Meta isolé

Google a déclaré hier soir qu’elle allait signer le code de bonnes pratiques de l’Union européenne sur l’intelligence artificielle. L’entreprise rejoint ainsi une liste grandissante d’acteurs de l’IA qui se sont engagés à le faire, même si elle ne le font pas sans critique. Sur cette scène, Meta se retrouve isolée.

Dans un court billet publié hier soir, Google a confirmé qu’elle allait finalement signer le code de bonnes pratiques sur l’intelligence artificielle. Elle l’a fait sous la plume de Kent Walker, responsable des affaires mondiales au sein de l’entreprise. Le même Kent Walker avait initialement déclaré que Google ne signerait pas, car le code était trop contraignant.

• IA : La Commission européenne a publié son peu contraignant code de bonne conduite

Que s’est-il passé ? Le responsable laisse entendre que les contributions faites ont été entendues : « nous apprécions l’occasion qui nous a été donnée de soumettre des commentaires ».

« Nous nous joindrons à plusieurs autres entreprises, y compris des fournisseurs de modèles américains, pour signer le Code de pratique de l’IA à usage général de l’Union européenne. Nous le faisons avec l’espoir que ce code, tel qu’il sera appliqué, favorisera l’accès des citoyens et des entreprises européens à des outils d’IA sécurisés et de premier ordre dès qu’ils seront disponibles », affirme l’entreprise.

Les promesses sur l’économie et l’innovation

Kent Walker agite également la carotte d’un boom économique en Europe, en citant une étude selon laquelle l’IA stimulerait l’économie du Vieux continent à hauteur de 8 % d’ici 2034, ce qui représenterait 1 400 milliards d’euros.

La confirmation de la signature ne se fait cependant pas sans critiques. « Nous restons préoccupés par le fait que la loi et le code sur l’IA risquent de ralentir le développement et le déploiement de l’IA en Europe », indique ainsi le responsable. Parmi les dangers qui guettent la bonne application du code selon Google, il y aurait « des dérogations à la législation européenne sur le droit d’auteur, des mesures qui ralentissent les approbations ou des exigences qui exposent des secrets commerciaux ». Autant d’éléments qui pourraient freiner le développement de l’IA en Europe, ce qui nuirait à sa compétitive selon Google.

La firme dit s’engager à travailler avec le Bureau de l’IA « pour veiller à ce que le Code soit proportionné et adapté à l’évolution rapide et dynamique de l’IA ». Elle continuera à être « une voix active en faveur d’une approche favorable à l’innovation qui conduira à des investissements futurs et à une innovation en Europe qui profitera à tous », déclare Google, reprenant les éléments habituels.

Une liste croissante de signataires…

Google n’est que la dernière entreprise à avoir annoncé sa signature. Dans le cas du géant de la recherche, la nouvelle est d’autant plus visible qu’il s’agit d’un retournement de situation, après avoir expliqué tout le mal qu’elle pensait du texte.

Parmi les autres acteurs très visibles ayant signé, l’un des plus récents est Anthropic, qui a annoncé la nouvelle le 21 juillet. Le billet était d’ailleurs plus fourni, la société vantant les mérites du code de bonnes pratiques et surtout sa conception collaborative. La première ébauche du texte avait en effet été suivie d’une période intense au cours de laquelle plus d’un millier de contributions ont été envoyées à la Commission européenne.

Anthropic était particulièrement prolixe sur le sujet, citant la même étude que Google, louant les normes de sécurité flexibles de l’Europe, la nécessité pour cette dernière de rester compétitive, la progression de la recherche scientifique, l’amélioration des services publics, le renforcement de la compétitivité industrielle, etc. L’entreprise, dont les modèles Claude ont largement gagné en popularité, tenait à montrer son statut de bon élève en répétant que les normes de transparence et de sécurité étaient essentielles.

OpenAI, acteur majeur dans le domaine, signera également le code de bonnes pratiques. Dans un billet publié le 11 juillet, l’entreprise disait elle aussi tout le bien qu’elle pensait du code, de son approche participative, toujours avec l’argumentaire sur la compétitivité de l’Europe et la place que l’IA sera amenée à jouer dans son économie. Les intentions de la société sont limpides : « Trop souvent en Europe, la réglementation a été mise à l’honneur. Il est maintenant temps d’inverser la tendance et de profiter de ce moment pour donner aux innovateurs européens les moyens d’innover et aux constructeurs de construire l’avenir de l’Europe ».

… et un Meta isolé

Mistral avait également confirmé à l’Usine Digitale qu’elle signerait elle aussi le code et Microsoft l’a encore fait il y a quelques heures sur LinkedIn. Dans le domaine de l’IA, un acteur majeur se retrouve d’autant plus isolé : Meta. Il y a dix jours, l’entreprise annonçait en effet son intention de ne pas signer. On note que depuis, les annonces autour d’une volonté de signer se sont multipliées chez les concurrents.

« Ce code introduit un certain nombre d’incertitudes juridiques pour les développeurs de modèles, ainsi que des mesures qui vont bien au-delà du champ d’application de la loi sur l’IA », affirmait alors Joel Kaplan, responsable des affaires internationales chez Meta.

Pourtant, comme nous l’indiquions, le code de bonnes pratiques n’est en lui-même guère contraignant. Il semble être presque devenu un argument marketing parmi d’autres. « L’Europe fait fausse route en matière d’IA », affirmait par exemple Joel Kaplan. Mais puisque tous ses concurrents ont annoncé leur intention de signer le texte, la déclaration radicale du responsable résonne désormais étrangement dans le secteur.

Pêche au gros

Le phishing n’a rien à voir avec ce qu’il était il y a encore quelques années. Les e-mails sont désormais bien écrit, sans faute, avec un expéditeur qui semble légitime. Plus que jamais, il est important d’être prudent et de procéder à des vérifications au risque de voir votre argent s’envoler.

Cela fait maintenant 30 ans que le phishing existe, les arnaques du genre n’ont donc rien de nouveau. Pendant des années, les tentatives avaient presque de quoi faire sourire : e-mails bourrés de fautes, phrases qui ne veulent rien dire, images et design plus que douteux, demandes totalement farfelues… Bref, on voyait le pot aux roses à des kilomètres.

Enlarge your phishing avec l’IA générative

Avec l’arrivée massive des intelligences artificielles génératives, les pirates ont changé de braquet. Ils peuvent désormais faire rédiger leurs contenus par les algorithmes, avec des phrases simples, faciles à comprendre et des messages quasiment sans fautes. Bref, de quoi se faire passer pour une communication authentique et tromper toujours plus d’internautes.

Les attaques par phishing sont généralement une forme de pêche au chalut : cibler le plus large possible pour essayer de récupérer un maximum de petits poissons dans le lot. Tout le monde est donc concerné : particuliers comme professionnels. Pour résumer, si vous avez un e-mail, faites attention. Avec les fuites d’e-mails par centaines de milliers, voire par dizaines de millions, les pirates ont de quoi lancer des lignes en masse pour essayer d’attraper des poissons.

Au cours des derniers mois (voire dernières années), nous avons remarqué une hausse sensible de la « qualité » des tentatives d’arnaques. Certaines professions sont plus à risque que d’autres, notamment celles ou vous pouvez recevoir des e-mails de personnes qui ne sont pas du tout dans vos contacts.

L’expéditeur n’est pas une information fiable

C’est le cas des journalistes, des commerciaux, des artisans… Les pirates n’ont pas besoin de chercher bien loin ou de cibler au plus juste : ils visent larges et espèrent tomber sur la « bonne » personne. Une agence immobilière qui change de RIB, un service de stockage en ligne dont la capacité est bientôt atteinte, une plateforme de streaming dont le paiement a échoué, etc. Tout est bon ou presque pour essayer de vous arnaquer.

Vous n’êtes pas abonné ou client au service dont il est question ? Vous ne devriez donc pas tomber dans le panneau. Mais ce n’est pas grave pour les pirates qui spamment en masse pour essayer de faire mouche auprès des personnes potentiellement concernées.

Pendant longtemps, vérifier l’expéditeur était une bonne solution pour trier le bon grain de l’ivraie, mais cela n’a jamais été une méthode sans faille. On ne le répétera jamais assez, mais changer l’expéditeur d’un e-mail, c’est simple comme bonjour ou presque. C’est un champ de texte comme un autre ; ne vous y fiez pas ! Idem sur les informations que des entreprises prétendent connaitre sur vous. Des entreprises laissent parfois fuiter des précisions sur l’historique de vos commandes, en plus de votre e-mail, adresse, numéro de téléphone, etc.

Comment se protéger alors ? En prenant le temps de réfléchir. Lisez attentivement l’e-mail et demandez-vous s’il ne s’agit pas d’une arnaque. Au moindre doute, ne répondez surtout pas, ne cliquez pas, ne contactez pas sur un numéro de téléphone dans l’e-mail, etc.

« Information relative au paiement de votre loyer »

Voici un exemple avec un e-mail reçu par un proche venant prétendument de l’agence de location Orpi. Il est assez représentatif des modèles de mails de phishing en 2025.

Par « chance » pour les pirates, cette personne loue justement un appartement via ce réseau d’agence. Le mail est bien écrit, l’expéditeur semble légitime… du moins si l’on en croit la boite e-mail : « emailinfo@orpi.fr ».

Sans être experte en informatique et en cybersécurité, cette personne est sensibilisée à ces enjeux et s’est posée les bonnes questions. Sans cela, elle aurait pu perdre quelques centaines d’euros.

Réfléchissez, demandez confirmation par téléphone

Un premier gros red flag concerne l’e-mail indiqué dans le corps du message : orpiagenceimmobiliere at outlook.com. Il appartient à un autre domaine qu’Orpi et utilise un service générique (outlook) où tout le monde peut créer une adresse.

Que faire en pareille situation ? Supprimer le message. La fausse adresse en @outlook.com suffit pour partir en courant. Si on plonge davantage dans la partie technique et qu’on regarde les métadonnées, la supercherie est évidente, mais c’est une histoire que nous raconterons une prochaine fois.

Quoi qu’il en soit, si vous avez encore le moindre doute – et cela devrait toujours être le cas pour un changement de RIB –, ne répondez surtout pas. Cherchez le numéro de téléphone de l’entreprise – via un moteur de recherche, un document papier comme votre bail… surtout pas dans un e-mail ou sur un site dont le lien se trouve dans le message – et appelez directement l’entreprise pour avoir confirmation.

Dans le cas présent, si vous répondez à l’e-mail et si vous changez le RIB pour le paiement du loyer, vous allez faire un virement vers un compte géré par le pirate et perdre votre argent. Ce genre d’arnaque au faux RIB existe depuis des années, et continue de faire des victimes. Plus que jamais, la prudence est de mise !

Pour en savoir plus sur le sujet, Cybermalveillance propose une page dédiée pour savoir quoi faire en cas de fraude au virement ou au « faux RIB ».

Le ciel est bleu

Microsoft publie ses résultats annuels, chiffre d’affaires de ses activités cloud et nombre d’utilisateurs actifs de Copilot AI inclus.

C’est la saison des publications de résultats et, pour la première fois, Microsoft partage des informations précise sur son activité de cloud computing Azure. L’entreprise indique que les ventes d’informatique en nuage ont dépassé les 75 milliards de dollars sur un an, dépassant les attentes de 74,62 milliards de dollars. Ses bénéfices nets ont augmenté de 24 % d’une année sur l’autre, pour s’élever à plus de 27 milliards de dollars.

Elle précise aussi que Copilot AI a dépassé les 100 millions d’utilisateurs actifs. Du côté de Gemini, Google indique compter 450 millions d’utilisateurs actifs.

Investissements faramineux dans l’IA

Conséquence de ces résultats tirés par le boom de l’intelligence artificielle, l’entreprise indique prévoir des investissements totaux de 30 milliards de dollars pour le premier trimestre de l’année en cours. Ces dépenses, par ailleurs les plus importantes jamais enregistrées sur un seul trimestre, selon Reuters, pourraient placer Microsoft en tête des Big Tech ayant le plus investi dans le domaine.

Au total, les investissements de Google, Meta et Microsoft dans les centres de données et autres infrastructures nécessaires à l’IA devraient dépasser les 330 milliards de dollars. En parallèle, Microsoft a cherché à faire des économies ailleurs, notamment en licenciant 15 000 personnes sur l’année (dont 9 000 annoncés début juillet).

AWS mène la danse, Azure en challenger

Annoncé en 2008, Azure est disponible depuis le 1er février 2010. En 15 ans d’activité, cela dit, Microsoft n’avait jamais partagé d’informations sur le chiffre d’affaires directement issu de ses activités cloud. Dans le cadre des spéculations sur les retours générés par les investissements dans l’IA, la société vient de faire évoluer cette pratique.

Si les revenus engrangés par les opérations cloud de Microsoft sont plus faibles que celles d’Amazon Web Services – qui a permis à sa maison mère de totaliser 107,56 milliards de dollars l’année passée – les résultats tout juste annoncés permettent de constater que ces activités se traduisent effectivement en ventes supplémentaires. Google reste relativement en retrait comparé à ces deux mastodontes : Google Cloud a de son côté généré 13,6 milliards de dollars sur le dernier trimestre, ce qui représente un chiffre d’affaires annualisé de 54 milliards de dollars.

Sur le seul mois de juin, Microsoft indique que son chiffre d’affaires a bondi de 39 % pendant le trimestre d’avril-mai-juin. L’entreprise indique par ailleurs prévoir une hausse de 37 % sur le trimestre suivant.

• Un quart des projets d’IA produisent le retour sur investissement attendu selon IBM

silence ça pousse

La start-up Germ crée un système d’échanges privés chiffrés de bout en bout appuyé, entre autres, sur le protocole AT qui soutient Bluesky.

Envoyer des messages chiffrés sur un réseau social ? C’est ce que propose Germ, une jeune société qui vient de lancer son service de messagerie chiffrée de bout en bout sur le protocole AT (ATProto) qu’utilise Bluesky.

En pratique, Germ permet aux usagers de la plateforme d’échanger des messages de manière plus sécurisée que ce que la fonctionnalité existante permet. Dans la mesure où l’essentiel de la production de Germ est open source, elle pourrait permettre à Bluesky de développer sa propre fonctionnalité d’échanges privés et chiffrés dans son application.

Lancée en version bêta, l’application n’est pour le moment disponible que sous iOS.

• Bluesky est-il décentralisé ?

Échanger sans numéro de téléphone

Germ a été créé en 2022 par l’écrivaine et ancienne enseignante d’écriture à Stanford Tessa Brown et l’ingénieur spécialisé dans les fonctionnalités de vie privée Mark Xue, qui a travaillé chez Apple sur des produits comme FaceTime ou iMessage. La start-up compte actuellement quatre personnes et a levé des financements auprès de quelques business angels, ainsi que des fonds comme K5 Global et Mozilla Ventures.

Auprès de TechCrunch, la première explique que sa précédente carrière lui a fait prendre conscience de la nécessité de pouvoir échanger « sans se sentir observé ou manipulé tout le temps, comme le font les réseaux sociaux actuellement. »

Le second indique de son côté être parti d’Apple convaincu que les numéros de téléphone et la téléphonie en général étaient une technologie dépassée pour tout ce qui concerne les enjeux de sécurité des communications.

• La communauté scientifique plébiscite Bluesky

MLS et liens magiques

Résultat, Germ fonctionne en permettant à l’utilisateur d’afficher un « lien magique » dans sa bio Bluesky. Si un autre utilisateur du réseau social clique sur le lien (sous iOS), cela lance directement un fil de discussion, sans nécessité de télécharger l’application Germ dans l’App Store. Pour le permettre, Germ s’appuie notamment sur App Clips, une technologie d’Apple qui permet de lancer un morceau de code d’application sans installer le service complet.

Dans et hors de l’application, l’expérience utilisateur est donc relativement simple. En arrière-plan, Germ s’appuie sur le récent standard Messaging Layer Security (MLS) et sur ATProto. Quant au « lien magique », il s’agit d’une clé cryptographique qui permet de confirmer que l’identité de la personne recourant au protocole AT est associée au handle Bluesky correspondant.

Télécharger l’application permet en revanche de paramétrer davantage d’éléments, de choisir si l’internaute accepte des messages de n’importe quel utilisateur Bluesky ou s’il ou elle est le seul à pouvoir initier les fils de discussions, ou encore de bloquer des utilisateurs dans Bluesky ou à travers toutes les applications recourant à ATproto.

Pour développer sa version Android, Germ cherche à lever des financements supplémentaires.

« Pas mal non ? »

Le 25 juillet, le bureau du Premier ministre a émis une circulaire faisant de Tchap l’application de messagerie sécurisée de toute la fonction publique.

L’application Tchap a été lancée en 2019 par la DINUM (Direction Interministérielle du Numérique) pour la fonction publique, dans l’idée de permettre aux agents de l’État de communiquer facilement de manière sécurisée. Le service de messagerie repose sur le protocole Matrix et permet le chiffrement de bout en bout des échanges, de manière décentralisée. Il est mis en avant par le gouvernement comme une solution souveraine, mais est réservé à la fonction publique (chaque administration doit en faire la demande).

Alors que l’application est utilisée aujourd’hui largement, François Bayrou a signé une importante circulaire sur son usage. Il est ainsi demandé à toutes les personnes concernées de s’en servir, au risque de chambouler les cabinets ministériels passés à Olvid.

Une question de souveraineté

La circulaire met surtout en avant la souveraineté, avec plusieurs références à l’utilisation de solutions étrangères pouvant être soumises à des impératifs incompatibles avec la sécurité de l’État.

La circulaire note ainsi que les applications de messagerie grand public (aucun nom n’est donné) sont omniprésentes dans la vie quotidienne. Toutefois, « ces outils numériques ne sont pas dénués de failles de sécurité et ne permettent pas d’apporter toutes les garanties de sécurité en environnement professionnel ».

La circulaire explique que les agents publics « sont exposés à un risque croissant d’interception de leurs communications électroniques, mettant en péril la confidentialité de leurs échanges ». Évoquant la recrudescence des cyberattaques, la circulaire pointe encore les messageries « commerciales dites sécurisées », dont certaines « sont sous l’influence de pays étrangers ». Ces derniers sont « susceptibles de mettre en œuvre des mesures techniques ou juridiques pour accéder aux communications échangées ».

Le bureau du Premier ministre ne cite bien sûr aucun exemple concret, mais les références sont claires, dès lors que la souveraineté devient le sujet. Les États-Unis sont le cas le plus évident, avec des lois comme le Cloud Act et le FISA 702, qui permettent sous certaines conditions (enquêtes criminelles graves notamment) d’exiger la récupération des données détenues par des structures américaines. Amazon a tenté dernièrement de réhabiliter le Cloud Act, dans une communication qui se voulait factuelle, mais floue en pratique.

• La souveraineté en 10 questions (version courte, version longue)

La DINUM doit accélérer

La circulaire demande désormais que Tchap soit utilisée aussi largement que possible. Selon le bureau du Premier ministre, elle est utilisée régulièrement aujourd’hui par 300 000 agents de la fonction publique.

« Conçue pour faciliter les échanges au sein de la sphère publique, elle garantit un chiffrement de bout en bout et est disponible sur mobile ainsi que sur le poste de travail. Son adoption généralisée continue à renforcer la sécurité des informations échangées dans les ministères et les administrations. De plus, Tchap permet l’invitation d’interlocuteurs externes de manière sécurisée, pour favoriser la collaboration avec des partenaires extérieurs », vante ainsi la circulaire.

Sous l’autorité du Premier ministre, la DINUM se voit donc confier trois missions : développer des services pour « favoriser l’usage et l’adoption de Tchap pour les agents de la sphère publique », accompagner l’utilisation de Tchap pour « faciliter son déploiement et son appropriation », et poursuivre les efforts de sécurisation selon les standards de l’ANSSI.

Olvid passe au second plan

On note plusieurs points intéressants. La circulaire est ainsi applicable au 1^er septembre, ce qui ne laisse qu’un mois pour préparer le terrain. De plus, les cabinets ministériels sont spécifiquement cités comme étant concernés par la circulaire, signe d’une volonté d’uniformiser les pratiques.

Il y a également une mention d’Olvid, une autre application française de messagerie sécurisée. On se souvient qu’en novembre 2023, une circulaire émanant d’Elizabeth Borne, alors Première ministre, réclamait de tous les cabinets qu’ils migrent vers Olvid en à peine trois semaines. En aout 2024, quand nous avions de nouveau interrogé Thomas Baignères, CEO d’Olvid, sur les évolutions de la messagerie, il nous avait confirmé qu’une partie des cabinets avait bel et bien migré.

• [Interview] Thomas Baignères : les évolutions d’Olvid depuis la circulaire de Matignon

La nouvelle circulaire remplace officiellement l’ancienne, « relative au déploiement de l’application Olvid sur les téléphones et ordinateurs des membres du Gouvernement et des cabinets ministériels ». Ces derniers pourront continuer d’utiliser Olvid, car l’application « répond également aux objectifs de sécurité susmentionnés ». Toutefois, ils devront privilégier Tchap « dès qu’il s’agit d’échanges avec les administrations de l’État ». Précisons qu’à la différence de Tchap, Olvid n’a pas été spécifiquement conçu pour la fonction publique. Le service est utilisable par tout le monde et propose une formule payante débloquant des capacités supplémentaires, notamment pour les entreprises.

Nous avons contacté Olvid pour obtenir une réaction et mettrons à jour cette actualité en cas de réponse.

Ping @AlertePelleteuz !

L’ANFR a récemment publié une enquête maison dont elle a le secret sur la chasse aux brouilleurs des ondes. Elle est particulièrement longue puisqu’elle s’étale sur plusieurs années. Elle concerne des milliers d’engins de chantier et dépasse largement nos frontières avec des mises à jour partout dans le monde.

En France, les opérateurs de téléphonie mobile « achètent » (à prix d’or) des fréquences pour en avoir un usage exclusif. Lorsque des « passagers clandestins » sont repérés, ils peuvent faire appel à l’Agence nationale des fréquences (ANFR) pour identifier la source des brouillages et y mettre fin.

Épidémie de brouillages

Cette enquête débute en 2022 quand « un opérateur fait remonter à l’ANFR un cas de brouillage de téléphonie et d’internet mobiles en 3G touchant plusieurs bandes de fréquences dans le Maine-et-Loire (49) : 800, 1 800, 2 100 et 2 600 MHz ». Le coupable est rapidement identifié : une grue connectée avec un modem et une carte SIM. Une fois le module éteint, le brouillage disparait sans revenir.

Ce cas n’était que la partie visible de l’iceberg. Rapidement, d’autres cas sont détectés en Loire-Atlantique (44) et en Ille-et-Vilaine (35). L’épidémie se répand sur toute la France : Sarthe (72), Drôme (26), Isère (38), Haute-Savoie (74), Loire (42), Rhône (69), Var (83) et Alpes-Maritimes (06). Point commun : les brouillages proviennent d’engins de chantier.

À chaque fois, la solution est la même pour mettre fin au brouillage : éteindre les modems un à un. Mais ce « n’est pas une solution viable » pour l’ANFR, à cause de l’empreinte nationale et de l’ampleur grandissante du phénomène. Pour l’Agence, « les grues deviennent autant d’épées de Damoclès… », d’autant plus importante que ces engins sont en hauteur et peuvent donc rayonner assez loin.

Les plus attentifs auront certainement remarqué que les bandes de fréquences annoncées (de 800 à 2 600 MHz) ne concernent pas que la 3G, mais également des bandes pour la 4G et la 5G (800 et 2 600 MHz). C’est la faute du modem qui « peut se mettre à faire des sauts de fréquences et toucher une autre bande ».

Les cas se multiplient sur des engins de chantier

« La tendance de 2022 semble se poursuivre en 2023… ». Cette affaire remonte donc à la Direction de Contrôle du spectre de l’ANFR, plus précisément au bureau de contrôle national supervisant le traitement local des brouillages. Le constructeur des engins de chantier est contacté pour trouver une solution.

L’enquête ne laisse pas de place au doute : « il apparaît que l’équipement fautif est un boitier de connexion à distance (modem) installé dans des grues, mais aussi des pelles à câble hydrauliques, des machines de terrassement ». Ce boîtier transmet de nombreuses données sur la localisation et l’exploitation des machines (emplacement, durées de fonctionnement, consommation, maintenance…).

Selon l’ANFR, le fabricant était sceptique : « son matériel est distribué dans le monde entier, pourquoi des problèmes similaires ne se posaient-ils pas dans d’autres pays ou du moins n’étaient pas signalés ? ». Dans le même temps, les cas continuent de se multiplier et l’un d’entre eux va mettre le fabricant dos au mur : un engin flambant neuf – un tombereau – dans l’une de ses agences est à l’origine d’un brouillage. Quelques semaines plus tard, rebelote avec une tractopelle.

L’ANFR exige une solution pérenne

Le fabricant d’engin dispose de « milliers de machines déployées dans toute la France ». L’ANFR a alors « exigé du constructeur qu’il trouve enfin une solution pérenne à ces brouillages récurrents », lui rappelant que ce sont des délits (article L 39 - 1 du code des postes et des communications électroniques), avec une peine pouvant aller jusqu’à 6 mois de prison et 30 000 euros d’amende.

C’est en 2024 qu’une solution est trouvée avec une mise à jour « logicielle pour l’unité télématique ». Un calendrier est proposé afin de garantir « qu’au moins 90 % des machines seront remises en conformité au troisième trimestre 2024 ». Afin de préparer au mieux les Jeux Olympiques et Paralympiques, l’ANFR demande de prioriser les villes accueillant des épreuves.

Durant l’année 2024, le pourcentage des machines traitées augmente progressivement : « déjà 80 % en mai 2024, et 75 % des engins sortant d’usine. Fin juin 2024, nous y sommes : 90 % des machines en France sont traitées ! Début 2025, ce sont désormais 95 % des machines du constructeur qui ont leur boitier mis à jour et ce chiffre est de 98 % pour les grues qui sortent d’usine ». Début 2025, il restait quelques centaines de machines à mettre à jour.

La mise à jour s’exporte à l’international

Désormais, toutes les machines neuves disposent de la nouvelle version du logiciel. Le constructeur a également commencé en 2024 à déployer sa mise à jour sur ses machines « installées à travers le monde, en commençant par l’Europe ». En effet, sans grande surprise, ces brouillages peuvent aussi se produire ailleurs qu’en France.

Mardi soir, Apple a publié une série de mises à jour intermédiaires pour ses plateformes : iOS/iPadOS 18.6, macOS 15.6, watchOS 11.6 et tvOS 18.6. Ces versions n’ont rien de vraiment important à apporter sur le plan fonctionnel, mais elles corrigent divers bugs et soucis de sécurité.

Or, parmi ces derniers, on a appris hier qu’il y avait une faille 0-day. Comme l’indique Bleeping Computer, la vulnérabilité – estampillée CVE-2025-6558 – est critique, avec un score CVSS de 8,8 sur 10. La faille réside dans la validation incorrecte d’une entrée non fiable dans la couche d’abstraction graphique ANGLE (Almost Native Graphics Layer Engine). Cette dernière s’occupe de traiter les commandes GPU et de traduire les appels de l’API OpenGL ES vers d’autres API graphique, selon la plateforme utilisée (Direct3D, Metal, Vulkan ou OpenGL).

Exploitée, la faille permet l’exécution à distance d’un code arbitraire, sans autre intervention de l’utilisateur que l’ouverture d’une page web spécialement conçue. L’exploitation permet d’échapper en partie à la sandbox du navigateur.

La faille a été découverte par deux chercheurs du Threat Analysis Group de Google, Vlad Stolyarov et Clément Lecigne. Résidant dans le moteur ANGLE, on la retrouve donc dans Chrome, dans lequel elle a été corrigée le 15 juillet par Google. La société, dans un bulletin de sécurité, a d’ailleurs confirmé que la faille était déjà exploitée.

De son côté, Apple donne peu de détails, se contentant d’indiquer que « le traitement d’un contenu Web malveillant peut entraîner un blocage inattendu de Safari ».

La faille étant activement exploitée, il est recommandé de mettre à jour les appareils aussi rapidement que possible.

Hier, les deux opérateurs ont officialisé une rumeur persistante : « Bouygues Telecom et SFR entrent en négociations exclusives avec Phoenix Tower International en vue de lui céder 100 % du capital et des droits de vote de la société Infracos ».

Infracos a été créé en 2014. Cette société est détenue à 50 % à Bouygues Telecom et à 50 % par SFR. Son but : mettre en œuvre l’accord de mutualisation Crozon, « permettant le déploiement et l’exploitation de sites radios mutualisés en zone moins dense ». Infracos détient actuellement « 3 700 sites dont elle est propriétaire des baux et des infrastructures passives ».

• Le partage de réseau entre Bouygues Telecom et SFR (Crozon) s’étend à la 5G

L’opération est soumise à l’approbation des autorités compétentes (notamment l’Arcep, le régulateur des télécoms) et devrait être finalisée d’ici à la fin de l’année. Cette vente devrait rapporter entre 300 et 350 millions d’euros à Bouygues Telecom (et donc autant à SFR, qui est en difficulté financière), ce qui valorise Infracos entre 600 et 700 millions d’euros.

Il y a deux ans, Phoenix Tower International annonçait « deux transactions concernant 1 978 sites stratégiquement situés dans des zones urbaines très denses à travers la France ». Les deux mêmes opérateurs étaient à la manœuvre : 1 226 sites pour SFR et 752 sites pour Bouygues Telecom.

En août dernier, Phoenix Tower International signait un accord avec Iliad. Il concernait l’Italie cette fois, avec « le développement de jusqu’à 1 900 nouveaux sites de télécommunications dans des zones densément et moyennement densément peuplées, ce qui permettra d’étendre et de densifier le réseau mobile 4G/5G de haute qualité d’Iliad ».

Hier, Palo Alto Networks annonçait par le biais d’un communiqué de presse la signature d’un accord définitif sur cette vente. Comme toujours, il est soumis à l’approbation des autorités compétentes.

« Selon les termes de l’accord, les actionnaires de CyberArk recevront 45 dollars en espèces et 2,2005 actions ordinaires de Palo Alto Networks pour chaque action CyberArk ». Cela représente une valeur nette de 25 milliards de dollars environ pour CyberArk, selon Palo Alto Networks.

CyberArk se présente comme le « leader de la sécurité des identités et de la gestion des accès ». La société revendique plus de 10 000 organisations dans ses clients. Sa promesse : « permettre l’accès sécurisé de toute identité, humaine ou machine, à tout environnement ou ressource, à partir de n’importe où et de n’importe quel appareil ». L’entreprise surfe évidemment sur la vague des agents d’IA.

Cette transaction a été approuvée à l’unanimité par les conseils d’administration de Palo Alto Networks et de CyberArk. Elle devrait être finalisée durant le second semestre fiscal de Palo Alto Networks. En bourse, l’action a perdu plus de 5 % après cette annonce.

En mars de cette année, Google annonçait le rachat d’une autre société spécialisée dans la cybersécurité : Wiz, pour 32 milliards de dollars.

Du plomb dans l'Online Safety Act

Alors que l’Online Safety Act est entré en vigueur le 25 juillet, l’usage de VPN a bondi au Royaume-Uni, et plus de 420 000 personnes appellent le Parlement à abroger le texte.

Depuis le 25 juillet, de nombreuses plateformes sociales et des sites pornographiques sont obligés de vérifier l’âge des internautes qui les visitent au Royaume-Uni. L’évolution est une conséquence de l’entrée en vigueur de l’Online Safety Act, un texte censé protéger les plus jeunes, mais extrêmement critiqué pour ses implications en termes de protection de données sensibles et de liberté d’expression.

• La pression sur le chiffrement s’accroît en Europe

Pour s’adapter, beaucoup des plateformes concernées se sont associées à des services tiers dont la mission consiste à vérifier l’âge des internautes, souvent via la vérification d’informations bancaires, de documents officiels comme une carte d’identité, ou de selfies traités par IA pour estimer l’âge de leurs auteurs.

Fonctionnalités et sous-forums suspendus

En l’occurrence, certains internautes qui n’accepteraient pas de se plier à l’obligation de faire vérifier leur âge voient leur navigation bousculée sur les plateformes qui ont pris des mesures préventives pour s’éviter d’éventuelles amendes.

Ainsi de Reddit, où les sous-forums r/periods (« menstruations »), r/stopsmoking (« arrêter de fumer »), r/stopdrinking (« arrêter de boire »), and r/sexualassault (« agression sexuelle ») ont été rendus inaccessibles pour celles et ceux qui refuseraient de passer par son processus de vérification d’âge. Permettant aux internautes concernés d’échanger et de cultiver l’entraide, ces espaces sont habituellement très populaires. Dans une logique similaire, les utilisateurs de Bluesky ne peuvent plus recourir à la fonctionnalité de messages privés tant qu’ils ne renseignent pas leur âge.

Du côté de X, l’âge est estimé en fonction d’informations passées, comme la date de création du compte, ses connexions sociales, l’adresse mail, etc. Ceux qui ne pourraient se reposer sur ce type d’information sont pour le moment bloqués hors de la plateforme, relève the Verge, le temps que celle-ci déploie son outil de vérification de l’âge via carte d’identité ou selfie. Problème : des usagers situés hors du Royaume-Uni se voient eux aussi affectés par ces difficultés.

VPN et pétition

En dehors de ces plateformes sociales, de nombreux sites liés ou non à des sujets sensibles, dont la diffusion de pornographie, ont purement et simplement opté pour le géoblocage du Royaume-Uni. Pour les plus petits d’entre eux, il est trop complexe et trop cher de chercher à se conformer à la nouvelle réglementation.

De gros acteurs à but non lucratif, dont la fondation Wikimedia, qui soutient Wikipedia, argumentent dans le même sens – sans suspendre l’accès à l’encyclopédie. Cette dernière soulignait le 17 juillet que les nouvelles mesures mettaient en danger la vie privée des contributeurs volontaires, donc risquaient de les exposer à davantage de manipulations ou de violence en ligne.

Pour faire face, nombreux sont les internautes qui se tournent vers des VPN (réseaux privés virtuels), ou d’autres solutions plus créatives… comme le recours à une photo d’un personnage du jeu Death Standing. Auprès de The Verge, le directeur général de Proton indique que l’entreprise suisse a enregistré une augmentation de 1 800 % des créations de nouveaux comptes en provenance du Royaume-Uni depuis le 25 juillet. Sur l’App Store d’Apple, de même, la moitié des dix applications gratuites les plus téléchargées étaient des VPN le 28 juillet au matin.

Mais l’agacement est tel que la population britannique s’est aussi tournée vers l’outil d’une pétition au Parlement. Créé par le londonien Alex Baynham, le texte, qui appelle à abroger l’Online Safety Act, a dépassé les 420 000 signatures à l’heure d’écrire ces lignes. Le Parlement britannique doit envisager de soumettre les pétitions à débat à partir du moment où elles dépassent les 100 000 signatures.

Cauchemar en infrastructure

Depuis le début de la semaine, la Russie est frappée par d’importantes cyberattaques, qui ont notamment affecté la principale compagnie aérienne du pays. Une partie de ces attaques est revendiquée par un groupe de pirates pro-Ukraine.

Depuis lundi, la Russie semble être sous le feu nourri de cyberattaques majeures. Elles ont commencé dans la nuit du 27 au 28 juillet, avec une attaque centrée sur la compagnie Aeroflot.

Dans un message sur Telegram, publié le 28 juillet et toujours en ligne à l’heure où nous écrivons ces lignes, le groupe de pirates Silent Crow, connu pour ses activités pro-Ukraine, a revendiqué l’attaque. Il évoque une « longue opération de grande envergure » ayant abouti « à la compromission et à la destruction totale de l’infrastructure informatique interne d’Aeroflot ».

7 000 serveurs auraient été détruits

Les pirates indiquent avoir infiltré le réseau de l’entreprise pendant un an, période pendant laquelle ils auraient patiemment développé leurs accès, jusqu’à s’enfoncer « au cœur même de l’infrastructure ». 

Cette longue préparation leur aurait permis de télécharger la totalité des bases de données historiques des vols, de compromettre tous les systèmes critiques de l’entreprise (« CREW, Sabre, SharePoint, Exchange, CASUD, Sirax, CRM, ERP, 1C, DLP et autres »), de prendre le contrôle des ordinateurs personnels des employés et de la direction, de copier les données des serveurs d’écoute (dont les enregistrements audio des conversations téléphoniques et interceptées), et d’extraire les données des systèmes de surveillance et de contrôle du personnel.

Silent Crow revendique l’accès à 122 hyperviseurs, 43 installations de virtualisation ZVIRT, une centaine d’interfaces iLO pour la gestion des serveurs et de quatre clusters Proxmox. Les pirates affirment qu’au total, 7 000 serveurs physiques et virtuels auraient été détruits. La masse des données récupérées représenterait 12 To en bases de données, 8 To en fichiers Windows Share et 2 To d’e-mails. Ces données seraient, pour Aeroflot, détruites ou inaccessibles.

Des revendications claires

« À l’attention du FSB, du NKZKI, de RT-Solar et des autres soi-disant « cyberdéfenseurs » : vous n’êtes même pas capables de protéger vos infrastructures clés. À l’attention de tous les employés de l’appareil répressif : votre sécurité numérique est insignifiante et vous êtes vous-mêmes sous surveillance depuis longtemps », déclarent les pirates. Ils ajoutent que la publication d’une partie des informations commencera bientôt. Ils assurent également être en possession des données personnelles de la totalité des clients ayant déjà voyagé avec Aeroflot.

L’opération a été menée en partenariat avec un autre groupe, nommé Cyber Partisans, a priori issu de Biélorussie. « Nous aidons les Ukrainiens dans leur lutte contre l’occupant, paralysons la plus grande compagnie aérienne de la Fédération de Russie et lui infligeons des pertes financières colossales », revendique le groupe biélorusse dans un message publié sur Telegram également, transféré dans le canal des annonces de Silent Crow. « Le sort d’Aeroflot peut être partagé par toute entreprise ou organisation sur le territoire de la Fédération de Russie et de la République de Biélorussie travaillant pour la dictature du Kremlin », a ajouté Cyber Partisans.

Cyber Partisans a fourni sur son site des détails de l’attaque. Le groupe s’amuse des pratiques de sécurité présumées au sein d’Aeroflot. L’entreprise se servirait encore de Windows XP et Server 2003 dans une partie au moins de son infrastructure, ce qui aurait accéléré sa chute. Sergey Alexandrovsky, PDG d’Aeroflot, n’aurait pas changé son mot de passe depuis 2022.

Conséquences très concrètes

Selon diverses sources, notamment le New York Times, les conséquences de l’attaque se seraient vite fait sentir. Sur la seule journée de lundi, 56 allers-retours auraient été annulés par Aeroflot à l’aéroport international de Cheremetievo près de Moscou, le plus grand du pays.

Aeroflot a confirmé une panne d’ampleur, annonçant par la même occasion que le remboursement des billets n’était plus disponible, le piratage ayant entrainé la défaillance des systèmes concernés.

Lundi après-midi, le bureau du Procureur général de Russie publiait un communiqué confirmant qu’environ 60 vols avaient déjà été annulés et 80 bloqués. Le bureau annonçait la « prise de contrôle de la situation à l’aéroport de Cheremetievo » par Procureur interrégional des transports de Moscou. L’attaque informatique a été confirmée, sans donner plus de détails. Un numéro a été mis à disposition des usagers et une enquête criminelle a été ouverte pour accès illégal à des données informatiques.

Hier, mardi 29 juillet, des dizaines d’autres vols ont été annulés, selon Reuters. Aeroflot affirme avoir « stabilisé » son programme de vol. « Grâce aux efforts des employés d’Aeroflot, avec le soutien actif des services de Cheremetievo, le problème qui s’est posé a été résolu dans les plus brefs délais », a de son côté déclaré le ministère russe des Transports.

Une situation sur laquelle a ironisé Yuliana Shemetovets, porte-parole des Cyber Partisans, qui s’est exprimée auprès de Reuters : « Sans systèmes informatiques, l’entreprise peut travailler manuellement comme à l’époque où les billets d’avion coûtaient plus de 1 000 dollars. Ce serait tout simplement non rentable, ce qui signifie que l’entreprise continuerait à subir des pertes juste pour sauver la face ».

L’attaque semble également avoir provoqué un sursaut en Russie, des membres de la Douma ayant évoqué un « signal d’alarme ». Dmitri Peskov, porte-parole du Kremlin, a qualifié l’attaque « d’inquiétante », se faisant l’écho des inquiétudes croissantes autour des vulnérabilités informatiques dans les infrastructures du pays, rapporte Newsweek.

900 pharmacies fermées

Hier, on apprenait aussi que la société Stolichki, qui dispose de 900 pharmacies dans Moscou et sa région, était touchée par un piratage informatique. L’information n’a pour l’instant pas été confirmée officiellement par l’entreprise, mais des sources affirment qu’une partie des pharmacies sont fermées et que les commandes en ligne sont impossibles. Stolichki se contenterait d’évoquer une panne informatique, sans plus de détails, selon Newsweek également, citant le média Rain.

Selon ce dernier, d’autres cyberattaques ont eu lieu au cours des dernières 48 heures, notamment contre l’entreprise Neofarm et la clinique Semeiny Doktor, mais les détails manquent.

Pour rappel, ce lundi, Donald Trump accentuait sa pression sur Vladimir Poutine : « le président américain a donné « 10 ou 12 jours » à son homologue russe pour mettre fin au conflit en Ukraine, sous peine de sévères sanctions », indique l’AFP.

Après avoir débauché des ingénieurs chez Apple, Google et OpenAI, Mark Zuckerberg continue ses tentatives d’embauches pour doter son Meta Superintelligence Lab.

Cette fois-ci, c’est le Thinking Machines Lab, start-up d’une cinquantaine de personnes fondée en 2024 par Mira Murati, l’ancienne directrice technique d’OpenAI, qui a été visé par le patron de Meta.

• Karen Hao : « Les empires de l’IA étouffent l’innovation »


Plus d’une dizaine de personnes auraient ainsi été approchées, et l’une d’entre elles se serait vu proposer plus d’un milliard de dollars sur une période de plusieurs années pour rejoindre le nouveau laboratoire de Meta, d’après Wired.

La plupart des autres offres varieraient entre 200 et 500 millions de dollars sur quatre ans.

À l’heure actuelle, aucune des personnes approchées chez Thinking Machines Lab n’a saisi la perche.

La start-up est, après tout, elle-même bien dotée : elle vient de conclure le plus gros tour de financement de lancement (seed) de l’histoire, collectant 2 milliards de dollars.

• M-C Naves : Mark Zuckerberg, ou le « capitalisme qui estime n’avoir aucun compte à rendre »

Dans un effort de recentrage sur ses produits principaux, Dropbox annonce que son gestionnaire de mots de passe sera bientôt déconnecté.

Le calendrier présenté est assez serré. Le 28 août, Dropbox Passwords passera ainsi en lecture seule, que ce soit pour l’application mobile ou l’extension de navigateur. Il sera donc toujours possible d’utiliser le service, mais pas d’y ajouter de nouvelles données. Ensuite, le 11 septembre, l’application mobile cessera de fonctionner. Enfin, le 28 octobre, ce sera au tour de l’extension de navigateur. À compter de cette date, Dropbox Passwords ne pourra plus être utilisé.

L’éditeur indique qu’à la même date, toutes les données des clients « seront supprimées de manière permanente et sécurisée » de ses serveurs. La fonction de surveillance du dark web sera également coupée. Elle était notamment utilisée pour envoyer des notifications quand des identifiants étaient repérés dans des jeux de données.

Il est conseillé par l’entreprise d’exporter ses données vers un autre gestionnaire de mots de passe, via un fichier CSV, avant le 28 octobre. La marche à suivre est indiquée dans l’annonce.

Opera ? Não, samba !

Opera vient d’attaquer Microsoft en justice au Brésil. Pour l’entreprise, le géant de Redmond abuse de sa position pour imposer Edge, notamment à travers des tactiques qualifiées de « dark patterns ».

La plainte a été déposée devant le Conseil Administratif de Défense Économique. Opera affirme que la pré-installation d’Edge au sein de Windows est un problème. Les contrats de Microsoft avec les fabricants OEM permettraient de pousser Edge comme navigateur par défaut et de verrouiller le marché, ne laissant pas de place aux autres navigateurs.

Pré-installation et dark patterns

Cette pré-installation exclusive s’accompagnerait de tactiques visant à faire utiliser Edge coûte que coûte. De nombreux mécanismes dans Windows 11 envoient par défaut vers Edge, même quand un autre navigateur est installé. L’ouverture de documents PDF par exemple, les liens dans Outlook et Teams, les informations dans les widgets, les liens dans la recherche, etc.

Dans sa plainte, consultée par The Verge, Opera évoque également « des bannières et des messages intrusifs décourageant les utilisateurs de télécharger des navigateurs alternatifs au moment même où ils recherchent ces navigateurs sur Edge ».

« Microsoft contrecarre la concurrence des navigateurs sur Windows à chaque tournant. Tout d’abord, les navigateurs comme Opera sont bloqués pour d’importantes possibilités de pré-installation. Et puis Microsoft frustre la capacité des utilisateurs à télécharger et à utiliser des navigateurs alternatifs », a indiqué Aaron McParlan, avocat général d’Opera, à Reuters. En conséquence, Opera demande l’ouverture d’une enquête officielle contre Microsoft et des exigences de concurrence loyale.

Du Brésil à l’Europe

Pourquoi une plainte au Brésil ? Parce qu’Opera y a une présence nettement plus importante que dans les autres marchés. Selon StatCounter, la part d’Opera y est ainsi de 6,78 %, contre 11,52 % pour Edge et 75 % pour Chrome, très loin devant.

En Europe, Opera s’était insurgé contre le refus de la Commission européenne de nommer Edge dans sa liste des contrôleurs d’accès (gatekeepers), dans le cadre du DMA (Digital Markets Act). Même sans cela, Microsoft a introduit sur le Vieux continent de nombreux changements dans Windows, notamment en lien avec Edge, car le système est en revanche sur la liste de surveillance. Par exemple, les fonctions internes du système, comme la recherche et les widgets, renvoient vers le navigateur par défaut. Ce comportement n’est cependant pas répercuté dans la plupart des marchés.

• Que va changer le Digital Markets Act en pratique ?

Opera n’en a toutefois pas fini avec l’Europe : « Nous pensons que le comportement de Microsoft, y compris les changements qu’il a annoncés en Europe, est insuffisant pour atteindre une conformité effective avec le DMA, a déclaré Aaron McParlan. Dans ce contexte, et dans le cadre de ses efforts mondiaux pour garantir un choix libre et effectif aux consommateurs, Opera a fait appel devant les tribunaux de l’UE de la décision de la Commission européenne de ne pas désigner Edge comme un service de « contrôleur d’accès » en vertu du DMA. »

L’Australie continue sa campagne de régulation des réseaux sociaux : après avoir planché sur un texte limitant l’accès aux réseaux sociaux comme X, TikTok ou Facebook aux moins de 16 ans, son gouvernement s’intéresse désormais à YouTube.

En l’occurrence, la ministre de la communication Anika Wells indique que le gouvernement australien compte interdire l’accès à YouTube aux moins de 16 ans pour les protéger des « algorithmes prédateurs ».

« Il y a une place pour les réseaux sociaux, mais il n’y a pas de place pour les algorithmes prédateurs ciblant les enfants », indique-t-elle dans un communiqué, où elle souligne que deux enfants sur cinq déclarent avoir vu des contenus inappropriés sur la plateforme d’Alphabet.

Le projet constitue une évolution de doctrine, dans la mesure où YouTube ne devait pas être concerné par la régulation australienne sur les réseaux sociaux.

À l’origine, le gouvernement avait estimé que la plateforme, très utilisée dans les écoles, ne devait pas faire partie du lot des services dont l’accès serait limité aux mineurs.

Poussé par un nombre croissant de gouvernements à améliorer la protection de ses internautes mineurs, YouTube commence ces jours-ci à tester un outil de machine learning pour vérifier l’âge de certains utilisateurs et utilisatrices.

D’après Engadget, ce test reste pour le moment cantonné à une sous-section de ses usagers états-uniens.

Visé par une cyberattaque le 16 juillet 2025, Allianz Life indique à TechCrunch que les données personnelles d’une « majorité » de ses clients états-uniens ont fuité.

L’attaque a été opérée par l’intermédiaire d’un système de gestion client (CRM) tiers.

D’après un représentant de l’entreprise, elle a permis, « par des techniques d’ingénierie sociale », d’obtenir l’accès à des informations personnelles de clients particuliers, financiers et professionnels d’Allianz Life, ainsi que de certains employés de l’assureur.

La filiale nord-américaine de l’assureur allemand compte 1,4 million de clients – Allianz en compte 125 millions à travers la planète.

La société est la dernière d’une liste croissante d’acteurs de l’assurance visés ces derniers mois par des cyberattaques. D’après des chercheurs de Google en juin, plusieurs de ces opérations portent les marques du collectif de hacker Scattered Spider.

Thé renversé

Forte d’un succès fulgurant aux États-Unis, l’application Tea a été victime d’un double piratage.

Le projet a été créé avec une promesse apparemment simple : permettre aux femmes hétérosexuelles de faire des rencontres « en toute sécurité », selon la communication de l’application, en s’échangeant des informations sur les hommes qu’elles ont rencontrés ou s’apprêtent à rencontrer.

Si l’application a bientôt deux ans, elle s’est félicitée fin juillet d’avoir dépassé les quatre millions d’utilisatrices (aux États-Unis : Tea n’est pas disponible en France). Et s’est attirée au passage la colère de nombreux hommes en ligne, peu ravis de se voir accolés des « red flags » (drapeaux rouges, signe de danger) ou des « green flags » (drapeaux verts) sur une application à laquelle ils n’avaient pas accès.

La controverse aurait pu s’arrêter là, sur fond de débat post-#MeToo sur les attentes de femmes et des hommes lorsqu’elles et ils recourent à des applications de rencontre et les risques que chacun encourt. Sauf que Tea a été victime d’un double piratage, dans lesquels 72 000 images, dont une large proportion servait à l’identification des utilisatrices, et des messages privés, ont fuité. Une faille de sécurité susceptible de mettre certaines internautes en danger.

Échanger des informations sur de potentiels partenaires

Créée en 2023 par l’entrepreneur états-unien et ancien employé de Salesforce Sean Cook, le projet affiché de Tea est de fournir aux femmes un outil qui leur permette « de faire des rencontres en toute sécurité dans un monde qui oublie généralement de se préoccuper de leur protection ». Sean Cook affirme en avoir eu l’idée après avoir suivi les déboires de sa mère, victime d’arnaques et qui aurait rencontré des hommes aux casiers judiciaires remplis.

Pour s’inscrire à Tea, l’application – réservée aux femmes – demande à ses utilisatrices de lui fournir un selfie. Une fois leurs accès créés, ces dernières peuvent s’échanger des informations sur les hommes qu’elles ont rencontrés, ou qu’elles s’apprêtent à rejoindre. En pratique, chacune peut poster les photos d’un homme pour partager ses informations sur lui – a-t-il un passé judiciaire ? Est-il marié ? Fréquente-t-il plusieurs femmes à la fois ? – ou en demander aux autres internautes.

Une fois la photo en ligne, chacune peut ajouter ses commentaires, un drapeau rouge ou un drapeau vert. Autre fonctionnalité : Tea permet aux utilisatrices de repérer les « catfishers », ou arnaqueurs, qui s’approprient les photos d’autres hommes et se font passer pour eux.

Double piratage

Fin juillet, aux États-Unis, le nombre d’usagères de Tea s’est envolé, entraîné par une polémique sur son fonctionnement et l’alimentant. Sur Reddit, des internautes s’alertent sur le fait que Tea puisse être utilisé pour diffuser de fausses informations, et appellent à la suppression de l’application. En parallèle, l’application se hisse au sommet des applications gratuites les plus téléchargées sur l’App Store d’Apple aux États-Unis.

Surtout, Tea est visée par un double piratage. 72 000 images stockées dans l’application en ont été exfiltrées avant d’être postées sur 4chan, rapporte 404 media. Dans le lot, 13 000 selfies et images de cartes d’identité d’utilisatrices, toutes inscrites avant février 2024, d’après Tea. L’entreprise a précisé que ces images ne pouvaient « en aucun cas être liées à des publications dans Tea », théoriquement publiées anonymement.

Problème : 404 media rapporte une deuxième faille, grâce à laquelle les hackers auraient pu accéder aux conversations privées. En jeu : des discussions relatives à des avortements – interdits dans plusieurs États américains –, le fait de tromper son partenaire, ou encore des échanges de numéros de téléphone en clair.

D’après les informations collectées par le chercheur indépendant Kasra Rahjerdi, plus de 1,1 million de messages publiés jusqu’à la semaine passée ont ainsi été accessibles. D’après 404 media, ces éléments sont suffisamment précis pour rendre leurs autrices – dont certaines découvrent qu’elles fréquentent le même homme, ou d’autres se signalent la présence d’un époux ou d’une épouse sur la plateforme – très simplement identifiables.

Alors que revoilà l'organisation de voyages

En préparation depuis des mois, le mode Copilot est désormais disponible dans la version stable du navigateur, sous forme expérimentale d’abord. Optionnelle, la fonction doit permettre de mieux lutter contre une concurrence qui s’intensifie dans le domaine des navigateurs.

Microsoft doit avancer rapidement sur le terrain de la navigation, car les concurrents s’organisent. On savait que l’éditeur préparait depuis des mois un mode Copilot plus intégré dans son navigateur Edge. Il fallait bien que l’entreprise réagisse, face à un Google qui va faire de même dans Chrome avec Gemini, avec la force de frappe qu’on imagine. Perplexity prépare également son Comet, actuellement en bêta privée.

Une fonction optionnelle et classique dans sa forme

Depuis hier soir, Copilot est ainsi disponible sous forme expérimentale dans tous les canaux de distribution d’Edge, dont la version stable, mais uniquement sur Windows et Mac pour l’instant. On peut soit se rendre sur une page dédiée pour activer la fonction et suivre une courte présentation des possibilités, soit aller dans les options du navigateur, puis dans la section « Innovations de d’IA » (sic). Le mode Copilot est présenté comme une « fonctionnalité entièrement opt-in », Microsoft ayant été échaudé par certaines affaires, dont Recall.

Que peut-on faire avec ce mode ? À peu près tout ce que l’on attend de ce type de fonction. On peut ainsi poser des questions sur l’onglet en cours, sur un groupe d’onglets et jusqu’à l’intégralité des pages ouvertes (si l’autorisation est donnée). On peut ainsi demander des comparaisons, des synthèses d’informations, des recommandations basées sur différentes actions, etc. L’éternel exemple de l’organisation d’un voyage est de retour. On note que tout n’est pas encore prêt pour les autres langues que l’anglais, une partie des informations n’étant pas traduite dans l’interface et la présentation.

Un mode vocal est présent, mais nous n’avons pas réussi à le faire fonctionner. De même, une fois activé, le mode Copilot est censé afficher un bouton d’accès à gauche de la barre d’adresse. Une zone plus pratique que ce qui a été tenté jusqu’à présent, et dont l’action ouvre un panneau flottant, plus discret que les gros panneaux latéraux ancrés que Microsoft avait proposés. Dans notre cas, ce bouton n’est pas apparu.

Bientôt un accès optionnel à l’historique

La fonction devrait rapidement s’enrichir, selon Microsoft. On pourra donner ainsi l’autorisation à Copilot d’accéder à des données supplémentaires si besoin, dont l’historique et les informations d’identification. À la clé, des actions « plus avancées et plus transparentes, comme réserver des places ou gérer des courses en votre nom ».

L’entreprise donne l’exemple d’une personne cherchant à faire du paddle proche de son lieu de travail. Copilot tâche alors de trouver la meilleure option, vérifie la météo, peut gérer la réservation, suggère de la crème solaire et cherche des tutos vidéo pour préparer la session. Du moins en théorie, selon Microsoft.

Toujours dans les développements prévus, la fonction devrait bientôt tenir davantage compte du contexte sur des périodes plus prolongées, pour aider à reprendre là où les internautes se sont arrêtés. Microsoft insiste largement sur la dimension confidentialité, répétant notamment que certaines fonctions ne pourront donner des résultats que si l’accès à l’historique de navigation est accordé. Accès qui peut être coupé quand on le souhaite, réitère l’entreprise.

Des données traitées à distance

En revanche, sur la manipulation des données, il n’y a pas de mystère : elles sont traitées sur les serveurs de l’entreprise. Au vu des fonctions fournies, on se doutait bien que le traitement n’était pas local, d’autant qu’une telle opération aurait probablement été réservée aux PC Copilot+, avec la garantie de disposant d’un NPU assez puissant. Pas le temps d’attendre que ces machines se démocratisent de toute façon : la réponse aux concurrents ne peut pas être circonscrite à un nombre limité de machines.

Microsoft devrait procéder à d’autres annonces dans les prochains mois, la disponibilité de l’IA dans le navigateur étant le prochain grand champ de bataille, avec l’arrivée progressive des agents autonomes.

Anthropic dit avoir enregistré une croissance significative dans l’utilisation de ses modèles Claude, tout particulièrement à travers Claude Code, son assistant d’aide au développement. Certains utilisateurs abuseraient cependant de leurs abonnements. Une personne aurait ainsi utilisé sa formule Max (200 dollars par mois) pour faire fonctionner Code durant des centaines de milliers d’heures.

• Anthropic présente ses modèles Claude Opus 4 et Sonnet 4, nouvelles stars du développement

La société affirme que ces comportements ont un impact sur la qualité de service pour l’ensemble des utilisateurs. En conséquence, elle introduit de nouvelles limites hebdomadaires, qui entreront en application le 28 août et viendront s’ajouter à l’actuelle limite de 5 heures par jour :

• Abonnement Pro (18 euros par mois) : de 40 à 80 heures d’utilisation avec Claude Sonnet 4
• Abonnement Max (90 euros par mois) : de 140 à 280 heures d’utilisation avec Sonnet 4 et de 15 à 35 heures avec Opus 4
• Abonnement Max (180 euros par mois) : de 240 à 480 heures d’utilisation avec Sonnet 4 et 24 à 40 heures avec Opus 4

Anthropic assure que l’immense majorité des personnes abonnées ne verront aucune différence dans leur utilisation quotidienne. Ce changement serait destiné uniquement à contrer certains comportements abusifs, comme les partages de comptes et les utilisations continues 24/7. Selon l’entreprise, moins de 5 % des abonnés seraient affectés par ces changements.

Il est difficile cependant de se rendre compte de ce que ces limites impliquent vraiment, car la société communiquait surtout sur une base de jetons jusqu’à présent. La formule Max à 180 euros par mois est sensée par exemple permettre 20 fois plus d’utilisation que l’abonnement Pro. Mais si on ramène la comparaison sur les heures annoncées, le facteur n’est plus que de 6.

Anthropic contacte actuellement toutes les personnes ayant un abonnement pour les avertir du changement. L’entreprise se dit prête à recevoir les retours sur ce dernier.

« Ça ne marchera jamais »

Après Signal, d’autres outils ont décidé de bloquer par défaut la fonction de Microsoft, citant des questions de confidentialité des données. Bien que les navigateurs aient certaines latitudes, la situation souligne l’absence d’une API centralisée pour manipuler Recall.

La fonction Recall de Microsoft n’a pas fini de faire parler d’elle. Elle sera normalement déployée dès cet automne en version finale sur l’ensemble des ordinateurs compatibles. Liste qui se limite aux machines estampillées Copilot+ et disposant donc d’un NPU suffisamment puissant.

Si Recall provoque autant de réactions, c’est qu’elle prend régulièrement des captures d’écran pour analyser leur contenu. Objectif : permettre de retrouver à peu près tout et n’importe quoi, comme un gigantesque historique de tout ce que l’on a fait sur un PC.

Signal, premier à dégainer

Rapidement, de nombreuses critiques s’étaient élevées pour dénoncer le cauchemar que représentait Recall pour la vie privée. Au point que Microsoft était reparti sur sa planche à dessin et avait profondément revu son fonctionnement, chiffrant tout le contenu, réclamant une authentification pour l’accès et faisant de Recall une fonction opt-in, désactivée par défaut.

En mai, la fondation Signal annonçait que le client Windows de son service de messagerie bloquait désormais par défaut Recall. Ces derniers jours, d’autres ont fait de même.

Brave et AdGuard s’y mettent

Le navigateur tout d’abord, qui a annoncé lui aussi un blocage par défaut le 22 juillet. À ceci près que dans son cas, le changement était beaucoup plus simple. Le mécanisme de Microsoft se coupe automatiquement quand une fenêtre de navigation privée d’un navigateur est affichée. Là où Signal avait dû « bricoler » une solution complète, allant jusqu’à couper complètement la possibilité de prendre des captures, Brave a modifié son navigateur pour que toutes les fenêtres soient considérées comme privées.

L’éditeur ne cherche d’ailleurs pas à s’en cacher, indiquant avoir été « partiellement inspiré » par le travail réalisé par Signal.

AdGuard, qui fait du blocage de certaines fonctions peu vertueuses sur la vie privée son fonds de commerce, a également annoncé du neuf pour Recall. Dans la dernière révision de l’outil, une option a été ajoutée pour bloquer la fonction. Un ajout étrange cependant, puisque Recall n’est pas actif à moins d’avoir été spécifiquement été autorisé (Windows pose la question dans son assistant de première configuration sur les machines compatibles).

Optionnelle et désinstallable, mais sans vraie API

Rappelons que dans la version que Microsoft s’apprête à distribuer plus largement, Recall est une application dédiée qui peut être désinstallée. Pour les personnes intéressées, des options ont été ajoutées pour interdire son fonctionnement quand certains sites ou des applications spécifiques apparaissent à l’écran.

Il faudrait cependant que Microsoft propose une API complète permettant de manipuler les réglages de Recall depuis les applications, avec consentement auprès de l’utilisateur.

Pour la première fois, le magazine Vogue a publié une publicité dans laquelle la model n’était pas humaine, mais correspondait à des standards tout à fait classiques : grande, blonde aux yeux bleus, bronzée.

La marque Guess a recouru à l’IA pour générer le corps et le visage – littéralement irréels – destinés à mettre en valeur ses vêtements. La campagne a été créée par l’agence Seraphinne Vallora, qui s’est fendue d’une publication sur Instagram afin de se féliciter pour son travail.

Auprès de la BBC, la top modèle grande taille Felicity Hayward s’inquiète de la tendance que cette publicité pourrait lancer.

Depuis une dizaine d’années, les standards de plusieurs marques avaient évolué pour tenter d’intégrer un peu plus de diversité dans les représentations de corps et d’habillements dans les magazines et publicité de mode.

Plusieurs modèles avaient aussi pris position contre l’édition et la retouche abusive des photos de mode. 
Si les modèles générées par IA se généralise, s’inquiète Felicity Hayward et des représentantes d’associations de lutte contre les troubles de l’alimentation, le public pourrait chercher à atteindre des standards de beauté littéralement inatteignables, dans la mesure où les corps représentés n’existent pas.

Le problème est d’autant plus important que du côté des réseaux sociaux, le succès des filtres générés par IA pousse déjà de nombreux jeunes à recourir à la chirurgie esthétique pour faire ressembler leur visage aux reflets modifiés que leur renvoient leurs applications.

Oh, surprise…

Après neuf mois d’enquête, la Commission européenne conclut à titre préliminaire que Temu enfreint le DSA et risque une amende pouvant atteindre 6 % de son chiffre d’affaires annuel mondial. La balle est maintenant dans le camp de la plateforme chinoise qui peut répondre avant que le couperet ne tombe.

La Commission européenne a commencé à s’intéresser à la plateforme d’e-commerce chinoise Temu en octobre dernier, avec une demande d’information formelle (RFI) dans un premier temps. L’Europe voulait avoir des précisions sur plusieurs points, notamment les mesures prises pour limiter la présence et la réapparition de produits illégaux sur sa plateforme.

L’attente fut de courte durée puisque, fin octobre, la Commission européenne ouvrait une « procédure formelle à l’encontre de Temu au titre de la législation sur les services numériques », le fameux DSA. Temu est pour rappel identifié comme une très grande plateforme en ligne (VLOP) depuis le 31 mai 2024.

« Un risque élevé pour les consommateurs »

Les premières conclusions de l’enquête sont tombées : « la Commission a conclu à titre préliminaire que Temu avait manqué à l’obligation qui lui incombe en vertu de la législation sur les services numériques (DSA) d’évaluer correctement les risques de diffusion de produits illicites sur son marché ».

Dans son communiqué, la Commission affirme que des preuves montrent « qu’il existe un risque élevé pour les consommateurs de l’UE de rencontrer des produits illégaux sur la plateforme », notamment des « jouets pour bébés et des petits appareils électroniques ».

La Commission affirme aussi que l’évaluation des risques de Temu d’octobre 2024 « était inexacte et reposait sur des informations générales du secteur plutôt que sur des détails spécifiques concernant son propre marché ». La plateforme avait pourtant assuré prendre « des mesures importantes » et « affiner » ses pratiques, rappelle l’AFP.

Jusqu’à 6 % du chiffre d’affaires annuel mondial

Face à ces conclusions préliminaires, la plateforme a maintenant la possibilité d’examiner le dossier d’enquête de la Commission et d’y répondre.

Si les conclusions préliminaires devaient être confirmées, une décision de non-respect de l’article 34 du DSA serait adoptée : « Une telle décision pourrait entraîner des amendes pouvant aller jusqu’à 6 % du chiffre d’affaires annuel mondial total du fournisseur et lui ordonner de prendre des mesures pour remédier à l’infraction ».

Selon Euractiv, « la plateforme chinoise dispose de quelques semaines pour réagir », mais « Bruxelles n’a toutefois fixé aucune date butoir précise pour la réponse de Temu ». « Nous continuerons à coopérer pleinement avec la Commission européenne », s’est contenté d’indiquer un porte-parole de Temu par email à nos confrères.

L’enquête officielle se poursuit, car le Vieux continent a d’autres griefs à reprocher à Temu : « l’efficacité de ses mesures d’atténuation, l’utilisation de caractéristiques de conception addictives, la transparence de ses systèmes de recommandation et son accès aux données pour les chercheurs ».

Temu qualifié de « point d’entrée pour des produits illégaux »

La Commission européenne n’est pas la seule entité à être montée au créneau. En février, le BEUC dénonçait rien moins que « des trous béants dans la sécurité des produits vendus sur Temu ». Les griefs étaient nombreux là aussi : risque de suffocation à cause de petites pièces de jouets et de produits pour bébés trop facilement détachables, listes d’ingrédients incorrects dans les cosmétiques, radiateurs électriques extrêmement dangereux, etc.

Agustín Reyna, directeur général du BEUC, ne mâchait pas ses mots : Temu est « un point d’entrée pour des produits illégaux qui n’ont pas leur place sur nos marchés ». Le Bureau demandait donc à la Commission de terminer son enquête au plus vite et de prendre des mesures dissuasives et efficaces contre Temu.

Selon l’AFP, Temu est « extrêmement populaire dans l’UE malgré une arrivée récente sur le marché en 2023, Temu compte 93,7 millions d’utilisateurs actifs mensuels en moyenne dans les 27 États membres ».

Des milliards de petits colis provenant de Chine

Au niveau européen, la Commission prépare la mise en place de droits de douane spécifiques pour les milliards de petits colis qui arrivent chaque année (ils seraient 4,6 milliards d’une valeur déclarée inférieure à 150 euros, majoritairement provenant de Chine).

« Nous parlons de deux euros par colis, payés par les plateformes et pour les services offerts par les entrepôts, ce serait plus modeste, à 50 cents », expliquait le commissaire européen au Commerce, Maroš Šefčovič.

• Frais de gestion : l’Europe envisage de taxer les milliards de petits colis venus de Chine

Pour la Commission, l’enjeu est important : « L’augmentation constante du volume de produits vendus en ligne dans l’UE s’accompagne d’une augmentation du nombre de produits dangereux, contrefaits ou non conformes, qui pourraient nuire à la santé et à la sécurité des consommateurs, à l’environnement et à une concurrence loyale au sein du marché unique numérique ».

Une autre plateforme chinoise est sous le coup de plusieurs enquêtes au niveau français et européen : Shein. Elle a accepté de payer 40 millions d’euros en France suite à une enquête de la Répression des fraudes qui avait conclu que l’entreprise avait mis en place des pratiques commerciales trompeuses. Une amende de 1,1 million d’euros est tombée dans la foulée pour « information défaillante sur la qualité environnementale des produits ».

• [MàJ] Shein enchaine les amendes avec un doublé de la DGCCRF

Showtime

Alors que les tensions grimpent autour des licences VMware, l’Open Infrastructure Foundation rejoint officiellement la Linux Foundation. Cette « fusion » permet à OpenStack de rejoindre un large écosystème d’autres solutions, avec lesquelles les synergies seront d’autant mieux travaillées.

En mars dernier, les deux fondations signaient un accord important. L’Open Infrastructure Foundation – anciennement OpenStack Foundation – rejoignait la Linux Foundation, probablement la structure la plus importante de ce type dans le monde du logiciel libre. Elle chapeaute en effet de nombreux projets et coordonne de vastes efforts. Elle se définit d’ailleurs elle-même comme une « fondation de fondations ».

Si cette fusion est intéressante, c’est parce qu’OpenStack a largement gagné en visibilité ces dernières années, et tout particulièrement depuis un an et demi. Suite au rachat de VMware par Broadcom pour la somme gargantuesque de 61 milliards de dollars, de fortes tensions sont apparues autour des licences de produits. Broadcom a supprimé nombre d’entre elles, préférant des formules sur abonnement souvent plus onéreuses, car regroupant de nombreux produits, y compris quand on en souhaite qu’un ou deux.

• VMware by Broadcom : une situation tendue, l’Europe s’en mêle

Nouvelle maison

En mars dernier, on apprenait que les conseils d’administration de l’Open Infrastructure Foundation et de la Linux Foundation avaient approuvé à l’unanimité l’incorporation de la première au sein de la seconde. La signature a été un signal fort, annonçant que des synergies plus fortes allaient naître entre OpenStack et d’autres projets, en particulier avec Kubernetes.

Depuis le 23 juillet, OpenStack et ses projets attenants sont officiellement gérés par la Linux Foundation. On y retrouve donc d’autres produits comme Kata Containers, Zuul, StarlingX et Airship. Leur gouvernance technique passe donc entre les mains de la Linux Foundation même si, dans la pratique, la plupart des personnes impliquées sont toujours là.

L’objectif d’OpenStack – créer une infrastructure cloud ouverte – est parfaitement aligné avec ceux de la Linux Foundation (et du libre en général). Tous les projets gérés jusqu’ici par l’Open Infrastructure Foundation (OpenStack Foundation initialement en 2012) héritent donc des ressources de la Linux Foundation, dont les outils, le pilotage, le support juridique, tout ce qui touche à la gouvernance et à l’organisation, ainsi que les opportunités de rapprochement avec des centaines d’autres projets.

Rapprochement avec Kubernetes

Canonical se réjouit particulièrement de cette fusion. L’éditeur aime à rappeler qu’il a fait partie des premiers contributeurs d’OpenStack à sa création en 2010 (issu d’un partenariat entre la NASA et Rackspace). L’entreprise dit avoir été rapidement « profondément impressionnée » par la vision et la mission du projet et est aujourd’hui son troisième plus gros contributeur, avec 25 000 commits jusqu’à présent.

Canonical note que l’évolution d’OpenStack s’est faite en parallèle d’un autre avènement : celui de Kubernetes. Dans son sillage, la manière de déployer et d’exécuter des applications s’est largement transformée, signant l’explosion des solutions basées sur des conteneurs logiciels. Or, selon Canonical, si Kubernetes excellait à gérer des applications, il « manquait de capacités de gestion de l’infrastructure ». De ce constat sont nées les premières idées de convergence avec OpenStack. Un esprit de collaboration qui aurait d’abord rencontré « quelques frictions initiales », mais les deux communautés auraient assez vite reconnu « la valeur de l’alignement de leurs efforts ».

Plus concrètement, OpenStack continuera d’être géré comme un projet autonome, « mais désormais dans le cadre d’un écosystème unifié qui inclut également Kubernetes ». Les deux sont considérés comme des technologies complémentaires.

Rappelons que Kubernetes n’est pas directement géré par Linux Foundation, mais par la Cloud Native Computing Foundation (CNCF), qui en est une émanation. La CNCF est une fondation spécialisée dans les technologies « cloud-native » (conteneurs, orchestration, microservices…)

Momentum

On ne sait pas si les discussions ayant entrainé cette fusion de deux fondations est une conséquence du rachat de VMware par Broadcom, mais il est probable que l’opération ait joué au moins un rôle de catalyseur. Sur le blog d’OpenStack, on peut lire un billet datant du 18 juin revenant sur le sujet.

Les éléments sont désormais connus : la suppression de produits, les changements radicaux dans les licences, l’incertitude chez les entreprises clients et les questionnements sur les solutions logicielles à apporter. Dans ce contexte, un produit libre et gratuit attire les regards.

Rapidement, la question de la complexité a été de toutes les conversations : les approches très différentes rendaient les projets de migration complexes et couteux. OpenStack en profitait d’ailleurs pour publier très officiellement son guide de migration depuis VMware. En octobre 2024, quand a été lancée la 30ᵉ version d’OpenStack, la simplification des migrations figurait également partie les nouveautés principales.

Avez-vous l'âge fixé par Google ?

Encore à l’état de prototype, le projet européen d’application de vérification d’âge intègre pour le moment un système d’authentification développé par Google.

Le 14 juillet, la Commission européenne dévoilait les détails de son projet de protection des mineurs en ligne, prototype d’application de vérification de l’âge inclus. Dans les prochains mois, la France, qui soutenait le projet depuis plusieurs années, le Danemark, l’Italie, l’Espagne et la Grèce pourront intégrer l’outil à leurs propres applications nationales d’identification, ou choisir de créer une application indépendante.

• Protection des mineurs en ligne : la France va tester le dispositif européen


Mais il y a un hic. Sur Github et sur Reddit, plusieurs internautes critiquent la direction prise par le prototype open source, à la fois pour des raisons techniques et d’autonomie stratégique. En effet, le projet d’application repose pour le moment sur l’API Play Integrity de Google pour la vérification des applications et des appareils.

• Derrière le brouillard de la souveraineté numérique, l’urgence d’une autonomie stratégique

Play Integrity, une API Google

Le rôle de Play Integrity est de vérifier que le système d’exploitation est sous licence Google, et que l’application que vous téléchargez l’est depuis le Play Store, rappelle Neowin. Autrement dit, si vous décidiez de télécharger les applications nationales recourant à l’outil de vérification d’âge de la Commission européenne depuis un système Android qui n’est pas sous licence Google, alors celle-ci ne fonctionnerait pas. 


Par ailleurs, la présence même d’un acteur états-unien comme Google hérisse plus d’un internaute. Sur le fil Reddit « BuyFromEu » (achetez européen), un internaute précise : « bien qu’il soit utile de vérifier la sécurité de l’appareil », le recours à cette solution précise « lie fortement l’application à de nombreux services et propriétés de Google, car ces vérifications ne passeront pas avec un système d’exploitation Android alternatif, pas même avec ceux qui améliorent considérablement la sécurité comme GrapheneOS (…). Cela signifie également que même si vous pouvez compiler l’application, vous ne pourrez pas l’utiliser car elle ne proviendra pas du Play Store et le service de vérification l’âge la rejettera. »

Recourir à des services européens ?

Sur Reddit, plusieurs internautes soulignent que des problématiques similaires existent avec des applications nationales de vérification d’identité (MitID au Danemark, BankID en Norvège). Les solutions qu’ils indiquent pouvoir utiliser – tout en redoutant que cela ne dure pas sur le long terme – consistent généralement à passer par une clé physique.

Pour parer la problématique spécifique au projet d’outil de vérification d’âge, certains internautes recommandent des outils européens, parmi lesquels l’application hollandaise Yivi, déjà dédiée à de la vérification d’âge. À l’heure actuelle, les développeurs du projet européen n’ont pas fait de commentaire sur le sujet.

• Boycotter la tech américaine, c’est théoriquement possible (mais ça ne va pas être simple)