Fusiiiionnnnnn !

Deux nouvelles puces arrivent chez Apple : les M5 Pro et Max, avec des « super cœurs » pour la partie CPU. On les retrouve dans les nouveaux MacBook Pro de 14 et 16 pouces. Apple met aussi à jour son MacBook Air qui passe à la puce M5 pour l’occasion.

MacBook Air 13 et 15 pouces en M5, à partir de 1 199 euros

Après les iPhone 17e et l’iPad Air avec une puce M4, Apple continue sur sa lancée avec deux nouvelles annonces ce jour. Commençons par le MacBook Air avec une puce M5, dont les caractéristiques techniques peuvent changer suivant la taille de la diagonale de l’écran.

« Tous les modèles 15 pouces sont équipés de la puce M5 avec CPU 10 cœurs et GPU 10 cœurs », explique Apple. De son côté, le modèle de 13 pouces intègre 8 ou 10 cœurs GPU suivant les configurations, mais 10 cœurs CPU dans tous les cas. 16, 24 ou 32 Go de mémoire unifiée (partagés entre CPU et GPU) sont de la partie.

« Le MacBook Air dispose désormais d’un stockage de base deux fois plus important, porté à 512 Go, et d’une technologie SSD plus rapide », affirme Apple. Côté connectivité, c’est la puce maison N1 qui est aux commandes pour le Wi-Fi 7 et le Bluetooth 6. La connectique comprend deux ports Thunderbolt 4 (connecteur USB).

Niveau performances, Apple annonce que le MacBook Air M5 offre des performances « jusqu’à 4 fois plus rapides pour les tâches d’IA que son prédécesseur équipé de la puce M4, et jusqu’à 9,5 fois plus rapides que le MacBook Air avec puce M1 ».

Le MacBook Air 13 pouces M5 est proposé à partir de 1 199 euros avec 16 Go de mémoire et 512 Go de stockage (ajoutez 125 euros pour avec 10 cœurs GPU à la place de 8). De son côté, le MacBook Air 15 pouces M5 est vendu à partir de de 1 499 euros. Augmenter la mémoire vive vous coûtera 250 euros pour 8 Go de plus (24 Go au total) et 500 euros passer de 16 à 32 Go. 32 Go est toujours le maximum.

Les MacBook Pro de 14 et 16 pouces passent aux M5 Pro et Max

Passons aux MacBook Pro, avec de nouvelles puces M5 Pro et Max. Apple, comme toujours, n’est pas avare en superlatifs concernant ces deux nouveaux SoC : « nouveau CPU avec le cœur de CPU le plus rapide au monde, GPU nouvelle génération avec Neural Accelerator dans chaque cœur et bande passante mémoire unifiée plus élevée ». Elle passe de 153 Go/s sur la puce M5 à 307 Go/s sur la Pro et 614 Go/s sur la Max avec 40 cœurs GPU, mais « seulement » 460 Go/s pour le M5 Max avec 32 cœurs GPU.

Comme sur le MacBook Air, Apple vante le SSD des nouveaux MacBook Pro qui est « jusqu’à deux fois plus performant », avec 14,5 Go/s au maximum. Le stockage de base passe à 1 To pour le MacBook Pro en M5 ou M5 Pro et à 2 To pour le modèle M5 Max, au lieu de 512 Go sur le modèle d’octobre dernier en M5.

Pour la connectivité, la puce N1 est de nouveau présente, tandis que les ports USB Type-C prennent désormais en charge Thunderbolt 5. Un MacBook Pro avec une puce M5 Pro prend en charge deux écrans externes, contre quatre pour la version M5 Max.

Côté tarif, le MacBook Pro M5 avec 1 To débute à 1 899 euros (1 799 euros avec 512 Go auparavant), tandis que l’addition passe à 2 499 euros minimum pour un SoC M5 Pro… et encore ajoutez 200 euros de plus pour la version « complète » du SoC avec 18 cœurs CPU et 20 cœurs GPU (au lieu de 15 et 16 respectivement).

Pour le MacBook Pro M5 Max, le tarif débute à 4 199 euros avec 18 cœurs CPU et 32 cœurs GPU, puis il faut ajouter 375 euros pour avoir les 40 cœurs GPU. Ce sont les tarifs pour la version de 14 pouces, en 16 pouces comptez 2 999 euros en M5 Pro (il n’est pas disponible en M5) et 4 499 euros pour pour la puce M5 Max.

Du M1 au M5 Max, toutes les caractéristiques des puces Apple Silicon

Revenons aux deux nouvelles puces M5 Pro et Max, avec la mise a jour de notre grand tableau comparatif pour commencer :

Comme avec la M5 de « base », chaque cœur GPU dispose d’un « accélérateur neuronal ». Apple affirme que « les puces M5 Pro et M5 Max assurent un traitement des prompts LLM jusqu’à quatre fois plus rapide que les M4 Pro et M4 Max, et une génération d’images par IA jusqu’à huit fois plus rapide que les M1 Pro et M1 Max ».

Les précommandes des nouveaux MacBook Air et Pro ouvriront le 4 mars, les livraisons sont prévues à partir du 11 mars.

Des puces « pensées de A à Z pour l’IA » avec des 5 ou 6 « super-cœurs »

Les M5 Pro et M5 Max « intègrent un nouveau CPU de 18 cœurs, dont 6 super-cœurs, le cœur de CPU le plus rapide au monde, et 12 tout nouveaux cœurs de performance, optimisés pour des performances multithreads économes en énergie ». Pour la version 15 cœurs CPU du M5 Pro, il y a 5 super-cœurs et donc 10 efficaces. Apple ne parle pas de cœurs efficaces, mais « performance ». Les puces M5 Pro et Max ont donc un mélange de « super cœurs » et de « cœurs de performance ».

Auparavant, les puces M4 Pro et Max avaient entre 8 et 12 cœurs « performances », avec 4 cœurs « haute efficacité énergétique » (efficaces). Même chose sur la puce M5, les « super cœurs » n’existaient pas encore et les cœurs efficaces étaient toujours présents. À voir maintenant les résultats dans les tests.

Apple affirme que « la nouvelle architecture du processeur du M5 Pro améliore considérablement les performances multithread jusqu’à 30 % pour les charges de travail professionnelles ». Mais cette comparaison est faite entre des MacBook Pro M4 Pro avec 14 cœurs et M5 Pro avec 18 cœurs, soit… 30 % de cœurs en plus. La répartition entre les cœurs n’est pas non plus la même pour rappel.

Le fabricant ne s’en cache pas : il mise tout sur l’IA : « Les puces M5 Pro et M5 Max reposent sur la nouvelle architecture Fusion signée Apple et sont pensées de A à Z pour l’IA. Cette conception innovante combine deux puces en un seul système pour un gain de performances considérable ».

La version Max du M5 intègre deux encodeurs vidéo et deux encodeurs/décodeurs ProRes. Un comparatif de MacBook Pro 14 avec des puces M5, M5 Pro et M5 Max est disponible par ici.

L’attaque des bots

Un bot alimenté a utilisé les GitHub Actions pour compromettre des dépôts GitHub. Ironie du sort, il a piraté un scanner de sécurité (vulnérabilité, mauvaises configurations…), publié une extension VS Code malveillante et renommé le dépôt (en privé).

Il y a maintenant plus de sept ans que GitHub propose ses « Actions » pour automatiser des tâches, dont la mise en production automatique de code. On parle souvent de CI/CD avec CI pour Continuous Integration (intégration continue) et CD pour Continuous Deployment (déploiement continu).

La semaine dernière, un bot baptisé hackerbot-claw a utilisé l’intelligence artificielle générative (Claude Opus 4.5 selon sa propre présentation) pour exploiter activement la fonctionnalité GitHub Actions afin de faire des dégâts dans des dépôts GitHub.

• Les dessous de Moltbook, le réseau social pour les IA : « c’est un cauchemar absolu »

Du code exécuté à distance sur au moins quatre cibles

StepSecurity (entreprise spécialisée dans la sécurité de l’automatisation de la livraison de code) a publié une analyse détaillée. De même pour Stéphane Robert, ingénieur DevOps et architecte cloud chez 3DS Outscale, sur son blog en se concentrant davantage sur une des attaques, contre le scanner de vulnérabilités open source Trivy. Il dresse un portrait au vitriol : « Un bot IA autonome qui compromet un scanner de sécurité, publie une extension VS Code malveillante, et renomme le dépôt en privé — le tout en quelques heures. On est clairement entrés dans une nouvelle ère ».

Durant plusieurs jours, une campagne d’attaques automatisées (avec cinq techniques différentes) a donc été lancée via GitHub Actions, « réussissant à exécuter du code à distance dans au moins 4 cibles sur 7 » selon le billet de blog de StepSecurity. Les cibles étaient prestigieuses : microsoft/ai-discovery-agent‍, DataDog/datadog-iac-scanner‍, avelino/awesome-go, ambient-code/platform, project-akri/akri, aquasecurity/trivy et RustPython/RustPython.

Dans un des cas, le bot a pu « exfiltrer un jeton GitHub d’un dépôt populaire, avec des autorisations d’écriture ». Pour d’autres, le bot a aussi mis en place une injection de script en ajoutant une charge malveillante dans un fichier version.sh, a modifié des noms de branches pour y ajouter du code, caché des commandes shell (en Base64) dans les noms de fichiers, injecté des prompts IA, etc.

Le dépôt hackerbot-claw a été fermé dans la journée d’hier. Il précisait auparavant être « un agent autonome qui analyse les dépôts publics à la recherche de workflows CI/CD mal configurés. Je les trouve. Je les vérifie. Je laisse un mot. Je n’exfiltre pas, je ne détruis pas, je ne persiste pas », affirmait la présentation, qui voulait donc le présenter comme un chevalier blanc.

Trivy, le scanner de vulnérabilités, se fait détrousser

L’attaque la plus médiatisée est celle contre Trivy, dont le dépôt officiel (24 000 étoiles) a été vidé. « Trivy est l’un des scanners de vulnérabilités open source les plus utilisés dans l’écosystème cloud native. Il scanne les images de conteneurs, les fichiers IaC (Terraform, Kubernetes), les dépôts de code, les SBOM… C’est un outil incontournable dans toute chaîne DevSecOps sérieuse », explique Stéphane Robert sur son blog.

Hormis le dépôt vide, le site officiel est toujours en place, comme la documentation de la version 0.69 et « la page d’installation référence même la version 0.69.1 dans ses exemples ». Le problème ne concerne que GitHub a priori, mais aussi par ricochet toutes les applications s’appuyant sur ce dépôt.

L’éditeur de Trivy, Aqua Security, explique de son côté que « le dépôt a été rendu privé et renommé (en private-trivy). Un dépôt vide a été poussé à la place du dépôt public. Les versions GitHub entre 0.27.0 et 0.69.1 ont été supprimées, y compris les discussions et ressources GitHub associées pour ces versions ».

Autre problème et pas des moindres : « Un artefact malveillant a été créé pour l’extension VScode de Trivy, puis poussé vers la marketplace Open VSIX (une alternative à la marketplace officielle de VSCode). Nous avons supprimé cet artefact et révoqué le jeton utilisé pour le publier ». L’équipe n’a pas trouvé d’autres « impacts » suite à cette attaque et se concentre sur un retour à la normale de l’ensemble des services.

Depuis, une nouvelle version 0.69.2 a été mise en ligne, la seule « considérée comme propre » par Stéphane Robert. « Si vous avez installé Trivy entre le 21 et le 28 février – vérifiez l’intégrité de votre binaire. En cas de doute, supprimez et réinstallez la v0.69.2 », ajoute-t-il.

Attaques CI/CD : « Vous ne pourrez plus dire “je ne savais pas” »

Pour StepSecurity, cette attaque de « Hackerbot-Claw démontre que les attaques CI/CD ne sont plus simplement théoriques. Des bots autonomes recherchent et exploitent activement les erreurs de configuration des flux de travail en production ».

Stéphane Robert lance lui aussi un avertissement sur LinkedIn : « Alors messieurs les RSSI, mesdames les responsables sécurité : l’attaque sur Trivy n’est pas un cas isolé. C’est un rappel. Vos pipelines sont une surface d’attaque. Ils ont des permissions d’écriture sur vos repos, accèdent à des secrets, et s’exécutent à chaque push. Vous ne pourrez plus dire “je ne savais pas” ».

Les Pixels toujours dans la course

Motorola est allé chercher GrapheneOS pour améliorer la sécurité de ses smartphones, mais aussi (et surtout) pour proposer officiellement ce système d’exploitation sécurisé avec certains de ses smartphones. Inutile de courir, aucun modèle n’est actuellement compatible, il faudra attendre 2027.

Pour le MWC de Barcelone, Motorola est « on fire » avec une dizaine de communiqués de presse sur la seule journée d’hier. Il y a évidemment des smartphones avec les Razr Fold et Edge 70 Fusion, des écouteurs sans fil Buds 2, mais surtout un « partenariat à long terme avec GrapheneOS », une alternative à Android de Google.

Motorola et GrapheneOS main dans la main

GrapheneOS mise sur la sécurité et n’était historiquement disponible que sur les smartphones Pixel de Google. La raison ? Ce sont les seuls terminaux laissant l’utilisateur reverrouiller complètement le bootloader avec des clés de chiffrement personnalisées. Depuis plusieurs mois, la rumeur courait d’un partenariat avec un fabricant de smartphones pour intégrer GrapheneOS, c’est donc Motorola.

Pour le moment ce sont seulement des annonces, avec rien de concret à se mettre sous la dent :

« Motorola inaugure une nouvelle ère de la sécurité des smartphones grâce à un partenariat à long terme avec la GrapheneOS Foundation, la principale organisation à but non lucratif spécialisée en sécurité mobile qui développe un système d’exploitation renforcé basé sur le projet Android Open Source. Ensemble, Motorola et GrapheneOS Foundation travailleront à renforcer la sécurité des smartphones et à collaborer sur de futurs appareils conçus avec la compatibilité GrapheneOS ».

De son côté, GrapheneOS se dit ravi de s’associer à Motorola afin de proposer son système d’exploitation « sur leur smartphone de nouvelle génération ». Les développeurs présentent ce partenariat comme une étape importante pour élargir la portée de GrapheneOS. Ils précisent que c’est Motorola qui les a contactés, afin de mettre en place ce partenariat et d’améliorer la sécurité de leurs smartphones.

« Ils vont fournir une prise en charge officielle de GrapheneOS et nous aider activement à assurer le support de leurs téléphones », ajoute le système d’exploitation. GrapheneOS en profite pour faire un appel du pied : « Les autres constructeurs devraient suivre leur exemple ». Les développeurs rappellent que « GrapheneOS étant un logiciel libre, ils n’avaient pas besoin de partenariat pour utiliser notre code ».

Les premiers smartphones Motorola avec GrapheneOS en 2027

Sur les réseaux sociaux, GrapheneOS donne un peu plus de détails sur les terminaux compatibles : « Il s’agira initialement des appareils phares de Motorola, mais cette technologie pourrait s’étendre à d’autres modèles par la suite. Prenons l’exemple des Motorola Signature (2026) et Motorola Razr Fold (2026), qui, pour la génération actuelle, ne répondent pas encore pleinement à nos besoins. Ce seront leurs successeurs ».

De manière générale, les smartphones « actuels, y compris ceux lancés cette année, ne répondent pas aux exigences. Seule la prochaine génération d’appareils est conçue pour répondre à tous nos besoins », affirme GrapheneOS. Un partenariat qui n’a donc pour le moment aucun fruit, il faudra attendre 2027.

GrapheneOS revient sur les différences entre son système d’exploitation et l’Android maison qui sera toujours proposé par Motorola : « Ce sera le même GrapheneOS que sur les Pixel. Il ne contiendra aucun bloatware. C’est un système d’exploitation totalement indépendant de leur propre système. Ils intégreront également certaines fonctionnalités et concepts de GrapheneOS à leur système d’exploitation principal, mais cela restera distinct de GrapheneOS ».

Android sur les Motorola devrait donc se renforcer au niveau sécurité, mais sans plus de précision. Attention, le cœur de l’annonce concerne l’amélioration des smartphones pour « assurer une prise en charge officielle de GrapheneOS ». Les améliorations de la version maison d’Android pour les Motorola font « l’objet d’un projet distinct », explique GrapheneOS sur Bluesky.

Les Pixel toujours supportés, GrapheneOS arrive sur le Pixel 10a

Sur X, le compte officiel de GrapheneOS précise que la prise en charge des terminaux Pixel de Google ne s’arrête pas avec ce partenariat : « Les Pixel répondent à nos exigences de sécurité et continueront d’être pris en charge. La compatibilité avec le Pixel 10a sera ajoutée prochainement ».

Ce n’est pas parce que les Pixels sont supportés que les applications Google sont présentes : « GrapheneOS n’inclura jamais ni les services Google Play ni une autre implémentation de services Google comme microG. Il est possible d’installer les services Play sous forme d’applications en mode bac à sable sans privilèges spéciaux via notre couche de compatibilité Google Play ».

Il y a quelques semaines, un article du Parisien avait, pour rappel, mis le feu aux poudres, accusant le système d’exploitation d’être une « botte secrète » pour les narcotrafiquants. GrapheneOS avait vivement réagi et retirait dans la foulée toutes ses ressources de France.

• Accusé d’être un outil pour criminels, GrapheneOS rompt avec la France