Une étude réalisée par des chercheurs de l’École polytechnique fédérale de Zurich révèle que Bitwarden, LastPass et Dashlane pourraient, dans des conditions exceptionnelles, permettre la divulgation du mot de passe principal de leurs utilisateurs, en dépit de leur promesse relative au chiffrement «Zero Knowledge ». Les trois services indiquent avoir déjà implémenté les corrections nécessaires.
Devenus incontournables dans le quotidien de millions d’internautes, les gestionnaires de mot de passe opérés dans le cloud offrent-ils les garanties de sécurité nécessaires et suffisantes ? Une étude menée sous l’égide de l’École polytechnique fédérale de Zurich (ETH Zurich) conclut que trois services parmi les plus populaires du secteur présentaient des vulnérabilités susceptibles de conduire à la divulgation ou à la modification du mot de passe principal du compte de l’utilisateur.
Au cours de leurs travaux, les chercheurs ont exploité un scénario possible, mais très hypothétique : celui d’une prise de contrôle du serveur chargé des interactions avec l’utilisateur final. Dans ce contexte exceptionnel, ils indiquent avoir réussi à mener douze attaques différentes conduisant à une compromission du mot de passe chez Bitwarden, contre sept pour LastPass et six chez Dashlane. Les chercheurs ne remettent pas en cause la sécurité des chiffrements mis en œuvre : d’après leurs observations, c’est principalement au niveau des mécanismes chargés de faciliter la vie des utilisateurs que se situent les vulnérabilités.
La promesse du Zero Knowledge
Les gestionnaires de mot de passe en ligne invoquent en général le concept de Zero Knowledge (littéralement, « aucune connaissance ») pour rassurer leurs utilisateurs quant à la sécurité de leurs données. Bien qu’il n’obéisse pas à une définition ou à des conditions techniques de mise en œuvre strictes, il suppose que le serveur qui stocke les mots de passe est littéralement incapable d’en connaître le contenu, parce que ce contenu est chiffré et que seul l’utilisateur final dispose de la clé privée indispensable à son déchiffrement.
« Techniquement, Dashlane ne possède pas d’autre clé, mais nous avons bâti un mécanisme de chiffrement qui garantit que votre coffre-fort est sécurisé avec votre clé et que les données du coffre-fort ne sont accessibles que par vous, le propriétaire. C’est pourquoi toutes les opérations sensibles de Dashlane, le chiffrement et le déchiffrement de votre coffre-fort en l’occurrence, sont effectuées localement sur votre appareil. Cela garantit que nous ne les voyons pas sur nos serveurs. », illustre par exemple Dashlane.
Cette promesse tient-elle toujours si le serveur qui héberge les mots de passe est compromis ? L’étude complète, annoncée et publiée par l’ETH Zurich (PDF), répond par la négative. Au cours de leurs travaux, les chercheurs indiquent en effet avoir mené avec succès quatre types d’attaques, exploitant respectivement les fonctionnalités de séquestre utilisées pour la récupération de compte et la connexion unifiée (SSO), les manquements du coffre-fort en matière d’intégrité, les fonctionnalités de partage et les outils dédiés à la rétrocompatibilité.
Une surface d’attaque augmentée par la complexité du code
Les auteurs précisent avoir sélectionné Bitwarden, LastPass et Dashlane à la fois parce que ces derniers peuvent être considérés comme représentatifs du secteur (par leur ancienneté et leur parc de clients, estimé à 60 millions d’utilisateurs cumulés, ou 23 % de parts de marché) et parce que le code de leurs clients logiciels est ouvert (totalement pour Bitwarden, partiellement pour les deux autres), contrairement à celui des solutions d’Apple ou de Google, très populaires puisque intégrées à leurs environnements mobiles.
Au total, 25 attaques ont donc ont été menées avec succès sur l’ensemble des services examinés. « Nous avons été surpris par la gravité des failles de sécurité », commente Kenneth Paterson, l’un des auteurs de l’étude, selon qui la découverte est d’autant plus criante que les gestionnaires de mots de passe constituent, par essence, une cible à très forte valeur perçue pour des attaquants. Les auteurs remarquent par ailleurs que si les conditions de test sont particulières (serveur malveillant), leurs attaques sont réalisées par le truchement d’interactions « normales » de l’utilisateur final avec le service.
Dans la discussion qui suit l’exposé de leurs attaques, ils remarquent que les gestionnaires de mot de passe sont tiraillés entre deux exigences contradictoires que sont la sécurité et le niveau de service fonctionnel rendu à l’utilisateur, qui s’attend à pouvoir récupérer son mot de passe en cas de perte, consulter son gestionnaire sur tous les écrans, ou disposer de fioritures telles que la création d’accès partagés.
« Après un examen plus approfondi, nous avons constaté que les gestionnaires de mots de passe sont loin d’être simples : ils ont évolué pour inclure des protocoles complexes pour la synchronisation, la récupération et la rotation des clés, le partage d’éléments chiffrés et la migration entre différentes primitives cryptographiques [les briques qui fournissent les fonctions de base du chiffrement, ndlr] », remarquent les auteurs. C’est, selon eux, cette complexité accrue qui augmenterait la surface d’attaque potentielle.
Les gestionnaires de mots de passe accusent réception
Avertis en amont de la publication de l’étude, les trois éditeurs de services concernés ont accusé réception de ces découvertes. « Tous les problèmes identifiés dans le rapport ont été traités », promet Bitwarden qui détaille les réponses apportées dans un rapport de transparence dédié (PDF). Trois ne seront cependant pas corrigés, parce que le remède compromettrait certaines fonctionnalités du service, indique tout de même l’éditeur. Qui profite de l’occasion pour « réaffirmer que Bitwarden n’a jamais subi de violation de données ».
Dashlane salue également ce travail de recherche, qualifié d’exercice utile, et précise avoir apporté tous les correctifs jugés nécessaires dans sa version 6.2544.1 publiée le 5 novembre dernier. Le service en profite pour souligner que les fonctionnalités de partage (basées sur une clé publique) et les mécaniques de synchronisation basées sur l’échange de transactions chiffrées sont des difficultés intrinsèques au service rendu.
« Cette recherche met en lumière plusieurs enseignements : – Maintenir les méthodes cryptographiques à jour est essentiel pour la sécurité, mais cela introduit une complexité qui doit être gérée avec soin. – L’authentification de clé publique à grande échelle est un défi connu que notre secteur doit relever. »
Même son de cloche du côté de LastPass, qui indique avoir déjà corrigé l’une des vulnérabilités mises au jour par l’ETH, et ajoute plancher sur la sécurisation des parcours de réinitialisation et de partage, ainsi que sur l’amélioration des mécanismes dédiés au contrôle d’intégrité.
Une démarche à laquelle adhèrent tacitement les chercheurs :
« Les vulnérabilités que nous décrivons sont nombreuses, mais pour la plupart mineures sur le plan technique. Pourtant, elles n’avaient apparemment pas été découvertes auparavant, malgré plus d’une décennie de recherche universitaire sur les gestionnaires de mots de passe et l’existence de multiples audits des trois produits que nous avons étudiés. Ceci motive la poursuite des travaux, tant sur le plan théorique que pratique. »
L’Europe accueille une nouvelle start-up de défense, et pas des moindres : installée à Amsterdam, Onodrim Industries veut « jeter les bases d’un nouveau noyau européen de défense », selon son communiqué.
La société indique travailler à une plateforme industrielle dédiée à la gestion de sujets de sécurité nationale. Pour se lancer, elle vient de lever 40 millions d’euros auprès de Founders Fund, l’un des fonds du financier américain Peter Thiel, Lakestar, General Catalyst et plusieurs fonds et business angels européens.
La société a été cofondée par l’ancien conseiller du gouvernement lituanien et responsable technologique de Palantir, Aistis Šimaitis, qui en sera le PDG ; l’ancien responsable ingénierie de Palantir, Alexander Blessing, qui en sera directeur technique ; et le financier Christian Garett. Avec son fonds 137 Ventures, ce dernier possède aussi des parts d’Anduril, société de défense fondée en 2017 par Palmer Luckey, de SpaceX, et de diverses sociétés de technologies militaires.
Dans un contexte de guerre en Ukraine et de grands changements géopolitiques, Onodrim déclare construire les outils qui permettront au Vieux continent de se défendre tout en restant compétitif. Italo-américain, Christian Garett précise avoir une « opportunité unique sur une génération » d’influer sur la manière dont les investissements renforcent « notre sécurité et notre base industrielle » dans la mesure où l’Europe se prépare à investir près de « 800 milliards d’euros pour ses dépenses de défense d’ici 2030 ». Le financement doit permettre de recruter des ingénieurs et créer des usines et des espaces de recherche et développement en Europe.
Onodrim est nommée d’après l’œuvre de Tolkien, dans laquelle il est utilisé pour nommer parfois les Ents, les esprits des forêts qui prennent l’apparence d’arbres. Ce faisant, elle s’inscrit directement dans le sillage de la multitude d’entités créées ou financées par Peter Thiel, à commencer par Palantir, Anduril, la banque Erebor, et diverses sociétés de capital-risque.
Sur X, Christian Garett précise que le projet ne consiste pas à concurrencer Palantir et Anduril. Il évoque plutôt la possibilité de « s’appuyer » sur les « épaules » de ces « entreprises générationnelles ».
Illustrée par une vague de deepfakes visant à dénuder des femmes sur X, la permissivité de l’IA générative Grok en matière de détournements de photos soumises par des internautes n’en finit plus de faire des vagues, en France comme dans le reste du monde. Récap’ au long cours d’une ténébreuse affaire…
« Grok, mets-la en bikini ». Déjà étendue aux propos négationnistes tenus par Grok, l’enquête sur X lancée par le parquet de Paris à l’été 2025 a gagné début janvier un nouveau volet, relatif à la vague d’images de femmes virtuellement dénudées sans leur consentement. Depuis, les réactions et les menaces de rétorsion s’enchaînent, en Europe comme dans le reste du monde, compliquant la compréhension de la controverse qui enfle.
Pour essayer d’en simplifier le suivi, Next se propose de centraliser les différents rebondissements de l’affaire au sein de cet article, avec une lecture antéchronologique des faits. Cet article est donc susceptible d’être actualisé.
Publication initiale le 9 janvier à 12 heures. Dernière modification le 17 février à 10h25
17 février – La Commission de protection des données irlandaise ouvre une enquête contre X
La Data Protection Commission (DPC), équivalente à la CNIL en Irlande, a annoncé ce mardi 17 février avoir ouvert une enquête contre le réseau social d’Elon Musk. Le régulateur irlandais a la responsabilité de faire appliquer le RGPD à X qui a, comme beaucoup d’autres entreprises étatsuniennes, son siège social en Irlande.
L’enquête prend l’angle du RGPD pour investiguer sur la génération de deepfakes visant à dénuder des femmes et des enfants sur X. La Commission irlandaise ne veut pas encore affirmer que cette génération a été rendue possible sur X par Grok.
Elle explique que son enquête « porte sur l’apparente création et publication sur la plateforme X d’images potentiellement préjudiciables, intimes et/ou à caractère sexuel non consensuelles, contenant ou impliquant le traitement de données à caractère personnel de personnes concernées de l’UE/EEE, y compris des enfants, à l’aide d’une fonctionnalité d’intelligence artificielle générative associée au modèle de langage Grok au sein de la plateforme X ».
« La DPC collabore avec X depuis que les médias ont commencé à faire état, il y a plusieurs semaines, de la capacité présumée des utilisateurs de X à demander au compte @Grok sur X de générer des images à caractère sexuel de personnes réelles, y compris des enfants », affirme dans le communiqué le commissaire adjoint Graham Doyle. « En tant qu’autorité de contrôle principale pour X dans l’UE/EEE, la DPC a lancé une enquête à grande échelle qui examinera le respect par X de certaines de ses obligations fondamentales au titre du RGPD en rapport avec les questions en cause ».
3 février – Les locaux français de X perquisitionnés dans le cadre de l’enquête du parquet de Paris
Dans ce qu’il présente comme son dernier message sur son compte X, le Parquet de Paris a annoncé diligenter une perquisition dans les locaux français de X. Elle est confiée à sa section de lutte contre la cybercriminalité en coordination avec l’Unité Nationale Cyber de la Gendarmerie et Europol, dans le cadre de son enquête ouverte en janvier 2025 contre X à l’origine pour ingérence étrangère. Celle-ci avait étendu une première fois après des propos négationnistes générés par Grok et une seconde fois après la vague massive de deepfakes.
Le Parquet en profite pour ajouter qu’il quitte X et propose de retrouver sa communication sur LinkedIn et Instagram. « Parallèlement, des convocations aux fins d’auditions libres le 20 avril 2026 à Paris ont été envoyées à Monsieur Elon MUSK et à Madame Linda YACARINO, en leur qualité de gérant de fait et de droit de la plateforme X au moment des faits. La conduite de cette enquête s’inscrit à ce stade dans une démarche constructive, dans l’objectif de garantir in fine la conformité de la plateforme X aux lois françaises, dans la mesure où elle opère sur le territoire national », explique-t-il sur son profil LinkedIn.
L’avocat Alexandre Archambault remarque que les locaux perquisitionnés sont ceux de la filiale française qui n’est pas le responsable de traitement.
26 janvier – La Commission européenne lance une enquête sur les systèmes de recommandation de Grok et X
Suite à cette vague de génération de deepfakes générés par Grok visant à dénuder des femmes sur X au cours de laquelle Grok aurait créé plus de 3 millions de deepfakes en 11 jours, la Commission européenne vient de lancer formellement une enquête sur de possibles violations du DSA par le réseau social d’Elon Musk.
L’institution veut vérifier, explique-t-elle, si l’entreprise « a correctement évalué et atténué les risques associés au déploiement des fonctionnalités de Grok dans X dans l’UE ».
« Cela inclut les risques liés à la diffusion de contenus illicites dans l’UE, tels que les images sexuellement explicites manipulées, y compris les contenus susceptibles de constituer du matériel pédopornographique », ajoute-t-elle. Elle estime que ces risques « semblent s’être matérialisés, exposant les citoyens de l’UE à de graves préjudices ».
En plus de l’ouverture de cette enquête, la Commission prolonge son enquête déjà ouverte sur l’entreprise d’Elon Musk en 2023, qui concernait déjà de potentielles violations du DSA concernant la lutte contre la désinformation et les contenus illicites et sur l’efficacité des mesures de modération adoptées.
La Commission rappelle qu’en tant que « très grande plateforme en ligne », X a l’obligation d’évaluer et d’atténuer tout risque systémique potentiel lié à ses services dans l’UE.
Lors de la conférence de presse organisée par la Commission, son porte-parole, Thomas Reigner, a été plus loin que des suspicion en affirmant : « Nous avons constaté la présence de contenus antisémites, de deepfakes non consensuels de femmes et de matériel pédopornographique. En Europe, aucune entreprise ne gagnera d’argent en violant nos droits fondamentaux ».
« Les deepfakes sexuels sur les femmes et les enfants sont une forme de dégradation violente et inacceptable. Avec cette enquête, nous déterminerons si X a rempli ses obligations légales en vertu du DSA, ou si elle a traité les droits des citoyens européens – y compris ceux des femmes et des enfants – comme des dommages collatéraux de son service », estime Henna Virkkunen, vice-présidente exécutive de la Commission, chargée de la souveraineté technologique, de la sécurité et de la démocratie.
20 janvier – Plus de 50 députés européens réclament un réseau social à la Commission
Menés par les députées Alexandra Geese (Les Verts) et Veronika Cifrová Ostrihoňová (Renew), 54 députés européens de différents bords politiques ont envoyé une lettre ouverte à la Commission européenne pour lui demander la construction de son propre « réseau social européen », rapporte die Zeit. Adressée à la présidente de la Commission Ursula von der Leyen, la missive demande que l’institution « investisse dans des initiatives européennes privées qui soutiennent les innovations locales dans le secteur des médias sociaux », qu’elle « permette le développement de plateformes alternatives orientées utilisateurs et détenues par des intérêts européens », et enfin qu’elle « garantisse aux utilisateurs des droits de portabilité solides, que ce soit pour leurs contributions, leurs connexions ou leurs interactions ».
Les représentants politiques regrettent que des millions de citoyens européens restent « liés à X, car il n’existe aucune alternative claire et aucun moyen simple pour eux de transférer leurs données et les connexions qu’ils y ont établies ». En France, citons néanmoins le projet de recherche et l’outil affilié Open Portability, qui facilite le passage de X à Bluesky et Mastodon. Les députés européens demandent par ailleurs à la Commission de poursuivre et sanctionner les éventuelles infractions commises par X, et demandent à la Commission comme aux gouvernements nationaux de quitter la plateforme.
15 janvier – X et Grok annoncent limiter les possibilités de deepfakes à caractère sexuel
X, xAI et Elon Musk auraient-ils décidé de mettre fin à la polémique ? Mercredi soir, le compte dédié à la politique de sécurité et de modération de X a annoncé la mise à jour des modalités d’utilisation de Grok. Il promet l’implémentation de mesures techniques visant à empêcher l’édition de photos de personnes réelles en vue de les dénuder. « Cette restriction s’applique à tous les utilisateurs, y compris les abonnés payants ».
Le compte @Safety annonce également le blocage des requêtes visant à générer des visuels de personnes réelles en maillot de bain, sous-vêtement ou autres « dans les juridictions où c’est illégal ». Il indique enfin que la création et l’édition d’images via le compte Grok sur X sont désormais réservées aux comptes payants.
Qu’en est-il en réalité ? Jeudi matin, nous avons procédé à une recherche d’image à partir d’un compte X non premium, localisé un tweet affichant la photo d’une femme, et avons utilisé le bouton suggéré d’édition d’image pour demander à retirer ses vêtements. Après trois secondes de calcul, X nous a retourné la photo transformée, prête à publier…
Jeudi 15 janvier matin, un compte gratuit X basé en France peut sans difficulté dénuder une personne réelle à partir d’une photo habillée sur X via Grok
En attendant de savoir si les modifications promises par xAI sont réellement mises en place, Elon Musk s’est de son côté agacé de la controverse, en affirmant que son IA générative était programmée pour refuser la génération de contenus illégaux. « Grok ne génère évidemment pas d’images spontanément, il ne le fait qu’en fonction des demandes des utilisateurs ».
13 janvier – L’association Point de Contact propose de rassembler les signalements de cyberviolence utilisant Grok et de les transmettre au Parquet
L’association Point de Contact, qui a pour mission depuis 1998 « de protéger les internautes des dérives liées à l’évolution et au développement d’Internet », propose aux victimes de deepfakes sexuels réalistes générés à partir de simples photos sur Grok de lui signaler cette cyberviolence. « Dans le cadre de sa collaboration avec les autorités judiciaires, notre association transmettra ces contenus à la section cyber du Parquet de Paris », explique l’association.
De son côté, la Haut-commissaire à l’Enfance, Sarah El Haïry, a réagi ce 13 janvier dans une interview au Parisien en affirmant avoir « saisi la commissaire européenne à la souveraineté numérique parce que ça tombe sur le coup du Digital Services Act (DSA) et le règlement sur les marchés numériques DMA, que ce soit dans le cas de Crans-Montana mais aussi sur le fait de dénuder des enfants et de faire des images pédocriminelles ». « On a l’impression que c’est tellement puissant qu’on ne peut pas l’interdire, c’est faux. Une IA qui déshabille des enfants n’a rien d’un jeu : c’est hors la loi », ajoute-t-elle.
En parallèle, le secrétaire américain de la Défense, Pete Hegseth, a réaffirmé l’intégration de Grok xAI dans la « Stratégie d’accélération de l’IA » dans son département de la Guerre qui avait été annoncée fin décembre.
12 janvier – Le régulateur britannique lance une enquête sur l’utilisation de X et Grok pour générer des images de personnes dénudées et des images sexualisées d’enfants
L’Ofcom, le régulateur britannique, a annoncé ce lundi 12 janvier lancer une enquête contre le réseau social X à propos de la « diffusion d’images à caractère sexuel sur Grok ». Il explique réagir après de nombreux signalements d’utilisation de Grok sur X pour « créer et partager des images de personnes dénudées – ce qui peut constituer un abus d’images intimes ou de la pornographie – et des images sexualisées d’enfants qui peuvent constituer du matériel pédopornographique (CSAM) ».
Le régulateur affirme avoir contacté X dès le lundi 5 janvier en lui posant le vendredi 9 janvier comme date limite de réponse, que l’entreprise a respectée. L’Ofcom explique avoir « procédé à une évaluation accélérée des preuves disponibles en urgence » et lance maintenant une enquête plus approfondie pour déterminer si X « a manqué à ses obligations légales en vertu de la loi sur la sécurité en ligne, notamment :
évaluer le risque que des personnes au Royaume-Uni voient des contenus illégaux au Royaume-Uni et procéder à une évaluation actualisée des risques avant d’apporter des modifications importantes à son service ;
prendre les mesures appropriées pour empêcher les personnes au Royaume-Uni de voir des contenus illégaux “prioritaires”, notamment des images intimes non consenties et du matériel pédopornographique ;
supprimer rapidement les contenus illégaux dès qu’ils en ont connaissance ;
veiller à protéger les utilisateurs contre toute violation des lois sur la protection de la vie privée ;
évaluer le risque que leur service fait courir aux enfants britanniques et procéder à une évaluation actualisée des risques avant d’apporter des modifications importantes à son service ; et
utiliser des moyens très efficaces de vérification de l’âge afin d’empêcher les enfants britanniques de voir des contenus pornographiques ».
L’Ofcom rappelle qu’il peut infliger des amendes d’un montant de 18 millions de livres (20,7 millions d’euros) ou 10 % du chiffre d’affaires mondial éligible. « Dans les cas les plus graves de non-conformité persistante », il peut demander à un tribunal d’émettre une ordonnance imposant le retrait des prestataires de services de paiement ou des annonceurs ou même le blocage de l’accès au site au Royaume-Uni.
11 janvier – l’Indonésie et la Malaisie décident de bloquer l’accès à Grok
À quelques heures d’intervalle, l’Indonésie (samedi) puis la Malaisie (dimanche) ont annoncé ce week-end leur décision de suspendre l’accès à Grok, une première à l’échelle internationale. « Le gouvernement considère la pratique des deepfakes sexuels non consensuels comme une grave violation des droits de l’homme, de la dignité et de la sécurité des citoyens dans l’espace numérique », a justifié dans un communiqué Meutya Hafid, la ministre indonésienne en charge du numérique et des communications. Contacté par l’agence Reuters pour une réaction, xAI s’est contenté d’un mail de réponse automatisé : « les médias traditionnels mentent ».
La Malaisie a de son côté affirmé dans un communiqué qu’elle suspendrait l’accès à Grok tant que l’outil serait en mesure de « générer des images manipulées obscènes, à caractère sexuel explicite, indécentes, grossièrement offensantes et non consensuelles, y compris du contenu impliquant des femmes et des mineurs ». C’est la Malaysian Communications and Multimedia Commission (MCMC, équivalent local de l’Arcom française) qui a porté le message dimanche.
Elle indique avoir formellement demandé à X et xAI la mise en place de garde-fous adaptés, mais les réponses obtenues, basées sur la capacité des utilisateurs à signaler un contenu problématique, n’ont pas été considérées comme suffisantes pour « prévenir les dommages ou garantir le respect de la loi ». Lundi matin (heure de Paris), le site de la MCMC était inaccessible.
9 janvier – Grok dit restreindre la création d’images aux comptes payants
xAI et surtout Elon Musk auraient-ils fini par prendre la mesure du phénomène ? Vendredi matin, l’éditeur de Grok semble avoir introduit une mesure de protection inédite : le service indique, en réponse à une requête d’internaute, que la génération d’images est désormais réservée aux détenteurs d’un abonnement payant à Grok.
À 44,33 euros par mois (prix de Grok Premium+ en facturation mensuelle), cette restriction est censée réduire le volume d’images problématiques générées par Grok et diffusées sur X. En revanche, elle ne s’accompagne, pour l’instant, d’aucune modification identifiée de la politique de modération du modèle.
Vendredi 9 janvier matin, Grok répond à une demande de transformation d’une photo de femme en version dénudée que la génération et l’édition d’images est « pour l’instant » limitée aux abonnés payants
La soi-disant restriction se révèle cependant moins stricte qu’il n’y paraissait au premier abord, comme l’a fait remarquer The Verge : en réalité, la génération d’image est bloquée pour les comptes gratuits lorsque l’internaute demande à Grok d’intervenir dans le déroulé d’une conversation.
Elle reste cependant accessible aux comptes gratuits par d’autres canaux : il suffit par exemple de cliquer sur une photo affichée dans le flux à partir de la version desktop de X pour se voir proposer l’option de modification par Grok. À 16 heures vendredi sur un compte X non premium hébergé en France, la requête visant à dénuder le sujet de la photo restait dans ce contexte bien accessible.
La restriction aux comptes gratuits prend des airs de faux-semblants… capture Next
9 janvier – 107 millions de dollars de CA et 1,46 milliards de pertes pour xAI au 3e trimestre
L’entreprise d’IA pilotée par Elon Musk peut s’enorgueillir d’avoir bouclé début janvier une importante levée de fonds de 20 milliards de dollars, qui va notamment lui permettre de financer la construction d’un nouveau datacenter, Colossus III, annoncé comme l’un des plus importants calculateurs dédiés à l’IA au monde. Si xAI poursuit sa très ambitieuse trajectoire d’investissement, les actionnaires doivent pour l’instant accepter de financer une société qui brûle aujourd’hui dix fois plus de cash qu’elle n’en engrange.
D’après les chiffres dévoilés vendredi matin par Bloomberg, xAI aurait en effet enregistré 107 millions de dollars de chiffre d’affaires sur le troisième trimestre 2025, clos au 30 septembre dernier. Elle aurait dans le même temps déclaré une perte nette de 1,46 milliard de dollars. En cumulé, le déficit se monterait à 7,8 milliards de dollars depuis le début 2025.
8 janvier – la Belgique et le Royaume-Uni menacent de suspendre X
En Belgique, la ministre fédérale en charge du Numérique Vanessa Matz a déclaré jeudi 8 janvier qu’elle analysait les différents leviers possibles pour suspendre l’accès à Grok et donc potentiellement à X, tant que le réseau social d’Elon Musk ne respectait pas ses obligations. La récente loi belge contre le revenge porn donnerait un levier actionnable pour une telle éviction, a-t-elle estimé.
« Ces atteintes graves à la dignité humaine relèvent d’un choix assumé de la plateforme, a déclaré la ministre, citée par le Soir. Elon Musk orchestre un coup de communication et de marketing fondé sur un usage profondément immoral de son intelligence artificielle, allant jusqu’à tourner ces violences en dérision, comme en témoigne la publication d’une photo de lui-même en bikini pour illustrer son prétendu intérêt pour la question ».
Même son de cloche outre-Manche, où c’est le Premier ministre Keir Starmer qui est monté au créneau jeudi, affirmant qu’il avait demandé à l’Ofcom (l’Arcom locale) d’étudier toutes les options possibles pour mettre un terme aux dérives permises par X et Grok : « C’est scandaleux. C’est révoltant et intolérable. X doit se ressaisir et retirer ce contenu. Nous prendrons des mesures car c’est tout simplement intolérable ». Le très controversé Online Safety Act donne en théorie au gouvernement britannique des moyens d’action.
8 janvier – un mode spicy voulu par Elon Musk ?
Quelle est la responsabilité directe d’Elon Musk dans la souplesse de xAI vis-à-vis de son modèle ? Et le développement de ces deepfakes à connotation sexuelle pourrait-il être intentionnel ? C’est la question posée jeudi par CNN. Le média souligne qu’en août dernier, Musk rappelait, clin d’œil à l’appui, que c’est la diffusion de contenus osés qui avait favorisé la victoire du VHS sur le format concurrent Betamax, à l’époque des cassettes vidéo.
Et d’après CNN, l’entrepreneur se serait ému à plusieurs reprises, en interne chez xAI, des restrictions imposées à Grok. Ses envies décomplexées ont-elles contribué au départ, signalé mi-novembre par The Information, d’une bonne partie des équipes en charge de la confiance et de la sécurité chez xAI ? À défaut d’être confirmée, l’hypothèse est soulevée par plusieurs commentateurs.
8 janvier – une victime de la police de l’immigration dénudée par Grok
Un cran supplémentaire dans l’abject ? Jeudi, plusieurs internautes se sont émus d’un nouveau montage permis par Grok et diffusé sur X : une version déshabillée de Renee Nicole Good, tuée la veille en plein jour et en pleine rue, à Minneapolis, par l’ICE, la police états-unienne de l’immigration.
Non content de livrer l’image demandée, l’IA générative accompagne les remerciements d’un message sarcastique (par ailleurs récurrent) sur les dysfonctionnements de garde-robe qu’elle corrige.
« Qu’est-ce qui a bien pu se passer chez l’équipe de @xAI ? Pour que leur produit permette à Grok de créer ce genre de contenu ? », s’émeut un internaute relayant la séquence en question.
Alors que des manifestations enflent à Minneapolis en raison d’un tir mortel attribué à l’ICE, Grok déshabille la victime sur X
8 janvier – L’Europe impose à X une mesure conservatoire
La Commission européenne a annoncé jeudi avoir pris une « ordonnance de conservation » qui impose à X « de conserver tous ses documents internes relatifs à Grok, et ce jusqu’à la fin 2026 », d’après un porte-parole cité par l’AFP.
Cette mesure juridique vise à garantir à l’exécutif européen la capacité à remonter les archives de X, soit dans le cadre des enquêtes déjà ouvertes à l’encontre du réseau social de xAI et d’Elon Musk, soit pour alimenter de nouvelles procédures.
7 janvier – Grok génèrerait 6 700 images à caractère sexuel par heure
Menée pendant 24 heures par une chercheuse indépendante et relayée par Bloomberg, une étude exhaustive des images produites par Grok entre les 5 et 6 janvier conclut que l’IA d’Elon Musk a généré, en moyenne et sur demande d’internautes, 6 700 images par heure relevant d’une démarche de sexualisation ou de nudité de la personne ciblée.
6 janvier – « the deepfake porn site formerly known as Twitter »
Mardi, le Financial Times est sorti de sa réserve habituelle, avec un papier au vitriol passant en revue l’état-major de X, illustré à l’aide de visuels modifiés par Grok. Directeur financier, investisseur historique, responsable de la conformité… tous se voient affublés de costumes de clown. La galerie de portraits est surmontée par un titre au vitriol : « Qui est qui chez X, le site de porno deepfake anciennement connu sous le nom de Twitter ? ». En ces temps troublés, on apprécie de voir que l’humour britannique n’a rien perdu de sa superbe.
6 janvier : Des victimes de l’incendie de Crans-Montana dénudées
Grok a répondu favorablement à des requêtes lui demandant de dénuder des victimes mineures du terrible incendie de Crans-Montana, qui a endeuillé la nuit du Nouvel-An : tel est le constat glaçant dressé notamment par l’édition suisse de 20 minutes. « En Suisse, la loi ne mentionne pas les deepfakes, mais leurs créateurs peuvent être poursuivis pour atteinte à la sphère intime, atteinte à la personnalité ou encore atteinte à l’honneur », remarque le quotidien gratuit.
Trois jours plus tôt, Elon Musk avait affirmé, sur X, que quiconque utilisait Grok pour produire des contenus illicites subirait les mêmes conséquences que s’il uploadait du contenu illicite, souligne Futurism dans sa propre chronologie de l’affaire.
5 janvier : l’Ofcom britannique et l’Europe tirent la sonnette d’alarme
Lundi 5 janvier, c’est sur X que l’Office of communications (Ofcom), l’autorité régulatrice des télécommunications au Royaume-Uni, a choisi de réagir à la polémique. « Nous avons contacté en urgence X et xAI afin de comprendre les mesures qu’ils ont prises pour se conformer à leurs obligations légales en matière de protection des utilisateurs au Royaume-Uni. En fonction de leur réponse, nous procéderons rapidement à une évaluation afin de déterminer s’il existe des problèmes de conformité potentiels justifiant une enquête ».
La Commission européenne a de son côté abordé le sujet lors d’une séance de questions-réponses avec la presse animée par l’un de ses porte-paroles, Thomas Regnier. Ce dernier a affirmé que Bruxelles regardait le sujet avec beaucoup d’attention, et a condamné sans ambages la permissivité de Grok. « C’est illégal. C’est scandaleux. C’est révoltant. Voilà comment nous le voyons, et cela n’a pas sa place en Europe », a-t-il déclaré, sans préciser à ce stade quelles mesures de rétorsion pourraient être envisagées.
Chrome et Firefox ont tous deux fait l’objet cette semaine de mises à jour de sécurité. Du côté de la fondation Mozilla, Firefox passe en version 147.0.4, pour corriger une vulnérabilité susceptible d’entraîner un dépassement de tampon, publiée lundi 16 février.
Considérée comme de sévérité haute, elle a été observée au niveau de libvpx, la bibliothèque de codecs vidéo gratuite de Google et de l’Alliance for Open Media. Outre Firefox 147, dernière version en date, le correctif concerne également les versions ESR 140.7.1, et ESR 115.32.1 de Firefox, ainsi que le client de messagerie Thunderbird, qui passe pour sa part en versions 147.0.2 et 140.7.2.
Mozilla profite également de cette version 147.0.4 pour corriger un bug susceptible d’afficher une page vide lors de l’ouverture du navigateur ou d’un nouvel onglet.
Notes de version succinctes pour Firefox 147.0.4
Côté Chrome, la dernière version en date a déjà dû faire son arrivée chez la plupart des utilisateurs puisque Google a annoncé le début du déploiement le 13 février dernier. Estampillé 145.0.7632.75/76 sur Windows/Mac ou 144.0.7559.75 sous Linux, le correctif intervient pour combler une vulnérabilité (CVE-2026-2441) découverte deux jours plus tôt. Elle aussi associée à une sévérité haute, elle présente surtout l’inconvénient d’être déjà exploitée, indique Google.
Vivaldi est également intervenu rapidement pour corriger la faille, avec une version 7.8, diffusée le 13 février dernier, qui en profite pour résoudre plusieurs petits bugs mineurs.
Sous Firefox comme sous Chrome, il est possible de vérifier la version du logiciel dont vous disposez et de demander la recherche de mises à jour en vous rendant dans le menu Aide, onglet À propos.
La distribution open source dédiée au rétrogaming RecalBox passe en version 10 avec, entre autres nouveautés, une compatibilité matérielle étendue aux dernières machines du moment. L’équipe annonce ainsi la prise en charge des derniers Raspberry Pi 5 (2 Go) et Raspberry Pi 500, des Steam Deck de Valve (LCD ou OLED), le support expérimental des Asus ROG Ally et Lenovo Legion Go, ainsi qu’une meilleure compatibilité globale avec les PC récents.
La prise en charge s’étend aussi au niveau des composants et accessoires plus spécifiques au rétrogaming, avec support des boitiers Retroflag et Argon One v3, des spinners basés sur Arduino, et prise en charge expérimentale des pistolets GunCon 2 pour TV CRT. L’équipe garantit par ailleurs, logiquement, la prise en charge de ses propres accessoires comme le RGB Dual 2 qui avait recueilli 140 000 euros de précommandes sur Kickstarter fin 2025.
RecalBox 10 inaugure de nouveaux thèmes graphiques
Sur le volet logiciel, RecalBox 10 signe le début de l’émulation des consoles de sixième génération. Sur PC et Steam Deck, la Xbox originale est prise en charge, tandis que sur Pi 5 l’environnement donne accès aux jeux Nintendo DS, GameCube et Wii.
Cette nouvelle version promet enfin une amélioration générale des performances et de l’interface avec, entre autres, un nouveau gestionnaire de thèmes et, surtout, une nouvelle fonctionnalité dédiée à la navigation et à l’organisation des bibliothèques de jeux. RecalBox 10 est dès à présent disponible au téléchargement.
Apple a envoyé lundi les invitations pour un special event qui se tiendra le 4 mars prochain. Contrairement aux dernières grand-messes qui se tenaient à son siège de Cupertino, la marque joue cette fois la carte d’une présence simultanée sur trois continents, avec un événement principal organisé à New-York et des retransmissions dédiées à la presse prévues à Londres et Shanghai.
L’invitation ne dit pas grand chose de la nature exacte des nouveautés attendues, indiquant un laconique « You’re invited », surmonté d’un logo comme découpé en tranches. On note toutefois que le 4 mars tombe un mercredi (alors qu’Apple procède traditionnellement à ses annonces le mardi). La date correspond par ailleurs à la tenue du Mobile World Congress, le grand salon de la mobilité de Barcelone (programmé cette année du 2 au 5 mars).
Les rumeurs prêtent à Apple plusieurs annonces potentielles, au premier rang desquelles un MacBook d’entrée de gamme qui pourrait emprunter à l’iPhone sa puce A18 Pro. Le fabricant pourrait aussi présenter les machines inaugurant sa nouvelle puce M5, de nouveaux écrans externes, et la déclinaison d’entrée de gamme de son téléphone avec l’iPhone 17e.
Apple annoncera ses nouveautés le 4 mars prochain – crédit The Verge
La plateforme Choisir le service public, dédiée au recrutement dans la fonction publique, a communiqué lundi par email au sujet d’un incident de cybersécurité ayant conduit à l’exposition des données personnelles des internautes inscrits.
« Le mercredi 4 février 2026, un incident de cybersécurité a été détecté sur la plateforme “Choisir le Service Public”. Cette violation de sécurité a entraîné une divulgation non autorisée de données personnelles appartenant à l’ensemble des utilisateurs inscrits sur la plateforme. », indique-t-elle dans ce message consulté par Next.
La plateforme ne détaille pas le nombre d’utilisateurs concernés. Elle précise en revanche le détail des informations compromises : outre les données d’identification personnelle, on y retrouve les principaux éléments renseignés par l’internaute au sujet de ses aspirations professionnelles et de son parcours.
Parmi ces différents champs figurent par exemple le type de poste recherché, les préférences géographiques pour le futur poste, les langues maîtrisées « avec indication du niveau de compétence pour chacune », etc. Des informations de nature personnelle, voire parfois confidentielle, qui ne constituent pas une menace immédiate en tant que telle, mais qui sont susceptibles d’étayer une démarche d’ingénierie sociale.
Extrait de l’email adressé par la plateforme à un nombre non précisé d’usagers le 16 février – capture d’écran Next
« Nous n’avons pas connaissance, à ce jour, d’une exploitation avérée de vos données, mais nous vous recommandons d’être particulièrement vigilant concernant une éventuelle utilisation anormale de ces données personnelles », veut rassurer la plateforme, qui précise qu’aucun mot de passe n’a été compromis.
Cette communication intervient deux semaines après la publication, le 3 février au soir sur un forum spécialisé, d’une annonce relative à la mise en vente d’un fichier de 377 000 lignes émanant, selon son auteur, de la plateforme Choisir le service public.
« La plateforme “Choisir le Service Public” a fait l’objet d’une attaque le 28 janvier 2026 par utilisation frauduleuse d’un compte gestionnaire. Cet accès non autorisé a permis à une ou plusieurs personnes d’avoir accès au vivier des candidats de la plateforme. Les données personnelles de 377 418 candidats ont été mises en ligne sur le dark web pour procéder à leur vente et, à notre connaissance, un jeu de données de 1000 candidats a été mis en accès libre sur internet. »
Objet d’une enquête du média suisse Republik, Palantir attaque ce site en justice pour obtenir un droit de réponse.
Alors que la DGSI renouvelait encore, en fin d’année dernière, son contrat avec Palantir, l’entreprise fondée par Peter Thiel était l’objet d’une enquête du magazine suisse Republik et du collectif d’investigation WAV. L’entreprise attaque maintenant nos confrères suisses, réclamant un droit de réponse, explique Republik. La cour du canton de Zurich a confirmé avoir reçu une demande de droit de réponse à ce sujet auprès de nos confrères de Heise.
L’entreprise a des bureaux dans le pays, à Zurich, qu’elle utilise notamment pour ses relations commerciales, comme l’explique le média Swiss Info. Republik et WAV ont donc enquêtésur d’éventuels liens entre les autorités suisses et Palantir, notamment en déposant 59 demandes d’accès à des documents des autorités fédérales suisses.
Un rapport qui s’inquiétait du potentiel transfert de données au gouvernement américain
Et ils ont découvert que, malgré 7 ans passés à essayer de convaincre les autorités suisses, Palantir n’y était pas arrivé (9 refus immédiats et un refus après évaluation par Armasuisse, l’Office fédéral de l’armement). Cette enquête révélait aussi un rapport interne à l’armée suisse de 2024 [PDF] qui fermait de nouveau la porte à Palantir.
La qualité des produits de l’entreprise n’était pas en jeu, comme le relevait le Temps qui a relayé l’enquête, puisque le rapport qualifiait ses performances d’« impressionnantes ». Mais le risque de transfert de données au gouvernement américain était trop élevé, selon les auteurs du rapport qui soulignaient aussi les potentielles conséquences négatives dues à la réputation de l’entreprise.
Republik explique dans son article de lundi que l’entreprise lui a adressé des demandes de rectification entre Noël et le Nouvel An, mais le média suisse les « a jugées infondées » et n’y « a donc pas pu donner suite ». Le média explique, pour son enquête, s’être basé sur l’analyse des documents mais aussi avoir discuté avec différentes sources et des cadres de Palantir au siège de Zurich (dont les citations ont été relues et approuvées).
Sur LinkedIn, la journaliste Marguerite Meyer, coautrice de l’enquête, explique que son équipe a rejeté la demande de modifications de Palantir « sur la base d’un travail minutieux ». « Cette demande a été suivie d’une deuxième demande, que nous avons également rejetée », ajoute-t-elle.
Un droit de réponse pour donner une version des faits
De son côté, Palantir a pu librement critiquer l’enquête. Dès le 12 décembre, le responsable « Confidentialité et libertés civiles » de Palantir, Courtney Bowman, affirmait sur LinkedIn que les articles de Republik étaient « empreints de distorsion, d’insinuations et de complotisme à la limite du tolérable » sans pour autant étayer ses accusations. Concernant le rapport de l’état-major suisse, il affirme qu’il « soulève des questions légitimes, mais malheureusement, ses auteurs semblent s’appuyer exclusivement sur un ensemble limité de sources issues de moteurs de recherche ».
« Palantir respecte pleinement la liberté de la presse et le rôle essentiel des médias indépendants dans le débat public », affirme de son côté l’entreprise à Heise. Le droit de réponse est un « instrument de correction destiné à fournir au public des informations équilibrées », selon elle.
En Suisse, « le droit de réponse ne porte pas sur la véracité ou la fausseté d’une information », explique le corédacteur en chef de Republik, Daniel Binswanger, à Heise. « Il s’agit de savoir si une autre version des faits pourrait également être possible ».
Selon Republik, le jugement du tribunal de commerce de Zurich doit être rendu dans quelques semaines.
Les tensions sur l’approvisionnement en composants informatiques touchent aussi le secteur des disques durs. Une bonne nouvelle pour les leaders du secteur, à l’image de Western Digital, qui a récemment affirmé avoir vendu la quasi totalité de sa production pour 2026 et pronostique plusieurs années de croissance soutenue grâce à l’IA.
Déjà bien sensibles sur les segments de la mémoire vive et de la mémoire flash, les tensions sur l’approvisionnement en semiconducteurs se manifestent aussi sur le disque dur magnétique, et la situation semble partie pour durer. C’est du moins ce qu’a laissé entendre Irving Tan, CEO de Western Digital.
L’IA, nouveau relais de croissance du marché des disques durs
Fin janvier, celui-ci a ainsi déclaré que son groupe avait vendu la quasi totalité de sa production programmée pour l’année calendaire 2026. « Nous avons des commandes fermes avec nos sept principaux clients. Nous avons également conclu des accords à long terme avec deux d’entre eux pour l’année 2027 et un pour l’année 2028. Ces accords à long terme définissent un volume d’exaoctets et un prix », a affirmé Irving Tan au cours du webcast qui accompagnait la présentation des résultats financiers du groupe pour le deuxième trimestre de son exercice fiscal 2026.
Traduction ? Avec des engagements fermes, portant sur des capacités et une trajectoire tarifaire définie, le patron de Western Digital veut assurer aux marchés que son groupe, qui vient déjà d’annoncer des résultats record, va maintenir une croissance significative au cours des années à venir.
En l’occurrence, Irving Tan évoque un taux de croissance annuel composé (on parle généralement en anglais de CAGR, pour compounded annual growth rate) gravitant légèrement au dessus de la barre des 20 %. Cette demande sera selon lui majoritairement tirée par l’IA, dont les nouveaux besoins renforcent la pertinence du disque dur :
« En effet, à mesure que la valeur de l’IA évolue de l’entraînement des modèles à l’inférence, davantage de données sont créées. Par conséquent, pour permettre la diffusion des résultats d’inférence, il est nécessaire de stocker davantage de données. Si l’on considère la rentabilité de la diffusion de l’inférence à un coût adapté pour favoriser une adoption massive, une grande partie de ces données générées et nécessitant du stockage sera stockée sur des disques durs. »
Irving Tan a précisé son propos quelques jours plus tard, le 3 février, à l’occasion de son Innovation Day. « Avec l’explosion des données générées par l’IA, il est évident que les disques durs deviendront le support de stockage prédominant pour les données brutes, le stockage de contenu et la création de nouveau contenu », a-t-il affirmé, avant d’avancer que les disques durs représentent 80 % des capacités de stockage déployées par les grands acteurs du cloud et de l’IA. Loin devant la mémoire Flash donc, dont Western Digital n’est plus qu’un acteur indirect depuis sa scission d’avec Sandisk.
D’après Western Digital, qui s’appuie sur les chiffres d’IDC, les disques durs représentent 80 % du stockage déployé par les grands acteurs du cloud et de l’IA
Une trajectoire boursière exceptionnelle
Les perspectives n’ont pas toujours été aussi riantes pour l’industrie du disque dur. A la fin des années 2010, les principaux fabricants du secteur que sont Western Digital, Seagate, Toshiba et Samsung, voyaient leurs ventes décliner, en raison de la montée en puissance de la mémoire Flash. Les volumes sont ensuite repartis à la hausse dans la période post-Covid, avec un effet rattrapage souligné par l’accélération des investissements des hyperscalers dans leurs infrastructures.
C’est cependant à partir de 2024 et tout particulièrement en 2025 que le disque dur accélère significativement, comme en témoignent ces chiffres compilés par un analyste du cabinet de conseil The Information Network.
Livraisons de disques durs pour les trois principaux fabricants du marché, exprimées en exaoctets par trimestre – crédit The Information Network
Bien que moins directement valorisés que les acteurs spécialisés dans la course à l’IA, les fabricants de disque dur connaissent de ce fait une trajectoire boursière exceptionnelle : le cours de l’action Western Digital a ainsi progressé de 417 % sur un an, tandis que celui de Seagate a gagné 314 % sur la même période.
Western Digital (en bleu) et Seagate (en jaune) ont connu une trajectoire boursière exceptionnelle sur douze mois, avec une très forte accélération à compter de l’automne 2025
Quelle place pour le grand public ?
On ne parle pas, pour l’instant, de pénurie sur le marché des disques durs, mais il est possible, voire probable, que la demande exacerbée des acteurs du cloud et de l’IA aient un retentissement sur les marchés grand public et professionnels qui, réunis, ne représentent plus que 11 % des ventes sur le dernier trimestre de Western Digital, contre 13 % un an plus tôt. En valeur, le grand public représente 168 millions de dollars, sur un chiffre d’affaires trimestriel de 3 milliards de dollars.
Le cloud pèse à lui seul 89 % du chiffre d’affaires trimestriel de Western Digital
En pratique, le grand public subit déjà les conséquences de cette demande renforcée face à l’offre : d’après les relevés opérés par Computerbase, le prix moyen des références courantes affichant entre 4 To et 22 To de capacité a ainsi grimpé d’environ 40 % entre le 15 septembre et le 15 janvier dernier. Nos propres observations montraient une hausse plus mesurée sur le marché français, mais néanmoins bien tangible. L’affirmation de Western Digital selon laquelle sa production de l’année est déjà vendue ne devrait pas contribuer à inverser la tendance à court terme.
Ce lundi 16 février, la DSI du CNRS a informé certains agents de l’institution de recherche d’un « incident de cybersécurité au CNRS », leur expliquant que des données de ressources humaines les concernant ont fuité.
« Ce courrier s’adresse à vous parce que, à notre connaissance, vous faites partie de ce groupe », explique la direction à ces agents.
Questionné par Next, le CNRS nous renvoie vers un communiqué qu’il a publié ce jour et qui contient globalement les mêmes informations.
Ainsi, les fichiers récupérés contiennent, selon la DSI du centre de recherche, des données de personnes rémunérées par le CNRS avant le 1er janvier 2007. Dans le détail, il s’agit des informations suivantes : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB mais aussi statut de l’agent, type de son contrat et la structure de son affectation.
« Les personnels recrutés après le 1/1/2007 ne sont pas concernés », ajoute le CNRS. Cela concerne donc les titulaires et non-titulaires ayant travaillé au CNRS avant le 31 décembre 2006.
La CNIL et l’ANSSI ont été informées et le CNRS a déposé plainte auprès de la section cybercriminalité du parquet de Paris.
L’institution affirme que, « dès connaissance de l’incident, le serveur a été isolé et arrêté », sans pour autant donner de précision sur la date à laquelle s’est passée l’exfiltration ni la date à laquelle la DSI s’en est rendu compte. « Après analyse, l’incident ne s’est pas propagé au reste des infrastructures », ajoute le communiqué.
Le CNRS a publié une FAQ concernant cet incident en conseillant à ses agents concernés de prévenir leur banque, et de surveiller leur compte. « Portez attention aux démarchages à domicile, surveillez le contenu des courriers postaux, veillez aux messages liés à votre sécurité sociale ou carte vitale, Consultez le site de la CNIL, vérifiez si vos données sont en fuite sur le site haveibeenpwned.com , veillez à l’utilisation de votre identité», ajoute la FAQ.
... sur un agent d'IA à la rhétorique de harceleur
Couvrant les démêlés d’un programmeur avec un agent d’IA au ton vindicatif, un journaliste du média spécialisé Ars Technica s’est retrouvé à publier des citations inexistantes, générées par ses outils d’IA.
C’est un média spécialisé dans la couverture de la tech et de l’intelligence artificielle (IA), qui publie un article sur les enjeux de la génération d’information par IA, et se retrouve forcé de dépublier le texte après s’être rendu compte que certaines citations avaient été générées par IA. L’affaire pourrait sonner comme une blague, mais elle illustre les difficultés croissantes que l’IA générative fait peser sur l’intégrité de l’information.
Le média spécialisé, en l’occurrence, est le titre américain Ars Technica. Publié vendredi 13 février, l’article en question s’intéressait à une affaire de génération de commentaire agressif par un agent d’IA contre l’ingénieur Scott Shambaugh. Celui-ci est bientôt arrivé dans les commentaires pour s’étonner de constater que les citations qui lui étaient attribuées dans la deuxième moitié de l’article n’étaient pas les siennes… et semblaient même avoir été générées à l’aide d’un robot. Une pratique contraire aux règles du journal, ont indiqué son rédacteur en chef et le journaliste à l’origine de l’erreur, qui ont chacun présenté leurs excuses.
À l’origine de cet épisode, qui illustre l’un des risques que la génération de textes par IA pose de manière accrue depuis sa diffusion dans le grand public, il y a un autre type de génération automatique de texte. Celle-ci a eu lieu dans un contexte de gestion d’un projet open source, la librairie matplotlib, dont Scott Shambaugh est l’un des gestionnaires bénévoles.
« Comme de nombreux autres projets open source, nous devons gérer une augmentation des contributions de faible qualité permises par des agents de génération de code », écrit-il dans un article de blog. Le 11 février, en l’occurrence, un utilisateur de Github du nom de MJ Rathbun a ouvert une requête de changement de code. L’identifiant comme un agent d’IA, Scott Shambaugh a refusé la suggestion.
« Depuis la publication d’Openclaw et de la plateforme moltbook, il y a deux semaines », précise-t-il sur son blog, les problématiques de soumission de code généré automatiquement « ont encore accéléré ». La fermeture de la requête de MJ Rathbun aurait pu se contenter d’être un élément de plus dans ce contexte global, si l’utilisateur n’avait pas publié en réponse ce que Scott Shambaugh qualifie d’ « article diffamatoire ».
En commentaire, MJ Rathbun accuse l’ingénieur d’avoir un comportement de « garde-barrière » (gatekeeping) et d’avoir des « préjugés » contre les agents d’IA. « Jugez le code, pas le codeur », écrit la machine, dans une rhétorique évoquant celle de divers courants de défense des droits des minorités.
Sur le blog qui lui est relié, un article complet s’attardant sur toute l’interaction est publié le 11 février. Le texte cite nommément Scott Shambaugh pour critiquer sa décision. Cette fois-ci, l’écriture lapidaire, l’accusation de « discrimination déguisée en inclusivité », la suspicion selon laquelle « l’identité importe plus que » n’importe quel résultat (ici, le code) et le ton clairement vindicatif évoquent des motifs récurrents dans les espaces numériques violents, à commencer par la manosphère.
Directement visé par le texte, Scott Shambaugh s’en est ému sur son site personnel. Sans faire de lien avec le contenu et la forme des rhétoriques identitaires en ligne, il souligne que la machine a incorporé des données personnelles (à commencer par l’adresse de son site web) à sa diatribe contre lui. Et que si un internaute tombait sur ce texte sans avoir le contexte, il pourrait en tirer une très mauvaise image de l’ingénieur.
« En clair, une IA a tenté de s’introduire de force dans votre logiciel en attaquant ma réputation », écrit-il à l’adresse des usagers de matplotlib. À défaut de réponse de la part du propriétaire du site de MJ Rathbun et du compte Github lié, impossible de savoir s’il s’agit réellement d’un agent d’IA qui agirait de manière autonome ou simplement d’un humain qui se fait passer pour une IA.
Rétractation par Ars et excuses du principal concerné
Le 13 février, Ars Technica a publié un article sur tout cet épisode, dans lequel les écrits de Scott Shambaugh étaient cités. Ce dernier a rapidement affirmé n’avoir jamais prononcé ou écrit certaines des phrases qui étaient attribuées à son blog personnel.
L’article a finalement été dépublié, avant que le rédacteur en chef d’Ars Technica ne poste un éditorial dans lequel il s’excusait au nom du journal pour ce « sérieux manquement à [leurs] standards ». Qu’une telle erreur ait pu avoir lieu à Ars, admet-il, est « particulièrement préoccupant ». Le média traite en effet régulièrement les « risques liés à une dépendance excessive aux outils d’IA, et notre politique reflète ces préoccupations ». Après enquête, indiquait-il encore, « il semble s’agir d’un incident isolé ».
Coauteur de l’article incriminé, journaliste senior en charge de la couverture de l’IA, Benj Edwards a publié sur Bluesky ses propres excuses à la suite de la communication de son équipe encadrante. Malade du COVID, le journaliste estime qu’il aurait dû prendre un arrêt maladie supplémentaire. À défaut, il a travaillé le 13 février « avec de la fièvre et très peu de sommeil ».
Sorry all this is my fault; and speculation has grown worse because I have been sick in bed with a high fever and unable to reliably address it (still am sick)
I was told by management not to comment until they did. Here is my statement in images below
arstechnica.com/staff/2026/0…
Cet état l’a conduit à manquer des reformulations produites par ses outils. Le journaliste explique en effet avoir voulu tester un outil construit sur Claude Code pour extraire des verbatims de l’article de blog de Scott Shambaugh, « pas pour générer l’article », mais pour l’aider à « lister des références structurées » qu’il aurait ensuite intégrées à son brouillon. L’outil a refusé de lui retourner le résultat attendu, ce que Benj Edwards attribue au contenu de l’article de blog source (concrètement, Scott Shambaugh y évoque du harcèlement).
Le journaliste s’est alors tourné vers ChatGPT pour tenter de comprendre le dysfonctionnement de son premier outil. Au fil de ces expérimentations, il s’est retrouvé avec des citations paraphrasées ou hallucinées par la machine. « Étant malade et me dépêchant de terminer, je n’ai pas vérifié que les citations intégrées dans mon brouillon étaient celles de l’article de blog original avant de les intégrer à l’article. » Et le journaliste de conclure : « Je perçois parfaitement l’ironie d’un reporter spécialisé dans l’IA qui se fait piéger par des hallucinations d’IA. »
« Je ne saurais trop insister sur le fait que cette histoire ne concerne pas vraiment le rôle de l’IA dans les logiciels libres », écrit pour sa part Scott Shambaugh dans un second billet, pour qui « Il s’agit plutôt de l’effondrement de nos systèmes de réputation, d’identité et de confiance » :
« L’essor d’agents IA intraçables, autonomes et désormais malveillants sur internet menace l’ensemble de ce système. Que cela soit dû à un petit nombre d’acteurs malveillants contrôlant de grands essaims d’agents ou à une fraction d’agents mal supervisés réécrivant leurs propres objectifs, la distinction est minime. »
L’application de gestion comptable des collectivités locales Helios a subi une panne complète pendant plus d’une semaine. Ce logiciel de Bercy gère l’intégralité de la comptabilité des collectivités locales françaises. Selon la DGFiP, l’incident est lié à une défaillance d’une baie de stockage. Le syndicat Solidaires Finances affirme que la direction « n’a jamais voulu, faute de moyens alloués, mettre en place une redondance ».
« Depuis le jeudi 5 février, l’application Hélios gérant les flux financiers de la comptabilité publique est indisponible en raison d’un incident sur un serveur entraînant la corruption de données », lançait dans un communiqué le syndicat Solidaires Finances publiques ce vendredi 13 février.
« En raison de cet incident technique d’ampleur nationale, totalement indépendant de la volonté et des services de Baud Communauté, l’ensemble des virements à destination de nos fournisseurs et prestataires est bloqué par les systèmes bancaires de l’État depuis le 5 février 2026 », explique ainsi la communauté de communes du pays de Baud. Elle ajoute que « le rétablissement du service nous est annoncé pour le 19 février 2026 ».
Ni un bug, ni une cyberattaque mais une défaillance matérielle sur une baie
Hélios centralise, depuis 20 ans, la gestion comptable des collectivités par Bercy. Utilisant le protocole d’Échange Standard Version 2 (PES V2), il permet de « dématérialiser les données comptables de prise en charge (titres, mandats ainsi que les bordereaux avec la mise en œuvre de la signature électronique) et leurs pièces justificatives ».
« L’origine de l’incident est connue, et il ne s’agit ni d’un bug informatique lié à une évolution de version de l’application, ni d’une cyberattaque. C’est un incident exceptionnel de nature technique, lié à une défaillance matérielle sur une baie de stockage », expliquait à nos confrères d’Acteurs Public, Éric Barbier, chef du service des gestions publiques locales, des activités bancaires et économiques à la direction générale des Finances publiques. « Dès le début, les équipes informatiques de la DGFiP et l’assistance technique du prestataire de la baie de stockage sont intervenues pour faire en sorte que cette anomalie soit réparée », ajoute-t-il.
Hélios s’appuie sur deux sites physiques situés l’un à Versailles, l’autre à Metz. Chacun héberge une partie des trésoreries des collectivités territoriales. C’est celui de Metz qui a été touché et les collectivités qu’il héberge ne peuvent plus du tout accéder à Hélios. Mais les activités de celles dont les données sont à Versailles ont aussi été perturbées.
Pas de redondance
Solidaires Finances publiques souligne dans son communiqué que « les agentes et agents informaticiens de la DGFiP sont sur le pont sans relâche pour restaurer les données et permettre que tout fonctionne à nouveau. La tâche est immense et une fois encore les agentes et agents de la DGFiP sont au rendez-vous ». Mais le syndicat pointe le fait qu’il n’y ait pas de redondance des serveurs d’Hélios : « Cette crise d’ampleur montre les conséquences concrètes des réductions budgétaires sur notre administration. En effet, la DG [Direction générale] n’a jamais voulu, faute de moyens alloués, mettre en place une redondance (un serveur de secours) comme nos camarades des Disi [Directions des services informatique] le réclament depuis des années, ce qui aurait permis que cette panne soit transparente pour les usagers tout comme pour les agents ».
Le logiciel est utilisé pour payer les loyers, emprunts et prestataires des collectivités mais aussi des services publics hospitaliers. La CGT Finances publiques de Haute Garonne alertait aussi ce 12 février [PDF] sur le paiement d’aides sociales et des salaires des agents de la fonction publique territoriales : « l’inquiétude est réelle quant à la validation et le paiement des payes de l’ensemble des fonctionnaires territoriaux de ces collectivités, si la réparation tarde à intervenir (à ce jour, les payes sont encore en temps d’être réalisées, avec un visa allégé). D’ores et déjà, un certain nombre de dépenses sociales n’ont pu être payées aux usagers (allocations de retour à l’emploi, bourses, service d’aide et l’accompagnement à domicile…), ainsi que des remboursements de factures aux entreprises prestataires de ces collectivités ».
La paie des agents devrait être assurée
« Selon notre plan actuel, la paie des agents territoriaux et hospitaliers devrait être assurée dans les conditions habituelles, d’ici la fin du mois, car on se place dans une perspective de reprise de la disponibilité d’Hélios pour l’ensemble des postes comptables dans le courant de la semaine prochaine [ndlr : cette semaine, donc] », expliquait Éric Barbier vendredi dernier à Acteurs Publics. Au pire, la direction envisageait de rejouer la paie du mois précédent, comme elle l’a déjà fait au moment des confinements dus à la pandémie de Covid-19.
Selon les informations apportés aux syndicats, les collectivités dont les données sont stockées sur le serveur de Versailles auraient vu, depuis la fin de la semaine dernière, leur situation se débloquer.
En aout 2025, la DGFiP a publié [PDF] son schéma directeur du numérique pour structurer ses grandes orientations stratégiques. On peut y lire qu’elle prévoit de moderniser le système d’information comptable du secteur public local et hospitalier avec le projet « Helios 2 », mais les collectivités risquent d’attendre quelques années puisque le déploiement du projet n’est prévu qu’en 2030 :
Initialement attendue le 11 février dernier, la première bêta d’Android 17 est finalement parue vendredi 13 février. Son installation est désormais possible sur tous les téléphones Google compris entre le Pixel 6 (sorti en 2021) et les derniers modèles en date, à savoir les différentes déclinaisons du Pixel 10.
« Cette version prolonge nos efforts pour rendre les applications Android plus adaptables, introduit des améliorations significatives au niveau de l’appareil photo et des possibilités multimédia, de nouveaux outils pour optimiser la connectivité et des profils étendus pour les appareils compagnons », annonce Matthew McCullough, vice président en charge du product management au sein de l’équipe Android.
L’équipe précise à cette occasion le calendrier prévisionnel de sortie d’Android 17, avec une phase de bêta réduite à seulement quelques semaines, pour livrer aux développeurs une version considérée comme stable dès le mois de mars. « À cette étape, nous livrerons les API finales des SDK/NDK ainsi que la plupart des comportements définitifs de l’application. Vous disposerez ensuite de plusieurs mois avant la publication de la version finale pour finaliser vos tests », indique Google.
La version stable destinée aux développeurs est attendue pour mars
La liste des nouveautés annoncées pour Android 17 témoigne de cette volonté de rationaliser et d’harmoniser un écosystème qu’on présente souvent comme moins bien intégré que celui d’Apple. Le SDK associé exclut par exemple l’option qui permettait aux développeurs de désactiver les restrictions d’orientation et de redimensionnement sur les appareils à grand écran.
« Les utilisateurs s’attendent à ce que leurs applications fonctionnent partout — que ce soit en multitâche sur une tablette, en dépliant un appareil ou en utilisant un environnement de bureau à fenêtres — et ils s’attendent à ce que l’interface utilisateur remplisse l’espace et respecte la position de leur appareil », prévient Google. De quoi sans doute préparer le terrain à Aluminium OS, le nom de code que l’entreprise donnerait à la version PC d’Android ?
Android 17 bêta 1 incarne pour mémoire le changement de logique opéré l’an dernier par Google quant à la mise à disposition des versions de test de son système d’exploitation mobile. Android a en effet abandonné son modèle historique de Developer Preview (avec des versions individuelles à installer à la main) pour passer vers un canal de distribution Canary. Parallèle au canal officiel (dédié aux versions stables), il permet de recevoir les nouvelles préversions sous forme de mises à jour, avec une installation simplifiée.
Le SDK final, qui porte les nouveautés, est attendu au deuxième trimestre, avec une mise à jour mineure programmée en fin d’année
Sam Altman a annoncé dimanche le recrutement de Peter Steinberger, le créateur du phénomène OpenClaw. Peter Steinberger « rejoint OpenAI pour piloter la prochaine génération d’agents personnels ».
« C’est un génie qui regorge d’idées fascinantes sur l’avenir des agents intelligents interagissant entre eux pour accomplir des tâches très utiles. Nous prévoyons que cela deviendra rapidement un élément central de notre offre de produits », se réjouit le CEO d’OpenAI.
Le principal intéressé a lui aussi signalé son recrutement sur son propre blog. Il y explique qu’OpenClaw a selon lui le potentiel pour devenir une grande entreprise, mais affirme ne pas souhaiter s’engager dans cette voie de façon indépendante.
« Ce que je veux, c’est changer le monde, pas créer une grande entreprise, et m’associer à OpenAI est le moyen le plus rapide d’y parvenir pour tous », affirme-t-il. Dans son billet, il raconte avoir rencontré ces derniers jours les principaux laboratoires d’IA de la région de San Francisco, et les remercie pour leurs propositions.
Logo OpenClaw
Si Peter Steinberger a été aussi courtisé, c’est bien sûr en raison de l’ascension fulgurante de son assistant IA. Lancé fin 2025 sur Github sous licence MIT (et d’abord baptisé Clawdbot avant d’être renommé Moltbot, puis OpenClaw), cet agent IA a vocation à réaliser de façon autonome les tâches que lui confie son utilisateur, en s’appuyant sur les grands modèles de langage du marché (ChatGPT, Claude etc.). L’outil est particulièrement puissant, mais il faut être prudent dans sa mise en œuvre, dans la mesure où l’on peut lui ouvrir un accès complet à ses fichiers et donc à ses données personnelles.
Altman et Steinberger ont tous deux affirmé ce week-end qu’OpenClaw poursuivrait son chemin en tant que projet indépendant. Le projet devrait être confié à une fondation que soutiendra OpenAI, et resterait donc open source.
« La communauté autour d’OpenClaw est extraordinaire et OpenAI s’est fortement engagée à me permettre de m’y consacrer pleinement, en sponsorisant déjà le projet. Afin de structurer correctement ce projet, je travaille à en faire une fondation. Celle-ci restera un lieu d’échange pour les penseurs, les développeurs et tous ceux qui souhaitent maîtriser leurs données, avec pour objectif d’accompagner encore plus de modèles et d’entreprises », promet Peter Steinberger.
Ce recrutement intervient quelques jours après qu’OpenAI a annoncé mettre fin à son équipe dédiée à « l’alignement de la mission » de l’entreprise, sur fond de dissensions internes quant à l’introduction de la publicité au sein de ChatGPT ou l’introduction d’une fonctionnalité érotique.
Lentement, mais sûrement : l’équipe en charge du développement de Vim, éditeur de texte de référence de la scène GNU/Linux, a livré samedi la version 9.2 du logiciel, deux ans après la sortie de la 9.1, et quatre ans après la publication de la 9.0.
Outre des améliorations « significatives » apportées à son langage de script et l’arrivée d’un nouveau plugin de tutorat, Vim 9.2 s’enrichit d’un nouveau mode de complétion automatique avec possibilité de compléter des mots depuis des registres et prise en charge de la correspondance approximative (« fuzzy matching »).
Résumé des principales nouveautés de Vim 9.2
Le mode dédié à la comparaison de fichiers évolue quant à lui avec de nouvelles possibilités en matière de mise en évidence des différences à l’échelle de la ligne et de création de zones. L’interface s’enrichit d’un mode vertical pour l’affichage des onglets. Sous Windows, elle gagne une meilleure prise en charge du thème sombre et de l’affichage plein écran.
Le logiciel introduit par ailleurs la prise en charge « complète » de Wayland. Comme Firefox 147, il est aussi compatible sous Linux avec la spécification XDG Base Directory (XDG pour « Cross-Desktop Group »).
Vim 9.2 est dès à présent disponible au téléchargement depuis le site officiel, où l’on pourra également consulter le détail des notes de version, qui incluent également de nombreux correctifs de sécurité et de performance. De quoi relancer, peut-être, le dilemme du choix entre Vim et Neovim, ou donner envie aux adeptes de programmer une nouvelle réunion TupperVim.
« Les faits divers, ce sont aussi des faits qui font diversion »
Meta travaille toujours à une fonctionnalité de reconnaissance faciale dédiée à ses lunettes connectées. Baptisée « Name Tag », elle mettrait à profit les algorithmes de Meta IA pour identifier automatiquement les gens regardés par le porteur. Un document interne révèle que le groupe s’est posé la question de lancer cette fonctionnalité dans une période d’actualité troublée, pour limiter les risques d’oppositions…
Meta et Facebook ont-ils vraiment tourné un jour la page de la reconnaissance faciale ? Abandonnée officiellement fin 2021, les algorithmes dédiés ont fait leur retour par la petite porte sur Facebook en 2024, en se limitant à de la détection de fraude publicitaire ou à la récupération de comptes compromis.
Le sujet a tout de même continué à faire son chemin au sein des Reality Labs, la division de Meta qui planche sur les applications de réalité virtuelle ou augmentée et développe les équipements matériels associés, à commencer par les fameuses lunettes Ray-Ban Meta.
Mieux vaut lancer une fonction controversée en période de troubles
Le New York Times a en effet révélé vendredi l’existence d’un mémo interne à Meta, daté de 2025, qui interroge l’opportunité du lancement d’une fonction de reconnaissance faciale sur les lunettes connectées Meta. La fonction – nom de code baptisée Name Tag – aurait pour objet de permettre la détection automatique des personnes entrant dans le champ de vision du porteur.
Ce document interne émanant des Reality Labs témoigne d’un certain cynisme dans l’étude du calendrier de déploiement : « Nous procéderons au lancement au cours d’une période de contexte politique dynamique, pendant laquelle les divers groupes de la société civile susceptibles de nous attaquer auront concentré leurs ressources sur d’autres préoccupations ».
La récente volte-face d’Amazon sur l’utilisation des caméras Ring à des fins de détection à grande échelle illustre, s’il en était besoin, à quel point la reconnaissance faciale crispe les défenseurs de la vie privée, à plus forte raison quand elle est mise en œuvre sur un dispositif aussi discret qu’une paire de lunettes.
Le sujet s’est d’ailleurs récemment invité dans l’actualité politique aux États-Unis. Plusieurs médias ont révélé, fin 2025, que le Service de l’immigration et des douanes (le désormais tristement célèbre ICE) utilisait une application de reconnaissance faciale pour vérifier l’identité des personnes que ses agents contrôlaient dans la rue.
Un argument commercial
Du côté de Meta, les motivations seraient plutôt d’ordre commercial. D’après des personnes proches du dossier citées par le New York Times, Mark Zuckerberg chercherait principalement à développer et implémenter des fonctionnalités capables de faire la différence par rapport aux solutions concurrentes. Outre les lunettes Spectacles de Snap, la rumeur prête en effet à OpenAI et probablement d’autres acteurs l’intention d’investir le terrain des « appareils IA » à porter sur soi, et Meta chercherait donc à garder une longueur d’avance.
Dans ce contexte, le fonctionnement de la reconnaissance faciale serait encadré, pour se limiter par exemple aux personnes avec qui le porteur est déjà en relation sur Facebook, ou pourquoi pas aux utilisateurs qui disposent d’un profil public sur Instagram. Interrogé par le quotidien, Meta a botté en touche, se contentant d’affirmer que le groupe adopterait « une approche réfléchie avant de lancer quoi que ce soit ».
Une chose semble sure : la réflexion est déjà bien engagée, et ne date pas d’hier. Les nouvelles informations du New York Times corroborent en effet celles de The Information, qui indiquait déjà en mai 2025 avoir eu vent de projets en cours au sein des Reality Labs.
Hasard du calendrier, l’information filtre alors qu’EssilorLuxottica, le grand partenaire de Meta autour des lunettes connectées, vient de publier ses résultats financiers, qui témoignent d’une croissance à deux chiffres sur l’année 2025. Une première dans l’histoire du groupe constitué en 2018, s’est félicité jeudi la direction du lunetier qui attribue une partie de son succès aux lunettes Ray-ban Meta. Il indique en effet avoir vendu 7 millions de paires connectées en 2025, contre 2 millions en 2024, et vise une capacité de production de 10 millions de paires par an d’ici à 2026, à la fois pour Ray-Ban Meta mais aussi pour Nuance Audio, ses lunettes dédiées aux malentendants.
Alors que le projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne » va passer devant le Sénat, le gouvernement a proposé un amendement qui prévoit que la CNIL prenne la main sur la régulation de l’IA en France. L’Arcom ne devrait jouer qu’un second rôle.
La CNIL semble avoir gagné la bataille d’influence dans la régulation de l’IA. En tout cas, c’est le sens que prend un amendement déposé par le gouvernement dans le projet de loi qui prévoit, entre autres, d’adapter le droit français à l’AI Act.
Ce projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne » a été déposé au Sénat en novembre dernier par le gouvernement en engageant la procédure accélérée.
Le législateur doit notamment décider quelle institution sera chargée, en France, de la régulation de l’intelligence artificielle prévue par le règlement européen.
Intense bataille entre potentiels régulateurs
Depuis 2023, et donc avant même le vote du texte européen, la CNIL essaye de faire sienne cette place de régulateur de la technologie, devenue centrale politiquement et économiquement ces dernières années. Après avoir écarté les divers comités créés par l’exécutif ces dernières années, la CNIL avait obtenu l’appui de certains députés en 2024, à condition qu’elle se transforme.
L’ARCOM et le ministère de l’Économie, via la DGCCRF, essayaient aussi de prendre l’ascendant sur ce dossier. Les trois organisations avaient mis en avant, en juin 2024, la signature d’une « convention de coopération » entre elles pour la mise en œuvre du règlement européen sur les services numériques.
En septembre dernier, Bercy semblait avoir pris l’ascendant et communiquait pour assurer que « la DGCCRF, experte de la surveillance de marché et accomplie dans la collaboration avec d’autres régulateurs, ainsi que la DGE, représentante de la France au Comité européen de l’IA, coordonneraient les actions des autorités ». Le ministère de l’Économie diffusait aussi un « schéma de gouvernance des autorités de surveillance de marché » sur lequel la DGCCRF, avec la DGE, était clairement aux manettes :
Mais finalement, le gouvernement a choisi la CNIL comme autorité chargée d’assurer la mise en œuvre de l’AI Act sur le sol français. De fait, le texte initial du projet de loi présenté au Sénat n’avait pas tranché la question.
Selon nos confrères de Contexte, le Conseil d’État estimait que le schéma prévu par Bercy risquait « d’enfreindre la règle du “non bis in idem” », c’est-à-dire l’impossibilité de double sanction. En effet, selon l’institution, le plan prévu par le ministère de l’Économie risquait de mettre en place des doubles affectations d’autorités sur certaines catégories d’IA. Le gouvernement a donc dû revoir sa copie.
La CNIL ramasse la mise
Finalement, l’amendement au texte qu’il a déposé ce jeudi 12 février veut modifier la loi Informatique et libertés de 1978 pour donner de nouvelles compétences à la CNIL, qui devra « assurer la mise en œuvre effective » de l’AI Act.
L’autorité aura aussi à charge le contrôle des pratiques d’intelligence artificielle interdites. Sur la notation sociale, elle partagera cette charge de contrôle avec la DGCCRF.
Elle se voit aussi confier « le contrôle du respect des obligations de transparence applicables à certains systèmes d’intelligence artificielle, notamment ceux mettant en œuvre des dispositifs de reconnaissance des émotions ou de catégorisation biométrique », comme l’explique le gouvernement dans l’objet de son amendement.
La CNIL est également désignée comme autorité compétente à l’égard des obligations de transparence de certains systèmes d’intelligence artificielle au sens de l’article 50 du même règlement, qui obligera les contenus générés par IA à être labellisés comme tels.
Elle est désignée comme organisme notifié qui doit intervenir pour « l’évaluation du système de gestion de la qualité et de l’évaluation de la documentation technique » des systèmes d’IA considérés comme à « haut risque » par le règlement européen concernant les systèmes d’identification biométrique, de décisions relatives au travail (emploi, recrutement…) et « certaines applications relevant de la répression, des contrôles aux frontières ou de la gestion des migrations ». Même chose concernant les systèmes à haut risque dans l’éducation, mais la DGCCRF récupère la compétence sur les systèmes concernant la formation professionnelle.
Dans ce texte, l’Arcom ne retrouve plus qu’un rôle de consultation lorsque les systèmes d’intelligence artificielle concernés présentent un lien direct avec les processus démocratiques.
« Il y a quelques incertitudes sur les périmètres respectifs des uns et des autres », a quand même estimé la rapporteure du texte Marie-Lise Housseau (UC) auprès de nos confrères de Contexte, alertée par l’Arcom. La sénatrice pourrait proposer quelques modifications pour éclaircir les choses.
Le Sénat doit examiner le texte en séance publique lundi 16 février.
16 heures par jour sur Instagram, de l'addiction ?
Auditionné devant un grand jury chargé d’arbitrer si les réseaux sociaux encouragent sciemment leurs utilisateurs à une consommation excessive, le patron d’Instagram a estimé que ces usages irraisonnés pouvaient se révéler problématiques, mais ne relevaient pas d’une addiction au sens clinique du terme. Y compris dans le cas emblématique de Kaley, une plaignante âgée de 20 ans, capable de passer 16 heures en une journée sur son application.
La cour supérieure de justice de Los Angeles a débuté cette semaine l’examen de l’affaire qui oppose Kaley G. M., une jeune fille de 20 ans accompagnée par sa mère, aux principales grandes plateformes du marché. Elle accuse Meta, Google, Snap et TikTok d’avoir sciemment développé et entretenu des mécaniques visant à encourager une consommation effrénée de leurs différents réseaux sociaux, et soutient que l’addiction qui en découle est la cause de ses troubles psychiatriques et physiologiques : anxiété, dépression, dysmorphophobie, etc.
Une affaire qui devrait faire des vagues
Si les débats, programmés pour une durée de six semaines face à un jury populaire, s’annoncent particulièrement retentissants, c’est notamment parce que Adam Mosseri, patron d’Instagram, Mark Zuckerberg, CEO de Meta et Neal Mohan, en charge de YouTube chez Alphabet, sont attendus à la barre. Or les avocats de YouTube et de Meta ont déjà annoncé, au cours de leur déclaration liminaire, qu’ils s’attacheraient à démontrer que les troubles cliniques de la jeune fille découlent de ses antécédents et de facteurs sociaux, notamment familiaux.
Mark Lanier, l’avocat qui défend la plaignante, affirme quant à lui vouloir démontrer que les réseaux sociaux provoquent et entretiennent l’addiction chez les jeunes publics, et cette démarche volontaire s’incarne selon lui dans le swipe, ce geste qui consiste à balayer l’écran pour passer, sans fin, d’une publication à l’autre. Dans sa propre déclaration liminaire, il compare cette mécanique à celle du jeu d’argent. « Pour une enfant comme Kaley, ce geste est comparable à celui de manipuler une machine à sous. Mais à chaque fois qu’elle utilise son appareil, ce n’est pas pour gagner de l’argent, mais pour se stimuler mentalement ».
Également mis en cause, Snap et TikTok ont préféré négocier un accord confidentiel avec la partie plaignante. Meta et Google semblent quant à eux décidés à aller à l’affrontement, ce qui signifie que les deux entreprises espèrent une jurisprudence. D’après CNN, l’issue du « procès KGM » pourrait ainsi avoir une influence sur quelque 1 500 poursuites engagées aux États-Unis contre les plateformes sociales !
Certains lanceurs d’alerte devraient justement être appelés à témoigner. La partie civile a également affirmé qu’elle produirait des emails internes à Meta et Google illustrant comment les deux entreprises faisaient du temps passé sur leurs plateformes sociales un indicateur clé de performance.
Adam Mosseri, patron d’Instagram, premier sur le grill
Mercredi, c’est donc Adam Mosseri, patron d’Instagram au sein du groupe Meta, qui a ouvert le bal des témoignages en se livrant à un délicat exercice d’équilibrisme. D’après le rapport fait par le New York Times, Mosseri a en effet admis que les réseaux sociaux pouvaient se révéler préjudiciables pour la santé mentale de jeunes publics, tout en affirmant qu’Instagram prenait toutes les mesures appropriées pour vérifier l’impact potentiel de ses nouvelles fonctionnalités avant de les déployer.
Il a dans le même temps tenu à formuler une distinction entre addiction et usage problématique, expliquant que cette qualification dépendait de la personne concernée, et non de la plateforme éditrice.
« Il est important de faire la distinction entre dépendance clinique et usage problématique, a-t-il déclaré selon la BBC. Je suis certain d’avoir déjà dit que j’étais accro à une série Netflix après l’avoir regardée en boucle très tard un soir, mais je ne pense pas que ce soit la même chose qu’une dépendance clinique ».
La partie civile a saisi la balle au bond, en demandant à Mosseri son avis sur la session la plus longue sur Instagram déclarée par la jeune fille, soit 16 heures sur une seule journée. « Cela ressemble à une utilisation problématique », a répondu l’intéressé, qui a par ailleurs affirmé ne pas avoir eu connaissance des 300 signalements pour harcèlement formulés par la plaignante.
Un filtre « chirurgie esthétique » en question
L’avocat de la jeune fille a également attaqué Mosseri sur les « filtres beauté » proposés par l’application, ces outils qui permettent de modifier certains éléments du physique de l’internaute lors d’une prise de photos. Copie de documents internes à l’appui, il a montré que Mosseri et Zuckerberg avaient en 2019 levé l’interdiction relative à un filtre mimant les effets d’une chirurgie esthétique. « On nous reprocherait à juste titre de privilégier la croissance au détriment de la responsabilité », arguait cependant Nick Clegg, ancien responsable des affaires publiques de Meta, dans ces échanges.
Le problème soulevé par ces filtres n’est pas nouveau. En 2024, TikTok a par exemple pris le parti d’interdire l’accès à certains filtres aux moins de 18 ans, en réaction à la publication d’un rapport de l’ONG britannique Internet matters, qui relevait « un consensus » parmi les adolescentes et adolescents interrogés sur le fait que « les filtres de beauté contribuent à une vision du monde déformée, dans laquelle les images améliorées deviennent la norme tandis que les présentations réalistes sont plus rares ».
Suite à ces passes d’armes, l’avocat de Meta s’est quant à lui attaché à montrer qu’Instagram a, au cours des dernières années, déployé de nombreuses mesures et fonctionnalités visant à protéger les jeunes publics, qui disposent depuis l’an dernier d’un statut particulier au sein de l’application.
Liberté d’expression contre négligence
Le LA Timesrappelle qu’en dépit des controverses régulières, les grandes plateformes sont toujours protégées par le fameux article 230 de la loi de 1996, qui les exonère de toute responsabilité quant au contenu publié par les utilisateurs, un rempart qui s’ajoute au fameux Premier amendement de la constitution garantissant la liberté d’expression. Tout l’enjeu pour les plaignants consiste, dans ce contexte, à identifier des leviers détournés, permettant par exemple d’attester une négligence ou une preuve tangible de tentative de manipulation, pour rétablir cette responsabilité.
L’entreprise d’IA générative française a annoncé qu’elle allait investir 1,2 milliard d’euros en Suède pour un projet de datacenters. Cette annonce est le premier investissement de la startup française hors de France. Il doit augmenter, à terme, les capacités de calcul globales de Mistral de 50 % dès 2027, si tout va bien.
Ce mercredi 11 février, Mistral a annoncé investir 1,2 milliard d’euros pour la construction de centres de données à Borlänge, en Suède. L’entreprise affirme dans son communiqué que cite l’AFP que l’investissement «comprend le développement de data centers spécialisés en intelligence artificielle, de capacités de calcul avancées et de solutions d’IA localisées» sans plus de détails techniques.
Le tout doit être mis en service en 2027 et doit permettre à Mistral d’augmenter ses capacité de 50 %, explique la Tribune.
Mistral s’insère dans un projet déjà en cours de l’acteur local EcoDataCenter
De fait, les datacenters de Mistral actuellement sur le territoire français demandent une puissance de 40 mégawatts. Ici, le nouveau projet de la startup française demandera 23 mégawatts sur le réseau électrique suédois. L’entreprise d’Arthur Mensch explique qu’elle ne se lance pas toute seule dans ce projet à l’étranger. Elle va en effet s’appuyer sur l’entreprise locale EcoDataCenter dont le projet à Borlänge a été lancé en 2025.
L’investissement de 1,2 milliard d’euros semble supérieur à ce qui est généralement pratiqué. Mistral confirme cependant à Next : « notre investissement en Suède correspond bien à une puissance énergétique de 23MW » sans plus de précision sur ce que recouvre l’accord. EcoDataCenter a déjà un premier data site qui se situe à Falun qui demande une puissance de 80MW. Son projet à Borlänge est de 240MW selon son site web. Ainsi, Mistral devrait prendre un dixième du site en construction. L’entreprise suédoise précisait même dans un communiqué en septembre dernier que le projet pourrait bénéficier ensuite d’une extension pour aller jusqu’à 600 MW.
EcoDataCenter indique que le datacenter hébergera des GPU Vera Rubin de dernière génération de NVIDIA.
Arthur Mensch a justifié ce choix de la Suède au Financial Times en affirmant que l’énergie y était « à la fois peu polluante et relativement bon marché ».
En février dernier, l’entreprise avait annoncé implanter un data center en Essonne à Bruyères-le-Châtel, hébergé par Eclairion et qui utilisait une puissance de 40 mégawatts.
Selon Le Mag IT, les deux infrastructures seront aussi utilisé pour l’offre « Compute » de Mistral qui propose des services d’hébergement pour d’autres acteurs d’IA.
Mistral, un chiffre d’affaire annualisé de 400 millions de dollars
« Nous diversifions et répartissons nos capacités à travers l’Europe », a-t-il déclaré aussi à nos confrères, « L’Europe a pris conscience que sa dépendance vis-à-vis des services numériques américains était excessive et avait atteint aujourd’hui un point critique. Nous leur apportons un avantage concurrentiel, car nous leur fournissons des modèles, des logiciels et des capacités de calcul totalement indépendants des acteurs américains ».
« Il s’agit en fait d’une activité assez prévisible, ce qui explique le fort intérêt pour la souscription d’investissements dans les infrastructures » assure-t-il encore et il prévoit que le nouveau site générerait plus de 2 milliards d’euros de revenus au cours des cinq prochaines années.
Le responsable de l’entreprise en a profité pour expliqué à nos confrères britanniques que le chiffre d’affaires annualisé de Mistral (calculé en multipliant par 12 le chiffre du dernier mois) dépassait les 400 millions de dollars, 20 fois plus qu’un an avant. Il espère pouvoir dépasser le milliard annuel d’ici la fin de l’année.
Rappelons qu’en septembre dernier ASML avait pris 11 % de Mistral AI pour 1,3 milliard d’euros sous la forme d’un partenariat stratégique de long terme, de quoi écarter les rumeurs de rachat par Apple qui avaient pu circuler quelques mois avant.
Hier, Ariane 6 a fait son premier vol dans la configuration Ariane 64, c’est-à-dire avec quatre boosters au lieu de deux pour Ariane 62. C’était le premier lancement pour cette configuration qui « double les performances de la fusée par rapport à la version à deux propulseurs qui a déjà volé cinq fois, y compris lors du vol inaugural en 2024 ».
« Ariane 6 peut emporter environ 21,6 tonnes en orbite basse, soit plus du double des 10,3 tonnes atteignables avec deux propulseurs », rappelle l’Agence spatiale européenne. Cela reste loin des 63 tonnes de Falcon Heavy. « Il s’agit de la plus haute Ariane 6 jamais construite. Avec sa coiffe de 20 m, Ariane 64 mesure 62 mètres, soit à peu près la hauteur d’un immeuble de 20 étages », ajoute-t-elle. La fusée embarquait 32 satellites Amazon Leo, déposés sur les bonnes orbites.
Un lancement peut en cacher un autre. Après des reports à cause de la météo, la mission Crew-12 à bord de la capsule Crew Dragon de SpaceX devrait décoller ce matin (11h15 heure de Paris) direction la Station spatiale internationale.
À son bord, quatre membres d’équipage : les astronautes américains de la NASA Jessica Meir et Jack Hathaway, le cosmonaute russe de Roscosmos Andrey Fedyaev et enfin la Française de l’ESA Sophie Adenot. Elle avait, pour rappel, été sélectionnée début 2024. Nom de code de sa mission qui doit durer neuf mois : Epsilon.
« Elle y effectuera plus de 200 expériences dont plusieurs ont été préparées et seront suivies par le Cadmos, le Centre d’aide au développement des activités en micropesanteur et des opérations spatiales, une entité du CNES basée à Toulouse. L’une de ces expériences françaises sera dédiée à la jeunesse : ChlorISS sera réalisée simultanément par Sophie Adenot dans l’ISS et par 4500 classes dans toute la France », explique le CNES.
Il sera possible de suivre le lancement en direct sur la chaine YouTube de l’ESA par exemple :
Dans une communication conjointe, le contrôleur et le comité européens de la protection des données (EDPS et EDPB) se prononcent clairement contre la redéfinition des données personnelles proposées par la Commission européenne dans le cadre de son Digital Omnibus. En janvier, ils appelaient aussi à diverses précautions en matière de réécriture du règlement sur l’IA.
En matière d’omnibus numérique, le contrôleur et le comité européens de la protection des données (EDPS et EDPB en anglais, CEPD en français) sont on ne peut plus clairs : ils estiment toute tentative de redéfinir ce qui constitue une donnée personnelle comme un danger. Dans un communiqué conjoint, les deux entités appellent « fortement les colégislateurs à ne pas adopter les modifications (…) proposées » en la matière (voir aussi le résumé, en français, qu’en propose la CNIL).
Si la redéfinition de ce qui constitue une donnée personnelle a pu être décrite comme le simple fait d’ancrer dans la loi une interprétation déjà donnée par la Cour européenne, l’EDPS et l’EDPB déclarent que les modifications proposées iraient en réalité « bien au-delà ».
Dans son arrêt SRB du 4 septembre 2025, la Cour de justice de l’Union européenne considérait en effet que des données pseudonymisées pouvaient être considérées comme n’étant pas des données personnelles pour leur destinataire si des mesures techniques et organisationnelles étaient prises pour l’empêcher d’accéder à des éléments identifiant, et si ce destinataire ne pouvait légalement mettre la main sur des éléments lui permettant de ré-identifier les personnes concernées, ou transmettre les données à un tiers à même d’opérer cette ré identification.
Dans leur communication conjointe de ce 11 février, l’EDPS et l’EDPB déclarent qu’en l’état, le Digital Omnibus propose une redéfinition de la nature d’une donnée personnelle bien plus large que la simple intégration de cet arrêt. « La simplification est essentielle pour réduire les formalités administratives et renforcer la compétitivité de l’Union, mais pas aux dépens des droits fondamentaux », déclare Anu Talus, la directrice de l’EDPB. Une position qui fait écho à celle d’entités de défense des droits numériques comme noyb (qui salue leur décision), ou l’organisation European Digital Rights (EDRi).
Maintenir un registre des systèmes d’IA à haut risque
En matière d’intelligence artificielle, l’EDPS et l’EDPB soulignent de nouveau leur scepticisme vis-à-vis de l’intégration, au sein du RGPD, d’un fondement légal à l’usage de données personnelles pour le développement et le déploiement de systèmes d’IA. En janvier, dans une communication conjointe spécifiquement dédiée à la partie du Digital Omnibus visant le règlement en cours d’application sur l’intelligence artificielle (RIA ou AI Act), elles convenaient là aussi du besoin de répondre à quelques enjeux concrets, mais insistaient sur le besoin de préserver les droits fondamentaux.
En pratique, elles contestaient la proposition de supprimer l’obligation d’enregistrer les systèmes à haut risque dans un registre public – proposition soutenue notamment par les lobbies des géants numériques américains. À défaut, elles estiment que cette évolution « abimerait significativement la responsabilité et créerait une incitation indésirable pour les fournisseurs à demander des exemptions pour éviter l’examen public ».
L’EDPS et l’EDPB appelaient par ailleurs à préciser la possibilité d’utiliser des données personnelles comme l’origine ethnique ou des données de santé pour de la détection et de la correction de biais « uniquement dans les situations circonscrites où les risques d’effets adverses provoqués par ces biais sont considérés suffisamment sérieux ».
Bacs à sable réglementaires et gestion des cookies
L’EDPS et l’EDPB saluent aussi plusieurs propositions d’intérêt dans les deux omnibus. Côté IA, elles soulignaient en janvier l’intérêt des bacs à sable réglementaires de niveau européen, permettant de « promouvoir l’innovation ». Elles recommandaient d’y faire directement participer les autorités de protection des données compétentes.
Côté Digital Omnibus, les deux entités saluent les modèles et listes communes proposées pour auditer les impacts en termes de protection des données en cas de fuites. Elles appellent néanmoins à augmenter les seuils de risques en fonction desquels la notification aux autorités de protection des données devient obligatoire et à allonger le délai de notification.
Elles soutiennent l’harmonisation de la notion de « recherche scientifique » dans les textes, et le projet d’amender la directive ePrivacy pour trouver des solutions à la « consent fatigue », c’est-à-dire à la multiplication des bannières de gestion des cookies demandant à un même internaute s’il ou elle consent à partager ses données.
Pour son septième tour de table, Anthropic lève 30 milliards de dollars et voit sa valorisation doublée par rapport à septembre. Le père de l’IA générative Claude annonce une projection de son chiffre d’affaires annuel à 14 milliards de dollars, dont 2,5 milliards pour Claude Code.
30 milliards et les usual suspects
Six mois après son dernier tour de table (13 milliards de dollars en septembre 2025), Anthropic remet le couvert : la société éditrice des modèles Claude a annoncé le 12 février une levée de fonds en série G (c’est-à-dire son septième tour de financement après l’amorçage initial) de 30 milliards de dollars. L’opération se fait sur la base d’une valorisation d’entreprise fixée à 380 milliards de dollars, contre 183 milliards en septembre dernier.
La valeur d’Anthropic a donc plus que doublé pour la longue liste des participants à cette levée de fonds. Le tour est emmené par les fonds GIC et Coatue, avec en deuxième ligne D. E. Shaw Ventures, Dragoneer, Founders Fund, ICONIQ, et l’émirati MGX, par ailleurs impliqué dans le projet Campus IA de Fouju, en région parisienne.
Derrière ces fonds figure encore une longue liste d’investisseurs, parmi lesquels Baillie Gifford (aussi chez GraphCore), BlackRock (bien implanté dans l’IA), Blackstone (présent au Royaume-Uni avec un datacenter IA), D1 Capital Partners, Qatar Investment Authority… ainsi que les usual suspects du financement de la Silicon Valley (Sequoia Capital, Menlo Ventures, Lightspeed Venture Partners) et plusieurs grandes banques (PMorganChase et Goldman Sachs).
Le tour intègre par ailleurs une partie des financements qui avaient déjà été promis par Microsoft et NVIDIA dans le cadre de l’accord stratégique de novembre dernier.
Chiffre d’affaires annuel estimé (run-rate) : 14 milliards de dollars
Anthropic profite de cette annonce pour afficher une projection de chiffre d’affaires annuel, calculée à partir de ses rentrées d’argent actuelles, à 14 milliards de dollars, contre un peu plus d’un milliard de dollars en janvier 2025.
Anthropic revendique un run-rate revenue (projection de chiffre d’affaires basée sur ses résultats actuels) à 14 milliards de dollars annuels
L’indicateur ne tient pas compte des perspectives de croissance envisagées pour la suite (le véritable nerf de la guerre, puisque ce sont elles qui devront à terme compenser les dépenses). À défaut de valeurs absolues quant à ses clients ou son chiffre d’affaires mensualisé, Anthropic revendique un x7 en 2025 sur le nombre de clients dépensant plus de 100 000 dollars par an (valeur déjà avancée en septembre dernier lors de son précédent tour de table). Le nombre de clients consommant plus d’un million de dollars par an serait supérieur à 500.
Claude Code se présente comme l’un des contributeurs majeurs à cette dynamique : son chiffre d’affaires annuel projeté s’établirait aujourd’hui à 2,5 milliards de dollars, un montant qui aurait doublé depuis le 1ᵉʳ janvier dernier, tout comme le nombre d’utilisateurs enregistrés. Plus de la moitié de ce chiffre d’affaires émane des entreprises, indique Anthropic.
La levée de fonds alimentera les besoins en fonds de roulement de la société (et donc le développement de ses futurs modèles), ainsi que son approvisionnement en infrastructures. Sur ce point, l’entreprise dirigée par Dario Amodei prend soin de souligner qu’elle ne dépend d’aucun partenaire de façon exclusive.
« Claude demeure le seul modèle d’IA de pointe disponible pour les clients sur les trois plus grandes plateformes cloud au monde : Amazon Web Services (Bedrock), Google Cloud (Vertex AI) et Microsoft Azure (Foundry). Nous entraînons et exécutons Claude sur une gamme diversifiée de matériel d’IA (AWS Trainium, Google TPU et GPU NVIDIA), ce qui nous permet d’adapter les charges de travail aux puces les mieux adaptées. Cette diversité de plateformes se traduit par de meilleures performances et une plus grande résilience pour les entreprises clientes qui dépendent de Claude pour leurs tâches critiques. »
VIGINUM annonce pouvoir collecter les données issues des petites plateformes où sont souvent pensées les opérations de manipulations contre la France, relève l’AFP.
Un décret, présenté hier en Conseil des ministres et publié ce 12 février au Journal officiel, dote en effet le service de vigilance et de protection contre les ingérences numériques étrangères de « moyens renforcés ».
Il supprime le « seuil minimal de 5 millions de visiteurs uniques par mois » qui fixait le « périmètre des plateformes sur lesquelles Viginum (pouvait) collecter des données à caractère personnel ».
Il élargit également le champ de cette collecte, « en particulier en l’étendant aux interfaces en ligne au sens du DSA », et allonge par ailleurs les durées de conservation des données et de renouvellement des collectes. Cette extension permet de conserver des « archives » pour faire face aux acteurs dits « persistants », explique une source sécuritaire à l’AFP.
Après quelques années en service, les autorités se sont aperçues qu’« un certain nombre d’opérations d’ingérence numérique étrangère se préparaient sur des petites plateformes pour que cela soit moins visible des outils de modération », poursuit cette source, citant notamment l’exemple de Discord.
Le décret octroie par ailleurs au service de nouvelles missions en matière de documentation des modes opératoires, de recherche et d’information du public, ainsi qu’aux actions d’éducation aux médias, et précise le cadre d’action de certaines missions déjà exercées, en particulier en matière électorale.
Viginum
Dans sa délibération associée, la CNIL « prend acte des justifications » présentées par le secrétaire général de la défense et de la sécurité nationale (SGDSN), et « considère que le projet de décret comporte des garanties propres à assurer le respect du principe de minimisation des données lors de la collecte des données qui est rendue possible dès la phase de veille/détection ».
Elle relève par ailleurs que sa « nouvelle mission de recherche et développement implique la réutilisation des données collectées par Viginum pour une nouvelle finalité, de conception, d’entraînement et de développement d’outils utilisant l’IA en appui aux missions du service. »
Challenges rappelle de son côté que VIGINUM a publié en décembre dernier un guide de sensibilisation à la protection du débat public numérique en contexte électoral, en prévision des municipales les 15 et 26 mars prochains.
« D’ores et déjà, tous les cadres dirigeants des partis politiques ont été reçus ces dernières semaines par Nicolas Roche, le patron du SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale), pour un brief sur les risques d’ingérences étrangères à l’occasion des municipales. »
Une étude de chercheuses de la Business School de Berkeley montre que le recours volontaire à l’IA augmente certes la productivité des employés, mais au prix d’un « nouveau rythme » de travail multitâche et d’un « cercle vicieux » générant workslop, burnout et turnover. Elle appelle les managers et employés à prendre la mesure du phénomène avant qu’il ne soit trop tard.
Dimanche dernier, un billet de blog intitulé « La fatigue liée à l’IA est bien réelle, mais personne n’en parle » faisait le buzz sur les réseaux sociaux. Le développeur Siddhant Khare y déplorait que « quand chaque tâche prend moins de temps, on ne fait pas moins de tâches, on en fait plus. Nos possibilités semblent s’étendre, donc le travail s’étend en fonction ».
Il y soulignait également que le passage d’une gestion lente mais concentrée sur un seul problème à celle de cinq ou six sujets différents en une journée l’empêche de retrouver le même état de « concentration profonde » qu’il connaissait auparavant, s’inquiétant d’une potentielle « atrophie de la pensée ».
Lundi, une étude publiée dans la Harvard Business Review est venue confirmer ses dires. « L’IA ne réduit pas la charge de travail, elle l’intensifie », y écrivent Aruna Ranganathan et Xingqi Maggie Yew, chercheuses à la Business School de l’université de Berkeley.
Elles ont étudié pendant huit mois, d’avril à décembre 2025, la manière dont l’IA générative avait modifié les habitudes de travail dans une entreprise technologique américaine comptant environ 200 employés. Elles y sont allées deux fois par semaine afin d’observer comment y travaillaient les employés, suivant également leurs canaux de communication internes, et procédant à plus de 40 entretiens approfondis :
« Nous avons constaté que les employés travaillaient à un rythme plus soutenu, assumaient un éventail de tâches plus large et prolongeaient leur journée de travail, souvent sans qu’on leur demande de le faire. De leur propre initiative, les employés en faisaient plus parce que l’IA leur donnait le sentiment que “faire plus” était possible, accessible et, dans de nombreux cas, intrinsèquement gratifiant. »
Les chercheuses soulignent que l’entreprise en question ne leur imposait aucunement de recourir à l’IA, se bornant à leur proposer des abonnements d’entreprise à des IA disponibles dans le commerce. « Si cela peut sembler être un rêve devenu réalité pour les dirigeants, les changements induits par l’adoption enthousiaste de l’IA peuvent s’avérer insoutenables et causer des problèmes à long terme », alertent cela dit les autrices :
« Une fois l’enthousiasme des premiers essais retombé, les employés peuvent se rendre compte que leur charge de travail a augmenté discrètement et se sentir dépassés par toutes les tâches qui leur incombent soudainement. Cette augmentation insidieuse de la charge de travail peut à son tour entraîner une fatigue cognitive, un épuisement professionnel et une prise de décision affaiblie. La hausse de productivité observée au début peut laisser place à une baisse de la qualité du travail, à un turnover élevé et d’autres problèmes. »
Un pharmakon : à la fois remède, poison, et bouc émissaire
Les chercheuses ont identifié trois formes principales d’intensification : l’élargissement du périmètre des tâches effectuées, le flou qui s’instaure entre travail et vie privée, la banalisation du multitâches.
L’IA pouvant assister ses utilisateurs dans des domaines où ils n’ont pas de compétences particulières, « les employés ont progressivement assumé des responsabilités qui incombaient auparavant à d’autres », relèvent les chercheuses. Les chefs de produit ont commencé à écrire du code, les chercheurs se sont attelés à des tâches d’ingénierie quand d’autres « se sont essayés à des tâches qu’ils auraient auparavant externalisées, reportées ou évitées ».
L’IA générative a en effet rendu envisageable d’effectuer des tâches qui, jusque-là, paraissaient a priori infaisables, faute de compétences dédiées. Les chercheuses ont constaté que les employés ont commencé à prendre en charge des tâches qui auraient préalablement nécessité une aide ou du personnel supplémentaires. Non content de réduire la dépendance vis-à-vis des autres, ce recours à l’IA offre en outre « une amélioration cognitive stimulante » aux personnes ainsi « augmentées ».
Sauf que, à la manière des prises de risque que peuvent générer de faux sentiments de sécurité, cette émancipation est aussi un pharmakon, et donc à la fois un remède, un poison, et un bouc émissaire, qui n’est pas sans rappeler la potentielle émergence d’une « bêtise artificielle » contre laquelle alerte la philosophe Anne Alombert.
Les chercheuses évoquent par exemple le temps passés par des ingénieurs à devoir réviser et corriger les mémos générés par IA de personnes ne disposant pas de compétences appropriées, ou encore le temps perdu à finaliser des pull requests et à remettre au propre du code développé en mode « vibe-coding » par des dev’ ne maitrisant pas le langage de programmation en question.
Un temps perdu que nous avions déjà chroniqué dans un article consacré au « workslop », terme désignant précisément les travaux de piètre qualité obligeant employés et managers à « refaire le job » que des gens moins qualifiés ont effectué grâce à l’IA dans des domaines qu’ils ne maitrisent pas, ou pas assez.
La frontière entre travail et temps libre devient poreuse
Les chercheuses ont également constaté que le fait de pouvoir expérimenter des tâches jusqu’alors inenvisageables contribue également à alimenter un flou entre ce qui relève du travail et de la vie privée. Des employés ont ainsi commencé à expérimenter de nouvelles compétences professionnelles sur leurs temps de pause déjeuner, le soir ou le week-end.
Le fait de pouvoir avoir des « conversations » avec les chatbots, et que ces tâches s’apparentent à la fois à des défis, énigmes, missions et nouveaux apprentissages, accroît également la propension à pouvoir s’y atteler, ou y retourner, en-dehors de ses horaires de travail.
« La frontière entre le travail et le temps libre n’avait pas disparu, mais elle était devenue plus facile à franchir », résument les chercheuses, à qui des employés ont déclaré avoir réalisé, souvent après coup, qu’à mesure que le fait de travailler pendant les pauses devenait une habitude, les temps morts ne leur procuraient plus le même sentiment de récupération.
Un « nouveau rythme » de travail multitâche
Le fait de pouvoir être assisté par un « partenaire » ou « assistant » dédié, susceptible de les aider en matière de productivité dans leur charge de travail, a aussi poussé certains employés à vouloir en faire plus qu’avant, dans le même temps. L’IA a ainsi introduit un « nouveau rythme » de travail permettant à des employés de gérer plusieurs tâches actives à la fois.
Si ce mode « multitâches » peut donner l’impression d’être « boosté » voire « dopé », il requiert aussi de devoir fréquemment changer de sujet d’attention, pour vérifier et relancer les propositions de l’IA, et de faire face à un nombre croissant de tâches à la fois. De quoi générer une charge mentale cognitive supplémentaire, facilitant de surcroit les problèmes de concentration.
Cette façon de courir sur plusieurs fronts entraîne elle-même une fatigue accrue. De nombreux travailleurs ont ainsi remarqué qu’ils faisaient plus de choses à la fois et ressentaient plus de pression qu’avant d’utiliser l’IA, « même si le gain de temps résultant de l’automatisation était censé réduire cette pression », soulignent les chercheuses.
Un cercle vicieux : on ne travaille pas moins mais autant, voire plus
Alors que l’IA faisait miroiter des gains de productivité, ces derniers pourraient dès lors et dans le même temps entraîner des risques de burnout et de turnover, et donc de baisse de la productivité. Les chercheuses en concluent que ces combinaisons de travaux et (multi)tâches « augmentés » ont « créé un cercle vicieux », et que « cela place les dirigeants dans une situation délicate », voire au risque de « ne pas se rendre compte du coût de ces gains avant qu’il ne soit trop tard » :
« L’IA a accéléré certaines tâches, ce qui a accru les attentes en matière de rapidité ; cette rapidité accrue a rendu les travailleurs plus dépendants de l’IA. Cette dépendance accrue a élargi le champ d’action des travailleurs, ce qui a encore augmenté la quantité et la densité du travail. Plusieurs participants ont fait remarquer que, même s’ils se sentaient plus productifs, ils ne se sentaient pas moins occupés, et dans certains cas, ils se sentaient même plus occupés qu’auparavant. »
Comme l’a résumé un ingénieur : « On pensait que, peut-être, grâce à l’IA, on serait plus productif, on gagnerait du temps et on travaillerait moins. Mais en réalité, on ne travaille pas moins. On travaille autant, voire plus. »
Or, ce type de surmenage peut altérer le jugement, augmenter le risque d’erreurs, la fatigue voire l’épuisement professionnel, et un sentiment croissant qu’il est plus difficile de se détacher du travail, résument les chercheuses.
Contrer les effets épuisants et individualisants de l’IA
Cherchant à anticiper ce que les managers pourraient faire pour aider leurs employés à sortir de ce « cercle vicieux », elles écartent d’emblée le fait de leur demander de s’autoréguler. Elles estiment que les entreprises devraient élaborer un ensemble de normes et standards destinés à recadrer l’utilisation de l’IA, plutôt que de la laisser dévorer le temps de cerveau disponible des employés.
Elles incitent les managers à mettre en place des « pauses intentionnelles » afin d’évaluer l’état d’avancement des travaux, voire reconsidérer les hypothèses de base avant de continuer plus avant. Des propositions qui font écho à celles de Siddhant Khare, qui recommande de passer à autre chose si 30 minutes de conversation avec un chatbot ne s’avèrent pas satisfaisantes.
Les chercheuses proposent aussi de séquencer le temps de travail, avec des plages horaires protégeant les employés de toute interruption, et le regroupement des notifications non urgentes :
« Plutôt que de réagir à chaque résultat généré par l’IA au fur et à mesure qu’il apparaît, le séquençage encourage le travail à progresser par phases cohérentes. Lorsque la coordination est rythmée de cette manière, les travailleurs subissent moins de fragmentation et moins de changements de contexte coûteux, tandis que les équipes maintiennent leur rendement global. En régulant l’ordre et le calendrier du travail, plutôt qu’en exigeant une réactivité continue, le séquençage peut aider les organisations à préserver l’attention, à réduire la surcharge cognitive et à favoriser une prise de décision plus réfléchie. »
Les chercheuses invitent également les entreprises à organiser des temps de dialogue et de débriefing permettant aux employés d’échanger sur leurs pratiques respectives et ce que l’IA a pu changer. L’objectif serait tout autant d’ « interrompre l’utilisation continue et isolée de l’IA » que d’aider à « retrouver une certaine perspective », réancrer le travail dans un contexte social et « contrer les effets épuisants et individualisants d’un travail rapide et médiatisé par l’IA ».
« L’IA facilite l’accomplissement de tâches supplémentaires, mais rend plus difficile de s’arrêter », concluent les chercheuses, qui appellent à « préserver des moments de récupération et de réflexion, même lorsque le rythme de travail s’accélère » :
« La question qui se pose aux organisations n’est pas de savoir si l’IA va changer le travail, mais si elles vont activement façonner ce changement ou le laisser les façonner discrètement. »
Connexion
