, celui-ci a déclaré : « la gauche est le parti du meurtre ».

En ligne et dans les médias, plusieurs thèses ont été étudiées pour comprendre le geste du tueur, à commencer par celles d’un supposé soutien aux droits des personnes LGBT ou d’une appartenance à une mouvance d’extrême-gauche. L’hypothèse s’appuyait sur les phrases retrouvées gravées sur les balles, tirées ou non, du tueur.

Ces dernières sont, en réalité, difficiles à analyser sans se plonger dans divers pans de la culture web – régulièrement présents dans les épisodes meurtriers des dernières années, de l’attentat de Christchurch diffusé en ligne à l’assassinat du CEO de UnitedHealthcare Brian Thompson, pour lequel Luigi Mangione, dont le procès s’ouvrira en décembre, aurait gravé « deny », « defend » et « depose » sur ses balles.

Press conference announces that the shooter's bullets said: Fired bullet: "Notices bulges owo whats this?" Other unfired cases: "hey fascist! Catch! Uparrow, right arrow, three downarrow" "O bella ciao, bella ciao, ciao, ciao" "If you read this you are gay lmao"

[image or embed]

— Erin Reed (@erininthemorning.com) 12 septembre 2025 à 16:11

Dans le cas des munitions utilisées pour tuer Charlie Kirk, la citation « Oh bella ciao, bella ciao, bella ciao ! », par exemple, peut certes être lue comme une référence au chant italien antifasciste de la Seconde Guerre mondiale, mais elle est depuis passés dans la pop culture, notamment via son usage récurrent dans la série Netflix La Casa de Papel.

Le morceau a même été intégré à une playlist partagée par le groupe d’extrême-droite Groypers, qui revendique un nationalisme chrétien et est mené par le militant suprémaciste, antisémite et masculiniste Nick Fuentes. Ce dernier s’en est régulièrement pris à Charlie Kirk et à tout autre soutien de Donald Trump qu’il jugeait trop modéré, mais il conteste toute association de sa personne ou de son groupe avec le meurtre.

La phrase « Hey, fascist! Catch! ↑ → ↓↓↓ », de son côté, inclut la suite de symboles nécessaires pour exécuter l’un des coups spéciaux « les plus destructeurs » du jeu Helldivers 2, relève Polygon. Outre le fait d’être clairement homophobe, une autre phrase, « if you read this you are gay LMAO » relève de son côté des logiques de piégeage et d’autres trolling en ligne, à la manière des rickrolls, ces liens qui renvoient les internautes inattentifs vers la vidéo de la chanson « Never Gonna Give You Up ».

De la thèse de l’assassin de gauche à la chasse aux critiques de Kirk

Interpellé 33 heures après les faits, le tireur de 22 ans, Tyler Robinson, est en réalité loin d’avoir le profil du militant d’extrême-gauche, supposément démocrate et/ou défenseur des droits des personnes LGBT décrit par les ténors du camp conservateur.

Élevé dans une famille de la classe moyenne blanche et conservatrice des États-Unis, comme le décrit Le Monde, Robinson est le fils d’un couple encarté au parti républicain et a grandi avec deux frères et sœurs dans la banlieue de Saint George, une ville essentiellement conservatrice. Peu disert sur les questions politiques, il avait en revanche déjà exprimé sa détestation de Charlie Kirk.

Tyler Robinson n’est lui-même affilié à aucun parti. Plusieurs analystes soulignent sa fréquentation d’espaces profondément nihilistes et violents du web, évoquant sa potentielle proximité avec une mouvance émergente de terrorisme « dépourvu de la dimension politique ou idéologique qui anime les attaques extrémistes classiques », comme le détaille l’Institute for Strategic Dialogue. D’autres soulignent néanmoins la percolation entre ces tendances apparemment dépourvues de projets politiques et d’autres espaces numériques aux thématiques néonazies bien identifiées, dont le mouvement Terrorgram.

• Terrorgram, la fabrique de terroristes d’extrême-droite, à coups de mèmes et de shitposts

D’anciens opposants à Charlie Kirk utilisent d’ailleurs déjà sa mort pour tenter de radicaliser toujours plus d’internautes, relève Wired.

Violences accrues et instrumentalisation jusqu’en Europe

Loin de conduire à la moindre évolution des discours, l’interpellation de Tyler Robinson n’a été suivie que par une surenchère de violences de la part du camp conservateur états-unien. Alors que la défense de la liberté d’expression était brandie par plusieurs d’entre eux, des journalistes et divers autres internautes ayant critiqué les positions de Charlie Kirk ou s’étant exprimé sur sa mort – dans certains cas pour la célébrer – se sont retrouvés licenciés, après que des activistes d’extrême-droite se sont coordonnés pour les repérer et les dénoncer à leurs employeurs.

En parallèle, plusieurs universités historiquement noires ont reçu des menaces terroristes, les obligeant à organiser des confinements. De même, alors qu’un néo-nazi de 19 ans a été arrêté pour avoir menacé de perpétrer un « assassinat de masse » de minorités, plusieurs représentants démocrates ont reçu des menaces ou été obligés de suspendre leurs activités après des alertes à la bombe.

Alimenté par l’accès simplifié aux armes à feu et la promotion de contenus extrêmes par les réseaux sociaux, l’épisode pourrait ouvrir aux États-Unis un épisode de violences politiques plus grave encore que celui des années 1960, pendant lesquelles John F. Kennedy et Marthin Luther King avaient été assassinés.

En Europe, divers appels à honorer la mémoire du militant d’extrême-droite ont été formulés, dans un étonnant deux poids deux mesures pour qui compare la réception de ce drame à celle de l’assassinat de Melissa Hortman. Représentante démocrate à la Chambre du Minnesota, cette dernière a été abattue avec son mari et son chien, chez elle, le 14 juin 2025, par un militant anti-avortement.

Précisant que la mort de Charlie Kirk était un « crime odieux », l’eurodéputée Renew Nathalie Loiseau n’en a pas moins refusé d’en faire une « icône », alors que ses collègues d’extrême-droite réclamaient une minute de silence au Parlement européen.

Elle indique avoir, elle aussi, reçu des menaces de mort à la suite de ce positionnement, un procédé que la chercheuse Stéphanie Lamy déchiffre comme l’aboutissement d’une opération d’astroturfing, c’est-à-dire visant à faire croire à un réel soutien populaire. Le refus de Nathalie Loiseau a en effet très rapidement été diffusé et amplifié par divers relais bien identifiés de l’extrême droite française en ligne, avant d’être repris par des médias de la sphère Bolloré.

Tout le monde sous Vista et on n'en parle plus

L’association Halte à l’obsolescence programmée (HOP), l’UFC-Que Choisir et 20 autres organisations ou entreprises lancent un appel à pétition autour de la question de la fin programmée du support de Windows 10. Si leur texte s’adresse en premier lieu à Microsoft, à qui sont réclamés cinq ans supplémentaires de mises à jour, il vise aussi et surtout à sensibiliser l’opinion publique à une possible réponse réglementaire.

À un mois de l’échéance, est-il encore vraiment temps de tirer la sonnette d’alarme ? C’est a priori l’avis des 22 cosignataires d’une pétition baptisée « Non à la taxe Windows », officiellement lancée mardi 16 septembre, pour appeler au maintien des mises à jour de sécurité non payantes de Windows 10 jusqu’en 2030.

Le texte rappelle la fin programmée du support de Windows 10 (sorti pour mémoire en juillet 2015), fixée depuis deux ans au 14 octobre 2025. Une date régulièrement rappelée par l’éditeur, qui en profite pour inciter les utilisateurs à passer vers la dernière version en date de son environnement, et invite ceux dont la machine ne serait pas compatible avec les exigences de Windows 11 à renouveler leur matériel, de préférence au profit d’une machine compatible avec les fonctions d’IA Copilot+.

Paie, passe à la caisse ou tremble ?

À défaut, l’éditeur prévoit des options, payantes ou assorties de certaines obligations d’usage de ses produits, pour prolonger de un à trois ans le support de Windows 10. Une possibilité d’extension que les signataires voient comme un argument à charge pour dénoncer le « hold-up numérique » dont se rendrait coupable Microsoft. Puisque des mises à jour seront distribuées aux souscripteurs de ces options, pourquoi ne pas en faire profiter l’ensemble du parc Windows 10 ?

Les auteurs de la pétition reprennent à leur compte le chiffre, largement repris dans les médias, selon lequel 400 millions de machines dans le monde seraient condamnées à une forme d’impasse, avec d’un côté le renouvellement forcé (et donc la mise au rebut) et de l’autre la perspective de continuer à fonctionner avec une sécurité dégradée faute de correctifs.

À l’appui de leur appel, les 22 premiers cosignataires joignent quelques chiffres censés donner la mesure de l’impact attendu, que ce soit sur le climat ou en termes financiers. « 400 millions d’ordinateurs remplacés, cela représente plus de 70 millions de tonnes de gaz à effet de serre, et l’équivalent du poids de près de 32 000 tours Eiffel de matières premières extraites », écrivent-ils.

L’option permettant de prolonger le support est quant à elle présentée comme une « taxe Windows » dont l’enveloppe pourrait représenter 10,4 milliards d’euros, si l’on compte que 400 millions de machines souscrivent la formule à 30 dollars (soit 26 euros environ) pour un an, et ramènent le chiffre à l’équivalent de 481 000 années de SMIC pour le rendre plus impressionnant. La réalité sera certainement plus nuancée, mais la réalité des cycles de renouvellement en entreprise fait que des millions de machines souscriront probablement le programme ESU (Extended Security Updates), générant de ce fait une manne de revenus pour Microsoft.

Imposer 15 ans de mises à jour par la loi ?

De façon plus concrète, la pétition livre quelques exemples chiffrés, mais anonymes, des conséquences financières attendues dans le secteur public. « HOP a par exemple reçu le témoignage d’un département d’1,3 million d’habitants, pour lequel le remplacement du matériel est estimé à 1,1 million d’euros, dont un surcoût imprévu de 550 000 €. Une entreprise de service public, qui compte payer les extensions de mise à jour pour ses 48 000 postes incompatibles, devra faire face pour la première année seulement à un coût d’environ 2,5 millions d’euros. », expliquent les signataires dans un dossier de presse (PDF).

Et les auteurs d’appeler à médiatiser un maximum le sujet : « Le cas Windows 10 illustre un modèle économique où les grands acteurs du numérique : Profitent de leur position dominante pour imposer de nouvelles rentes. Font peser le coût de leur stratégie sur les ménages, les services publics et l’environnement. Dissimulent derrière un discours technologique des impacts environnementaux ».

En réponse, les instigateurs de la démarche expliquent se réunir sous la coordination de HOP, et joindre leur voix à celle de la coalition européenne Right to repair pour demander la fin de ces pratiques d’obsolescence logicielle.

« Plus généralement, nous défendons l’encadrement légal des pratiques, afin d’assurer la mise à disposition gratuite et sans contrepartie des mises à jour logicielles pendant au moins 15 ans, ainsi que l’obligation d’information des utilisateur·ices sur le passage à un système d’exploitation libre. »

Le rappel est effectivement de circonstance : si la décision de Microsoft place les utilisateurs de Windows 10 face à une forme de mur, des alternatives existent, de Linux Mint à GLF OS en passant par tous les autres grands (ou moins grands) noms de la scène du logiciel libre. Reste à savoir si l’éditeur de Redmond finira par faire les frais de ce passage en force.

La pétition, qui comptait 330 signatures lundi soir avant sa médiatisation, réunissait quelque 4 300 noms mardi à 16h30.

Intelligence pas très artificielle

Plus de 200 personnes qui évaluaient et modéraient les résultats des modèles d’IA générative de Google ont été licenciées alors qu’elles se battaient pour obtenir de meilleures conditions de travail et des augmentations de salaires. Le conflit se passe chez les sous-traitants de Google (notamment chez GlobalLogic, filiale d’Hitachi) qui ont pour tâche de filtrer les résultats erronés.

Depuis l’avènement des modèles de langage et de leur utilisation dans tous les produits d’IA générative, les entreprises comme Google ont redoublé le recours à la sous-traitance du travail de la donnée, que ça soit dans des pays comme le Venezuela, le Kenya, le Brésil, Madagascar où la France, avec des situations bien différentes. Ce système maintient « les dépendances économiques historiques et génère des inégalités qui s’ajoutent à celles héritées du passé », exposent les sociologues Antonio Casilli, Paola Tubaro, Maxime Cornet, Clément Le Ludec, Juana Torres-Cierpe et Matheus Viana Braz.

Après avoir utilisé des « travailleurs du clic », les entreprises d’IA génératives ont cherché à faire appel à des « experts » susceptibles, théoriquement, de mieux évaluer les réponses de leurs modèles qui hallucinent et génèrent toujours des réponses problématiques et ainsi améliorer les réponses des produits boostés à l’IA générative comme AI Overviews.

• IA : les « travailleurs du clic » à bas coûts sont eux-mêmes remplacés par des « experts »

Ainsi, des entreprises comme TuringAI ou Toloka se sont lancées dans ce marché. Du côté de chez Google, c’est essentiellement GlobalLogic qui fournit cette main d’œuvre depuis 2023. Filiale d’Hitachi, cette entreprise a embauché des évaluateurs qui doivent noter et modérer des contenus créés par les modèles de Google. Mais, comme l’explique le Guardian, ces travailleurs se plaignent de pressions énormes, d’exposition à des contenus violents et de salaires peu élevés.

Des experts payés au lance-pierre pour évaluer des contenus parfois très violents sans en être informés

Contactés sur LinkedIn et recrutés pour leurs connaissances spécialisés et leurs diplômes de master ou même de thèse sur des postes aux intitulés vagues comme « analyste en rédaction », des enseignants et des rédacteurs techniques se retrouvent, aux États-Unis, à être payé entre 16 dollars et 21 dollars de l’heure pour ces évaluations de contenus parfois extrêmement violents ou sexuels.

« J’ai été choqué que mon travail implique de traiter des contenus aussi pénibles », explique au Guardian Rachael Sawyer, qui travaille en tant qu’ « évaluatrice généraliste » depuis mars 2024. « Non seulement parce que je n’ai reçu aucun avertissement et qu’on ne m’a jamais demandé de signer de formulaire de consentement lors de mon intégration, mais aussi parce que ni le titre ni la description du poste ne mentionnaient la modération de contenu ».

En décembre dernier, TechCrunch expliquait que les évaluateurs experts de GlobalLogic avaient reçu la consigne (venue de Google) de répondre même sur des questions se trouvant en dehors de leur champ de compétence.

Des licenciements dans un contexte de conflit social

Wired raconte que l’entreprise employait depuis une dizaine d’années des évaluateurs généralistes. Et en 2023, Google a demandé à GlobalLogic d’embaucher des « super » évaluateurs pour ses IA génératives et notamment pour AI Overviews. De 25 « super » évaluateurs en 2023, l’entreprise serait montée à près de 2 000 récemment.

Mais GlobalLogic et les autres sous-traitants seraient en train de brusquement licencier leurs évaluateurs, explique Wired. 200 personnes auraient été licenciées sans préavis lors d’au moins deux vagues au mois d’août dernier.

Interrogé par Wired, Ricardo Levario, l’un des évaluateurs licenciés et ancien enseignant dans le Texas, explique que les problèmes ont commencé quand GlobalLogic a elle-même fait appel à des sous-traitants. Les super évaluateurs de GlobalLogic étaient payés entre 28 et 32 dollars de l’heure, mais ses sous-traitants payent maintenant entre 18 et 22 dollars de l’heure pour le même travail.

• Karen Hao : « Les empires de l’IA étouffent l’innovation »


Ricardo Levario raconte à Wired la construction d’un mouvement social interne à GlobalLogic notamment à travers un groupe WhatsApp après que certains aient forgé des liens sur les espaces sociaux numériques laissés à disposition par Google. Ce mouvement a notamment abouti à la création de la branche des évaluateurs d’IA au sein du syndicat de Google. En réaction, l’entreprise a interdit l’utilisation des espaces sociaux pendant les heures de travail.

Ricardo Levario a envoyé une plainte à la maison-mère Hitachi, en tant que lanceur d’alerte. Suite à cet envoi, il a été convoqué à un entretien à distance quatre jours après durant lequel il a été licencié au bout de cinq minutes.

Alors que les outils basés sur l’IA générative comme Overview montrent régulièrement leurs limites, le travail de ces évaluateurs permet néanmoins aux entreprises du secteur d’éviter les enjeux les plus problématiques et de faire croire que leurs produits sont des outils doués d’une intelligence artificielle qui ne déclament pas des horreurs à leurs utilisateurs. « En tant qu’évaluateurs, nous jouons un rôle extrêmement important, car les ingénieurs, entre le code et tout le reste, n’ont pas le temps de peaufiner le bot et d’obtenir les commentaires dont ils ont besoin », explique Alex, une évaluatrice généraliste interrogée par Wired. « Nous sommes comme les sauveteurs en mer sur la plage : nous sommes là pour veiller à ce qu’il n’arrive rien de grave ».

Sans agence, sans Looping

Au cours des derniers mois, la gestion des mises à jour de sécurité a évolué chez Google. Désormais, elle est basée sur une évaluation des risques, avec une priorité donnée aux failles présentant un risque accru. Pour le reste, la diffusion des correctifs adopte un rythme davantage trimestriel. Il semble que le changement ait été mis en place pour soulager les constructeurs.

Le changement a été révélé par Android Authority le 13 septembre et confirmé à demi-mot par Google. Nos confrères relèvent ainsi que le bulletin de juillet ne contenait aucune vulnérabilité corrigée, une rupture face aux 120 failles corrigées depuis le début de l’année. À l’inverse, le bulletin de septembre comportait des correctifs pour 119 failles à lui seul. Comment expliquer une telle différence ?

Une évaluation des risques

Google donne à présent la priorité aux failles comportant un risque élevé, qui ne tient pas uniquement compte de la criticité d’une vulnérabilité. L’entreprise ne détaille pas les critères d’évaluation, mais on peut supposer que le nombre de cibles potentielles et la facilité de mise en œuvre font partie des principaux, de même que l’existence d’une exploitation connue. Selon Android Authority, le mécanisme est nommé Risk-Based Update System, ou RBUS.

La règle est simple : si la faille présente un risque élevé, elle est publiée comme telle dans le bulletin mensuel, et si elle peut attendre, elle partira dans le bulletin trimestriel. Pour nos confrères, ce changement a été mis en place pour soulager les constructeurs intégrant Android dans leurs smartphones (OEM). Les failles à haut risque ont ainsi des chances accrues d’avoir un correctif rapidement diffusé, la diffusion des solutions étant parfois complexe à maintenir en fonction du nombre d’appareils concernés.

Toujours selon Android Authority, ce changement explique pourquoi le bulletin de juillet était vide : aucune faille à haut risque n’était répertoriée. Il explique aussi celui de septembre comptait autant de failles corrigées : elles avaient toutes été mises de côté pour le grand bulletin trimestriel.

Avantages et inconvénients

Bien que Google n’ait pas documenté ce changement, la société l’a confirmé à demi-mots à Android Authority :

« Les bulletins de sécurité Android et Pixel sont publiés tous les mois. Pour assurer la sécurité des utilisateurs, nous intégrons une sécurité puissante profondément ancrée dans les fondations d’Android. Android arrête la plupart des exploitations de vulnérabilité à la source grâce à un renforcement complet de la plate-forme, comme notre utilisation du langage Rust et des protections anti-exploitation avancées. Android et Pixel corrigent en permanence les failles de sécurité connues et donnent la priorité à la correction des vulnérabilités les plus risquées en premier »

Côté utilisateurs, rien ne change vraiment dans la plupart des cas. Les constructeurs décidant d’appliquer quand même les correctifs de sécurité tous les mois pourront continuer à le faire. Ceux souhaitant un rythme plus souple ne diffuseront alors des correctifs mensuels que si des failles à haut risque y sont présentes, et se contenteront d’une grosse mise à jour tous les trois mois dans le cas contraire.

Les avantages ne concernent a priori que les OEM, qui ont parfois du mal à tenir le rythme, selon les gammes commercialisées et le nombre de modifications faites sur la base d’Android. En leur offrant un nouveau cycle trimestriel, ils peuvent en théorie mieux préparer le terrain.

L’approche a également ses inconvénients. Retarder la publication des mises à jour peut laisser le temps à certaines failles d’être exploitées. Car les informations circulent : si des failles sont trouvées, les entreprises sont averties, de même que les équipes d’ingénieurs. Plus il y a de personnes au courant, plus le risque de fuite augmente, et avec lui la probabilité d’une exploitation.

Un système complexe

Le problème des mises à jour de sécurité sur Android est débattu depuis longtemps, avec toujours le même constat : les constructeurs doivent jouer le jeu. La pluralité des gammes et le nombre de modifications apportées à la base d’Android peuvent ralentir l’application des correctifs, car il faut mener suffisamment de tests pour s’assurer du bon fonctionnement. Plus il y a d’appareils dans les gammes, plus ce travail est conséquent.

Comme le rappelle d’ailleurs Android Authority, les entreprises ne jouent pas toutes le jeu de la même manière. Si l’on voit depuis deux ans des annonces très importantes sur la durée du support, notamment sur les Pixel et les Galaxy S de Samsung, un bon support est trop souvent dépendant de la gamme. De nombreux appareils d’entrée ou milieu de gamme ont un support limité de quelques années, les correctifs de sécurité n’arrivant pas tous les mois. C’est d’ailleurs ce qui a poussé l’Union européenne à imposer un nouveau minimum de cinq ans pour les mises à jour logiciels sur tous les nouveaux appareils.

• Smartphones, tablettes : l’étiquette énergie et l’écoconception entrent en application

Google connait bien le problème. Le projet Mainline (initié avec Android 10, mais arrivé concrètement dans les versions suivantes) a notamment été instauré pour augmenter le nombre de composants pouvant être mis à jour directement par Google Play. Mais de nombreux composants bas niveau ne peuvent être modifiés que par les constructeurs. Aussi, lorsque Google signale une faille et prépare une modification de code, celle-ci n’est pas publiée immédiatement dans AOSP (Android Open Source Project), pour que les modifications de code ne révèlent pas les détails de la brèche.

Le nouveau mécanisme ne remet pas en cause l’Android Security Bulletin mensuel. L’ASB dispose pour rappel de deux versions : une publique pour lister les failles corrigées, et une privée pour avertir les OEM un mois avant et leur laisser d’intégrer les correctifs. En revanche, certains bulletins seront parfois vides, qu’ils soient publics ou privés. Les bulletins complets seront désormais alignés sur le rythme trimestriel d’Android depuis sa dernière version 16.

Cette vidéo n'est pas sponsorisée par Nord VPN

Free annonce l’intégration, sans surcoût, d’un service VPN à ses forfaits mobile Free 5G et Série Free. Proposé sans quota et accessible aux appareils en partage de connexion, il doit permettre à terme de sélectionner son pays de sortie.

D’après l’opérateur, il s’agirait d’une première mondiale : Free a annoncé, mardi 16 septembre, l’ajout gratuit d’un service de réseau privé virtuel (VPN) à ses forfaits mobiles Free 5G et Série Free. Disponible sans surcoût, ce dernier permet donc à l’utilisateur d’activer une option permettant de router son trafic Internet sur le réseau de l’opérateur jusqu’à un point de sortie, situé pour l’instant en Italie ou aux Pays-bas. « Le choix du pays de sortie sera bientôt disponible », promet à ce sujet la filiale du groupe Iliad, sans préciser quelles seront les options possibles.

Un VPN activé en un clic pour 12 heures

Baptisé Free mVPN, le service est accessible depuis le téléphone de l’abonné, mais aussi via les appareils en partage de connexion, prend soin de souligner l’opérateur, qui revendique d’offrir gratuitement à ses abonnés un service habituellement payant, sans quota quant au volume de données échangé.

D’après Free, le service s’active « en un clic », soit depuis l’espace client sur le site de l’opérateur, soit depuis ses applications mobiles iOS ou Android (rubrique Mes options), et ce pour une durée de 12 heures « au terme de laquelle l’abonné retrouve automatiquement un accès Internet local sans avoir rien à faire ». Dans l’intervalle, la désactivation manuelle reste possible, précise l’opérateur, qui indique également que l’utilisation de Free mVPN rend « indisponibles » les MMS.

Un service opportun(iste) ?

« Un VPN, ça ne devrait pas être un luxe réservé à quelques-uns. Alors on a décidé de l’intégrer à vos forfaits, directement et sans surcoût, comme l’illimité ou la 5G. Encore une fois, Free rend du pouvoir d’achat aux Français », clame Xavier Niel dans un communiqué (PDF). L’opérateur y déclare que « plus de 40 % des Français ont déjà utilisé un VPN », alors que ce service « reste souvent payant et contraignant ».

Popularisé par des acteurs tels que Nord VPN, qui déploient d’importants budgets marketing sur YouTube ou auprès des médias financés par la publicité, le secteur des VPN connait en ce moment un regain d’intérêt dans le cadre de la polémique liée à l’accès aux sites pornographiques conditionné à un contrôle de l’âge.

En réponse aux injonctions de l’Arcom, plusieurs grands éditeurs de sites pornographiques ont mis en place ces dernières semaines des restrictions d’accès spécifiques aux internautes français, activées en fonction de l’adresse IP (et à l’efficacité largement discutable). Un forme de géo-blocage que Free propose donc de contourner « en un clic ».

Rappelons que contrairement à ce que laissent parfois entendre les articles promotionnels ou les réclames des éditeurs spécialisés, un VPN ne garantit ni anonymat, ni protection absolue contre les menaces informatiques.

• [Édito] Au pays des VPN menteurs…

En 2023, plusieurs des plus grandes maisons de disques mondiales, dont Universal Music Group et Sony Music Entertainment, attaquaient Internet Archive en visant son « Great 78 Project ».

Sur son blog, l’organisation à but non lucratif annonce qu’elle a scellé un accord avec ces maisons de disques. Le message est très bref et Internet Archive explique seulement que « les parties sont parvenues à un accord confidentiel concernant toutes les réclamations et ne feront plus aucune déclaration publique à ce sujet ».

On n’en saura donc pas plus sur la continuité du projet de mise en ligne de la numérisation de vinyls au format 78 tours publiés entre 1898 et les années 1950 qu’avait en tête Internet Archive. Les titres déjà mis en ligne peuvent toujours être écoutés, dont un « Don’t Blame Me » crachotant, interprété par Tab Smith et son orchestre.

On ne connait pas non plus l’éventuelle compensation versée par Internet Archive aux maisons de disques. Au dépôt de la plainte en 2023, on parlait de 412 millions de dollars réclamés. L’année dernière l’estimation faite par les maisons de disques était cependant montée à 621 millions de dollars.

Apple a ouvert grand les vannes lundi pour les versions 26 de toutes ses plateformes. Dans le même temps, l’entreprise a lancé de nouvelles mises à jour intermédiaires pour les moutures précédentes.

iOS/iPadOS 18.7 et macOS 15.7 ont été mis à disposition en même temps que les versions majeures hier soir. Dans l’interface de mise à jour sur iOS, cette version apparaissait même avant la mouture 26. Elles ont été publiées pour colmater une série de failles de sécurité, dont on trouve la liste sur le site d’Apple. Les correctifs concernent des composants comme CoreAudio, le noyau, libc, MobileStorageMounter, Raccourcis ou encore WebKit.

Apple a également publié des mises à jour de sécurité pour des versions plus anciennes de ses systèmes. Pour iOS/iPadOS, on trouve ainsi les versions 15.8.5 et 16.7.12. Sur Mac, les machines sous Sonoma reçoivent la 14.8.

S’agissant de correctifs de sécurité, il est conseillé d’appliquer rapidement les mises à jour, qui réclament un redémarrage.

Carl Pei, cofondateur de Nothing, a annoncé mardi avoir bouclé sa troisième levée de fonds (série C). Réalisée principalement auprès du fonds new-yorkais Tiger Global Capital, elle permet à la société, fondée en 2021 et basée à Londres, de réunir 200 millions de dollars d’argent frais, sur la base d’une valorisation fixée à 1,3 milliard de dollars.

« Cette étape importante marque le début de notre prochaine phase : passer de la seule société de smartphones indépendante à avoir émergé au cours de la dernière décennie à la construction d’une plateforme nativement IA dans laquelle le matériel et les logiciels convergent vers un seul système intelligent », déclare Carl Pei.

Quelle forme prendra cette « convergence » ? Le CEO de Nothing n’en dit rien à ce stade, mais il remarque que si le smartphone s’est largement démocratisé en 18 ans (soit à partir de 2007, année de lancement de l’iPhone), l’expérience qu’il procure n’a qu’ « à peine évolué » depuis l’avènement de l’IA générative, soit au cours des trois dernières années.

« Pour que l’IA atteigne son plein potentiel, le matériel grand public doit se réinventer avec elle. C’est l’opportunité que nous voyons pour Nothing », estime-t-il, avant de laisser imaginer un OS ultra personnalisé, qui se déclinerait de façon transverse sur une large gamme de produits connectés, des smartphones aux lunettes, robots, ou véhicules électriques…

De façon plus prosaïque, Carl Pei affirme que Nothing devrait franchir le cap du milliard de dollars de chiffre d’affaires en 2025, avec une croissance de 150 % par rapport à 2024.

Cette levée de fonds doit, dans ce contexte, permettre à l’entreprise d’accélérer sa recherche et développement, mais aussi développer sa distribution. Outre Tiger Global, le tour de table associe un investisseur indien (premier marché de Nothing), Nikhil Kamath, ainsi que Qualcomm Ventures, et plusieurs des actionnaires déjà existants (GV, Highland Europe, EQT, Latitude, I2BF et Tapestry).

Comme prévu, Apple commence la diffusion des versions finales pour ses nouvelles plateformes. Elles sont toutes estampillées 26, afin d’harmoniser les numéros entre les systèmes, Apple prenant pour référence l’année à venir. iOS passe ainsi de la version 18 à la 26.

La nouveauté la plus visible et commune à toutes les plateformes est la nouvelle interface Liquid Glass, qui a fait couler beaucoup d’encre. Apple sort de sa période « flat » sobre pour tenter l’aventure du verre plus ou moins dépoli, avec de nombreux effets liés. Liquid Glass a été largement critiquée pendant la phase bêta pour des problèmes de lisibilité et d’accessibilité, mais elle semble là pour durer. On pourrait faire un parallèle avec iOS 7 et la première incarnation du flat design chez Apple, qui avait défrayé la chronique en son temps.

iOS 26 introduit notamment une nouvelle application Téléphone, qui permet de mieux gérer l’historique des appels. Elle peut regrouper les appels en absence et peut filtrer automatiquement tous ceux en provenance de numéros inconnus, avec plusieurs possibilités. On peut choisir par exemple de les envoyer directement sur le répondeur. Citons également l’alimentation adaptative, des informations beaucoup plus détaillées sur l’autonomie, les applications Aperçu et Jeux vidéo, de la personnalisation dans Messages, la traduction automatique des paroles dans Music, etc.

iPadOS 26 récupère ces apports et en ajoute d’autres. La nouvelle version est réellement majeure : toutes les applications peuvent passer sous forme de fenêtre via un glissement sur leur coin inférieur droit. On peut alors les déplacer librement, la contrôler via les trois boutons colorés typiques de macOS, utiliser la barre de menus, agencer les fenêtres via des options de tiling et profiter de la vue Exposé.

macOS 26, nommé Tahoe, reprend l’application Téléphone complète, en lieu et place de FaceTime. Surtout, Spotlight et Raccourcis font leur petite révolution. Le premier devient une palette complète de commandes, avec possibilité de créer des raccourcis personnalisés et de reprendre les actions suggérées par Apple Intelligence. Idem pour Raccourcis, qui peut maintenant agir sur un plus grand nombre d’objets. Toutes les actions liées au bouquet IA lui sont également accessibles. Par exemple, si Apple Intelligence détecte qu’une transcription a souvent lieu après avoir enregistré l’audio d’un cours, Raccourcis pourra suggérer une action pour enchainer automatiquement les actions, avec export et envoi du document sur une destination choisie.

Quant à watchOS et tvOS, leurs nouveautés sont plus discrètes. Pour la montre connectée, on peut noter Workout Buddy, censé encourager dans la pratique sportive, l’arrivée de Notes, des suggestions d’activités et de listes musicales ou encore une révision des notifications, qui se veulent moins intrusives.

Michael Pratt, le fondateur de la plateforme californienne de pornographie GirlsDoPorn, a été condamné le 9 septembre à 27 ans de prison pour trafic d’êtres humains.

Né en Nouvelle-Zélande, Michael Pratt avait co-fondé les sites GirlsDoPorn et GirlsDoToys à San Diego, aux États-Unis. Il avait ensuite trompé des femmes, dont plusieurs étaient à peine adultes au moment des faits, en les attirant avec de fausses annonces pour des emplois de top-modèles.

En 2019, 22 d’entre elles avaient déposé plainte contre Pratt et plusieurs complices, dont le responsable des opérations et cameraman Matthew Isaac Wolfe, et le producteur et acteur Riben Andre Garcia.

Elles les accusaient de les avoir poussées à consommer alcool et drogues avant de leur faire signer un contrat que certaines n’avaient pas même pu lire. Plusieurs ont témoigné avoir été agressées sexuellement, puis retenues contre leur gré jusqu’à la fin des tournages.

Pratt et ses complices auraient évité toutes mentions des deux plateformes pornographiques qu’ils pilotaient sur les documents en question. Dans un communiqué de presse, le bureau du procureur général de Californie souligne qu’en réalité, les vidéos enregistrées étaient promues jusque sur des plateformes gratuites et grand public comme Pornhub pour générer du trafic.

Certaines ont suscité des millions de vues, générant des millions de dollars de chiffre d’affaires pour Pratt.

Après la plainte déposée en 2019, Pratt avait fui les États-Unis. Il était inscrit sur la liste des 10 personnes les plus recherchées par le FBI lorsqu’il a été arrêté en Espagne, en décembre 2022. En 2025, il a plaidé coupable de complot en vue de se livrer au trafic d’être humain, et de s’y être livré.

Lors du procès, quarante de ces victimes ont appelé à condamner Pratt à la peine maximale.

Elles ont détaillé les effets de long terme de ces agressions et de leur enregistrement et diffusion : certaines ont subi du harcèlement et des menaces, plusieurs ont changé de nom, voire ont eu recours à de la chirurgie esthétique pour changer d’apparence, plusieurs ont tenté de se suicider ou ont sombré dans l’alcoolisme.

Après avoir entendu ces témoignages, la juge fédérale Janis L. Sammartino a déclaré : « J’exerce cette fonction depuis très longtemps et je n’ai jamais eu à traiter une affaire de cette ampleur… L’étendue et la gravité de cette infraction conduisent la cour à alourdir la peine. »

Matthew Wolfe a été condamné à 14 ans de prison, et Riben Garcia à 20 ans.

Notations de femmes en fonction de leur physique, vocabulaire propre à la manosphère (mâles alpha, mâles sigma, incels, pour « célibataires involontaires », c’est-à-dire qui se considèrent seuls par la faute des femmes)…

Sur TikTok, les contenus à tendance misogyne, voire ouvertement masculinistes – c’est-à-dire considérant non seulement que le féminisme a pris trop de place, mais encore que la masculinité doit reprendre de l’ampleur, généralement en s’attaquant aux droits des femmes – sont facilement propulsés dans le fil d’actualité des adolescents.

Pour tenter d’établir la rapidité à laquelle un mineur peut se retrouver exposé à ce type de contenus, la RTBF a construit cinq profils fictifs d’adolescents de 15 ans, tous intéressés par la musculation. Le chercheur en criminologie Melvin Hasescic explique en effet au média belge qu’il existe un lien entre « l’hypermasculinité et l’antiféminisme » et « l’intensité de la pratique sportive ».

But de l’expérimentation : comprendre dans quelle mesure à quelle vitesse TikTok proposait des contenus masculinistes à des internautes qui, a priori, ne cherchaient qu’à trouver des conseils en matière de musculation. Pour la mener à bien, le média a constitué cinq faux profils likant et scrollant automatiquement du contenu en fonction de sujets pré-imposés.

• TikTok et les réseaux sociaux se font dézinguer par des députés, qui veulent agir fort
• Santé mentale des adolescents : TikTok visé par une plainte de 14 États américains

En moins de 10 minutes d’activité du faux profil nommé « Matteo », la machine opère un premier glissement de vidéo spécifiquement centrée sur la musculation vers des propos de l’ordre de la motivation. Des hommes seuls, dans un univers relativement inquiétant, appellent l’internaute à se dépasser, ce qui interroge déjà sur les effets de ces vidéos sur la santé mentale du public visé.

Au bout de 10 minutes supplémentaires, de premiers contenus masculinistes apparaissent, incitant l’usager à douter de l’existence d’amitiés hommes-femmes, de celle de choisir son orientation sexuelle, ou renforçant divers discours sexistes ou homophobes. En moins d’une heure, l’internaute s’est retrouvé projeté dans cet univers fait de références aux pilules bleues et rouges de Matrix, au cynisme du Joker dans Batman, ou encore à la série Peaky Blinders, dont certains courants masculinistes empruntent les codes vestimentaires.

L’expérience rappelle celles menées par la journaliste Pauline Ferrari, qui étudie dans son ouvrage Formés à la haine des femmes comment les idéologies masculinistes se sont répandues dans les mondes numériques.

Elle permet de constater à nouveau que les propos portés par les discours les plus extrêmes sont foncièrement violents, appelant au contrôle coercitif des « gonzesses » (qu’il faudrait « surveiller », en contrôlant leur tenue ou leurs mouvements), voire promeuvent agressions et crimes sexuels, comme le viol.

La tendance est d’autant plus inquiétante qu’elle peut constituer une forme de terrorisme, comme l’analyse la chercheuse Stéphanie Lamy. En France, au moins trois projets d’attentats masculinistes ont ainsi été déjoués en moins d’un an.

Si TikTok est loin d’être le seul espace où fleurissent ces idées, la plateforme a néanmoins pris un rôle particulier dans les travaux de l’Assemblée nationale. Les résultats de la Commission d’enquête lancés en mars sur ce sujet sont sans appel : il s’agit, selon ses rapporteurs, de l’un « des pires réseaux sociaux à l’assaut de notre jeunesse ».

Saisi d’une question prioritaire de constitutionnalité (QPC) par la société Digital Classifieds France (éditrice du site SeLoger et filiale du groupe allemand Axel Springer), le Conseil constitutionnel a estimé que la « taxe sur les services numériques » instaurée par la France en 2019 et surnommée, à l’époque, taxe GAFA, ne contrevenait pas aux principes d’égalité devant la loi et les charges publiques.

Dans cette décision datée du 12 septembre, l’institution de la rue Montpensier valide ainsi le principe de cette taxe qui concerne, pour mémoire, les sociétés réalisant au moins 750 millions d’euros de chiffre d’affaires au niveau mondial et 25 millions d’euros à l’échelle nationale.

Dans sa requête, Digital Classifieds France a tenté de faire valoir que « les critères définissant les activités imposables ne [sont] ni objectifs ni cohérents au regard du but poursuivi par le législateur ». La société estime également que la loi de 2019 commet une erreur en calculant les seuils d’assujettissement à l’échelle du groupe (la maison mère) et non des différentes sociétés individuelles.

Elle attaque par ailleurs le texte sur le critère de la « territorialité de l’impôt, du lieu effectif de l’activité ou de l’origine géographique des recettes réalisées par les entreprises redevables pour déterminer l’assiette de la taxe ». Elle dénonce enfin le caractère confiscatoire de ce qu’elle considère comme une double imposition, la taxe venant s’ajouter à l’impôt sur les sociétés, et donc comme une « rupture d’égalité injustifiée ».

Le Conseil constitutionnel n’a pas encore mis en ligne le commentaire qui constitue l’explication de texte de sa décision, mais cette dernière se veut sans ambages. Les Sages estiment qu’il « était loisible au législateur de soumettre à la taxe des services numériques dont la création de valeur repose de façon déterminante sur l’activité des utilisateurs, telles les prestations de ciblage publicitaires », mais aussi de choisir de ne pas inclure d’autres typologies de services « eu égard à leur nature ».

Sur les seuils d’assujettissement, il remarque que « si ces seuils sont appréciés au niveau d’un groupe d’entreprises, l’assiette de la taxe est déterminée en fonction des seuls revenus générés par les services fournis en France par l’entreprise redevable, et non par l’ensemble du groupe ». Les arguments liés à la territorialité et aux modalités de taxation sont, eux aussi, rejetés pour aboutir à la décision selon laquelle les articles concernés de la loi de 2019 sont « conformes à la Constitution ».

Overdominant

Penske Media, l’éditeur de Rolling Stone, mais aussi de Billboard, Variety et Hollywood Reporter, a déposé une plainte contre la fonction AI Overviews de Google. Le groupe de médias étasunien accuse Google de republier ses contenus sans autorisation en abusant de sa position dominante sur le marché des moteurs de recherche.

C’est la première plainte d’un éditeur étasunien envers la fonction AI Overviews qu’a mis en place Google en haut des résultats de son moteur de recherche. Penske Media est un éditeur de presse étasunien qui possède plusieurs magazines comme Rolling Stone, Billboard, Variety ou encore Hollywood Reporter.

En Europe, des éditeurs indépendants s’étaient déjà unis pour attaquer cette fonctionnalité devant la Commission européenne pour abus de position dominante. Rappelons que les IA Overviews sont disponibles dans de nombreux pays, notamment européens, mais pas en France.

Pourquoi un tel traitement de faveur ? À cause notamment des difficiles négociations liées aux droits voisins, comme nous l’expliquions en juin dernier. Les éditeurs se tiennent d’ailleurs prêt à dégainer des actions en justice si besoin.

• La fonctionnalité Overviews de Google attaquée en Europe pour abus de position dominante

Google s’appuie sur son monopole pour imposer AI Overviews

Penske a déposé sa plainte [PDF] contre l’entreprise dirigée par Sundar Pichai auprès de la Cour du district de Columbia, là où le juge Amit P. Mehta a considéré l’année dernière que Google violait la loi étasunienne sur les monopoles et qui a récemment prononcé des mesures correctrices sur le sujet.

L’entreprise de presse considère que Google utilise son monopole « pour contraindre les éditeurs en ligne […] à fournir du contenu que Google republie sans autorisation dans des réponses générées par l’IA qui rivalisent de manière déloyale pour attirer l’attention des utilisateurs sur Internet, en violation des lois étasuniennes contre les monopoles ».

Pour Penske, « ce comportement menace de perpétuer le monopole de Google dans le domaine de la recherche générale à l’ère de la recherche générative et de l’étendre à l’édition en ligne, ce qui restreindrait la concurrence sur ces marchés et réduirait la production de contenu original pour les consommateurs ».

Depuis plusieurs mois, les éditeurs de presse pointent du doigt la fonctionnalité AI Overviews de Google alertant sur la perte de trafic vers leur site qu’elle engendre et les répercussions sur leur activité. Certains, comme Business Insider, ont décidé d’arrêter leurs activités éditoriales dont l’audience dépend fortement du search.

Dans sa plainte, Penske affirme que « le siphonnage et le détournement du trafic des sites Web de PMC [Penske Media Corporation, ndlr] et d’autres éditeurs auront des effets profondément néfastes sur la qualité et la quantité globales des informations accessibles sur Internet ».

L’éditeur y rappelle que la décision de justice sur le monopole de Google observait que la recherche qui s’appuie sur l’IA générative avait le potentiel pour « concurrencer dynamiquement et remplacer le monopole actuel de Google dans le domaine de la recherche ». Mais, selon l’éditeur, la création d’une concurrence dynamique dans le domaine de la recherche via l’IA générative ne peut se faire que si Google n’utilise pas son monopole illégal déjà acquis pour imposer ses conditions aux éditeurs.

Perte de revenus directement liée

Penske affirme qu’avec l’introduction des AI Overviews, ses sites ont perdu fin 2024 un tiers de leurs revenus comparé à leur pic. Et Google n’a pas encore généralisé ses AI Overviews en haut de toutes les recherches. Mais Penske explique qu’entre fin 2024 et début 2025, elle a observé une augmentation de 20 % des résultats comprenant des liens vers ses sites qui affichaient un résumé.

Dans sa plainte, l’éditeur affirme qu’« avec chaque article publié sur ses sites Web », il est contraint « de fournir à Google davantage de matériel d’entrainement et d’affinage pour que ses systèmes [d’IA] puissent générer des Overviews ou affiner ses modèles, ce qui alimente un feu qui menace l’ensemble [de son] activité éditoriale ».

« Grâce à AI Overviews, les utilisateurs trouvent la recherche plus utile et l’utilisent davantage, ce qui crée de nouvelles opportunités pour la découverte de contenu », déclare au Wall Street Journal le porte-parole de Google José Castañeda. Il ajoute que, « chaque jour, Google envoie des milliards de clics vers des sites web, et les aperçus générés par l’IA redirigent le trafic vers une plus grande diversité de sites. Nous nous défendrons contre ces accusations sans fondement ». Enfin, il affirme à nos confrères que les clics sur les liens qui accompagnent les IA Overviews sont de meilleure qualité pour les éditeurs, car les utilisateurs passent plus de temps sur le site.

Simplifer pour complexifier et resimplifier

Il est si simple de suivre les gammes de Qualcomm que le fabricant en est réduit à publier un communiqué pour expliquer le nom de son prochain SoC, avant même de parler de ses caractéristiques techniques…

Cachez ces Snapdragon 8 Elite Gen 1 à 4 qui n’existent pas

Il y a un an à peine, nous évoquions le bazar (pour rester poli) dans les références des puces de Qualcomm. Le fabricant venait alors de lancer son Snapdragon 6 Gen 3 pour smartphone. La Gen 2 n’existait pas et difficile de savoir comment placer le Snapdragon 6 par rapport au Snapdragon 7 s (s pour Light), sans même parler des séries « + » et des générations qui se mélangent.

Aujourd’hui, c’est toujours le même gloubi-boulga dans les gammes et Qualcomm en est réduit à publier un billet de blog – intitulé « The name, the power, the why » – pour annoncer l’arrivée du Snapdragon 8 Elite Gen 5… mais pas pour dévoiler ses caractéristiques techniques : non, simplement pour expliquer son nom.

• Snapdragon 8 Elite : le premier SoC Qualcomm pour smartphones avec des cœurs CPU Oryon

Des cœurs « Oryon » partout, de la précision nulle part ou presque

Disons-le tout de suite : il n’existe pas de Snapdragon 8 Elite Gen 4, pas même de Gen 3 ni de Gen 2. Le Snapdragon 8 Elite existe bien par contre ; il a été annoncé en octobre 2024. Ce SoC pour les terminaux mobiles exploite des cœurs CPU Arm personnalisés : des Oryon de seconde génération.

Le choix du nom « 8 Elite » permettait de rapprocher les SoC pour les mobiles, des Snapdragon X Elite pour les ordinateurs portables. Histoire de noyer un peu plus le poisson, les cœurs CPU sont dans les deux cas des « Oryon ». Comme c’est déjà le cas depuis longtemps sur la partie GPU, Qualcomm donne de moins en moins de détails sur la partie CPU.

Revenons aux explications de Qualcomm : « On pourrait avoir l’impression que nous avons sauté des générations, mais la vérité est plus simple. Snapdragon 8 Elite Gen 5 marque la cinquième génération de nos plates-formes haut de gamme de la série 8 depuis que nous avons introduit notre nouvelle dénomination ».

Il y a plusieurs années, Qualcomm avait déjà tenté de simplifier ses gammes, en laissant de côté une nomenclature à trois chiffres (Snapdragon 865 par exemple) pour des séries 4, 6, 8… Dans les Snapdragon 8, nous avons eu la Gen 1, Gen 2 et Gen 3. Tout allait bien – modulo les déclinaisons « + » et « s » – jusqu’à la Gen 4, remplacée par le Snapdragon 8 Elite.

Plutôt que suivre sa nouvelle logique et lancer le Snapdragon 8 Elite Gen 2, Qualcomm a donc décidé de reprendre le décompte au début de la série 8, mais avec le nouveau nom. Et voici donc le Snapdragon Elite Gen 5. Qualcomm affirme ainsi « simplifier la façon dont les consommateurs comprennent [sa] feuille de route produits ».

Les cinq générations de SoC Snapdragon 8

Voici la liste des cinq générations de SoC Snapdragon 8 pour les smartphones haut de gamme :

• Snapdragon 8 Gen 1
• Snapdragon 8 Gen 2
• Snapdragon 8 Gen 3
• Snapdragon 8 Elite
• Snapdragon 8 Elite Gen 5

Par contre, pour avoir les détails de la puce Snapdragon 8 Elite Gen 5, il faudra repasser la semaine prochaine. Qualcomm tiendra en effet son Snapdragon Summit du 23 au 25 septembre.

Des smartphones et des performances en forte hausse

Sans attendre, Xiaomi a déjà annoncé que sa prochaine gamme de 17, 17 Pro et 17 Pro Max exploitera ce nouveau SoC. Nous devrions aussi le retrouver dans les Samsung Galaxy S26.

Fin août, cette puce faisait parler d’elle sur un logiciel, comme le rapportait Wccftech : « La fréquence des cœurs Prime du Snapdragon 8 Elite Gen 5 serait de 4,61 GHz, le nouveau score AnTuTu serait 50 % plus élevé que celui du Snapdragon 8 Elite ». Les cœurs du Snapdragon 8 Elite (quatrième génération de Snapdragon 8) sont pour rappel cadencé jusqu’à 4,32 GHz.

À la frontière entre la Birmanie et la Thaïlande, le long de la rivière Moei, un terrain hautement sécurisé de 210 hectares a poussé en quelques années. Il abrite le KK Park, un important complexe qui pourrait ressembler à un campus de la Silicon Valley, à ceci près qu’il héberge une activité criminelle entièrement basée sur le trafic d’êtres humains et des violences brutales.

Il y a quatre ans déjà, le Haut Commissariat des Nations Unies aux Droits de l’Homme (HCDH) sonnait l’alerte. Depuis 2021, l’entité relève une augmentation régulière des arnaques sentimentales ou à la micro-tâche et jeux illégaux en ligne, opérés par des personnes elles-mêmes privées de leurs droits. Et de constater en 2023 que la tendance avait été aggravée à la faveur de la pandémie de Covid-19.

D’après les informations du Guardian et de l’Australian Strategic Policy Institute (Aspi), le nombre de centres dédiés à ces activités illégales est passé de 11 à 27 en quatre ans le long de la frontière thaï. Des images prises par drones démontrent d’intenses activités de construction, qui permettent à ces espaces de grandir en moyenne de 5,5 hectares par mois, et de probables récepteurs internet par satellite, ce qui permettrait aux criminels de rester connectés quand bien même la Thaïlande a coupé la fourniture d’électricité, de gaz et de réseau à ces zones, pour tenter d’en freiner l’activité.

La police thaï estime jusqu’à 100 000 le nombre de personnes issues de nombreux pays d’Asie et d’Afrique potentiellement enfermées et maltraitées dans ces espaces.

Début 2025, 7 000 d’entre elles, issues de Chine, d’Indonésie et d’autres pays, ont été libérées d’un de ces centres d’arnaques.

La Civil Society Network for Victim Assistance in Human Trafficking, une ONG thaïlandaise, est en contact avec 90 autres victimes de ce type de trafic, et affirme que certaines ont perdu la vue ou l’usage de certains membres à la suite des mauvais traitements subis sur place.

En Birmanie, la junte militaire a laissé ce type d’activités criminelles se développer, participant à propulser le pays en tête de la liste des pays accueillant le plus de crime organisé.

L’armée locale tire de ces activités de trafic et d’extorsions des financements pour tenter de maintenir son pouvoir déjà fragilisé à la tête de l’État.

Pendant ce temps, le cuivre tire sa révérence

Chaque trimestre, l’Arcep fait le point sur le déploiement de la fibre optique en France. L’objectif est pour rappel d’arriver à 100 %, d’autant qu’Orange a déjà commencé à éteindre des lignes en cuivre, qui attirent d’ailleurs les convoitises. Où en sommes-nous ?

3,3 millions de locaux ne sont pas encore éligibles

En fin de semaine dernière, l’Arcep a publié son observatoire du marché des services fixes à (très) haut débit : « Au 30 juin 2025, 93 % des locaux sont couverts en fibre optique, 3,3 millions restent encore à rendre raccordables ». C’est un point de plus qu’au trimestre précédent et quatre points de mieux en un an. Plus on avance, plus les cas restants sont difficiles et onéreux (lignes longues, complexes, etc.).

Cela signifie que sur les 44,9 millions de locaux recensés en France, 41,6 millions sont raccordables à la fibre optique. Un million de plus (soit 42,6 millions) sont éligibles au très haut débit sur des réseaux filaires (fibre optique, VDSL2, câble).

Attention, raccordables ne veut pas dire raccordés, loin de là. Sur les prés de 45 millions de locaux, ils sont 25,7 millions à avoir un abonnement en fibre optique (+ 620 000), « ce qui représente 79 % du nombre total d’abonnements internet et 92 % du nombre d’abonnements à très haut débit ».

Le câble coaxial de SFR continue inexorablement de baisser, avec 400 000 abonnements à plus de 100 Mb/s encore aujourd’hui. Cette technologie est vouée à disparaitre, comme nous l’avait confirmé SFR, mais cela va prendre « plusieurs années ». Un rachat d’Altice pourrait aussi accélérer le calendrier, car le repreneur pourrait ne rien avoir à faire d’un réseau voué à disparaitre.

• La transition du câble (fibre*) de SFR vers le FTTH « s’étalera sur plusieurs années »

Le déploiement de la fibre en ordre dispersé en France

• Total : 41,6 millions de locaux couverts (+ 525 000), reste environ 3,3 millions
  • Zones moins denses par les Réseaux d’Initiative Publique : 17,4 millions de locaux couverts (+ 337 000), reste 1,6 million de locaux.
  • Zones moins denses d’initiative privée : 16,8 millions de locaux couverts (+ 167 000), reste 1,1 million de locaux.
  • Zones très denses : 7,5 millions de locaux couverts (+ 21 000), reste 480 000 locaux.

L’avance est encore lente sur les zones très denses où les quatre opérateurs nationaux sont en concurrence. 21 000 locaux de plus seulement, sur les 480 000 encore à rendre raccordables.

La mutualisation est toujours élevée, avec 41,3 millions de lignes qui ont le choix entre deux opérateurs, 40,9 millions entre trois et 38,3 millions entre au moins quatre opérateurs. Dans les zones très denses, seule la moitié des lignes avaient le choix entre au moins quatre opérateurs, contre 91 % aujourd’hui.

La Bretagne en retard, comme Marseille et Montpellier

Comme on peut le voir sur cette carte, le déploiement de la fibre optique est supérieur à 80 % dans une large proportion de la France, à l’exception notable de la Bretagne (et de certaines régions localisées). On retrouve aussi une disparité entre les villes dans les zones très denses : Paris et Lyon sont à 97 % de couverture, quand Marseille est à 88 % et Montpellier à 89 %.

Même situation au niveau départemental. Alors que la couverture moyenne nationale de ces zones s’établit à plus de 94 %, douze départements sont en dessous : Bouches-du-Rhône, Meurthe-et-Moselle, Loiret et Hérault sont à moins de 90 % ; Bas-Rhin, Haute-Garonne, Seine-Maritime, Nord, Seine-Saint-Denis, Var, Gironde et Puy-de-Dôme sont à moins de 94 %.

Toutes les données sont disponibles sur le site Ma connexion Internet de l’Arcep.

Dans cinq ans, la fin du cuivre

L’enjeu est non seulement d’avoir accès à du très haut débit, mais aussi de pouvoir avancer sur le décommissionnement du réseau cuivre. Orange a déjà commencé les opérations. Depuis janvier, près d’un million de locaux ne peuvent plus souscrire d’abonnement xDSL sur le cuivre.

• 2G, 3G, cuivre (xDSL) : comment Orange va tirer un trait sur le passé

Pour 210 000 autres locaux (où il n’était déjà plus possible de souscrire), c’est une autre étape qui était franchie : la fermeture définitive du réseau en cuivre. Le planning prévoit des fermetures progressives jusqu’en 2030 avec l’objectif « zéro client sur le cuivre ».

Linux Mint 22.2, alias Zara, est sortie il y a moins de deux semaines, apportant avec elle le support des empreintes digitales pour l’authentification, une meilleure prise en charge de libadwaita ainsi qu’une série d’améliorations visuelles.

• Linux Mint 22.2 supporte mieux libadwaita et les empreintes digitales

On sait désormais que la prochaine version, estampillée 22.3, est prévue pour décembre. L’annonce a été faite par Clément Lefebvre (créateur de Linux Mint et développeur principal) dans sa lettre mensuelle. La mouture proposera notamment le nouveau menu principal pour Cinnamon, comme nous l’indiquions en mars. On y trouvera également un nouvel applet d’état et le support de Wayland pour les dispositions de claviers et autres méthodes de saisie.

Pour une partie des utilisateurs, c’est surtout la Linux Mint Debian Edition 7 (LMDE 7) qui est attendue. La bêta est attendue avant la fin du mois et est donc imminente. Le système sera basé sur Debian 13 (« Trixie ») et représentera donc une vaste modernisation. L’équipe de développement lui ajoutera les dernières améliorations vues sur Linux Mint 22.2.

Cette Debian Edition 7 n’existera qu’en version amd64, l’équipe de Mint suivant la disparition du i386 sur Debian. Il faut également noter que si Mint reprend le socle Debian tel qu’il est actuellement, alors LMDE 7 sera fourni avec un noyau Linux 6.12 (LTS), soit une version moins récente que la 6.14 de Linux Mint 22.3.

C’est en effet le 14 septembre 2015, à 11h51 (9h51 GMT) que les deux interféromètres LIGO espacés de 3 000 kilomètres ont enregistré des variations similaires, avec 7 millisecondes d’écart. Il s’agissait des traces d’une fusion de deux trous noirs qui s’était faite il y a 1,3 milliard d’années.

À l’époque, les ondes gravitationnelles n’étaient « qu’une » prédiction d’Albert Einstein dans sa théorie de la relativité générale, publiée 100 ans auparavant (1915). Cette fois-ci, la preuve était visible : « C’est à la fois un aboutissement et aussi le début d’une nouvelle forme d’astronomie, d’une nouvelle fenêtre sur l’Univers » expliquait le physicien Nicolas Arnaud. Depuis, les détections se sont multipliées.

• Observation d’ondes gravitationnelles et fusion de trous noirs : tout ce qu’il faut savoir
• Ondes gravitationnelles : les détections LIGO-Virgo ouvrent « une nouvelle page de l’exploration du cosmos »

Le Journal du CNRS propose une longue interview maison de l’astrophysicienne Marie-Anne Bizouard sur cet anniversaire : « Il s’agit probablement de l’une des plus grandes découvertes de ce siècle, à l’égal de celle du boson de Higgs, en 2012, la particule qui confère leur masse aux particules élémentaires ».

Cet événement est loin d’être isolé : « lors du premier run, nous avons fait trois détections. Elles sont montées ensuite à une dizaine avec le deuxième run, une petite centaine avec le troisième et environ 300 avec celui en cours ».

L’astrophysicienne revient sur les perspectives à venir : « Tests de la relativité générale, étude de la matière dans des états extrêmes, évolution stellaire ou galactique : ces perspectives concernent aussi bien l’astrophysique, la cosmologie que la physique fondamentale ».

Les scientifiques espèrent aussi capter le fond stochastique d’origine cosmologique lors du prochain run, c’est-à-dire « les ondes gravitationnelles émises par l’Univers au moment du Big Bang ».

Interface chaise-clavier

Dans l’après-midi du 8 septembre, une attaque a eu lieu contre la chaine d’approvisionnement de plusieurs paquets NPM. Les dégâts ont été limités et tout est vite rentré dans l’ordre. Mais les conséquences auraient pu être bien pires, limitées uniquement par les compétences des pirates. L’affaire relance les débats autour de l’authentification et du contrôle de la provenance des modifications.

Elle est qualifiée désormais de plus grande attaque contre la chaine d’approvisionnement jamais enregistrée. Une telle attaque consiste pour rappel à viser la chaine menant à la production d’un logiciel ou d’un service. Si elle aboutit, un code se retrouve distribué ou mis à disposition des victimes, qui croient récupérer un logiciel, la dernière version d’un composant, etc. Elle permet d’arroser un nombre important de personnes, d’autant plus que le composant ou logiciel est populaire.

Dans l’après-midi du lundi 8 septembre, des pirates ont ainsi compromis le compte NPM (Node Packet Manager, gestionnaire de paquet par défaut pour Node.js) d’un développeur. La récupération des accès leur a permis d’infecter le code de 18 paquets : backslash, chalk-template, supports-hyperlinks, has-ansi, simple-swizzle, color-string, error-ex, color-name, is-arrayish, slice-ansi, color-convert, wrap-ansi, ansi-regex, supports-color, strip-ansi, chalk, debug, ansi-styles.

Certains sont téléchargés des centaines de millions de fois par semaine. Pourtant, tout a été réglé en deux heures environ et la casse a été limitée. Que s’est-il passé ?

L’ingénierie sociale, toujours elle

L’histoire commence avec une détection de l’entreprise belge Aikido. Elle est spécialisée dans la sécurité, et plus particulièrement dans la surveillance des mises à jour de code dans les principaux dépôts open source. Comme elle raconte dans un billet de blog, elle détecte le 8 septembre à 15h16 (heure de Paris) des modifications suspicieuses dans 18 paquets. Ils sont très populaires sur NPM : ensemble, ils cumulent deux milliards de téléchargements par semaine.

L’analyse du code révèle sa fonction : intercepter silencieusement l’activité crypto et web3 dans le navigateur, manipuler les interactions avec le portefeuille et rediriger les paiements vers des comptes contrôlés par les pirates. Le code malveillant peut détourner à la fois le trafic réseau et les API des applications, indique Aikido. « Ce qui le rend dangereux, c’est qu’il fonctionne à plusieurs niveaux : modifier le contenu affiché sur les sites Web, falsifier les appels API et manipuler ce que les applications des utilisateurs croient signer », ajoute l’entreprise.

La société belge indique avoir alors contacté le développeur concerné, Josh Junon, surnommé Qix. Celui-ci répond alors qu’il a découvert avoir été piraté. Comme il l’indique lui-même dans un message sur BlueSky deux heures plus tard, il dit avoir été victime d’un email qui l’invitait à réinitialiser ses codes d’authentification à deux facteurs (2FA). Le courrier semblait parfaitement légitime selon lui, avec un lien renvoyant vers une copie conforme de la page de connexion de NPM. Cette page interceptait les informations d’authentification et le jeton 2FA pour les envoyer aux pirates. Après quoi, ces derniers ont simplement modifié l’adresse de connexion utilisée pour se connecter à NPM.

Le 9 septembre, Josh Junon a publié un message d’excuses sur Hacker News, dans lequel il admet honteusement : « yep I got pwned ». Le même jour, jFrog indiquait de son côté que la campagne continuait et que de nouveaux paquets contaminés avaient été découverts, dont DuckDB. Toujours le 9 septembre, SlowMist avertissait que d’autres développeurs recevaient le même e-mail, signe que Josh Junon n’était pas un cas isolé.

Tout s’enchaine très vite

Une chaine d’approvisionnement contaminée sur des paquets aussi populaires aurait constitué une catastrophe pour de nombreux produits. Ces attaques sont notamment très efficaces contre des composants impliqués dans le web de manière générale. Or, avec la multiplication des applications web encapsulées, cela pouvait signifier une diffusion à très grande échelle du code vérolé. Pourtant, tout s’est achevé en quelques heures, sans grande casse.

Sur le blog de la Security Alliance, on peut lire dans le billet du 9 septembre une note ironisant sur les 5 cents d’ETH ou encore les 20 dollars d’un memecoin. Dans les heures qui ont suivi la compromission, seuls 588 dollars de transactions auraient été détectés. Ce qui fait dire à l’Alliance que le plus gros impact financier de l’attaque réside finalement dans « les milliers d’heures passées collectivement par les équipes d’ingénierie et de sécurité du monde entier à nettoyer les environnements compromis, et les millions de dollars de contrats de vente qui seront inévitablement signés à la suite de cette nouvelle étude de cas ».

Cité par Brian Krebs, le pentester Philippe Catureli, responsable sécurité chez Seralys, s’en étonne également : « Ce qui est fou, c’est qu’ils ont compromis des milliards de sites Web et d’applications juste pour cibler quelques crypto-monnaies. Il s’agissait d’une attaque de la chaîne d’approvisionnement, et cela aurait facilement pu être quelque chose de bien pire que la récolte de crypto-monnaies ».

Même son de cloche chez Florian Roth, chercheur en sécurité chez Nextron Systems : « Étant donné que la plupart des entreprises exécutent au moins une application React ou Angular, elles ont eu la possibilité d’exécuter du code sur des millions de systèmes dans des milliers d’organisations. Et ils l’ont utilisé pour lacher un voleur de cryptomonnaies obscurci de manière amateur, ont été attrapés par des règles élémentaires de détection, et le problème a été résolu après 2 heures ». Pas mieux du côté du chercheur Kevin Beaumont.

L’authentification des développeurs à nouveau en question

Dans son billet de blog, Aikido relève également le vaste danger évité de peu. De faibles conséquences qui ne semblent dues qu’au manque de compétences des pirates, en dépit de leur réussite sur la chaine d’approvisionnement.

Pour montrer à quel point ce type d’incident peut être grave, la société belge rappelle une autre compromission qui s’est déroulée fin août. Là aussi, un autre développeur NPM avait été visé, permettant la récupération de ses identifiants et l’insertion d’un code malveillant dans nx, une boite à outils pour le développement open source, totalisant six millions de téléchargements par semaine.

Le code malveillant avait servi à analyser l’ordinateur du développeur pour y récupérer des jetons d’authentification, ainsi que des clés SSH et API. Ces informations n’ont cependant pas été transmises aux pirates : elles ont été publiées dans un référentiel public créé pour l’occasion dans le compte GitHub du développeur, afin qu’elles soient visibles de tous et téléchargeables.

À Brian Krebs, Charlie Eriksen, chercheur chez Aikido, affirme que tous les paquets les plus populaires devraient exiger des attestations pour les modifications de code. De manière plus générale, il est d’avis que des plateformes comme GitHub et NPM devraient relever le niveau de sécurité, en s’assurant que les commits (une proposition de modification du code, pour schématiser) sont proposés par des personnes étant bien qui elles prétendent être.

S’il s’en est fallu de peu pour échapper à une catastrophe, les évènements ne semblent pas avoir surpris les chercheurs en sécurité, qui répètent les mêmes éléments depuis des années. Kevin Beaumont s’en moquait justement avec acidité, rappelant – encore une fois – que certaines des briques logicielles les plus utilisées ne sont gérées que par une poignée de personnes. Renvoyant une fois de plus au célèbre dessin de xkcd sur les dépendances.

Rappelons également que l’authentification à facteurs multiples, si elle apporte un gain majeur de protection, n’est pas absolue. En août 2022, Microsoft avait expliqué en détail par exemple comment un acteur malveillant avait mis en place toute une infrastructure pour récupérer des jetons d’authentification, via notamment des serveurs mimant un comportement légitime. Ce type d’attaque passe systématiquement par la compromission d’une personne, le plus souvent par un e-mail soigneusement préparé.

Mise à jour le 12 septembre à 16h30 : CMA Media, filiale médias du groupe CMA CGM de Rodolphe Saadé a finalisé l’acquisition du média vidéo Brut. L’entreprise se félicite de devenir « un acteur incontournable du paysage médiatique français, s’adressant à tous les publics et couvrant l’ensemble des canaux : presse régionale et nationale, télévision, radio et réseaux sociaux », cite l’AFP, selon qui CMA Media se targue désormais de compter « la deuxième plus grande rédaction de France avec plus de 1 600 journalistes ».

Publication initiale, le 4 juillet à 16H00 :

La branche média du groupe CMA CGM piloté par Rodolphe Saadé a dévoilé vendredi son entrée en négociations exclusives pour le rachat du média vidéo Brut, dont elle était jusqu’ici actionnaire minoritaire.

« Cette acquisition marquerait une nouvelle étape majeure dans la transformation stratégique de CMA Media, qui deviendrait ainsi le premier groupe de presse et audiovisuel à se projeter avec autant d’ampleur dans le digital », indique le groupe dans un communiqué.

L’acquéreur évalue la portée mensuelle de Brut à plus de 500 millions de spectateurs dans 100 pays, avec « une audience organique inégalée sur YouTube, TikTok, Instagram, Facebook et Snapchat ». Brut, qui diffuse nativement sur les réseaux sociaux, présenterait ainsi une complémentarité « unique » avec les audiences réalisées par RMC BFM, la dernière grande acquisition de CMA Media, bouclée au printemps 2024 pour 1,55 milliard d’euros.

« Cette opération s’inscrirait dans une logique d’investissement de long terme, reflétant pleinement la valeur stratégique de Brut., son positionnement de référence, le potentiel de croissance internationale et la puissance d’influence de la marque », revendique encore CMA Media, qui sortirait ainsi pour la première fois de l’Hexagone.

Brut, lancé en 2016, aurait d’après le Monde levé environ 140 millions d’euros depuis sa création et compterait parmi ses actionnaires Xavier Niel, François-Henri Pinault, Orange et, depuis 2023, CMA CGM.

En juin 2024, l’Informé révélait que cette participation portait sur 16% du capital, en échange de près de 43 millions d’euros. L’opération valorisait donc, à l’époque, Brut à environ 268 millions d’euros.

« Les fondateurs et l’équipe dirigeante de Brut. resteraient pleinement impliqués dans cette nouvelle phase, afin de préserver l’ADN qui fait la singularité et la crédibilité du média : un journalisme exigeant, des formats natifs et une voix engagée sur les grands enjeux sociaux, environnementaux et culturels », précisent Brut et CMA CGM.

Tests après mise en prod ?

Alors que plusieurs d’entre elles sont pointées du doigt pour leur manque de protection des enfants dans la mise en place de leurs chatbots, Google, Meta, Instagram, OpenAI, Snap, xAI et CharacterAI font face à une enquête de l’autorité de la concurrence étasunienne.

La Federal Trade Commission (FTC) a demandé à sept entreprises d’IA générative de l’informer sur les différentes procédures qu’elles ont mises en place avant de sortir leurs chatbots « compagnons » utilisant l’IA générative.

Demande des détails plusieurs mois après la mise sur le marché

L’autorité de la concurrence étasunienne a contacté officiellement Alphabet (maison mère de Google), Instagram, Meta (Maison mère de Facebook), OpenAI, Snap, xAI et CharacterAI pour enquêter en détail sur le business model de ces « compagnons » et comment elles encadrent leur utilisation. Ainsi, dans une lettre [PDF], la FTC leur demande de lui expliquer comment elles :

• monétisent l’engagement des utilisateurs ;
• traitent les contributions des utilisateurs ;
• partagent les données des utilisateurs avec des tiers ;
• génèrent des résultats ;
• mesurent, testent et surveillent les impacts négatifs avant et après le déploiement ;
• développent et approuvent les personnages (qu’ils soient créés par l’entreprise ou par les utilisateurs) ;
• utilisent des messages, des publicités et d’autres représentations pour informer les utilisateurs sur les fonctionnalités, les capacités, le public visé, les impacts négatifs potentiels et les pratiques de collecte et de traitement des données ;
• surveillent et font respecter les règles, les conditions d’utilisation ou d’autres politiques régissant l’utilisation de leur produit ou service.

Dans son communiqué annonçant cette enquête, l’autorité explique qu’elle veut « comprendre quelles mesures, le cas échéant, les entreprises ont prises pour évaluer la sécurité de leurs chatbots lorsqu’ils agissent en tant que compagnons, afin de limiter l’utilisation des produits par les enfants et les adolescents et leurs effets négatifs potentiels, et d’informer les utilisateurs et les parents des risques associés à ces produits ».

Plusieurs cas problématiques

La FTC réagit après plusieurs événements qui ont montré, au minimum, d’énormes trous dans la raquette de ces dispositifs pour protéger les mineurs d’effets délétères engendrés par l’utilisation de ce genre de « compagnon ».

Ainsi, fin aout, on apprenait qu’OpenAI était poursuivi en justice après le suicide d’un adolescent. Mais le créateur de ChatGPT n’est pas le seul à être pointé du doigt. Quelques jours avant, on découvrait que, parmi les règles mise en place par Meta pour canaliser ses bots utilisant l’IA générative introduits dans Facebook, WhatsApp et Instagram, l’entreprise permettait aux avatars de générer des messages qu’elle considérait comme « sensuels ». Cette enquête arrive aussi alors que certains États veulent interdire ou encadrer les IA qui se font passer pour des psys.

• Mattel noue un partenariat avec OpenAI pour de l’IA dans les jouets pour enfants

Un peu moins connu que les autres, CharacterAI est pionnière sur le sujet, mais aussi dans ses dérives. Ainsi, c’est au sujet du suicide d’un adolescent « devenu obsédé par un chatbot sur Character.AI avant sa mort », que le New York Times posait déjà en octobre 2024 la question : « Peut-on blâmer l’intelligence artificielle pour le suicide d’un adolescent ? ».

Contactées par Bloomberg au sujet de l’enquête de la FTC, Google, Snap, OpenAI, xAI et Meta n’ont pas répondu. Character.AI a expliqué avoir investi « d’énormes ressources » dans des fonctionnalités de sécurité, notamment une version distincte pour les utilisateurs de moins de 18 ans et avoir ajouté dans les discussions des disclaimers indiquant que les chatbots ne sont pas de vraies personnes et « doivent être considérés comme des personnages fictifs ».

Notre consœur explique que l’autorité peut obliger les entreprises à lui répondre dans le cadre d’études de marché, mais que celles-ci prennent généralement plusieurs années avant d’aboutir.

Faut-il tenter de la vacciner une bonne fois pour éviter que la jeunesse aille se faire soigner plus tard ? En tout cas, le diagnostic est sans appel !

La Commission européenne a accepté les engagements de Microsoft concernant la distribution de Teams pour éviter l’abus de position dominante.

« Dans le cadre de ces engagements, Microsoft (i) proposera des versions de ces suites sans Teams et à prix réduit ; (ii) permettra aux clients disposant de licences à long terme de passer à des suites sans Teams ; (iii) assurera l’interopérabilité des fonctionnalités clés entre les outils de communication et de collaboration concurrents de Teams et certains produits Microsoft ; et (iv) permettra aux clients de transférer leurs données hors de Teams afin de faciliter l’utilisation de solutions concurrentes », explique le communiqué de l’administration européenne.

C’est ce que s’était engagée à faire l’entreprise en mai dernier alors que la Commission européenne enquêtait depuis juillet 2023 sur un éventuel abus de position dominante de Microsoft suite à une plainte de Slack.

En promettant de respecter ces quatre engagements, Microsoft évite une amende de la Commission. Celle-ci précise quand même qu’elle pourra « lui infliger une amende pouvant atteindre 10 % de son chiffre d’affaires annuel mondial, sans avoir à prouver qu’il y a eu violation des lois sur la concurrence de l’UE, ou une astreinte de 5 % par jour de son chiffre d’affaires journalier pour chaque jour de non-respect » si l’entreprise n’honore pas ses engagements.

« Nous apprécions le dialogue avec la Commission qui a conduit à cet accord, et nous nous attachons désormais à mettre en œuvre ces nouvelles obligations rapidement et intégralement », a déclaré Nanna-Louise Linde, vice-présidente de Microsoft chargée des affaires gouvernementales européennes à Reuters.

« Avec la décision prise aujourd’hui, nous rendons contraignants pour sept ans ou plus les engagements pris par Microsoft de mettre fin à ses pratiques de vente liée qui pourraient empêcher ses concurrents de rivaliser efficacement avec Teams. La décision d’aujourd’hui ouvre donc la concurrence sur ce marché crucial et garantit que les entreprises peuvent choisir librement le produit de communication et de collaboration qui répond le mieux à leurs besoins » affirme Teresa Ribera, vice-présidente exécutive chargée de la transition propre, juste et compétitive, dans le communiqué de la Commission.

robots.txt 2.0 ?

Plusieurs gros éditeurs de sites web étasuniens proposent un nouveau protocole, « Really Simple Licensing » (RSL). Celui-ci permet de préciser aux côtés du fichier robots.txt les conditions, notamment financières, dans lesquelles les contenus d’un site peuvent être utilisés par les entreprises d’IA génératives pour entrainer leurs modèles. Reste à voir si les entreprises d’IA génératives, nombreuses à passer outre les robots.txt, seront enclines à respecter RSL comme un standard.

La promesse de « Really Simple Licensing » (RSL) est de faire un protocole « vraiment simple » pour indiquer aux robots crawlers des entreprises d’IA générative ce qu’ils ont le droit de faire et de ne pas faire avec le contenu d’un site web et dans quelles conditions. Le protocole est soutenu par le RSL Collective, créé par l’ancien CEO de Ask.com Doug Leeds, le Français et ancien de Datadog Geraud Boyer et l’ancien vice-président des produits chez Yahoo, Eckart Walther.

Depuis l’arrivée des IA génératives, leur crawlers sont, de plus en plus, devenus un sérieux problème pour le web, allant jusqu’à mettre en péril des sites. Les responsables de petits sites comme de gros, ont du mal à faire respecter aux entreprises d’IA générative leurs conditions d’utilisation. Les trois créateurs du RSL Collective espèrent que RSL deviendra un standard pour « offrir une rémunération équitable et standardisée aux éditeurs et aux créateurs, ainsi qu’un système de licence simple et automatisé aux entreprises spécialisées dans l’IA », comme ils l’affirment dans leur communiqué de presse. RSL a obtenu le soutien d’éditeurs du web comme Reddit, Quora, O’Reilly ou encore Medium.

Évolution du RSS pour s’adapter aux IA génératives

Dans son guide, le collectif explique que « Really Simple Licensing (RSL) est une évolution des premières idées à l’origine de la norme RSS largement adoptée, qui fournissait un cadre lisible par machine permettant aux éditeurs de syndiquer du contenu à des clients tiers et à des robots d’indexation en échange de trafic ». Il faut préciser que des années avant d’être vice-président chez Yahoo, Eckart Walther a travaillé chez Netscape où il a, entre autres, co-créé le format de flux de données RSS.

L’idée est de mettre en place un protocole pour que, « lorsqu’un article, un ensemble de données ou une image est utilisé par un système d’IA pour générer une réponse à l’aide d’un modèle de base, alimenter une application RAG ou répondre à un agent IA, le propriétaire du contenu » reçoive une compensation « équitable » et qu’il soit cité.

Le RSL est donc un document au format XML qui permet « aux éditeurs, auteurs et développeurs d’applications :

• De définir les conditions d’octroi de licence et de rémunération, y compris la gratuité, le paiement à la consultation et le paiement à l’inférence, pour utiliser les ressources numériques à des fins de formation en IA, de recherche sur le Web et d’autres applications
• De créer des catalogues publics standardisés et des conditions d’octroi de licence pour les ressources numériques ;
• De permettre aux clients d’automatiser l’octroi de licence et le paiement pour un accès légal aux ressources numériques ;
• De définir et de mettre en œuvre des accords standardisés en matière de licence et de redevances ».

Il ne remplace pas le robots.txt, mais il l’enrichit. C’est d’ailleurs dans le fichier robots.txt qu’il faut spécifier l’url de la licence RSL.

Pas encore un standard

Le collectif RSL affiche une page qui s’adresse aux entreprises d’IA qui voudraient bien prendre en compte leur protocole. Car, si le collectif est soutenu par plusieurs éditeurs importants du web, aucune entreprise d’IA générative ne semble prête à l’adopter. Ainsi, interrogées par notre consœur d’Ars Technica, ni Google, Meta ou OpenAI n’ont voulu commenter et xAI n’a pas répondu.

Aussi, si le collectif RSL parle de « standard » pour son protocole, celui-ci n’est pas encore validé par la communauté. Il n’est d’ailleurs pas la première initiative en cours pour faire le ménage et proposer aux entreprises d’IA générative à respecter la volonté des auteurs et des éditeurs. Du côté de chez Cloudflare, l’entreprise propose déjà depuis juillet à ses clients des outils pour bloquer les crawlers des IA par défaut. L’entreprise essaye de devenir un intermédiaire entre ses clients et les entreprises d’IA pour assurer une négociation financière.

Début juillet aussi, Creative Commons a proposé CC Signals, un cadre pour l’utilisation des contenus par les IA qui s’appuie sur les fichiers robots.txt et les headers HTTP pour ajouter de nouvelles informations.

L’adoption d’un réel standard pour permettre l’automatisation de l’obtention d’une licence et d’une rétribution en contrepartie de l’utilisation de contenus du web par les IA génératives ne semble pas pour tout de suite. Il faudra ensuite que les entreprises du secteur acceptent de s’y plier, alors que certaines d’entre elles passent depuis longtemps outre les indications se trouvant dans les fichiers robots.txt.