👀

Si le client Thunderbird pour la gestion des e-mails est en perte de vitesse, l’équipe qui en a la charge a de grandes ambitions. Ainsi, une initiative nommée « Thunderbird Pro » évoque la création d’un bouquet de services, pour se battre plus frontalement avec des offres comme Gmail et Microsoft 365.

Depuis que le projet Thunderbird est revenu sous l‘égide de Mozilla, l’ancien client e-mail a rattrapé une partie de son retard. En plus des fonctions ajoutées, son interface a été modernisée via le projet Supernova, même si le logiciel garde une apparence « datée » pour une partie des utilisateurs. Thunderbird se prépare également pour les environnements mobiles, sur Android d’abord via le rachat de K-9. iOS est également concerné, mais le travail sera plus long, car l’équipe de développement ne dispose d’aucune base de départ.

Les webmails plus attractifs

Malgré ces efforts, Thunderbird est en perte de vitesse. « Thunderbird perd chaque jour des utilisateurs au profit d’écosystèmes riches qui sont à la fois des clients et des services, tels que Gmail et Office 365 », indique Ryan Sipes dans un message sur le groupe de planification de Thunderbird.

Pourquoi une telle perte ? On pourrait évoquer les offres plus complètes, les nombreux liens entre services, la possibilité de tout faire au même endroit, la pression des pairs, ou encore la vision très intégrée. De fait, Sipes évoque deux types de verrouillages : « durs », quand ils touchent des problèmes techniques (comme l’interopérabilité avec les clients tiers) et « doux » quand il s’agit de commodités et d’intégration.

Et pour cause, un compte Google ou Microsoft donne accès d’une traite à de nombreux services « gratuits ». En outre, le compte synchronisé permet de s’assurer que l’on verra la même chose sur tous les appareils. Thunderbird, en revanche, fait partie de la vieille école : il faut configurer le logiciel sur chaque ordinateur et ces réglages ne peuvent pas suivre les utilisateurs sur les plateformes mobiles.

La solution ? Un bouquet de services réunis sous la bannière « Thunderbird Pro ».

Thunderbird aura son propre bouquet de services

La vision présentée par Ryan Sipes est celle d’une offre de services en lignes rattachée à Thunderbird et portant l’étendard « Pro ». Pour l’instant, on en compte quatre.

Appointment est ainsi un outil de planification permettant d’envoyer des invitations. Les réponses données sont directement reprises et intégrées au calendrier. Le service est développé depuis environ un an et est actuellement disponible sous forme de bêta depuis son dépôt GitHub, même s’il n’est pas exploitable directement. Les personnes intéressées peuvent cependant l’installer sur un serveur, notamment via Docker.

Vient ensuite Thunderbird Send, qui est la « renaissance » de Firefox Send, de l’aveu même de l’équipe. Il s’agit donc d’un service permettant l’envoi de fichiers, reprenant le même principe, mais dont le code a profondément changé pour être modernisé. Le dépôt GitHub attenant a été ouvert la semaine dernière, avec là encore la possibilité d’aller examiner le code.

Assist sera un assistant IA. Ryan Sipes trace directement un parallèle avec la vision d’Apple. Ainsi, les requêtes seront idéalement traitées en local pour les appareils assez puissants. Dans le cas contraire, les développeurs veulent se servir de la fonction Confidential Computing de NVIDIA pour créer des instances temporaires et anonymes de calculs. Une approche retenue par Apple avec son Private Cloud, même si l’entreprise se sert de Mac pour l’instant et non de GPU NVIDIA. Assist serait purement optionnel et n’a pas encore de dépôt.

Thundermail, le webmail maison

Dernier service, et sans doute le plus important : Thundermail. Il sera le webmail accompagnant l’offre, le pendant en ligne de Thunderbird. Et pour répondre à la question qui vient immanquablement aux lèvres : oui, cela signifiera la création de comptes e-mails.

Selon Sipes, l’équipe expérimente la question « depuis un certain temps », sur la base d’un serveur e-mail existant nommé Stalwart. Ce dernier, en plus de gérer IMAP et POP3, a la particularité de supporter JMAP (JSON Meta Application Protocol). Ce dernier a été pensé pour prendre la relève d’IMAP, mais sa prise en charge reste relativement rare. JMAP est ouvert et normalisé, se veut plus rapide et sécurisé, et propose une approche modernisée capable de donner le change aux technologies propriétaires. On le trouve notamment dans les produits de Fastmail.

« Avec Thundermail, notre objectif est de créer une expérience de messagerie de nouvelle génération qui soit complètement, 100 % open source et construite par nous tous, nos contributeurs et la communauté plus large des contributeurs », affirme ainsi Ryan Sipes. Il ajoute cependant qu’il n’y aura pas de dépôt unique pour concentrer les travaux sur Thundermail. En revanche, certains pans de développement donneront lieu à des partages.

Si le travail a été lancé, le domaine n’a pas encore été choisi. Il s’agira probablement de thundermail.com ou de tb.pro. L’équipe a ouvert une page pour s’inscrire sur liste d’attente et participer à la bêta, bien qu’aucune date n’ait été indiquée.

Comment se différencier ?

Dans le descriptif, les notions d’ouverture et de valeur reviennent régulièrement. Dans un monde largement dominé par les offres de Google et Microsoft, il n’est pas certain en effet qu’un Thunderbird Pro soit réellement visible. D’autant que le projet Thunderbird a besoin d’argent et vit de dons. Mozilla ne lui en donne pas directement, même si la fondation aide le projet par ses infrastructures et autres ressources indirectes.

En conséquence, l’offre Thunderbird Pro sera payante. Dans un premier temps, elle sera offerte aux personnes ayant contribué régulièrement à Thunderbird. Puis des offres payantes seront proposées, même si aucun détail n’est donné. Il n’y a donc pas de fourchette de prix, et on ne sait pas non plus si Mozilla lancera une offre unique comprenant tous les services, ou si ces derniers pourront être choisis à la carte. Si le nombre d’abonnés est suffisant, une offre gratuite verra le jour avec des limitations, comme un espace moindre pour Send (notamment pour éviter les abus).

Pour Ryan Sipes, l’annonce de Thunderbird Pro est la « réalisation d’un rêve ». Il se dit « convaincu que tout cela aurait dû faire partie de l’univers Thunderbird il y a une dizaine d’années », mais qu’il « vaut mieux tard que jamais ». Il exprime des regrets, notamment sur l’importance que l’équipe accorde « aux logiciels libres, aux normes ouvertes, à la protection de la vie privée et au respect [des] utilisateurs », et que l’on ne retrouve pourtant pas dans les services en ligne. À cause de cette carence, Sipes estime que les internautes sont obligés de faire des compromis.

L’orientation générale serait donc le respect de la vie privée, les services étant prévus pour n’effectuer aucun traitement sur les données autres que ceux découlant des tâches déclenchées par les internautes. Des produits développés sur la base de technologies et normes ouvertes, pour combler le fossé avec les offres propriétaires.

Rien de décidé sur chiffrement et l’emplacement des données

The Register s’est entretenu avec Ryan Sipes au sujet de Thunderbird Pro. Plusieurs informations intéressantes ont ainsi été données, notamment sur le chiffrement. La question est d’autant plus importante que Microsoft et plus récemment Google ont annoncé des simplifications en ce sens, mais il s’agit encore une fois de technologies propriétaires.

Selon Sipes, rien n’est encore décidé. Dans les tests, le chiffrement de bout en bout serait simple, mais se heurterait à la nécessité de fournir un système suffisamment simple et compréhensible aux internautes pour en assurer le succès. « Nous avons quelques idées, mais nous allons demander à notre communauté ce qu’elle pense être la meilleure approche », a ajouté Sipes.

Dans une optique de protéger au mieux les données, la question du stockage est encore ouverte. Elle est étudiée « très sérieusement ». À l’heure actuelle, l’infrastructure de test se situe dans l’Union européenne, mais ce choix ne préfigure pas du produit final. L’équipe réfléchit également à permettre de sélectionner soi-même la région dans laquelle entreposer ses données, à la manière de ce que proposent aux entreprises les grands acteurs du cloud.

Simplicité ou sécurité ?

Google vient d’annoncer l’arrivée du chiffrement coté client dans Gmail. Cette fonction va dans un premier temps être proposée aux messageries internes des entreprises. Bien que l’apport de cette technologie soit toujours un pas en avant vers une meilleure sécurité, il ne s’agit pas stricto sensu d’un chiffrement de bout en bout.

Le 1^ᵉʳ avril, Gmail a fêté ses 21 ans. Ce qui était apparu initialement comme un poisson est devenu l’un des produits les plus emblématiques de Google. Hier soir, pour marquer l’évènement, la firme a annoncé une amélioration importante : l’arrivée du chiffrement de bout en bout, dans un format présenté comme simple à exploiter, sans nécessiter de gestion des certificats. Explications.

Le chiffrement de bout en bout vu par Google

Depuis hier soir, Gmail propose aux entreprises disposant de comptes professionnels payants une version bêta. À l’intérieur se trouve une nouveauté : la possibilité d’envoyer des e-mails « chiffrés de bout en bout » à d’autres membres de leur organisation via un système simplifié. Rappelons en effet que Gmail pouvait déjà le faire via S/MIME (Secure/Multipurpose Internet Mail Extensions), mais la configuration de ce dernier n’a rien de simple.

Il s’agit d’une première phase dans le plan de déploiement. Cette version bêta, limitée à un périmètre réduit, va permettre de tester le fonctionnement de ce nouveau chiffrement décrit comme E2EE (End-to-End Encryption). Dans le cas où la personne contactée fait partie de la même entreprise, le contenu du message est automatiquement chiffré. Côté destinataire, il est automatiquement déchiffré.

Comme on peut le voir dans la capture fournie par Google, il faut d’abord activer la fonction, via l’icône de cadenas située en haut à droite de la fenêtre de composition. En bas, un message apparait pour indiquer que l’ouverture de l’e-mail sur l’application mobile Gmail ou une autre plateforme de messagerie affichera un lien invitant à se connecter pour voir le contenu du message sur une version restreinte de Gmail. Le système rappelle le fonctionnement des partages de fichiers dans Google Docs et Sheets. Quand ce système de chiffrement est utilisé, il se substitue à S/MIME.

Durant une deuxième phase, qui commencera dans quelques semaines, le système sera étendu à l’ensemble des adresses Gmail, mais toujours pour les entreprises uniquement. Plus tard dans l’année, sans plus de précision pour l’instant, il pourra être appliqué aux envois vers toutes les plateformes. On retrouvera alors la présentation sous forme d’invitation à se connecter pour lire le message. À noter que si le ou la destinataire de l’e-mail a configuré S/MIME et n’est pas sur Gmail, ce dernier se servira de S/MIME pour envoyer le courrier, comme il le faisait déjà.

Google peu satisfaite du système actuel

L’entreprise rappelle les bienfaits du chiffrement, mais note qu’il est trop souvent complexe à mettre en place. « Alors que de plus en plus d’organisations ont des besoins réels en matière de courrier électronique E2EE, peu d’entre elles disposent des ressources nécessaires pour mettre en œuvre S/MIME », affirme Google.

La société indique ainsi que les entreprises intéressées par le chiffrement de bout en bout font alors face à la complexité de gestion des certificats, qu’il faut notamment déployer auprès de chaque personne dans l’entreprise. Côté grand public, il faut avoir activé S/MIME soi-même et vérifier que les destinataires l’ont fait également, « puis se soumettre aux tracas de l’échange de certificats avant de pouvoir échanger des courriels chiffrés ». Google, qui met bien sûr en avant la simplicité de son approche, évoque les nombreuses « frustrations » qui en découlent.

« Cette capacité, qui ne demande qu’un minimum d’efforts de la part des équipes informatiques et des utilisateurs finaux, fait abstraction de la complexité informatique traditionnelle et de l’expérience utilisateur médiocre des solutions existantes, tout en préservant la souveraineté des données, la confidentialité et les contrôles de sécurité », claironne ainsi Google.

Du chiffrement côté client

La solution de Google est effectivement de considérer l’e-mail comme un document stocké dans Google Drive. Les administrateurs peuvent alors appliquer des règles supplémentaires, par exemple en exigeant que l’ensemble des destinataires externes passent par la version restreinte de Gmail pour lire le contenu, même s’ils ne sont pas eux-mêmes utilisateurs de Gmail.

Pour gérer plus simplement le chiffrement de bout en bout, Google a choisi Client Side Encryption (CSE). La technologie n’est pas nouvelle : la firme la fournit déjà depuis quelques années aux éditions Enterprise Plus, Education Standard et Education Plus de son Workspace. Comme indiqué sur la page du CSE, les données sont chiffrées côté client avant leur envoi, supprimant la possibilité de les lire pour les intermédiaires, y compris Google. Les organisations l’utilisant peuvent fournir leurs propres clés. C’est sur ce paramètre que les administrateurs peuvent agir, en forçant CSE pour l’ensemble des membres de l’organisation.

Attention toutefois : bien que l’on parle de chiffrement de bout en bout, ce n’est pas 100 % vrai. CSE chiffre bien les données avant leur envoi, mais les clés sont gérées de manière centralisée par l’équipe d’administration, qu’elles soient générées par le service ou fournies directement par l’organisation. Traduction, les administrateurs seront en mesure de voir le contenu des e-mails.

Peu importe pour Google, qui parle surtout de simplification et d’élimination des frictions. Cette solution de chiffrement ne sera d’ailleurs pas activée par défaut et est présentée comme un moyen supplémentaire d’augmenter la sécurité des échanges.

Une question de confiance

Au-delà de la confiance qu’une entreprise peut accorder à ce type de système, la solution retenue par Google interroge : les destinataires utilisant d’autres plateformes vont-ils faire confiance à ces e-mails ?

La question est loin d’être anodine, car le message ne sera pas directement affiché. Si vous recevez un tel courrier, vous verrez simplement quelques lignes d’explications sur le contexte et un bouton vous invitant à cliquer pour aller lire le contenu. Or, ce fonctionnement en rappelle un autre : les tentatives d’hameçonnage.

Google a conscience que sa solution peut ne pas inspirer confiance. Si vous utilisez par exemple Outlook.com sans avoir mis en place S/MIME, vous verrez ce type de message, avec l’invitation à cliquer. Google a « prévu le coup » : dans le texte, un passage explique qu’il est conseillé de ne cliquer que si vous avez une entière confiance en l’expéditeur. Mais même ainsi, il est possible qu’une partie des destinataires suppriment le courriel sans vraiment lire l’avertissement, tant le contenu pourrait ressembler à une tentative de phishing.

Et si ce déploiement semble familier, c’est que Microsoft a déployé exactement la même capacité en janvier, nommée Purview Message Encryption. Le fonctionnement, réservé aux entreprises abonnées à la formule E5, est identique, avec une lecture directe des courriels tant que l’on reste dans Outlook, mais affiche un lien sur les autres plateformes. Et même si Google applique la même stratégie que Microsoft dans ce domaine, les deux systèmes sont bien sûrs incompatibles.

Michael Waltz, le conseiller à la sécurité de Donald Trump, n’a en tout cas pas attendu l’arrivée du CSE pour se servir de Gmail dans des échanges gouvernementaux, comme l’a révélé hier le Washington Post. Nous reviendrons plus en détail sur ce sujet plus tard dans la journée.

Garanti sans poisson

Mozilla vient de publier la version 137 de son navigateur. Firefox se dote pour l’occasion d’une capacité présente chez les concurrents depuis longtemps : la possibilité de grouper les onglets. Avec d’autres améliorations, la mouture est à ranger parmi les versions marquantes.

La nouveauté la plus visible de Firefox 137 est donc le regroupement d’onglets. C’est aussi celle que tout le monde ne verra pas tout de suite, car elle est en déploiement, Mozilla l’activant petit à petit. Il existe cependant des méthodes pour l’obtenir tout de suite (nous y reviendrons).

Enfin des groupes d’onglets

Comment fonctionne le regroupement d’onglets dans Firefox 137 ? Exactement comme partout ailleurs. Il y a deux façons principales de créer des groupes : soit en déplaçant un onglet par-dessus un autre, soit en faisant une sélection de plusieurs onglets et en choisissant « Ajouter les onglets à un nouveau groupe ».

Dans les deux cas, un liseré coloré apparait sous les onglets pour les lier. La couleur du groupe peut être personnalisée, de même que le nom. Depuis l’étiquette colorée du groupe, un clic droit permet d’autres actions, autrement accessibles par des mouvements de souris. Par exemple, on peut saisir une étiquette pour faire sortir tout le groupe d’onglets vers une autre fenêtre ou pour en créer une nouvelle.

Si vous ne voyez pas encore la fonction et que vous ne souhaitez pas attendre, il y a une solution. Rendez-vous dans la barre d’adresse et entrez about:config. Cherchez l’entrée « browser.tabs.groups.enabled » en passant par le champ de recherche. Double-cliquez sur le résultat et passez la valeur à « True ». Il suffira de redémarrer Firefox pour que la fonction soit disponible. Autre solution, moins fiable : passer par le canal bêta, où les groupes d’onglets sont activés d’origine.

Du neuf dans la barre de recherche

Plusieurs améliorations importantes également pour faciliter l’utilisation de la barre de recherche. Firefox 137 permet ainsi de changer le contexte en cliquant à gauche de la barre, sur le bouton Google ou correspondant au moteur par défaut. Dans la liste, en plus des moteurs, on peut maintenant choisir entre les marque-pages, les onglets, l’historique et les actions. On peut même sélectionner les paramètres de recherche.

Cette bascule entre les éléments est d’ailleurs accompagnée d’une persistance : changer le contexte de recherche ou le moteur n’efface pas les termes entrés dans la barre.

Firefox 137 peut aussi détecter si la page sur laquelle vous êtes dispose d’un champ de recherche. Auquel cas, écrire dans la barre de recherche peut suggérer de lancer l’action sur le site en cours, plutôt que dans le moteur par défaut. Du moins en théorie, car cette capacité est loin de fonctionner partout. On peut la voir par exemple sur iMDB, mais pas sur Allociné. Si vous vous servez deux fois de cette fonction, Firefox finira par vous proposer d’ajouter ce moteur de recherche à la liste intégrée.

On peut également se servir du symbole @ pour ajouter un contexte spécifique à la recherche. Par exemple, @google pour lancer une recherche sur Google, @onglets pour retrouver un onglet, etc. Pratique quand on préfère ne pas lâcher son clavier.

Enfin, la barre de recherche permet de réaliser des opérations mathématiques, le résultat s’affichant dans le menu en-dessous.

D’autres nouveautés bienvenues

Firefox 137 est également une version importante pour Linux, car le codec HEVC (H.265) y est maintenant pris en charge, logiciellement et matériellement. Mozilla en profite pour étendre ce support à sa version Android, mais uniquement à travers le matériel.

Le support des PDF fait également un petit bond avec le support des signatures, que l’on peut enregistrer pour plus tard. En outre, le lecteur intégré sait détecter les liens dans le texte pour les rendre exploitables.

On note plusieurs changements pour les développeurs, dont le support des méthodes Math.sumPrecise() et Atomics.pause(). Signalons aussi le respect du quota de 10 Mo pour l’API storage.session ainsi que l’affichage des métadonnées dans le panneau Fonts de l’Inspecteur. Le panneau Réseau autorise de son côté le contournement des réponses aux requêtes avec des fichiers locaux.

Enfin, Firefox 137 corrige huit failles de sécurité, dont trois critiques. L’installation est donc chaudement recommandée.

Libérés de la liberté de choisir

L’entreprise compte verrouiller encore un peu plus la création de compte sur Windows 11, pour rendre obligatoire le compte Microsoft. La dernière préversion du système bloque ainsi l’utilisation d’une méthode courante pour contourner cette étape. Mais ce court-circuit a déjà son propre court-circuit.

L’année dernière, Microsoft avait expliqué pourquoi un compte maison était si important pour Windows 11. Il déverrouille de nombreuses fonctions, dont la synchronisation des fichiers, des paramètres et autres, l’intégration de Microsoft 365, la sauvegarde des licences et de certaines clés de chiffrement, etc.

Problème, une partie des utilisateurs préfère utiliser un compte local. Tout le monde ne court pas après la synchronisation des informations. Ou, pour être plus précis, la synchronisation par Microsoft, avec le stockage des données personnelles chez l’éditeur américain. Pendant longtemps, les Windows ont permis la création d’un compte local. Mais Windows 11 a commencé à serrer la vis, avec des méthodes de contournement, comme la coupure de la connexion internet pendant la première configuration du système.

Nouveau tour de vis

Dans un billet, Microsoft a présenté récemment les préversions 26200.5516 et 26120.3653, respectivement pour les canaux Dev et Beta. Les nouveautés présentées sont nombreuses : recherche sémantique pour les PC Copilot+ équipés de processeurs AMD et Intel, récapitulatif écrit pour le Narrateur, ou encore des améliorations pour l’écran d’erreur vert en cas de redémarrage forcé, le Copilot et la fenêtre de partage.

Mais parmi les changements, on trouve également le blocage du contournement par BypassNRO. Les deux listes incluent en effet le message suivant : « Nous supprimons le script bypassnro.cmd de la version de base afin d’améliorer la sécurité et l’expérience utilisateur de Windows 11. Ce changement garantit que tous les utilisateurs sortent de la configuration avec une connectivité Internet et un compte Microsoft ».

Cette commande pouvait être utilisée depuis une invite de commande (Maj + F10) pendant la première configuration de la machine, après installation du système. Il suffisait alors d’entrer « oobe\bypassnro » pour contourner l’exigence d’un compte Microsoft, autorisant la création d’un compte local. Le script créait une clé dans la base de registre.

Contourner le contournement

Si Microsoft a bloqué le script pendant l’installation des préversions, la clé de registre peut toujours être créée. La méthode consiste à déclencher directement l’opération par la ligne de commande, même si cette dernière est nettement plus longue à écrire que le simple script bypassnro.cmd.

Il faut saisir deux commandes :

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f

shutdown /r /t 0

Si la ligne de commande vous semble trop rébarbative, il est également possible de le faire à la souris dans l’éditeur de registre. Pour cela, depuis l’invite de commande (toujours Maj + F10), entrez « regedit » et validez. Rendez-vous dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, puis créez la clé OOBE si elle n’existe pas. Là, dans ce dossier, créer une valeur DWORD 32 bits nommée « BypassNRO » et affectez lui la valeur 1. Il faudra ensuite redémarrer la machine.

Attention toutefois, Microsoft pourrait également bloquer cette possibilité. Le changement étant apparu dans des préversions, il serait simple pour l’éditeur d’insérer un nouveau blocage dans les prochaines semaines.

Ajoutons également que ce « bypass » reste fonctionnel sur les révisions stables de Windows 11, y compris la dernière 24H2.

Enfin, une autre méthode est apparue il y a six mois environ, comme relevé par Neowin notamment. Elle passe par l’utilisation de la console de développement juste avant de choisir une deuxième disposition pour le clavier pendant l’assistant de première configuration. Bien que la méthode soit clairement expliquée sur un dépôt GitHub, elle n’a pas fonctionné chez nous sur une installation neuve de Windows 11 24H2, malgré de multiples tentatives.

Notez qu’en passant par l’utilitaire Rufus, il reste possible pour l’instant de créer une clé d’installation Windows 11 sans le verrouillage sur le compte Microsoft. Pour mémoire, ce même utilitaire peut aussi être utilisé pour désactiver la vérification de la présence de la puce TPM 2.0, comme nous l’indiquions en février.

• Windows 11 : quatre méthodes pour contourner TPM 2.0

Nouvelle mouture pour la suite d’outils. Le plus gros apport de cette version 0.90 est la version 2 de Run, désormais renommé Command Palette (ou Palette de commandes). La palette fonctionne comme ce que l’on connait dans d’autres applications, comme Visual Studio Code. Son interface a été enrichie, son système d’extensions retravaillé et un accent particulier a été mis sur les performances.

Le Color Picker, qui permet de sélectionner la couleur d’un pixel n’importe où dans l’écran, a été remanié sous le capot. .NET WPF remplace ainsi WPFUI, ce qui doit apporter une meilleure compatibilité à l’outil et un support amélioré des thèmes.

Parmi les autres nouveautés, on peut citer également la possibilité d’effacer directement un fichier dans Peek (Aperçu), le support des variables dans les noms de fichiers dans New+, la correction de plusieurs bugs dans FancyZones, ainsi qu’une autre pour Espaces de travail, qui ne parvenait parfois pas à capturer certaines applications minimisées.

La mise à jour est disponible depuis la fenêtre principale des PowerToys. Pour les personnes qui voudraient essayer la suite d’outils (bien pratique), l’installeur se récupère depuis le Microsoft Store ou le dépôt GitHub associé. Rappelons que ces applications sont open source (licence MIT).

Le SignalGate a d’heureuses conséquences pour Signal. L’application de messagerie sécurisée a été utilisée par plusieurs membres éminents du gouvernement américain pour discuter d’un plan d’attaque au Yémen. Michael Waltz, conseiller à la sécurité de Donald Trump, a cependant invité par erreur un journaliste dans la conversation. Le contenu de la conversation a été publié par The Atlantic depuis.

Même si la Maison-Blanche minimise depuis l’incident, la bourde reste monumentale. Comme on l’a vu en fin de semaine dernière, l’évènement a beaucoup attiré l’attention sur Signal. Une médiatisation pas toujours bienveillante et qui a poussé la fondation à prendre la parole, pour expliquer comment fonctionne sa plateforme. On a également vu sa présidente, Meredith Whittaker remettre quelques pendules à l’heure dans les comparaisons avec WhatsApp.

À Wired, la fondation a indiqué en fin de semaine dernière que le nombre quotidien de téléchargements avait doublé. Il s’agirait de la plus forte augmentation jamais constatée par Signal en 11 ans d’existence. « Dans l’histoire de Signal, c’est le moment où la croissance aux États-Unis a été la plus forte, et de loin. C’est époustouflant, même pour nous », a ainsi déclaré Jun Harada, responsable croissance et partenaires à la fondation Signal.

Signal ne fournit aucun chiffre précis, mais ajoute que l’explosion a commencé juste après la publication de The Atlantic. Mieux, les chiffres se maintiendraient depuis. Wired cite les chiffres de Sensor Tower, qui vont dans le sens des déclarations de Signal, avec un boum de 105 % des téléchargements d’une semaine sur l’autre, et de 150 % par rapport à une semaine moyenne en 2024. Dans le reste du monde, l’augmentation serait d’environ 21 %.

Lancé la semaine dernière, le modèle Gemini 2.5 Pro Experimental représente la dernière offensive de l’éditeur dans le domaine de l’IA générative. Il s’agit d’un modèle de « raisonnement », capable de s’arrêter après chaque étape du processus de réponse pour examiner la précision des informations. Ces modèles sont plus précis et se trompent moins, surtout en mathématiques et en développement, mais ils sont plus longs à répondre.

Les modèles de raisonnement coutant plus cher à faire fonctionner, ils sont souvent réservés aux abonnements payants ou alors mettent du temps à être proposés au grand public gratuitement. Mais – surprise ! – Google a décidé que tout le monde devait avoir son Gemini 2.5 Pro Experimental.

L’annonce a été faite sur X samedi, avec une disponibilité du modèle sur la version web. Hier, Google annoncé que le déploiement avait aussi commencé sur les applications mobiles. L’entreprise n’a fourni aucune date ni fenêtre. Sur nos smartphones, l’application Gemini ne proposait pas encore Gemini 2.5 Pro.

Cela ne signifie pas pour autant que les utilisateurs gratuits peuvent utiliser le nouveau modèle de raisonnement autant qu’ils le souhaitent. L’usage est limité (on ne sait pas exactement dans quelle mesure), l’abonnement Gemini Advanced faisant sauter ces limites, en plus de fournir un contexte d’un million de jetons.

Force tranquille

Après la bêta de Fedora 42 la semaine dernière, c’est au tour de Canonical de présenter la préversion de son Ubuntu 25.04, alias Plucky Puffin (macareux moine). Le système, dont la version finale est prévue le 17 avril, comporte une série d’améliorations plus discrètes que sa concurrente, mais dispose quand même de composants très récents.

La nouvelle mouture d’Ubuntu sera bientôt disponible, même si elle ne concernera qu’une partie du parc installé. Il ne s’agit en effet pas d’une version LTS (Long Term Support). Par défaut, les personnes utilisant Ubuntu 24.04 LTS resteront donc sur cette plateforme. Seuls les utilisateurs ayant choisi de rester sur le cycle semestriel recevront la mise à jour.

Contrairement à Fedora qui sert de laboratoire à Red Hat, les nouveautés des Ubuntu sont souvent plus discrètes. Dans le cas de la prochaine 25.04 cependant, les composants fournis sont les derniers (dans l’immense majorité des cas), y compris pour le noyau Linux.

Des composants très récents

Cette bêta intègre les dernières briques disponibles, y compris le très récent noyau Linux 6.14. Publié il y a quelques jours, il comporte des améliorations majeures. Par exemple, le pilote NTSYNC simulant les primitives de synchronisation du noyau Windows est terminé, avec des gains de performances dans certains jeux. Le pilote AMDXDNA permet quant à lui l’exploitation du NPU des processeurs Ryzen AI. Citons également une suspension et une reprise plus rapides pour certains systèmes, des opérations cryptographiques plus rapides pour AES-GCM et AES-XTS sur les processeurs AMD modernes ou encore une avancée pour la prise en charge des pilotes écrits en Rust.

Sans surprise, l’édition principale d’Ubuntu est fournie avec GNOME 48. Nous n’allons pas refaire toute la liste des apports. Rappelons simplement que cette version présente une nouvelle police par défaut, de nombreuses mises à jour pour les applications internes, une nouvelle liseuse de documents (Papers, qui remplace Evince), un meilleur support de Temps d’écran à travers tout l’environnement, ou encore le regroupement des notifications selon la source.

Côté composants système, on peut citer l’intégration de systemd 257.4, Mesa 25.0.x, PipeWire 1.2.7, BlueZ 5.79, Gstreamer 1.26, Power Profiles Daemon 0.30, OpenSSL 3.4.1 et GnuTLS 3.8.9. Pour le développement, on pourra compter sur Python 3.13.2, GCC 14.2 (malgré la disponibilité de GCC 15, déjà présent dans Fedora 42), glib 2.41, binutils 2.44, Java 24 GA, Go 1.24, Rust 1.84 (par défaut, plus ancien disponible), LLVM 20 et .Net 9.

Pour ce qui est des applications, on retrouve la « bande » habituelle : Firefox 136, Thunderbird 128, GIMP 3.0 (fraichement sorti), LibreOffice 25.2.2, VLC 3.0.21, Blender 4.3.2 (mais pas la 4.4) ou encore Audacity 3.7.3.

Quelques changements sous le capot

Les nouvelles versions d’Ubuntu ont beau être discrètes sur les changements visibles, elles comportent souvent une longue liste d’améliorations ou modifications internes. On commence avec un cas pratique : le service de géolocalisation. Ubuntu a longtemps utilisé celui fourni par Mozilla. La fondation a cependant annoncé son arrêt il y a un plus d’un an, pour laisser le temps de trouver des solutions alternatives. Dans le cas d’Ubuntu, il s’agit de BeaconDB, toujours expérimental. Il est utilisé pour la détection du fuseau horaire, la météo et la fonction Lumière nocturne.

Ubuntu 25.04 prend également en charge le Dynamic Boost de NVIDIA, activé par défaut pour les machines compatibles. Cette fonction est responsable de l’allocation dynamique des calculs au CPU ou au GPU en fonction des besoins. C’est elle qui permet notamment cette bascule vers le GPU lorsqu’un jeu est détecté. La fonction existe depuis un certain temps sur Linux, mais n’avait pas encore été intégrée dans Ubuntu. C’est désormais le cas, via le service nvidia-powerd (automatiquement désactivé sur les configurations non compatibles).

On reste dans la partie graphique avec le support « officiel » du HDR. Les guillemets sont de rigueur, car si le réglage est disponible, il n’est pas activé par défaut. Il n’apparait d’ailleurs dans Paramètres > Affichage que si un écran compatible est détecté. En outre, il s’agit d’un travail en cours, qui ne fonctionnera pas toujours et qui – pour l’instant – coupe malheureusement les raccourcis clavier pour modifier la luminosité de l’écran.

On note aussi la dernière révision de NetworkManager (1.52) avec plusieurs ajouts notables. Par exemple, le support de DNS over TLS (DoT), le support des configurations Oracle Cloud et d’ethtool FEC, ou encore la possibilité de prioriser IPv6 lorsque possible. Puisque l’on parle de réseau, signalons le support de wpa-psk-sha256 pour les connexions Wi-Fi, la possibilité de configurer une politique de routage, ou encore celle d’attendre que des serveurs DNS soient configurés (et joignables) pour considérer qu’une interface est effectivement en ligne.

Des améliorations dans l’installeur

Sans partir sur une base totalement neuve comme dans Fedora 42, l’installeur d’Ubuntu 25.04 comporte plusieurs améliorations sympathiques. Il est notamment capable de détecter les installations existantes d’Ubuntu. Il ne propose pas de mettre à jour par ce biais, mais on peut choisir d’installer Plucky Puffin aux côtés du système actuel, sans y toucher, tant qu’il y a suffisamment d’espace disponible non partitionné.

Cette détection améliorée s’étend aux systèmes Windows en place et prend donc mieux en charge le dual boot, y compris quand la partition Windows est chiffrée via BitLocker. Dans ce cas, Ubuntu peut être installée sans « casser » le boot, là encore à condition qu’il y ait suffisamment d’espace disque non partitionné.

Le support des configurations ARM64 fait également un bond, grâce justement à des améliorations dans l’installeur. La préversion du système prend ainsi en charge l’ensemble des configurations Windows on ARM à base de puces SnapDragon, y compris les PC Copilot+ intégrant des SnapDragon X. Attention cependant, cette version nécessite encore du travail et est fournie surtout pour rendre compte de l’avancée des travaux. En outre, la logithèque est nettement moins fournie.

Petits ajouts et téléchargement

Comme toujours, on trouve un peu partout de petites améliorations, mais qui ont parfois un impact important. Par exemple, le paquet xdg-terminal-exec est installé par défaut. Conséquence ? On peut désormais appeler le terminal par le raccourci clavier Ctrl + Alt + T. D’ailleurs, les nouvelles fenêtres s’ouvrent maintenant au centre de l’écran.

On note aussi une série de nouvelles icônes pour des applications comme Logiciels et EarTag. Puisque l’on parle d’icônes, Ubuntu 25.04 corrige un petit problème apparu avec la version précédente du système, où certaines applications avaient une icône légèrement plus grande que d’autres. Plucky Puffin a bien sûr un nouveau fond d’écran mettant en avant le macareux.

Le téléchargement de l’image ISO peut se faire depuis cette page pour la distribution principale, ou depuis celle-ci pour l’une de ses variantes. Comme d’habitude, on rappellera qu’il s’agit d’une préversion et qu’elle peut contenir des bugs et autres incompatibilités.

Les personnes intéressées par des tests (notamment pour vérifier la compatibilité des applications) ont trois semaines avant que la version finale soit proposée en téléchargement. Dans la foulée, toutes les installations ayant actuellement Ubuntu 24.10 recevront la mise à jour.

iOS 18 a introduit la possibilité de déclarer des applications par défaut pour un plus grand nombre de catégories, notamment pour les appels et les messages. Comme le fait remarquer iGen, bien que cette ouverture ait initialement été faite pour satisfaire l’Europe, elle s’est répandue dans les autres marchés.

On aurait pu penser que les plateformes de messageries allaient sauter sur l’occasion, mais WhatsApp semble être la première. La dernière mise à jour de l’application permet en effet de la déclarer par défaut pour les appels et les messages. Il suffit de se rendre dans les réglages de l’iPhone ou de l’iPad, d’aller tout en bas sur « Apps », puis d’ouvrir « Apps par défaut ».

Malgré la présence d’autres messageries sur l’un de nos appareils, comme Signal et Telegram, WhatsApp semble seule à pouvoir être déclarée par défaut sur ces deux usages. À noter que Zoom peut être utilisée pour les appels.

Que change concrètement ce choix ? Surtout les possibilités affichées en premier dans les fiches contact de l’appareil, quand on appuie sur le bouton Message, Appel ou Vidéo. L’application par défaut y apparait en premier, les autres possibilités étant rangées dans un sous-menu.

L’éditeur n’a jamais vraiment communiqué de manière claire sur l’ensemble des nouveautés prévues dans son système. Comme le signale Neowin, il aura fallu attendre la quatrième année de Windows 11 pour que Microsoft fournisse une « roadmap » à son produit.

Sur une page dédiée, on peut constater 26 éléments référencés, accompagnés d’un descriptif, de leur statut et de la date prévue pour leur disponibilité en version finale. On peut d’ailleurs voir que l’élément en tête de liste, Recall, est considéré comme disponible en préversion depuis novembre dernier, mais sans date de déploiement prévue.

Quitte à arriver bien tard avec cette roadmap, Microsoft a quand même fait les choses correctement. La liste peut ainsi être triée selon plusieurs facteurs, on dispose d’un champ de recherche et de nombreux éléments ont un lien vers un billet de blog dédié et détaillé sur la fonction.

La liste permet ainsi d’avoir une vue de synthèse sur ce qui est prévu dans le système au cours des prochains mois. « Improved Windows Search », par exemple, fait référence à une nouvelle recherche intégrée, basée sur l’indexation sémantique et réservée aux PC Copilot+. Son déploiement vient de commencer.

On peut également voir qu’une mise à jour importante arrivera le mois prochain. On y trouvera plusieurs nouveautés intéressantes, comme la navigation du clavier logiciel à la manette de jeu, un calcul plus fiable du taux d’occupation CPU dans le gestionnaire des tâches, la possibilité de supprimer l’historique de géolocalisation, plusieurs améliorations pour l’accessibilité (dont Voice Access), ou encore la possibilité de choisir et personnaliser des widgets à épingler sur l’écran verrouillé. Notez que les ajouts prévus pour le mois prochain sont en cours de test sur la branche Release Preview.

Pour l’instant, la liste renseigne surtout sur les plus gros ajouts prévus à court terme. Si on descend, Microsoft affiche aussi ceux réalisés au cours des quelques derniers mois. On espère que l’entreprise tiendra correctement à jour cette page.

L’édition Classic de World of Warcraft dispose d’un mode Hardcore. Son principe, comme dans d’autres jeux contenant ce genre de mode, est aussi simple que radical : si votre personnage meurt, c’est pour de bon. En temps normal, tout joueur peut être ressuscité, avec une petite « perte de temps » à la clé.

La règle du mode Hardcore s’accompagne d’un corolaire chez Blizzard : il n’y a aucune exception. Que vous soyez mort(e) au cours d’un raid, à cause d’une chute ou simplement d’une déconnexion, il n’y a aucun moyen de contestation. Plus exactement, vous pouvez contester, mais Blizzard ne fera rien. Aucune exception n’a été faite depuis que le mode existe.

Jusqu’à maintenant, et pour des raisons très spécifiques. World of Warcraft, au même titre que nombre de plateformes en ligne, subit régulièrement des attaques distribuées par déni de service (DDoS). Il semble que certaines de ces attaques aient visé tout particulièrement la guilde OnlyFangs (on appréciera le jeu de mots), comme le rapporte Ars Technica.

Ainsi, au cours des dernières semaines, une partie de la guilde a vu ses personnages mourir pour cause d’inaccessibilité soudaine des serveurs, entrainée par ces attaques. Or, les membres de la guilde ont commencé à s’interroger : les attaques DDoS semblaient calquées sur leur planning de raid, quand ils se réunissaient en groupe pour s’attaquer à du contenu haut niveau (le Repaire de l’Aile Noire).

La situation a empiré, jusqu’à ce qu’un membre important de la guilde finisse par publier un message dans Discord annonçant la fin probable de l’aventure. Il indique ne plus se sentir à l’aise avec l’investissement demandé, « juste pour faire un raid avec l’anxiété et probablement la réalité d’être à nouveau DDOSé et de mourir ».

Or, il y a deux jours, Blizzard a réagi. Dans un message publié dans les forums, l’éditeur évoque des « attaques DDoS sans précédent » et annonce que la règle absolue sur les morts en mode Hardcore est amendée. « Contrairement aux nombreuses autres façons dont les personnages peuvent mourir dans Hardcore, les attaques DDoS sont le fruit d’efforts malveillants de la part d’acteurs tiers, et nous pensons que la gravité et les résultats des attaques DDoS justifient une réponse différente », indique l’entreprise.

« À l’avenir, Blizzard pourra choisir – à notre seule discrétion – de faire revivre les personnages Hardcore qui périssent lors d’un événement de masse que nous jugeons incompatible avec l’intégrité du jeu, tel qu’une attaque DDoS », a donc décidé Blizzard. À noter que le message concerne manifestement l’ensemble des joueurs et joueuses affectés, et pas spécifiquement la guilde OnlyFangs.

Des différences « obscurcies par le marketing ».

Signal traverse une drôle de période. La messagerie sécurisée, mise en lumière par la récente gaffe du gouvernement Trump, bénéficie d’une attention pas toujours bénéfique. Parallèlement, la présidente de la fondation signal, Meredith Whittaker, affronte le directeur de WhatsApp sur les écarts entre les deux messageries.

Les derniers jours ont vu une attention renouvelée sur la messagerie sécurisée Signal. Le terme « Signal » désigne aussi bien la messagerie que le protocole utilisé. Celui-ci est connu depuis longtemps pour son chiffrement de bout en bout, qui garantit qu’une conversation n’est connue que de l’expéditeur et ses destinataires. Signal, en tant que fournisseur du service, n’a pas accès aux contenus.

Un contexte étonnant

Cette attention est due en partie à une énorme bourde commise par Michael Waltz, conseiller de Donald Trump à la sécurité. L’éminent personnage a invité par erreur le journaliste Jeffrey Goldberg, rédacteur en chef de The Atlantic, dans une conversation de groupe. Ce dernier a accepté et a découvert, à sa grande surprise, une discussion sur les frappes programmées au Yémen contre les Houthis. Le groupe comprenait notamment le vice-président des États-Unis, J.D. Vance, le secrétaire à la Défense, Pete Hegseth, et le chef de la diplomatie américaine, Marco Rubio.

Au sein de la conversation, des hauts responsables du gouvernement partageaient ainsi des plans d’attaque. Jeffrey Goldberg a pris des captures d’écran de toute la conversation et a quitté le groupe. La Maison-Blanche, depuis, a indiqué à plusieurs reprises qu’il ne s’agissait pas d’un problème. The Atlantic a donc demandé s’il était possible de publier le reste des informations. Refus de la Maison-Blanche. Publication des informations par The Atlantic.

Dans ce contexte troublé, les lumières se sont braquées brusquement sur la messagerie. Même si son protocole sert à l’une des messageries les plus utilisées de la planète – WhatsApp a environ 2,3 milliards d’utilisateurs – Signal reste en effet une plateforme peu utilisée, avec 40 à 70 millions d’utilisateurs.

• The Atlantic publie le plan d’attaque divulgué via Signal par l’administration Trump

Signal tient à s’expliquer

L’un des problèmes auxquels fait face Signal est le constat que les membres de la fameuse discussion n’ont pas utilisé une messagerie recommandée par la Maison-Blanche. La plateforme garde son aura de service grand-public. Des accusations sur une sécurité insuffisante sont donc apparues. En outre, il est possible dans Signal de faire disparaitre les messages, manuellement ou automatiquement, contrevenant aux lois américaines sur la conservation des données gouvernementales. Et pour ajouter au trouble, un rapport du Pentagone, datant du 18 mars, a fait surface pour rappeler que Signal avait été la cible de pirates et que la messagerie contenait « une vulnérabilité ».

Pour Signal, c’est une mauvaise compréhension de ce qu’est une messagerie sécurisée. La fondation parle ainsi d’une « information erronée » qu’elle « doit combattre ». Ainsi, l’utilisation du mot « vulnérabilité » ne renvoie pas directement à une faille dans Signal, mais à une mise en garde contre les escroqueries par hameçonnage. Autrement dit du phishing, comme nous l’avons vu en février.

Signal relève que le phishing n’a rien de nouveau et qu’il ne s’appuie pas sur des faiblesses dans la sécurité intrinsèque du produit. La fondation, consciente cependant qu’il était possible d’inciter à l’erreur humaine, a modifié certains aspects dans la gestion des contacts et mis en place un système d’alarme interne, pour prévenir d’erreurs potentielles. « Ces travaux sont terminés depuis un certain temps et n’ont aucun lien avec les événements actuels », ajoute la fondation.

L’éditeur rappelle en outre que Signal est un logiciel libre : « Notre code est régulièrement examiné, en plus des audits formels ». Et la fondation de conclure : « C’est pourquoi Signal reste la référence en matière de communications privées et sécurisées ».

« Le chiffrement ne peut pas vous protéger de la stupidité ».

Tout le problème du phishing repose sur l’erreur humaine. Le niveau de sécurité peut grimper, elle reste le meilleur moyen d’entrer, en incitant une personne à donner un accès malgré elle ou lui faisant cliquer sur un lien menant vers un site capable d’exploiter une faille, par exemple.

Dans le cas de Signal, la technique consistait à faire scanner un code QR à quelqu’un. Ce code sert à lier un appareil au compte, permettant alors l’utilisation de la messagerie sur un ordinateur ou une tablette, en plus du téléphone. Des pirates s’étaient ainsi débrouillés pour piéger des personnes, ce qui aboutissait à l’ajout d’appareils détenus par le groupe malveillant.

Mais, comme la communication de Signal le pointe, il existe une grande différence entre être piégé et ajouter par mégarde une personne dans une conversation. Ainsi que le relève 404 Media, « le chiffrement ne peut pas vous protéger contre l’ajout de la mauvaise personne à un groupe de discussion », l’utilisateur ayant le contrôle de ses discussions. En revanche, nos confrères recommandent chaudement d’utiliser la fonction permettant d’affecter des pseudonymes aux contacts, pour s’assurer que l’on parle aux bonnes personnes.

Le cryptologue Matthew Green a exprimé la même idée, de manière beaucoup plus franche : « Le chiffrement ne peut pas vous protéger de la stupidité ». Il recommande également d’utiliser Signal.

Bisbilles avec WhatsApp

Chez Signal, l’affaire a provoqué au départ un certain amusement. Le 24 mars, Matthew Rosenfeld, créateur de Signal généralement mieux connu par son pseudo Moxie Marlinspike, s’en est amusé sur X : « Il y a tant de bonnes raisons d’être sur Signal. Y compris maintenant la possibilité pour le vice-président des États-Unis d’Amérique de vous ajouter au hasard à un groupe de discussion pour la coordination d’opérations militaires sensibles ». Il s’est cependant trompé, puisque l’invitation est partie du conseiller à la sécurité.

Parallèlement, une guerre de communication s’est installée entre WhatsApp et Signal, presque frères ennemis. Le premier a beau utiliser le protocole du second, il existe des différences nettes dans la collecte des données et ce qui est effectivement chiffré, au-delà du seul contenu des conversations et appels audio/vidéo.

C’est le cœur du message de Meredith Whittaker, présidente de la fondation Signal. Elle a réagi le 25 mars aux propos de Will Cathcart, directeur de WhatsApp, qui avait déclaré à des journalistes néerlandais que la sécurité était la même dans les deux messageries. En outre, il a affirmé que WhatsApp ne gardait pas de trace de qui communique avec qui et quand, et que ni la position géographique ni les informations sur les contacts n’étaient partagées avec d’autres entreprises.

• Meredith Whittaker (Signal) : « L’IA est un outil des puissants contre ceux qui ont moins de pouvoir »

Technique contre marketing

Meredith Whittaker a donc souhaité donner quelques précisions : « WhatsApp dispose d’une licence pour la cryptographie de Signal afin de protéger le contenu des messages pour le grand public. Ce n’est pas le cas de WhatsApp pour les entreprises. Ni WhatsApp grand public ni WhatsApp professionnel ne protègent les métadonnées intimes telles que la liste des contacts, qui envoie des messages à qui, quand, la photo du profil, etc. Et, lorsqu’elles y sont contraintes, comme toutes les entreprises qui collectent des données au départ, elles transmettent ces données importantes et révélatrices ».

Elle invite cependant à ne pas « se méprendre » : « Nous sommes ravis que WhatsApp utilise notre technologie pour améliorer la protection de la vie privée dans son application […]. Mais il s’agit là de différences essentielles en matière de protection de la vie privée et le public mérite de les comprendre, compte tenu des enjeux. Il ne faut pas qu’elles soient obscurcies par le marketing ». 

Le développement d’Android se fait depuis toujours sur deux branches en parallèle : la branche interne, dans laquelle Google intègre ses nouveautés, et la branche AOSP (Android Open Source Project, sous licence Apache 2.0). Les deux sont gérées en même temps, Google reversant au fur et à mesure les modifications validées dans la branche open source.

L’éditeur a cependant décidé de changer ses plans, comme il l’a indiqué hier à Android Authority. Le développement de certains composants se fait en effet dans la branche AOSP (comme la pile Bluetooth, le cadre de virtualisation, SELinux…), mais la majorité se fait dans la branche interne. Cette dernière est donc en avance sur la branche publique la plupart du temps. Les deux développements progressant à des vitesses différentes, la fusion entraine des problèmes, Google publiant alors des correctifs.

Pour remédier à ce qu’il considère comme un problème de rationalisation et de complexité inutile, Google internalise donc tout le développement d’Android. Cela ne signifie pas que le système devient fermé, « simplement » que tous les développements seront d’abord réalisés sur la branche interne. Les modifications seront reversées régulièrement à la branche publique, toutes ensemble. Le problème de fusion des branches serait donc évité.

Selon Google, ce changement prendra effet la semaine prochaine. Il ne devrait pas entrainer de changements majeurs pour les développeurs, ni pour les plateformes utilisant AOSP (comme LineageOS), qui attendent en général des versions spécifiques. En revanche, ce changement a une répercussion sur la temporalité : la branche publique sera systématiquement en retard de plusieurs semaines sur la branche interne. Les développeurs participant à AOSP auront ainsi moins de visibilité.

Android Authority dit comprendre l’intérêt technique de ce changement, qui lui semble aller dans le bon sens. En revanche, nos confrères relèvent qu’il sera plus complexe pour les journalistes de découvrir à l’avance certaines technologies. L’année dernière, l’examen du code avait permis de déterrer de nettes améliorations à venir pour la caméra des téléphones Pixel.

Sur Windows et macOS, Discord déploie actuellement une importante mise à jour de son client de conversation.

On y trouve plusieurs nouveautés significatives, dont une modernisation de l’interface, avec un remaniement léger de toute la fenêtre, de nouveaux choix de couleurs (dont deux modes plus sombres, Sombre et Onyx) ou encore la possibilité de choisir entre trois niveaux de densité des informations. On peut aussi redimensionner – enfin – la liste des salons.

Le principal apport de cette nouvelle mouture est cependant un overlay complètement réécrit. Cette couche de superposition, qui apparait dans les jeux en haut à gauche de l’écran pour indiquer qui est présent et qui parle, était parfois critiquée pour ses incompatibilités avec des logiciels anti-triche ou son impact sur les performances de certains jeux.

Dans son annonce, Discord indique l’avoir entièrement refait, abandonnant sa vieille méthode pour une nouvelle présentée comme beaucoup plus respectueuse. Le nouvel overlay serait nettement plus rapide et peut surtout être déplacé n’importe où sur l’écran. Une barre d’action a été ajoutée pour contrôler les paramètres vocaux et vidéos, les appels ou encore les messages. Une approche tout en widgets qui rappelle fortement la barre Xbox sous Windows.

La nouvelle version est déployée depuis hier soir. Si vous ne la voyez pas, un redémarrage de l’application devrait suffire.

Parmi les multiples griefs de l’Europe à l’encontre d’Apple dans le cadre du DMA, il y a la question du navigateur par défaut sur iOS.

Pour remédier au problème, Apple a proposé un écran de sélection dans iOS 17.4. Il n’a cependant pas satisfait à toutes les exigences et a provoqué la colère des éditeurs tiers. Apple a révisé sa copie avec iOS 18. Cette fois, le choix du navigateur – parmi une liste en ordre aléatoire des douze plus utilisés en Europe – ne pouvait plus être passé. En outre, l’écran de sélection apparaissait dès le premier lancement de Safari après installation de la mise à jour, pour être présent chez l’ensemble des utilisateurs.

Cette nouvelle version a plu, avec un impact positif en Europe sur le nombre d’utilisateurs des navigateurs tiers, comme nous le rappelions récemment. Au point que la Commission européenne n’envisagerait finalement aucune amende pour Apple, comme le rapporte Reuters. L’agence de presse indique en effet que l’enquête devrait être close en début de semaine prochaine, sans conséquence pour l’entreprise.

Reuters rappelle que la décision interviendra dans un contexte tendu entre l’Europe et la Maison-Blanche, celle-ci estimant que les sociétés américaines doivent être régies par des lois américaines.

Le DMA et le DSA sont tout particulièrement dans l’œil de Washington, d’autant que la Commission doit encore se prononcer sur plusieurs affaires, dont la libre information des offres promotionnelles dans les applications tierces. Meta fait également l’objet de plusieurs enquêtes, notamment pour ses abonnements permettant de retirer la publicité, mais sans couper les traitements de données personnelles pour les personnaliser.

En fin de semaine dernière s’est tenu le Minecraft Live. Durant cet évènement, l’éditeur Mojang a annoncé plusieurs nouveautés, dont certaines importantes. Une importante mise à jour graphique va avoir lieu, qui n’est pas sans rappeler les objectifs du « Super Duper Pack » qui avait été proposé pour l’édition Bedrock, avant d’être supprimé, car trop complexe à maintenir.

La future mise à jour, nommée « Vibrant Visuals », proposera ainsi un éclairage directionnel, un brouillard volumétrique ainsi que « des milliers d’éléments conçus individuellement » pour enrichir l’aspect visuel du jeu. Il s’agit de traitements graphiques venant s’ajouter sur la base du jeu qui, elle, ne change pas : Minecraft reste tourné vers le pixel et les graphismes « old school ».

« Grâce aux améliorations apportées par l’éclairage volumétrique, vous pourrez observer les rayons du soleil traverser l’Overworld et chaque bloc projeter sa propre ombre. La lumière brillera à travers vos fenêtres et vous pourrez voir des reflets dans l’eau et sur la surface des blocs métalliques, tandis que la diffusion sous la surface apportera une douce lueur aux feuilles et à l’herbe », a déclaré Mojang.

Ces fonctions seront optionnelles et pourront donc être complètement désactivées, si l’on préfère le rendu classique, ou si les performances ne sont pas assez bonnes. Le jeu de base Minecraft, tant qu’il n’est pas modifié, réclame en effet plus de puissance du processeur qu’une bonne carte graphique. En revanche, les effets ajoutés tireront largement parti du GPU et Mojang n’a pas abordé la question de la configuration nécessaire. L’éditeur a quand même précisé que ce point serait bientôt abordé, car il fait actuellement l’objet de tests.

On ne sait pas non plus quand cette mise à jour sera proposée. Elle sera d’abord proposée sur l’édition Bedrock, puis répercutée sur l’édition Java. Dans tous les cas, Vibrant Visuals fonctionnera avec l’ensemble des mondes existants, puisqu’il s’agit de traitements graphiques. Par ailleurs, la version spéciale RTX, créée en partenariat avec NVIDIA, n’est pas remise en cause, mais restera à part.

Dans une interview donnée à IGN, Ingela Garneij, productrice de Minecraft Vanilla, a donné plusieurs autres informations. Par exemple, il ne faut pas attendre de Minecraft 2, en dépit des rumeurs courant depuis longtemps. Elle indique cependant que l’équipe compte continuer à fournir des mises à jour pendant des années, même si le travail n’est pas simple. La technologie utilisée a 15 ans et ralentit les ajouts.

Dans deux mois l'interdiction ?

Après bien des péripéties, l’article 8ter de la proposition de loi Narcotrafic a été définitivement rejeté cette nuit à l’Assemblée nationale, en séance publique. Réintroduit par plusieurs députés, il a été largement critiqué, notamment par les députés Éric Bothorel et Philippe Latombe. La voie semble désormais dégagée pour le projet de loi Résilience.

La France aurait pu se doter d’une législation permettant aux forces de l’ordre de disposer d’entrées dans les messageries sécurisées. Dans le cadre de la proposition de loi Narcotrafic, destinée à renforcer la lutte contre le crime en bande organisée, l’article 8ter autorisait les agents à ouvrir les conversations de personnes faisant l’objet d’une demande d’interception.

Rapidement, l’article 8ter a crispé des députés et experts en sécurité. Même la ministre déléguée au Numérique et à l’IA, Clara Chappaz, désapprouvait l’article en l’état, appelant à une approche plus nuancée. En face, Bruno Retailleau, ministre de l’Intérieur, et Gérald Darmanin, ministre de la Justice, le soutenaient largement.

L’article 8ter avait été ajouté au Sénat, durant le premier examen du texte. C’est en commission des lois, avant son passage à l’Assemblée nationale, que l’article a été réellement débattu pour la première fois. Une pluie d’amendements de suppression l’attendait.

Rengaine

Pourtant, de porte dérobée il n’était pas question, selon Bruno Retailleau. Dans un jeu d’équilibriste, le ministre de l’Intérieur a tenté de convaincre la commission des lois que la solution technique envisagée ne consistait pas à perforer les protocoles de chiffrement de bout en bout ou de séquestrer les clés de chiffrement. La solution souhaitée était celle du « fantôme » : quand une personne était visée par une enquête et pouvait faire l’objet d’une technique d’interception, les forces de l’ordre pouvaient se glisser dans la conversation comme une troisième personne invisible dans le groupe.

Peine perdue. Plusieurs députés sont montés au créneau : quelle que soit la méthode retenue, la technique revenait dans tous les cas à affaiblir le chiffrement, puisque la promesse que personne ne puisse écouter était rompue. Éric Bothorel (Ensemble) et Philippe Latombe (Les Démocrates) ont, en particulier, listé à plusieurs reprises les mêmes arguments, de même que Guillaume Poupard et Vincent Strubel, respectivement ancien et actuel directeurs de l’ANSSI. L’article était ainsi décrit comme inutile car inapplicable, puisqu’il réclamait le concours de grandes entreprises américaines. En outre, il suffisait que des messageries soient concernées pour que les criminels se dirigent vers d’autres solutions.

Les amendements de suppression ayant été adoptés en commission des lois, contre l’avis du gouvernement, il existait cependant une possibilité que des députés réintroduisent l’article 8ter pour l’examen en séance publique à l’Assemblée. Ce qui fut fait, notamment sous l’impulsion de Paul Midy (Ensemble) et Olivier Marleix (Droite Républicaine).

Des arguments une nouvelle fois démontés

La nouvelle rédaction de l’article voulait apaiser les craintes. Comme nous l’avions indiqué cependant il y a quelques jours, le fond ne changeait pas : malgré l’assurance qu’aucune porte dérobée ne serait introduite, il était toujours question de contourner le chiffrement de bout en bout.

Bruno Retailleau était de nouveau dans l’hémicycle hier soir pour défendre l’article 8ter nouvelle formule. L’accent a été mis sur la nécessité de renforcer les moyens dans la lutte antiterroriste notamment par une « solution souveraine ». Selon lui, la « généralisation du recours aux messageries cryptées (sic) » rend les services français « aveugles ».

Et de citer la solution technique d’Apple pour la détection des contenus pornographiques dans le cadre de la lutte contre la pédopornographie ou du signalement des messages inappropriés sur WhatsApp, qui permet de les envoyer pour examen sous une forme déchiffrée. Surtout, le ministre a insisté : « Il n’y aura pas de porte dérobée, car n’y auront accès que les seules personnes autorisées ». Argument pourtant connu et caduc depuis longtemps.

L’intervention d’Éric Bothorel sur le plan technique était claire : une porte dérobée reste une porte dérobée. La comparaison avec Apple tombe de plus à plat, car l’outil choisi effectuait des comparaisons d’empreintes numériques (hash) avec une base centralisée. Ajoutons que la mention de WhatsApp ne tient pas non plus, puisque le signalement est une démarche volontaire et que le chiffrement n’est levé que sur des messages ciblés.

Comme on peut le voir sur La Chaine Parlementaire, les critiques ont été nombreuses. « Ce sont des amendements d’affichage qui démontrent que vous ne connaissez rien à la cybersécurité », a ainsi asséné Aurélien Lopez-Liguori (Rassemblement national). « Tous les opérateurs nous le disent : nous ne sommes pas en capacité technique de le faire », a de son côté pointé Arthur Delaporte (Socialistes). « Ce n’est pas seulement mettre en danger l’intimité, les discussions de nos concitoyens, c’est aussi mettre en danger l’intégrité de la France et sa sécurité », a fustigé Sandra Regol (Ecologiste et social).

Large rejet et place nette pour le projet de loi Résilience

La séance a duré jusqu’à minuit, notamment à cause d’une panne qui a nécessité un vote par la voix. La réintroduction de l’article 8ter a finalement été rejetée par 129 voix contre 24.

Contacté, Philippe Latombe ne cache pas sa satisfaction : « Cette fois, on en est débarrassés ! ». « C’était une énorme connerie. Ce n’est pas parce qu’on veut absolument lutter contre les narcotrafiquants qu’il faut se permettre de mettre à mal toute la sécurité économique, industrielle, toute la cybersécurité de la France. Et quand je dis ça, je limite le champ, car il y aurait de nombreux impacts partout ailleurs », ajoute le député.

Sur LinkedIn, l’avocat Alexandre Archambault évoque une issue « prévisible au regard du premier rejet massif en commission et de l’absence de majorité du Gouvernement ». Il a cependant critiqué « un problème de méthode », un « manque flagrant de connaissances de la part du Législateur » et une « totale méconnaissance du droit national et européen ».

Le rejet définitif de l’article 8ter éclaircit également la voie pour le projet de loi Résilience. Transposant les directives européennes NIS2, DORA et REC, il doit entrainer une hausse majeure du niveau de cybersécurité et de résilience en France face aux attaques. Or, après son passage au Sénat, il a reçu un amendement surprise : l’interdiction formelle d’introduire toute forme de porte dérobée dans les solutions de chiffrement.

La validation de l’article 8ter aurait mis à mal cet amendement. Comment en effet interdire les portes dérobées après avoir accepté d’en introduire pour le « seul » bénéfice des forces de l’ordre ? Ce qui ne garantit pas en l’état que l’amendement du PJL Résilience sera adopté, comme l’indique Philippe Latombe : « Rien n’est fait, ça ne veut pas dire que le débat va bien se passer. Mais ça enlève une difficulté ».

Dans une mise à jour publiée hier après-midi sur sa chaine, Pavel Durov, fondateur de Telegram, n’était pas peu fier d’annoncer le passage d’un cap symbolique pour sa messagerie : le milliard d’utilisateurs. Le dernier chiffre communiqué était de 950 millions en juillet 2024.

Durov donne également quelques statistiques pour montrer l’engagement croissant des utilisateurs avec la plateforme. Chaque personne ouvrirait ainsi en moyenne 21 fois l’application chaque jour, pour une moyenne d’utilisation quotidienne de 41 min. Surtout, la messagerie est désormais annoncée comme rentable, avec un bénéfice de 547 millions de dollars en 2024.

Dans sa joie, Durov s’emballe : « Devant nous se trouve WhatsApp – une imitation bon marché et édulcorée de Telegram. Pendant des années, ils ont désespérément essayé de copier nos innovations tout en dépensant des milliards en lobbying et en campagnes de relations publiques pour nous ralentir. Ils ont échoué. Telegram s’est développé, est devenu rentable et, contrairement à notre concurrent, a conservé son indépendance ».

Il est vrai que les applications Telegram sont riches en fonctions. Elles sont légères et rapides, ont mis l’accent très vite sur la personnalisation et ajoutent régulièrement des nouveautés. Comptes d’entreprises, canaux de discussions ou encore blockchain (avec TON) ont ainsi permis à l’entreprise de devenir rentable.

Cependant, WhatsApp existe depuis plus longtemps que Telegram, dispose d’une base utilisateurs de 2,2 milliards d’utilisateurs mensuels et, surtout, dispose par défaut du chiffrement de bout en bout des conversations, appels audios et vidéos (basé sur le protocole Signal). Chez Telegram, le chiffrement de bout en bout n’existe que lorsqu’une conversation est déclarée « secrète » et ne peut pas s’appliquer aux groupes, ni aux appels.