VPN à la .ru

Le service de supervision russe Roskomnadzor a demandé à Apple la suppression de 25 applications mobiles de VPN de son App Store en Russie, en prétendant qu’elles contenaient des contenus illégaux. Apple a informé les responsables des applications (dont NordVPN, Proton VPN, Red Shield VPN, Planet VPN, Hidemy.Name VPN et Le VPN) qu’elles seront retirées de son magasin.

Comme l’explique l’agence de presse Reuters, Apple a supprimé ce jeudi 4 juillet 25 applications mobiles de son magasin d’applications après avoir reçu une demande de la part du service russe Roskomnadzor. Celui-ci est une agence publique chargée de la supervision des médias, y compris des médias numériques, et dépend du ministère russe des télécommunications et de la communication. Cette information a été rendue publique par l’agence de presse russe Interfax.

Si dans un pays où l’accès à l’information n’est pas censuré, un VPN est inutile pour la très grande majorité des utilisateurs grand public, dans un pays comme la Russie qui bloque l’accès à de nombreux sites d’actualité étrangers, cet outil peut être utilisé pour contourner la censure.

• [Édito] Au pays des VPN menteurs…

Un nouvel arrêté en vigueur depuis mars 2024

Depuis l’invasion de l’Ukraine par la Russie en février 2022, Roskomnadzor a multiplié les mesures pour éviter que les personnes présentes sur le sol russe puissent accéder à des informations venant d’autres pays.

Dès mars 2022, l’accès à Facebook était bloqué et celui à Twitter restreint. Puis une loi est très vite arrivée pour permettre l’interdiction des médias étrangers en Russie. La Russie a ainsi annoncé ce mardi 25 juin avoir bloqué l’accès sur son territoire à la diffusion de 81 médias européens (dont les sites de l’AFP, le Monde, la Croix et Libération, l’Express, Radio France, l’AFP, LCI, CNews et Arte), en « représailles » à la décision de l’UE en mai d’interdire quatre médias d’État russes.

Si le Kremlin s’est appuyé sur la Chine pour améliorer le contrôle, la surveillance et la censure du Net, Radio Free Europe/Radio Liberty expliquait que « les VPN et Tor ont également échappé la plupart du temps aux censeurs russes » après analyse de documents qui ont fuité en 2023. Rappelons que Tor appelait quand même à l’aide, en décembre 2021, car certains fournisseurs d’accès Internet en Russie commençaient à bloquer l’accès à son service.

Dans sa dépêche, Interfax explique que, depuis le 1er mars 2024, la Russie interdit tout outil et méthodes permettant l’accès aux ressources et/ou aux réseaux bloqués dans le pays. L’arrêté publié en décembre 2023 par Roskomnadzor prévoit aussi la prohibition de toute diffusion de publicité ou de vulgarisation sur le contournement du blocage à l’accès de contenus illégaux.

Red Shield et Le VPN réagissent

Red Shield a communiqué en russe sur X/Twitter en publiant le contenu du mail qu’Apple leur a envoyé :

Apple по требованию Роскомнадзора удалил приложение Red Shield VPN из российского App Store.
Нам известно как минимум об ещё одном приложении VPN, которое было удалёно одновременно с нашим.

Мы призываем журналистов и правозащитные организации публиковать информацию и… pic.twitter.com/kWZ4Ymw4gA

— Red Shield VPN (@RedShieldVPN_ru) July 4, 2024

L’entreprise explique qu’il n’existe actuellement qu’une seule solution pour installer et recevoir des mises à jour : changer la région de l’identifiant Apple. Elle renvoie ses utilisateurs russes vers ce lien qui fournit (en russe) les explications pour effectuer la démarche : https://journal.tinkoff.ru/apple-region/.

Le VPN a, lui aussi, diffusé un communiqué incluant le même message d’Apple. Pour le fournisseur de VPN, « cet événement marque une étape importante dans les efforts continus de Roskomnadzor pour contrôler l’accès et le contenu de l’internet sur le territoire russe ».

Le VPN explique avoir contacté le Roskomnadzor « pour obtenir des éclaircissements supplémentaires et a fait appel de la décision ». Il ajoute que « le retrait a été immédiatement perceptible ; les utilisateurs russes ont signalé l’indisponibilité de l’application, vérifiant ainsi l’application du retrait ».

« En réponse, Le VPN a rapidement lancé Le VPN Give, notre solution innovante pour contourner ces restrictions. Le VPN Give permet aux utilisateurs de se connecter à nos serveurs en utilisant un logiciel spécialisé et des connexions VPN obscurcies, assurant un accès continu à un Internet libre et sécurisé », ajoute l’entreprise.

Elle explique sur une autre page avoir envoyé à tous leurs utilisateurs en Russie affectés par le blocage 5 coupons pour activer ce nouveau système qui permet de se connecter à son offre via un logiciel libre (non mentionné) et ainsi passer outre la surveillance via Deep Packet Inspection (DPI).

Pour rappel, Apple a arrêté toute exportation en direction de la Russie dès le début du mois de mars 2022. Mais elle continue donc à se conformer aux demandes des autorités russes. En septembre 2021, elle avait aussi supprimé de sa boutique l’application d’Alexei Navalny pour organiser son mouvement à l’occasion de l’élection d’un nouveau Parlement.

L’un des plus importants fonds de capital-risque américain spécialisé en innovation, Sequoia, a publié un billet affirmant que « la bulle de l’IA atteint un point de rupture ». En s’appuyant sur les prévisions de revenus de NVIDIA, David Cahn, l’un des investisseurs et partenaires du fond, explique que cette bulle a atteint un tel niveau qu’elle aurait besoin de 600 milliards de dollars de retour sur investissement pour se maintenir.

Il n’explique pas pour autant que toutes les entreprises d’IA vont s’écrouler. Il reste même confiant sur le fait que « l’IA sera probablement la prochaine vague technologique transformatrice ». Mais il souligne que NVIDIA va continuer à améliorer ses GPU, que les prix des puces de dernières générations actuelles vont baisser et que chacun va devoir investir dans des puces toujours plus performantes.

Au final, pour David Cahn, « la baisse des prix des GPU est en fait favorable à l’innovation à long terme et aux start-ups. Si mes prévisions se réalisent, ce sont surtout les investisseurs qui en pâtiront ».

Meta entrainement

L’autorité de protection des données brésilienne a décidé d’interdire l’utilisation des données personnelles des utilisateurs de Facebook et Instagram pour entrainer ses IA tel que le prévoit sa nouvelle « Politique de confidentialité ». Après avoir suspendu son projet dans l’Union européenne, l’entreprise de Mark Zuckerberg doit faire un trait sur l’exploitation des données des utilisateurs du quatrième pays du monde en nombre d’utilisateurs de Facebook.

L’Autoridade Nacional de Proteção de Dados (ANPD), la CNIL brésilienne, a publié mardi 2 juillet un communiqué expliquant qu’elle avait ordonné à Meta de suspendre immédiatement au Brésil sa nouvelle politique de confidentialité des données ainsi que l’utilisation des données personnelles que ce nouveau texte prévoyait pour entrainer les IA du groupe de Mark Zuckerberg.

Cette décision concerne l’un des pays dans lequel Meta est le mieux implanté. Il y a plus de 112 millions de comptes Facebook actifs et 134 millions de comptes Instagram actifs dans le pays, selon Statista, faisant du Brésil le quatrième pays le plus important pour Facebook et le troisième pour Instagram.

Mi-juin, l’entreprise avait décidé de « mettre sur pause » son projet dans l’Union européenne et l’espace économique européen soumis au RGPD, sous la pression des autorités européennes et d’une plainte de l’association noyb.

Risque imminent grave pour les droits fondamentaux

La décision de l’ANPD a été prise en raison d’un « risque imminent de dommages graves et irréparables ou difficilement réparables aux droits fondamentaux des personnes concernées », explique l’autorité brésilienne. L’autorité suspecte que le dispositif mis en place par Meta et autorisé par sa nouvelle politique de confidentialité viole la loi générale sur la protection des données brésilienne (Lei Geral de Proteção de Dados, LGPD).

L’ANPD impose à Meta de supprimer la section de sa nouvelle Politique de confidentialité correspondant au traitement des données à caractère personnel pour entrainer ses IA génératives et la suspension de tout traitement de données à caractère personnel au Brésil.

L’autorité a laissé 5 jours à l’entreprise pour réagir. Meta devra payer une amende forfaitaire symbolique si elle ne s’y plie pas, puisque l’ANPD l’a fixée à 50 000 réals, soit 8 500 euros.

Utilisateurs mal informés et mauvais cadre juridique

Dans un billet de blog publié en mai, Meta assurait qu’ « en vertu des lois locales en vigueur au Brésil, vous pouvez vous opposer à l’utilisation de vos informations provenant de nos produits et services pour développer et améliorer l’intelligence artificielle de Meta. Le formulaire d’objection est disponible dans notre centre de confidentialité ».

Mais dans son communiqué, l’ANPD explique avoir estimé que « l’entreprise n’a pas fourni les informations adéquates et nécessaires pour que les personnes concernées soient conscientes des conséquences possibles du traitement de leurs données personnelles pour l’entrainement de modèles d’IA générative ». Elle ajoute que, « bien que les utilisateurs puissent s’opposer au traitement des données à caractère personnel, il existait des obstacles excessifs et injustifiés à l’accès à l’information et à l’exercice de ce droit ».

Contacté par The Register, Meta a répondu que « l’entrainement d’IA n’est pas propre à nos services, et nous sommes plus transparents que bon nombre de nos homologues du secteur qui ont utilisé des contenus publics pour former leurs modèles et leurs produits ». Le porte-parole de l’entreprise interrogé réaffirme que l’approche de Meta « est conforme aux lois et réglementations brésiliennes en matière de protection de la vie privée, et nous continuerons à travailler avec l’ANPD pour répondre à leurs questions traitement de données personnelles sensibles au Brésil ».

En 2023, la multinationale aurait augmenté ses émissions de CO2 de près de la moitié de ce qu’elle rejetait déjà en 2019, selon son propre rapport environnemental (PDF) commenté par le Financial Times. Google a produit 14,3 millions de tonnes équivalent CO2 en 2023.

Le journal économique fait remarquer que cette augmentation met en cause clairement l’engagement « net zero » de l’entreprise, qui prévoyait en 2021 d’avoir un bilan carbone neutre à l’horizon 2030.

L’entreprise explique aussi que la consommation totale d’électricité de ses data centers a augmenté de 17 % en 2023 par rapport à 2022 (celle-ci provenant toujours à 100 % d’énergies renouvelables selon elle).

Dans ce document, Google confirme que l’IA est une des causes principales de cette augmentation.

Elle y affirme aussi qu’il est difficile de prédire les conséquences environnementales futures de l’IA. Elle ajoute qu’au fur et à mesure de l’intégration de l’IA dans ses produits, la distinction entre l’IA et le reste n’aura plus grand sens, « nous nous concentrons donc sur les mesures concernant l’ensemble des data centers, car elles incluent la consommation globale de ressources (et donc l’impact environnemental) de l’IA » commente-t-elle.

Il sera dès lors encore plus difficile de savoir quelles seront les réelles conséquences de l’IA sur les émissions de l’entreprise.

Au Financial Times, la Responsable Développement durable de Google, Kate Brandt, explique que l’entreprise s’attend à ce que ses émissions augmentent encore « avant de redescendre vers notre objectif ».

En mai, Microsoft annonçait de son côté une hausse de ses émissions de 29 % depuis 2020.

• Depuis 2020, les émissions de Microsoft ont augmenté de 29 %

IA pas de consentement

Human Right Watch a analysé une partie de la base de données LAION-5B très utilisée pour entrainer des outils d’IA générateurs d’images. L’ONG s’est rendu compte qu’elle contiendrait des liens vers des photos d’enfants brésiliens et australiens sans leur consentement.

Mise à jour le 3 juillet 2024 à 9h15 : ajout de la partie sur les photos d’enfants australiens

Article original publié le 11 juin 2024 à 17h22 :

L’ONG Human right watch explique avoir repéré des photos personnelles d’enfants brésiliens dans la base de données LAION-5B. Créée par le professeur de lycée allemand Christoph Schuhmann, celle-ci a été notamment utilisée par Stable Diffusion et par Google pour entrainer leurs modèles d’IA génératives de text-to-image.

• Comment LAION a créé un jeu d’images d’entraînement à partir de zéro

Une toute petite partie de la base de données explorée

Ces photos ne figurent pas en tant que telles dans la base de données. LAION-5B liste notamment des liens vers diverses photos mises en ligne et qu’elle associe à du texte. Elle s’appuie sur l’autre base de données Common Crawl qui parcourt internet et stocke les contenus trouvés.

La chercheuse de l’ONG, Hye Jung Han, a examiné une toute petite partie de LAION-5B (moins de 0,0001 % des 5,85 milliards d’images) mais a trouvé 170 photos d’enfants brésiliens venant d’au moins 10 États du pays.

Des photos de moments intimes

La plupart de ces photos n’ont été vues que par très peu de personne et « semblent avoir bénéficié auparavant d’une certaine intimité » explique Human Rights Watch, qui a vérifié en utilisant des moteurs de recherche.

L’ONG affirme que LAION, l’association allemande fondée par Schuhmann pour gérer la base de données, a confirmé l’existence des liens vers ces photos dans sa base de données et a promis de les supprimer. Mais elle a ajouté qu’il incombait aux enfants et à leurs tuteurs de retirer les photos personnelles des enfants de l’internet, ce qui, selon elle, constitue la protection la plus efficace contre les abus.

• Intelligence artificielle : la CNIL veut (re)concilier « innovation et respect des droits »

Dans une réponse à Wired, LAION a affirmé avoir supprimé les liens vers les contenus signalés par Human Right Watch. Mais un de ses représentants a ajouté que « la suppression des liens d’un ensemble de données LAION ne supprime pas ce contenu du web […] il s’agit d’un problème plus vaste et très préoccupant, et en tant qu’organisation bénévole à but non lucratif, nous ferons notre part pour y remédier ».

Selon l’association, les photos listées par LAION représentaient « des moments intimes comme des bébés naissant entre les mains gantées de médecins, des jeunes enfants soufflant les bougies de leur gâteau d’anniversaire ou dansant en sous-vêtements à la maison, d’élèves faisant un exposé à l’école et d’adolescents posant pour des photos à carnaval du lycée ».

Hye Jung Han explique à Wired que « leur vie privée est violée en premier lieu lorsque leur photo est récupérée et intégrée dans ces ensembles de données. Ensuite, ces outils d’intelligence artificielle sont entrainés à partir de ces données et peuvent donc créer des images réalistes d’enfants ». Elle ajoute que « la technologie est développée de telle sorte que tout enfant qui possède une photo ou une vidéo de lui en ligne est désormais en danger, car n’importe quel acteur malveillant pourrait prendre cette photo, puis utiliser ces outils pour la manipuler à sa guise ».

LAION-5B plus accessible publiquement

Depuis décembre dernier, LAION-5B n’est plus accessible publiquement. L’association a pris cette décision car des chercheurs de Stanford ont identifié 3 226 liens vers des images pédocriminelles potentielles. « La plupart d’entre elles ont été identifiées comme telles par des tierces parties » expliquaient-ils.

Dans un communiqué sur son site, LAION affirmait qu’elle appliquait «  une politique de tolérance zéro à l’égard des contenus illégaux et, dans un souci de prudence, nous retirons temporairement les jeux de données de LAION pour nous assurer qu’ils sont sûrs avant de les republier ».

Des photos d’enfants australiens utilisées

Hye Jung Han a aussi trouvé 190 photos d’enfants australiens dans LAION-5B, explique ce mardi 2 juillet l’ONG. Comme pour les photos des enfants brésiliens, celles-ci montrent des enfants dans toutes sortes de scènes de leur vie. Certains enfants australiens appartiennent à différents groupes aborigènes (Anangu, Arrernte, Pitjantjatjara, Pintupi, Tiwi et Warlpiri).

Ici encore, la plupart des photos n’étaient pas disponibles via une requête dans un moteur de recherche.
L’une d’elles provient même d’une vidéo YouTube dont l’utilisateur avait pourtant fait attention à la mettre en « non répertoriée ».

Les noms de certains enfants figurent parfois dans la légende de la photo ou dans l’URL de l’adresse stockée par LAION-5B. De plus, l’ONG assure qu’il est souvent facile de retrouver l’identité des enfants ainsi que le lieu et le moment de la photo.

Human Right Watch affirme que « le gouvernement australien devrait adopter de toute urgence des lois visant à protéger les données des enfants contre les utilisations abusives alimentant l’IA ».

Jeudi, OpenAI a publié un billet de blog expliquant qu’elle avait créé un nouveau modèle concernant la génération de code par IA : CriticGPT. Ici, l’idée n’est pas de générer du code via un prompt, mais de trouver les erreurs dans du code généré par GPT-4.

L’entreprise assure qu’avec ce nouveau modèle, dans 60 % des cas, les personnes qui l’utilisent ont de meilleurs résultats qu’avec seulement GPT-4.

L’idée est d’améliorer les systèmes d’apprentissage par renforcement à partir de rétroaction humaine (Reinforcement learning from human feedback, RLHF). Ils permettent à des relecteurs humains d’améliorer la précision des sorties des grands modèles de langage.

Comme à son habitude, l’entreprise publie un « papier » déposé sur son propre serveur (PDF). S’il ressemble à un article scientifique, il n’est pas déposé sur un serveur de prépublication ni encore moins publié dans une revue scientifique.

What could go wrong?

Vanna.AI est une bibliothèque Python qui permet de proposer des solutions text-to-SQL aux développeurs en s’appuyant sur des grands modèles de langage. Fin mai, l’entreprise de sécurité informatique JFrog y a détecté une vulnérabilité permettant d’injecter du code Python puis de le lancer. Pour les chercheurs de l’entreprise, le pre-prompting ne peut être utilisé comme seul mécanisme de sécurité quand les développeurs utilisent des grands modèles de langage.

L’équipe de recherche de l’entreprise de sécurité JFrog a annoncé avoir découvert fin mai dernier une faille critique (CVE-2024-5565) dans la bibliothèque Python Vanna.AI. Celle-ci propose aux développeurs une interface de conversion text-to-SQL utilisant l’IA générative, permettant de générer du SQL à partir de langage naturel. Son code est publié sur GitHub en licence MIT et la bibliothèque rencontre un certain succès.

Le pre-prompting, mécanisme de sécurisation très utilisé pour les LLM