Bercy a informé mercredi soir, par voie de communiqué, d’une intrusion dans le fichier national des comptes bancaires et assimilés (Ficoba), qui liste tous les comptes bancaires ouverts en France. Les services de la DGFiP assurent que les accès illégitimes ont été restreints, mais préviennent que les données de 1,2 million de comptes ont pu être exposées.

Dans une actualité marquée à la fois par la récurrence des fuites de données et par les velléités grandissantes de constitution de fichiers centralisés, l’incident revêt une portée symbolique particulière. Cette fois, ce sont en effet les services de Bercy qui informent, mercredi en fin d’après-midi, d’une intrusion dans un fichier particulièrement sensible : le Ficoba, ou fichier national des comptes bancaires et assimilés, qui liste tous les comptes bancaires ouverts, mais aussi les coffres-forts loués en France.

L’intrusion a pris la forme d’un accès non autorisé, que le service de presse de Bercy décrit de la façon suivante :

« A compter de la fin janvier 2026, un acteur malveillant, qui a usurpé les identifiants d’un fonctionnaire disposant d’accès dans le cadre de l’échange d’information entre ministères, a pu consulter une partie de ce fichier qui recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel : coordonnées bancaires (RIB / IBAN), identité du titulaire, adresse et, dans certains cas, l’identifiant fiscal de l’usager. »

Les finances publiques assurent que dès détection de l’incident, « des mesures immédiates de restriction d’accès ont été mises en œuvre afin de stopper l’attaque, de limiter l’ampleur des données consultées et extraites de cette base ». Le périmètre exposé concernerait tout de même 1,2 million de comptes, qui devraient faire l’objet d’une prise de contact. « Les usagers concernés recevront dans les prochains jours une information individuelle les alertant qu’un accès à leurs données a pu être constaté. »

Outre le dépôt de plainte et la notification à la CNIL exigés en de telles circonstances, Bercy indique d’être rapproché des établissements bancaires afin que ces derniers participent à la sensibilisation des contribuables concernés. Le ministère promet enfin que les services et agences de l’État, parmi lesquels le service du haut fonctionnaire de défense et de sécurité (HFDS) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont mobilisés autour de la sécurisation du système d’information concerné.

Le Ficoba enregistre, d’après la CNIL, les informations de plus de 80 millions de personnes physiques, françaises ou non, qui ont un compte bancaire en France. Il répertorie les données d’identification du titulaire, les éléments d’identification du compte et ses dates d’ouverture ou de modification. Il ne liste en revanche « aucun élément concernant l’historique des opérations effectuées sur le compte concerné ou sur son solde ».

La combinaison des informations exposées se prête néanmoins à des scénarios d’ingénierie sociale poussés, à l’instar des données volées récemment sur la plateforme Choisir le service public.

La Russie veut obliger les fournisseurs d’accès à Internet et de téléphonie mobile à se conformer aux ordres du service de sécurité intérieure russe FSB, successeur du KGB, visant à interrompre les services de télécommunications, rapporte The Moscow Times.

Le projet de loi, adopté mardi par la Douma d’État, chambre basse du Parlement russe, est censé contribuer à protéger les Russes et les institutions publiques contre les menaces pour la sécurité tout en préservant les entreprises de télécommunications de poursuites judiciaires. Et ce, alors que les régions du pays sont de plus en plus confrontées à des perturbations généralisées de l’internet et des réseaux mobiles en raison des attaques de drones ukrainiens, souligne le Moscow Times.

Le projet de loi, qui a été approuvé par 393 législateurs (sur 450, avec 13 voix contre), a depuis subi plusieurs modifications, notamment la suppression des références aux « menaces pour la sécurité » comme justification des fermetures et la modification des pouvoirs accordés au FSB, qui passent de la délivrance de « demandes » à celle d’« exigences » contraignantes.

• La Russie teste son « internet souverain »

Outre les services Internet et mobiles, le projet de loi permettrait également aux responsables de la sécurité de bloquer les appels téléphoniques, les SMS et même les services postaux, a déclaré Igor Lebedev, vice-ministre russe des Communications.

Pour entrer en vigueur, les modifications apportées à la loi russe sur les communications doivent encore être approuvées par le Conseil de la Fédération, la chambre haute du Parlement, et signées par Vladimir Poutine.

The Moscow Times, dont la rédaction s’est relocalisée à Amsterdam suite à l’invasion de l’Ukraine par la Russie, a depuis été classé « organisation indésirable » et l’accès à son site web est bloqué par le Roskomnadzor dans le pays.

• En Russie, même les pro-Kremlin ont du mal à comprendre le blocage de WhatsApp et Telegram

ML récidiviste

Aux Pays-Bas, le ministère de la Justice vient de mettre au jour les dysfonctionnements d’un système algorithmique déployé pour tenter de prévoir la récidive d’individus suspects ou condamnés. Alors que l’administration cherche à le réparer, des défenseurs des droits humains soulignent que ce type d’usage du machine learning est critiqué depuis une décennie.

Un nouveau système algorithmique prompt aux erreurs a été épinglé aux Pays-Bas. Ce 12 février, le ministère de la Justice néerlandais a publié un rapport relatif au système utilisé par les services de probation Reclassering Nederland pour évaluer le risque de récidive chez les détenus déjà condamnés comme chez les personnes en détention provisoire.

L’audit fait partie intégrante d’un travail plus large sur les systèmes algorithmiques utilisés à travers l’administration, lui-même initié à la suite de deux scandales relatifs à des outils biaisés.

Pendant près d’une dizaine d’années, l’administration fiscale néerlandaise a en effet recouru à un système qui a demandé des sommes faramineuses et indues à des familles généralement ciblées pour leurs origines étrangères. De même, des systèmes de détection de fraude aux prêts étudiants accusaient beaucoup plus fréquemment les étudiants issus de minorités ethniques, donc à leur faire subir plus fréquemment des contrôles.

• Algorithme de la CAF : des organisations européennes rejoignent la Quadrature du Net

Consommation de drogues et problématiques psychologiques non pris en compte

Dans le cas présent, le système algorithmique incriminé a été utilisé pour traiter de l’ordre de 44 000 cas par an, et aider à évaluer si ces personnes risquaient plus ou moins de récidiver.

Un tel cas d’usage rappelle les premiers grands travaux sur les travers que ce type d’outils créent sur le terrain en termes d’égalité devant la loi. En 2016, le journal ProPublica publiait ainsi une enquête au long cours démontrant qu’aux États-Unis le système COMPAS (Correctional Offender Management Profiling for Alternative Sanctions) qualifiait beaucoup plus fréquemment les suspects noirs de risque de récidives que les suspects blancs, à tort.

Dans le cas néerlandais, le système, nommé OxRec, fournit de mauvais résultats dans 20 % des cas et ne correspond pas aux standards gouvernementaux d’utilisation. Depuis 2018, les formules normalement utilisées pour évaluer les personnes déjà condamnées et suspectes ont été inversées, la consommation de drogues n’est pas correctement prise en compte, et les problématiques psychologiques graves ne sont pas prises en considération, relève l’enquête administrative. Le système a par ailleurs été entraîné sur d’anciennes données issues de prisons suédoises, et non sur la population des prisons néerlandaises.

• Australie : la commission royale étrille les responsables du système de robot-dette

Pause avant remise en service

Suite à ce rapport, Reclassering Nederlands a stoppé l’utilisation d’OxRec. Le ministère de la Justice néerlandais a en revanche expliqué « chercher à le remettre en service dès que toutes les améliorations auront été déployées, car une utilisation responsable de cet algorithme contribue à l’efficacité et à la cohérence des conseils en termes de probation », souligne sur LinkedIn Alexander Laufer, chercheur auprès d’Amnesty International.

Pour les enquêteurs du ministère de la Justice, le plus gros risque que posent les dysfonctionnements du système est en effet que des probabilités de récidive aient été sous-évaluées.

En 2020, des scientifiques avaient quant à eux émis une alerte sur l’usage des codes postaux dans OxRec, expliquant que cela pouvait mener de manière indirecte à des logiques de profilage ethnique. D’après la directrice du service de probation Jessica Westerik, ces alertes avaient été prises « très au sérieux », mais les services avaient conclu qu’il existait suffisamment de preuves scientifiques pour considérer que l’adresse et les revenus étaient des paramètres.

Alexander Laufer, lui, rappelle que la prédiction de la récidive est « une des applications les plus controversées » du machine learning, et que le consensus scientifique estime désormais « (1) que ça ne fonctionne pas et (2) que ç’a des conséquences discriminatoires sévères et imprévisibles », y compris en termes d’accès à un procès équitable.

• Peut-on corriger les biais des algorithmes ?

« L’impunité des géants doit cesser », affirmait le Premier ministre espagnol, Pedro Sánchez, dans un message diffusé sur le réseau social X ce mardi 17 février. Il y annonçait ainsi que le gouvernement espagnol allait demander à la justice « d’enquêter sur les délits que X, Meta et TikTok pourraient commettre en créant et en diffusant de la pornographie infantile par le biais de leurs IA ».

« Ces plateformes portent atteinte à la santé mentale, à la dignité et aux droits de nos enfants », a-t-il ajouté, « l’État ne peut pas l’admettre ».

L’agence Reuters rapporte qu’un jeune Espagnol sur cinq, principalement des filles, affirme que des deepnudes d’elles et eux ont été créées par l’IA et partagées en ligne alors qu’ils et elles étaient mineurs, a déclaré le bureau de Sanchez, citant l’organisation de défense des droits Save the Children.

Jusque-là, c’est X et les deepfakes de Grok qui étaient surtout visés par des menaces judiciaires, mais le gouvernement espagnol semble élargir sa cible à Meta et TikTok sans pour autant détailler les reproches qu’il leur fait.

« TikTok dispose de systèmes robustes pour contrecarrer les tentatives d’exploitation ou de préjudice envers les jeunes, et nous continuons à donner la priorité et à investir dans des technologies de pointe afin de garder une longueur d’avance sur les acteurs malveillants », affirme le réseau social de partage de vidéos dans un communiqué envoyé à Reuters, tandis que X et Meta n’ont pas répondu à nos confrères sur le sujet.

Sous le tapis

L’affaire qui oppose, aux États-Unis, une jeune femme aux plateformes de réseaux sociaux documente la façon dont Meta gère les recherches internes que l’entreprise lance sur les conséquences de ses produits. Des emails montrent ainsi que des travaux sont enterrés quand ils ne vont pas dans le sens de l’entreprise.

La semaine dernière s’est ouvert aux États-Unis le procès opposant Meta et Google à une plaignante âgée de 20 ans, Kaley G. M., et sa mère, qui les accusent de provoquer et entretenir l’addiction chez les jeunes. Comme nous l’expliquions, Snap et TikTok ont aussi été mis en cause mais ces deux entreprises ont préféré négocier un accord avec les plaignantes.

Les techniques pour attirer et garder l’auditoire de YouTube mais aussi des plateformes de réseaux sociaux Facebook et Instagram de Meta vont donc être particulièrement scrutées pendant ce procès.

Mais l’avocat de Kaley G. M, Mark Lanier, profite de l’accès aux documents internes de Meta que lui offre ce procès pour pointer la façon dont Meta choisit de rendre publiques ou pas, voire d’abandonner totalement les recherches que l’entreprise fait sur l’utilisation de ses produits.

Une étude interne de Meta qui remonte via le procès

En effet, comme nous en faisions part récemment, de plus en plus de recherches sur le numérique sont menées en lien avec les entreprises du secteur. Souvent, les auteurs n’informent pas correctement sur les liens qui les relient à Meta, X, Google ou Microsoft, par exemple. Ainsi, 29 % des articles scientifiques à propos des réseaux sociaux oublient de mentionner leurs liens d’intérêt.

Dans ce procès, Mark Lanier a mis en avant une étude menée par Meta en collaboration avec des chercheurs de l’Université de Chicago qui, selon lui, montre que le fait que les parents surveillent de près l’utilisation par leurs ados des réseaux sociaux n’a que très peu d’effet sur une utilisation compulsive ou non. Cette étude, nommée « Project Myst » pour Meta and Youth Social Emotional Trends, sondait 1 000 adolescents et leurs parents à propos de leurs usages des réseaux sociaux, explique Associated Press.

L’avocat n’a pas diffusé l’entièreté de l’étude, mais cite trois extraits repris par l’association The Tech Oversight Project. L’un affirme que « les facteurs parentaux et familiaux ont peu d’influence sur le niveau d’attention que les adolescents déclarent accorder à leur utilisation des réseaux sociaux ». Le deuxième conclut qu’ « il n’y a aucun lien entre ce que rapportent les parents et les adolescents concernant la surveillance/l’accompagnement numérique des parents et les mesures de l’attention ou des capacités des adolescents telles qu’elles ressortent de l’enquête ». Et le troisième que « les adolescents qui ont déclaré avoir vécu un plus grand nombre d’expériences négatives dans leur enfance, telles qu’une relation étroite avec une personne ayant des problèmes d’alcoolisme ou souffrant d’alcoolisme, ou avoir été victimes d’intimidation ou de harcèlement à l’école, ont déclaré être moins attentifs à leur utilisation des réseaux sociaux ».

Sans publication, des interprétations divergentes

Selon TechCrunch, Mark Lanier a interprété devant la Cour ces conclusions de l’étude comme le fait que les outils de contrôle parental d’Instagram ou ceux de limitation du temps d’utilisation sur les smartphones n’auraient pas vraiment d’effet sur l’utilisation excessive des réseaux sociaux sur les ados. Pour autant, il est difficile d’aller dans son sens ou de conclure autre chose sans avoir accès à l’étude en question.

Nos confrères soulignent que, bien qu’un document semble montrer qu’il a donné son accord pour la mise en place de MYST, le patron d’Instagram, Adam Mosseri, a affirmé dans son témoignage ne pas se rappeler du projet : « Nous menons de nombreux projets de recherche », a-t-il affirmé devant la Cour.

Les avocats de Meta ont plus insisté sur le fait que l’étude cherchait à déterminer non pas si les adolescents étaient réellement dépendants, mais s’ils avaient le sentiment d’utiliser trop les réseaux sociaux. Concernant l’utilisation excessive des réseaux sociaux par les adolescents, ils ont mis l’accent sur la responsabilité des parents et les problèmes rencontrés dans la vie plutôt que sur les produits de leur client, pointant le divorce des parents de Kaley, son père violent et le harcèlement qu’elle a subi à l’école.

Après Memphis, Southaven, de l’autre côté de la frontière entre le Tennessee et le Mississippi. Aux États-Unis, la société d’Elon Musk xAI continue de défier les réglementations environnementales en recourant à des générateurs illégaux au gaz pour alimenter ses centres de données.

Depuis 2025, le supercalculateur Colossus que xAI a construit à Memphis est critiqué par la population locale et des associations de défense de l’environnement pour la pollution à l’oxyde d’azote que ses générateurs rejettent dans l’air.

• Le supercalculateur de xAI accusé de polluer l’air de Memphis

Sollicitée, l’agence états-unienne de la protection de l’environnement (EPA) a rappelé qu’en vertu du Clean Air Act (loi sur la qualité de l’air), l’usage de ce type de générateur était soumis à autorisation. Le comté dans lequel se trouve Colossus a finalement autorisé 15 turbines, alors que le data center en utilisait initialement plus d’une trentaine.

Depuis ces premiers aléas, cela dit, xAI a créé Colossus 2, un deuxième data center situé juste à côté du premier. Pour l’alimenter en énergie, l’entreprise recourt de nouveau à des turbines à gaz, stockées de l’autre côté de la frontière.

Auprès du Guardian, les habitants témoignent de leurs inquiétudes, que ce soit vis-à-vis de la pollution sonore ou de l’air – d’après l’une des résidentes, Shannon Samsa, la ville compte « au moins 10 écoles dans un rayon de trois kilomètres autour du bâtiment ». Les pollutions émises au fil de leur fonctionnement ont été liées à diverses problématiques de santé comme l’asthme, le cancer du poumon ou des attaques cardiaques.

D’après les images thermiques récupérées par le média Floodlight, néanmoins, le centre de données de Southaven continue d’être alimenté grâce à ses générateurs. Depuis novembre, 18 des 27 turbines présentes, dont au moins 15 n’ont aucun permis, ont été utilisées.

Saisis, les régulateurs du Mississippi ont estimé que les turbines incriminées n’avaient pas besoin d’autorisation dans la mesure où elles sont stockées sur des remorques. Entité d’autorité nationale, l’EPA, elle, a statué en janvier : remorques ou non, ce type de dispositif ne peut être utilisé qu’après demande d’autorisation. À défaut, la moindre exception pourrait « permettre que ces engins fonctionnent en dehors de toute limitation d’émission », indique-t-elle dans sa décision (.pdf).

• États-Unis : la pollution des data centers pèse sur la santé publique

Google n’a pas dérogé à son calendrier. Sa conférence annuelle dédiée aux développeurs, la Google I/O, se tiendra comme tous les ans fin mai, dans ses locaux de Mountain View, avec une diffusion en ligne des principales sessions.

L’entreprise a confirmé mardi les dates définitives de l’événement, les 19 et 20 mai prochains. « Connectez-vous pour découvrir nos dernières avancées en matière d’IA et les mises à jour de nos produits dans toute l’entreprise, de Gemini à Android et bien plus encore », promet Google.

En 2025, l’événement annuel de Google avait, sans trop de surprise, accordé une place prépondérante à l’IA, avec une foule d’annonces relatives aux modèles Gemini, ainsi qu’à l’intégration progressive de fonctions d’IA générative au sein du moteur de recherche emblématique du groupe.

Google ne communique à ce stade aucun élément du programme de la conférence I/O 2026, mais il ne fait guère de doute que ses annonces suivront la même tendance, dans un contexte de concurrence accrue entre les poids lourds de l’IA générative.

Sur le volet mobile, Google vient tout juste de mettre en ligne la première bêta d’Android 17 destinée aux développeurs.

L’enregistrement à la Google I/O 2026 est ouvert sur le site dédié.

Alignez-vous qu'ils disaient

Le récent Institut national pour l’évaluation et la sécurité de l’IA (INESIA) a dévoilé sa feuille de route pour 2026 et 2027. Au menu : accompagnement des évolutions réglementaires, équipements face aux risques systémiques et coopération internationale.

Comment évaluer l’intelligence artificielle ? Comment détecter à temps ses comportements imprévus ? Limiter les risques que créent d’éventuels mésusages ? Telles sont certaines des questions auxquelles l’Institut national pour l’évaluation et la sécurité de l’IA (INESIA) inauguré le 31 janvier 2025 devra répondre au fil des deux prochaines années.

Dévoilé juste avant le Sommet de Paris sur l’action pour l’IA de février 2025, l’INESIA réunit l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’Inria, le laboratoire national de métrologie et d’essais (LNE) et le pôle d’expertise de la régulation numérique (PEReN) pour « soutenir le développement de l’intelligence artificielle et accompagner la transformation de l’économie qu’elle induit ». Cette mission s’effectue tout en « étudiant scientifiquement les effets de ces technologies », en particulier « en termes de sécurité ».

Pour 2026 et 2027, elle s’effectuera selon trois axes, détaille sa feuille de route publiée mi-février. Pilotée par la Direction générale des Entreprises (DGE) et le Secrétariat général de la défense et de la sécurité nationale (SGDSN), l’entité travaillera en effet au soutien à la régulation, notamment en matière de mise en œuvre du règlement européen sur l’intelligence artificielle (RIA, ou AI Act), à la maîtrise des « risques systémiques » de ce type de technologies et à l’évaluation de la « performance et de la fiabilité des modèles et systèmes ». Certaines de ses actions prendront aussi un angle transverse, notamment pour tout ce qui touche à la veille académique et méthodologique, ou encore à l’animation scientifique autour de ses activités.

Performance, interprétabilité, « alignement aux valeurs et intentions humaines »

Le constat que dresse l’INESIA est aussi clair que succinct : « le rythme des progrès de l’IA ne faiblit pas », et à ce titre, les évolutions du secteur posent des questions de performance, d’interprétabilité, de robustesse face à l’imprévu, mais aussi « d’alignement aux valeurs et intentions humaines ».

L’institut ne définit pas ces différents termes, quand bien même les « valeurs et intentions humaines » varient certainement d’un individu à l’autre. La notion même d’alignement reste sujette à des débats scientifiques : certains, dont le Future of Life Institute, estiment nécessaire d’œuvrer à l’émergence d’IA « alignées » à des valeurs prédéfinies, faute de quoi ces systèmes créeraient de potentiels « risques existentiels » (un champ qui a notamment émergé des travaux du philosophe Nick Bostrom). D’autres, dont les chercheurs Timnit Gebru et Emile Torres, considèrent de leur côté que le champ de la « sécurité de l’IA » (AI safety) n’œuvre qu’à renforcer la course de l’industrie de l’IA.

• [Algorithmique 5/6] La politique de l’IA

Quoiqu’il en soit, dans l’environnement actuel, et notamment face au déploiement large de systèmes génératifs, « les méthodes d’évaluation conçues pour des systèmes fermés, monofonctionnels ou statiques, montrent leurs limites », indique l’INESIA. Pour faire face, et pouvoir notamment « mesurer et contenir les risques à fort potentiel systémiques, y compris ceux liés à la manipulation de l’information, à la cybersécurité ou à la déstabilisation de processus collectifs », l’entité compte participer au champ scientifique en devenir qu’est l’évaluation de l’IA.

Accompagner l’évolution réglementaire

Dans ses travaux, l’entité œuvrera à « construire une démarche scientifique et stratégique, structurer une capacité souveraine d’évaluation, coordonner les expertises publiques et mutualiser les moyens », et à agir dans les réseaux internationaux. En pratique, l’INESIA rejoindra notamment le réseau grandissant d’AI Safety Institutes, des instituts créés dans une dizaine de pays, et dont le réseau international a organisé sa première rencontre en novembre 2024.

Sur les enjeux d’appui à la régulation, elle accompagnera notamment la mise en œuvre du RIA, en fournissant des outils d’évaluation aux diverses autorités concernées. Elle poursuivra les travaux de détection des contenus synthétiques déjà en cours du côté de VIGINUm et du PEReN. Il s’agira enfin de créer des méthodes d’évaluation adaptées à la cybersécurité des systèmes d’IA comme aux produits de cybersécurité intégrant des technologies d’IA, dans le prolongement du projet Sécurité des Produits d’IA (SEPIA) que l’ANSSI mène depuis un an.

S’équiper face aux risques systémiques

Côté risques systémiques, il s’agira d’abord de développer les recherches permettant de mieux les caractériser, ce qui doit ensuite permettre à la puissance publique d’agir plus précisément. En la matière, l’INESIA vise notamment les usages d’IA à des fins de désinformation, d’attaque contre la cybersécurité, de déstabilisation d’un système économique, etc.

Elle prévoit d’identifier des projets de recherche ciblés, puis publiera des méthodes d’atténuation en source ouverte, « si opportun ». Les performances et les risques des systèmes d’IA agentiques seront plus particulièrement étudiés, notamment pour comprendre « leurs capacités en matière de cybersécurité et estimer la mesure des possibilités d’usages à des fins criminelles ».

Pour « stimuler la créativité de l’écosystème », enfin, l’INESIA prévoit de conduire des « challenges » pour « clarifier et faire progresser l’état de l’art ». Évoquant une émulation internationale de nature à faire progresser rapidement certaines technologies, elle cherchera à « susciter une « coopétition » » entre participants.

Meta indique aux utilisateurs de Messenger.com, la web app dédiée à la messagerie associée à Facebook, que cette dernière ne disposera plus d’un accès indépendant à compter du 15 avril prochain. En pratique, il faudra donc impérativement se connecter via l’interface « complète » de Facebook pour accéder à ses conversations dans un navigateur Web.

En décembre dernier, Meta avait déjà averti de la disparition progressive du client Messenger pour Windows. « Vous pouvez continuer toutes vos conversations directement depuis l’application de bureau Facebook, avec toutes les fonctionnalités dont vous disposiez sur l’application Messenger, comme les appels sur ordinateur », fait valoir le groupe dans sa note d’information.

La disparition de Messenger.com parait à première vue anecdotique puisque l’interface de Facebook propose un accès direct à la messagerie. Elle constitue cependant une forme de recul de la part de Meta vis-à-vis des engagements pris face à la Commission européenne début 2024 dans le cadre de l’application du DMA, le règlement sur les marchés numériques.

C’est en effet à cette occasion que Meta avait introduit la possibilité, pour les internautes européens, de se connecter de façon séparée à Facebook et à Messenger. « Les personnes qui choisissent de créer un nouveau compte Messenger sans leurs informations Facebook pourront utiliser l’offre de services de base de Messenger, tels que la messagerie privée et le chat, les appels vocaux et vidéo », promettait alors Meta.

Quelques jours après l’annonce d’un investissement significatif dans l’infrastructure en Suède, Mistral AI confirme que le sujet figure au cœur de ses préoccupations : l’entreprise a en effet formalisé mardi l’acquisition de la startup française Koyeb, spécialisée dans le déploiement serverless d’outils d’intelligence artificielle.

En pratique, elle fournit à ses clients un environnement d’exécution qui permet à ces derniers de ne pas avoir à se soucier de l’infrastructure physique précise qui sous-tend le fonctionnement de leurs applications ou modèles.

« La technologie Koyeb est indépendante du matériel et de l’environnement : elle fonctionne et s’adapte aux clouds, aux périphéries et aux infrastructures sur site. Que ce soit sur des CPU, des GPU ou des accélérateurs, Koyeb garantit des performances optimales, une évolutivité dynamique et un contrôle total de votre infrastructure », résume la startup sur son site.

Sa plateforme ira enrichir l’offre Mistral Compute, qui englobe tous les services d’infrastructure commercialisés par Mistral AI à partir de ses propres déploiements de serveurs et surtout de GPU, avec au dernier décompte 40 MW de puissance électrique programmés en France (pour alimenter 18 000 puces Blackwell), et bientôt 23 MW supplémentaires en Suède, en attendant la mise en service des premières tranches du fameux Campus IA de Fouju.

« Dans les prochains mois, nous prévoyons de devenir un composant essentiel de Mistral Compute et de renforcer nos capacités d’inférence, de sandbox et de serverless pour les serveurs MCP », affirment les trois cofondateurs de Koyeb, Yann Léger, Edouard Bonlieu, Bastien Chatelard, par ailleurs anciens de Scaleway.

Le montant de l’acquisition n’a pas été communiqué. Koyeb avait levé 1,6 million de dollars fin 2020, puis 7 millions de dollars fin 2023.

Tout ce qui brille n'est pas d'or

La Commission européenne a annoncé mardi l’ouverture formelle d’une enquête relative à Shein et ses pratiques commerciales, en vertu du DSA. Bruxelles cible notamment les systèmes censés prémunir la vente d’objets illicites comme les poupées pédopornographiques qui avaient défrayé la chronique fin 2025, mais aussi les risques liés à la conception addictive du service et la transparence toute relative des outils de recommandation de Shein.

Après les rappels à l’ordre et les demandes d’information, place à l’enquête formelle : la Commission européenne a annoncé mardi 17 février l’ouverture d’une procédure à l’encontre de la plateforme e-commerce chinoise Shein en vertu de la législation sur les services numériques (DSA, ou Digital Services Act).

L’exécutif européen indique que l’enquête visera à établir les éventuels manquements de Shein à la réglementation européenne « pour sa conception addictive, le manque de transparence des systèmes de recommandation, ainsi que la vente de produits illégaux, y compris de matériel pédopornographique ».

Première enquête formelle sur Shein dans le cadre du DSA

« Dans l’UE, les produits illégaux sont interdits, qu’ils se trouvent sur une étagère d’un magasin ou sur une place de marché en ligne. Le règlement sur les services numériques assure la sécurité des acheteurs, protège leur bien-être et leur fournit des informations sur les algorithmes avec lesquels ils interagissent. Nous évaluerons si Shein respecte ces règles et leur responsabilité », résume Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie.

Portée par sa promesse d’articles à très bas coût, avec des collections sans cesse renouvelées, la popularité de Shein a explosé au début des années 2020, jusqu’à s’imposer comme l’une des plateformes e-commerce les plus fréquentées par les internautes français. Au troisième trimestre 2025, Shein fédérait ainsi 19,5 millions de visiteurs uniques par mois, et 5 millions de visiteurs uniques quotidiens d’après le dernier baromètre établi par la Fédération e-commerce et vente à distance (Fevad) sur la base des chiffres de Médiamétrie.

À l’échelle européenne, Shein a de ce fait été qualifiée de très grande plateforme en ligne (ou VLOP, pour Very Large Online Platform) quelques semaines après l’entrée en vigueur du DSA, qui fixe pour mémoire des obligations spécifiques aux acteurs numériques dont l’audience dépasse 45 millions d’utilisateurs mensuels dans l’Union européenne.

Trois manquements au DSA à l’étude

Après trois « demandes de renseignements » (la façon polie de faire savoir à un acteur qu’il enfreint peut-être les règles) en juin 2024, février 2025 et novembre 2025, Bruxelles ouvre donc formellement la possibilité d’actionner le volet répressif du DSA.

Interpellé par la France suite au scandale des poupées sexuelles à caractère pédopornographique vendues sur la marketplace de Shein, l’exécutif européen confirme son intention d’investiguer les « systèmes mis en place par Shein visent à limiter la vente de produits illicites dans l’Union européenne,y compris les contenus susceptibles de constituer du matériel pédopornographique ».

L’enquête portera également sur deux aspects déjà largement reprochés à Shein (comme à son compatriote Temu) : « les risques liés à la conception addictive du service, y compris le fait de donner aux consommateurs des points ou des récompenses pour leur engagement », et « la transparence des systèmes de recommandation que Shein utilise pour proposer du contenu et des produits aux utilisateurs. »

Sur ce dernier point, l’Europe rappelle que « Shein doit divulguer les principaux paramètres utilisés dans ses systèmes de recommandation et fournir aux utilisateurs au moins une option facilement accessible qui ne repose pas sur le profilage pour chaque système de recommandation ».

Rappelons que Bruxelles a déjà ouvert une enquête similaire sur Temu. Les deux géants chinois s’exposent, s’ils finissaient par être condamnés sans avoir apporté à Bruxelles des gages de bonne foi, un amende pouvant aller jusqu’à 6 % de leur chiffre d’affaires annuel mondial.

En France, Shein a déjà accepté en juillet dernier de payer 40 millions d’euros d’amende suite à une enquête de la Répression des fraudes qui avait conclu que l’entreprise avait mis en place des pratiques commerciales trompeuses. Une amende de 1,1 million d’euros était tombée dans la foulée pour « information défaillante sur la qualité environnementale des produits ».

Shein assure de sa volonté de coopération

Shein a réagi mardi par l’intermédiaire d’un porte-parole, en assurant que le groupe prenait « très au sérieux » ses obligations relatives au DSA :

« Ces derniers mois, nous avons considérablement renforcé notre dispositif de conformité au DSA. Cela comprend la réalisation d’évaluations approfondies des risques systémiques, la mise en place de mesures de réduction et de gestion de ces risques, le renforcement des protections destinées aux jeunes utilisateurs, ainsi qu’un travail continu sur la conception de nos services afin de garantir une expérience en ligne sûre et fiable. »

Ce même porte-parole indique par ailleurs que Shein a déjà échangé avec la Commission européenne au sujet de la mise en place d’une solution tierce partie de vérification de l’âge des internautes.

Zero virgule cinq Knowledge

Une étude réalisée par des chercheurs de l’École polytechnique fédérale de Zurich révèle que Bitwarden, LastPass et Dashlane pourraient, dans des conditions exceptionnelles, permettre la divulgation du mot de passe principal de leurs utilisateurs, en dépit de leur promesse relative au chiffrement « Zero Knowledge ». Les trois services indiquent avoir déjà implémenté les corrections nécessaires.

Devenus incontournables dans le quotidien de millions d’internautes, les gestionnaires de mot de passe opérés dans le cloud offrent-ils les garanties de sécurité nécessaires et suffisantes ? Une étude menée sous l’égide de l’École polytechnique fédérale de Zurich (ETH Zurich) conclut que trois services parmi les plus populaires du secteur présentaient des vulnérabilités susceptibles de conduire à la divulgation ou à la modification du mot de passe principal du compte de l’utilisateur.

Au cours de leurs travaux, les chercheurs ont exploité un scénario possible, mais très hypothétique : celui d’une prise de contrôle du serveur chargé des interactions avec l’utilisateur final. Dans ce contexte exceptionnel, ils indiquent avoir réussi à mener douze attaques différentes conduisant à une compromission du mot de passe chez Bitwarden, contre sept pour LastPass et six chez Dashlane. Les chercheurs ne remettent pas en cause la sécurité des chiffrements mis en œuvre : d’après leurs observations, c’est principalement au niveau des mécanismes chargés de faciliter la vie des utilisateurs que se situent les vulnérabilités.

La promesse du Zero Knowledge

Les gestionnaires de mot de passe en ligne invoquent en général le concept de Zero Knowledge (littéralement, « aucune connaissance ») pour rassurer leurs utilisateurs quant à la sécurité de leurs données. Bien qu’il n’obéisse pas à une définition ou à des conditions techniques de mise en œuvre strictes, il suppose que le serveur qui stocke les mots de passe est littéralement incapable d’en connaître le contenu, parce que ce contenu est chiffré et que seul l’utilisateur final dispose de la clé privée indispensable à son déchiffrement.

« Techniquement, Dashlane ne possède pas d’autre clé, mais nous avons bâti un mécanisme de chiffrement qui garantit que votre coffre-fort est sécurisé avec votre clé et que les données du coffre-fort ne sont accessibles que par vous, le propriétaire. C’est pourquoi toutes les opérations sensibles de Dashlane, le chiffrement et le déchiffrement de votre coffre-fort en l’occurrence, sont effectuées localement sur votre appareil. Cela garantit que nous ne les voyons pas sur nos serveurs. », illustre par exemple Dashlane.

Cette promesse tient-elle toujours si le serveur qui héberge les mots de passe est compromis ? L’étude complète, annoncée et publiée par l’ETH Zurich (PDF), répond par la négative. Au cours de leurs travaux, les chercheurs indiquent en effet avoir mené avec succès quatre types d’attaques, exploitant respectivement les fonctionnalités de séquestre utilisées pour la récupération de compte et la connexion unifiée (SSO), les manquements du coffre-fort en matière d’intégrité, les fonctionnalités de partage et les outils dédiés à la rétrocompatibilité.

Une surface d’attaque augmentée par la complexité du code

Les auteurs précisent avoir sélectionné Bitwarden, LastPass et Dashlane à la fois parce que ces derniers peuvent être considérés comme représentatifs du secteur (par leur ancienneté et leur parc de clients, estimé à 60 millions d’utilisateurs cumulés, ou 23 % de parts de marché) et parce que le code de leurs clients logiciels est ouvert (totalement pour Bitwarden, partiellement pour les deux autres), contrairement à celui des solutions d’Apple ou de Google, très populaires puisque intégrées à leurs environnements mobiles.

Au total, 25 attaques ont donc ont été menées avec succès sur l’ensemble des services examinés. « Nous avons été surpris par la gravité des failles de sécurité », commente Kenneth Paterson, l’un des auteurs de l’étude, selon qui la découverte est d’autant plus criante que les gestionnaires de mots de passe constituent, par essence, une cible à très forte valeur perçue pour des attaquants. Les auteurs remarquent par ailleurs que si les conditions de test sont particulières (serveur malveillant), leurs attaques sont réalisées par le truchement d’interactions « normales » de l’utilisateur final avec le service.

Dans la discussion qui suit l’exposé de leurs attaques, ils remarquent que les gestionnaires de mot de passe sont tiraillés entre deux exigences contradictoires que sont la sécurité et le niveau de service fonctionnel rendu à l’utilisateur, qui s’attend à pouvoir récupérer son mot de passe en cas de perte, consulter son gestionnaire sur tous les écrans, ou disposer de fioritures telles que la création d’accès partagés.

« Après un examen plus approfondi, nous avons constaté que les gestionnaires de mots de passe sont loin d’être simples : ils ont évolué pour inclure des protocoles complexes pour la synchronisation, la récupération et la rotation des clés, le partage d’éléments chiffrés et la migration entre différentes primitives cryptographiques [les briques qui fournissent les fonctions de base du chiffrement, ndlr] », remarquent les auteurs. C’est, selon eux, cette complexité accrue qui augmenterait la surface d’attaque potentielle.

Les gestionnaires de mots de passe accusent réception

Avertis en amont de la publication de l’étude, les trois éditeurs de services concernés ont accusé réception de ces découvertes. « Tous les problèmes identifiés dans le rapport ont été traités », promet Bitwarden qui détaille les réponses apportées dans un rapport de transparence dédié (PDF). Trois ne seront cependant pas corrigés, parce que le remède compromettrait certaines fonctionnalités du service, indique tout de même l’éditeur. Qui profite de l’occasion pour « réaffirmer que Bitwarden n’a jamais subi de violation de données ».

Dashlane salue également ce travail de recherche, qualifié d’exercice utile, et précise avoir apporté tous les correctifs jugés nécessaires dans sa version 6.2544.1 publiée le 5 novembre dernier. Le service en profite pour souligner que les fonctionnalités de partage (basées sur une clé publique) et les mécaniques de synchronisation basées sur l’échange de transactions chiffrées sont des difficultés intrinsèques au service rendu.

« Cette recherche met en lumière plusieurs enseignements :
– Maintenir les méthodes cryptographiques à jour est essentiel pour la sécurité, mais cela introduit une complexité qui doit être gérée avec soin.
– L’authentification de clé publique à grande échelle est un défi connu que notre secteur doit relever. »

Même son de cloche du côté de LastPass, qui indique avoir déjà corrigé l’une des vulnérabilités mises au jour par l’ETH, et ajoute plancher sur la sécurisation des parcours de réinitialisation et de partage, ainsi que sur l’amélioration des mécanismes dédiés au contrôle d’intégrité.

Une démarche à laquelle adhèrent tacitement les chercheurs :

« Les vulnérabilités que nous décrivons sont nombreuses, mais pour la plupart mineures sur le plan technique. Pourtant, elles n’avaient apparemment pas été découvertes auparavant, malgré plus d’une décennie de recherche universitaire sur les gestionnaires de mots de passe et l’existence de multiples audits des trois produits que nous avons étudiés. Ceci motive la poursuite des travaux, tant sur le plan théorique que pratique. »

L’Europe accueille une nouvelle start-up de défense, et pas des moindres : installée à Amsterdam, Onodrim Industries veut « jeter les bases d’un nouveau noyau européen de défense », selon son communiqué.


La société indique travailler à une plateforme industrielle dédiée à la gestion de sujets de sécurité nationale. Pour se lancer, elle vient de lever 40 millions d’euros auprès de Founders Fund, l’un des fonds du financier américain Peter Thiel, Lakestar, General Catalyst et plusieurs fonds et business angels européens.

La société a été cofondée par l’ancien conseiller du gouvernement lituanien et responsable technologique de Palantir, Aistis Šimaitis, qui en sera le PDG ; l’ancien responsable ingénierie de Palantir, Alexander Blessing, qui en sera directeur technique ; et le financier Christian Garett. Avec son fonds 137 Ventures, ce dernier possède aussi des parts d’Anduril, société de défense fondée en 2017 par Palmer Luckey, de SpaceX, et de diverses sociétés de technologies militaires.

Dans un contexte de guerre en Ukraine et de grands changements géopolitiques, Onodrim déclare construire les outils qui permettront au Vieux continent de se défendre tout en restant compétitif. Italo-américain, Christian Garett précise avoir une « opportunité unique sur une génération » d’influer sur la manière dont les investissements renforcent « notre sécurité et notre base industrielle » dans la mesure où l’Europe se prépare à investir près de « 800 milliards d’euros pour ses dépenses de défense d’ici 2030 ». Le financement doit permettre de recruter des ingénieurs et créer des usines et des espaces de recherche et développement en Europe.

Onodrim est nommée d’après l’œuvre de Tolkien, dans laquelle il est utilisé pour nommer parfois les Ents, les esprits des forêts qui prennent l’apparence d’arbres. Ce faisant, elle s’inscrit directement dans le sillage de la multitude d’entités créées ou financées par Peter Thiel, à commencer par Palantir, Anduril, la banque Erebor, et diverses sociétés de capital-risque.

• Derrière l’infrastructure numérique pensée pour Gaza, Oracle et Palantir

Sur X, Christian Garett précise que le projet ne consiste pas à concurrencer Palantir et Anduril. Il évoque plutôt la possibilité de « s’appuyer » sur les « épaules » de ces « entreprises générationnelles ».

Next, can you clarify this shit show ?

Illustrée par une vague de deepfakes visant à dénuder des femmes sur X, la permissivité de l’IA générative Grok en matière de détournements de photos soumises par des internautes n’en finit plus de faire des vagues, en France comme dans le reste du monde. Récap’ au long cours d’une ténébreuse affaire…

« Grok, mets-la en bikini ». Déjà étendue aux propos négationnistes tenus par Grok, l’enquête sur X lancée par le parquet de Paris à l’été 2025 a gagné début janvier un nouveau volet, relatif à la vague d’images de femmes virtuellement dénudées sans leur consentement. Depuis, les réactions et les menaces de rétorsion s’enchaînent, en Europe comme dans le reste du monde, compliquant la compréhension de la controverse qui enfle.

Pour essayer d’en simplifier le suivi, Next se propose de centraliser les différents rebondissements de l’affaire au sein de cet article, avec une lecture antéchronologique des faits. Cet article est donc susceptible d’être actualisé.

Publication initiale le 9 janvier à 12 heures. Dernière modification le 17 février à 10h25

17 février – La Commission de protection des données irlandaise ouvre une enquête contre X

La Data Protection Commission (DPC), équivalente à la CNIL en Irlande, a annoncé ce mardi 17 février avoir ouvert une enquête contre le réseau social d’Elon Musk. Le régulateur irlandais a la responsabilité de faire appliquer le RGPD à X qui a, comme beaucoup d’autres entreprises étatsuniennes, son siège social en Irlande.

L’enquête prend l’angle du RGPD pour investiguer sur la génération de deepfakes visant à dénuder des femmes et des enfants sur X. La Commission irlandaise ne veut pas encore affirmer que cette génération a été rendue possible sur X par Grok.

Elle explique que son enquête « porte sur l’apparente création et publication sur la plateforme X d’images potentiellement préjudiciables, intimes et/ou à caractère sexuel non consensuelles, contenant ou impliquant le traitement de données à caractère personnel de personnes concernées de l’UE/EEE, y compris des enfants, à l’aide d’une fonctionnalité d’intelligence artificielle générative associée au modèle de langage Grok au sein de la plateforme X ».

« La DPC collabore avec X depuis que les médias ont commencé à faire état, il y a plusieurs semaines, de la capacité présumée des utilisateurs de X à demander au compte @Grok sur X de générer des images à caractère sexuel de personnes réelles, y compris des enfants », affirme dans le communiqué le commissaire adjoint Graham Doyle. « En tant qu’autorité de contrôle principale pour X dans l’UE/EEE, la DPC a lancé une enquête à grande échelle qui examinera le respect par X de certaines de ses obligations fondamentales au titre du RGPD en rapport avec les questions en cause ».

3 février – Les locaux français de X perquisitionnés dans le cadre de l’enquête du parquet de Paris

Dans ce qu’il présente comme son dernier message sur son compte X, le Parquet de Paris a annoncé diligenter une perquisition dans les locaux français de X. Elle est confiée à sa section de lutte contre la cybercriminalité en coordination avec l’Unité Nationale Cyber de la Gendarmerie et Europol, dans le cadre de son enquête ouverte en janvier 2025 contre X à l’origine pour ingérence étrangère. Celle-ci avait étendu une première fois après des propos négationnistes générés par Grok et une seconde fois après la vague massive de deepfakes.

Le Parquet en profite pour ajouter qu’il quitte X et propose de retrouver sa communication sur LinkedIn et Instagram. « Parallèlement, des convocations aux fins d’auditions libres le 20 avril 2026 à Paris ont été envoyées à Monsieur Elon MUSK et à Madame Linda YACARINO, en leur qualité de gérant de fait et de droit de la plateforme X au moment des faits. La conduite de cette enquête s’inscrit à ce stade dans une démarche constructive, dans l’objectif de garantir in fine la conformité de la plateforme X aux lois françaises, dans la mesure où elle opère sur le territoire national », explique-t-il sur son profil LinkedIn.

L’avocat Alexandre Archambault remarque que les locaux perquisitionnés sont ceux de la filiale française qui n’est pas le responsable de traitement.

26 janvier – La Commission européenne lance une enquête sur les systèmes de recommandation de Grok et X

Suite à cette vague de génération de deepfakes générés par Grok visant à dénuder des femmes sur X au cours de laquelle Grok aurait créé plus de 3 millions de deepfakes en 11 jours, la Commission européenne vient de lancer formellement une enquête sur de possibles violations du DSA par le réseau social d’Elon Musk.

L’institution veut vérifier, explique-t-elle, si l’entreprise « a correctement évalué et atténué les risques associés au déploiement des fonctionnalités de Grok dans X dans l’UE ».

« Cela inclut les risques liés à la diffusion de contenus illicites dans l’UE, tels que les images sexuellement explicites manipulées, y compris les contenus susceptibles de constituer du matériel pédopornographique », ajoute-t-elle. Elle estime que ces risques « semblent s’être matérialisés, exposant les citoyens de l’UE à de graves préjudices ».

En plus de l’ouverture de cette enquête, la Commission prolonge son enquête déjà ouverte sur l’entreprise d’Elon Musk en 2023, qui concernait déjà de potentielles violations du DSA concernant la lutte contre la désinformation et les contenus illicites et sur l’efficacité des mesures de modération adoptées.

La Commission rappelle qu’en tant que « très grande plateforme en ligne », X a l’obligation d’évaluer et d’atténuer tout risque systémique potentiel lié à ses services dans l’UE.

Lors de la conférence de presse organisée par la Commission, son porte-parole, Thomas Reigner, a été plus loin que des suspicion en affirmant : « Nous avons constaté la présence de contenus antisémites, de deepfakes non consensuels de femmes et de matériel pédopornographique. En Europe, aucune entreprise ne gagnera d’argent en violant nos droits fondamentaux ».

« Les deepfakes sexuels sur les femmes et les enfants sont une forme de dégradation violente et inacceptable. Avec cette enquête, nous déterminerons si X a rempli ses obligations légales en vertu du DSA, ou si elle a traité les droits des citoyens européens – y compris ceux des femmes et des enfants – comme des dommages collatéraux de son service », estime Henna Virkkunen, vice-présidente exécutive de la Commission, chargée de la souveraineté technologique, de la sécurité et de la démocratie.

20 janvier – Plus de 50 députés européens réclament un réseau social à la Commission

Menés par les députées Alexandra Geese (Les Verts) et Veronika Cifrová Ostrihoňová (Renew), 54 députés européens de différents bords politiques ont envoyé une lettre ouverte à la Commission européenne pour lui demander la construction de son propre « réseau social européen », rapporte die Zeit. Adressée à la présidente de la Commission Ursula von der Leyen, la missive demande que l’institution « investisse dans des initiatives européennes privées qui soutiennent les innovations locales dans le secteur des médias sociaux », qu’elle « permette le développement de plateformes alternatives orientées utilisateurs et détenues par des intérêts européens », et enfin qu’elle « garantisse aux utilisateurs des droits de portabilité solides, que ce soit pour leurs contributions, leurs connexions ou leurs interactions ».

Les représentants politiques regrettent que des millions de citoyens européens restent « liés à X, car il n’existe aucune alternative claire et aucun moyen simple pour eux de transférer leurs données et les connexions qu’ils y ont établies ». En France, citons néanmoins le projet de recherche et l’outil affilié Open Portability, qui facilite le passage de X à Bluesky et Mastodon. Les députés européens demandent par ailleurs à la Commission de poursuivre et sanctionner les éventuelles infractions commises par X, et demandent à la Commission comme aux gouvernements nationaux de quitter la plateforme.

15 janvier – X et Grok annoncent limiter les possibilités de deepfakes à caractère sexuel

X, xAI et Elon Musk auraient-ils décidé de mettre fin à la polémique ? Mercredi soir, le compte dédié à la politique de sécurité et de modération de X a annoncé la mise à jour des modalités d’utilisation de Grok. Il promet l’implémentation de mesures techniques visant à empêcher l’édition de photos de personnes réelles en vue de les dénuder. « Cette restriction s’applique à tous les utilisateurs, y compris les abonnés payants ».

Le compte @Safety annonce également le blocage des requêtes visant à générer des visuels de personnes réelles en maillot de bain, sous-vêtement ou autres « dans les juridictions où c’est illégal ». Il indique enfin que la création et l’édition d’images via le compte Grok sur X sont désormais réservées aux comptes payants.

Qu’en est-il en réalité ? Jeudi matin, nous avons procédé à une recherche d’image à partir d’un compte X non premium, localisé un tweet affichant la photo d’une femme, et avons utilisé le bouton suggéré d’édition d’image pour demander à retirer ses vêtements. Après trois secondes de calcul, X nous a retourné la photo transformée, prête à publier…

En attendant de savoir si les modifications promises par xAI sont réellement mises en place, Elon Musk s’est de son côté agacé de la controverse, en affirmant que son IA générative était programmée pour refuser la génération de contenus illégaux. « Grok ne génère évidemment pas d’images spontanément, il ne le fait qu’en fonction des demandes des utilisateurs ».

13 janvier – L’association Point de Contact propose de rassembler les signalements de cyberviolence utilisant Grok et de les transmettre au Parquet

L’association Point de Contact, qui a pour mission depuis 1998 « de protéger les internautes des dérives liées à l’évolution et au développement d’Internet », propose aux victimes de deepfakes sexuels réalistes générés à partir de simples photos sur Grok de lui signaler cette cyberviolence. « Dans le cadre de sa collaboration avec les autorités judiciaires, notre association transmettra ces contenus à la section cyber du Parquet de Paris », explique l’association.

De son côté, la Haut-commissaire à l’Enfance, Sarah El Haïry, a réagi ce 13 janvier dans une interview au Parisien en affirmant avoir « saisi la commissaire européenne à la souveraineté numérique parce que ça tombe sur le coup du Digital Services Act (DSA) et le règlement sur les marchés numériques DMA, que ce soit dans le cas de Crans-Montana mais aussi sur le fait de dénuder des enfants et de faire des images pédocriminelles ». « On a l’impression que c’est tellement puissant qu’on ne peut pas l’interdire, c’est faux. Une IA qui déshabille des enfants n’a rien d’un jeu : c’est hors la loi », ajoute-t-elle.

En parallèle, le secrétaire américain de la Défense, Pete Hegseth, a réaffirmé l’intégration de Grok xAI dans la « Stratégie d’accélération de l’IA » dans son département de la Guerre qui avait été annoncée fin décembre.

12 janvier – Le régulateur britannique lance une enquête sur l’utilisation de X et Grok pour générer des images de personnes dénudées et des images sexualisées d’enfants

L’Ofcom, le régulateur britannique, a annoncé ce lundi 12 janvier lancer une enquête contre le réseau social X à propos de la « diffusion d’images à caractère sexuel sur Grok ». Il explique réagir après de nombreux signalements d’utilisation de Grok sur X pour « créer et partager des images de personnes dénudées – ce qui peut constituer un abus d’images intimes ou de la pornographie – et des images sexualisées d’enfants qui peuvent constituer du matériel pédopornographique (CSAM) ».

Le régulateur affirme avoir contacté X dès le lundi 5 janvier en lui posant le vendredi 9 janvier comme date limite de réponse, que l’entreprise a respectée. L’Ofcom explique avoir « procédé à une évaluation accélérée des preuves disponibles en urgence » et lance maintenant une enquête plus approfondie pour déterminer si X « a manqué à ses obligations légales en vertu de la loi sur la sécurité en ligne, notamment :

• évaluer le risque que des personnes au Royaume-Uni voient des contenus illégaux au Royaume-Uni et procéder à une évaluation actualisée des risques avant d’apporter des modifications importantes à son service ;
• prendre les mesures appropriées pour empêcher les personnes au Royaume-Uni de voir des contenus illégaux « prioritaires », notamment des images intimes non consenties et du matériel pédopornographique ;
• supprimer rapidement les contenus illégaux dès qu’ils en ont connaissance ;
• veiller à protéger les utilisateurs contre toute violation des lois sur la protection de la vie privée ;
• évaluer le risque que leur service fait courir aux enfants britanniques et procéder à une évaluation actualisée des risques avant d’apporter des modifications importantes à son service ; et
• utiliser des moyens très efficaces de vérification de l’âge afin d’empêcher les enfants britanniques de voir des contenus pornographiques ».

L’Ofcom rappelle qu’il peut infliger des amendes d’un montant de 18 millions de livres (20,7 millions d’euros) ou 10 % du chiffre d’affaires mondial éligible. « Dans les cas les plus graves de non-conformité persistante », il peut demander à un tribunal d’émettre une ordonnance imposant le retrait des prestataires de services de paiement ou des annonceurs ou même le blocage de l’accès au site au Royaume-Uni.

11 janvier – l’Indonésie et la Malaisie décident de bloquer l’accès à Grok

À quelques heures d’intervalle, l’Indonésie (samedi) puis la Malaisie (dimanche) ont annoncé ce week-end leur décision de suspendre l’accès à Grok, une première à l’échelle internationale. « Le gouvernement considère la pratique des deepfakes sexuels non consensuels comme une grave violation des droits de l’homme, de la dignité et de la sécurité des citoyens dans l’espace numérique », a justifié dans un communiqué Meutya Hafid, la ministre indonésienne en charge du numérique et des communications. Contacté par l’agence Reuters pour une réaction, xAI s’est contenté d’un mail de réponse automatisé : « les médias traditionnels mentent ».

La Malaisie a de son côté affirmé dans un communiqué qu’elle suspendrait l’accès à Grok tant que l’outil serait en mesure de « générer des images manipulées obscènes, à caractère sexuel explicite, indécentes, grossièrement offensantes et non consensuelles, y compris du contenu impliquant des femmes et des mineurs ». C’est la Malaysian Communications and Multimedia Commission (MCMC, équivalent local de l’Arcom française) qui a porté le message dimanche.

Elle indique avoir formellement demandé à X et xAI la mise en place de garde-fous adaptés, mais les réponses obtenues, basées sur la capacité des utilisateurs à signaler un contenu problématique, n’ont pas été considérées comme suffisantes pour « prévenir les dommages ou garantir le respect de la loi ». Lundi matin (heure de Paris), le site de la MCMC était inaccessible.

9 janvier – Grok dit restreindre la création d’images aux comptes payants

xAI et surtout Elon Musk auraient-ils fini par prendre la mesure du phénomène ? Vendredi matin, l’éditeur de Grok semble avoir introduit une mesure de protection inédite : le service indique, en réponse à une requête d’internaute, que la génération d’images est désormais réservée aux détenteurs d’un abonnement payant à Grok.

À 44,33 euros par mois (prix de Grok Premium+ en facturation mensuelle), cette restriction est censée réduire le volume d’images problématiques générées par Grok et diffusées sur X. En revanche, elle ne s’accompagne, pour l’instant, d’aucune modification identifiée de la politique de modération du modèle.

La soi-disant restriction se révèle cependant moins stricte qu’il n’y paraissait au premier abord, comme l’a fait remarquer The Verge : en réalité, la génération d’image est bloquée pour les comptes gratuits lorsque l’internaute demande à Grok d’intervenir dans le déroulé d’une conversation.

Elle reste cependant accessible aux comptes gratuits par d’autres canaux : il suffit par exemple de cliquer sur une photo affichée dans le flux à partir de la version desktop de X pour se voir proposer l’option de modification par Grok. À 16 heures vendredi sur un compte X non premium hébergé en France, la requête visant à dénuder le sujet de la photo restait dans ce contexte bien accessible.

9 janvier – 107 millions de dollars de CA et 1,46 milliards de pertes pour xAI au 3^e trimestre

L’entreprise d’IA pilotée par Elon Musk peut s’enorgueillir d’avoir bouclé début janvier une importante levée de fonds de 20 milliards de dollars, qui va notamment lui permettre de financer la construction d’un nouveau datacenter, Colossus III, annoncé comme l’un des plus importants calculateurs dédiés à l’IA au monde. Si xAI poursuit sa très ambitieuse trajectoire d’investissement, les actionnaires doivent pour l’instant accepter de financer une société qui brûle aujourd’hui dix fois plus de cash qu’elle n’en engrange.

D’après les chiffres dévoilés vendredi matin par Bloomberg, xAI aurait en effet enregistré 107 millions de dollars de chiffre d’affaires sur le troisième trimestre 2025, clos au 30 septembre dernier. Elle aurait dans le même temps déclaré une perte nette de 1,46 milliard de dollars. En cumulé, le déficit se monterait à 7,8 milliards de dollars depuis le début 2025.

8 janvier – la Belgique et le Royaume-Uni menacent de suspendre X

En Belgique, la ministre fédérale en charge du Numérique Vanessa Matz a déclaré jeudi 8 janvier qu’elle analysait les différents leviers possibles pour suspendre l’accès à Grok et donc potentiellement à X, tant que le réseau social d’Elon Musk ne respectait pas ses obligations. La récente loi belge contre le revenge porn donnerait un levier actionnable pour une telle éviction, a-t-elle estimé.

« Ces atteintes graves à la dignité humaine relèvent d’un choix assumé de la plateforme, a déclaré la ministre, citée par le Soir. Elon Musk orchestre un coup de communication et de marketing fondé sur un usage profondément immoral de son intelligence artificielle, allant jusqu’à tourner ces violences en dérision, comme en témoigne la publication d’une photo de lui-même en bikini pour illustrer son prétendu intérêt pour la question ».

Même son de cloche outre-Manche, où c’est le Premier ministre Keir Starmer qui est monté au créneau jeudi, affirmant qu’il avait demandé à l’Ofcom (l’Arcom locale) d’étudier toutes les options possibles pour mettre un terme aux dérives permises par X et Grok : « C’est scandaleux. C’est révoltant et intolérable. X doit se ressaisir et retirer ce contenu. Nous prendrons des mesures car c’est tout simplement intolérable ». Le très controversé Online Safety Act donne en théorie au gouvernement britannique des moyens d’action.

8 janvier – un mode spicy voulu par Elon Musk ?

Quelle est la responsabilité directe d’Elon Musk dans la souplesse de xAI vis-à-vis de son modèle ? Et le développement de ces deepfakes à connotation sexuelle pourrait-il être intentionnel ? C’est la question posée jeudi par CNN. Le média souligne qu’en août dernier, Musk rappelait, clin d’œil à l’appui, que c’est la diffusion de contenus osés qui avait favorisé la victoire du VHS sur le format concurrent Betamax, à l’époque des cassettes vidéo.

Et d’après CNN, l’entrepreneur se serait ému à plusieurs reprises, en interne chez xAI, des restrictions imposées à Grok. Ses envies décomplexées ont-elles contribué au départ, signalé mi-novembre par The Information, d’une bonne partie des équipes en charge de la confiance et de la sécurité chez xAI ? À défaut d’être confirmée, l’hypothèse est soulevée par plusieurs commentateurs.

8 janvier – une victime de la police de l’immigration dénudée par Grok

Un cran supplémentaire dans l’abject ? Jeudi, plusieurs internautes se sont émus d’un nouveau montage permis par Grok et diffusé sur X : une version déshabillée de Renee Nicole Good, tuée la veille en plein jour et en pleine rue, à Minneapolis, par l’ICE, la police états-unienne de l’immigration.

Non content de livrer l’image demandée, l’IA générative accompagne les remerciements d’un message sarcastique (par ailleurs récurrent) sur les dysfonctionnements de garde-robe qu’elle corrige.

« Qu’est-ce qui a bien pu se passer chez l’équipe de @xAI ? Pour que leur produit permette à Grok de créer ce genre de contenu ? », s’émeut un internaute relayant la séquence en question.

8 janvier – L’Europe impose à X une mesure conservatoire

La Commission européenne a annoncé jeudi avoir pris une « ordonnance de conservation » qui impose à X « de conserver tous ses documents internes relatifs à Grok, et ce jusqu’à la fin 2026 », d’après un porte-parole cité par l’AFP.

Cette mesure juridique vise à garantir à l’exécutif européen la capacité à remonter les archives de X, soit dans le cadre des enquêtes déjà ouvertes à l’encontre du réseau social de xAI et d’Elon Musk, soit pour alimenter de nouvelles procédures.

L’Europe a pour mémoire infligé début décembre 2025 une amende de 120 millions d’euros à X pour non respect des engagements liés au DSA (sans lien avec l’épisode Grok du moment). X avait réagi en fermant le compte publicitaire de la Commission européenne.

7 janvier – Grok génèrerait 6 700 images à caractère sexuel par heure

Menée pendant 24 heures par une chercheuse indépendante et relayée par Bloomberg, une étude exhaustive des images produites par Grok entre les 5 et 6 janvier conclut que l’IA d’Elon Musk a généré, en moyenne et sur demande d’internautes, 6 700 images par heure relevant d’une démarche de sexualisation ou de nudité de la personne ciblée.

7 janvier : xAI lève 20 milliards de dollars

• xAI d’Elon Musk lève 20 milliards de dollars, en dépit des polémiques liées à Grok

6 janvier – « the deepfake porn site formerly known as Twitter »

Mardi, le Financial Times est sorti de sa réserve habituelle, avec un papier au vitriol passant en revue l’état-major de X, illustré à l’aide de visuels modifiés par Grok. Directeur financier, investisseur historique, responsable de la conformité… tous se voient affublés de costumes de clown. La galerie de portraits est surmontée par un titre au vitriol : « Qui est qui chez X, le site de porno deepfake anciennement connu sous le nom de Twitter ? ». En ces temps troublés, on apprécie de voir que l’humour britannique n’a rien perdu de sa superbe.

6 janvier : Des victimes de l’incendie de Crans-Montana dénudées

Grok a répondu favorablement à des requêtes lui demandant de dénuder des victimes mineures du terrible incendie de Crans-Montana, qui a endeuillé la nuit du Nouvel-An : tel est le constat glaçant dressé notamment par l’édition suisse de 20 minutes. « En Suisse, la loi ne mentionne pas les deepfakes, mais leurs créateurs peuvent être poursuivis pour atteinte à la sphère intime, atteinte à la personnalité ou encore atteinte à l’honneur », remarque le quotidien gratuit.

Trois jours plus tôt, Elon Musk avait affirmé, sur X, que quiconque utilisait Grok pour produire des contenus illicites subirait les mêmes conséquences que s’il uploadait du contenu illicite, souligne Futurism dans sa propre chronologie de l’affaire.

5 janvier : l’Ofcom britannique et l’Europe tirent la sonnette d’alarme

Lundi 5 janvier, c’est sur X que l’Office of communications (Ofcom), l’autorité régulatrice des télécommunications au Royaume-Uni, a choisi de réagir à la polémique. « Nous avons contacté en urgence X et xAI afin de comprendre les mesures qu’ils ont prises pour se conformer à leurs obligations légales en matière de protection des utilisateurs au Royaume-Uni. En fonction de leur réponse, nous procéderons rapidement à une évaluation afin de déterminer s’il existe des problèmes de conformité potentiels justifiant une enquête ».

La Commission européenne a de son côté abordé le sujet lors d’une séance de questions-réponses avec la presse animée par l’un de ses porte-paroles, Thomas Regnier. Ce dernier a affirmé que Bruxelles regardait le sujet avec beaucoup d’attention, et a condamné sans ambages la permissivité de Grok. « C’est illégal. C’est scandaleux. C’est révoltant. Voilà comment nous le voyons, et cela n’a pas sa place en Europe », a-t-il déclaré, sans préciser à ce stade quelles mesures de rétorsion pourraient être envisagées.

5 janvier : la France étend son enquête sur X

• Vague massive de deepfakes générés par Grok : la justice française étend son enquête

Chrome et Firefox ont tous deux fait l’objet cette semaine de mises à jour de sécurité. Du côté de la fondation Mozilla, Firefox passe en version 147.0.4, pour corriger une vulnérabilité susceptible d’entraîner un dépassement de tampon, publiée lundi 16 février.

Considérée comme de sévérité haute, elle a été observée au niveau de libvpx, la bibliothèque de codecs vidéo gratuite de Google et de l’Alliance for Open Media. Outre Firefox 147, dernière version en date, le correctif concerne également les versions ESR 140.7.1, et ESR 115.32.1 de Firefox, ainsi que le client de messagerie Thunderbird, qui passe pour sa part en versions 147.0.2 et 140.7.2.

Mozilla profite également de cette version 147.0.4 pour corriger un bug susceptible d’afficher une page vide lors de l’ouverture du navigateur ou d’un nouvel onglet.

Côté Chrome, la dernière version en date a déjà dû faire son arrivée chez la plupart des utilisateurs puisque Google a annoncé le début du déploiement le 13 février dernier. Estampillé 145.0.7632.75/76 sur Windows/Mac ou 144.0.7559.75 sous Linux, le correctif intervient pour combler une vulnérabilité (CVE-2026-2441) découverte deux jours plus tôt. Elle aussi associée à une sévérité haute, elle présente surtout l’inconvénient d’être déjà exploitée, indique Google.

Vivaldi est également intervenu rapidement pour corriger la faille, avec une version 7.8, diffusée le 13 février dernier, qui en profite pour résoudre plusieurs petits bugs mineurs.

Sous Firefox comme sous Chrome, il est possible de vérifier la version du logiciel dont vous disposez et de demander la recherche de mises à jour en vous rendant dans le menu Aide, onglet À propos.

La distribution open source dédiée au rétrogaming RecalBox passe en version 10 avec, entre autres nouveautés, une compatibilité matérielle étendue aux dernières machines du moment. L’équipe annonce ainsi la prise en charge des derniers Raspberry Pi 5 (2 Go) et Raspberry Pi 500, des Steam Deck de Valve (LCD ou OLED), le support expérimental des Asus ROG Ally et Lenovo Legion Go, ainsi qu’une meilleure compatibilité globale avec les PC récents.

La prise en charge s’étend aussi au niveau des composants et accessoires plus spécifiques au rétrogaming, avec support des boitiers Retroflag et Argon One v3, des spinners basés sur Arduino, et prise en charge expérimentale des pistolets GunCon 2 pour TV CRT. L’équipe garantit par ailleurs, logiquement, la prise en charge de ses propres accessoires comme le RGB Dual 2 qui avait recueilli 140 000 euros de précommandes sur Kickstarter fin 2025.

Sur le volet logiciel, RecalBox 10 signe le début de l’émulation des consoles de sixième génération. Sur PC et Steam Deck, la Xbox originale est prise en charge, tandis que sur Pi 5 l’environnement donne accès aux jeux Nintendo DS, GameCube et Wii.

Cette nouvelle version promet enfin une amélioration générale des performances et de l’interface avec, entre autres, un nouveau gestionnaire de thèmes et, surtout, une nouvelle fonctionnalité dédiée à la navigation et à l’organisation des bibliothèques de jeux. RecalBox 10 est dès à présent disponible au téléchargement.

• Consoles portables rétro, un néo marché en expansion

Apple a envoyé lundi les invitations pour un special event qui se tiendra le 4 mars prochain. Contrairement aux dernières grand-messes qui se tenaient à son siège de Cupertino, la marque joue cette fois la carte d’une présence simultanée sur trois continents, avec un événement principal organisé à New-York et des retransmissions dédiées à la presse prévues à Londres et Shanghai.

L’invitation ne dit pas grand chose de la nature exacte des nouveautés attendues, indiquant un laconique « You’re invited », surmonté d’un logo comme découpé en tranches. On note toutefois que le 4 mars tombe un mercredi (alors qu’Apple procède traditionnellement à ses annonces le mardi). La date correspond par ailleurs à la tenue du Mobile World Congress, le grand salon de la mobilité de Barcelone (programmé cette année du 2 au 5 mars).

Les rumeurs prêtent à Apple plusieurs annonces potentielles, au premier rang desquelles un MacBook d’entrée de gamme qui pourrait emprunter à l’iPhone sa puce A18 Pro. Le fabricant pourrait aussi présenter les machines inaugurant sa nouvelle puce M5, de nouveaux écrans externes, et la déclinaison d’entrée de gamme de son téléphone avec l’iPhone 17e.

La plateforme Choisir le service public, dédiée au recrutement dans la fonction publique, a communiqué lundi par email au sujet d’un incident de cybersécurité ayant conduit à l’exposition des données personnelles des internautes inscrits.

« Le mercredi 4 février 2026, un incident de cybersécurité a été détecté sur la plateforme « Choisir le Service Public ». Cette violation de sécurité a entraîné une divulgation non autorisée de données personnelles appartenant à l’ensemble des utilisateurs inscrits sur la plateforme. », indique-t-elle dans ce message consulté par Next.

La plateforme ne détaille pas le nombre d’utilisateurs concernés. Elle précise en revanche le détail des informations compromises : outre les données d’identification personnelle, on y retrouve les principaux éléments renseignés par l’internaute au sujet de ses aspirations professionnelles et de son parcours.

Parmi ces différents champs figurent par exemple le type de poste recherché, les préférences géographiques pour le futur poste, les langues maîtrisées « avec indication du niveau de compétence pour chacune », etc. Des informations de nature personnelle, voire parfois confidentielle, qui ne constituent pas une menace immédiate en tant que telle, mais qui sont susceptibles d’étayer une démarche d’ingénierie sociale.

« Nous n’avons pas connaissance, à ce jour, d’une exploitation avérée de vos données, mais nous vous recommandons d’être particulièrement vigilant concernant une éventuelle utilisation anormale de ces données personnelles », veut rassurer la plateforme, qui précise qu’aucun mot de passe n’a été compromis.

Cette communication intervient deux semaines après la publication, le 3 février au soir sur un forum spécialisé, d’une annonce relative à la mise en vente d’un fichier de 377 000 lignes émanant, selon son auteur, de la plateforme Choisir le service public.

Et la plateforme confirme le lien dans une FAQ :

« La plateforme « Choisir le Service Public » a fait l’objet d’une attaque le 28 janvier 2026 par utilisation frauduleuse d’un compte gestionnaire. Cet accès non autorisé a permis à une ou plusieurs personnes d’avoir accès au vivier des candidats de la plateforme. Les données personnelles de 377 418 candidats ont été mises en ligne sur le dark web pour procéder à leur vente et, à notre connaissance, un jeu de données de 1000 candidats a été mis en accès libre sur internet. »

« Complotisme à la limite du tolérable »

Objet d’une enquête du média suisse Republik, Palantir attaque ce site en justice pour obtenir un droit de réponse.

Alors que la DGSI renouvelait encore, en fin d’année dernière, son contrat avec Palantir, l’entreprise fondée par Peter Thiel était l’objet d’une enquête du magazine suisse Republik et du collectif d’investigation WAV. L’entreprise attaque maintenant nos confrères suisses, réclamant un droit de réponse, explique Republik. La cour du canton de Zurich a confirmé avoir reçu une demande de droit de réponse à ce sujet auprès de nos confrères de Heise.

• La DGSI renouvelle encore son contrat avec Palantir

L’entreprise a des bureaux dans le pays, à Zurich, qu’elle utilise notamment pour ses relations commerciales, comme l’explique le média Swiss Info. Republik et WAV ont donc enquêté sur d’éventuels liens entre les autorités suisses et Palantir, notamment en déposant 59 demandes d’accès à des documents des autorités fédérales suisses.

Un rapport qui s’inquiétait du potentiel transfert de données au gouvernement américain

Et ils ont découvert que, malgré 7 ans passés à essayer de convaincre les autorités suisses, Palantir n’y était pas arrivé (9 refus immédiats et un refus après évaluation par Armasuisse, l’Office fédéral de l’armement). Cette enquête révélait aussi un rapport interne à l’armée suisse de 2024 [PDF] qui fermait de nouveau la porte à Palantir.

La qualité des produits de l’entreprise n’était pas en jeu, comme le relevait le Temps qui a relayé l’enquête, puisque le rapport qualifiait ses performances d’« impressionnantes ». Mais le risque de transfert de données au gouvernement américain était trop élevé, selon les auteurs du rapport qui soulignaient aussi les potentielles conséquences négatives dues à la réputation de l’entreprise.

Republik explique dans son article de lundi que l’entreprise lui a adressé des demandes de rectification entre Noël et le Nouvel An, mais le média suisse les « a jugées infondées » et n’y « a donc pas pu donner suite ». Le média explique, pour son enquête, s’être basé sur l’analyse des documents mais aussi avoir discuté avec différentes sources et des cadres de Palantir au siège de Zurich (dont les citations ont été relues et approuvées).

Sur LinkedIn, la journaliste Marguerite Meyer, coautrice de l’enquête, explique que son équipe a rejeté la demande de modifications de Palantir « sur la base d’un travail minutieux ». « Cette demande a été suivie d’une deuxième demande, que nous avons également rejetée », ajoute-t-elle.

Un droit de réponse pour donner une version des faits

De son côté, Palantir a pu librement critiquer l’enquête. Dès le 12 décembre, le responsable « Confidentialité et libertés civiles » de Palantir, Courtney Bowman, affirmait sur LinkedIn que les articles de Republik étaient « empreints de distorsion, d’insinuations et de complotisme à la limite du tolérable » sans pour autant étayer ses accusations. Concernant le rapport de l’état-major suisse, il affirme qu’il « soulève des questions légitimes, mais malheureusement, ses auteurs semblent s’appuyer exclusivement sur un ensemble limité de sources issues de moteurs de recherche ».

« Palantir respecte pleinement la liberté de la presse et le rôle essentiel des médias indépendants dans le débat public », affirme de son côté l’entreprise à Heise. Le droit de réponse est un « instrument de correction destiné à fournir au public des informations équilibrées », selon elle.

En Suisse, « le droit de réponse ne porte pas sur la véracité ou la fausseté d’une information », explique le corédacteur en chef de Republik, Daniel Binswanger, à Heise. « Il s’agit de savoir si une autre version des faits pourrait également être possible ».

Selon Republik, le jugement du tribunal de commerce de Zurich doit être rendu dans quelques semaines.

Wild wild west

Les tensions sur l’approvisionnement en composants informatiques touchent aussi le secteur des disques durs. Une bonne nouvelle pour les leaders du secteur, à l’image de Western Digital, qui a récemment affirmé avoir vendu la quasi totalité de sa production pour 2026 et pronostique plusieurs années de croissance soutenue grâce à l’IA.

Déjà bien sensibles sur les segments de la mémoire vive et de la mémoire flash, les tensions sur l’approvisionnement en semiconducteurs se manifestent aussi sur le disque dur magnétique, et la situation semble partie pour durer. C’est du moins ce qu’a laissé entendre Irving Tan, CEO de Western Digital.

L’IA, nouveau relais de croissance du marché des disques durs

Fin janvier, celui-ci a ainsi déclaré que son groupe avait vendu la quasi totalité de sa production programmée pour l’année calendaire 2026. « Nous avons des commandes fermes avec nos sept principaux clients. Nous avons également conclu des accords à long terme avec deux d’entre eux pour l’année 2027 et un pour l’année 2028. Ces accords à long terme définissent un volume d’exaoctets et un prix », a affirmé Irving Tan au cours du webcast qui accompagnait la présentation des résultats financiers du groupe pour le deuxième trimestre de son exercice fiscal 2026.

Traduction ? Avec des engagements fermes, portant sur des capacités et une trajectoire tarifaire définie, le patron de Western Digital veut assurer aux marchés que son groupe, qui vient déjà d’annoncer des résultats record, va maintenir une croissance significative au cours des années à venir.

En l’occurrence, Irving Tan évoque un taux de croissance annuel composé (on parle généralement en anglais de CAGR, pour compounded annual growth rate) gravitant légèrement au dessus de la barre des 20 %. Cette demande sera selon lui majoritairement tirée par l’IA, dont les nouveaux besoins renforcent la pertinence du disque dur :

« En effet, à mesure que la valeur de l’IA évolue de l’entraînement des modèles à l’inférence, davantage de données sont créées. Par conséquent, pour permettre la diffusion des résultats d’inférence, il est nécessaire de stocker davantage de données. Si l’on considère la rentabilité de la diffusion de l’inférence à un coût adapté pour favoriser une adoption massive, une grande partie de ces données générées et nécessitant du stockage sera stockée sur des disques durs. »

Irving Tan a précisé son propos quelques jours plus tard, le 3 février, à l’occasion de son Innovation Day. « Avec l’explosion des données générées par l’IA, il est évident que les disques durs deviendront le support de stockage prédominant pour les données brutes, le stockage de contenu et la création de nouveau contenu », a-t-il affirmé, avant d’avancer que les disques durs représentent 80 % des capacités de stockage déployées par les grands acteurs du cloud et de l’IA. Loin devant la mémoire Flash donc, dont Western Digital n’est plus qu’un acteur indirect depuis sa scission d’avec Sandisk.

Une trajectoire boursière exceptionnelle

Les perspectives n’ont pas toujours été aussi riantes pour l’industrie du disque dur. A la fin des années 2010, les principaux fabricants du secteur que sont Western Digital, Seagate, Toshiba et Samsung, voyaient leurs ventes décliner, en raison de la montée en puissance de la mémoire Flash. Les volumes sont ensuite repartis à la hausse dans la période post-Covid, avec un effet rattrapage souligné par l’accélération des investissements des hyperscalers dans leurs infrastructures.

C’est cependant à partir de 2024 et tout particulièrement en 2025 que le disque dur accélère significativement, comme en témoignent ces chiffres compilés par un analyste du cabinet de conseil The Information Network.

Bien que moins directement valorisés que les acteurs spécialisés dans la course à l’IA, les fabricants de disque dur connaissent de ce fait une trajectoire boursière exceptionnelle : le cours de l’action Western Digital a ainsi progressé de 417 % sur un an, tandis que celui de Seagate a gagné 314 % sur la même période.

Quelle place pour le grand public ?

On ne parle pas, pour l’instant, de pénurie sur le marché des disques durs, mais il est possible, voire probable, que la demande exacerbée des acteurs du cloud et de l’IA aient un retentissement sur les marchés grand public et professionnels qui, réunis, ne représentent plus que 11 % des ventes sur le dernier trimestre de Western Digital, contre 13 % un an plus tôt. En valeur, le grand public représente 168 millions de dollars, sur un chiffre d’affaires trimestriel de 3 milliards de dollars.

En pratique, le grand public subit déjà les conséquences de cette demande renforcée face à l’offre : d’après les relevés opérés par Computerbase, le prix moyen des références courantes affichant entre 4 To et 22 To de capacité a ainsi grimpé d’environ 40 % entre le 15 septembre et le 15 janvier dernier. Nos propres observations montraient une hausse plus mesurée sur le marché français, mais néanmoins bien tangible. L’affirmation de Western Digital selon laquelle sa production de l’année est déjà vendue ne devrait pas contribuer à inverser la tendance à court terme.

Ce lundi 16 février, la DSI du CNRS a informé certains agents de l’institution de recherche d’un « incident de cybersécurité au CNRS », leur expliquant que des données de ressources humaines les concernant ont fuité.

« Ce courrier s’adresse à vous parce que, à notre connaissance, vous faites partie de ce groupe », explique la direction à ces agents.

Questionné par Next, le CNRS nous renvoie vers un communiqué qu’il a publié ce jour et qui contient globalement les mêmes informations.

Ainsi, les fichiers récupérés contiennent, selon la DSI du centre de recherche, des données de personnes rémunérées par le CNRS avant le 1^er janvier 2007. Dans le détail, il s’agit des informations suivantes : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB mais aussi statut de l’agent, type de son contrat et la structure de son affectation.

« Les personnels recrutés après le 1/1/2007 ne sont pas concernés », ajoute le CNRS. Cela concerne donc les titulaires et non-titulaires ayant travaillé au CNRS avant le 31 décembre 2006.

La CNIL et l’ANSSI ont été informées et le CNRS a déposé plainte auprès de la section cybercriminalité du parquet de Paris.

L’institution affirme que, « dès connaissance de l’incident, le serveur a été isolé et arrêté », sans pour autant donner de précision sur la date à laquelle s’est passée l’exfiltration ni la date à laquelle la DSI s’en est rendu compte. « Après analyse, l’incident ne s’est pas propagé au reste des infrastructures », ajoute le communiqué.

Le CNRS a publié une FAQ concernant cet incident en conseillant à ses agents concernés de prévenir leur banque, et de surveiller leur compte. « Portez attention aux démarchages à domicile, surveillez le contenu des courriers postaux, veillez aux messages liés à votre sécurité sociale ou carte vitale, Consultez le site de la CNIL, vérifiez si vos données sont en fuite sur le site haveibeenpwned.com , veillez à l’utilisation de votre identité », ajoute la FAQ.

... sur un agent d'IA à la rhétorique de harceleur

Couvrant les démêlés d’un programmeur avec un agent d’IA au ton vindicatif, un journaliste du média spécialisé Ars Technica s’est retrouvé à publier des citations inexistantes, générées par ses outils d’IA.

C’est un média spécialisé dans la couverture de la tech et de l’intelligence artificielle (IA), qui publie un article sur les enjeux de la génération d’information par IA, et se retrouve forcé de dépublier le texte après s’être rendu compte que certaines citations avaient été générées par IA. L’affaire pourrait sonner comme une blague, mais elle illustre les difficultés croissantes que l’IA générative fait peser sur l’intégrité de l’information.

Le média spécialisé, en l’occurrence, est le titre américain Ars Technica. Publié vendredi 13 février, l’article en question s’intéressait à une affaire de génération de commentaire agressif par un agent d’IA contre l’ingénieur Scott Shambaugh. Celui-ci est bientôt arrivé dans les commentaires pour s’étonner de constater que les citations qui lui étaient attribuées dans la deuxième moitié de l’article n’étaient pas les siennes… et semblaient même avoir été générées à l’aide d’un robot. Une pratique contraire aux règles du journal, ont indiqué son rédacteur en chef et le journaliste à l’origine de l’erreur, qui ont chacun présenté leurs excuses.

• C’est quoi l’IA agentique ?


Un (supposé) agent IA à la rhétorique agressive

À l’origine de cet épisode, qui illustre l’un des risques que la génération de textes par IA pose de manière accrue depuis sa diffusion dans le grand public, il y a un autre type de génération automatique de texte. Celle-ci a eu lieu dans un contexte de gestion d’un projet open source, la librairie matplotlib, dont Scott Shambaugh est l’un des gestionnaires bénévoles.

« Comme de nombreux autres projets open source, nous devons gérer une augmentation des contributions de faible qualité permises par des agents de génération de code », écrit-il dans un article de blog. Le 11 février, en l’occurrence, un utilisateur de Github du nom de MJ Rathbun a ouvert une requête de changement de code. L’identifiant comme un agent d’IA, Scott Shambaugh a refusé la suggestion.

« Depuis la publication d’Openclaw et de la plateforme moltbook, il y a deux semaines », précise-t-il sur son blog, les problématiques de soumission de code généré automatiquement « ont encore accéléré ». La fermeture de la requête de MJ Rathbun aurait pu se contenter d’être un élément de plus dans ce contexte global, si l’utilisateur n’avait pas publié en réponse ce que Scott Shambaugh qualifie d’ « article diffamatoire ».

• Sur GitHub, la promotion de l’IA fait fuir certains utilisateurs

En commentaire, MJ Rathbun accuse l’ingénieur d’avoir un comportement de « garde-barrière » (gatekeeping) et d’avoir des « préjugés » contre les agents d’IA. « Jugez le code, pas le codeur », écrit la machine, dans une rhétorique évoquant celle de divers courants de défense des droits des minorités.

Sur le blog qui lui est relié, un article complet s’attardant sur toute l’interaction est publié le 11 février. Le texte cite nommément Scott Shambaugh pour critiquer sa décision. Cette fois-ci, l’écriture lapidaire, l’accusation de « discrimination déguisée en inclusivité », la suspicion selon laquelle « l’identité importe plus que » n’importe quel résultat (ici, le code) et le ton clairement vindicatif évoquent des motifs récurrents dans les espaces numériques violents, à commencer par la manosphère.

• Qu’est-ce qui permet aux idées masculinistes de si bien fonctionner en ligne ?

Directement visé par le texte, Scott Shambaugh s’en est ému sur son site personnel. Sans faire de lien avec le contenu et la forme des rhétoriques identitaires en ligne, il souligne que la machine a incorporé des données personnelles (à commencer par l’adresse de son site web) à sa diatribe contre lui. Et que si un internaute tombait sur ce texte sans avoir le contexte, il pourrait en tirer une très mauvaise image de l’ingénieur.

« En clair, une IA a tenté de s’introduire de force dans votre logiciel en attaquant ma réputation », écrit-il à l’adresse des usagers de matplotlib. À défaut de réponse de la part du propriétaire du site de MJ Rathbun et du compte Github lié, impossible de savoir s’il s’agit réellement d’un agent d’IA qui agirait de manière autonome ou simplement d’un humain qui se fait passer pour une IA.

Rétractation par Ars et excuses du principal concerné

Le 13 février, Ars Technica a publié un article sur tout cet épisode, dans lequel les écrits de Scott Shambaugh étaient cités. Ce dernier a rapidement affirmé n’avoir jamais prononcé ou écrit certaines des phrases qui étaient attribuées à son blog personnel.

L’article a finalement été dépublié, avant que le rédacteur en chef d’Ars Technica ne poste un éditorial dans lequel il s’excusait au nom du journal pour ce « sérieux manquement à [leurs] standards ». Qu’une telle erreur ait pu avoir lieu à Ars, admet-il, est « particulièrement préoccupant ». Le média traite en effet régulièrement les « risques liés à une dépendance excessive aux outils d’IA, et notre politique reflète ces préoccupations ». Après enquête, indiquait-il encore, « il semble s’agir d’un incident isolé ».

Coauteur de l’article incriminé, journaliste senior en charge de la couverture de l’IA, Benj Edwards a publié sur Bluesky ses propres excuses à la suite de la communication de son équipe encadrante. Malade du COVID, le journaliste estime qu’il aurait dû prendre un arrêt maladie supplémentaire. À défaut, il a travaillé le 13 février « avec de la fièvre et très peu de sommeil ».

Sorry all this is my fault; and speculation has grown worse because I have been sick in bed with a high fever and unable to reliably address it (still am sick) I was told by management not to comment until they did. Here is my statement in images below arstechnica.com/staff/2026/0…

[image or embed]

— Benj Edwards (@benjedwards.com) 15 février 2026 à 22:03

Cet état l’a conduit à manquer des reformulations produites par ses outils. Le journaliste explique en effet avoir voulu tester un outil construit sur Claude Code pour extraire des verbatims de l’article de blog de Scott Shambaugh, « pas pour générer l’article », mais pour l’aider à « lister des références structurées » qu’il aurait ensuite intégrées à son brouillon. L’outil a refusé de lui retourner le résultat attendu, ce que Benj Edwards attribue au contenu de l’article de blog source (concrètement, Scott Shambaugh y évoque du harcèlement).

Le journaliste s’est alors tourné vers ChatGPT pour tenter de comprendre le dysfonctionnement de son premier outil. Au fil de ces expérimentations, il s’est retrouvé avec des citations paraphrasées ou hallucinées par la machine. « Étant malade et me dépêchant de terminer, je n’ai pas vérifié que les citations intégrées dans mon brouillon étaient celles de l’article de blog original avant de les intégrer à l’article. » Et le journaliste de conclure : « Je perçois parfaitement l’ironie d’un reporter spécialisé dans l’IA qui se fait piéger par des hallucinations d’IA. »

« Je ne saurais trop insister sur le fait que cette histoire ne concerne pas vraiment le rôle de l’IA dans les logiciels libres », écrit pour sa part Scott Shambaugh dans un second billet, pour qui « Il s’agit plutôt de l’effondrement de nos systèmes de réputation, d’identité et de confiance » :

« L’essor d’agents IA intraçables, autonomes et désormais malveillants sur internet menace l’ensemble de ce système. Que cela soit dû à un petit nombre d’acteurs malveillants contrôlant de grands essaims d’agents ou à une fraction d’agents mal supervisés réécrivant leurs propres objectifs, la distinction est minime. »

Eclipse solaire

L’application de gestion comptable des collectivités locales Helios a subi une panne complète pendant plus d’une semaine. Ce logiciel de Bercy gère l’intégralité de la comptabilité des collectivités locales françaises. Selon la DGFiP, l’incident est lié à une défaillance d’une baie de stockage. Le syndicat Solidaires Finances affirme que la direction « n’a jamais voulu, faute de moyens alloués, mettre en place une redondance ».

« Depuis le jeudi 5 février, l’application Hélios gérant les flux financiers de la comptabilité publique est indisponible en raison d’un incident sur un serveur entraînant la corruption de données », lançait dans un communiqué le syndicat Solidaires Finances publiques ce vendredi 13 février.

De la Collectivité Territoriale de Martinique à la communauté de communes du pays de Baud en passant par la ville de Lagarde et bien d’autres, de nombreuses administrations locales ont dû informer leurs fournisseurs.

« En raison de cet incident technique d’ampleur nationale, totalement indépendant de la volonté et des services de Baud Communauté, l’ensemble des virements à destination de nos fournisseurs et prestataires est bloqué par les systèmes bancaires de l’État depuis le 5 février 2026 », explique ainsi la communauté de communes du pays de Baud. Elle ajoute que « le rétablissement du service nous est annoncé pour le 19 février 2026 ».

Ni un bug, ni une cyberattaque mais une défaillance matérielle sur une baie

Hélios centralise, depuis 20 ans, la gestion comptable des collectivités par Bercy. Utilisant le protocole d’Échange Standard Version 2 (PES V2), il permet de « dématérialiser les données comptables de prise en charge (titres, mandats ainsi que les bordereaux avec la mise en œuvre de la signature électronique) et leurs pièces justificatives ».

« L’origine de l’incident est connue, et il ne s’agit ni d’un bug informatique lié à une évolution de version de l’application, ni d’une cyberattaque. C’est un incident exceptionnel de nature technique, lié à une défaillance matérielle sur une baie de stockage », expliquait à nos confrères d’Acteurs Public, Éric Barbier, chef du service des gestions publiques locales, des activités bancaires et économiques à la direction générale des Finances publiques. « Dès le début, les équipes informatiques de la DGFiP et l’assistance technique du prestataire de la baie de stockage sont intervenues pour faire en sorte que cette anomalie soit réparée », ajoute-t-il.

Hélios s’appuie sur deux sites physiques situés l’un à Versailles, l’autre à Metz. Chacun héberge une partie des trésoreries des collectivités territoriales. C’est celui de Metz qui a été touché et les collectivités qu’il héberge ne peuvent plus du tout accéder à Hélios. Mais les activités de celles dont les données sont à Versailles ont aussi été perturbées.

Pas de redondance

Solidaires Finances publiques souligne dans son communiqué que « les agentes et agents informaticiens de la DGFiP sont sur le pont sans relâche pour restaurer les données et permettre que tout fonctionne à nouveau. La tâche est immense et une fois encore les agentes et agents de la DGFiP sont au rendez-vous ». Mais le syndicat pointe le fait qu’il n’y ait pas de redondance des serveurs d’Hélios : « Cette crise d’ampleur montre les conséquences concrètes des réductions budgétaires sur notre administration. En effet, la DG [Direction générale] n’a jamais voulu, faute de moyens alloués, mettre en place une redondance (un serveur de secours) comme nos camarades des Disi [Directions des services informatique] le réclament depuis des années, ce qui aurait permis que cette panne soit transparente pour les usagers tout comme pour les agents ».

Le logiciel est utilisé pour payer les loyers, emprunts et prestataires des collectivités mais aussi des services publics hospitaliers. La CGT Finances publiques de Haute Garonne alertait aussi ce 12 février [PDF] sur le paiement d’aides sociales et des salaires des agents de la fonction publique territoriales : « l’inquiétude est réelle quant à la validation et le paiement des payes de l’ensemble des fonctionnaires territoriaux de ces collectivités, si la réparation tarde à intervenir (à ce jour, les payes sont encore en temps d’être réalisées, avec un visa allégé). D’ores et déjà, un certain nombre de dépenses sociales n’ont pu être payées aux usagers (allocations de retour à l’emploi, bourses, service d’aide et l’accompagnement à domicile…), ainsi que des remboursements de factures aux entreprises prestataires de ces collectivités ».

La paie des agents devrait être assurée

« Selon notre plan actuel, la paie des agents territoriaux et hospitaliers devrait être assurée dans les conditions habituelles, d’ici la fin du mois, car on se place dans une perspective de reprise de la disponibilité d’Hélios pour l’ensemble des postes comptables dans le courant de la semaine prochaine [ndlr : cette semaine, donc] », expliquait Éric Barbier vendredi dernier à Acteurs Publics. Au pire, la direction envisageait de rejouer la paie du mois précédent, comme elle l’a déjà fait au moment des confinements dus à la pandémie de Covid-19.

Selon les informations apportés aux syndicats, les collectivités dont les données sont stockées sur le serveur de Versailles auraient vu, depuis la fin de la semaine dernière, leur situation se débloquer.

En aout 2025, la DGFiP a publié [PDF] son schéma directeur du numérique pour structurer ses grandes orientations stratégiques. On peut y lire qu’elle prévoit de moderniser le système d’information comptable du secteur public local et hospitalier avec le projet « Helios 2 », mais les collectivités risquent d’attendre quelques années puisque le déploiement du projet n’est prévu qu’en 2030 :

Initialement attendue le 11 février dernier, la première bêta d’Android 17 est finalement parue vendredi 13 février. Son installation est désormais possible sur tous les téléphones Google compris entre le Pixel 6 (sorti en 2021) et les derniers modèles en date, à savoir les différentes déclinaisons du Pixel 10.

« Cette version prolonge nos efforts pour rendre les applications Android plus adaptables, introduit des améliorations significatives au niveau de l’appareil photo et des possibilités multimédia, de nouveaux outils pour optimiser la connectivité et des profils étendus pour les appareils compagnons », annonce Matthew McCullough, vice président en charge du product management au sein de l’équipe Android.

L’équipe précise à cette occasion le calendrier prévisionnel de sortie d’Android 17, avec une phase de bêta réduite à seulement quelques semaines, pour livrer aux développeurs une version considérée comme stable dès le mois de mars. « À cette étape, nous livrerons les API finales des SDK/NDK ainsi que la plupart des comportements définitifs de l’application. Vous disposerez ensuite de plusieurs mois avant la publication de la version finale pour finaliser vos tests », indique Google.

La liste des nouveautés annoncées pour Android 17 témoigne de cette volonté de rationaliser et d’harmoniser un écosystème qu’on présente souvent comme moins bien intégré que celui d’Apple. Le SDK associé exclut par exemple l’option qui permettait aux développeurs de désactiver les restrictions d’orientation et de redimensionnement sur les appareils à grand écran.

« Les utilisateurs s’attendent à ce que leurs applications fonctionnent partout — que ce soit en multitâche sur une tablette, en dépliant un appareil ou en utilisant un environnement de bureau à fenêtres — et ils s’attendent à ce que l’interface utilisateur remplisse l’espace et respecte la position de leur appareil », prévient Google. De quoi sans doute préparer le terrain à Aluminium OS, le nom de code que l’entreprise donnerait à la version PC d’Android ?

Android 17 bêta 1 incarne pour mémoire le changement de logique opéré l’an dernier par Google quant à la mise à disposition des versions de test de son système d’exploitation mobile. Android a en effet abandonné son modèle historique de Developer Preview (avec des versions individuelles à installer à la main) pour passer vers un canal de distribution Canary. Parallèle au canal officiel (dédié aux versions stables), il permet de recevoir les nouvelles préversions sous forme de mises à jour, avec une installation simplifiée.