De rouille et dors

Afin de sécuriser WhatsApp, Meta a procédé au « plus grand déploiement jamais réalisé de code Rust sur un ensemble diversifié de plateformes et de produits », et annonce vouloir accélérer l’adoption du langage de programmation sécurisé Rust au cours des prochaines années. La messagerie intègre par ailleurs un mode anti-logiciels espion ou malveillants.

WhatsApp vient d’annoncer, ce mardi 27 janvier, « une nouvelle mesure de protection de la confidentialité : les paramètres de compte stricts » (« Strict Account Settings » en VO), semble-t-il inspirée du mode de protection avancé (« Advanced Protection Mode » en VO) introduit par Google en 2020 puis du mode Lockdown mis en œuvre par Apple en 2022 pour réduire la surface d’attaque des Android et iPhone face aux logiciels espion « mercenaires ».

Elle s’adresse en effet elle aussi aux personnes qui, journalistes ou personnalités publiques notamment, « peuvent avoir besoin de mesures de sécurité extrêmes pour se protéger contre les cyberattaques rares et hautement sophistiquées », ou qui pensent « être la cible d’une attaque informatique », précise WhatsApp sur son blog :

« Si vous activez cette fonctionnalité, certains réglages de compte seront verrouillés sur les paramètres les plus restrictifs, ayant pour effet de limiter le fonctionnement de WhatsApp dans certains cas de figure, en bloquant par exemple les pièces jointes et les médias envoyés par des personnes qui ne figurent pas dans vos contacts. »

Les paramètres de compte stricts, qui seront déployés progressivement au cours des prochaines semaines, seront accessibles en accédant à Paramètres > Confidentialité > Avancé.

Une décision qui remonte à la faille Stagefright de 2015

WhatsApp précise que ces paramètres de compte stricts « constituent l’un des nombreux moyens que nous avons développés pour vous protéger des cybermenaces les plus avancées ». L’entreprise indique également avoir « déployé en coulisses un langage de programmation appelé Rust pour protéger vos photos, vidéos et messages face aux logiciels espions, et vous permettre de partager et de discuter en toute confiance ».

Dans un billet technique séparé, mais publié dans la foulée, Meta revient plus en détails sur le fait que WhatsApp a « adopté et déployé une nouvelle couche de sécurité pour ses utilisateurs, développée avec le langage de programmation sécurisé Rust », dans le cadre de ses efforts visant à renforcer ses défenses contre les menaces liées aux logiciels malveillants.

Meta explique que cette décision fait suite à la découverte, en 2015, de la vulnérabilité Stagefright qui permettait de pirater les terminaux Android à partir d’un simple MMS :

« Le bug résidait dans le traitement des fichiers multimédias par les bibliothèques fournies par le système d’exploitation, de sorte que WhatsApp et d’autres applications ne pouvaient pas corriger la vulnérabilité sous-jacente. Comme la mise à jour vers la dernière version d’un logiciel peut souvent prendre des mois, nous avons cherché des solutions qui permettraient d’assurer la sécurité des utilisateurs de WhatsApp, même en cas de vulnérabilité du système d’exploitation. »

• Stagefright : ce que l’on sait de la faille qui permet de pirater Android via un simple MMS

Les développeurs de WhatsApp ont réalisé qu’une bibliothèque C++ utilisée par l’application pour envoyer et formater des fichiers MP4 (appelée « wamedia ») pouvait être modifiée afin de « détecter les fichiers qui ne respectaient pas la norme MP4 et qui pouvaient déclencher des bogues dans une bibliothèque OS vulnérable du côté du destinataire, mettant ainsi en danger la sécurité de la cible ».

Plutôt que de la réécrire, ils en ont développé une version Rust compatible avec la version C++ originale, puis « remplacé 160 000 lignes de code C++(hors tests) par 90 000 lignes de code Rust (tests compris) ».

Le « plus grand déploiement jamais réalisé de code Rust »

Meta précise avoir rajouté « davantage de contrôles » au fil du temps, et que WhatsApp vérifie désormais les « types de fichiers à haut risque » tels que les .pdf, qui « sont souvent vecteurs de logiciels malveillants » :

« Nous détectons également lorsqu’un type de fichier se fait passer pour un autre, grâce à une extension ou un type MIME falsifié. Enfin, nous signalons de manière uniforme les types de fichiers connus pour être dangereux, tels que les exécutables ou les applications, afin qu’ils soient traités de manière spéciale dans l’expérience utilisateur de l’application. »

Cet ensemble de vérifications, qu’ils appellent « Kaleidoscope », « protège les utilisateurs de WhatsApp contre les clients non officiels et les pièces jointes potentiellement malveillantes », avance Meta : « Bien que les vérifications de format ne permettent pas d’arrêter toutes les attaques, cette couche de défense contribue à en atténuer bon nombre ».

Rappelant que le chiffrement de bout en bout de WhatsApp est utilisé par ses trois milliards d’utilisateurs, Meta avance que « nous pensons qu’il s’agit du plus grand déploiement jamais réalisé de code Rust sur un ensemble diversifié de plateformes et de produits destinés aux utilisateurs finaux dont nous ayons connaissance », et précise que « nous prévoyons d’accélérer l’adoption de Rust au cours des prochaines années ».

• Sylvestre Ledru (Mozilla) : de Firefox au noyau Linux, la fulgurante ascension du Rust

Une faille de sécurité corrigée, et une plainte « ridicule »

WhatsApp vient par ailleurs de corriger une faille de sécurité, découverte dans l’application Android par les équipes du Projet Zero de Google en septembre 2025. Elle permettait à un attaquant de rajouter des victimes à des groupes, « puis de leur envoyer un fichier multimédia malveillant automatiquement téléchargé sur l’appareil de la victime sans aucune interaction de sa part », rapporte Neowin.

Il était cela dit possible de s’en prémunir en activant la confidentialité avancée des discussions dans WhatsApp (en appuyant sur les trois petits points en haut à droite, puis sur Infos du groupe), soulignait Neowin dans un précédent article, ou en désactivant le téléchargement automatique des médias (via Paramètres -> Stockage et données).

Ces explications détaillées sur le renforcement de la sécurité de WhatsApp ont par ailleurs été mises en ligne alors que le 23 janvier, trois cabinets d’avocats ont porté plainte contre Meta. Ils l’accusent rien moins que d’avoir comploté pour cacher le fait que les messages WhatsApp ne seraient pas chiffrés de bout en bout, et qu’il serait extrêmement simple à ses employés d’y accéder.

Une accusation qualifiée de « fiction sans fondement » par le porte-parole de Meta et de « ridicule » par plusieurs experts en cryptographie, d’autant que l’un de ces cabinets d’avocats est aussi celui de NSO, l’éditeur du logiciel espion Pegasus condamné l’an passé pour avoir piraté WhatsApp.

• L’avocat de NSO accuse Meta de ne pas chiffrer les messages WhatsApp

Vous avez certainement remarqué que les partis et figures politiques de votre ville multiplient les communications ces temps-ci. La cause n’est pas à chercher bien loin : les 15 et 22 mars 2026 se dérouleront les élections municipales en France. Il ne vous reste d’ailleurs que quelques jours pour vous inscrire sur les listes électorales si ce n’est pas fait.

À cette occasion, la CNIL réactive son observatoire (lancé pour la première fois en 2012) : « Ses missions sont de surveiller les pratiques de communication politique, de dialoguer avec les partis et candidats et d’informer les électeurs sur leurs droits ».

Lors des précédentes élections municipales de 2020, la Commission avait reçu « 3 948 signalements, dont 3 034 dès le 1er tour et 914 au 2e tour dans 329 communes, en majorité dans les grandes agglomérations ». 45 % des signalement concernaient des SMS, 36 % des appels téléphoniques, 12 % des emails, 5 % des courriers et enfin 1 % seulement pour des réseaux sociaux.

La CNIL annonce qu’elle « sera particulièrement attentive au respect des nouvelles règles applicables aux candidats, aux partis politiques et à leurs sous-traitants : les données doivent être collectées directement par le responsable de traitement auprès de la personne concernée ; la seule base légale admise est le consentement de la personne concernée ; le profilage utilisant des données sensibles est interdit ;
le ciblage des mineurs de moins de 17 ans est interdit ». Des ressources à destination des partis et candidats sont disponibles ici.

Pour les électeurs, une fiche pratique rappelle les droits et un formulaire permet de signaler à la CNIL des pratiques jugées interdites. La Commission examinera les signalements tout au long de la campagne afin de « réagir rapidement aux pratiques qui pourraient révéler une méconnaissance des règles applicables et, si nécessaire, de mener des contrôles ».

• Formulaire de signalement pour les élections municipales 2026

La CNIL parle bien de signalements, pas de plaintes : « un signalement vise à porter à la connaissance de la CNIL une pratique, non pas à traiter une situation individuelle. Ainsi, les personnes ne sont pas tenues informées des suites apportées à ce signalement, mais la CNIL pourra l’utiliser pour contacter le candidat concerné ou de décider de procéder à des investigations ». Un bilan sera proposée après les élections.

En France, une autre autorité est chargée de surveiller les élections et plus particulièrement la pluralité politique : l’Arcom. Comme nous l’expliquions en 2024, elle ne voit qu’une partie du spectre – TV et radio – laissant de côté Internet et réseaux sociaux.

• Élections, pluralisme politique et réseaux sociaux : le trio impossible ?

Ça bulle ?

Alors que l’État finalise le rachat de la branche des supercalculateurs à Atos, on apprend que la nouvelle entité sera baptisée… Bull. Un retour aux sources avec une marque historique lancée il y a presque 100 ans pour concurrencer IBM.

Hier, un communiqué a été publié sur le site de Bull : la marque « est officiellement lancée aujourd’hui », enfin relancée devrions nous dire. En effet, c’est « le retour d’une icône technologique historiquement ancrée, réinventée pour une nouvelle ère ». Elle dispose d’une « nouvelle identité et d’une vision clairement affirmée » : « façonner un monde numérique plus performant et responsable, guidé par la durabilité, la souveraineté et des résultats concrets ».

Pourquoi parle-t-on de retour ? Car Bull n’est pas une nouvelle société, loin de là, puisqu’elle a été créée il y a quasiment 100 ans, au début des années 30, afin de concurrencer IBM.

Bull nationalisée en 1982, privatisée en 1994, rachetée par Atos en 2014

En 2014, lors du rachat de Bull par Atos, nous avions rapidement retracé son parcours : « La société connait après la Seconde guerre mondiale une forte croissance, mais durant les années 60, elle cumule de lourdes pertes, se fait manger en partie par les Américains General Electric puis Honeywell, avant de racheter des sociétés puis d’être nationalisée en 1982. L’entreprise affiche ensuite une nouvelle vague de croissance, avant de sombrer à nouveau dans les pertes durant les années 90, plombée par de mauvais choix stratégiques ».

Bull est ensuite privatisée en 1994, puis rachetée par Atos en 2014. Suite à cette opération, c’est un certain Thierry Breton qui devient président du conseil d’administration de Bull. Quelques années auparavant, en 2010, Bull récupérait Amesys, avant de s’en séparer deux ans plus tard suite à l’affaire de la vente de solutions de surveillance à la Libye. Encore un peu avant, en 2004, Bull revendiquait l’« attribution du premier contrat de supercalculateur par le CEA ».

D’Atos à Eviden et maintenant à l’État

Avançons d’une vingtaine d’années, jusqu’en 2022 quand le groupe Atos annonce un plan de transformation en divisant ses activités en deux : Atos Tech Foundations (services d’infogérance, espaces de travail numériques et services professionnels) et Eviden (digital, cybersécurité, calcul avancé, IA et cloud).

C’est alors le « début des opérations sous la marque Eviden, au sein du Groupe Atos ». « Les activités historiques de Bull sont regroupées au sein de la nouvelle entité Eviden, qui devient en 2023, une marque commerciale », explique Eviden. En 2023 toujours, c’est Eviden qui est retenue pour piloter la construction du premier supercalculateur exascale d’Europe : JUPITER (avec l’architecture BullSequana XH3000).

• JUPITER : Eviden (Atos) et ParTec aux commandes du premier supercalculateur exascale européen

Ensuite, fin 2024, l’Agence des participations de l’État (APE) dépose une offre (non engageante) pour racheter des activités Advanced Computing d’Atos (qui était alors encore le propriétaire de Bull). En juin 2025, l’État français confirme avec une offre ferme pour récupérer les activités historiques de la branche Eviden d’Atos : « les divisions Calcul Haute Performance (HPC) & Quantique ainsi que les divisions Business Computing & Intelligence Artificielle ».

2026, c’est la « renaissance de la marque Bull »

Nous voilà donc en janvier 2026 avec la « renaissance de la marque Bull, opérée au sein du Groupe Atos et de sa branche Eviden jusqu’à la finalisation de la vente à l’État français ». La finalisation de cette transaction est attendue « au premier semestre 2026 ».

« La renaissance de Bull constitue une étape stratégique majeure dans son parcours vers le statut d’entreprise privée et indépendante, dans la continuité de la signature d’un accord de cession de titres entre Atos et l’État français le 31 juillet 2025. La finalisation de la transaction, attendue au premier semestre 2026, permettra à Bull d’accélérer sa vision du futur numérique – plus puissant, plus durable, plus souverain et plus ouvert », explique le communiqué.

Bull revendique « plus de 2 500 ingénieurs et experts » ainsi qu’une « R&D de classe mondiale appuyée sur près de 1 500 brevets ». L’entreprise joue sur la notion de souveraineté et se présente comme « le seul acteur européen à concevoir, fabriquer et déployer à la fois des solutions matérielles et logicielles ».

« Avec le lancement de Bull, nous renouons avec notre héritage technologique pour préparer l’avenir. Notre ambition est claire : fournir des technologies de calcul et d’IA puissantes, durables et souveraines, au service d’une innovation maîtrisée et responsable pour les États et les industries », explique Emmanuel Le Roux, directeur de Bull.

Ce dernier semble confiant sur l’avenir, comme il l’expliquait récemment aux Échos : « Le changement d’actionnaire va apporter de la stabilité après des années troublées ». Toujours selon nos confrères, l’intégration de Bull dans Eviden et Atos « n’a jamais été totalement parachevée […] Sur les serveurs et les supercalculateurs demeurait le nom de “Bull”, malgré le rachat par Atos et le placement sous la marque Eviden ». Par exemple avec la gamme BullSequana chez Eviden.

Apple aurait-elle identifié le next big thing en matière d’interaction avec nos appareils électroniques ? L’entreprise, qui a annoncé jeudi soir des résultats financiers record, portés par les ventes d’iPhone 17, a discrètement annoncé l’acquisition de Q.ai, une startup israélienne dont les activités se concentrent sur la façon dont le machine learning peut faciliter la reconnaissance vocale dans des environnements difficiles.

D’après Reuters, qui relaie un communiqué d’Apple (non diffusé sur le site du groupe), Q.ai travaillerait également sur des aspects complémentaires de la reconnaissance vocale : la startup aurait ainsi déposé une demande de brevet portant sur une technologie d’analyse des micro-mouvements du visage à des fins de détection des mots prononcés, des émotions, du rythme cardiaque et d’autres indicateurs.

Si Q.ai était jusqu’ici absolument inconnue du grand public, le nom de son cofondateur éveillera peut-être quelques souvenirs chez certains : le CEO de Q.ai n’est autre que Aviad Maizels, dont la précédente entreprise, PrimeSense, a déjà été rachetée par Apple en 2013.

PrimeSense travaillait à l’époque sur la détection de mouvements et le mapping 3D via caméra. Sa technologie, qui a participé au développement de Face ID (apparue en 2017 avec l’iPhone X), équipait d’ailleurs la première génération du Kinect de Microsoft.

Reste à voir quelles sont les possibilités réelles de la technologie développée par Q.ai, et les intégrations possibles au sein de la gamme Apple. Q.ai « est une entreprise remarquable qui innove en proposant des méthodes nouvelles et créatives pour utiliser l’imagerie et l’apprentissage automatique », commente simplement Johny Srouji, vice-président en charge des technologies hardware chez Apple.

En attendant, la firme de Cupertino fait preuve d’une certaine conviction. Elle aurait en effet mis 1,6 milliard de dollars sur la table pour acquérir Q.ai et sa centaine d’employés, affirme Reuters, ce qui ferait de la startup la deuxième plus grosse acquisition de l’histoire d’Apple, derrière le rachat de Beats (3 milliards de dollars en 2014).