Pas si évident

La HAS a publié le 30 octobre un guide pédagogique sur l’utilisation de l’intelligence artificielle générative dans l’ensemble du secteur sanitaire, social et médico-social. L’autorité ne s’oppose pas à cette utilisation, mais elle pointe très vite les deux problèmes majeurs : la sensibilité des données manipulées et la fiabilité des résultats.

Les données de santé sont une mine d’or. Selon comment elles sont exploitées, elles peuvent permettre le suivi de l’efficacité des traitements, faire apparaitre des corrélations, étudier des prévalences et autres.

Ce caractère précieux est au cœur de plusieurs décisions politiques. En France, il y a bien sûr le HDH (Health Data Hub) et ses décisions sulfureuses d’hébergement chez Microsoft, pointées constamment par le député Philippe Latombe, des rapports interministériels ou même encore récemment par la Cour des comptes. L’entrepôt de données européen EMC2 a le même problème.

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

Mais les objectifs sont à chaque fois les mêmes : concentrer les données, favoriser les travaux des chercheurs, servir de guichet unique et, bien sûr, permettre à terme le traitement des données par l’IA. Dans le cadre du projet EMC2 d’ailleurs, l’Agence européenne du médicament abordait explicitement cette finalité.

La Haute Autorité de santé publie donc un avis sur la question, même s’il peut sembler tardif. Dans les grandes lignes toutefois, la HAS ne réagit pas spécifiquement sur l’exploitation des données, mais vise les professionnels de santé et l’utilisation de l’IA comme aide à la décision.

Quatre lignes directrices

La HAS publie principalement quatre conseils, rassemblés sous l’appellation : AVEC, pour « Apprendre, Vérifier, Estimer et Communiquer ».

Pour l’apprentissage, la HAS recommande chaudement aux professionnels de se former sur les outils qu’ils utilisent. Les IA peuvent faire gagner du temps, mais la plupart n’ont pas été formées sur les questions de santé. Les professionnels devraient ainsi s’interroger sur les modalités d’utilisation, les règles liées à la confidentialité des données personnelles ou encore effectuer des tests pratiques avant de se lancer dans une pratique quotidienne.

Sur la vérification, la HAS conseille la prudence face aux résultats renvoyés par l’IA : « le professionnel est attentif à la pertinence de son usage, à la qualité de sa requête et au contrôle du contenu généré ». Ce qui inclut de ne pas partager d’informations confidentielles et de considérer chaque réponse comme une proposition et non une vérité. La fiabilité des réponses de l’IA ne pouvant par définition être garantie (approche probabiliste), elles peuvent contenir des erreurs : valeurs et unités des quantités chiffrées, noms des médicaments, etc. On l’a vu récemment dans nos propres tests, l’IA peut se tromper lourdement dans la méthode de calcul.

• T@LC : on a posé 20 fois la même question à une IA, on a eu 5 réponses différentes

L’estimation concerne l’analyse régulière de l’adéquation entre les besoins et les résultats. Les professionnels de santé sont ainsi invités à réinterroger sa pratique : des corrections ont-elles été nécessaires ? Si oui, à quelle fréquence ? L’outil est-il simple d’utilisation ? A-t-il pu être intégré dans des flux de travail existants ? En somme, la HAS souhaite que les professionnels s’interrogent sur les gains apportés face aux contraintes.

Enfin, pour la communication, la Haute Autorité est claire : les professionnels devraient échanger avec les patients autour de l’usage de l’IA. L’autorité leur recommande également de favoriser les retours d’expérience avec d’autres utilisateurs et développer « une démarche de transparence autour des typologies de données partagées, de l’adhésion au sein de sa structure et des impacts organisationnels ».

Le danger des mauvaises pratiques

De manière générale, la HAS souhaite que chaque usage de l’IA générative soit « conscient, supervisé et raisonné ».

Cependant, même si elle peut « devenir une alliée » quand elle est « bien maitrisée », l’autorité pointe également les dangers inhérents à son utilisation. Elle met en garde contre les erreurs pouvant survenir dans les réponses envoyées, notamment quand elles se fondent sur des données non vérifiées. Surtout, elle pointe les hallucinations, soit des informations fausses mais qui peuvent paraitre convaincantes. 

Outre les dangers propres à l’IA elle-même, la HAS signale de mauvais comportements chez les professionnels eux-mêmes, dont l’utilisation d’informations confidentielles dans les requêtes, expliquant les conseils sur la communication avec les patients.

Dans l’ensemble, l’autorité évoque un potentiel prometteur sur l’ensemble de ces technologies. Elle ne parle d’ailleurs pas uniquement des interfaces questions/réponses des chatbots, mais aussi d’autres outils devenus très courants : transcriptions de conversations lors de consultations, synthèses de littérature scientifique, création de documents illustrés pour expliquer des parcours médicaux-sociaux, préremplissage de documents administratifs, traductions de textes pour des personnes non-francophones, etc. Tous peuvent faire gagner du temps (voire beaucoup), mais le risque d’erreur est le même dans tous les cas de figure dès que l’outil utilise l’IA générative.

Enfin, outre les erreurs, les professionnels ont tout intérêt à se former pour s’acclimater à des concepts centraux de l’IA générative. Par exemple, les réponses peuvent varier dans le temps, notamment en fonction de la version du modèle et des données utilisées pour l’entrainement. La qualité de la réponse peut aussi fortement varier selon le soin apporté à la question (prompt).

Pour les personnes intéressées, la HAS a donc publié deux versions de ses recommandations : une complète d’une quinzaine de pages (PDF), et une concise rassemblant les principales informations sur une seule page (PDF). Administration publique oblige, la HAS a également publié un rapport sur l’élaboration de son guide et les méthodes utilisées (PDF).

Apple a publié lundi soir les versions 26.1 pour l’ensemble de ces systèmes. Si vous avez installé la version 26 sur votre iPhone ou votre Mac et que vous n’êtes pas fan de l’interface Liquid Glass, la version 26.1 intègre désormais un réglage « teinté » qui réduit nettement la transparence, comme nous l’indiquions le 24 octobre.

iOS 26.1 propose d’autres améliorations, dont l’apparition d’un bouton à faire glisser pour arrêter l’alarme, la possibilité de faire glisser son doigt sur le titre en cours dans Musique pour passer au morceau précédent ou suivant, le retour de Slide Over sur iPad ou encore une option pour désactiver le glissement vers l’appareil photo depuis l’écran verrouillé. On note aussi l’amélioration de la qualité audio pour les appels FaceTime quand les conditions réseau sont mauvaises.

Côté macOS Tahoe, la version 26.1 donne la même option de réduction de la transparence pour Liquid Glass, ajoute le supporte d’AutoMix sur AirPlay pour Musique, ou encore le retour des coins carrés pour l’affichage des PDF dans Aperçu.

Les versions 26.1 contiennent en outre une autre amélioration, commune à toutes les plateformes : elles peuvent installer silencieusement les mises à jour de sécurité considérées comme urgentes. Ce fonctionnement, activé par défaut, permet l’application de correctifs légers pour parer à ces situations urgentes, notamment sur Safari, WebKit ou « d’autres bibliothèques système », comme le précise Apple sur la page dédiée.

On peut désactiver ce fonctionnement dans Paramètres > Confidentialité et sécurité > Améliorations de la sécurité en arrière-plan. Couper cette fonction n’est cependant pas recommandé, puisqu’elle permet par exemple de diffuser rapidement un correctif pour une ou plusieurs failles dans le navigateur. En cas de désactivation, ces correctifs seront appliqués avec la mise à jour mineure suivante du système, mais la fonction a l’avantage de le faire sans interaction et surtout sans redémarrage.

Comme l’a remarqué iGen, la fonction n’est pas totalement nouvelle et est davantage « une remise à plat des mises à jour de sécurité urgentes d’iOS 16 ». En outre, la fonction est copieusement utilisée pour de nombreuses mises à jour : prise en charge des langues, polices, services de dictée, suggestions, ainsi que des éléments beaucoup plus importants comme les certificats SSL et les firmwares pour les accessoires Apple. Il s’agit donc d’une généralisation de l’ancien mécanisme à un plus grand nombre de composants.

Nous reviendrons dans la journée sur les annonces autour des versions 26.2 et du méchant « DMA ».

Le parquet de Paris a ouvert une enquête préliminaire sur le fonctionnement de l’algorithme de TikTok, a-t-il annoncé dans un communiqué envoyé à l’AFP.

Cette procédure judiciaire fait suite au signalement du député Arthur Delaporte, président de la commission d’enquête parlementaire « sur les effets psychologiques de TikTok sur les mineurs ». Annonçant la saisie de la procureure de la République de Paris, Laure Beccuau, il avait affirmé le 11 septembre dernier : « Le constat est sans appel : TikTok a délibérément mis en danger la santé, la vie de ses utilisateurs », ajoutant : « Il me semble qu’il y a des infractions qui sont de nature pénale, de complicité active ».

Accablant pour la plateforme chinoise, le rapport des députés proposait 43 recommandations, dont l’interdiction des réseaux sociaux aux moins de 15 ans ainsi qu’un couvre-feu numérique pour les 15 – 18.

Selon l’AFP, l’enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Elle devra se pencher sur les soupçons de « propagande en faveur de produit, objet ou méthode préconisés comme moyens de se donner la mort », de « fourniture de plateforme en ligne pour permettre une transaction illicite en bande organisée » et d’« altération du fonctionnement d’un système de traitement automatisé de données en bande organisée ».

Selon la procureure, l’enquête concernera « le respect de l’obligation de notification par une plateforme des soupçons d’infractions commises par son intermédiaire », le « fonctionnement de l’algorithme par rapport à la présentation qui en est faite à son utilisateur » et « l’édition de contenus consistant notamment à la promotion du suicide ».

« Nous réfutons fermement les accusations », a réagi la plateforme dans un communiqué envoyé à l’agence de presse. Elle ajoute qu’elle a mis en place « plus de 50 fonctionnalités et paramètres prédéfinis spécialement conçus pour assurer la sécurité et le bien-être des adolescents ».

La question des pensées suicidaires concerne aussi bien les réseaux sociaux que les algorithmes des IA. Fin aout, OpenAI avait été poursuivi en justice après le suicide d’un adolescent. La société avait annoncée dans la foulée la mise en place d’un contrôle parental. Récemment, l’entreprise américaine annonçait que 0,15 % des utilisateurs ont des « conversations qui incluent des indicateurs explicites de planification ou d’intention suicidaire potentielle », soit 1,2 million de personnes tout de même.

Appetizer

Libéré de son exclusivité avec Microsoft, OpenAI n’a pas perdu de temps : l’éditeur de ChatGPT a annoncé mardi la conclusion d’un contrat d’envergure avec Amazon. Sa filiale dédiée au cloud, AWS, devrait ainsi mettre des ressources à disposition, à hauteur d’au moins 38 milliards de dollars sur sept ans. OpenAI s’assure ainsi une présence significative sur les infrastructures de deux des trois plus grands fournisseurs de cloud de la planète, et s’invite au passage sur les plate-bandes de son concurrent Anthropic.

La collaboration, qui débute immédiatement, prévoit déjà 38 milliards de dollars de dépenses sur sept ans, mais ce montant peut être amené à croître, affirment d’emblée les deux nouveaux partenaires. Amazon Web Services (AWS) et OpenAI ont en effet formalisé un accord stratégique de grande ampleur le 3 novembre, selon les termes duquel le premier mettra à la disposition du second ses infrastructures informatiques dans toutes les régions du monde.

Un nouveau client de taille et une infra à construire pour AWS

À très court terme, l’accord prévoit qu’OpenAI déploie ses modèles sur les infrastructures actuelles d’AWS, pour l’entraînement ou pour la fourniture du service ChatGPT aux clients finaux. Mais il est aussi question qu’Amazon construise des capacités fléchées vers OpenAI, avec un premier jalon (non chiffré) fixé à fin 2026, puis un programme d’expansion à partir de 2027.

« L’infrastructure qu’AWS est en train de construire pour OpenAI présente une architecture sophistiquée optimisée pour une efficacité et des performances maximales en matière de traitement de l’IA », promet Amazon, selon qui l’entreprise de Sam Altman va ainsi accéder à des « centaines de milliers de GPU NVIDIA », avec la possibilité d’associer ces derniers à des « dizaines de millions de CPU » pour sous-tendre le développement de ses produits commerciaux.

Si les deux partenaires communiquent sur l’enveloppe financière globale du contrat, aucun détail chiffré n’est donné, ni sous forme de nombre de machines, ni même sous forme de puissance électrique associée, quant à la capacité réelle des infrastructures prévues. AWS évoque simplement le recours à deux générations de puces NVIDIA (les GB200 et GB300 de classe Blackwell), et vante les mérites de l’interconnexion directe entre ces GPU et ses serveurs EC2.

En dépit de ce flou relatif, les 38 milliards de dollars annoncés ont fait gagner quelques points à l’action Amazon en bourse, alors que cette dernière caracolait déjà à des plus hauts historiques suite à la publication de ses derniers résultats financiers, le 30 octobre dernier. Avec 33 milliards de dollars de chiffre d’affaires sur le trimestre, en hausse de 20 % sur un an, la division cloud AWS était déjà sans aucun doute la principale raison de cette envolée boursière.

OpenAI diversifie ses partenariats

Quelles que soient les incertitudes qui entourent la vague de l’IA, AWS peut se targuer de compter un nouveau client prestigieux. OpenAI assure de son côté une forme de diversification nouvelle dans les ressources informatiques mises à sa disposition. Une approche plus œcuménique, rendue possible par l’évolution récente du contrat stratégique qui unit l’entreprise de Sam Altman à son partenaire historique et jusqu’ici exclusif en matière de cloud, Microsoft.

Fin octobre, les deux entreprises ont en effet renégocié les termes de leur contrat pour préparer la transformation d’OpenAI en une entreprise à but lucratif (même si toujours placée sous le contrôle d’une structure à but non lucratif). Selon les nouvelles conditions, OpenAI s’engage à consommer 250 milliards de dollars de cloud chez Microsoft Azure, mais se voit dans le même temps libéré de son exclusivité.

L’éditeur de ChatGPT, qui consomme le cash à vitesse grand V et étudie, d’après la rumeur, la possibilité d’une entrée en bourse à horizon 2026 - 2027, peut donc aller démarcher de nouveaux partenaires pour sécuriser les ressources informatiques nécessaires à la croissance stratosphérique envisagée par Sam Altman. Une valse des contrats, ou plutôt des promesses d’achat, qui porterait déjà sur des montants de l’ordre de 1 000 milliards de dollars…

S’assurer une présence chez Amazon, leader du secteur du cloud public, peut, dans ce contexte particulièrement spéculatif, être vu comme un élément de réassurance, et pas uniquement face aux problèmes de concentration illustrés par les récentes pannes mondiales d’AWS et d’Azure. Ce faisant, OpenAI met en effet un pied chez l’un des principaux partenaires de son concurrent Anthropic, éditeur des modèles Claude. Et confirme ainsi son ambition de devenir le barycentre des infrastructures mondiales dédiées au calcul IA…

Il y a du travail

La Commission européenne a validé la création d’un EDIC (European Digital Infrastructure Consortium) centré sur les communs numériques. Il sera porté par la France, l’Allemagne, les Pays-Bas et l’Italie.

Faisons d’abord un bref rappel : qu’est-ce qu’un EDIC ? La Commission européenne les définit comme des instruments mis à disposition des États membres pour simplifier – et accélérer – des projets multinationaux au sein de l’Union. Par exemple, l’ALT-EDIC a été inauguré en février 2024 et travaille sur la préservation de la diversité linguistique et culturelle. L’un de ses premiers projets est LLMs4EU, qui vise à collecter des données linguistiques pour les grands modèles de langage pour mieux assurer la représentativité des langues européennes.

Le nouveau venu, baptisé EDIC Digital Commons et abrégé en DC-EDIC, a été officiellement créé le 29 octobre. La demande de création avait été déposée le 8 juillet dernier par la France, l’Allemagne, les Pays-Bas et l’Italie, la France servant de pays hôte. Le siège du nouveau consortium sera ainsi à Paris et le personnel est en cours de constitution, aussi bien pour le diriger que pour son conseil consultatif.

Pour quoi faire ?

« La mission du DC-EDIC est de mettre en œuvre un projet multinational sur les biens communs numériques dans les domaines de l’infrastructure et des services de données communs européens et de l’administration publique connectée. Elle mettra en commun les ressources des États membres et assurera la coordination avec les communautés afin de développer, de maintenir et d’étendre les biens communs numériques et de faciliter leur adoption », indique la Commission européenne.

Le DC-EDIC doit simplifier notamment les participations de tous les acteurs, qu’ils soient publics, privés ou civiques. Le consortium fera en outre office de guichet unique pour le financement des projets alimentés par les fonds européens et répondant aux critères fixés par l’EDIC. En plus des financements, ce dernier devra fournir un soutien juridique et technique sur des aspects comme la maintenance et la mise à l’échelle, ainsi que des conseils stratégiques.

Surtout, ce consortium devra « coordonner et participer à des projets multinationaux concrets ancrés dans les communs numériques ». Il doit servir de catalyseur pour les projets d’infrastructures transfrontalières, avec une entité juridique propre.

À noter que si l’EDIC a ses quatre pays fondateurs, rien n’empêche d’autres États membres de rejoindre le projet par la suite.

Un numérique « ouvert, compétitif et souverain »

À la DINUM, on s’est félicité du lancement de cet EDIC, le deuxième à s’établir en France. Stéphanie Schaer, sa directrice, évoque une « ambition commune : bâtir ensemble les fondations d’un paysage numérique européen fort, ouvert et durable. Il traduit un élan collectif qui donnera à l’Europe la capacité d’agir et d’innover par elle-même ». Elle ajoute que la France « s’engage avec enthousiasme et détermination dans cette nouvelle coopération », qui doit favoriser l’émergence de « champions européens ».

Un « enthousiasme » et une « détermination » que vient cependant tempérer le récent rapport de la Cour des comptes, dans lequel la stratégie nationale en matière de souveraineté a été méticuleusement étrillée. La Cour a critiqué un manque flagrant de cohérence dans les projets, un éclatement des ressources, ou encore de trop nombreux cas de données confiées à des acteurs extra-européens (particulièrement Microsoft).

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

À quoi s’attendre ?

Les trois autres pays fondateurs affichent cependant eux aussi leur enthousiasme. L’Allemagne, qui rejoint pour la première fois un EDIC, y voit un « signal fort pour l’avenir numérique de l’Europe », afin que cette dernière « puisse façonner son avenir numérique en toute autonomie ». Zendis (et donc openDesk) seront de la partie.

Pour l’Italie, le nouvel EDIC est « un pont européen qui permettra de passer de l’expérimentation à l’industrialisation ». Le message envoyé « est clair : l’Europe peut construire, maintenir et gouverner des infrastructures numériques critiques selon ses propres règles, au service de l’intérêt général ». Côté Pays-Bas, la réaction est plus concise : « Nous pouvons unir nos forces, faire grandir les alternatives open source et donner aux gouvernements européens les moyens d’agir en toute autonomie ».

Le DC-EDIC devrait en théorie favoriser largement les technologies ouvertes. La DINUM relève à ce titre que « plus de 80 % des technologies et infrastructures numériques utilisées en Europe proviennent encore de fournisseurs non-européens ». Dans ce contexte, le nouveau consortium devra « mutualiser les ressources et les expertises des États membres pour développer des alternatives ouvertes, interopérables et durables ».

Plus concrètement, l’EDIC aura pour mission de proposer des alternatives ouvertes dans des domaines considérés comme clés, dont l’IA et le cloud bien sûr, mais aussi les suites collaboratives, la cybersécurité, la géomatique et les réseaux sociaux. Les communautés techniques, académiques, publiques et privées doivent en outre être mobilisées. L’EDIC aura également la mission délicate d’inciter à l’adoption des solutions ainsi conçues ou rassemblées dans les administrations, les entreprises et même chez les citoyens.

On attend cependant d’en savoir plus, car les ressources précises de l’EDIC ne sont pas connues et on ne connait pas sa « force de frappe » ni quel niveau d’influence il va pouvoir exercer. Les candidatures pour le poste de directeur/directrice (PDF) ont commencé ce 3 novembre et dureront jusqu’au 1ᵉʳ décembre. De plus amples précisions devraient être données en fin d’année.

Des dirigeants de La France Insoumise, du parti Die Linke en Allemagne, des Verts au Royaume-Uni… des responsables de divers partis de gauche se sont rendus à New York pour rencontrer l’équipe de campagne de Zohran Mamdani. 


En jeu : comprendre comment ce représentant de la gauche du Parti démocrate a réussi, à 34 ans, son ascension fulgurante, que ce soit par son discours focalisé sur les questions d’accessibilité financière, ou par son usage des réseaux sociaux.

Le candidat a notamment multiplié les vidéos courtes, souvent tournées dans les rues de New York, pour répéter son message centré sur le coût de la vie.

Auprès de Politico, le député Mothin Ali explique ainsi que les politiciens britanniques tendent à produire des vidéos « ennuyeuses et simples », et que la gauche gagnerait à diffuser ses messages de manière plus « punchy », comme l’a fait Zohran Mamdani.

Le marketing de l’exclusivité fonctionne-t-il pour un objet à dimension utilitaire tel qu’une box Internet ? C’est l’hypothèse à laquelle semble souscrire Free : l’opérateur vient en effet d’annoncer le lancement d’une édition limitée, aux couleurs de la série Stranger Things, de sa box la plus haut de gamme, la Freebox Ultra.

« Cette collaboration est une première mondiale : c’est la première fois qu’un Server Internet est personnalisé pour adopter l’identité visuelle d’une série », clame l’opérateur, qui accompagne ici le lancement de la cinquième saison de Stranger Things, dont la première partie est programmée au 27 novembre prochain sur Netflix.

Outre un habillage sous forme d’autocollant, la box intègre un bandeau lumineux LED pilotable à distance au moyen de l’application Freebox Connect. « À l’allumage de la Freebox, les silhouettes des quatre personnages principaux de la série, poursuivis par le Démogorgon, apparaissent sur l’écran d’affichage du Server », promet encore Free.

Cette édition limitée (volumes disponibles non précisés) est proposée aussi bien aux nouveaux abonnés qu’aux clients existants, qui peuvent demander l’échange de leur boîtier Server en échange de 49 euros. Pour rappel, la box n’appartient pas au client final dans le cadre d’un abonnement Free : il faut la restituer en cas de résiliation.

Free avait déjà tenté l’édition limitée en décembre 2024, avec une Freebox Ultra transparente lancée à l’occasion des 25 ans de l’opérateur. Ici, l’opérateur fondé par Xavier Niel s’enorgueillit du soutien de Netflix qui aurait « choisi Free pour cette première mondiale ».

Entre pas de correctif et deux correctifs

Deux vulnérabilités de Windows, dont l’une critique, sont activement exploitées. Les pirates s’en prennent particulièrement aux installations Windows Server sur site, dans l’objectif de dérober des informations.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

Une campagne depuis des mois, une exploitation depuis des années

Différence fondamentale entre les deux failles : la première n’est pas corrigée et fait l’objet de campagnes actives. C’est ce que Trend Micro affirmait déjà le 18 mars. L’éditeur indiquait que la faille avait été découverte en septembre 2024, mais qu’elle était présente dans le système depuis 2017, et probablement exploitée plus ou moins activement depuis.

Trend Micro indiquait alors avoir identifié plus d’un millier de fichier LNK malveillants contenant des commandes cachées pour déclencher des actions. Onze groupes APT de Corée du Nord, d’Iran, de Russie et de Chine étaient épinglés. Selon l’entreprise de sécurité, une preuve de concept avait été envoyée à Microsoft, mais l’éditeur aurait refusé de corriger la faille, sans que l’on sache pourquoi.

Et si l’on en parle toujours, c’est parce qu’un rapport publié par Arctic Wolf le 30 octobre faisait état d’une exploitation toujours active de cette faille en septembre et octobre. Cette fois, les cibles étaient surtout situées en Europe, particulièrement « les entités diplomatiques hongroises et belges », signe d’une coordination précise. L’ingénierie sociale est utilisée pour envoyer de fausses invitations, avec des détails sur des évènements diplomatiques, « notamment les réunions de facilitation des frontières de la Commission européenne et les ateliers de l’OTAN sur les achats de défense ».

Toujours selon ce rapport, l’attaque passe par le chargement de bibliothèques DLL provenant d’utilitaires Canon pour imprimantes et ayant une signature authentique. Le logiciel malveillant PlugX est également utilisé pour établir la persistance et voler silencieusement des informations. Arctic Wolf ajoute que la taille du fichier CanonStager, utilisé pour charger le malware, est passée de 700 ko à seulement 4 ko entre septembre et octobre, signe selon la société d’un développement très actif.

En l’absence de correctif pour l’instant, la mesure recommandée consiste à verrouiller les fonctions des fichiers LNK.

Interrogée par HelpNetSecurity sur le sujet, Microsoft a indiqué que Defender et Smart App Control avaient été mis à jour en septembre 2024 pour tenir compte de cette menace, mais le système d’exploitation lui-même n’a pas eu de correctif. Dans une autre réponse donnée le 2 novembre, la société a simplement déclaré qu’elle appréciait « le travail de la communauté des chercheurs » et qu’elle encourageait « vivement les clients à tenir compte des avertissements de sécurité et à éviter d’ouvrir des fichiers provenant de sources inconnues ».

Une faille critique corrigée deux fois

L’autre faille, CVE-2025-59287, est beaucoup plus dangereuse, mais elle a le gros avantage d’avoir été corrigée. Deux fois en fait : une première lors du Patch Tuesday d’octobre, la seconde lors d’une mise à jour d’urgence (et hors cycle) le 24 octobre. Une preuve de concept était apparue rapidement après le premier correctif, prouvant que le colmatage était incomplet et expliquant la seconde mise à jour.

Comme toujours dans ce genre de cas, le problème pourrait être considéré comme réglé puisque le correctif bouche la vulnérabilité, mais la difficulté réside dans l’application du correctif. La faille résidant dans les installations sur site de Windows Server et l’utilisation de WSUS pour gérer et diffuser les mises à jour dans le parc informatique, il faut appliquer le correctif sur les serveurs concernés, nécessitant une interruption de service.

Selon la société de sécurité Huntress, des signes d’exploitation de cette faille sont apparus le 23 octobre, la veille de la diffusion du second correctif. Des observations corroborées par d’autres entreprises, dont Sophos qui évoquait le 24 octobre comme début des hostilités. La faille peut donc être considérée comme 0-day puisqu’elle n’était pas corrigée au moment de son exploitation. Elle a également fait l’objet d’une fiche par l’ANSSI le 27 octobre. On ne sait pas à l’heure actuelle si la preuve de concept publiée peu de temps après le premier correctif a été utilisée pour exploiter la faille.

En outre, même si le correctif disponible colmate bien la brèche, l’agence américaine de cybersécurité (CISA) a publié une note à ce sujet le 29 octobre. Elle enjoint le personnel concerné à mettre à jour aussi rapidement que possible les serveurs concernés et à effectuer d’autres tâches, dont la surveillance active de processus potentiellement suspects. Il est également conseillé de surveiller également les processus PowerShell imbriqués utilisant des commandes codées en Base64.

Alors que les électeurs sont appelés aux urnes mardi pour élire le futur maire de New York, l’administration Trump a exploité le site de la Maison-Blanche d’une façon fort peu conventionnelle pour dénoncer l’attitude des sénateurs démocrates.

Elle a ainsi mis en ligne, pendant le week-end de la Toussaint, une page (archive) baptisée « MySafeSpace, a place for dems ». Sous couvert d’une parodie de MySpace, celle-ci présente les élus d’opposition et tout particulièrement le leader du Parti démocrate, Hakeem Jeffries, comme un « Temu Obama » qui ne chercherait qu’à courtiser les immigrants illégaux, les trans et les antifas.

« Hey, nous sommes les démocrates de la Chambre et du Sénat. Nous aimons le DEI [politiques de diversité, équité et inclusion, ndlr], les transitions de genre pour tous et les impôts reversés aux immigrants illégaux. Nous n’en avons vraiment rien à faire que les hommes ou femmes qui portent l’uniforme soient payés, ou que nos entourages soient sûrs — nous aimons juste jouer à la politique avec la vie des autres », annonce le soi-disant profil.

Le reste de la page est à l’avenant, avec nombre d’allusions peu subtiles à la situation de shutdown budgétaire qui paralyse actuellement les États-Unis. Chargés de voter le budget, les Républicains et les Démocrates du Sénat campent en effet sur leurs positions respectives depuis deux mois, ce qui a entraîné, le 1er octobre, le gel d’une partie de l’administration fédérale. Cette situation de shutdown n’est pas inédite, mais l’épisode en cours, qui menace le versement des salaires des fonctionnaires mais aussi celui des aides alimentaires, frappe par sa durée.

Dans sa parodie de MySpace, la Maison-Blanche reprend certains des points de crispation qui empêchent l’obtention de la « supermajorité » de 60 voix, nécessaire pour mettre fin aux débats et parvenir au vote d’un texte. L’équipe de Trump avance par exemple que les démocrates sont favorables au versement d’aides à destination des immigrants en situation irrégulière, alors que la loi l’interdit explicitement, rappelle NBC depuis le début du shutdown.

Donald Trump, qui recourt déjà régulièrement à l’intelligence artificielle générative pour fustiger ses adversaires ou défendre ses vues politiques, ne se privait déjà pas de glisser des piques à l’attention de ses opposants sur le site de la Maison-Blanche (voir par exemple les étapes 2023 et 2024 de cette frise chronologique), mais c’est la première fois qu’il exploite de façon aussi ouvertement sarcastique cet outil institutionnel de premier plan.

Son administration n’a cependant pas attendu le week-end d’Halloween pour profiter de la visibilité offerte en ligne par les différents outils fédéraux. Dès la fin septembre, un bandeau affiché sur le site du département du Logement et du Développement urbain alertait sur la façon dont la « gauche radicale » s’apprêtait à paralyser le gouvernement.

Le lobby japonais Content Overseas Distribution Association (CODA), représentant de nombreux studios d’éditeurs de dessins animés et de jeux vidéo, a envoyé une lettre lundi 27 octobre à OpenAI pour protester contre l’utilisation de nombreuses de leurs productions pour entrainer Sora 2, comme le rapporte Automaton.

« CODA a confirmé qu’une grande partie du contenu produit par Sora 2 ressemble fortement à du contenu ou à des images japonais. CODA a déterminé que cela résulte de l’utilisation de contenu japonais comme données d’apprentissage automatique. Dans les cas où, comme avec Sora 2, des œuvres spécifiques protégées par le droit d’auteur sont reproduites ou générées de manière similaire, CODA considère que l’acte de reproduction pendant le processus d’apprentissage automatique peut constituer une violation du copyright », explique le lobby.

Coda rassemble des studios de dessins animés comme Aniplex, Studio Ghibli, de jeux vidéo comme Bandai Namco et Square Enix, des maisons d’édition de mangas comme Shueisha ou encore le conglomérat Kadokawa.

OpenAI a mis en place un système d’opt-out permettant aux ayants droit de demander que Sora ne génère plus de contenus ressemblant à leurs contenus. Mais CODA affirme que « dans le cadre du système japonais du copyright, une autorisation préalable est généralement requise pour l’utilisation d’œuvres protégées par le copyright, et il n’existe aucun système permettant d’échapper à la responsabilité en cas de violation par le biais d’objections ultérieures ».

Depuis le lancement de Sora, OpenAI ne se cache pas d’utiliser les productions japonaises, allant jusqu’à utiliser le style du réalisateur anti-IA Miyazaki pour la promotion de ses modèles.

• Pour la promotion de ses modèles, OpenAI se sert du style du réalisateur anti-IA Miyazaki

Le 10 octobre, Minoru Kiuchi, le ministre japonais chargé de la sécurité économique et de la propriété intellectuelle, expliquait avoir lui aussi demandé à OpenAI d’arrêter d’utiliser les productions japonaises sans le consentement des studios. Le député japonais Akihisa Shiozaki affirmait récemment que « l’IA est en train de dévorer la culture japonaise ».

Welcome to Texas yeah !

Dans son dernier rapport consacré aux perturbations d’Internet, Cloudflare confirme les tendances observées : de nombreuses et importantes coupures ont lieu un peu partout. Mais les causes peuvent être multiples, entre décisions politiques, facteurs techniques et jusqu’aux catastrophes naturelles.

Cloudflare est dans une position assez unique, puisque ses protections sont utilisées par 20 % du web. Un étalement suffisamment vaste pour que l’entreprise publie régulièrement des rapports sur ce qu’elle voit passer depuis sa tour d’observation. Chaque trimestre, elle publie ainsi un rapport sur les perturbations d’internet. Elles sont nombreuses et proviennent de causes très variées, parfois improbables, comme on peut le voir dans sa dernière publication.

Coupures politiques

Les perturbations entrainées par des décisions politiques sont souvent les plus visibles : Soudan, Syrie, Vénézuéla, Irak ou encore Afghanistan ont tous eu des coupures consécutives à des ordres du gouvernement.

Selon Cloudflare, les raisons peuvent largement varier. Au Soudan par exemple, les coupures enregistrées pourraient correspondre à une période d’examens scolaires, et donc à une mesure extrême pour empêcher les sujets de circuler. Cette manière de procéder correspond à des observations déjà faites par le passé, notamment en 2021 et 2022.

Même chose en Syrie, avec cette fois un message officiel du ministère syrien de l’Éducation sur Telegram, avertissant que des réseaux de triche ont été découverts. D’importantes perturbations ont donc été constatées sur les jours d’examen correspondant aux périodes des certificats d’études élémentaires et d’études secondaires, en juin et juillet principalement.

L’Irak a pris des décisions semblables. Le gouvernement du Kurdistan irakien a ainsi décrété une suspension complète d’internet tous les samedis, lundis et mercredis entre le 23 aout et le 8 septembre.

Il y a bien sûr la grosse coupure en Afghanistan survenue il y a quelques semaines et dont nous nous étions fait l’écho. « Cette mesure a été prise pour prévenir le vice », affirmait alors le responsable d’une province du Nord mi-septembre. Les répercussions avaient été multiples, empêchant notamment des milliers d’étudiants de suivre leurs cours en ligne. Le Monde avait rapporté les inquiétudes de l’ONU, qui évoquait des conséquences « extrêmement graves », avec notamment des répercussions sur le système bancaire et le trafic aérien. Lors du retour des connexions, « des scènes de liesse parmi la population, notamment dans la capitale afghane », avaient été observées.

Dégâts sur la fibre optique : entre travaux et soupçons de sabotage

L’autre grande cause dans les coupures, ce sont bien sûr les dégâts sur les grands câbles de fibre optique qui courent au fond des mers et des océans. Début juillet par exemple, en République dominicaine, la société Claro avertissait sur X de dégâts sur deux câbles de fibre optique coup sur coup, causés par des entreprises différentes (intervenant sur l’eau et l’électricité).

Situation similaire en Angola, avec des travaux routiers « qui ont affecté les interconnexions nationales par fibre optique ». L’opérateur Unitel Angola avait subi une baisse de 95 % de son trafic, témoin de l’ampleur de la coupure. Comme le signale Cloudflare toutefois, ces explications ont été contestées par des ONG, car la panne est survenue durant un mouvement de protestation contre la hausse des prix des carburants.

Citons les cas du Pakistan et des Émirats arabes unis que nous avions abordés dans nos colonnes. L’accident s’est produit dans les eaux du Yémen, ce qui faisait dire à l’expert en câbles sous-marins Roderick Beck qu’avec une profondeur de 100 mètres seulement, il s’agissait probablement d’une cause liée à un bateau, par la pêche ou par une ancre. La rupture avait causé des ralentissements au Pakistan et aux Émirats arabes unis. La piste de l’attaque volontaire n’était pas écartée.

Plus improbable en revanche, un câble de fibre optique a été rompu au Texas le 26 septembre à cause… d’une balle perdue. Les conséquences ont cependant été limitées, avec des problèmes circonscrits à la région de Dallas et n’ayant entrainé qu’une baisse du trafic de 25 % pendant environ deux heures.

Pannes de courant, catastrophes naturelles, incendies, cyberattaques…

Les pannes de courant peuvent avoir des conséquences importantes sur la disponibilité d’internet. En République tchèque par exemple, la chute d’un câble électrique le 4 juillet a entrainé une vaste panne de courant. Celle-ci a eu un effet très concret sur la disponibilité du réseau pendant approximativement 6 heures, entrainant une baisse de trafic de 32 % à l’échelle du pays.

Des pannes d’électricité expliquent des perturbations similaires dans des îles comme Saint-Vincent-et-les-Grenadines et Curaçao, ou encore à Gibraltar, où une entreprise a sectionné trois câbles à haute tension par erreur, avec à la clé une chute de 80 % du trafic dans le pays pendant environ 7 heures. Selon Cloudflare toutefois, c’est Cuba qui connait le plus de coupures de ce type, avec de très nombreuses pannes d’électricité. Le 10 septembre par exemple, une panne a entrainé une chute de 60 % du trafic pendant plus de 24 heures.

Côté catastrophes, la seule référencée par le rapport est l’impressionnant séisme ayant eu lieu dans la province du Kamchatka en Russie. Avec une magnitude de 8,8 sur l’échelle de Richter, ses puissantes secousses ont déclenché des alertes au tsunami dans plusieurs régions, notamment au Japon ou dans les États américains de l’Alaska et d’Hawaï. Si le trafic a chuté de 75 % dans la province juste après le tremblement de terre, Cloudflare indique toutefois qu’il s’est très vite rétabli. Notez que le rapport de Cloudflare était déjà bouclé au moment de l’ouragan Melissa et de son impact catastrophique en Jamaïque.

Le Yémen fait en outre partie des pays revenant le plus souvent dans le rapport. D’abord parce que le pays est le seul référencé sur les trois derniers mois à avoir subi une cyberattaque d’ampleur, suffisante pour entrainer une perturbation à l’échelle du pays, avec une baisse significative du trafic chez le fournisseur d’accès YemenNet. Ensuite car le Yémen, comme le Soudan, a été largement touché par la panne de Starlink en juillet. Pendant environ 2h30, le trafic a chuté de moitié dans ces pays, de même qu’au Zimbabwe ainsi qu’au Tchad, interrogeant sur la dépendance à un prestataire unique. Cloudflare signale d’ailleurs une autre panne de Starlink pendant une heure le 15 septembre. La société indique que Starlink avait initialement reconnu la panne, avant de supprimer son message sur X.

Diversifier pour résister

Les tendances observées dans les précédents rapports se renforcent, notamment sur les coupures décidées par les gouvernements, en pleine recrudescence selon Cloudflare. La pratique est controversée mais tend à se normaliser dans certaines régions. Si leur nombre augmente, leur portée varie considérablement d’un pays à l’autre cependant, de même que les causes, tout du moins officiellement.

De même, si les accidents et les catastrophes peuvent survenir n’importe où, la résilience affiche d’importantes disparités selon les régions. Sans surprise, celles ayant un nombre plus élevé de fournisseurs d’accès et de chemins alternatifs pour la connectivité sont moins touchées par les pannes et récupèrent souvent plus vite.

Dans l’ensemble, quelles que soient les causes des coupures, les conséquences sont presque toujours les mêmes, avec un impact économique et social, qu’il s’agisse d’étudiants ne pouvant plus suivre leurs cours, des coupures dans les services financiers voire bancaires, le commerce électronique ou encore la télémédecine. Selon Cloudflare, la seule solution est d’accentuer la résilience et la diversité des infrastructures pour minimiser les coupures.

ICEtagram

L’ICE, la police de l’immigration états-unienne, utilise une application de reconnaissance faciale pour vérifier l’identité des personnes qu’elle contrôle dans la rue. Selon des documents du département de la Sécurité intérieure des États-Unis, il ne serait pas possible de refuser le scan de son visage.

Les agents de l’ICE, les services d’immigration étatsuniens, ont maintenant à leur disposition une application de reconnaissance faciale. Celle-ci leur permet de vérifier l’identité de personnes qu’ils arrêtent dans la rue sans qu’elles ne puissent refuser. Depuis des mois, plusieurs vidéos circulent sur les réseaux sociaux, montrant que les agents de l’ICE n’hésitent pas à s’en servir pour contrôler des jeunes en vélo, des personnes dans leur voiture ou à pied.

Cet été, 404 Media révélait que les agents de l’ICE pouvaient utiliser via leur smartphone une application dédiée : Mobile Fortify.

Celle-ci permet aux utilisateurs de vérifier l’« identité biométrique en temps réel grâce à la capture d’empreintes digitales sans contact et d’images faciales », deux fonctionnalités directement disponibles sur le smartphone fourni par l’ICE à ses agents, expliquait un email interne de l’ICE qu’ont pu obtenir nos confrères.

Mobile Fortify s’appuie sur la base de données de photos prises aux douanes des États-Unis par la CBP (Customs and Border Protection), l’autre agence de l’immigration états-unienne.

Impossible de refuser

Mais, selon des documents officiels du département de la Sécurité intérieure des États-Unis récemment obtenus par 404 Media, il serait impossible pour les personnes contrôlées de refuser la reconnaissance faciale effectuée par Mobile Fortify. L’agence a donné très peu d’informations sur cette application.

En septembre dernier, explique le Chicago Sun Times, neuf sénateurs démocrates ont écrit [PDF] au directeur de l’ICE pour avoir plus d’informations sur cette application qui « permettrait aux agents de pointer un smartphone vers le visage ou les empreintes digitales d’une personne et de l’identifier grâce à une comparaison biométrique avec plusieurs bases de données fédérales ». Le média de l’Illinois explique d’ailleurs qu’elle n’est qu’une partie d’« un arsenal croissant » d’outils biométriques de vérification d’identité et de statut, citant aussi la reconnaissance de l’iris, l’utilisation de lecteurs de plaques d’immatriculation et la comparaison des empreintes digitales dans les diverses bases de données de police et de services d’immigration.

Les documents obtenus par 404 Media confirment que Mobile Fortify utilise la base de données du « service de vérification des voyageurs » du CBP mais aussi d’autres bases de données pour chercher une correspondance avec le visage de la personne interpelée parmi 200 millions d’images.

Des données stockées pendant 15 ans

Selon l’un des documents, les données de n’importe quelle personne peuvent être collectées : « bien que l’application Mobile Fortify ait pour objectif d’identifier les étrangers susceptibles d’être expulsés des États-Unis, les utilisateurs peuvent l’utiliser pour collecter des informations identifiables sur des individus, indépendamment de leur citoyenneté ou de leur statut d’immigration. Il est concevable qu’une photo prise par un agent à l’aide de l’application mobile Mobile Fortify puisse être celle d’une personne autre qu’un étranger, y compris un citoyen américain ou un résident permanent légal ». D’ailleurs, comme le fait remarquer ArsTechnica, dans cette vidéo où l’agent de l’ICE demande de scanner le visage de la personne, celle-ci affirme être un citoyen américain et avoir déjà montré sa carte d’identité.

Les photos pourront ensuite être utilisées par le CBP pendant des années : « le CBP enregistre les nouvelles photographies et empreintes digitales, prises à l’aide de Mobile Fortify […] et les conserve pendant 15 ans ». Si l’application est censée servir en priorité aux agents de l’ICE, 404 Media note que les documents prévoient que les agents du CBP assignés à des tâches de l’ICE peuvent aussi l’utiliser. Et nos confrères soulignent que des dizaines de milliers d’agents ont été réassignés à l’ICE récemment.

« Les responsables de l’ICE nous ont dit qu’une correspondance biométrique apparente établie par Mobile Fortify constituait une détermination « définitive » du statut d’une personne et qu’un agent de l’ICE pouvait ignorer les preuves de citoyenneté américaine, y compris un certificat de naissance, si l’application indiquait que la personne était un étranger », explique l’élu démocrate à la Chambre des représentants, Bennie G. Thompson interrogé par Arstechnica. Selon lui, cette application est « dangereuse » et constitue une « attaque inconstitutionnelle contre les droits et libertés des Américains ».

« Nous aurions dû interdire l’utilisation de la reconnaissance faciale par le gouvernement lorsque nous en avions l’occasion, car elle est dangereuse, invasive et constitue une menace inhérente aux libertés civiles », s’est lamenté Matthew Guariglia de l’Electronic Frontier Foundation auprès de 404 Media.

Le 28 octobre, Pauline Dens-Arsène répondait à France 3 pour évoquer l’interruption volontaire de grossesse (IVG) médicamenteuse. Alors que l’accès à l’IVG est très inégalitaire à travers le pays, la sage-femme explique proposer cet acte médical pour répondre à un manque visible dans l’Aisne.

Une fois le reportage diffusé, Pauline Dens-Arsène l’a publié sur sa page Facebook. « Une demi-heure après, mes comptes Facebook et Instagram étaient suspendus », explique-t-elle à Franceinfo.

Avant la suppression, la sage-femme explique avoir reçu des messages haineux, des insultes assimilant l’avortement à un meurtre, des discours proches de ceux des militants contre la liberté d’avorter.

Pour elle, c’est évident : la suppression de son compte est due à une campagne de signalement de masse. 


Après avoir fait appel de la décision auprès de Meta, la sage-femme apprend néanmoins que ses comptes sont définitivement supprimés, quand bien même les règles de communauté de Meta n’interdisent pas d’évoquer l’IVG. L’entreprise évoque des « dysfonctionnements » de sa modération.

Début 2025, alors que les géants du numérique se rapprochaient de Donald Trump nouvellement élu, les règles de modération de Meta ont largement évolué aux États-Unis. Des associations de défense des droits numériques et des droits des femmes se sont rapidement mobilisées pour dénoncer une censure de l’information dédiée aux droits reproductifs.

En France, le Planning Familial alerte depuis plusieurs années sur la désinformation que diffusent les militants anti-choix en ligne, et s’inquiète de voir ces mouvements prendre un espace croissant en ligne.

Comme disait Napoléon, « faut pas croire tout ce qu’on lit sur Internet »

N’ayons pas peur des mots, nous sommes dans une « merdification » importante de l’information. Le phénomène n’est pas nouveau, mais il prend de l’importance sur les réseaux sociaux et avec l’IA générative. La balle est dans le camp des internautes.

Enshittification ou merdification a été élu mot de l’année 2024 par le dictionnaire d’anglais australien Macquarie. Sa définition : « détérioration progressive d’un service ou d’un produit, en particulier d’une plateforme en ligne, provoquée par une réduction de la qualité du service fourni résultant de la recherche de profit ».

Ce terme s’applique parfaitement à l’information en ligne. Le phénomène n’est pas nouveau, mais il est de plus en plus inquiétant. Un bon terreau de cette merdification est la course à l’information. Il ne faut pas confondre vitesse et précipitation ; les exemples sont malheureusement nombreux et la situation se répète inlassablement.

• [Édito] Le temps de l’information

La course à l’audience

Sur Internet, cette course à l’information va (malheureusement) de pair avec celle de l’audience. La raison est simple : la publicité, dont les revenus sont directement liés au nombre de visiteurs (les fameux visiteurs uniques ou VU dans le jargon du métier) ou de pages vues. D’une information claire et objective, on dérive depuis longtemps vers des titres putaclicks, des fake news et, de plus en plus, un mélange des deux.

Avec la merdification de l’information, le phénomène va plus loin. Les gens (et pas uniquement les jeunes) s’abreuvent maintenant sur les réseaux sociaux et s’informent par le prisme de certains influenceurs. Pour reprendre les inconnus : « y’a le mauvais chasseur [d’information] : y voit un truc qui bouge, y tire. Le bon chasseur : y voit un truc, y tire… ».

Dans l’information, c’est presque pareil, sauf que ceux qui racontent n’importe quoi sont les premiers à tirer, ceux qui enquêtent tirent plus tard. La course à l’audimat pousse une grande partie des médias à tirer le plus vite possible. L’information est fausse ? Pas « grave », une seconde sera publiée s’il y a de quoi (re)faire de l’audience, sinon elle sera limite laissée de côté.

Nous avons déjà longuement parlé de la loi de Brandolini ou « principe d’asymétrie des idioties » pour les sciences, mais cela touche désormais toutes les catégories d’information. Ne pas oublier que ceux qui racontent des idioties (pour rester poli) ne prennent pas de pincettes et foncent tête baissée, là où les chercheurs et scientifiques pèsent les conséquences et la portée de leurs mots. Deux discours, une même cible, mais pas les mêmes règles du jeu.

• Pendant la crise sanitaire, les nombreuses dérives de la communication scientifique

Combien de fois des informations ont fait les gros titres lors d’une condamnation alors que le jugement cassé en appel n’est quasiment pas évoqué ? Beaucoup trop… Combien de fois de fausses vidéos sont relayées sans jamais corriger le tir ? Beaucoup trop… Combien de fois des fuites de données inexistantes font les gros titres (et font le jeu des pirates) ? Beaucoup trop… Vous avez compris l’idée.

La course à la visibilité

La situation évolue, mais pas dans le bon sens. Aujourd’hui, personnalités publiques et influenceurs ont un vrai pouvoir sur les gens et le moindre geste peut déplacer des foules. Un exemple récent avec un t-shirt vintage d’un aquarium porté par Taylor Swift. Des fans voulaient le même, l’aquarium en fait une réédition et le propose en « cadeau » pour un don à la protection des loutres. Montant de l’opération : plus de 2 millions de dollars. Rien de grave ici, au contraire, mais cela montre à quel point une idole peut faire bouger les choses.

Le problème étant que certains influenceurs poussent parfois à leur communauté des produits illégaux et/ou dangereux, au mépris des lois. L’année dernière, la DGCCRF dressait un triste bilan : sur 310 influenceurs contrôlés, 151 étaient « en anomalies ».

Les marques ont bien compris le potentiel des influenceurs et l’océan (plus ou moins grand) de poissons à attraper. Rappel : vous êtes le poisson. Pour vous attraper, marques et/ou influenceurs passent parfois la ligne rouge puisque la mention d’un partenariat commercial n’est pas toujours indiquée.

De l’information consommée par certains sur les réseaux sociaux, on se retrouve à avoir des messages publicitaires, que ce soit pour des produits ou des idées (politiques). Les influenceurs s’invitent aussi dans la vie politique et vice-versa, cela soulève d’autres questions sur l’information politique diversifiée. Si la télévision et la radio sont dans le viseur de l’Arcom, le web et les réseaux sociaux sont encore laissés de côté.

Le sujet de la régulation ne bouge pas vraiment alors qu’en mars prochain auront lieu les élections municipales, puis les présidentielles en 2027. Il y a de quoi être inquiet, d’autant que la génération des enfants nés dans la seconde moitié des années 2000, qui ont donc grandi avec les réseaux sociaux, sont désormais en âge de voter.

• Élections, pluralisme politique et réseaux sociaux : le trio impossible ?

La course au sensationnel

L’IA générative est aussi un problème, qui fait des dégâts dans les médias. Dernier exemple en date, ce qui était présenté comme le projet « sky stadium » de l’Arabie saoudite. Une vidéo montrant ce que devait être un stade à 350 mètres d’altitude était fausse, comme l’indique l’AFP Factuel.

Reprise par de nombreux médias, avec souvent Paris-Match comme source (qui a depuis supprimé sa publication Instagram), l’information n’est pas toujours corrigée. Cette fausse vidéo surfe en prime sur la vague du projet pharaonique « The Line », qui a beaucoup de plomb dans l’aile. Bref, une belle histoire et de belles images, à un détail près : c’est faux.

Cet exemple soulève un autre problème : le temps nécessaire à débunker ce genre de fake news, pourtant grossières. Ce n’est qu’un seul exemple dans l’océan de merdification de l’information. Certains sites d’information générés par intelligence artificielle n’en finissent pas d’inonder le web avec du n’importe quoi.

Ils lancent des fausses informations dans tous les sens à la recherche de buzz (pour multiplier les visiteurs, donc les pages, donc les publicités, donc les revenus). Cela ne va généralement pas chercher plus loin. Parfois, les sites Gen AI peuvent aussi servir des buts particuliers : spammer des moteurs de recherche ou des intelligences artificielles, inonder les réseaux sociaux pour faire passer un message, élargir à coup de masses la fenêtre d’Overton…

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles
• Alerte sur les sites GenAI : notre extension signale plus de 6 000 sites et passe en v2.3

Tous les formats de médias sont concernés. Les actualités étaient les premières, suivies désormais par les vidéos et les deepfakes. La question des vidéos générées par IA entre en pleine collision avec les fausses informations et autres deepfake avec le cas de TiboInShape, qui a rendu son visage et sa voix réutilisables par tout un chacun sur Sora d’OpenAI.

Tout n’est pas à jeter dans le monde des réseaux sociaux et des influenceurs, loin de là ! HugoDecrypte (TikTok, X, Instagram, YouTube…) en est un bon exemple. Il s’est imposé comme source fiable auprès des jeunes, comme en témoigne la maxime « Tant qu’HugoDécrypte l’a pas dit, j’y crois pas ».

L’enjeu est important : « Facebook et YouTube sont utilisés respectivement chaque semaine pour s’informer par 36 % et 30 % des plus de 96 000 personnes interrogées, tandis qu’Instagram et WhatsApp sont utilisés par près d’une personne sur cinq pour ce type d’usage, TikTok par 16 % d’entre elles, X par 12 % », expliquions-nous récemment, sur la base d’un rapport de Reuters Institute.

• Les influenceurs et l’IA jouent un rôle croissant dans l’accès à l’information

Si vous avez des influenceurs et/ou créateurs de contenus que vous suivez pour leur sérieux et la qualité de leur information, n’hésitez pas à partager les noms dans les commentaires !

Les fausses informations prennent du temps à la vraie information

Les fausses informations sont problématiques, mais faut-il toutes les débunker ? Chez Next par exemple, nous pourrions passer quasiment toutes nos journées à les débunker tant elles sont nombreuses. Du coup, il ne resterait plus de temps pour des « vrais » sujets et analyses.

La merdification de l’information entraine non seulement une prolifération de fausses informations, mais occupe aussi des journalistes de cellules de « fact checking » à les démonter. Ces forces ne seraient-elles pas mieux utilisées à enquêter, à analyser des tendances, à faire des interviews… Bref, du fond ? Je pense que oui, mille fois oui !

La merdification de l’information est à tous les niveaux sur Internet – des sites de presse aux réseaux sociaux – et il devient de plus en plus difficile de trier le bon grain de l’ivraie. L’esprit critique est plus que jamais nécessaire face à la déferlante de fausses informations et de désinformation. Il suffisait pendant un temps de se dire « c’est trop beau pour être vrai, c’est probablement faux » pour lever la plupart des doutes, ce n’est plus le cas aujourd’hui.

« Quand on pense qu’il suffirait que les gens arrêtent… »

Mais force est de constater que ça marche : les gens lisent les fausses informations, les partagent sur les réseaux sociaux et dans des « boucles WhatsApp » (ou autres messageries). Elles sont parfois prises au premier degré avec une inquiétude face à ce qui n’est en fait que du vent.

Comme les gens accèdent à ce genre de contenus, leurs créateurs gagnent de l’argent et donc abreuvent la bête de toujours plus de contenus du genre. Plus les gens vont en lire, plus les réseaux sociaux vont en pousser à l’utilisateur pour le garder captif le plus longtemps possible. Regardez une vidéo Gen IA avec des animaux sur TikTok une fois ou deux et votre flux en devient rapidement inondé. C’est valable pour toutes les thématiques, y compris la politique, les enjeux environnementaux, les sciences, etc.

Chez Next, nous avons pris le pari de traiter des sujets de fond, de vérifier avant de parler, d’enquêter au long cours, et de ne pas céder aux sirènes du putaclik… Un vœu pieux, mais force est de constater que cela ne « paye pas ».

Nous sommes également parmi les rares ovnis du paysage médiatique à n’afficher aucune publicité et à ne pas vous traquer (d’où l’absence de « bandeau RGPD » ), une promesse renforcée depuis le rachat par moji. Ce rachat permet d’ailleurs à Next d’être toujours vivant et de continuer à vous informer avec les mêmes principes.

Mais, là où des médias surfant à fond sur le putaclic et flirtant avec la désinformation prospèrent et engrangent des bénéfices, Next est toujours déficitaire. Une phrase de Coluche résonne plus que jamais : « Quand on pense qu’il suffirait que les gens arrêtent de les acheter [de les lire dans le cas de cet édito, ndlr] pour que ça ne se vende plus. Quelle misère ! ».

S’abonner à Next vous permet de lire l’ensemble de nos articles et de participer aux commentaires, mais aussi de nous soutenir dans notre modèle économique et notre manière de traiter l’information.

Vieille de 380 ans, la Pascaline est la première machine à calculer de l’humanité, mise au point par Blaise Pascal. Alors que huit exemplaires fabriqués en 1642 et 1649 subsistent au monde, l’un d’entre eux doit être mis aux enchères par Christies le 19 novembre prochain.

Porté par des membres des cinq académies françaises, un collectif appelle à ce que cette machine « demeure au cœur des collections publiques ».

« Pascal souhaitait produire sa machine à grande échelle. La complexité de sa fabrication fit échouer l’entreprise », expliquent-ils. Cinq se trouvent actuellement dans des collections publiques françaises, deux à l’étranger, dans des collections publiques, et cette dernière, qui doit être mise en vente, était en collection privée depuis 1942.

Pour les signataires, au nombre desquels le directeur de recherche émérite à l’Inria Serge Abiteboul, le professeur émérite à l’université Paris-Saclay Jean-Michel Bismuth, la philosophe Barbara Cassin, l’écrivain Érik Orsenna, « toutes les Pascalines ont des caractéristiques propres et toutes n’ont pas la même destination ».

Celle qui doit être vendue « est la seule qui soit conçue pour l’arpentage ; elle opère avec des mesures de grandeur adaptées (toises, pieds, pouces, lignes) ».

« Cathédrales de l’intelligence », ces instruments ont été « explicitement destinés à servir l’intérêt général », écrivent les auteurs de la tribune. À ce titre, ils appellent à ce que la machine destinée à être mise aux enchères rejoigne les collections publiques, d’où elle pourra être étudiée « par la communauté scientifique internationale ».

Manchots vénères

Pour la première fois, les systèmes Linux ont dépassé les 3 % de parts de marché dans les enquêtes Steam. La plateforme a des arguments de plus en plus forts, comme illustré récemment dans un remplacement de Windows 11 par Linux sur Xbox Ally.

3,05 % pour Linux ? Le chiffre peut n’avoir l’air de rien, mais il reste une étape significative dans les changements d’habitude. Comme relevé notamment par Phoronix, il s’agit d’une progression d’un point en un an. Cependant, l’évolution mensuelle est encore plus intéressante, Linux ayant gagné 0,37 point entre septembre et octobre.

SteamOS sur plus d’un quart des configurations

Une accélération nette dont la fin de support de Windows 10 est probablement l’un des principaux facteurs. Sur la même période, Windows a perdu 0,56 point :- 1,04 point pour Windows 10 et + 0,53 point pour Windows 11. Curieusement, Windows 7 a gagné 0,02 point sur le dernier mois.

Et dans ces statistiques fournies par Valve, quelle est la distribution la plus utilisée ? Sans surprise, il s’agit de Steam OS, le système fourni avec la console portable Steam Deck, avec 27,18 % sur octobre. On note toutefois que cette part est en baisse de 0,86 point, soit une différence marquée. Si le Steam Deck a clairement bousculé le monde du jeu, la configuration d’un PC sous Linux pour jouer est également devenue simple.

Parmi les autres tirant leur épingle du jeu, on note la présence d’Arch Linux avec 10,32 % et de Linux Mint (6,65 % pour la récente version 22.2 et 2,56 % pour la 22.1). Comme on peut le voir dans le tableau fourni par Valve, de nombreuses distributions affichent une croissance dans leur nombre d’utilisateurs.

Cependant, les chiffres donnés par l’entreprise ne sont pas toujours pratiques à cause de séparations assez artificielles. Par exemple, il y a deux scores séparés pour Fedora 42 selon que l’on utilise la version Workstation avec GNOME ou la mouture KDE. On trouve aussi des parts de marché pour des « Freedesktop SDK », qui est un composant et ne renvoie (a priori) vers une distribution spécifique.

Linux plus fort que Windows ?

Le score de Linux illustre cependant un sujet grandissant autour du jeu vidéo sur cette plateforme, comme nous l’avons encore vu récemment. On pourrait également parler d’une hausse de l’émulation autour de cette thématique avec l’apparition cet été d’une distribution française centrée sur le jeu vidéo, GLF OS. Elle rejoindra peut-être dans l’avenir des distributions plus anciennes sur le même créneau, surtout Bazzite (4,24 %) et CachyOS (6,01 %).

• 90 % des jeux Windows compatibles Linux ? Oui, mais…

Cette orientation performances pour des distributions spécialisées a d’ailleurs été illustrée le 29 octobre par The Verge. Nos confrères se sont amusés à remplacer Windows 11 par Bazzite sur la console portable Xbox Ally. Résultats des courses : des performances en hausse de 15 à 30 % dans la plupart des tests, une différence plus que significative. La console s’est même payé le luxe d’avoir une meilleure autonomie avec Linux.

• Fin de Windows 10 : à Bordeaux, des associations du libre sentent la différence

Comme toujours dans ce genre de test, ces résultats ne peuvent pas être généralisés, les différences étant apparues sur un matériel spécifique. Ils invitent cependant les utilisateurs à réfléchir à leurs usages, le jeu vidéo étant considéré comme l’un des bastions de Windows. L’enthousiasme généré par la couche Proton de Valve (basée sur Wine) est bien là et continue de se traduire dans les chiffres. Pas de quoi encore tirer la sonnette d’alarme chez Microsoft, mais l’évolution est à suivre de près.

Vendredi 31 octobre, Bluesky a annoncé avoir atteint la barre des 40 millions d’utilisateurs. Le réseau social dirigé par Jay Graber a multiplié par 2,5 son volume d’usagers depuis la mi-novembre 2024. À l’époque, le réseau était notamment porté par l’interdiction de X au Brésil et la réaction d’électeurs démocrates face à la victoire de Donald Trump lors des élections présidentielles aux États-Unis et le soutien d’Elon Musk, patron de X.

Le réseau semble vouloir drainer un public plus large encore. Dans un billet de blog publié le même jour, Bluesky affirme vouloir « des échanges amusants, authentiques et respectueux qui permettent de nouer des amitiés, et nous prenons des mesures pour y parvenir », alors que le réseau a essuyé récemment des critiques à propos de sa non-modération et de sa prise à la légère de propos anti trans.

Bluesky annonce dans ce billet qu’il va tester un bouton « dislike » (je n’aime pas) qui doit « aider le système à comprendre quels types de publications vous préférez voir moins souvent ». Beaucoup de réseaux sociaux ont déjà testé ce genre de fonctionnalités. Si l’option « je n’aime pas » peut être utilisée contre le harcèlement, on a pu voir sur YouTube des harceleurs la détourner en faisant du « dislike bombing », poussant la plateforme à cacher le nombre de pouces baissés à ses utilisateurs.

Dans ce nouveau système, Bluesky assure que les dislikes doivent « aider système à comprendre les types de publications que vous préférez voir moins souvent ». « Ils peuvent également influencer légèrement le classement des réponses, réduisant ainsi la visibilité des réponses de mauvaise qualité », explique encore la plateforme. « Les mentions « dislike » sont privées et leur signal n’est pas global : elles affectent principalement votre propre expérience et, dans une certaine mesure, celle des autres membres de votre réseau social », précise-t-elle.

Quand l’installation d’une mise à jour est terminée dans Windows, on peut choisir de l’appliquer et de redémarrer, ou de l’appliquer et d’éteindre la machine. Dans ce deuxième cas, le système n’en fait qu’à sa tête : il finalise l’installation et redémarre le PC.

C’est un vieux bug que tout le monde a sans doute expérimenté au moins une fois. Il a été introduit avec Windows 10 et Microsoft n’a jamais daigné corriger le problème, sans que l’on sache pourquoi, bien qu’il soit probablement lié à la pile de maintenance dans Windows.

Il se trouve pourtant que le bug a été rectifié dans la récente mise à jour optionnelle KB5067036. Dans la page dédiée, on peut lire tout en bas des notes de version pour Windows : « Amélioration : résolution d’un problème sous-jacent qui peut empêcher l’arrêt de votre PC après la mise à jour dans l’option Mettre à jour et arrêter ».

Malheureusement, ce problème n’est a priori réparé que dans la branche 25H2 de Windows 11. Windows 10, dont le support est maintenant terminé, le gardera. Son support est terminé, mais puisque les utilisateurs européens peuvent souscrire gratuitement à un an de correctifs de sécurité supplémentaires, le bug continuera à se manifester.

• Fin de Windows 10 : que faire ?

Orange a annoncé vendredi la conclusion d’un accord non engageant visant à racheter au fonds britannique Lorca les 50 % que détient ce dernier au capital de l’opérateur espagnol MasOrange. Le groupe français deviendrait ainsi propriétaire exclusif de MasOrange, jusqu’ici détenu à parité avec Lorca. La transaction se ferait en numéraire, à hauteur de 4,25 milliards d’euros, indique Orange.

« En détenant l’intégralité du capital, Orange confirme son engagement industriel à long terme en Espagne, ainsi que sa confiance dans MasOrange et son équipe de direction pour créer de la valeur pour l’ensemble de ses parties prenantes », précise encore le groupe français, qui espère aboutir à la signature d’un accord engageant d’ici la fin de l’année, puis à une transaction effective dans le courant du premier semestre 2026, après approbation par les instances représentatives du personnel et les autorités réglementaires compétentes.

Issu de la fusion, entamée en juillet 2022, entre Orange Espagne et son concurrent Masmovil, MasOrange revendique une place de numéro un sur le marché espagnol avec 34 millions de lignes mobiles et 7,2 millions de lignes fixes.

Bien qu’approuvé sur le principe par la Commission européenne, ce rapprochement entre ceux qui étaient alors respectivement deuxième et quatrième acteurs du marché espagnol avait suscité l’ouverture d’une enquête approfondie en 2023. Le feu vert avait finalement été donné en février 2024 (PDF), avec une concession : la vente, par le nouvel ensemble, d’une partie de ses fréquences à l’opérateur roumain Digi, assortie d’un accord d’itinérance permettant à ce dernier d’investir le territoire espagnol.

En deux clics

Pour LinkedIn, utiliser vos données personnelles pour entrainer des IA génératives de contenus relève de l’intérêt légitime. Le réseau social laisse jusqu’au 3 novembre à ses utilisateurs européens pour désactiver cette fonctionnalité.

Mise à jour du 3 novembre à 8h45. LinkedIn utilise à partir d’aujourd’hui « certaines données des membres […] pour entraîner les modèles d’IA générative de contenu, qui améliorent votre expérience et connectent plus efficacement nos membres aux opportunités ».

Article du 18 septembre à 16h09. Il y a un an, jour pour jour, LinkedIn s’accordait le droit d’utiliser vos informations et publications « pour développer les produits et services de LinkedIn et de ses affiliés », y compris pour entrainer des IA génératives. Les utilisateurs avaient alors deux mois pour faire part de leur désaccord et couper cette fonctionnalité, activée par défaut.

LinkedIn utilisera vos données dès le 3 novembre

Les utilisateurs dans l’Espace économique européen, la Suisse et le Royaume-Uni étaient épargnés, mais le réseau social avait prévenu que cela arriverait prochainement. C’est désormais le cas. L’option est là encore activée par défaut et vous avez jusqu’au 3 novembre pour refuser que vos données soient utilisées.

LinkedIn affiche depuis aujourd’hui un message à ses utilisateurs européens, comme nous avons pu le voir à la rédaction : « À compter du 3 novembre 2025, certaines de vos données LinkedIn seront utilisées par l’intelligence artificielle générative pour améliorer votre expérience, sauf si vous le refusez dans vos préférences. Nos conditions générales évoluent aussi : consultez les changements et gérez vos données ». Un lien vers ce billet permet d’en savoir plus.

Pour désactiver cette option, c’est par là que ça se passe. Il suffit de cliquer sur le bouton pour activer/désactiver l’autorisation d’utiliser ses données pour entrainer des IA de génération de contenus.

• Autoriser ou refuser l’utilisation de vos données pour améliorer l’IA générative

« Nous nous fondons sur l’intérêt légitime »

« Nous nous fondons sur l’intérêt légitime pour traiter vos données à cette fin », explique LinkedIn pour justifier le « passage en force » avec un opt-out. Cet intérêt légitime est une des bases légales prévues par le RGPD pour des traitements de données personnelles.

« Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées », rappelle la CNIL. Tout est donc une question d’équilibre.

Si on voit bien l’intérêt pour LinkedIn et donc Microsoft de disposer de toujours plus de données, reste la question des « droits et intérêts » des personnes. Le réseau social en tout cas a pris sa décision et de plus amples précisions sur l’intérêt légitime vu du côté de LinkedIn se trouvent sur cette page.

On peut y lire que « les Membres ou les clients peuvent communiquer des données personnelles en tant qu’entrée dans une fonctionnalité d’IA ou d’IA générative, ce qui peut avoir pour effet que des données personnelles figurent dans la sortie ».

LinkedIn ratisse large : « les données que vous fournissez ou que d’autres fournissent dans le cadre de posts, commentaires, articles ou de tout autre contenu sur nos Services, y compris l’historique de recherches, le fil d’actualité, le contenu que vous consultez, le contenu que vous partagez, qui vous suivez ou qui vous suit, vos relations et votre participation, les pages que vous visitez ou les vidéos que vous visualisez, les actions que vous effectuez sur les publicités (vues et clics) et vos recherches d’emploi ».

Refuser l’entrainement n’empêche pas d’utiliser l’IA générative

LinkedIn précise que cette option ne s’applique qu’à « l’entraînement et à l’amélioration des modèles d’IA générative utilisés pour générer du contenu (par exemple, des posts ou messages suggérés). Elle ne s’applique pas à notre entraînement de modèles d’IA utilisés à d’autres fins, comme les modèles que nous utilisons pour personnaliser votre expérience sur LinkedIn ou à des fins de sécurité, de protection ou de lutte contre les abus ».

Si vous désactivez cette fonction, « vous pourrez continuer à utiliser nos fonctionnalités d’IA générative qui créent du contenu […] Cette préférence ne régit pas l’utilisation de vos données lorsque vous ou d’autres personnes utilisez des fonctionnalités d’IA générative sur LinkedIn. Elle régit uniquement l’utilisation de vos données pour l’entraînement des modèles susceptibles d’alimenter ces fonctionnalités ».

Et si vous vous demandez ce que peut proposer LinkedIn avec ses IA génératives : « Nos fonctionnalités d’IA générative peuvent aider les recruteurs à vous trouver et à vous contacter plus facilement, et assister les membres dans la création de contenu tel que des mises à jour de profil, des messages et des publications ».

C’est le constat fait par la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes). « Leur description et leur catégorisation sur le site permettent difficilement de douter du caractère pédopornographique des contenus », explique le ministère de l’Économie dans un communiqué.

Des signalements au procureur de la République, à l’Arcom et à la plateforme Shein ont été faits dans la foulée. « La diffusion, via un réseau de communications électroniques, de représentations à caractère pédopornographique, est passible de peines pouvant aller jusqu’à 7 ans d’emprisonnement et 100 000 euros d’amende », rappelle le ministère.

Sans compter que, « en l’absence de mesure de filtrage efficace visant à protéger les mineurs, la loi prévoit des peines d’amende pouvant aller jusqu’à 3 ans de prison et 75 000 euros d’amende. Ces faits ont également été signalés au procureur et à l’Arcom ».

Sentant le vent tourner, un communiqué de presse a été envoyé dans la foulée par Shein à de nombreuses rédactions, dont Next : « Shein confirme que les produits en question ont été immédiatement retirés de la plateforme dès que nous avons eu connaissance de ces défaillances majeures ».

Une enquête a été lancée pour comprendre comment « ces annonces ont pu contourner [les] dispositifs de contrôle ». L’entreprise « mène une revue complète afin d’identifier et de retirer tout produit similaire susceptible d’être mis en vente par d’autres vendeurs tiers ».

« Ce type de contenu est totalement inacceptable et va à l’encontre de toutes les valeurs que nous défendons. Nous prenons des mesures correctives immédiates et renforçons nos dispositifs internes afin d’éviter qu’une telle situation ne se reproduise », affirme le porte-parole de Shein Quentin Ruffat.

Shein doit pour rappel ouvrir dans les prochains jours un espace de plus de 1 000 m² dans le magasin historique du BHV, ainsi que des corners de 300 à 400 m² dans cinq magasins Galeries Lafayette. Cette annonce avait largement fait polémique. Disney devait, par exemple, décorer les vitrines du magasin mais a finalement décidé d’annuler car les conditions n’étaient « plus réunies pour déployer sereinement les animations de Noël ».

• Shein veut ouvrir six boutiques physiques en France, dont 1200 m² au BHV à Paris

Shein a reçu une amende de 150 millions d’euros pour avoir fait n’importe quoi avec les cookies, ainsi que deux amendes de la DGCCRF : 1,1 million d’euros pour une « information défaillante sur la qualité environnementale des produits » et 40 millions d’euros pour des pratiques commerciales trompeuses. D’autres enquêtes sont en cours.

• Shein attaquée de toutes parts

Pas bien glorieux

La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.

Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.

Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.

Synthèse douloureuse

Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.

La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.

Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».

Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.

Loi SREN trop timide, isolement de la France sur EUCS

La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».

Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.

Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.

Nombreuses limitations dans les actions françaises

Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.

Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.

Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.

En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.

La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».

Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.

Vision stratégique et recommandations

Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.

Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ». 

La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.

💥 ;)💥 ;)💥

Google et Amazon auraient accepté, dans un contrat très lucratif avec l’État israélien, un mécanisme pour contourner d’éventuels contrôles d’autres juridictions, selon des documents obtenus par le Guardian.

Si Microsoft a largement fourni l’armée israélienne en cloud et IA, c’est bien ses deux concurrents qui ont obtenu en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Projet qui, au sein de Google, a fait des remous récemment puisque l’entreprise a licencié 28 de ses employés en janvier dernier après des manifestations de salariés dans les locaux.

Pas de restriction selon les conditions d’utilisation des entreprises

Mais Google et Amazon ont accepté des clauses très particulières dans le contrat qu’ils ont signé avec l’État israélien. En effet, selon des documents du ministère des Finances israélien, dont la version finale du contrat, obtenus par le Guardian (dans le cadre d’une enquête avec les média + 972 et Local Call), les deux entreprises auraient accepté de ne jamais restreindre ou révoquer aucun accès d’Israël à leurs plateformes de cloud, même si celui-ci enfreignait leurs conditions d’utilisation.

Selon le quotidien britannique, cette clause aurait été ajoutée car les responsables auraient anticipé la pression d’activistes et d’associations de défense des droits humains ainsi que d’éventuelles décisions judiciaires dans divers pays. Selon un des documents d’analyse du contrat du ministère des Finances israélien obtenu par le Guardian, « le gouvernement est autorisé à utiliser tout service autorisé par la loi israélienne » à condition que le pays n’enfreigne pas de copyright ou ne revende pas les technologies en question.

Un clin d’œil en forme de versement spécial

Mais une autre clause est encore plus étonnante. Les responsables israéliens auraient voulu éviter la mainmise de toute autorité judiciaire européenne ou états-unienne sur les différents systèmes mis en place par Google et Amazon.

Même si les nouveaux datacenters utilisés par Google et Amazon pour le « projet Nimbus » sont sur le sol israélien, ils craignaient des évolutions législatives étrangères qui auraient contraint les deux entreprises à donner accès aux données aux autorités judiciaires en question.

Les deux entreprises sont régulièrement soumises à ce genre de demandes et ne peuvent s’y soustraire. Les responsables israéliens auraient donc imaginé un mécanisme, qualifié de « clin d’œil », qui permet à Google et Amazon d’informer très rapidement Israël d’une telle demande.

Selon les documents obtenus par le Guardian, le signal donné par l’entreprise concernée devrait se faire sous la forme d’une « compensation spéciale » au gouvernement israélien dont le montant serait lié à l’indicatif téléphonique du pays demandeur.

Ainsi, si la compensation est de 1 000 shekels, ce sont les autorités états-uniennes (indicatif téléphonique :+ 1) qui font la demande. Si c’est l’Italie (indicatif téléphonique :+ 39), la somme serait de 3 900 shekels. La somme de 100 000 shekels indiquerait, elle, que l’entreprise ne peut communiquer aucune information sur le pays en question.

Amazon, Google et Israël bottent en touche et nient en bloc

Les deux entreprises n’ont pas voulu répondre spécifiquement aux diverses questions de nos confrères. « Nous avons mis en place un processus mondial rigoureux pour répondre aux demandes légales et contraignantes concernant les données des clients », a affirmé Amazon, ajoutant « Nous n’avons mis en place aucun processus visant à contourner nos obligations de confidentialité concernant les demandes légales et contraignantes ». Google a rétorqué qu’il était « faux » de « laisser entendre que nous étions d’une manière ou d’une autre impliqués dans des activités illégales, ce qui est absurde ».

De son côté, le ministère des Finances israélien nie en bloc : « L’insinuation contenue dans cet article selon laquelle Israël contraindrait les entreprises à enfreindre la loi est sans fondement ».

Présente à la Paris Games Week, l’association MO5.com a profité, jeudi, de ce grand rassemblement dédié au jeu vidéo pour annoncer l’ouverture prochaine de son « Musée National du Jeu Vidéo », qui couvrira des années 50 à l’époque moderne.

C’est à Arcueil, à proximité immédiate du périphérique parisien et de l’A6 que prendra place cet espace d’exposition permanent estimé à 1200 m² dans un premier temps, « pouvant accueillir jusqu’à 200 personnes simultanément et incluant micros-ordinateurs, consoles, bornes d’arcade jouables en libre accès ».

« Le musée sera doté d’un espace restauration, d’un atelier de 200 m² dédié à la préservation et à la recherche, mais aussi d’un atelier d’entretien et de diagnostic permettant au public de faire réparer ses machines (selon une liste prédéfinie) », promet encore l’association dédiée à la conservation du patrimoine vidéoludique.

L’ouverture est programmée à une date comprise entre le 5 et le 15 décembre, avec un musée accessible au public de 14 h à 18 h les mercredis, samedis et dimanches (les autres jours étant réservés aux groupes). Le ticket d’entrée devrait être facturé moins de 10 euros, et l’accès sera gratuit pour les adhérents de l’association, dont les collections étaient déjà stockées dans un local situé à Arcueil.

« À terme, l’association vise le label « Musée de France » qui garantit la protection de la collection et permet des prêts de pièces avec d’autres musées », espère MO5.com, qui promet l’arrivée imminente d’un site web dédié à son musée, et remercie les nombreux partenaires, locaux ou du secteur, qui ont soutenu sa démarche.

Jusqu’ici, l’association exposait principalement ses collections au travers d’expositions temporaires, comme Game Story, organisée entre octobre 2024 et avril 2025 à Versailles. MO5.com milite de longue date pour disposer d’un espace permanent.

Outre ce « Musée National du Jeu Vidéo », la région parisienne devrait par ailleurs s’enorgueillir d’un autre projet, baptisé Odyssée et porté par Tev, un youtubeur spécialisé dans la culture japonaise. Attendu pour 2028, il prévoit qu’un musée du jeu vidéo et un village japonais d’une surface de 11 000 m² soient intégrés à un pôle d’activités dédié au jeu et à la culture pop, à Bussy-Saint-Georges.