Vous prendrez bien un petit café avec cette actualité ?

Let’s Encrypt teste auprès de ses clients un nouveau service : la délivrance de certificats TLS/SSL attribués non pas à un nom de domaine, mais à une adresse IP. Plusieurs autorités de certification la proposaient déjà, mais le service de Let’s Encrypt, qui devrait être déployé plus largement d’ici à la fin de l’année, présente l’intérêt d’être gratuit…

Let’s Encrypt a annoncé mardi l’émission de son premier certificat associé à une adresse IP. Une page de test permet de confirmer l’efficacité du dispositif : le navigateur accède directement à une adresse IPv6 et pourtant, la connexion se fait bien en HTTPS, ce qui confirme la détection d’un certificat valide.

En plus de l’adresse IP, on remarque dans les détails du certificat qu’il est aussi valable pour les noms de domaine, ici abad.cafe. Let’s Encrypt ne parle que d’IPv6 dans ses exemples, mais rien ne devrait empêcher les certificats de fonctionner avec des IPv4, à confirmer lorsque la fonctionnalité sera disponible.

L’autorité, placée pour mémoire sous le contrôle de l’Internet Security Research Group (ISRG), indique que cette nouvelle fonctionnalité est pour l’instant proposée à une sélection de clients dans son environnement de simulation (staging).

Pourquoi certifier une adresse IP ?

Dans les usages du quotidien, l’internaute lambda réalise sa navigation courante au moyen d’URL, qui reposent sur des noms de domaine, puis sur des résolveurs DNS chargés de faire le pont entre ces derniers et l’adresse réseau de la machine que l’on souhaite contacter. Dit autrement : pour lire Next, j’entre le domaine next.ink dans mon navigateur, et non l’adresse IP du serveur qui héberge le site.

• [Dossier] Internet, mode d’emploi : de l’URL à l’IP avec le DNS (partie 2)

L’utilisation des noms de domaine présentent de multiples avantages, à commencer par celui de constituer un référentiel permanent, là où l’adresse IP d’une machine peut changer. Si le serveur qui héberge Next migre vers une nouvelle infrastructure, son adresse IP changera, mais le site restera accessible via l’adresse next.ink.

« Étant donné que les adresses IP peuvent changer si facilement, le sentiment de « propriété » que l’on peut avoir à leur égard – ou qu’une autorité de certification peut être en mesure d’attester – a tendance à être plus faible que pour un nom de domaine », estime de ce fait Let’s Encrypt. Dans la pratique, la plupart des certifications TLS/SSL, qui servent pour mémoire à garantir le chiffrement des échanges entre le client (votre navigateur) et le serveur, portent donc sur des noms de domaine.

Il existe toutefois plusieurs cas de figure dans lesquels l’internaute peut avoir besoin d’utiliser directement une adresse IP… le plus évident d’entre eux étant d’offrir la possibilité de se connecter à un serveur Web de façon sécurisée sans avoir à acheter un nom de domaine.

Entre autres scénarios, Let’s Encrypt évoque l’accès distant à des appareils domestiques de type NAS ou domotique – qui soulève la problématique de l’adresse IP dynamique chez certains fournisseurs d’accès à Internet, ou l’établissement d’une session éphémère à une infrastructure distante, à des fins d’administration de serveur par exemple.

Bien que ces usages puissent être considérés comme relevant d’une niche, la demande d’une certification des adresses IP est formulée auprès de Let’s Encrypt depuis au moins 2017, remarque The Register. Et la question se pose depuis nettement plus longtemps, comme en témoignent ces échanges de 2010…

Plusieurs autorités de certification se sont d’ailleurs déjà positionnées sur le sujet, mais leurs offres sont payantes, là où Let’s Encrypt propose un service gratuit.

Adaptations techniques

Pour profiter de ces certificats d’adresses IP, il faudra toutefois patienter, puisque Let’s Encrypt évoque une disponibilité en production « courant 2025 ». « Avant cette disponibilité générale, nous pourrions autoriser l’émission de listes pour un nombre limité de partenaires susceptibles de nous faire part de leurs retours », précise l’autorité.

Let’s Encrypt justifie notamment ce délai par la nécessité de laisser le temps nécessaire aux éditeurs de logiciels pour adapter leurs clients à cette évolution, mais souhaite également faire d’une pierre deux coups. La disponibilité générale des certificats pour adresses IP devrait ainsi intervenir en même temps qu’un autre changement majeur, préparé de longue date : le passage à des certificats « courts », dont la durée de vie sera limitée à six jours.

L’audiovisuel public s’est trouvé un nouveau canal de distribution : la plateforme Prime Video de l’américain Amazon. À compter du 3 juillet, cette dernière offre en effet à ses abonnés « l’accès à l’intégralité de l’offre france.tv – première plateforme de streaming gratuit en France – avec les directs des chaînes (France 2, France 3, France 4, France 5 et France Info), les programmes en preview et en replay ainsi que les contenus exclusifs », indiquent les deux groupes.

« Avec ce mode de distribution inédit, notre groupe franchit une étape historique pour renforcer la visibilité de son offre de service public, et ainsi permettre à tous les publics de retrouver et découvrir la richesse unique de france.tv sur de nouveaux environnements », se réjouit Delphine Ernotte-Cunci, PDG de France Télévisions, dans un communiqué. Les chaînes du groupe disposeront d’un emplacement dédié (un « corner ») sur la page d’accueil du service de streaming d’Amazon, au même titre que ses autres partenaires tels que MGM, Paramount ou OCS.

L’arrivée d’émissions de flux, fournies par un acteur de la télévision linéaire, constitue une première pour Amazon Prime Video en France. Cette annonce intervient quelques jours seulement après que TF1 et Netflix ont dévoilé un accord de distribution similaire, dont la mise en œuvre n’interviendra toutefois qu’à l’été 2026.

Microsoft a confirmé mercredi au Seattle Times qu’un nouveau tour de vis se préparait au sein de ses équipes. L’entreprise affiche son intention de se séparer d’un maximum de 4 % de ses effectifs, soit environ 9 000 personnes, sans préciser comment ces coupes franches allaient se répartir entre les différentes unités business et implantations géographiques.

Il semblerait tout de même que la division jeu vidéo soit concernée au premier chef, avec des réductions d’effectifs envisagées dans plusieurs studios du groupe. King, éditeur de Candy Crush, tombé dans le giron de Microsoft suite au rachat d’Activision Blizzard, devrait par exemple se séparer d’environ 200 personnes, soit 10 % de ses équipes.

Un courrier adressé aux salariés par Phil Spencer, patron de la division Xbox, illustre la justification avancée par Microsoft : diminuer au maximum les couches intermédiaires de management quand elles ne sont pas indispensables, et réduire les effectifs sur les sujets les moins stratégiques, pour concentrer les efforts sur les projets considérés comme les plus porteurs.

Microsoft, qui compte environ 228 000 employés dans le monde, multiplie les vagues de départ depuis deux ans. En mai, l’entreprise avait déjà entrepris de faire sortir quelque 6 000 personnes. En 2024, l’éditeur avait déjà procédé à des réductions d’effectifs au sein des branches HoloLens et Azure, ainsi que dans sa division jeux vidéo. Début 2023, Satya Nadella avait annoncé un plan de départ visant 10 000 postes.

Microsoft a publié le 30 avril dernier ses résultats pour le troisième trimestre de son exercice fiscal 2025, clos au 31 mars. L’entreprise fait état d’un chiffre d’affaires de 70,1 milliards de dollars, en hausse de 13 % sur un an, et d’un résultat net de 25,8 milliards de dollars sur le trimestre.

Accusés de harcèlement moral et sexuel et pour l’un, de tentative d’agression sexuelle, trois anciens cadres d’Ubisoft ont été condamnés mercredi par le tribunal de Bobigny à des peines allant jusqu’à trois ans de prison avec sursis et 30 000 euros d’amende. Lors de leur procès, les prévenus s’étaient retranchés derrière l’idée d’une culture d’entreprise dont ils n’auraient pas été directement responsables.

Le tribunal de Bobigny a rendu mercredi son délibéré dans le procès des trois anciens cadres et dirigeants d’Ubisoft accusés de harcèlement moral et sexuel à l’encontre de plusieurs personnes de leurs équipes. Il a finalement suivi les réquisitions du parquet en ce qui concerne le principal protagoniste de l’affaire.

D’après l’AFP, qui rapporte ce verdict, c’est en effet Thomas François, vice-président du service éditorial, qui a été condamné à la peine la plus lourde, à savoir trois ans de prison avec sursis et 30 000 euros d’amende, pour harcèlement moral, harcèlement sexuel et tentative d’agression sexuelle.

Des réquisitions suivies

Les faits incriminés se sont produits entre 2012 et 2020, date à laquelle l’éditeur de jeu vidéo a procédé à son licenciement pour faute grave, après que les accusations de harcèlement répété mené à l’encontre de ses équipes eurent été rendues publiques, notamment par l’intermédiaire d’une enquête de Libération. A l’époque, une vingtaine de témoins rapportaient l’ambiance délétère entretenue par Thomas François, à base de supposées blagues en forme d’humiliations.

Lors du procès, début juin, l’intéressé avait minimisé les humiliations en question, expliquant par exemple qu’il n’avait pas compris la gêne de l’intéressée lorsqu’il avait ligoté l’une de ses collaboratrices à une chaise avant de la mettre dans l’ascenseur.

Son supérieur Serge Hascoët, directeur créatif d’Ubisoft de 2000 à 2020 et donc numéro deux de l’éditeur derrière Yves Guillemot jusqu’à sa démission, a quant à lui été condamné à 18 mois de prison avec sursis et 45 000 euros d’amende pour complicité de harcèlement moral. Les nombreux témoignages apportés au procès appuyaient l’hypothèse selon laquelle il aurait laissé son protégé sévir à sa guise.

Le procès a également mis en lumière comment Hascoët profitait de sa position pour faire réaliser à ses subalternes des tâches servant ses besoins personnels et non la bonne marche de l’entreprise. « Hascoët s’est défendu en affirmant qu’il n’avait aucun souvenir de tous ces événements, qu’il n’avait rien vu des agissements de Tommy François, qu’il ne pensait pas à mal », rapporte à son sujet Libération.

Le troisième accusé, Guillaume Patrux, ancien game director du projet AGOS: A Game Of Space, a quant à lui été condamné à 12 mois de prison avec sursis et à 10 000 euros d’amende « pour son comportement violent et intimidant à l’égard de la petite équipe où il travaillait ».

« No comment » de la direction

En tant que personne morale, Ubisoft n’a fait l’objet d’aucune poursuite à ce stade, tout comme son équipe dirigeante actuelle. Une absence soulignée par la défense des trois prévenus. « Si on veut être cohérent avec l’idée que le harcèlement soit systémique, il faut que tout le monde soit présent à la barre », avait par exemple plaidé Jean-Guillaume Le Mintier, l’avocat de Serge Hascoët.

En attendant, l’éditeur fait profil bas, dans sa communication officielle, sur cette affaire. Rappelons que ce procès intervient alors que l’entreprise basée à Montreuil a lancé un plan de restructuration stratégique qui prévoit le transfert d’une partie de ses activités à une nouvelle filiale codétenue avec le géant chinois Tencent, actionnaire historique du groupe. Ubisoft, qui a fermé plusieurs studios au cours des derniers mois, affronte par ailleurs un climat social tendu depuis la fin 2024 sur fond de réduction des latitudes offertes à ses salariés en matière de télétravail.

Un satellite, deux missions. « Confirmation du déploiement des panneaux solaires du satellite MTG-S1, lancé plus tôt ce soir depuis la Floride. Ce lancement marque le début de deux missions clés d’observation de la Terre : MTG-S1, qui fournira des données améliorées pour les prévisions météorologiques et la détection des tempêtes, Copernicus Sentinel-4, qui améliorera la surveillance de la qualité de l’air en Europe », a annoncé l’Agence spatiale européenne dans la nuit de mardi à mercredi sur X. Le lancement a été réalisé mardi 1er juillet au soir depuis Cap Canaveral, avec un décollage exécuté à 23h04, heure de Paris, à bord d’une fusée Falcon 9 de SpaceX.

Ce lancement permet à l’Europe de se doter de deux nouveaux instruments de mesure à des fins d’analyse ou de prévision climatique. Le satellite Meteosat troisième génération (MTG) embarque en effet un sondeur infrarouge que l’ESA présente comme « le premier instrument européen de sondage hyperspectral en orbite géostationnaire ». Ce dernier devrait permettre de réaliser « un profil de température et d’humidité à différentes altitudes au-dessus de l’Europe toutes les 30 minutes », mais aussi de recueillir toutes les 60 minutes des données relatives à la présence de polluants tels que les aérosols, l’ozone, le dioxyde d’azote et le dioxyde de soufre dans l’atmosphère.

« Le sondeur infrarouge du MTG-S1 analysera près de 2 000 longueurs d’onde infrarouges thermiques toutes les 30 minutes afin d’établir des profils verticaux de température, d’humidité et de traces de gaz. Ces données seront cruciales pour détecter les phénomènes météorologiques convectifs à évolution rapide, en révélant des variations soudaines d’instabilité, d’humidité ou de vent, avant même la formation des nuages », promet Eumetsat, l’organisation européenne pour l’exploitation des satellites météorologiques.

Le satellite embarque par ailleurs un second instrument, complémentaire du premier, dans le cadre de la mission Sentinel-4. Cette fois il s’agit d’un spectromètre imageur ultraviolet, visible et proche infrarouge (UVN), qui se concentrera sur l’Europe et le nord de l’Afrique, pour mesurer « la pollution toutes les 60 minutes avec un niveau de détail et de précision qui transformera notre façon de prédire la qualité de l’air à travers l’Europe ». Capable de travailler sur les mêmes molécules que le sondeur infrarouge du MTG-S1, il contribuera à en enrichir les données, et nourrira le service de surveillance de la qualité de l’air Copernicus Atmosphere Monitoring Service (CAMS).

On premise, mais pas trop

Microsoft appliquera à compter du mois de juillet une hausse de 10 % sur le tarif des licences de ses logiciels serveur Exchange, SharePoint et Skype for Business quand ces derniers sont installés on premise. Les licences d’accès client (CAL) associées augmenteront quant à elles de 15 à 20 % au 1er août.

« Bien que les suites Microsoft 365 continuent d’être un excellent choix (…) en raison de leurs performances, de leur évolutivité et de leur sécurité exceptionnelles, nous reconnaissons le besoin critique et toujours d’actualité de déploiements sur site dans certains environnements clients », commence par affirmer Microsoft. Mais si l’éditeur se dit enclin à perpétuer la possibilité d’installer un serveur Exchange ou SharePoint on premise, c’est à dire sur l’infrastructure en propre du client, cette alternative sera désormais facturée plus cher.

Des hausses de prix comprises entre 10 et 20 %

En l’occurrence, le prix facial de la licence SharePoint Server, Exchange Server ou Skype for Business Server augmente de 10 %, avec une hausse censée entrer en vigueur courant juillet. Microsoft justifie cette augmentation par la nécessité de « prendre en charge la maintenance continue et les mises à jour des produits de serveur sur site ».

L’éditeur annonce dans le même temps une hausse du prix des licences d’accès client (CAL) associées, qui s’ajoutent à la licence du logiciel serveur pour gérer les utilisateurs finaux. Cette fois, l’augmentation est datée au 1er août. Elle sera de 15 % sur la suite CAL Core Microsoft, et se montera à 20 % pour la suite CAL Entreprise Microsoft.

« Ces modifications s’appliquent exclusivement aux versions sur site de ces produits. Elles n’ont aucun impact sur les tarifs de SharePoint Online, Exchange Online ou Microsoft Teams achetés séparément ou via une licence Microsoft 365 », prend encore soin de préciser l’éditeur.

Lancement d’Exchange Server Subscription Edition

Ces hausses de prix interviennent alors que Microsoft vient tout juste d’annoncer la disponibilité générale de l’offre qui remplace désormais Exchange Server 2016 ou 2019 : Exchange Server Subscription Edition (résumé en Exchange SE), accompagné d’une version équivalente de Skype for Business Server.

L’occasion est toute trouvée de remettre l’accent sur l’intérêt des déclinaisons cloud de l’offre. « Alors qu’Exchange Online et Microsoft 365 continueront d’offrir les solutions les plus récentes et les plus innovantes, notamment l’intégration de Microsoft 365 Copilot, Exchange SE démontre notre engagement à fournir un support continu pour les scénarios dans lesquels les solutions sur site restent essentielles », répète ainsi la firme de Redmond.

L’introduction d’Exchange Server SE marque pour mémoire un tournant dans la façon dont Microsoft gère ses licences logicielles. Alors que les précédentes versions d’Exchange Server sont associées à une date de fin de support prévisionnelle – la dernière mise à jour des éditions 2016 et 2019 est censée intervenir le 14 octobre prochain, cette Subscription Edition bascule sur une logique d’amélioration continue. Elle est donc censée recevoir des mises à jour et des nouveautés fonctionnelles sans interruption, dont l’utilisateur pourra profiter tant qu’il remplit les conditions exigées.

Comme rappelé dans une FAQ dédiée, Microsoft n’autorise plus, avec Exchange Server SE, l’achat de licences nues comme il le faisait avec Exchange Server 2019. Outre la licence serveur et les CAL, l’entreprise cliente doit en effet disposer soit d’un abonnement Software Assurance (SA), soit d’abonnements cloud pour tous les utilisateurs et appareils qui seront amenés à accéder à Exchange Server SE… au moyen par exemple d’abonnements Microsoft 365.

Un temps convoité par Adobe, le célèbre service en ligne dédié à la conception vectorielle d’interfaces Figma se prépare à aller chercher des capitaux sur les marchés. La société, immatriculée dans le Delaware mais basée à San Francisco, a en effet déposé mardi 1er juillet son formulaire S1 (PDF) auprès de la Securities and Exchange Commission (SEC). Ce document, qui fait office d’enregistrement initial, résume les principales informations relatives à la santé financière de l’entreprise, à sa gouvernance, et à sa vision du marché.

En revanche, il ne présente pas encore les modalités financières envisagées telles que la date d’introduction, la portion du capital mise sur le marché, et le nombre d’actions qui en découle. D’après la banque d’investissement Renaissance Capital, citée par Techcrunch, Figma ambitionnerait d’aller chercher des fonds de l’ordre de 1,5 milliard de dollars au travers de cette opération.

Le formulaire S1 de Figma révèle toutefois quelques données chiffrées, qui témoignent d’une activité en fort développement. L’entreprise revendique ainsi 749 millions de dollars de chiffre d’affaires en 2024, en hausse de 48 % sur un an. L’activité est présentée comme rentable sur le premier trimestre 2025, comme sur le premier trimestre 2024. Elle accuse toutefois une lourde perte lorsque l’exercice 2024 est regardé dans son ensemble, mais Figma la présente comme un phénomène exceptionnel, dû à un important programme de rémunération des employés sous forme d’actions de l’entreprise.

Figma revendique par ailleurs 13 millions d’utilisateurs actifs mensuels, dont les deux tiers ne seraient pas issus des métiers du design, ainsi qu’une présence dans 95 % des entreprises qui composent le classement Fortune 500. Dans la déclaration liminaire de son document d’enregistrement, le cofondateur de Figma Dylan Field indique que l’entreprise investit déjà massivement dans l’IA et prévoit de doubler ses efforts en la matière dès cette année. « Les dépenses en matière d’IA vont peut-être peser sur notre efficacité pendant quelques années, mais l’IA est au cœur de la façon dont les processus de design vont évoluer au fil du temps ».

La vague de l’IA devrait selon lui modifier en profondeur la façon dont on développe des interfaces. « Aujourd’hui, nous en sommes à l’ère MS-DOS de l’IA, avec le prompt comme interface. Au fil du temps, de nouveaux modèles de design vont émerger qui rendront possibles de nouveaux scénarios d’usage spécifiques. Tout comme les GUI [interfaces graphiques, ndlr] ont aidé les utilisateurs d’aujourd’hui à comprendre les capacités de l’ordinateur, il y aura une prolifération d’interfaces qui feront apparaître les possibilités de l’IA au travers de designs exceptionnels », prophétise-t-il encore.

Interactions électrostatiques

Proton initie une nouvelle procédure en justice contre Apple aux États-Unis. L’éditeur suisse dénonce un monopole sur la distribution d’applications et le paiement au sein d’iOS, et joint ses forces aux différentes actions déjà engagées à l’encontre de la firme de Cupertino. Apple vient par ailleurs d’être débouté de son appel contre le département de la Justice américain, ce qui ouvre la voie à un procès pour abus de position dominante…

Éditeur d’une suite de services qui met en avant le respect de la vie privée, le suisse Proton ouvre un nouveau front judiciaire contre Apple. La société a en effet initié, lundi 30 juin, une action collective en justice auprès d’un tribunal de Californie (PDF), au motif que le constructeur de l’iPhone entretiendrait un monopole autour de la distribution d’applications au sein de son environnement iOS. Proton attaque plus spécifiquement deux aspects : l’absence d’alternative à l’App Store sur iPhone ou iPad, mais aussi la façon dont Apple utilise la brique de paiement dédiée aux achats in-app pour verrouiller le marché.

Une plainte de plus  ?

Les motivations de la plainte ne sont pas nouvelles, et Proton ne cache d’ailleurs pas son intention d’ajouter sa voix à celle des plaignants ayant déjà engagé des procédures similaires à l’encontre d’Apple. Dans un long billet d’annonce, la société suisse rappelle d’ailleurs les différentes condamnations d’Apple, estimant que les pratiques de cette dernière ont depuis longtemps déjà « été considérées comme anticoncurrentielles et illégales dans de nombreuses juridictions à travers le monde ».

Dans sa communication, Proton rappelle opportunément l’affaire Epic, dans laquelle Apple était accusée début mai de n’avoir pas respecté une injonction de la Cour et d’avoir menti sous serment via l’un de ses vice-présidents, mais aussi la récente amende de 500 millions d’euros prononcée par la Commission européenne le 22 avril dernier, pour non-respect des règles de concurrence édictées par le Digital Markets Act (DMA). Une sanction que Proton, Spotify, Deezer et d’autres éditeurs européens ont ouvertement appelée de leurs vœux.

Pourquoi, dans ce contexte, lancer une nouvelle procédure, à plus forte raison quand une association d’éditeurs coréens, la Korean Publishers Association, vient précisément d’ouvrir une action collective pour des motifs similaires, déposée devant le même tribunal, le 23 mai dernier ?

« En nous joignant à cette action en justice, nous garantissons qu’elle portera non seulement sur des dommages et intérêts destinés à indemniser les développeurs d’applications pour le préjudice causé par la conduite d’Apple, mais aussi sur des modifications des politiques de l’App Store qui amélioreront l’état d’Internet », affirme Proton.

Un préjudice économique… et démocratique ?

L’éditeur suisse, qui a pour mémoire confié sa gouvernance à une fondation à l’occasion de ses dix ans, promet que les éventuels dommages et intérêts obtenus suite à cette plainte seront redistribués par cette dernière en direction d’associations de défense de la démocratie et des droits humains. Outre l’argument économique de l’entrave à la libre concurrence, Proton avance en effet dans sa communication que les pratiques d’Apple nuisent à la fois au respect de la vie privée des utilisateurs, mais aussi à la liberté d’expression dans son ensemble.

« Les entreprises qui monétisent les données des utilisateurs en échange de services « gratuits » portant atteinte à votre vie privée ne sont pas concernées, car elles ne traitent pas les paiements via l’App Store. En revanche, les entreprises soucieuses de la confidentialité qui monétisent leurs données par le biais d’abonnements sont touchées de manière disproportionnée par ces frais, ce qui constitue un obstacle majeur à l’adoption de modèles économiques axés sur la confidentialité ». En tant qu’éditeur qui fait du respect de la vie privée une priorité, Proton serait directement victime de ces choix stratégiques.

Le Suisse va même un cran plus loin, en déclarant que la main-mise d’Apple sur la distribution d’applications constitue un levier actionnable à des fins de censure, ou de restrictions des libertés individuelles. « La réalité, c’est que [ces pratiques] ont fait d’Apple le point de défaillance unique [single point of failure] de la liberté d’expression et un outil pour les dictatures », écrit l’entreprise.

En 2020, Proton clamait déjà avoir été victime d’une censure de la part d’Apple. L’éditeur affirmait avoir été menacé d’un retrait de son application ProtonVPN de l’App Store, s’il ne supprimait pas, dans la description associée, la mention d’une possibilité de contourner la censure de certains sites. « Nous ne remettons pas en question le droit d’Apple d’agir au nom des régimes autoritaires dans un souci de profit, mais le monopole d’Apple sur la distribution des applications iOS signifie qu’il peut imposer cette politique perverse à tous les développeurs d’applications, les forçant ainsi à être également complices », argue désormais Proton.

Cette nouvelle procédure intervient alors qu’Apple vient de modifier substantiellement les règles de l’App Store dans l’Union européenne : la firme de Cupertino y autorise par exemple les éditeurs à utiliser d’autres systèmes de paiement que celui intégré dans l’App Store, mais elle assortit cette option d’un avertissement qui peut sembler dissuasif. Aux États-Unis, les avancées du procès Epic sont également susceptibles de mettre un terme à la règle historique des 30% de commission…

Vers un procès pour abus de position dominante ?

L’action collective de Proton n’est peut-être pas la préoccupation numéro un des juristes de Cupertino. Lundi, Apple a en effet enregistré un revers significatif dans une autre procédure, initiée cette fois par le département de la Justice (DoJ) des États-Unis.

Associé à quinze États, le DoJ a en effet officiellement engagé des poursuites à l’encontre d’Apple, pour abus de position dominante, en mars 2024, avec un éventail de reproches qui dépasse largement ceux formulés par Proton dans sa propre plainte.

Apple a logiquement interjeté appel de cette procédure et demandé son annulation, en arguant notamment que la Justice ne démontrait ni l’existence d’un monopole, ni la conduite d’actions anticoncurrentielles, et en réfutant l’action de l’état fédéral en la matière. Dans sa décision, rendue lundi 30 juin, le juge Julien Xavier Neals bat méthodiquement en brèche chacun de ces arguments (PDF), et finit par rejeter la demande d’Apple, ouvrant donc la voie à un procès antitrust de grande ampleur.

La NASA s’ouvre une nouvelle fenêtre de visibilité avec la signature d’un accord l’associant au géant de la vidéo en ligne Netflix. Ce dernier sera en effet bientôt en mesure de diffuser les images en direct issues des principales missions de l’agence spatiale américaine, selon les termes d’un partenariat annoncé lundi.

« La loi nationale sur l’aéronautique et l’espace de 1958 [texte fondateur de la NASA, ndlr] nous invite à partager notre histoire de l’exploration spatiale avec le public le plus large possible », fait valoir Rebecca Sirmons, directrice générale de l’agence spatiale.

Le partenariat englobe le périmètre des contenus diffusés aujourd’hui via l’application de streaming NASA+, opérée par l’agence. Celui-ci est vraisemblablement amené à s’enrichir au cours des prochains mois, puisque l’agence évoque la possibilité de visionner des lancements de fusée, mais aussi des sorties d’astronautes dans l’espace, des suivis de mission et des images en direct de la Terre vue depuis la Station spatiale internationale (ISS).

« NASA+ reste accessible gratuitement, sans publicité, au travers de l’application NASA et du site de l’agence », prend soin de préciser l’institution.

Cet accord, dont les modalités financières n’ont pas été précisées, constitue une nouvelle diversification dans la stratégie d’agrégation de contenus mise en place par Netflix. Rappelons que la plateforme américaine a annoncé mi-juin un accord de distribution sans précédent avec le groupe TF1.

Après avoir officiellement succédé à Skype dans le catalogue des applications Microsoft, Teams se prépare à gagner une nouvelle dimension sociale, avec l’introduction d’une fonctionnalité baptisée Storyline, réservée aux utilisateurs entreprise.

Elle se présente comme un flux d’actualité (une timeline) personnel, intégré directement à Teams, grâce auquel l’éditeur espère que les utilisateurs pourront partager leurs actualités et expériences professionnelles, suivre leurs collègues et dirigeants et créer du contenu susceptible d’intéresser les autres salariés de l’entreprise.

« Storyline apporte une nouvelle couche de visibilité interne aux équipes », estime l’éditeur de Redmond. Bref, une brique sociale, qui n’est pas sans rappeler LinkedIn, mais qui évoque aussi Viva Engage, l’ex Yammer, la solution de réseau social d’entreprise interne de Microsoft. Cette dernière dispose d’ailleurs, elle aussi, d’un module Storyline.

Dans les deux cas, l’activation n’est pas automatique : elle requiert une action manuelle d’un administrateur.

La fondation Raspberry Pi a annoncé lundi 30 juin le début de la commercialisation d’un module Wi-Fi et Bluetooth, le Radio Module 2, affiché au prix public de 4 dollars et destiné à accompagner les micro-contrôleurs maison tels que les RP2040 ou RP2350 lancé en novembre dernier dans le sillage du Pico 2 W.

Ce composant n’est pas totalement inédit : il reprend justement le circuit radio Infineon CYW43439 déjà utilisé par les Raspberry Pi Pico W et Pico 2 W, mais l’intègre dans une enveloppe indépendante de 16,5 x 14,5 mm, antenne incluse. Le module prend en charge le Wi-Fi 4 (802.11b/g/n) sur une seule bande (2,4 GHz) ainsi que le Bluetooth 5.2, avec gestion du Bluetooth Classic et du Low Energy.

Il est logiquement compatible avec les outils de développements mis en avant par la fondation Raspberry Pi, qu’il s’agisse du SDK dédié au Raspberry Pi Pico ou de MicroPython.

Le Radio Module 2 est référencé sur le site de la fondation, où l’on trouvera également ses spécifications détaillées (PDF).

• 13 ans de Raspberry Pi : du 1 au 5, en passant par les Zero, Pico et Compute Module

Plus il y a de fromage, plus il y a de trous

Après avoir passé au crible des imprimantes multifonctions Brother, des chercheurs en sécurité ont découvert huit vulnérabilités. Ces failles touchent une vaste partie de la gamme du fabricant japonais, mais aussi des appareils de concurrents comme Toshiba, Fujifilm, Ricoh. Au total, 748 modèles sont vulnérables. Brother a admis que la faille la plus grave ne pourrait pas être corrigée, et appelle à changer en urgence le mot de passe administrateur des machines concernées.

S’attendaient-ils à une moisson aussi abondante ? Des chercheurs de la firme spécialisée Rapid7 ont conduit à partir de mai 2024 un audit de sécurité sur plusieurs imprimantes multifonctions du constructeur japonais Brother. Leurs travaux ont permis d’identifier huit failles de sécurité exploitables qui n’avaient pas encore été documentées. Ils ont par ailleurs confirmé que plusieurs de ces vulnérabilités affectaient une part significative du catalogue produit du constructeur, y compris sur des gammes autres que les imprimantes multifonctions.

Au total, ils affirment que 689 appareils sont vulnérables chez Brother. La marque n’aurait cependant pas l’exclusivité : une partie de ces failles auraient également été constatées sur 46 imprimantes Fujifilm, six chez Konica Minolta, cinq chez Ricoh, deux chez Toshiba, pour un total de 748 modèles touchés.

Une vulnérabilité impossible à corriger

La plus sérieuse de ces failles, enregistrée sous la référence CVE-2024-51978 et qualifiée de critique, est estampillée d’un score de vulnérabilité (CVSS) de 9,8/10. Relativement simple à mettre en œuvre, elle permet selon Rapid7 à un attaquant qui dispose du numéro de série de l’appareil d’en modifier le mot de passe administrateur par défaut.

Les chercheurs expliquent à ce niveau avoir découvert sur une imprimante MFC L9570CDW que le mot de passe par défaut de l’administration était une séquence de huit caractères, générée via un algorithme à partir du numéro de série de la machine. Un attaquant qui disposerait de ce numéro de série serait donc en mesure de générer ce mot de passe et donc de prendre le contrôle de la machine, ou d’en modifier les identifiants d’accès. Le chiffrement apparait en effet défaillant aux yeux des chercheurs. « On ne sait pas clairement quelle propriété cryptographique cet algorithme cherche à atteindre ; il semble plutôt qu’il s’agisse d’une tentative de dissimulation de la technique de génération de mot de passe par défaut », commentent les auteurs.

Le problème, c’est que ce numéro de série serait lui-même vulnérable, notamment en raison d’une autre des huit failles découvertes. La faille CVE-2024-51977 ouvre en effet un accès non autorisé, sans authentification préalable, aux informations contenues dans le fichier /etc/mnt_info.csv. « Les informations divulguées incluent le modèle de l’appareil, la version du micrologiciel, l’adresse IP et le numéro de série », précise la notice.

En réponse à cette double découverte, Brother invite les utilisateurs à modifier sans délai le mot de passe administrateur des appareils concernés. La mesure s’impose à tous, sans attendre un éventuel correctif. « Brother a indiqué que cette vulnérabilité ne peut pas être entièrement corrigée dans le firmware et a exigé une modification du processus de fabrication de tous les modèles concernés », affirme Rapid7. En attendant cette modification, les appareils restent donc vulnérables.

Un an avant divulgation

Brother a devancé l’annonce de Rapid7 avec la mise en ligne, le 19 juin dernier, d’une note d’information, qui précise la conduite à tenir face à chacune des dernières vulnérabilités documentées et rendues publiques. Outre la modification du mot de passe administrateur, suggérée comme réponse à trois vulnérabilités, Brother recommande de désactiver temporairement la fonction WSD (Web Services for Devices) et le TFTP (Trivial File Transfer Protocol), en attendant une mise à jour du firmware de l’appareil concerné. Les autres fabricants incriminés ont, eux aussi, publié des alertes dédiées, et annoncé le déploiement prochain de correctifs (Fujifilm, Ricoh, Toshiba, Konica Minolta).

Comme souvent dans ce genre de travaux, ces découvertes ont conduit à des échanges entre les chercheurs et les constructeurs concernés, échanges organisés sous l’égide d’une autorité tierce. Ici, c’est le JPCERT/CC, centre d’alerte et de réaction japonais, qui a servi d’intermédiaire et a fixé à un an le délai avant publication des éléments techniques associés aux failles découvertes.

Testée depuis deux semaines par l’intermédiaire de versions bêta, l’intégration de la carte grise à l’application France Identité est désormais officielle. « À partir du lundi 30 juin 2025, les usagers de France Identité peuvent importer leur carte grise dans l’application », annonce le ministère de l’Intérieur.

La prise en charge est limitée aux véhicules dont l’immatriculation correspond au format AA-123-AA introduit à partir de 2009. Pour importer une carte grise au sein de l’application, il convient logiquement d’avoir déjà accompli le processus d’inscription à France Identité.

Il faut ensuite renseigner le numéro de formule et le numéro d’immatriculation du véhicule, puis s’authentifier avec son code personnel, et enfin valider la procédure en effectuant une lecture de la puce NFC de sa carte nationale d’identité avec son smartphone.

Le système se veut suffisamment souple pour gérer les véhicules partagés au sein d’un même foyer, mais aussi les contrats de location. « La fonctionnalité est ouverte aux titulaires, co-titulaires ou locataires privés du véhicule (y compris en leasing). Un même usager peut ainsi importer plusieurs cartes grises, s’il est rattaché à plusieurs véhicules », indique l’Intérieur, qui revendique plus de 2,2 millions d’utilisateurs de France Identité.

« Si vous cédez ou vendez votre véhicule, vous devez supprimer le certificat d’immatriculation du téléphone, il devient invalide. En cas de mise à jour, le certificat d’immatriculation sera supprimé automatiquement. Si vous êtes le nouvel acquéreur d’un véhicule, vous pourrez l’importer dès la période d’acquisition achevée », précise la FAQ associée.

Planche à billets

Capable d’imprimer des textures en relief jusqu’à 5 mm d’épaisseur, l’imprimante « eufyMake UV E1 » a bouclé une campagne de financement record sur Kickstarter, avec près de 47 millions de dollars recueillis auprès de 17 822 contributeurs.

La célèbre plateforme de financement participatif Kickstarter peut s’enorgueillir d’un nouveau record. « 17 822 contributeurs ont engagé 46 762 258 $ pour soutenir ce projet », affiche en effet la page dédiée aux précommandes de l’imprimante en relief eufyMake UV E1 depuis le 28 juin dernier, date de clôture d’une campagne menée sur les chapeaux de roue.

L’imprimante eufyMake UV E1 arrive désormais en première position de la page dédiée aux projets les mieux financés sur Kickstarter. Elle y détrône l’auteur de SF Brandon Sanderson, dont la publication programmée de 4 nouveaux romans avait engendré 41 millions de dollars de commandes, mais aussi la vénérable montre connectée Pebble Time qui, avec ses 20 millions de dollars recueillis en 2016, a détenu le record pendant près de six ans.

Une imprimante UV pour des textures 3D

Quelle est donc cette imprimante qui semble avoir enflammé la communauté des makers ? eufyMake constitue pour mémoire le nouveau nom d’AnkerMake, la marque dédiée à l’impression 3D du géant chinois Anker Innovations, notamment connu pour les batteries externes, produits de recharge et accessoires mobiles commercialisés sous sa marque principale, Anker. Dans le portefeuille du groupe, la marque eufy englobe traditionnellement les objets connectés dédiés à la maison (aspirateurs robots, etc.) et les caméras de surveillance.

Institué le 24 mars dernier, ce changement de marque est intervenu au moment où le groupe commençait la communication sur son prochain fer de lance : une imprimante UV capable de reproduire des textures en 3D. Baptisée eufyMake UV Printer E1, elle constitue, selon le fabricant, une alternative compacte et surtout abordable aux équipements professionnels capables de réaliser des impressions UV.

Permettant de traiter des surfaces allant jusqu’à 330 × 420 mm, elle sait gérer une impression en relief avec une épaisseur allant jusqu’à 5 mm, avec la possibilité de travailler sur des objets en relief et des matériaux aussi divers que le bois, le cuir, le verre ou la céramique.

Elle dispose par ailleurs d’un catalogue d’accessoires qui permettent d’envisager des usages plus avancés. Anker propose ainsi un système de roll-to-film qui permet d’imprimer jusqu’à 10 mètres à partir d’une bobine, mais aussi une cartouche d’encre blanche dédiée à l’impression sur des surfaces flexibles.

Un marketing bien rodé

eufy annonce un prix public conseillé (MSRP) de 2 499 dollars pour le kit de départ nécessaire à l’utilisation de son imprimante UV, soit un tarif équivalent à celui de petits équipements professionnels utilisés notamment dans le monde de la personnalisation d’objets publicitaires. La nouvelle venue revendique cependant une polyvalence supérieure, ainsi qu’un écosystème logiciel richement doté.

« Plus qu’un simple outil créatif, la E1 permet de personnaliser des objets du quotidien ou de se lancer dans des projets parallèles avec des résultats de qualité professionnelle. Son flux de travail unique basé sur l’IA, sa bibliothèque de plus de 20 000 modèles et sa conception modulaire rendent l’impression avancée accessible aux particuliers, aux studios et aux petites entreprises », promet ainsi l’entreprise.

Pour sa campagne de financement, eufy affichait la E1 à un prix d’appel de 1 699 dollars, avec un kit comprenant l’imprimante, une cartouche de nettoyage, et deux plateaux d’impression. Une utilisation sérieuse, notamment à des fins professionnelles, semble toutefois difficile sans ajouter, à cet ensemble de départ, un certain nombre d’accessoires qui alourdissent rapidement l’addition.

Les backers sauront dans quelques semaines si l’imprimante UV d’eufy tient ses promesses, puisque l’entreprise indique avoir déjà débuté la production et prévoit les premières livraisons dès le mois de juillet. Ils pourront, en attendant, observer les capacités de leur future imprimante sur YouTube. La marque s’est en effet attaché les services de plusieurs créateurs de contenus considérés comme influents dans la communauté des makers. Leurs vidéos, listées sur la page du projet, montrent que ce travail de communication a débuté mi-mars, avec des titres et des commentaires saluant unanimement l’imprimante d’eufy comme une première mondiale.

Le Crou ne mourra jamais

Lancé en avril 2024, le mouvement Stop Killing Games conteste que les éditeurs puissent interrompre les services associés à un jeu vidéo, détruisant virtuellement ce dernier pour les consommateurs en ayant acquis une copie. Depuis quelques jours, il connait un regain d’attention, autour d’une pétition qui doit recueillir plus de 400 000 signatures d’ici au 31 juillet pour que la Commission européenne soit saisie du sujet.

Les courbes, compilées sur un site satellite du projet « Stop Killing Games », montrent une soudaine accélération du nombre de signatures recueillies dans tous les pays européens. L’initiative connait en effet depuis quelques jours un sursaut d’intérêt, motivé par une échéance proche.

Car c’est le 31 juillet 2025 que clôturera la pétition qui doit faire du sujet une initiative citoyenne européenne, c’est-à-dire un sujet porté à l’attention de la Commission européenne pour peu qu’il atteigne un seuil symbolique : un million de signatures.

Un mouvement né dans le sillage de la fermeture de The Crew

Au fait, de quoi parle-t-on déjà ? Stop Killing Games a émergé en avril 2024, dans la foulée d’une annonce qui n’a sans doute pas échappé à certains lecteurs de Next : la fermeture, par Ubisoft, des serveurs dédiés au jeu de course The Crew, sorti dix ans plus tôt. Fixée au 31 mars 2024, elle rend le titre inexploitable même s’il a été acheté plein tarif sur un support physique, au grand dam de certains joueurs.

Dans le lot figure un certain Ross Scott, qui s’est forgé une petite notoriété sur YouTube avec Freeman’s Mind, une série machinima réalisée avec le moteur d’Half-Life, doublée d’une seconde saison tournée dans Half-Life 2.

Ulcéré par la décision d’Ubisoft, Ross Scott prend le mors aux dents, et annonce le lancement d’un mouvement de lutte contre les éditeurs qui détruisent leurs jeux au détriment de ceux qui en possèdent une copie.

La démarche s’incarne au travers d’un site d’information dédié, par l’intermédiaire duquel Ross Scott veut recenser et surtout fédérer les différentes actions entreprises par des consommateurs européens contre le phénomène, à l’échelle de leurs différents pays.

Mobilisation européenne

En France, Stop Killing Games indique par exemple avoir déposé plainte auprès de la DGCCRF, affirme que « le problème a été escaladé au plus haut niveau de l’agence », et serait en attente d’une décision. Le mouvement encourage par ailleurs les joueurs français à se manifester auprès de l’UFC-Que Choisir, dans le but de motiver l’association de consommateurs à déclencher une action en justice.

Le 31 juillet dernier, Scott Ross annonce le lancement d’une nouvelle action, à l’échelle du continent cette fois, avec l’ouverture d’une pétition sur le site dédié aux initiatives citoyennes européennes.

« C’est l’option la plus puissante à notre disposition, mais elle nécessite un nombre massif de signatures de citoyens des pays de l’UE pour être adoptée. Si nous pouvons atteindre le seuil de signature, il y a de très fortes chances que l’UE adopte une nouvelle loi qui protégera à la fois les droits des consommateurs de conserver les jeux vidéo qu’ils ont achetés et avancera massivement les efforts de préservation », avance le mouvement. L’objectif fixé par Bruxelles pour la prise en compte est fixé à 1 million de signatures, émanant de citoyens d’au moins sept États membres.

« Cette initiative demande d’imposer aux éditeurs qui vendent ou accordent des licences pour des jeux vidéo (ou des fonctionnalités et ressources connexes vendues pour des jeux vidéo qu’ils exploitent) aux consommateurs de l’Union européenne l’obligation de laisser ces jeux vidéo dans un état fonctionnel (jouable) », indique le texte de la pétition. « Plus précisément, l’initiative vise à empêcher le blocage à distance des jeux vidéo par les éditeurs et à fournir ensuite des moyens raisonnables de faire en sorte que ces jeux continuent à fonctionner sans la participation de l’éditeur. »

La campagne connait un démarrage rapide, mais le rythme fléchit après quelques semaines. Alors que le seuil des 400 000 signatures est atteint dès le 19 décembre 2024, le compteur n’est qu’à 456 000 en date du 23 juin. Ce qui conduit Ross Scott à reprendre la parole pour une vidéo de la dernière chance, titrée : « la fin de Stop Killing Games ». Il y revient sur le déroulé de l’opération, les forces et les faiblesses du mouvement, mais aussi sur ses chances de succès, qui dépendent désormais d’un sursaut de mobilisation.

Le chant du cygne ?

L’appel semble avoir été entendu : depuis le 23 juin, des médias et des créateurs de contenus sur YouTube relaient l’information, et la courbe des signatures se redresse de façon visible. La pétition devrait selon toute attente franchir la barre des 600 000 signataires vendredi. Reste à voir si l’engouement sera suffisamment pérenne pour que le mouvement parvienne à atteindre le million.

« Si un album est acheté en forme de CD, il serait complétement inacceptable qu’il soit rendu illisible une fois que le label de musique ferme ses serveurs, ou que le label décide de ne plus le distribuer, ou que le label fait faillite, ou que le label décide de publier une version remastérisée de l’album », plaide Denis, lecteur de Next, dans un e-mail d’alerte envoyé à la rédaction.

« Un nombre croissant de jeux vidéo sont vendus effectivement comme des biens, sans date d’expiration indiquée, mais conçus pour être complètement injouables dès que le support de l’éditeur cesse. Cette pratique est une forme d’obsolescence programmée et est non seulement préjudiciable aux clients, mais rend la préservation pratiquement impossible. De plus, la légalité de cette pratique est largement non testée dans de nombreux pays », argue pour sa part le site du mouvement.

« 10 h de coupure de service pour un coffre fort numérique, c’est un peu inquiétant », grince un internaute. Digiposte, le coffre-fort numérique de la Poste, utilisé par de nombreuses entreprises (d’Amazon France à la SNCF) pour la distribution et le stockage des bulletins de salaire et autres documents RH, a en effet été victime d’un long dysfonctionnement, jeudi 26 juin.

« Suite à un incident technique à 10h00, l’accès à #Digiposte via le web & mobile est momentanément indisponible. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée », annonce dans la matinée le compte X de Digiposte. Moins d’une heure plus tard, il signale la résolution de l’incident, et le rétablissement des accès Web et mobile au service.

Suite à un incident technique à 10h00, l'accès à #Digiposte via le web & mobile est momentanément indisponible. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée.

— Digiposte (@digiposte) June 26, 2025

Problème : si l’interface client est bien de retour, les documents stockés par les utilisateurs restent inaccessibles, ce qui conduit l’entreprise à publier un nouveau message d’alerte en début d’après-midi. « Nous sommes vraiment désolés, mais l’incident de ce matin n’est pas encore totalement résolu. Certains utilisateurs ne peuvent pour l’instant ni consulter, ni télécharger leurs documents. Nous vous prions de bien vouloir nous excuser une nouvelle fois pour la gêne occasionnée ».

C’est finalement vendredi matin, vers 9 heures, que Digiposte annonce la résolution finale de l’incident, sans en commenter la cause, ou la durée. Le graphique des signalements répertoriés sur le site totalbug montre en effet que le service semble n’avoir été rétabli qu’aux alentours de 22 heures, jeudi soir. Contactée par nos soins, l’entreprise n’a pour l’instant pas réagi.

Google vient de déployer au sein de sa plateforme d’outils publicitaires une nouvelle brique baptisée Offerwall. Une fois implémentée, cette dernière permet aux éditeurs de sites d’échanger l’accès à un contenu contre une action proposée via un écran intermédiaire : regarder une publicité, effectuer un paiement via le service spécialisé partenaire Supertab, créer un compte sur le site ou sélectionner des centres d’intérêt qui serviront à affiner le ciblage des réclames affichées lors de la navigation.

« Les éditeurs peuvent même ajouter leurs propres options, comme une inscription à la newsletter. Ces options permettent aux utilisateurs de choisir comment accéder à leurs sites et contribuent à garantir qu’un contenu varié reste accessible à tous », commente Peentoo Patel, directeur de Google Ad Manager.

Offerwall, qui aurait déjà été testé auprès d’un millier d’éditeurs, propose également une brique basée sur l’IA et capable, selon Google, d’optimiser l’affichage des différentes options pour augmenter l’engagement des utilisateurs et les revenus associés. « Bien qu’Offerwall soit disponible pour les éditeurs de toutes tailles, il est particulièrement avantageux pour les petites entreprises qui ne disposent peut-être pas des ressources ou de l’infrastructure nécessaires pour mettre en place des sources de revenus variées », estime Peentoo Patel.

Déjà présent chez la plupart des éditeurs de médias au travers de ses outils publicitaires, Google étend ainsi son rayon d’action, avec une solution capable de participer à une stratégie de contenus payants, qui viendra de ce fait concurrencer des startups spécialisées dans la conversion d’audience comme Zuora ou les français de Poool.

Broken broker

Après Intelbroker, arrêté en février en France, quatre administrateurs présumés du célèbre site BreachForums, dédié à la vente de données personnelles, ont été interpellées lundi. La plainte, déposée à cette occasion par la justice américaine, lève le voile sur la façon dont les autorités ont réussi à remonter la piste de ces pirates. Ironie du sort, les coulisses racontent aussi comment Intelbroker, adepte d’imagerie nazie et de musique électronique, a été retrouvé grâce à des données personnelles mal camouflées…

Sa fermeture et la saisie de ses serveurs par le FBI, en mai 2024, sonnait comme une victoire symbolique mais, comme souvent dans le monde du piratage, BreachForums renaissait rapidement de ses cendres, sous la houlette d’une nouvelle équipe, mais cette dernière n’aura finalement pas tenu très longtemps.

Le parquet judiciaire de Paris a en effet annoncé mercredi l’interpellation de quatre personnes suspectées d’avoir orchestré les activités illicites de BreachForums, revenu sous une forme identique, mais hébergé sur une autre infrastructure et accessible via un nouveau nom de domaine.

Quatre administrateurs présumés interpellés

Bon nombre des vols de données chroniquées dans l’actualité ces dernières années ont donné lieu à des annonces publiées sur BreachForums qui, pour Laure Beccuau, procureure de Paris, « constituait le premier lieu d’échange et revente de données informatiques volées et d’accès frauduleux dans des systèmes d’information ».

« Les interpellations de cette semaine ont visé les personnes suspectées d’être les administrateurs principaux du site, et permettent d’espérer sa fermeture durable. Les éléments informatiques saisis seront exploités et sont susceptibles de faire progresser significativement de nombreuses enquêtes en cours », veut croire la procureure dans un communiqué (PDF).

Elle précise que les investigations se poursuivent sous la direction du juge d’instruction, et que ces arrestations ont été réalisées avec le concours du FBI et du département de la Justice américain. Ces quatre arrestations, déclenchées à la suite d’une enquête préliminaire ouverte en août 2024 au motif que plusieurs des administrateurs du site étaient de nationalité française, sonnent-elles le glas de BreachForums ?

Le Parquet de Paris indique que ces quatre personnes opéraient « sous le nom collectif de « Shinyhunters » ». Ce pseudo, issu de la série Pokemon, renvoie à un groupe de hackers déjà associé à plusieurs piratages d’ampleur (dont le Français Sébastien Raoult, arrêté en 2022 et condamné aux États-Unis), sans qu’on sache si un lien formel a été établi.

Sur la piste d’Intelbroker

Ces quatre nouvelles arrestations font suite à l’interpellation, là aussi en France, d’une autre personnalité de premier plan de la scène cyber, IntelBroker, suspecté d’avoir lui aussi été impliqué dans l’administration de BreachForums. Il en était à tout le moins l’un des membres actifs. Un temps identifié comme modérateur avant que son profil ne passe au statut « God » désignant les administrateurs, il y arborait le portrait d’un soldat nazi en guise d’avatar.

Ce jeune homme britannique, qui pendant un temps a laissé entendre qu’il était d’origine serbe et a longtemps revendiqué une forme de proximité avec la Russie, apparait en effet comme un pirate prolifique. Sur BreachForums et d’autres plateformes, il a notamment revendiqué des intrusions et des vols de données réussis au sein de nombreuses entreprises ou institutions parmi lesquelles Cisco, AMD, HPE, Home Depot et même Europol.

Ces quatre nouvelles arrestations permettent à la justice américaine de sortir du bois, et de publiquement inculper Intelbroker. Le département de la Justice a ainsi publié mercredi la plainte (PDF) et l’acte d’accusation (PDF) qui visent Intelbroker, ou plutôt Kai West, puisque tel est le nom avancé dans ces documents.

Le FBI ne s’étend pas à ce sujet, mais fournit une capture d’écran montrant que le tout premier critère de recrutement pour pouvoir figurer dans son groupe était d’ « être blanc et raciste », suivi par le fait de détester les forces de l’ordre et les agents infiltrés (« glowies »), et d’avoir une bonne sécurité opérationnelle (OPSEC), au vu des risques associés au fait de collecter et partager des fuites de données.

Fraude, conspiration en bande organisée et vol de données

Les différents chefs d’accusation dressent un tableau chargé, avec des activités dont l’impact est évalué par le FBI à au moins 25 millions de dollars de préjudice pour les entreprises basées aux États-Unis et visées par Intelbroker entre 2023 et 2025.

La plainte retient notamment que le pirate a directement proposé à la vente des données volées à 41 reprises, et qu’il aurait organisé 117 fois la diffusion gratuite de bases de données volées. « West et ses co-conspirateurs ont cherché à réunir au moins 2 millions de dollars en vendant ces données volées », estime le FBI.

Pour ce faire, les autorités ont logiquement épluché l’ensemble de ses messages publics sur BreachForums,. Elles tiennent une comptabilité précise de toutes les annonces de mise en vente, mais aussi des commentaires qui montrent que l’intéressé occupe une position privilégiée dans l’organigramme du forum. Elles s’attachent par ailleurs à signaler tous les éléments qui suggèrent qu’Intelbroker n’intervenait pas seul en la matière, pour soutenir la circonstance aggravante d’actes en bande organisée.

Les auteurs du volet états-unien de l’enquête illustrent par ailleurs comment Intelbroker se faisait payer pour ses services, qu’il s’agisse de vente de données ou de mise à disposition d’outils de piratage.

Achats sous couverture

Jusqu’à la transaction de trop ? À partir de mars 2023, un agent « sous couverture » du FBI entre en contact avec Intelbroker et engage des transactions pour vérifier que les données vendues par ce dernier sont bien issues de bases de données volées. Les échanges, à cette occasion, se font en monero (XMR), une cryptomonnaie axée sur la vie privée et la décentralisation, plus difficile à tracer que les cryptoactifs les plus courants.

En parallèle, un autre agent du FBI réussit à obtenir d’Intelbroker une transaction réalisée cette fois en bitcoin. L’opération mène à un portefeuille intermédiaire, que les enquêteurs parviennent ensuite à rattacher à un autre portefeuille, créé cette fois sur une place de marchés baptisée Ramp.

Comme beaucoup d’exchanges ayant pignon sur rue, la société éditrice, basée en Pologne et présente au Royaume-Uni, impose à ses clients une vérification d’identité dans une logique de KYC (« Know your customer »). Pour le portefeuille en question, elle dispose d’un permis de conduire britannique, grâce auquel le FBI et le DoJ identifieront un autre wallet, créé sur Coinbase cette fois, lequel donnera accès à des adresses e-mail et d’autres informations personnelles, dont l’un des pseudonymes d’Intelbroker, Kyle Northern.

C’est alors que l’étau se resserre, avec un recoupement entre, par exemple, les messages publics sur BreachForums et l’activité du compte YouTube du suspect. La plainte expose par exemple comment Kai West a écouté douze fois de suite Darkside de CHCML SØUP au moment même où Intelbroker publiait un lien vers le morceau sur le forum.

Dans sa plainte, le procureur du South District de New York réclame que Kai West soit transféré aux États-Unis et déféré devant sa juridiction. Il est accusé de conspiration en vue de commettre des intrusions informatiques (passible d’une peine maximale de cinq ans de prison), de conspiration en vue de commettre une fraude électronique (passible d’une peine maximale de 20 ans de prison), d’accès à un ordinateur protégé en vue d’obtenir des informations (passible d’une peine maximale de cinq ans de prison) et de fraude électronique (là encore passible d’une peine maximale de 20 ans de prison). Le ministère précise cela dit que ces peines maximales potentielles ne sont fournies ici qu’à titre d’information, « car toute condamnation du défendeur sera déterminée par un juge ».

Comme Netflix, Disney+ fait désormais payer le partage de compte à ses abonnés français. Le service de vidéos en ligne considère désormais que les connexions qui s’effectuent hors foyer justifient la souscription d’une option dédiée. Baptisée Abonné supplémentaire, celle-ci est facturée 4,99 euros par mois dans le cas d’un abonnement Disney+ Standard avec publicité et 5,99 euros par mois avec les formules Disney+ Standard et Disney+ Premium.

« Vous ne pouvez ajouter qu’un Abonné supplémentaire par abonnement Disney+. L’Abonné supplémentaire doit avoir au moins 18 ans et vivre dans le même pays / la même zone géographique que le titulaire du compte. Il ne doit pas posséder d’abonnement Disney+ actif ou résilié », précise par ailleurs le service.

À l’instar de ses concurrents, Disney+ prévoit un système de vérification du compte lorsque le titulaire tente de se connecter depuis un appareil qui ne semble pas pouvoir être directement rattaché au foyer de souscription, à l’occasion d’un déplacement ou de vacances par exemple. « Si le message « Cette TV ne semble pas faire partie du foyer pour ce compte » apparaît, vous pouvez sélectionner JE SUIS EN VOYAGE. Si vous êtes en voyage pour une période prolongée, par exemple pour des vacances d’hiver ou d’été, vous pouvez choisir de mettre à jour votre foyer ».

Si la France a bénéficié de quelques mois de souplesse supplémentaires, le déploiement de cette option Abonné supplémentaire a pour mémoire débuté à l’automne dernier.

Le conseil communautaire de la métropole de Châteauroux (Indre) a voté mardi soir la vente d’une parcelle de 195 hectares, située dans la zone d’activités d’Ozans, à Tricolore Computing, une filiale de Google. L’opération, qui prévoit un montant d’acquisition de 58,5 millions d’euros, viserait à permettre l’implantation d’un « campus de centres de données, en lien avec l’essor de l’intelligence artificielle », indique la métropole.

Le site concerné appartient à la ZAC d’Ozans, à l’est de Châteauroux, sur la commune d’Etrechet, dont l’aménagement progressif doit, selon la collectivité, aboutir sur une surface totale de l’ordre de 500 hectares. Les infrastructures de Google en occuperaient donc une part significative. Surtout, il fait partie des 55 « sites clés en main » identifiés par le gouvernement l’an dernier dans le cadre du plan France 2030, ce qui ouvre théoriquement la voie à des procédures administratives et des autorisations environnementales accélérées.

À ce stade, il n’est toutefois pas certain que le projet aille à son terme. « Il s’agit d’un compromis qui doit être signé dans un délai d’un an », indique Gil Avérous, maire de Châteauroux (ex-LR) et président de la métropole, selon qui la délibération votée mardi permet de « sécuriser la parcelle car ils doivent maintenant faire des études plus coûteuses pour ce projet ».

Le conseil communautaire a par ailleurs voté mardi une autre délibération relative à un « programme de renforcement du réseau électrique à 400 000 volts entre Eguzon et Marmagne », avec une ligne dont les capacités profiteraient au site d’Ozans.

« Une ligne à 400 000 volts existe déjà entre Eguzon et Marmagne. Grâce à des travaux menés en 2021 et 2022, sa capacité de transit d’électricité est passé de 1 400 MW à 2 200 MW. Aujourd’hui, il est nécessaire de renforcer cet axe électrique pour répondre aux besoins régionaux et nationaux, en créant une ligne à 400 000 volts, qui portera la capacité de transit à 7 600 MW », précise RTE.

S’il voit le jour, ce datacenter serait la première grande infrastructure détenue et opérée en propre par Google en France, qui se contentait jusqu’ici de colocation.