Where is Brian ?

Apple a procédé hier soir à une série d’annonces, dont ses premiers Mac avec puce M4 et la disponibilité des dernières révisions de ses systèmes. Mais c’est surtout l’arrivée d’Apple Intelligence en France en avril qui a retenu l’attention.

Depuis hier soir, les mises à jour iOS 18.1, iPadOS 18.1 et macOS 15.1 sont diffusées à tous les appareils compatibles. Entre autres nouveautés, ils activent le premier tronçon des fonctions Apple Intelligence.

Peut-on en profiter dès maintenant ? Oui et non, car il faudra surtout attendre avril.

Apple Intelligence : Qui ? Comment ? Quoi ?

Apple Intelligence est officiellement disponible sur l’ensemble des Mac compatibles (puce M1 et 8 Go de RAM au moins), les ordinateurs d’Apple n’étant pas soumis au DMA. Il y a malheureusement une condition : les machines doivent être configurées en anglais, seule langue disponible pour le moment.

Si l’anglais ne vous fait pas peur, rendez-vous dans Réglages > Général. Là, vous verrez une ligne « Langue et région ». Dans le haut de la fenêtre, appuyez sur « + » pour ajouter une langue. Cherchez la ligne English (US), car c’est la seule variante acceptée actuellement pour Apple Intelligence. Validez l’ajout puis confirmez que vous voulez utiliser cette langue pour le système. Un redémarrage sera ensuite requis.

Direction ensuite la section Apple Intelligence & Siri dans Réglages, devenus System Settings. Sur la ligne Language, il faut également changer pour « English (United States) », déclenchant un petit téléchargement pour la langue. À ce moment, un nouveau bouton apparait en haut du panneau, permettant de rejoindre la liste d’attente. Dans notre cas, une notification est apparue moins d’une heure après pour prévenir que les fonctions étaient prêtes.

Cliquer sur la notification a renvoyé vers la section Apple Intelligence de System Settings. Ne resterait plus qu’à cliquer sur « Turn on » pour activer les fonctions. S’ensuit une courte présentation des apports, essentiellement deux pour l’instant : les outils d’écriture (reformulation, résumé…) et le nouveau Siri, avec un phrasé plus naturel. Avec une limitation à l’anglais, les outils d’écriture ne fonctionneront que sur des textes dans cette langue. Même chose pour Siri, tout devra se faire en anglais.

Notez que vous pouvez revenir en français à n’importe quel moment, moyennant un redémarrage. Apple Intelligence cessera alors de fonctionner.

Et le français ? Et les iPhone ?

C’est sans doute la plus grosse annonce d’hier soir : Apple Intelligence arrivera en Europe en avril prochain et avec lui le français.

« Les utilisateurs de Mac dans l’UE peuvent accéder à Apple Intelligence en anglais (États‑Unis) avec macOS Sequoia 15.1. En avril, les fonctionnalités d’Apple Intelligence commenceront à être déployées pour les utilisateurs d’iPhone et d’iPad dans l’UE. Cela inclura de nombreuses fonctionnalités clés d’Apple Intelligence, notamment les Outils d’écriture, Genmoji, un Siri repensé avec une compréhension linguistique plus riche, l’intégration de ChatGPT, et bien plus encore », précise ainsi Apple dans son communiqué de presse. Dans une note, la firme indique le français fera partie des langues supportées.

C’est bien la version complète des services qui sera alors diffusée, sans doute avec iOS 18.4.

iOS/iPadOS 18.1, macOS 15.1 et les autres

Les nouvelles versions « .1 » des derniers systèmes d’Apple intronisent donc Apple Intelligence, ainsi que quelques autres apports.

Sur iOS 18.1, on trouve ainsi la possibilité d’enregistrer en temps réel les appels téléphoniques classiques et FaceTime audio. Apple précise que cet enregistrement est « automatiquement annoncé ». Nous n’avons cependant pas trouvé la fonction dans nos tests. Il y a peut-être des conditions à respecter (un certain type d’appareil, une compatibilité Apple Intelligence…), mais elle n’est pas mentionnée par Apple.

Parmi les autres nouveautés, plusieurs concernent le Centre de contrôle. Plusieurs boutons dédiés font ainsi leur apparition pour le cellulaire, le VPN et le Wi-Fi, permettant d’influer sur ces réglages sans passer par le dossier qui les contient. Deux autres sont également disponibles pour appeler l’application Mesure. Enfin, une option permet de réinitialiser le Centre à ses paramètres par défaut, supprimant toute personnalisation.

Plus visible, une amélioration permet aux notifications d’afficher un petit chiffre sur les piles, indiquant combien la pile en contient. Un ajout tout simple, mais si évident que l’on se demande pourquoi il n’est pas arrivé avant. Le chiffre apparait en haut à droite de l’icône à gauche des notifications. On peut cependant lui reprocher sa taille, l’information est si petite qu’elle pourrait passer inaperçue.

On trouve également un passage rapide à la caméra TrueDepth avant sur la gamme iPhone 16, la possibilité de prendre des photos et vidéos spatiales sur la gamme iPhone 15, la compatibilité avec les fonctions dédiées à l’audition sur les AirPods Pro 2 (qui reçoivent un nouveau firmware), ainsi que diverses corrections de bugs.

Sur macOS 15.1, le programme est nettement moins riche. Sorti d’Apple Intelligence, le seul nouvel apport réellement visible est l’arrivée d’une option permettant d’installer les applications de plus de 1 Go sur un autre volume. La mise à jour corrige également plusieurs dizaines de failles de sécurité. Celles-ci sont également colmatées par les versions de macOS 14.7.1 et 13.7.1, disponibles pour les machines plus anciennes.

Les iMac passent à la puce M4

Comme prévu, les premières machines à passer à la moulinette M4 sont les iMac. Le renouvellement se fait essentiellement par la puce (qui remplace le M3 de l’iMac précédent) et le passage à 16 Go de mémoire par défaut. Soit ce que les rumeurs en annonçaient. Le format reste le même, tout comme les couleurs disponibles, la répartition de la gamme et la dalle, qui reste de 24 pouces en 4,5K.

Le premier modèle propose ainsi un M4 contenant 8 cœurs CPU et 8 cœurs GPU pour 1 499 euros, un tarif légèrement en baisse. En revanche, comme précédemment, il n’y a que deux ports Thunderbolt/USB4 et pas d’Ethernet. À 1 749 euros, la seconde configuration passe à 10 cœurs CPU et 10 cœurs GPU, quatre ports Thunderbolt/USB4 et un port Gigabit Ethernet. Le clavier Magic Keyboard récupère Touch ID. Toutes les configurations sont fournies avec un SSD de 256 Go et mettent en avant la compatibilité Apple Intelligence.

À noter que tous les accessoires désormais fournis avec ces Mac abandonnent le port Lightning pour l’USB-C. Les précommandes sont ouvertes, pour des livraisons qui commenceront le 8 novembre.

Il y a quelques jours, Qwant présentait officiellement son programme de fidélité, qui propose de vous rémunérer jusqu’à 10 euros chaque semaine si vous faites partie des plus gros utilisateurs du moteur de recherche.

• Qwant lance un programme de fidélité, en attendant sa future techno de recherche – Next

Olivier Abecassis, directeur général de Qwant depuis octobre 2023, nous expliquait travailler « intensément depuis un an avec des progrès considérables et déjà des résultats encourageants » sur sa propre technologie de recherche… « même si ça n’est pas encore branché », reconnaissait-il.

« Nous n’avons ni les moyens, ni même l’ambition d’atteindre la qualité de Google, mais on pense pouvoir faire quelque chose de vraiment bien pour l’utilisateur », nous indiquait le directeur général. C’est finalement Octave Klaba qui vient donner des nouvelles en personne.

Dans un tweet, il « vise fin novembre/début décembre pour le moteur de recherche (en propre) en alpha public sur le web français, soit 350 à 500 millions de pages indexées ». Il ne donne pas plus de détail pour le moment. Qwant arrivera-t-il à disposer d’un véritable indexe maison en se passant totalement des outils de Microsoft (Bing) au moins pour le web français ? Réponse dans quelques semaines…

Pour rappel, Octave Klaba (fondateur d’OVHcloud) a racheté Qwant et Shadow l’année dernière avec son frère et la Caisse des dépôts pour les regrouper dans Synfonium (75 % pour les Klaba, 25 % pour la CDC).

Hâtez-vous lentement

Le gouvernement a finalement retiré l’amendement qui proposait l’ouverture à la concurrence des jeux de casinos en ligne. Laurent Saint-Martin, ministre du Budget, annonce à la place l’ouverture d’une consultation avec les acteurs du secteur.

Déposé dans le cadre du projet de loi finances 2025, un amendement du gouvernement proposait la légalisation et donc l’ouverture à la concurrence, en France, des jeux de casinos en ligne, au même titre que ce que la loi autorise déjà en matière de paris sportifs, de paris hippiques ou de poker. Réclamée de longue date par le secteur des jeux d’argent en ligne, la mesure, envisagée sans discussion préalable, a déclenché une levée de boucliers des opérateurs de casinos physiques, eux-mêmes rapidement soutenus par les élus locaux concernés.

« Monsieur le premier ministre, souhaitez-vous la destruction de 15.000 emplois non délocalisables dans nos communes ? Naturellement, non. Pourtant, si les casinos en ligne sont autorisés en France dans les conditions prévues par le gouvernement, cela reviendra à permettre à de grandes plateformes d’inonder l’espace public de publicités massives et agressives et de faire main basse sur le marché. Or, ces entreprises, souvent domiciliées dans des juridictions où la fiscalité est faible, ne contribueront ni à l’économie réelle ni aux recettes fiscales de l’État et de nos communes », ont notamment argué plus de 100 maires dans une tribune collective publiée le 24 octobre dernier par le Figaro.

Marche arrière

Dans son exposé, le gouvernement valorisait quant à lui les recettes fiscales susceptibles de découler de l’ouverture de ce nouveau marché, et défendait l’idée selon laquelle la création d’une offre légale serait susceptible d’assécher l’offre illégale. Il a toutefois décidé de faire marche arrière, comme l’a annoncé le ministre du Budget, Laurent Saint-Martin, dimanche au micro de Radio J.

« Je suis très vigilant sur ce sujet », a affirmé le ministre, expliquant ne pas vouloir pénaliser « certains acteurs ». « Il était question que le gouvernement dépose un amendement, ce n’est plus le cas, il nous faut d’abord travailler ».

Le travail en question prendra finalement la forme d’une concertation, annoncée lundi par le ministère chargé du Budget et des comptes publics. Censée débuter « dès la semaine prochaine », elle « devra aboutir sur un schéma permettant de répondre aux préoccupations du secteur » tout en « tenant compte des objectifs du gouvernement visant à un renforcement de la fiscalité des jeux de hasard ».

Cinq axes de concertation

Cinq axes prioritaires de réflexion sont dégagés, qui, ensemble, résument les principales controverses liées au sujet.

La concertation doit ainsi en premier lieu envisager la santé mentale (décrétée cause nationale par le Premier ministre) et les risques liés à l’addiction, un domaine dans lequel les partisans de la légalisation affirment qu’une offre légale dont la communication sera encadrée par l’Autorité nationale des jeux est préférable aux pratiques non régulées de l’offre illégale. Les associations de lutte contre l’addiction estiment quant à elles que l’ouverture reviendra justement à accentuer la communication des acteurs spécialisés et donc à augmenter le risque pour les publics les plus vulnérables.

Elle doit également évaluer le potentiel renforcement de l’équité du champ concurrentiel. La légalisation permettrait ici, selon le ministère, de corriger un déséquilibre concurrentiel en défaveur des casinos physiques, aujourd’hui confrontés à la concurrence d’acteurs qui échappent à toute régulation. Les casinos estiment quant à eux que la légalisation constituerait une concurrence au moins aussi féroce… à moins que la loi ne leur réserve une forme de préséance ou d’exclusivité sur le marché des jeux en ligne.

Les débats devront s’intéresser à la défense de l’ordre public, incarnée par une lutte plus efficace contre l’offre illégale. Aujourd’hui, c’est l’Autorité nationale des jeux, investie d’un pouvoir de blocage administratif qui porte cet effort. Elle revendique plus de 2.000 adresses déjà bloquées, mais le jeu des sites miroir et des changements de nom de domaine empêche tout blocage définitif.

Ils auront la charge d’évaluer l’impact en matière de sécurité du consommateur. « Les jeux illégaux en ligne sont associés à des risques d’usurpation d’identité et de fraudes bien documentés », affirme ainsi le ministère.

Dernier point, et non des moindres, la concertation étudiera l’impact en matière d’emploi et d’économie locale, ce qui constituera le nerf de la guerre des échanges pour le secteur des casinos physiques, qui revendique quelque 15 000 emplois à l’échelle du territoire, pour un produit brut des jeux de l’ordre de 2,7 milliards d’euros par an.

Un homme de 27 ans a été condamné à 18 ans de prison au Royaume-Uni pour avoir fabriqué des images d’abus sexuels sur des enfants, explique le Guardian. Utilisant des photos « normales » de vrais enfants, il les a transformés avec le logiciel de création de modèles humains DAZ 3D en images de viols. Ici, contrairement aux « deepfakes » où une tête est transférée sur un autre corps, Hugh Nelson, l’auteur de ces images, a créé complètement les personnages et les scènes.

La police britannique a découvert qu’il les vendait sur internet via des forums de discussion, engrangeant 5 000 Livres sterling (6 000 euros) sur une période de 18 mois. Le journal britannique explique qu’il a, dans certains cas, fourni des images en utilisant des photos d’enfants proches de ses clients.

Le juge Martin Walsh qui a condamné Hugh Nelson a déclaré qu’il était « impossible de savoir » si des enfants avaient été violés à la suite de la création de ses images et que l’auteur ne s’était pas soucié du préjudice causé par la diffusion de ce matériel « déchirant et écœurant ».

Il a pu être arrêté après qu’il a proposé à un policier en couverture la création d’un nouveau personnage pour 80 livres sterling (95 euros).

L’Internet Watch Foundation s’alarmait récemment du franchissement d’un « point de bascule » concernant les images d’abus sexuels d’enfants générées par IA.

• Un « point de bascule » concernant les images d’abus sexuels d’enfants générées par IA

Peut-on séparer l'homme du CEO ?

À une semaine du scrutin pour la présidentielle des États-Unis, le rôle joué par le dirigeant de multiples entreprises numériques est toujours plus important, au point d’interroger sur les effets qu’il pourrait avoir sur ses activités économiques.

Si l’on sélectionne bien les informations, Elon Musk a enregistré plusieurs réussites de taille en octobre. Le 13 octobre, Space X réalisait un « exploit technique » en lançant sa fusée géante Starship et en parvenant à récupérer le booster Super Heavy sans accroc.

Quelques jours plus tôt, Tesla avait organisé la démonstration de son Robotaxi lors d’un événement intitulé « We, Robots » et faisant la part belle à l’esthétique futuriste… et robotisée, donc, même si les robots humanoïdes présentés au cours de l’événement étaient dirigés par des humains.

• Avec son Robotaxi, Tesla mise gros sur la conduite autonome


En parallèle, l’homme se positionne toujours plus ouvertement en faveur du candidat Trump pour la campagne présidentielle états-unienne. Le Washington Post vient par ailleurs de révéler que l’entrepreneur échangeait régulièrement avec le président russe Vladimir Poutine. Des pratiques qui interrogent, au regard des liens étroits que ses entreprises ont mêlés au fil du temps avec l’administration des États-Unis.

Dans un billet de blog, la fondation rappelle que, depuis 2023, « Wayland est utilisé par défaut pour Raspberry Pi 4 et 5, tout en continuant à utiliser X sur les modèles moins puissants ». Elle utilise le compositeur Wayland (un serveur d’affichage utilisant le protocole Wayland) wayfire.

Malgré des tentatives d’optimisation, le résultat n’était pas convaincant sur les plus anciennes machines. « En continuant de travailler avec wayfire, nous nous sommes rendu compte qu’il allait dans une direction qui le rendrait moins compatible avec notre matériel ». La recherche d’une alternative a alors commencé et un nouveau compositeur identifié : labwc.

Les résultats étaient encourageants. « Une enquête plus approfondie a révélé que labwc était bien mieux adapté au matériel graphique des Raspberry Pi que wayfire ». Résultat des courses, pendant une bonne partie de 2024, l’équipe a travaillé sur le portage de labwc pour l’ensemble des Raspberry Pi.

Selon la fondation, les résultats sont maintenant à la hauteur. Sur les anciens modèles de Raspberry Pi, labwc fonctionne aussi vite que X. Cela entraine une bascule : « Raspberry Pi Desktop exécute désormais Wayland par défaut sur tous les modèles ».

« Les installations existantes de Pi 4 ou 5 Bookworm exécutant wayfire ne devraient pas changer de manière notable, à part la perte de quelques animations que nous n’avons pas encore implémentées dans labwc. Étant donné que nous ne supporterons plus wayfire avec des mises à jour sur Raspberry Pi OS, il est préférable d’adopter labwc dès que possible », ajoute la fondation.

D’autres nouveautés sont de la partie, dont une meilleure prise en charge des écrans tactiles et une meilleure intégration de Raspberry Pi Connect. De plus amples détails sont disponibles dans ce billet de blog.

Touches Syst+V

Au lendemain des révélations de Disclose sur l’usage de BriefCam par la police, Gérald Darmanin avait demandé une inspection, dont le rapport vient, enfin, d’être publié. À au moins une reprise, la fonctionnalité « reconnaissance faciale » du logiciel a été utilisée. Le rapport met en lumière le flou autour de l’utilisation de BriefCam et de son successeur annoncé, Système V. On y apprend enfin que l’Intérieur envisage de développer la reconnaissance faciale.

En novembre 2023, nos confrères de Disclose révélaient que la police utilisait, depuis 2015, un logiciel israélien de reconnaissance faciale de la société BriefCam. Ces révélations ont conduit à deux enquêtes, l’une diligentée par la CNIL, l’autre par les inspections. Le ministre de l’Intérieur s’était longtemps refusé à publier le rapport conjoint de l’IGA, IGPN et IGGN, qui a finalement été mis en ligne lundi après-midi.

• Un logiciel de reconnaissance faciale utilisé illégalement par la police française

Si BriefCam est utilisé depuis 2015, la reconnaissance faciale n’est possible que depuis 2018. Pour savoir si cette fonctionnalité avait été utilisée, les inspections ont dû se fier à la bonne foi des services utilisateurs de BriefCam (qui devaient donc dire aux inspections si elles avaient commis une illégalité). Un seul cas de reconnaissance faciale leur a été remonté. Pendant les émeutes de juin 2023, les enquêtes de la brigade de recherche de Montmorency (Val d’Oise) ont demandé au service central du renseignement criminel de les aider.

Mais, « compte tenu du volume des flux vidéos à exploiter, l’utilisation du logiciel BriefCam a été décidée » et la fonctionnalité reconnaissance faciale a été activée. Les enquêteurs l’ont alors alimenté de photos de personnes soupçonnées d’avoir participé aux émeutes, dont des images venues du fichier TAJ (fichier de police qui regroupe tous les mis en cause). Les algorithmes de BriefCam ont sélectionné deux séquences vidéos, où apparaissaient deux personnes préalablement repérées. Mais, si elles étaient présentes, les investigations ont montré qu’elles n’avaient pas participé aux dégradations de bâtiments publics et elles n’ont pas été interpellées.

Un second cas est mentionné, mais sans utilisation de reconnaissance faciale. Des enquêteurs recherchaient l’auteur d’une agression violente en scooter, non identifiable, mais porteur d’un T-shirt au graphisme particulier. BriefCam a été alors massivement alimenté : des réquisitions judiciaires ont permis de saisir des centaines d’heures de vidéos. Cela a permis de retrouver l’agresseur et son t-shirt.

©🔫 🤖

En 20 ans d’Internet, de partage et de publication massive de contenus soumis au copyright, le discours public a évolué. Il est passé d’une condamnation totale des pratiques d’échanges entre utilisateurs pairs à pairs à une acceptation tacite de l’entrainement des IA génératives, parfois sur les mêmes masses de données, pourvu que les données ne soient pas nommément citées.

Entre la répression contre les figures symboliques du partage de fichiers sur Internet – Shawn Fanning, Aaron Swartz et Alexandra Elbakyan – et l’utilisation massive des bases de données d’œuvres protégées par le Copyright par les entreprises de l’IA générative, le discours public et politique a bifurqué. D’un tout répressif dont le point d’orgue en France a été la loi Hadopi, nous sommes passés au jet d’un voile pudique sur l’utilisation de données culturelles par les startups qui promettent d’être les prochaines licornes de l’IA.

De la fin des années 90 à celle des années 2010, les politiques du numérique ont notamment été portées par la volonté de protéger du piratage les contenus numériques comme les musiques, les films, mais aussi les livres et les articles scientifiques.

Cryptoscam is scam

Plusieurs développeurs Web rapportent avoir été récemment victimes d’une tentative d’arnaque au recrutement. Le procédé, qui passe par un projet piégé hébergé sur un gestionnaire de sources populaires, semble cibler tout particulièrement les amateurs de cryptomonnaies et de web3.

Une recruteuse avenante, un projet séduisant, une rémunération très alléchante… comme autant de signaux d’alerte, pour une offre d’emploi bien trop belle pour être vraie ?

« Une certaine Allison m’a contacté sur LinkedIn, comme j’étais en ligne, nous avons engagé la conversation, elle m’a dit que mon expérience et mon parcours collait bien au projet pour lequel elle recrutait. Elle m’a envoyé les spécifications, je lui ai dit que ça m’intéressait », raconte à Next David Barbier, développeur Web indépendant.

Méfiance face aux offres alléchantes

Dans cette conversation, que nous avons pu consulter, la recruteuse explique constituer une équipe pour une place de marché dédié à l’art, sous l’égide d’un célèbre musée londonien, la Tate Modern. La rémunération proposée est en dollars – et non en livre sterling, mais elle semble attractive, tout comme les conditions de travail. « Je lui ai dit que je travaillais en freelance, ça ne posait aucun problème », ajoute David Barbier.

Arrive la date de l’entretien téléphonique programmé, après un premier rendez-vous manqué. L’organisateur de l’appel, qui n’utilise pas de webcam pour son recrutement, raconte qu’il est responsable du développement chez une agence chargée du projet, et demande au candidat de cloner un projet hébergé sur Bitbucket pour procéder à son évaluation technique.

« À ce stade, il y a déjà cinquante drapeaux rouges qui sont allumés. Je clone le projet mais je ne le lance pas, je lui dis que je ne peux pas faire confiance à ce code et le lancer directement sur ma machine en dehors d’une machine virtuelle. Là, le type se déconnecte immédiatement de l’appel », nous décrit David Barbier.

Partagée samedi sur X, sa mésaventure fait émerger d’autres témoignages de développeurs Web, eux aussi victimes d’une approche similaire. Même topo sur LinkedIn, où plusieurs développeurs qui gravitent autour de la blockchain, de la finance décentralisée ou des NFT et des projets relevant de la mouvance Web3 indiquent avoir reçu ce genre de sollicitations.

Un repo peut en cacher un autre

Fin septembre, l’éditeur spécialisé IARD Solutions décrivait le procédé dans billet de blog : un premier point de contact via LinkedIn ou une plateforme dédiée aux freelances de type Upwork, beaucoup d’enthousiasme quant au profil du développeur. Puis une demande de test technique, basée sur un projet présenté comme en bêta et partagé au moyen d’un repo de type Github, parfaitement propre au premier abord.

En étudiant le repo utilisé par son supposé recruteur avec IARD Solutions, David Barbier identifie l’arnaque. « En fait, ils utilisent deux repo identiques. Et dans le deuxième, il y a du code obfusqué qui fait exactement ce qu’on pensait : récupération d’info de wallet, installation de virus, etc. », nous précise-t-il encore.

Une fois démasqué, le code, que nous avons également consulté, se révèle en effet particulièrement explicite, avec collecte d’informations de connexion au niveau du navigateur, recherche d’extensions liées aux cryptomonnaies, téléchargement de fichiers et envoi de données vers un serveur distant.

L’ombre de Lazarus

Les témoignages directs sur les réseaux sociaux et nos quelques recherches, basées sur des similitudes, laissent entendre que ces tentatives d’arnaque ne sont pas isolées. Or le code source utilisé pour l’attaque dirige ses informations vers une adresse IP qui a déjà été référencée par des experts en cybersécurité comme ayant été utilisée par le groupe Lazarus, notamment dans le cadre d’arnaques au recrutement.

Prétendument dirigé par la Corée du Nord, ce groupe de hackers cible notamment l’univers des cryptomonnaies et, par extension, les projets assimilés au Web3. Depuis quelques jours, on soupçonne par exemple le groupe Lazarus de s’être appuyé sur le vol et la diffusion d’un jeu vidéo de type MOBA, associé à une brique de finance décentralisée (DeFi), pour exploiter une faille 0-day tout juste découverte au sein du navigateur Chrome.

Dans le domaine du recrutement, Lazarus serait allé jusqu’à créer de faux sites dédiés aux projets proposés par ses « recruteurs ». « Le groupe a posté des offres d’emploi ou de projets de recherche en rapport avec les cryptomonnaies sur de multiples plateformes incluant LinkedIn, X, Facebook, GitHub ou Stack Overflow pour identifier ses cibles potentielles », affirme ainsi la société spécialisée Threatbook CTI, selon qui les attaquants multiplieraient non seulement les annonces, mais aussi les vecteurs d’attaque. « Leur arsenal inclut des chevaux de Troie développés sur la plateforme QT6, ainsi que des malwares basés sur Python ou JavaScript ».

La vigilance reste de mise

« Tout portait à croire que c’était un scam, tout n’était pas cohérent, mais à première vue, on n’avait rien remarqué de suspect dans le repo », analyse David Barbier qui, sur X, appelle ses homologues à ne jamais exécuter de code provenant d’une source douteuse hors d’une machine virtuelle.

Leçon de l’histoire ? De la même façon qu’il convient de se méfier des mails émanant d’un lointain cousin milliardaire, la vigilance est de mise dans le recrutement, à plus forte raison via les plateformes.

SEPA drôle

Après RED by SFR en septembre, c’est au tour de Free de laisser fuiter sur le Net des IBAN de ses clients. Le risque d’un prélèvement frauduleux est réel et doit donc être pris au sérieux. Il faut vérifier ses comptes attentivement, mais vous pouvez aussi agir de manière proactive avec la mise en place de listes.

Première question, c’est quoi un IBAN ? C’est l’International Bank Account Number, c’est-à-dire « l’identifiant international de votre compte bancaire auprès d’une institution financière dans un pays donné », rappelle la Banque de France.

• Quels risques pose une fuite de données bancaires ?

C’est quoi un IBAN ?

L’IBAN commence par le code pays (FR pour France, DE pour Allemagne…) et il comprend au maximum 34 caractères alphanumériques. On y retrouve aussi le numéro de compte national (BBAN pour « Basic Bank Account Number ») et une clé de contrôle..

En France, un IBAN dispose de 27 caractères et commence donc par FR. « Il est suivi d’une clé de contrôle, puis du BBAN qui est composé du code banque, du code guichet, du numéro de compte et de la clé RIB du compte français, tels qu’inscrits sur le relevé d’identité bancaire (RIB) ». Un RIB est donc rattaché à votre compte, et on ne peut pas le changer sans changer de compte.

La Banque rappelle que l’IBAN est nécessaire pour un prélèvement ou un virement SEPA, mais aussi pour des transactions internationales. En cas de fuite, quels sont les risques ?

Risque de phishing

Le premier concerne la réutilisation des données personnelles de votre IBAN pour se faire passer pour votre banque et/ou un service auquel vous êtes abonné. Les pirates peuvent alors tenter de vous soutirer davantage d’informations ou un paiement par carte bancaire, prétextant par exemple un problème avec un prélèvement.

Prudence donc si une personne se présente comme un conseiller Free ou SFR dans le cas présent, mais cette prudence doit s’étendre à toutes les personnes qui vous contactent en affirmant appartenir à telle ou telle société. N’oubliez pas non plus le risque de spoofing, qui consiste à afficher un autre numéro que celui de l’appelant.

• Arnaque au faux conseiller bancaire : pas de « négligence grave » de la victime, tranche la justice

Risque de prélèvements frauduleux

Le second risque est évidemment un prélèvement frauduleux sur votre compte. La Banque de France affirme que « communiquer son RIB n’est pas risqué en soi », mais elle ajoute bien rapidement que, « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) ».

En théorie, « pour qu’un bénéficiaire prélève votre compte, vous devez l’en autoriser en signant un mandat de prélèvement ». En pratique, la vérification de la signature est plus ou moins stricte… Néanmoins, « si vous constatez un prélèvement non autorisé, il est possible de le contester auprès de votre banque, qui devra remettre votre compte dans l’état où il se serait trouvé avant cette opération », nous y reviendrons.

Les signatures des prélèvements se font généralement de manière électronique. Des pirates peuvent donc utiliser des IBAN récoltés suite à des fuites. Par exemple, lors de la souscription à un forfait Sosh (mais c’est aussi le cas pour bon nombre d’autres services), la signature consiste à recevoir par SMS ou email un code à saisir, puis à cliquer sur autoriser.

Si des personnes malintentionnées pourraient utiliser un IBAN récupéré sur Internet pour s’abonner à des services en ligne, ce n‘est qu’un exemple parmi d’autres. Le risque d’avoir des prélèvements frauduleux est réel et doit être pris au sérieux.

Entre 70 jours et 13 mois pour contester

Pour éviter le drame, il est important de surveiller son compte régulièrement afin de détecter au plus vite des opérations frauduleuses. « Pour contester un prélèvement non autorisé, le délai est de 13 mois après la date du débit », explique Service Public. Mais attention, c’est uniquement le cas en Europe.

« Lorsque l’établissement du bénéficiaire du paiement se situe en dehors de l’Union européenne ou de l’Espace économique européen (EEE) ce délai est ramené à 70 jours. Il peut éventuellement être prolongé par contrat, sans toutefois dépasser 120 jours ». Si le pirate est en dehors de l’Europe, le délai varie entre deux et quatre mois, d’où l’intérêt d’être attentif.

« La banque doit vous rembourser la somme débitée au plus tard à la fin du premier jour ouvrable suivant la réception de votre demande. Si des frais bancaires vous ont été prélevés, ils devront vous être remboursés », ajoute le Service Public. Ce dernier propose aussi un modèle de lettre pour contester une opération.

Petite précision : ce que nous venons d’expliquer est valable en cas de prélèvement non autorisé. Si vous l’avez autorisé, les risques ne sont pas les mêmes : « Vous devez faire votre demande de contestation dans un délai de 8 semaines après la date du débit. Dans ce cas, la banque vous rembourse dans les 10 jours ouvrables suivant la réception de votre demande. Si des frais bancaires vous ont été prélevés, ils devront vous être remboursés ».

Mettre en place des listes noires ou blanches

Suivant les banques, il est possible de mettre en place des protections pour encadrer les créanciers autorisés à prélever ou non sur votre compte. La Banque Postale dresse une liste :

• La liste noire permet de bloquer tout prélèvement SEPA provenant d’un (ou plusieurs) créancier(s) sur votre compte.
• La liste blanche permet de n’autoriser que les prélèvements SEPA initiés par un ou plusieurs créanciers préalablement identifiés par le client.
• Le filtre permet de limiter les prélèvements selon les critères suivants (critères cumulables) :
  • montant maximum par prélèvement,
  • nombre maximum de prélèvements sur une période définie.
• Le blocage permet de bloquer tout prélèvement sur votre compte (quel que soit le créancier).

Dans le cadre d’un dossier sur le prélèvement SEPA, l’UFC-Que Choisir donne une lettre type à envoyer à votre banque pour « empêcher le passage de prélèvements non-désirés ». Nos confrères ajoutent que « votre banquier a l’obligation d’accepter vos demandes de blocage de tout prélèvement, à l’exception d’entreprises identifiées par vous (liste blanche) ».

Les banques permettent de voir la liste des autorisations de prélèvement accordées dans votre espace client, pensez à faire un tour sur votre compte pour vérifier que tout est en ordre.

Adam Mosseri, responsable d’Instagram chez Meta, a admis dans une vidéo que le réseau social mettait en œuvre une qualité d’encodage à géométrie variable, basée sur l’audience. « Ça fonctionne à un niveau agrégé, pas à un niveau individuel. Nous privilégions une qualité supérieure (encodage plus gourmand en CPU et stockage plus coûteux du fait de fichiers plus volumineux) pour les créateurs qui génèrent le plus de vues », a-t-il également précisé dans une conversation sur Threads.

Cette qualité supérieure réservée aux contenus les plus populaires ne serait-elle pas inique pour les créateurs qui ne disposent pas déjà d’une base installée d’abonnés ? « C’est une bonne question, mais dans la pratique, ça ne semble pas avoir beaucoup d’importance, le changement de qualité n’est pas énorme, et le fait que les gens interagissent avec la vidéo dépend plus de son contenu que de sa qualité (d’encodage) », a répondu Adam Mosseri.

Le sujet n’est en réalité pas nouveau chez Meta. En 2023, la maison mère d’Instagram expliquait déjà, dans un long billet de blog dédié à ses puces spécialisées dans l’encodage vidéo (MSVP, pour Meta Scalable Video Processor), offrir une qualité supplémentaire aux vidéos les plus populaires. Elle y rappelait que les vidéos des utilisateurs passent, lors de leur mise en ligne, au crible d’un modèle prédictif. Il évalue la durée de visionnage potentielle et contrôle, en fonction de ce paramètre, le niveau de qualité mis en œuvre à l’encodage.

Publié par @lindseygamble_

Voir dans Threads

Le temps c’est de l’argent et de l’énergie, donc de l’argent²

Depuis plus de cinq ans, l’Agence nationale des fréquences (ANFR) est chargée de la diffusion du temps légal via les ondes hertziennes terrestres. Elle a déjà fait évoluer ce service en passant la puissance d’émission de 1 110 à 800 kW et envisage maintenant de passer à 675 kW. Le but : réduire la consommation énergétique tout en maintenant le service accessible aux 200 000 appareils qui l’utilisent.

La gestion du temps en France est assez complexe pour les néophytes : « le temps légal (ou heure légale) sur le territoire de la République française est fixé par référence au temps universel coordonné (UTC) établi par le Bureau international des poids et mesures (BIPM) dans le cadre de la conférence générale des poids et mesures ».

L’agence de presse britannique a signé un accord avec Meta permettant aux chatbots de l’entreprise de Mark Zuckerberg d’utiliser ses contenus.

C’est le premier accord du genre signé par Meta. Son concurrent OpenAI a, quant à lui, signé plusieurs accords, notamment avec le groupe Condé Nast.

Aucune information sur le montant de l’accord n’a été divulguée. Selon Axios, si l’accord permet bien à Meta de proposer des réponses en temps réel aux utilisateurs de Facebook, Instagram, WhatsApp et Messenger via son chatbot, il n’est pas clair qu’il laisse la possibilité à l’entreprise d’entrainer ses grands modèles de langage sur les contenus de l’agence de presse.

Axios rappelle que Meta a conclu ce genre d’accords en 2019 pour afficher les contenus de divers médias dans l’onglet « news » de Facebook avant d’abandonner cette fonctionnalité. Les contenus de l’agence de presse Reuters ne faisaient pas partie de ceux repris dans cet onglet à l’époque.

Reuters a publié une dépêche sur le sujet sans pour autant révéler plus d’informations sur le sujet.

Depuis la mi-octobre, il est possible de porter plainte en ligne pour une série d’infractions spécifiques.

Depuis 2013, la pré-plainte permettait d’entamer les démarches de chez soi, mais nécessitait de se déplacer en commissariat pour finaliser le processus.

Onze ans plus tard, le ministère de l’Intérieur déploie une procédure entièrement dématérialisée pour les plaintes pour vol, cambriolage, dégradation de bien ou escroquerie (hors internet, car ces dernières sont gérées via le dispositif THESEE ou par Pharos), lorsque l’auteur des faits est inconnu.

Testé en Gironde depuis 2023, le service est pensé pour désengorger les commissariats : en France, 2,8 millions de plaintes sont déposées chaque année pour atteinte aux biens (sur 3,5 millions de plaintes au total), relève France Bleu. Il est aussi pensé pour faciliter les démarches des citoyens – auprès de 78 Actu, la commissaire de Plaisir parle d’un outil « aussi facile à utiliser que Doctolib ».

Pour se servir du dispositif, il suffit de se rendre sur plainte-en-ligne.masecurite.interieur.gouv.fr ou sur l’application « Ma Sécurité » développée par le ministère de l’Intérieur, de s’identifier avec France Connect, puis de réaliser sa déclaration.

Qui veut gagner des millions ?

Apple lancera la semaine prochaine son bouquet de services Apple Intelligence, dans le sillage d’iOS 18.1 et d’autres évolutions de ses plateformes. Dans un billet publié le 24 octobre, la firme explique plusieurs éléments de sécurité sur son cloud privé. Elle annonce également de fortes récompenses pour les hackers et chercheurs qui réussiraient à s’introduire, voire à exécuter du code.

Lors de la dernière WWDC en juin, Apple a présenté son très attendu bouquet Apple Intelligence. Attendue parce que depuis l’explosion de l’IA générative, l’entreprise était restée muette. De nombreuses fonctions ont été annoncées, mais avec une compatibilité limitée. Seuls les iPhone 15 Pro, les iPad équipés au moins d’une puce A17 Pro et les Mac dotés d’un M1 ou plus prennent en charge Apple Intelligence. Nous avions émis l’hypothèse que les radineries de la société sur la mémoire vive l’avaient « coincée », l’obligeant à ne sélectionner que les appareils qui possèdent au moins 8 Go.

Durant la présentation, certains points n’étaient pas très clairs et ne le sont toujours pas. Un en particulier : la quantité de demandes qui passeront par les serveurs. La société avait expliqué qu’une partie des requêtes s’exécuterait localement, tandis que les autres passeraient par ses serveurs. Ces derniers sont constitués uniquement de Mac Apple Silicon et s’exécutent selon l’entreprise dans un environnement sécurisé.

Une sécurité sur laquelle Apple en dit plus dans son billet.

Un accent sur la sécurité

Le Private Cloud Compute (PCC) représente l’architecture mise en place par Apple pour gérer les demandes réclamant un calcul intensif. Il s’agit donc de l’infrastructure qui va s’occuper des requêtes quand celles-ci réclament une trop grande puissance. On ne sait pas en revanche où se situe la frontière, l’entreprise indiquant simplement que son service s’exécute localement « dans la mesure du possible ».

Parallèlement à son billet, Apple a publié une documentation dans laquelle elle explique les grandes lignes du fonctionnement de son PCC. Apple évoque des « protections révolutionnaires en matière de confidentialité et de sécurité ».

On y apprend que le PCC doit fournir des calculs sans état sur les données personnelles. Ces dernières ne doivent donc être utilisées que pour fournir une réponse, après quoi les copies sont supprimées pour ne pas laisser de trace, y compris pour le débogage ou la journalisation. Les composants du PCC doivent également pouvoir être contraints et analysés. Aucune interface ne doit être disponible, de sorte que même le personnel ne puisse voir les données, même pendant des pannes ou incidents.

Pas de fenêtre sur les données

Dans certains cas, note Apple, les données de l’utilisateur seront mises en cache, par exemple si la demande suppose un nouvel accès rapidement après le précédent. Le fonctionnement du PCC sera préservé par le contrôle des clés cryptographiques : « le PCC mettra en cache les données chiffrées avec une clé fournie par l’appareil de l’utilisateur et effacera sa propre copie de cette clé après la demande. Le PCC ne pourra donc déchiffrer les données mises en cache que si l’appareil de l’utilisateur envoie une autre demande comprenant la clé de déchiffrement du cache », explique Apple.

En outre, l’un des objectifs est – bien sûr – d’empêcher les pirates d’aller piocher des données personnelles sans compromettre l’intégralité du système. Enfin, et c’est une nouveauté, Apple met en avant la transparence : « les chercheurs en sécurité doivent pouvoir vérifier, avec un degré de confiance élevé, que nos garanties en matière de protection de la vie privée et de sécurité pour la PCC correspondent à nos promesses publiques ».

L’ouverture aux chercheurs

En dépit des explications données par Apple, on pourrait répondre que ces objectifs sont peu ou prou les mêmes que chez d’autres prestataires de services. Après tout, elle a tout intérêt à communiquer sur l’énergie dépensée dans cette architecture, afin d’inspirer la confiance. L’entreprise veut cependant faire la différence avec un degré important d’ouverture aux chercheurs.

Pour y parvenir, elle propose donc un Virtual Research Environment (VRE). Disponible dans la dernière préversion de macOS 15.1 (pour les Mac Apple Silicon avec au moins 16 Go de mémoire), il permet la création d’un environnement virtuel fonctionnant comme un nœud du PCC. Apple explique qu’il s’agit du même logiciel « avec quelques modifications mineures », le processus de démarrage et le noyau étant « adaptés à la virtualisation ». Le VRE contient même un processeur virtuel Secure Enclave. C’est la première fois qu’Apple permet aux chercheurs de se pencher officiellement sur la sécurité de ce composant, chargé notamment de stocker les clés cryptographiques de l’utilisateur.

Parmi les possibilités du VRE, les chercheurs pourront « lister et inspecter les versions logicielles de la PCC, vérifier la cohérence du journal de transparence, télécharger les binaires correspondant à chaque version, démarrer une version dans un environnement virtualisé, effectuer des déductions à partir de modèles de démonstration, modifier et déboguer le logiciel PCC pour permettre des recherches plus approfondies ».

Et même du code source

Sur un dépôt GitHub, Apple publie même le code source de certains composants principaux du PCC. Le code, dans l’immense majorité écrit en Swift, n’est là que pour des objectifs de recherche et de vérification, précise Apple.

Les quatre composants disponibles sont CloudAttestation (construction et validation des attestations du nœud PCC), Thimble (intègre le service privatecloudcomputed qui s’exécute localement sur l’appareil de l’utilisateur et communique avec CloudAttestation), le service splunkloggingd (filtrage des journaux pour en expurger les éventuelles données personnelles) et srd_tools (contient les outils du VRE).

Jusqu’à un million de dollars pour les primes

Pour accompagner le lancement de ses services, Apple invite donc les chercheurs à se pencher sur son Private Cloud Compute, avec des sommes importantes à la clé.

Sur les brèches, Apple distingue deux catégories. La première comprend les attaques déclenchées depuis une position privilégiée sur le réseau. 50 000 dollars seront ainsi offerts aux chercheurs qui prouveront une divulgation accidentelle ou inattendue de données suite à un problème technique (déploiement ou configuration). 100 000 dollars iront à ceux qui parviendront à exécuter un code non attesté. La somme grimpe à 150 000 dollars pour les chercheurs qui réussiront à intercepter les demandes de l’utilisateur ou des informations personnelles lui appartenant.

L’autre catégorie est nettement plus lucrative : les attaques à distance. Si un chercheur parvient à accéder à des informations personnelles ou des requêtes utilisateur en dehors de la zone de confiance, il pourra empocher 250 000 dollars. Pour ceux qui réussiraient à exécuter un code arbitraire avec des droits tout aussi arbitraires, la prime atteindra 1 000 000 dollars.

Apple ajoute tout de même que tout problème de sécurité lié au PCC sera examiné, même s’il n’appartient pas aux catégories définies. Il pourra donc y avoir récompense. « Nous évaluerons chaque rapport en fonction de la qualité de ce qui est présenté, de la preuve de ce qui peut être exploité et de l’impact sur les utilisateurs », précise Apple.

Ce qui n’avait commencé que comme un petit projet incubé chez Twitter, mené par Jack Dorsey en personne, a fini en entreprise dédiée. Le réseau social Bluesky commence à avoir le vent en poupe, porté notamment par une succession de décisions polémiques sur X. Selon Bluesky, il y aurait 13 millions d’utilisateurs.

Après un financement initial de 8 millions de dollars, Bluesky a annoncé il y a quelques jours une nouvelle levée. La série A a été de 15 millions de dollars, « mené par Blockchain Capital avec la participation d’Alumni Ventures, True Ventures, SevenX, Amir Shevat de Darkmode, le cocréateur de Kubernetes Joe Beda, et d’autres ».

Dans son communiqué, Bluesky assure que le chef de file, Blockchain Capital, partage sa philosophie d’une « technologie au service de l’utilisateur, et non l’inverse ». La société met en avant une « connaissance approfondie » des réseaux décentralisés, ce qu’est justement Bluesky, via son protocole AT. Elle ajoute qu’il ne sera pas question de blockchain (en dépit du nom du fonds), de jetons, de cryptomonnaies ou de NFT. En clair, pas de web3.

L’argent récolté va servir à développer le projet, « investir dans la confiance et la sécurité, et à soutenir l’écosystème de développeurs ATmosphere ». La société se réjouit de voir son protocole AT utilisé par des applications et services avec des finalités autres que celles du réseau social. « Par exemple, Smoke Signal est une application d’événements, Frontpage est un forum web, et Bluecast est une application audio », cite l’entreprise.

Bluesky prépare également un système d’abonnement. Les fonctions visées incluent l’envoi de vidéos en meilleure qualité et la personnalisation des profils, avec des couleurs et cadres d’avatars. Dans une pique clairement adressée à X, Bluesky ajoute qu’elle ne fera pas monter en gamme les comptes simplement parce qu’ils payent un abonnement. Une référence claire à la visibilité des comptes Premium sur X.

Et si les lunettes connectées étaient avant tout un succès pour les personnes aveugles et mal-voyantes ?

C’est ce que laisse envisager le témoignage de Sadi Taylor, instagrammeuse non-voyante qui racontait récemment combien les lunettes lui ont été utiles sur les six derniers mois.

Outre les fonctionnalités classiques – écouter de la musique, prendre des appels, filmer –, l’intégration de Meta AI aux lunettes lui permet de lire tout ce qui demande de l’être dans son environnement, et lui facilite ainsi nombre d’interactions.

Sur Reddit, d’autres internautes soulignent aussi l’utilité du produit – tout en alertant, pour certains, sur le manque de fiabilité de ce produit pensé pour le grand public, comparé à d’autres créés spécifiquement pour les personnes mal et non-voyantes.

Meta a bien repéré le potentiel : l’entreprise vient d’annoncer une collaboration avec le fournisseur de services d’accessibilité Be My Eyes pour pousser les possibilités d’assistance plus loin, notamment en alliant échanges humains aux réponses fournies par IA.

Dans le cadre du bras de fer qui oppose les géants numériques à l’Union européenne, notamment à l’application de ses trois derniers grands textes, le Digital Services Act, le Digital Markets Act et l’AI Act, Meta AI n’est pas disponible au sein de l’Union européenne pour le moment. 


Il a Free, tout est parti

Ce week-end a été assez agité chez Free. L’opérateur a prévenu ses clients d’une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L’opérateur nous confirme aujourd’hui que certains IBAN des clients Freebox sont bien dans la nature.

À partir de vendredi soir et durant le week-end, Free a envoyé des emails à ses clients (fixe et mobile) pour les informer d’une fuite de données personnelles suite à une « cyberattaque ciblant un outil de gestion ».

• Free confirme une fuite de données personnelles de ses clients

Le pirate publie un fichier avec 100 000 lignes

« Nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » ont été récupérés par le ou les pirates. « Aucun de vos mots de passe n’est concerné », encore heureux…

L’opérateur ne parlait alors pas d’une fuite de données bancaires, alors que le pirate revendiquait avoir en sa possession cinq millions d’IBAN. Ce week-end, après les premiers emails de Free, le pirate a mis en ligne à qui veut le télécharger un fichier texte avec « plus de 100 000 lignes d’IBAN français de clients Free ».

Mises aux enchères des données, à 70 000 dollars

« Une copie des données est sur le point d’être vendue plus de 70 000 dollars. Si l’entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », ajoute le pirate.

Free confirme la fuite d’IBAN et prévient ses clients

On y retrouve bien les données listées par Free, mais aussi des IBAN. Contacté, Free nous confirme que « les IBAN de certains abonnés ont été concernés et ces derniers ont été informés par mail ». Cela ne concerne que des clients Freebox (sur le fixe donc). L’opérateur ne donne pas de chiffres sur l’étendue des dégâts, impossible donc de confirmer les 19 millions de clients concernés et les 5 millions d’emails annoncés par le pirate.

• Quels risques pose une fuite de données bancaires ?

Effectivement, dans un email reçu ce matin pour une de nos lignes (avec une Freebox), le message n’est plus tout à fait le même :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».

Il y a une semaine, des développeurs s’inquiétaient d’un apparent virage de Bitwarden sur l’open source. Le gestionnaire de mots de passe propose en effet la quasi totalité du code de ses composants en GPLv3 ou AGPLv3.

Un développeur avait découvert que le client Bitwarden avait introduit une dépendance à un SDK interne. Il fallait non seulement l’avoir sous le coude pour compiler le client, mais la licence de ce kit de développement interdisait toute utilisation pour tout autre projet que la construction du client officiel. Beaucoup y voyaient alors une limite franche à la création de clients tiers, alors que c’est justement l’une des forces de Bitwarden.

Kyle Spearrin, fondateur et directeur technique de Bitwarden, avait pris la parole pour expliquer notamment qu’il s’agissait d’établir une clarification sur ce qui était sous GPL et ce qui ne l’était pas.

Dans un nouveau message, il tient cependant à clarifier de nouveau la situation. « Nous avons fait quelques ajustements sur la façon dont le code SDK est organisé et empaqueté pour vous permettre de construire et d’exécuter l’application avec seulement les licences GPL/OSI incluses. Les références du paquetage sdk-internal dans les clients proviennent maintenant d’un nouveau dépôt sdk-internal, qui suit le modèle de licence que nous avons historiquement utilisé pour tous nos clients », commence-t-il par expliquer.

Il ajoute surtout : « La référence sdk-internal n’utilise pour l’instant que des licences GPL. Si la référence devait inclure le code de la licence Bitwarden à l’avenir, nous fournirions un moyen de produire plusieurs variantes de construction du client, similaire à ce que nous faisons avec les builds des clients web de la chambre forte ».

Il précise que le dépôt originel de SDK sera renommé sdk-secrets et qu’il « conservera sa structure de licence Bitwarden SDK existante » pour les produits commerciaux Secrets Manager. « Le dépôt et les paquets sdk-secrets ne seront plus référencés à partir des applications clientes, puisque ce code n’y est pas utilisé », finit d’expliquer Kyle Spearrin. En d’autres termes, il s’agissait d’un bug.

ACE est un câble sous marin reliant la France (depuis Penmarch en Bretagne) à l’Afrique du Sud (Duynefontein), en passant par de nombreux pays de la côte ouest africaine (Gabon, Niger, Côté d’Ivoire, Sénégal, Mauritanie) et le Portugal.

Sur LinkedIn, Roderick Beck (via Stéphane Lelux, président de la commission internationale au sein du Comité Stratégique de Filière Infrastructure Numérique) explique que le câble subit une panne, à partir d’Abidjan (Côte d’Ivoire) et jusqu’en Afrique du Sud. « Le câble ACE a été en proie de pannes en raison de sa position dans de grands canyons sous-marins où des glissements de débris sont fréquents », explique Roderick Beck.

Il ajoute que pour certains petits pays d’Afrique de l’Ouest, « c’est la seule connectivité sous-marine au reste de l’Internet : la Mauritanie, la Gambie, la Guinée-Bissau, la Guinée, la Sierra Leone, le Libéria et, je crois, le Bénin, le Gabon et Sao Tomé-et-Principe ». D’autres ont par contre plusieurs câbles qui arrivent : Sénégal, Côte d’Ivoire, Ghana, Togo, Benin et Afrique du Sud pour ne citer qu’eux. Le cablier Sophie Germain d’Orange serait en route, avec une arrivée prévue le 1er novembre, toujours selon Roderick Beck.

En mars de cette année, plusieurs câbles au large des côtes africaines subissaient déjà des problèmes : Quatre des cinq câbles qui arrivent en Côte d’Ivoire étaient touchés affirmait une source officielle ivoirienne. L’hypothèse privilégiée, à l’époque, « un glissement de terrain sous-marin, possiblement lié à des mouvements sismiques ».

• Des câbles sous-marins tombent en série, Internet fortement perturbé en Afrique

Nom nom nom

L’appétit vient en mangeant dit-on, comme pour se rassurer.
Il y a les voraces, les affamés, les dalleux, les repus de toutes choses à ne savoir qu’en faire… pire, les plus ventrus sont ceux qui chialent la bouche pleine. Comment ne pas avoir l’appétit coupé par ces excès d’appétence ? C’est à se réfugier sous une couette avec une glace aux cookies moi je vous le dis. Allez, bon weekend à tous et bon ap !

Cela faisait plusieurs jours qu’une rumeur de fuite de données chez Free tournait sur les réseaux sociaux, sans confirmation officielle. Nous avions évidemment contacté l’opérateur, mais il n’avait pas souhaité répondre.

Quoi qu’il en soit, c’est désormais confirmé par un email envoyé à ses clients à partir de ce vendredi en fin de soirée. Vous avez été plusieurs à nous le faire suivre, merci à vous  :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n’est concerné ».

L’opérateur affirme bien sûr avoir pris toutes les mesures nécessaires « pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ». La CNIL et l’ANSSI ont été notifiées, une plainte pénale a été déposée auprès du procureur de la République : « L’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende », rappelle l’opérateur.

Il y a quelques jours, SaxX annonçait qu’un pirate avait mis en vente une base de données contenant 19 millions de comptes et cinq millions d’IBAN provenant de l’opérateur Free. Un nombre qui n’est pas confirmé – l’opérateur ne précise d’ailleurs pas l’ampleur des dégâts – et il n’est pas question des données bancaires dans la communication de Free.

• Quels risques pose une fuite de données bancaires ?

Free est donc la dernière victime d’une longue liste depuis le mois de septembre : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux et Ornikar.