L’open data ça va beaucoup trop loin !

Ce week-end, sur Twitch, nous avons eu un bel exemple de « fail collectif ». D’un côté, un influenceur qui demande à sa communauté de partager leur RIB (ou celui d’un proche) pour obtenir de l’argent. De l’autre, des internautes qui envoient leurs informations bancaires en direct.

Nasdas est un influenceur bien connu sur les réseaux sociaux (9 millions d’abonnés sur Snapchat) car il a pour habitude de redistribuer une partie de ses revenus à sa communauté. Dimanche 2 février, la situation a dérapé, comme le rapporte BFM Tech & Co citant l’influenceur :

« J’ai mon application bancaire. J’ai un peu plus de 28 000 euros à l’intérieur. Je dois donner 10 000 euros. Comment faire ? Soit, on m’envoie des RIB dans les commentaires, soit des Paypal et je fais les virements en live ».

Il ratisse large dans sa communication : « on choisira parmi les nouveaux followers. Envoie un message, envoie ton RIB, celui de ta maman, ton oncle, qui tu veux ». La suite, on s’en doute : des RIB ont été envoyés par dizaines dans les commentaires, sur un live accessible à tous. Ils sont parfois accompagnés de messages et d’autres informations personnelles. Un véritable « trésor » pour des personnes malintentionnées.

Envoyer un RIB n’est pas sans conséquences

Plus besoin de fuites de données, les internautes envoient eux-mêmes des informations bancaires en espérant obtenir des fonds au passage… Du point de vue de cybersécurité, cela comporte des risques réels, comme nous l’expliquions récemment.

Si la Banque de France rappelle que « communiquer son RIB n’est pas risqué en soi », elle ajoute bien rapidement que, « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) ».

• Fuite d’IBAN : quels sont les risques, comment se protéger

Fin octobre, la CNIL a publié un guide pour vous protéger en cas de fuite de votre IBAN (qui se trouve sur votre RIB)… des recommandations également valables si vous partagez vos données bancaires de manière publique, comme c’est le cas ici :

« Cet identifiant peut dans certains cas permettre à un pirate d’émettre des ordres de prélèvement illégitimes qui ciblent les IBAN obtenus frauduleusement. Le pirate peut aussi, plus directement, usurper l’IBAN d’une autre personne en les communiquant lors de la création d’un mandat de prélèvement dans le cadre d’une souscription à un service ».

« Surveillez régulièrement les opérations sur votre compte bancaire et faites opposition si nécessaire […] Vérifiez la liste des créanciers autorisés », rappelait la CNIL. En cas de doute, n’hésitez pas à contacter votre conseiller bancaire.

« De profondes interrogations chez les juristes »

Mais ce qui pourrait passer au premier abord comme une « bonne action » ne dispense pas de respecter les règles.

Alexandre Archambault, avocat spécialisé dans le droit du numérique, nous explique que les modalités de l’épisode « ne manquent pas de susciter de profondes interrogations chez les juristes au regard des grands principes du RGPD ».

Les demandes de l’influenceur et les réponses des internautes fournissent un double exemple de ce qu’il ne faut pas faire.

Nasdas multiplie les dérapages

Nasdas n’en est pas à son coup d’essai. En juin dernier, il proposait à sa communauté de récupérer 100 000 euros (par lots de 80 à 2 500 euros) via une application de paiement en ligne : Laymoon. « Le jeu concours avait finalement été annulé face aux tollés des internautes. En effet, il fallait débourser au minimum 17 euros pour accéder à la plateforme », expliquent nos confrères.

En 2022, l’influenceur « avait volontairement diffusé dans une story son numéro de carte bleue, sur laquelle se trouvaient près de 16 000 euros […] Plusieurs sites, dont Amazon, avaient alors été submergés. Ils avaient considéré l’utilisation massive de cette carte de crédit comme « frauduleuse ». Les comptes ayant utilisé ce moyen de paiement avaient été temporairement bloqués », ajoute BFM Tech & Co.

L’open data ça va beaucoup trop loin !

Ce week-end, sur Twitch, nous avons eu un bel exemple de « fail collectif ». D’un côté, un influenceur qui demande à sa communauté de partager leur RIB (ou celui d’un proche) pour obtenir de l’argent. De l’autre, des internautes qui envoient leurs informations bancaires en direct.

Nasdas est un influenceur bien connu sur les réseaux sociaux (9 millions d’abonnés sur Snapchat) car il a pour habitude de redistribuer une partie de ses revenus à sa communauté. Dimanche 2 février, la situation a dérapé, comme le rapporte BFM Tech & Co citant l’influenceur :

« J’ai mon application bancaire. J’ai un peu plus de 28 000 euros à l’intérieur. Je dois donner 10 000 euros. Comment faire ? Soit, on m’envoie des RIB dans les commentaires, soit des Paypal et je fais les virements en live ».

Il ratisse large dans sa communication : « on choisira parmi les nouveaux followers. Envoie un message, envoie ton RIB, celui de ta maman, ton oncle, qui tu veux ». La suite, on s’en doute : des RIB ont été envoyés par dizaines dans les commentaires, sur un live accessible à tous. Ils sont parfois accompagnés de messages et d’autres informations personnelles. Un véritable « trésor » pour des personnes malintentionnées.

Envoyer un RIB n’est pas sans conséquences

Plus besoin de fuites de données, les internautes envoient eux-mêmes des informations bancaires en espérant obtenir des fonds au passage… Du point de vue de cybersécurité, cela comporte des risques réels, comme nous l’expliquions récemment.

Si la Banque de France rappelle que « communiquer son RIB n’est pas risqué en soi », elle ajoute bien rapidement que, « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) ».

• Fuite d’IBAN : quels sont les risques, comment se protéger

Fin octobre, la CNIL a publié un guide pour vous protéger en cas de fuite de votre IBAN (qui se trouve sur votre RIB)… des recommandations également valables si vous partagez vos données bancaires de manière publique, comme c’est le cas ici :

« Cet identifiant peut dans certains cas permettre à un pirate d’émettre des ordres de prélèvement illégitimes qui ciblent les IBAN obtenus frauduleusement. Le pirate peut aussi, plus directement, usurper l’IBAN d’une autre personne en les communiquant lors de la création d’un mandat de prélèvement dans le cadre d’une souscription à un service ».

« Surveillez régulièrement les opérations sur votre compte bancaire et faites opposition si nécessaire […] Vérifiez la liste des créanciers autorisés », rappelait la CNIL. En cas de doute, n’hésitez pas à contacter votre conseiller bancaire.

« De profondes interrogations chez les juristes »

Mais ce qui pourrait passer au premier abord comme une « bonne action » ne dispense pas de respecter les règles.

Alexandre Archambault, avocat spécialisé dans le droit du numérique, nous explique que les modalités de l’épisode « ne manquent pas de susciter de profondes interrogations chez les juristes au regard des grands principes du RGPD ».

Les demandes de l’influenceur et les réponses des internautes fournissent un double exemple de ce qu’il ne faut pas faire.

Nasdas multiplie les dérapages

Nasdas n’en est pas à son coup d’essai. En juin dernier, il proposait à sa communauté de récupérer 100 000 euros (par lots de 80 à 2 500 euros) via une application de paiement en ligne : Laymoon. « Le jeu concours avait finalement été annulé face aux tollés des internautes. En effet, il fallait débourser au minimum 17 euros pour accéder à la plateforme », expliquent nos confrères.

En 2022, l’influenceur « avait volontairement diffusé dans une story son numéro de carte bleue, sur laquelle se trouvaient près de 16 000 euros […] Plusieurs sites, dont Amazon, avaient alors été submergés. Ils avaient considéré l’utilisation massive de cette carte de crédit comme « frauduleuse ». Les comptes ayant utilisé ce moyen de paiement avaient été temporairement bloqués », ajoute BFM Tech & Co.

Sept ans… ça va, on a encore de la marge

L’Agence de cybersécurité et de sécurité des infrastructures met en garde contre quatre failles déjà corrigées, mais encore activement exploitées. Deux remontent à 2018 et soulèvent l’éternelle question des mises à jour.

Outre-Atlantique, la Cybersecurity and Infrastructure Security Agency (CISA) vient d’ajouter quatre failles de sécurité à son catalogue Known Exploited Vulnerabilities (KEV). Il s’agit donc de failles pour lesquelles l’Agence de cybersécurité a des « preuves d’une exploitation active », avec les dangers que cela comporte.

Les voici, avec leur score CVSS (Système commun de notation des vulnérabilités) permettant de juger du niveau de gravité sur 10 :

• CVE-2024-45195  (CVSS de 9,8) : vulnérabilité dans Apache OFBiz
• CVE-2024-29059 (CVSS de 7.5) : vulnérabilité dans le framework Microsoft .NET
• CVE-2018-9276 (CVSS de 7.2) : vulnérabilité dans Paessler PRTG Network Monitor
• CVE-2018-19410  (CVSS de 9,8) : vulnérabilité dans Paessler PRTG Network Monitor

Deux failles de… 2018

Si vous avez l’habitude des numérotations CVE (Common Vulnerabilities and Exposures), vous avez certainement compris que les deux premières failles datent de l’année dernière (septembre et mars respectivement), tandis que les deux autres ont déjà près de sept ans.

Malgré leur grand âge, « ces vulnérabilités sont des vecteurs d’attaque fréquents pour les pirates et posent des risques importants de cybersécurité », rappelle la CISA. L’Agence laisse jusqu’au 25 février aux entités de la Federal Civilian Executive Branch (FCEB) pour se mettre à jour. Mais c’est aussi un rappel important pour tout un chacun. Le CISA ne donne par contre aucun détail sur la manière dont elles sont exploitées.

Depuis le début de cette année, 19 failles ont été ajoutées au catalogue Known Exploited Vulnerabilities. La liste complète compte plus de 1 200 failles dont l’exploitation était donc avérée au moment de leur ajout au KEV. La première remonte à 2021.

Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables

Y voir arriver des failles plus de six ans après leur découverte et surtout six ans après la publication des mises à jour est inquiétant. Cela prouve, s’il en était besoin, que des règles aussi élémentaires qu’appliquer des mises à jour ne sont pas toujours respectées.

Les exemples sont cependant nombreux, même avec des failles ayant fait les gros titres. C’était le cas de Heartbleed par exemple, avec la bagatelle de 200 000 serveurs et appareils toujours vulnérables trois ans après l’électrochoc.

• OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment

Il y a quelques mois, lors d’un audit de sécurité, l’entreprise Securitum expliquait avoir trouvé deux serveurs publiquement accessibles encore vulnérables à cette brèche béante de sécurité. Elle permet pour rappel d’accéder à des données stockées dans la mémoire du serveur. Dix ans plus tard, des serveurs sont donc toujours vulnérables.

On parle là d’une faille qui a fait les gros titres pendant des jours, alors on imagine malheureusement bien ce qui peut arriver avec d’autres vulnérabilités, ayant moins de visibilité.

• Cybersécurité et open source : l’électrochoc Heartbleed « n’a pas changé grand chose »

Microsoft a communiqué sur les réseaux sociaux et mis à jour son site dédié. La Build 2025 (conférence pour les développeurs) se tiendra donc du 19 au 22 mai 2025 à Seattle.

L’édition 2024 était, sans aucune surprise, marquée par l’intelligence artificielle à toutes les sauces, notamment avec Copilot. Cette année devrait être dans la même lignée.

Pour le moment, Microsoft n’a donné aucun détails supplémentaires.

• Build 2024 : Microsoft encourage la création de copilotes personnalisés

Vitesse, précipitation… toussa

Des millions de Français victimes d’une fuite de données chez EDF et Conforama ? Pas si vite… S’il est tentant de céder aux sirènes alarmistes, la réalité semble bien différente, au moins chez EDF qui « dément toute fuite de données massive ». Le pirate aurait utilisé une attaque par bourrage d’identifiants pour récupérer des données. Explications.

Les fuites de données se multiplient au fils des semaines, c’est un fait indéniable. Mais il y a toujours la possibilité que certains surfent sur la vague pour se faire mousser. C’est le cas cette semaine avec des « fuites » chez EDF et Conforama. L’information a rapidement circulé, avec comme unique source une publication sur un forum bien connu des pirates.

Aie confiance, crois en moi, que je puisse…

Problème, aucune confirmation ne permettait d’étayer les propos du pirate : EDF et Conforama n’ont pas communiqué auprès de leurs clients, alors que c’est normalement une obligation en cas de violation des données personnelles. Généralement, on trouve des copies des emails rapidement sur les réseaux sociaux.

Cela n’empêche pas certains experts et médias de partir bille en tête en se basant sur les seules déclarations du pirate, parfois avec du conditionnel… mais pas toujours. Le pirate a multiplié les publications sur le forum (neuf en quelques jours à peine), avec des échantillons pour appuyer ses dires. La situation semble être tout autre.

EDF et Conforama : 15,6 millions de clients… ou pas !

C’est de nouveau sur un célèbre forum de pirates que l’affaire débute : des données sont mises en vente par Varun. Il propose « la base de données EDF Prime énergie. C’est une aide financière pour des travaux de rénovation énergétique. Elle contient plus de 6,3 millions de personnes », avec un échantillon en exemple.

On y retrouve de nombreuses informations avec emails, numéros de téléphones et même une copie de la demande d’aide. Il y a également des indications sur la tranche des « revenus de mon ménage » qui peuvent être inférieurs aux plafonds d’un tableau A ou B, une information utilisée pour calculer le montant des aides.

Dans une autre publication, le pirate propose aussi des données de clients Conforama : « Il y a plus de 9,3 millions de personnes dont j’ai réussi à gratter des informations, notamment nom, prénom, email, date de naissance, numéro de téléphone, facture et plein d’autres informations ».

Le pirate « on fire » : Pont-de-Claix, Freedom Electronics, Webixa… ou pas ?

Varun affirme aussi avoir récupéré et mis en vente les données des clients E.Leclerc Énergie le 28 janvier, soit un jour après l’annonce de la fuite d’E.Leclerc à ses clients. Dans une mise à jour, Varun précise que les données ont été vendues et qu’il ne procédera pas à de nouvelles ventes. Un bon moyen de se donner de la « crédibilité » puisqu’aucune publication auparavant ne revendiquait la mise en vente des données d’E.Leclerc.

• Cyberattaque contre E.Leclerc : des données personnelles « ont pu être exposées »

Sur le forum spécialisé, on retrouve d’autres publications dans les derniers jours. Il affirme aussi avoir mis la main sur la « base de données de la ville française Pont-de-Claix », sur celle de freedomelectronics.net, du The Norwegian Training Center à Manille (Philippines), de Tidtang Studio à Bangkok (Thaïlande) et de Webixa en Pologne.

Le pirate « a tout simplement menti »

Hier, aucune publication sur les réseaux sociaux ou communication officielle permettait de confirmer les dires de Varun. En fouillant un peu, une source nous a mis en garde sur cette fuite, ou plus exactement elle a exprimé des doutes quant à sa véracité.

Aujourd’hui, les masques tombent. Dès ce matin, Clubic battait en brèche les affirmations du pirate : « Le hacker « Varun » […] a tout simplement menti. Il a juste procédé à du recyclage de données issues d’une précédente fuite ».

« Nous avons appris de source sûre, lundi soir, que le hacker a en fait procédé à ce que l’on appelle du « credential stuffing » » (ou bourrage d’identifiant en français), explique notre confrère. Cette technique, rappelle la CNIL, « consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe) ».

Le principe est simple : des données ayant fuité sur un site sont réutilisées sur un autre service. Si vous avez réutilisé un même mot de passe, le pirate peut accéder à votre compte. Selon Clubic, Varun aurait utilisé des données de la fuite (confirmée) de LDLC.

EDF : des « connexions illicites », pas de fuites massives

Ce midi, c’était au tour de BFM Tech & Co de revenir sur cette affaire. Selon nos confrères, EDF « dément, mais fait tout de même état de « connexions illicites » à l’une de ses plateformes », Prime Energie en l’occurrence. Quoi qu’il en soit, la société « dément toute fuite de données massive », après une enquête interne.

Elle reconnait par contre, « une centaine de connexions illicites » en réutilisant des identifiants concernés par de précédentes fuites. Raison pour laquelle le site Prime Energie EDF est « suspendu » depuis le 3 février. « Les pirates n’ont accès qu’à des documents « en nombre limité » », précise BFM Tech & Co. Documents qui peuvent servir d’échantillons pour faire croire à une fuite massive.

Quelques minutes plus tard, Numerama confirme, là encore avec un retour d’EDF : « il n’y a pas de signaux indiquant une vaste fuite de données… ». Le reste de l’histoire est la même que celle de nos autres confrères.

Rappel des précédents épisodes

Cette affaire rappelle encore une fois l’importance de prendre le temps de confirmer et recouper des informations. Et, s’il en était besoin, de ne pas prendre pour argent comptant des publications d’un pirate sur un forum.

Cela n’empêche évidemment pas que les fuites des derniers mois sont nombreuses et réelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance, Norauto, des fédérations françaises de sport, E.Leclerc, Aides.org…

Dans le cas d’Aides, de RED by SFR et de Free, des IBAN étaient aussi dans la liste des données récupérées par les pirates et donc disponibles sur Internet. Il faut pour rappel surveiller ses comptes pour vérifier la présence de prélèvements douteux, comme indiqué dans notre dossier.

• Fuite d’IBAN : quels sont les risques, comment se protéger

La Commission passe en mode « détective holistique »

Les plateformes d’e-commerce Temu et Shein sont plus que jamais dans le collimateur de la Commission européenne et d’associations de consommateurs. Temu est déjà sous le coup d’une procédure formelle, Shein devrait suivre demain. La Commission prépare de son côté un projet avec une approche holistique sur les grandes plateformes de commerce en ligne.

Depuis plusieurs mois, différentes instances européennes s’intéressent de près à la plateforme d’ecommerce Temu. Le BEUC (bureau européen des unions de consommateurs) tirait la sonnette d’alarme en mai dernier, affirmant que Temu « ne protège pas les consommateurs en enfreignant le Digital Services Act ».

Temu sous pression, la Commission européenne enquête

Fin octobre, la Commission européenne ouvrait une « procédure formelle à l’encontre de Temu au titre de la législation sur les services numériques » (DSA). Elle enquête sur des domaines « liés à la vente de produits illicites, à la conception potentiellement addictive du service, aux systèmes utilisés pour recommander des achats aux utilisateurs, ainsi qu’à l’accès aux données pour les chercheurs ».

• Produits illégaux, addiction : l’Europe ouvre une procédure formelle contre Temu

Le BEUC est revenu à la charge cette semaine, dénonçant « des trous béants dans la sécurité des produits vendus sur Temu ». En cause, des « petites pièces de jouets pour enfants et de produits pour bébés trop facilement détachables pouvant provoquer une suffocation », des listes d’ingrédients incorrects dans les cosmétiques, des « radiateurs électriques extrêmement dangereux », etc.

« Un point d’entrée pour des produits illégaux »

Pour Agustín Reyna (directeur général du BEUC), Temu est « un point d’entrée pour des produits illégaux qui n’ont pas leur place sur nos marchés ». Le Bureau européen des unions de consommateurs demande donc à la Commission de terminer son enquête au plus vite et « de prendre des mesures dissuasives et efficaces contre Temu dans l’intérêt des consommateurs et des entreprises » qui respectent les règles de l’Union.

Le BEUC demande aussi la mise en place d’un « plan d’action ambitieux et vaste pour l’e-commerce visant à résoudre les problèmes auxquels les consommateurs sont confrontés sur les marketplaces, y compris des règles claires en matière de responsabilité ». La Commission devrait le présenter demain, nous allons y revenir.

Une enquête devrait aussi s’ouvrir contre Shein

Une autre plateforme est dans le collimateur de la Commission européenne : Shein. Selon l’AFP, « l’UE s’apprête à ouvrir une enquête contre la plateforme chinoise ». L’annonce devrait être faite demain selon deux sources de nos confrères.

« Shein est considéré comme un emblème des dérives sociales et environnementales de la mode à petits prix. Mais l’entreprise a promis de collaborer avec toutes les parties prenantes pour répondre aux préoccupations exprimées », rappelle l’AFP.

En juillet 2023, Bruno Lemaire, alors ministre de l’Économie, des Finances et de la Souveraineté industrielle et du Numérique, saisisait la DGCCRF sur les risques de la fast fashion, avec Shein dans le viseur.

Shein (comme Temu) est pour rappel une très grande plateforme au titre du règlement sur les services numériques (DSA). Elle compte « plus de 45 millions d’utilisateurs réguliers par mois dans l’Union européenne », selon ses propres chiffres transmis à la Commission en avril 2024.

La Commission européenne passerait en mode « holistique »

Selon Euractiv, la Commission européenne devrait « adopter une approche « holistique » à l’égard de Temu et Shein ». Le projet, consulté par nos confrères et qui devrait être publié demain, prévoirait des « modifications structurelles des règles douanières de l’UE, l’application de la législation européenne existante en matière de protection des consommateurs et l’adoption de règles environnementales ».

Sur les questions douanières, la Commission souhaiterait « fournir des ressources supplémentaires aux autorités douanières nationales afin qu’elles puissent examiner les petits envois ». L’intelligence artificielle devrait aussi être utilisée afin de vérifier les envois de marchandises, avec la mise en place d’une « nouvelle autorité de l’UE pour traiter les données douanières dans le cadre d’un système informatique unique », toujours selon le projet consulté par Euractiv.

La montée en puissance de Temu et Shein en Europe

Pour se rendre compte de la montée en puissance de Temu et Shein, on peut se tourner vers… La Poste. Plus précisément, l’audition de Philippe Wahl (PDG de la Poste depuis 2013) par la Commission des affaires économiques.

Il y parlait de la « montée des plateformes chinoises Temu et Shein, qui représentent 22 % de nos colis en Europe. C’était moins de 5 % il y a cinq ans, 1 % de plus qu’Amazon qui est […] le premier client mais aussi le premier concurrent de la Poste ». Amazon, Shein et Temu représentent ainsi 43 % des colis acheminés par la Poste en Europe.

• Les « liaisons dangereuses » de la Poste : Amazon, Temu et Shein

Dans un communiqué, la CNIL explique que sa formation restreinte a prononcé une amende de 40 000 euros à une société intervenant dans le secteur immobilier.

Elle « avait installé sur les ordinateurs de certains de ses salariés un logiciel de suivi de leur activité dans le cadre du télétravail » via le logiciel Time Doctor. Elle « avait également recours à un système de vidéosurveillance dans ses locaux [aussi bien espace de travail que de pause, ndlr] pour la prévention des atteintes aux biens (vols) ».

La CNIL a procédé à des contrôles suite à des plaintes. Le résultat est accablant : « la société filmait en permanence ses salariés, en captant l’image et le son, […] mesurait leur temps de travail et évaluait leur performance de manière très précise par le biais du logiciel installé sur leurs ordinateurs ».

Concernant la mesure du temps de travail, « le logiciel détectait automatiquement, tout au long de la journée, si le salarié n’effectuait aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes. Ces temps « d’inactivité » comptabilisés, à défaut d’être justifiés par les salariés ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire par la société ».

La Commission rappelle que ne pas utiliser son ordinateur peut aussi correspondre à du temps de travail effectif, avec des réunions ou appels téléphoniques par exemple. « Un tel dispositif ne permet pas un décompte fiable des heures de travail, contrairement à sa finalité annoncée. En outre, l’atteinte portée par le dispositif, ainsi paramétré, aux droits des salariés était, en tout état de cause, disproportionnée. Par conséquent, ces traitements ne reposent sur aucune base légale ».

La condamnation a été rendue publique, notamment afin de faire passer le message et « d’informer toute personne soumise à de tels dispositifs ». Compte tenu de sa petite taille et du retrait immédiat du logiciel lors du contrôle, le nom de la société n’a pas été dévoilé. Quant à l’amende, elle est jugée par la CNIL « dissuasive mais proportionnée ».

La délibération avec les explications et justifications de l’entreprise se trouve par là.

C’est en tout cas l’information annoncée par Bloomberg et reprise par Libération. Les coupes – qui concernent environ 6 % des effectifs – se feront en France et en Italie via « des départs volontaires, dont des retraites anticipées », selon nos confrères.

Un porte-parole de l’entreprise confirme avec des mots dont les communicants ont le secret : « dans les semaines à venir, nous allons commencer un dialogue constructif avec les représentants du personnel ». Libération rappelle que STMicroelectronics est « né de la fusion d’entreprises publiques françaises et italiennes en 1987 ».

Il y a quelques jours, la société a présenté ses résultats pour le quatrième trimestre de l’année avec une baisse de 22,4 % de ses revenus, pour arriver à 3,321 milliards de dollars. La société est toujours bénéficiaire avec 341 millions de dollars, contre plus d’un milliard il y a un an.

En bourse, l’action a perdu 8 % après l’annonce de son bilan, mais elle a surtout perdu plus de 40 % depuis l’été dernier.

Car avant les risques inacceptables étaient autorisés ?

Depuis hier, les systèmes d’IA présentant des « risques inacceptables » sont interdits dans l’Union européenne. C’est la première étape d’un plan qui va se dérouler jusqu’au 2 août 2027. Il manque encore les lignes directrices que la Commission tarde à mettre en ligne. Clara Chapaz est montée au créneau sur la question de l’innovation.

L’AI Act ou la « législation européenne sur l’intelligence artificielle » est entré vigueur 1ᵉʳ août 2024, après sa publication deux semaines plus tôt au Journal officiel de l’Union européenne. Une première échéance importante a été dépassée hier : l’interdiction relative aux systèmes d’IA présentant des risques inacceptables.

• AI Act : le règlement européen est publié au Journal officiel, la CNIL propose une FAQ

Le gouvernement donne les grandes lignes de cette notion de risques inacceptables : « Il s’agit notamment des systèmes d’IA utilisés pour la manipulation inconsciente, l’exploitation des vulnérabilités, la notation sociale, et la catégorisation biométrique (origine ethnique, religion, etc.) ». Pour les détails, on repassera.

Le Conseil de l’Union européenne y va aussi de son explication de texte sur les risques inacceptables, avec plus de détails : « Il s’agit notamment de la manipulation comportementale cognitive, de la police prédictive, de la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, ainsi que de la notation sociale. L’utilisation de systèmes d’identification biométrique à distance en temps réel, tels que la reconnaissance faciale par les forces de l’ordre dans les espaces publics, est également interdite, à quelques exceptions près ».

Les lignes directrices aux abonnés absents

Comme le rappelle Euractiv, ce texte « laisse toutefois de nombreuses questions en suspens quant à la manière dont il devrait être appliqué, rendant les lignes directrices attendues cruciales pour sa mise en œuvre ». Ces fameuses lignes directrices n’ont d’ailleurs toujours pas été publiées, précisent nos confrères.

Il y a deux semaines, une vingtaine d’associations (dont Access Now, Amnesty International et European Digital Rights) demandaient à la Commission de mettre « les droits de l’homme et la justice au cœur des prochaines lignes directrices ».

Plus précisément, les signataires exhortent l’AI Office de « préciser que les systèmes relativement « simples » entrent explicitement dans le champ d’application de la définition des systèmes d’IA ». Le but étant que des systèmes ne soient pas considérés comme étant hors du champ d’application de l’AI Act « simplement parce qu’ils utilisent des algorithmes moins complexes ».

On en revient presque aux notions d’algorithme et d’intelligence artificielle et de la frontière entre les deux. Nous en avions déjà parlé dans un édito.

• [Édito] L’intelligence artificielle est-elle intelligente ou artificielle ?

Autre cheval de bataille : « empêcher l’utilisation de la technologie comme arme contre des groupes marginalisés et pour de l’utilisation illégale de surveillance biométrique de masse ». Par exemple, les associations demandent « l’interdiction du scoring social ».

Toujours selon les associations, les lignes directrices doivent préciser les contours et interdiction liés à la police prédictive. Par exemple, elles « devraient préciser que les systèmes qui font des prédictions sur la probabilité d’être enregistré dans un système de police […] ainsi que des systèmes prédictifs utilisés dans le contrôle de l’immigration » entrent dans le domaine des systèmes interdits.

Ce sera ensuite au tour des IA « haut-risque »

Le gouvernement rappelle que les systèmes d’IA du niveau juste du dessous, c’est-à-dire ceux classés comme à « haut-risque », sont ceux déjà couverts « par des réglementations européennes existantes comme la réglementation sur les dispositifs médicaux, la directive machine ou la directive sur la sécurité des jouets, etc. ».

La CNIL expliquait l’année dernière qu’il s’agit de « la première législation générale (ou exhaustive) au monde sur l’intelligence artificielle », dont le but est d’« encadrer le développement, la mise sur le marché et l’utilisation de systèmes d’intelligence artificielle (IA), qui peuvent poser des risques pour la santé, la sécurité ou les droits fondamentaux ».

Mais de nouvelles applications seront ajoutées avec l’AI Act : « l’éducation et la formation professionnelle, l’accès aux services privés essentiels (crédit bancaire, assurance) et aux prestations publics essentiels (santé, appels d’urgence, justice) ». L’entrée en vigueur se fera à partie du 2 août 2026. Avant cette date, en août 2025, de nouvelles règles pour les modèles d’IA à usage général entreront en vigueur. Il faudra également que les États membres aient nommé leur autorité compétente.

AI Act vs innovation, sommet de l’IA en approche

« Il faut que ce cadre ne freine pas l’innovation et soit en mesure d’être adopté par les jeunes entreprises […] La France va rester attentive à ce que cette vision du texte soit respectée », explique Clara Chappaz, (ministre déléguée à l’IA et au numérique), comme le rapporte l’Usine Nouvelle.

La France se prépare pour rappel à accueillir le sommet sur l’IA dès le 6 février 2025 avec de « nombreux évènements à l’occasion de la Semaine pour l’action sur l’IA ». Deux dates importantes la semaine prochaine : « les 10 et 11 février 2025, la France accueillera le Sommet pour l’action sur l’intelligence artificielle (IA), réunissant au Grand Palais, chefs d’État et de gouvernements, dirigeants d’organisations internationales, de petites et grandes entreprises, représentants du monde universitaire, chercheurs, organisations non-gouvernementales, artistes et autres membres de la société civile ». Le programme est disponible par ici.

Nous avons publié un dossier sur le sujet :

• Comment fonctionne l’AI Act ?
• Systèmes à haut risque, modèles à usage général : ce que dit l’AI Act en pratique
• Gouvernance, sanctions : les outils de mise en conformité et de contrôle de l’AI Act

Calendrier de l’IA Act et rappel des sanctions

Voici enfin les prochaines échéances :

• 2 août 2025 : application des règles pour les modèles d’IA à usage général et nomination des autorités compétentes au niveau des États membres.
• 2 août 2026 : toutes les dispositions du règlement sur l’IA deviennent applicables. Mise en œuvre par les autorités des États membres d’au moins un bac à sable réglementaire.
• 2 août 2027 : application des règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).

Pour rappel, les sanctions prévues par l’AI Act vont jusqu’à 7 % du chiffre d’affaires annuel mondial de l’entreprise. Elles peuvent aussi être « déterminées à partir de montants seuils allant de 7,5 à 35 millions d’euros d’amende ».

Non mais allo quoi ?

Après le partenariat entre T-Mobile et Starlink pour des SMS, c’est au tour de Vodafone de s’acoquiner avec AST SpaceMobile pour réaliser un appel en vidéo par satellite, depuis une zone non couverte par la téléphonie mobile.

Cette semaine, nous vous expliquions comment fonctionne le Direct-to-Device (ou Direct-to-Cell), c’est-à-dire des communications sur son smartphone qui passent par un satellite, sans avoir besoin de modifier la partie matérielle. Starlink propose déjà des SMS et se prépare à lancer des appels. Pour rappel, l‘Europe ne veut pas rester sur le bord de la route et annonce un partenariat avec Viasat.

• Direct-to-Device : les iPhone parlent avec Starlink, l’Europe veut entrer dans la danse

Here comes a new challenger

Un nouveau joueur vient se joindre à la partie : l’opérateur britannique Vodafone. Il revendique le « premier appel vidéo spatial au monde à partir d’une zone sans couverture à l’aide d’un téléphone mobile standard et de satellites commerciaux ». Une manière musclée de répondre à Starlink de SpaceX (nous y reviendrons).

Vodafone enfonce le clou : « Il s’agit de la seule technologie satellitaire de ce type conçue pour offrir une expérience haut débit mobile complète et qui ouvre la voie à une connectivité numérique universelle ». La promesse est la même que celle de Starlink.

BlueBird : une mini-constellation à 700 km

L’opérateur utilise les satellites BlueBird d’AST SpaceMobile. Une société qu’il connait bien puisqu’il revendique en être « devenu l’un des principaux investisseurs » en 2019 suite à une levée de fonds (110 millions de dollars au total). Ces satellites sont au nombre de cinq pour le moment et se situent à 700 km d’altitude environ, selon ce document de 2022.

« Chacun dispose d’une antenne réseau à commande de phase mesurant 64 m² pour établir une connectivité directement avec les téléphones portables via des fréquences standard 3GPP, et en partenariat avec les principaux fournisseurs de services cellulaires du monde entier ».

On peut voir sur l’image ci-dessous les « antennes » des satellites une fois qu’elles sont déployées. La société est encore loin de pouvoir proposer une couverture mondiale puisque, selon ce document de la FCC, elle prévoit une constellation de 243 satellites sur 16 plans orbitaux.

Appels, 5G et débit jusqu‘à 10 Mb/s

Abel Avellan, CEO d’AST SpaceMobile ne manque pas de superlatifs lorsqu’il s’agit de parler de cette expérience avec Vodafone : « Ensemble, nous avons réalisé plusieurs premières mondiales en matière de connectivité haut débit basée dans l’espace, notamment le tout premier appel vocal basé dans l’espace, le premier téléchargement en 4G à plus de 10 Mbps et le tout premier appel vocal 5G ». L’entreprise espère même atteindre jusqu’à 120 Mb/s à l’avenir.

Vodafone compte continuer de mener des tests ce printemps, puis l’opérateur « introduira progressivement le service haut débit direct-to-smartphone sur les marchés européens plus tard cette année et en 2026 ».

AST SpaceMobile propose ci-dessous une photo du dessous (la face orientée vers la Terre une fois déployé dans l’espace) d’un de ses satellites. Il s’agissait du démonstrateur BlueWalker 3, précurseur de la série BlueBird. La surface était la même avec 64 m² environ.

L’opérateur britannique ne donne pas de plan ni de tarif pour la commercialisation de ses offres. Il explique sur cette page qu’il sera possible de souscrire à un pass journalier ou un abonnement au mois, en plus de son forfait classique. Un abonnement « standalone » est aussi au programme pour utiliser en toutes circonstances BlueBird. AST SpaceMobile vise ainsi tout type de population, de ceux qui ont des besoins ponctuels ou souhaitent avoir une solution de secours, à ceux qui sont dans des zones blanches.

AST SpaceMobile tacle SpaceX… qui a envoyé les satellites BlueBird

AST SpaceMobile revendique être « le premier et le seul réseau haut débit mobile dans l’espace qui fonctionne directement avec des smartphones standard, non modifiés, pour plusieurs utilisateurs. Cela va au-delà d’autres constellations de satellites en orbite terrestre basse qui n’ont jusqu’à présent facilité que la messagerie texte ».

Starlink n’est pas cité, mais c’est évidemment la cible. Ironie du sort, les satellites BlueBird ont été lancés en septembre 2024 avec une fusée… Falcon 9 de SpaceX. Rappelons que Starlink a déjà réalisé un appel vidéo en mars de l’année dernière, lors d’un test après la mise en orbite des premiers satellites compatibles avec cette technologie.

Il y a un an tout juste, HPE bouclait un accord définitif portant sur l’acquisition de Juniper pour la modique somme de 14 milliards de dollars. La finalisation était attendue pour fin 2024 ou début 2025. Des bruits de couloir se sont fait entendre il y a quelques semaines sur la volonté des autorités américaines de bloquer le rachat.

• HPE signe un « accord définitif » pour racheter Juniper à 14 milliards de dollars

C’est maintenant officiel : « le ministère américain de la Justice a intenté une action en justice pour empêcher le géant de la technologie d’entreprise HPE d’acquérir Juniper Networks », comme le rapporte TechCrunch. La plainte se trouve par là.

Le ministère de la Justice explique que ce rachat « consoliderait le marché des équipements sans fil pour les entreprises de trois grands fournisseurs – HPE, Cisco et Juniper – à deux ».

Antonio Neri, patron de HPE affirme qu’il va défendre « vigoureusement » ce projet d’acquisition, rapporte Bloomberg : « Nous allons plaider cela devant les tribunaux parce que nous pensons qu’il n’y a pas d’affaire ici ».

La Commission européenne avait, pour rappel, donné son feu vert sans condition en août. Ce rachat, selon l’institution, « ne poserait aucun problème de concurrence sur aucun des marchés examinés […] L’entité issue de la concentration resterait confrontée à la concurrence d’un large éventail de concurrents, dont des acteurs puissants et bien établis sur chacun des marchés ».

Tweedledum et Tweedledee

Après avoir coupé les ponts avec Canal+, récupéré les droits de la cérémonie des Oscars et bradé son abonnement, la plateforme de streaming Disney+ réduit sa fenêtre de diffusion à neuf mois seulement. Dans la chronologie des médias, elle prend donc le pas sur Netflix et se rapproche beaucoup de Canal+.

Disney+ vient d’annoncer la signature d’un accord sur le financement et de la diffusion de la création cinématographique en France. Dans les grandes lignes, il s’agit d’échanger de l’argent contre une fenêtre de diffusion plus rapide.

Chronologie des médias : Disney+ passe de 17 à 9 mois

Les organisations du cinéma français (BLIC, BLOC et ARP) et Disney+ ont, en effet, conclu un accord qui « permettra aux abonnés Disney+ de visionner ces films neuf mois après leur sortie en salles, contre 17 mois actuellement ». De son côté, « Disney+ s’engage à investir 25 % de son chiffre d’affaires net annuel [au lieu de 20 % actuellement, ndlr] généré en France pour financer des œuvres cinématographiques et audiovisuelles, européennes et françaises ».

La plateforme « s’engage sur un investissement sur trois ans, en achat et en préachat, dans la création cinématographique, et à financer un minimum de 70 films sur cette période en assurant une diversité de genres, et de budgets ». Les montants ne sont toutefois pas précisés.

Cinéma et audiovisuel se partagent le gâteau

Notre confrère Romain Colas de la Correspondance de la Presse partage sur X le communiqué des organisations de l’audiovisuel (AnimFrance, SATEV, SEDPA, SPI et USPA). Elles expliquent qu’un « partage à quasi-égalité de ce taux de 25 % a été acté pendant la période de transition des trois années qui s’ouvrent ». Ensuite, dans le cadre du renouvellement de ces accords, l’Arcom « fournira aux parties les éléments nécessaires à la vérification de l’équilibre trouvé entre cinéma et audiovisuel ».

L’AFP donne le détail de la répartition entre les organisations du cinéma et celles de l’audiovisuel : « Ces 25 % seront répartis à parts égales (12,5 %) la première année entre le cinéma et l’audiovisuel. La dernière année, 14 % iront au cinéma, 11 % à l’audiovisuel. Avant ces deux accords, Disney+ consacrait 4 % de son chiffre d’affaires au cinéma, et 16 % à l’audiovisuel ».

Deadpool & Wolverine disponible dès le 25 avril

Disney+ se rapproche ainsi de la fenêtre de Canal+ qui est à six mois après la sortie dans les salles de cinéma. Netflix est en troisième position à 15 mois en échange de 4 % de son chiffre d’affaires annuel net réalisé en France. Enfin, Prime Video, Paramount+ et Max sont à 17 mois d’attente avant de proposer les films sortis au cinéma sur leur plateforme respective. Le délai le plus court est toujours accordé aux supports physiques et à la VoD, quatre mois après la sortie dans les salles.

Disney+ ne se fait pas prier pour annoncer des nouveautés sur sa plateforme : dès le 25 avril, Deadpool & Wolverine sera ainsi disponible. Le film est sorti le 24 juillet dans les salles. Sans cet accord, Disney+ aurait dû attendre huit mois de plus, ce qui aurait amené à fin 2025.

Disney+ et Canal+ : la guerre est ouverte

Disney+ a pour rappel quitté les bouquets de Canal fin 2024. Depuis début 2025, la plateforme tente de séduire de nouveaux clients en bradant son abonnement à 1,99 euro par mois, pendant un an. L’offre promotionnelle a d’ores et déjà été prolongée jusqu’au 3 février.

Disney+ a également raflé les droits exclusifs de diffusion de la cérémonie des Oscars en France, alors que c’était la chasse gardée de Canal+ jusqu’à présent. « Nous serons en direct du tapis rouge au Dolby Theater à Los Angeles le 2 mars prochain pour cette 97e cérémonie », expliquait mi-décembre Julia Tenret (directrice acquisitions et programmation de Disney+).

Maxime Saada (Canal+) fait part de son mécontentement

Hasard ou pas du calendrier, ce mercredi 29 janvier 2025, Maxime Saada (président du directoire du Groupe Canal+) était devant la commission de la culture, de l’éducation, de la communication et du sport du Sénat.

Comme le rapporte Public Sénat, il avait bien déblayé le terrain juste avant l’officialisation de l’accord : « Si Disney est à neuf mois pour 35 millions d’euros, pour Canal +, il y a un sujet sur les 220 millions d’euros pour six mois », Maxime Saada laissait donc « planer la menace d’une forte diminution des investissements de son groupe », expliquent nos confrères.

Selon BoxOffice, « Canal+ dépasse ses obligations, aujourd’hui fixées à une centaine de millions d’euros d’investissement dans le cinéma » et ne verrait pas d’un bon œil que Disney+ se rapproche autant de sa fenêtre de diffusion avec trois mois d’écart seulement entre les deux.

Et, puisque « l’aide » est un pourcentage du chiffre d’affaires, Canal+ pourrait séparer ses activités sportives et cinématographiques : « l’obligation est divisée par deux, donc les 100 millions deviennent mécaniquement 50 millions […] On me dit « c’est une menace, tu ne le feras jamais », mais en fait c’est à l’étude ! », affirme Maxime Saada.

Il terminait avec une question pour les organisations du cinéma : « est-ce qu’elles préfèrent un modèle dans lequel Canal + contribue largement, quitte à dépendre de lui, ou est-ce qu’elles veulent se libérer de cette dépendance, en prenant le risque de perdre 150 ou 200 millions d’investissements du groupe Canal ? ».

Le Nabaztag risque de faire une crise de jalousie

Cet article est à la fois l’occasion d’une séquence nostalgie et d’un gros coup de vieux. Alors qu’on ne pensait pas reparler de Pebble après sa fermeture il y a huit ans, la montre connectée revient en force avec plusieurs annonces : Google libère le code source de PebbleOS, le projet communautaire Rebble trouve un second souffle et le fondateur de la société va relancer une montre dans l’esprit Pebble.

Pour commencer, un petit tour de DeLorean pour les plus jeunes et ceux à qui Pebble n’évoque rien du tout. Il y a près de sept ans, nous vous racontions la folle histoire de la naissance, de la vie et de la mort de ces montres connectées. Nous n’allons pas tout réécrire, mais nous concentrer sur les grandes lignes.

• Naissance, vie et mort de Pebble… dont Rebble prend le relais

Les trois campagnes Pebble sont encore dans le « hall of fame » Kickstarter

La montre Pebble s’est lancée en 2012 (il y a 13 ans donc) sur Kickstarter. L’une des premières montres connectées à arriver sur le marché, proposant une grande autonomie et de la personnalisation, elle pulvérise les compteurs avec 10 millions de dollars récoltés pour 100 000 dollars demandés seulement, soit 100x moins. En quelques années, trois campagnes de financement ont été lancées sur la plateforme collaborative américaine. Toutes les trois ont été de francs succès, avec 43 millions de dollars récupérés au total.

Encore aujourd’hui, la campagne de financement de la Pebble Time (deuxième série de montres, avec un écran e-paper couleur) est la seconde campagne la plus lucrative sur Kickstarter. On retrouve les deux autres campagnes Pebble aux sixième et douzième places.

Clap de fin en 2016, les serveurs Pebble survivent jusqu’en 2018

Ce succès n’a pas empêché l’entreprise de rencontrer de grosses difficultés financières dès 2015 et de procéder à des licenciements massifs en 2016. En décembre de cette même année, c’était la fin pour Pebble, rachetée par Fitbit.

Cette dernière n’assure pas de support et laisse tomber la partie matérielle, mais décide de laisser les serveurs actifs pendant un an et demi, jusqu’en juin 2018. Un projet communautaire se lance alors pour donner une seconde vie aux montres : Rebble.

En 2025, Google libère le code de PebbleOS

Si on reparle aujourd’hui de Pebble, ce n’est pas uniquement pour se remémorer le bon vieux temps. Google, qui a racheté Fitbit en 2021 et a donc récupéré ce qu’il restait de Pebble, vient d’annoncer que « le code source des montres intelligentes Pebble est désormais disponible en téléchargement ». Dans son billet de blog, Google précise que c’est sa manière « d’aider et de soutenir les bénévoles », avec un lien vers le projet Rebble dont nous parlions juste avant.

« La majeure partie du code source du système d’exploitation Pebble » est en ligne, précise Google, mais « une partie du code propriétaire a été supprimée », notamment celui concernant le chipset et le Bluetooth. « Bien que le support matériel et logiciel de Pebble ait été arrêté il y a huit ans, Pebble a toujours des milliers de fans », affirme Google. L’un des premiers fans n’est pas à chercher bien loin : Eric Migicovsky.

Eric Migicovsky veut ressusciter les montres Pebble

Si ce nom ne vous dit rien, il s’agit du fondateur et ex-CEO de Pebble, qui est ensuite passé chez Y Combinator. Plus récemment, il était CEO de Beeper, une application qui permettait d’utiliser iMessage sur Android. Elle a été racheté par Automattic (WordPress). Eric Migicovsky a, lui aussi, publié un billet de blog intitulé « Pourquoi nous ressuscitons Pebble ».

Il explique que le développement de PebbleOS avait nécessité « des dizaines d’ingénieurs » et que « reproduire cela pour du nouveau matériel prendrait beaucoup de temps ». Il a donc décidé d’aller directement à la source et de toquer à la porte de Google :

« J’ai demandé à des amis de Google s’ils pouvaient ouvrir PebbleOS. Ils ont dit oui ! Durant l’année dernière, une équipe au sein de Google (y compris d’incroyables ex-Pebblers devenus Googlers) a travaillé sur ce sujet. Et aujourd’hui, le code source de PebbleOS est disponible ».

Il en profite pour remercier Rebble au passage, un projet qu’il avait déjà soutenu en 2018 avant la fermeture des serveurs.

Quelque chose de « simple », sans reproduire les erreurs du passé

Dans son billet de blog, il annonce aussi qu’avec « une petite équipe » il va « replonger dans le monde du hardware pour ramener Pebble » à la vie. La promesse est de garder « les choses simples ». Il assure avoir tiré des leçons du passé : « Je n’envisage pas de lever des fonds auprès d’investisseurs ou d’embaucher une grande équipe. L’accent est mis sur la durabilité ».

Dans sa petite FAQ, Eric Migicovsky s’amuse de sa situation. À la question « n’êtes-vous pas le gars qui a foiré la dernière fois ? », il répond : « Oui, le seul et unique. Je pense que j’ai appris de précieuses leçons ».

Il s’adresse aux nostalgiques des montres – après tout, ils ont dépensé des dizaines de millions de dollars sur Kickstarter, cela fait une belle base de clients potentiels : « La nouvelle montre que nous construisons aura essentiellement les mêmes caractéristiques et fonctionnalités que Pebble, avec quelques nouveautés amusantes [… ] Elle fonctionnera avec le système d’exploitation open source PebbleOS et sera compatible avec toutes les applications et cadrans Pebble ».

Parmi les fonctionnalités de base, on devrait retrouver un écran e-paper (toujours allumé), une longue autonomie de plusieurs jours, une expérience utilisateur simple, des boutons physiques et la possibilité de personnaliser la montre, le billet de blog parle même de « hackable ». Un site dédié RePebble a été mis en ligne (à ne pas confondre avec Rebble…).

« C’est énorme pour Rebble »

Rebble aussi a publié un billet de blog, suite à l’annonce de Google de publier le code source. Pour faire simple, la nouvelle est excellente : « C’est énorme pour Rebble ». En effet, l’équipe travaillait auparavant sur son propre firmware de remplacement : RebbleOS. « Comme vous pouvez le voir par l’historique des commits, les progrès étaient lents ». La libération du code de PebbleOS rebat les cartes.

Rebble en profite pour annoncer un changement structurel et devient une organisation à but non lucratif. Pour les détails, on repassera, mais un site dédié à la Foundation Rebble a été mis en ligne (spoiler : il est vide). La suite au prochain épisode.

La chaine d’hôtels et de casinos a conclu un accord pour payer 45 millions de dollars afin de régler une vingtaine de recours collectifs, rapportent TechCrunch et The Verge. Un tribunal a donné une approbation préliminaire et une dernière audience est prévue le 18 juin.

L’entreprise s’était fait pirater des données personnelles de ses clients deux fois : en 2019 et 2023. La première cyberattaque avait permis aux pirates de récupérer des noms, adresses, numéros de téléphone et d’autres informations personnelles des clients. La seconde était une attaque par ransomware avec exfiltration des données. Cette fois-ci, des numéros de sécurité sociale et de passeports avaient aussi fuité. Selon nos confrères, cette attaque aurait déjà coûté 100 millions de dollars à MGM Resorts.

« Les avocats des membres du recours collectif ont déclaré que les deux violations de données concernaient plus de 37 millions de clients de MGM Resorts », un chiffre que la société s’était toujours refusée à donner, et qu’elle n’a pas confirmé aujourd’hui.

« Environ 30 % du fonds de règlement de 45 millions de dollars ira aux honoraires d’avocat, les victimes du recours collectif recevant jusqu’à 75 dollars chacune en fonction du type d’informations volées lors des attaques », affirme enfin TechCrunch.

« MGM Resorts fait toujours l’objet d’une enquête de la Federal Trade Commission sur la façon dont elle a géré l’attaque par ransomware de 2023, malgré ses tentatives de bloquer l’enquête », rappelle The Verge.

Du DTC made in Starlink

Cela fait maintenant des mois que l’on parle de Direct-to-Cell ou Direct-to-Device, notamment suite aux annonces de Starlink. Cette fonctionnalité de communication par satellite débarque sur les iPhone aux États-Unis, tandis que l’Europe signe un partenariat avec Viasat. Mais de quoi s’agit-il exactement ?

L’Agence spatiale européenne (ESA) et Viasat viennent d’annoncer un « accord visant à explorer un partenariat concernant un système satellitaire D2D (Direct to Device), visant à fournir une connectivité mobile à large bande à tout moment et en tout lieu ».

Puisqu’on est dans les acronymes, plongeons gaiement dedans et crevons l’abcès. Dans son communiqué, Viasat parle d’un « Non-Terrestrial Network (NTN) LEO Direct-to-Device (D2D) système » (sic) pour l’Europe et le reste du monde. Reprenons calmement.

Qu’est-ce qu’un Non-Terrestrial Network ?

Les Non-Terrestrial Network (NTN) sont, selon la 3GPP, « des réseaux ou des segments de réseaux qui utilisent soit des systèmes d’aéronefs sans équipage […] soit des satellites ». Plusieurs orbites sont possibles, certaines proches de la Terre, d’autres plus éloignées.

Des tentatives ont déjà été lancées par le passé, notamment avec les ballons connectés Loon de Google et le drone Aquila de Facebook, projets tous deux abandonnés depuis.

LEO : rappel sur les orbites, leurs avantages et inconvénients

LEO (pour Low Earth Orbit) désigne une des nombreuses orbites autour de la Terre. « C’est l’orbite la plus proche de la Terre, entre environ 300 km et 3 000 km d’altitude », précise le Centre national d’études spatiales. « C’est là où se trouvent la majorité (plus de 80 %) des engins artificiels : satellites d’observation, de météorologie, de télécommunications… », ajoute le CNES. Deux principales raisons : « moins d’énergie au lancement. Et cette proximité avec la Terre réduit les temps de trajet des communications entre la surface et l’engin ».

Avant l’arrivée des constellations LEO de type Starlink, il existait déjà depuis longtemps des communications par satellites pour accéder à Internet, mais sur des orbites géostationnaires à 36 000 km d’altitude. Le temps pour le signal de faire des allers-retours fait exploser la latence à plusieurs centaines de millisecondes. En étant 100 fois plus proche de la Terre, la latence est divisée par le double de ce même facteur.

En orbite géostationnaire, le satellite reste par contre toujours à la même place dans le ciel, alors que sur des orbites LEO il le traverse à grande vitesse, obligeant à multiplier les satellites et gérer des communications entre eux.

• Internet par satellite : comment choisir son abonnement, les pièges à éviter

Direct-to-Device et Direct-to-Cell : c’est quoi, quelles différences ?

Enfin, Direct-to-Device est « une communication directe, qui ne nécessite pas le passage par le réseau cellulaire », explique l’Arcep. On parle aussi de Direct to Cell lorsqu’il s’agit d’un smartphone alors que Direct to Device s’applique à tous les objets connectés.

Comment fonctionne le Direct-to-Cell de SpaceX

Direct-to-Cell est le nom utilisé par Starlink. La société a envoyé ses premiers satellites avec cette technologie début 2024. En pratique, ils disposent d’un modem LTE (eNodeB) « qui fonctionne comme une antenne-relai de téléphonie mobile dans l’espace ». Côté smartphone, « aucune modification du matériel, du logiciel ou des applications spéciales n’est nécessaire ».

« Moins de 6 jours après le lancement, nous avons envoyé et reçu nos premiers SMS vers et depuis des smartphones non modifiés », en utilisant le réseau de T-Mobile. Depuis, les partenariats se sont multipliés avec Rogers au Canada, Optus en Australie, One en Nouvelle-Zélande, KDDI au Japon, Salt en Suisse, Entel au Chili et au Pérou…

Direct-to-Device : cette année, Starlink s’ouvrira à l’IOT

Starlink annonce que les SMS sont déjà utilisables, tandis que les appels arriveront « prochainement ». Pour les données et l’IoT ca sera dans le courant de cette année. Le premier appel en Direct-to-Cell a été passé début 2024.

First video call on @X completed through @Starlink Direct to Cell satellites from unmodified mobile phones!

We’re excited to go live with @TMobile later this year pic.twitter.com/v4nA5B75EX

— SpaceX (@SpaceX) May 21, 2024

Direct-to-Cell de Starlink chez T-Mobile : après Samsung, Apple

En décembre, T-Mobile ouvrait les inscriptions pour tester, en bêta, le Direct-to-Cell de Starlink. L’opérateur expliquait alors que 300 satellites compatibles étaient en orbite et rappelait que la FCC venait de donner son autorisation à cette expérimentation.

Seuls des smartphones Android (de chez Samsung qui plus est) étaient éligibles dans un premier temps. C’est désormais également possible sur les iPhone, comme le rapporte Reuters, à condition d’avoir la mise à jour 18.3 d’iOS.

Comme le précise MacRumors, des clients inscrit au programme reçoivent le message suivant : « Vous êtes dans la version bêta de T-Mobile Starlink. Vous pouvez désormais rester connecté en envoyant des SMS par satellite depuis pratiquement n’importe où. Pour commencer à profiter d’une couverture plus étendue, veuillez effectuer la mise à jour vers iOS 18.3 ».

Apple propose pour rappel depuis déjà un moment des SOS d’urgence par satellite, à partir des iPhone 14. La fonctionnalité est arrivée en France fin 2022, et permet « d’envoyer un message aux services d’urgence en l’absence de couverture réseau cellulaire ou Wi-Fi ».

T-Mobile cible la « grande majorité des smartphones modernes »

Cette fonctionnalité est limitée aux clients aux États-Unis pour le moment. Durant la phase bêta, elle est gratuite, mais le prix par la suite n’est pas précisé. L’opérateur prévoit, selon nos confrères, de déployer cette fonctionnalité sur la « grande majorité des smartphones modernes ».

L’Europe s’associe à Viasat pour son propre Direct-to-Device

Revenons maintenant à l’annonce entre Viasat et l’ESA : il s’agit de proposer une alternative au réseau de Starlink, avec du Direct-to-Cell et plus largement du Direct-to-Device. Viasat étant une société américaine, pour la souveraineté on repassera.

« Nous sommes engagés dans le développement de capacités spatiales Direct-to-Device basées sur la 3GPP et d’autres normes ouvertes pertinentes, en combinant les satellites GEO [orbite géostationnaire à 36 000 km, ndlr] existants avec une nouvelle constellation de satellites LEO qui répond aux besoins des utilisateurs en Europe et dans le monde entier », explique Mark Dankberg (CEO de Viasat).

La France avait déjà ouvert une enquête préliminaire en 2022 contre la plateforme d’échange de cryptomonnaies. Comme le rapporte Le Monde, les autorités judiciaires passent la seconde et confient le dossier à un juge d’instruction du pôle criminalité financière et cybercriminalité.

Cette information judiciaire porte sur « les infractions de blanchiment aggravé, blanchiment de fraude fiscale, blanchiment en lien avec un trafic de produit stupéfiant et exercice illégal de la profession de prestataire de service sur actifs numériques (PSAN), pour des faits commis en France mais aussi de manière indivisible dans tous les pays de l’Union européenne », indique le parquet dans un communiqué repris par nos confrères.

Il y a deux griefs principaux : démarchage publicitaire hors du cadre légal (notamment sur les réseaux sociaux et via des influenceurs) et des manquements généralisés aux obligations de lutte contre le blanchiment. Ces faits se seraient déroulés sur plusieurs années.

« Les investigations vont désormais se poursuivre […] et auront notamment pour objet de préciser l’ampleur des faits, le rôle des dirigeants de Binance et le degré de participation des différentes sociétés de la plateforme », explique à l’AFP la procureure de Paris Laure Beccuau.

Un porte-parole de la plateforme « nie totalement les allégations et combattra vigoureusement toutes les accusations portées contre » l’entreprise, rapporte Reuters.

Nos confrères rappellent aussi que le fondateur et ancien CEO de Binance, Changpeng Zhao, « a été condamné l’année dernière à quatre mois de prison, après avoir plaidé coupable d’avoir enfreint les lois américaines contre le blanchiment d’argent. Binance a accepté de payer une amende de 4,3 milliards de dollars ».

• Binance poursuivi par le gendarme financier américain

Sur un malentendu…

Les auditions dans le recours formulé par Google au sujet de sa condamnation pour abus de position dominante viennent de débuter. Selon le géant du Net, la Commission l’aurait puni « pour ses mérites, son attractivité et son innovation ». Les sommes en jeux sont importantes puisque l’amende dépasse les 4 milliards d’euros

4,3 milliards d’euros d’amende en 2018

On remonte sept ans en arrière, en juillet 2018, quand la Commission infligeait à Google une amende salée de 4,3 milliards d’euros pour avoir abusé de sa position dominante afin d’imposer son moteur de recherche sur Android. C’est, encore aujourd’hui, la plus grosse amende jamais prononcée par la Commission européenne. L’enquête avait débuté en 2015 (il y a donc près de 10 ans) et l’épilogue de cette affaire approche (enfin).

• Abus de position dominante : Bruxelles inflige 4,3 milliards d’euros d’amende à Google

4,125 milliards d’euros d’amende en 2022

En octobre 2018, sans surprise, Google faisait officiellement appel de cette décision. Quatre ans plus tard, en septembre 2022, le Tribunal de la Cour de justice de l’Union européenne (CJUE) confirmait le verdict, mais baissait un peu le montant de l’amende à 4,125 milliards d’euros.

Google faisait évidemment part de sa déception : « Nous sommes déçus que le tribunal n’ait pas annulé la décision dans son intégralité. Android a créé davantage de choix pour tous […] et soutient des milliers d’entreprises en Europe et dans le monde ». Sans grande surprise, Google a formé un recours contre cette décision en demandant « l’annulation de l’arrêt du Tribunal de l’Union européenne du 14 septembre 2022 ». L’affaire entre aujourd’hui dans son dernier virage.

Dans ce pourvoi, daté de novembre 2022, sont détaillés les « six moyens de droit » invoqués par Alphabet/Google pour son recours. Les requérants expliquent notamment que le Tribunal aurait commis une erreur « dans son appréciation du lien de causalité entre les conditions de préinstallation des accords de distribution des applications mobiles (ADAM) et leurs prétendus effets d’exclusion ». Ils indiquent aussi que « le Tribunal a commis une erreur en confirmant la décision attaquée malgré son incapacité à démontrer l’aptitude à évincer des concurrents aussi efficaces ».

Un recours qui débute pendant le « privacy day »

Comme l’indique la Cour de justice de l’UE sur Twitter, « l’audience dans l’affaire Google et Alphabet contre Commission (C-738/22 P) est en cours ! Cette affaire porte sur une amende de 4 milliards d’euros infligée par la Commission européenne à Google pour abus de position dominante ». Hasard ou non du calendrier, cette audience s’est déroulée lors de la Journée européenne de la protection des données.

• Cette année, la Journée de la protection des données à une saveur particulière

Lors de l’audition, l’avocat de Google (Alfonso Lamadrid) a pris la parole et commence par planter le décor, comme le rapporte Reuters : « Google ne conteste pas ou ne se dérobe pas à sa responsabilité en vertu de la loi, mais la Commission a également une responsabilité lorsqu’elle mène des enquêtes, cherche à remodeler les marchés et remettre en question les modèles commerciaux pro-concurrentiels, et quand elle impose des amendes de plusieurs milliards d’euros ».

Google serait puni pour… « son innovation »

L’avocat passe ensuite à l’attaque : « Dans le cas présent, la Commission n’a pas réussi à s’acquitter de son fardeau et de sa responsabilité et, en s’appuyant sur de multiples erreurs de droit, a puni Google pour ses mérites, son attractivité et son innovation ».

Vient maintenant le fond du problème. Pour Alfonso Lamadrid, les accords entre Google et les fabricants de smartphones « n’ont pas restreint la concurrence, ils l’ont encouragée », alors que la Commission européenne, au contraire, les a considérés comme anticoncurrentiels.

Reuters ajoute que les « juges rendront leur décision dans les mois à venir » et que, cette fois, la décision sera définitive et sans appel.

Europe vs Google : 1 – 1 en septembre

Rappelons qu’en septembre 2024, la Cour de Justice de l’Union européenne a confirmé une amende de 2,4 milliards de dollars infligée au géant du Net pour avoir favorisé son système de comparaison de prix Google Shopping dans les résultats de son moteur de recherche. Elle estimait alors que cet auto-référencement relevait d’un abus de position dominante. La procédure avait débuté en 2010.

Toujours en septembre dernier, la justice européenne annulait une amende 1,49 milliard d’euros infligée à Google en 2019, pour abus de position dominante dans la publicité en ligne. Si le tribunal confirmait « la plupart des appréciations de la Commission », il annulait l’amende en raison de plusieurs manquements dans l’analyse versée à charge, liées notamment à l’appréciation de la durée des clauses contractuelles qualifiées d’abusives, expliquait alors Next.

• Google Shopping : la Commission européenne inflige une amende de 2,42 milliards d’euros
• Publicité en ligne : 1,49 milliard d’euros d’amende pour les pratiques abusives de Google

Cet avion supersonique, on en parlait déjà en 2017 à l’occasion du salon du Bourget. Le premier vol du démonstrateur (à l’échelle un tiers) était prévu pour 2018, les premiers passagers pour 2020 et les vols commerciaux pour 2023. Un calendrier largement modifié puisque les premiers vols d’essais se sont déroulés en mars 2024.

• Au salon du Bourget, l’espace a rendez-vous avec les transports aériens du futur

En ce début d’année, Boom dépasse pour la première fois le mur du son. La société se félicite d’avoir le « premier jet supersonique développé de manière indépendante au monde et le premier jet supersonique civil fabriqué en Amérique ». Boom précise que, « historiquement, les avions supersoniques ont été l’œuvre d’États-nations, développés par des armées et des gouvernements ».

L’avion a atteint 35 290 pieds d’altitude et une vitesse de 1 200 km/h, soit Mach 1.1. La société prévoit à terme de transporter « de 64 à 80 passagers à une vitesse de Mach 1.7 [2 100 km/h, ndlr], soit environ deux fois la vitesse des avions de ligne subsoniques d’aujourd’hui, sur plus de 600 routes à travers le monde ». Encore faudra-t-il pouvoir s’acheter un billet. Le prix n’est d’ailleurs pas précisé.

Son ambition est de remplacer le Concorde, qui avait une vitesse de croisière plus élevée, à Mach 2 environ, avec une centaine de passagers à bord. La NASA et Lockheed Martin développent aussi un avion supersonique, mais misent sur le silence pour leur part.

• X-59 : la NASA allume le moteur de son avion supersonique « silencieux »

La startup française précise que cette levée de fonds de 100 millions d’euros a été menée par Futur French Champions (joint-venture entre Qatar Investment Authority et Bpifrance), AVP (AXA Venture Partners) et Bpifrance. Le but est de « construire le premier ordinateur quantique utile au monde, d’ici 2030 ».

Alice & Bob développe des qubits de chat, en hommage à l’expérience du chat de Schrödinger. Ils « sont uniques, car ils rendent possible la mise à l’échelle des ordinateurs quantiques : là où les approches conventionnelles nécessiteraient des millions de qubits, nous n’en aurions besoin que de milliers », explique Théau Peronnin (CEO de l’entreprise).

« Un « qubit de chat » est un qubit « idéal » sans erreur, basé sur l’état quantique du chat de Schrödinger […] Il apporte une solution autonome et intégrée au problème central de l’ordinateur quantique : la correction des erreurs », explique Inria. Alice & Bob veut ainsi mettre au point « un ordinateur quantique universel et sans erreur ».

Dans son communiqué, Alice & Bob détaille un peu la manière dont cette manne financière sera utilisée : « Près de la moitié des fonds serviront à financer la construction en cours d’un laboratoire et d’une installation de production de pointe, et des fonds supplémentaires seront utilisés pour agrandir l’équipe, qui a doublé au cours de l’année écoulée ».

• [FAQ] Notre antisèche sur l’informatique quantique

La roadmap de l’entreprise est disponible par ici.

Il reste encore des données à protéger ?

Bonne journée européenne de la protection des données… avec une saveur particulière cette année puisque les fuites de données personnelles s’enchainent depuis un an. Des données de dizaines de millions de Français sont dans la nature… rappelant plus que jamais l’important d’être prudent.

Au milieu de toutes les fuites… bonne journée de la vie privée !

Comme le rappelle le Conseil de l’Europe, le 28 janvier est la Journée de la protection des données. Elle a été mise en place en 2006 (la première édition date néanmoins de 2007) par le Comité des Ministres du Conseil de l’Europe : « Cette journée est aujourd’hui célébrée dans le monde entier, sous le nom de « Journée internationale de la protection des données » ou « Journée de la vie privée » ». Elle n’est toutefois pas au calendrier des journées mondiales des Nations Unies.

La date n’est pas choisie au hasard : « elle marque l’anniversaire de l’ouverture à la signature de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel [du 28 janvier 1981, ndlr], sensibilisant ainsi à la nécessité de respecter et de protéger la vie privée des individus et soulignant le rôle de la Convention 108 pour les flux transfrontières de données dans le monde », explique le Conseil de l’Europe.

Cette année, cette journée « invite à réfléchir et à discuter de l’évolution du mandat de la protection des données, en particulier de son rôle essentiel en tant que garantie de notre société démocratique contre les intrusions excessives dans la vie privée des individus par des acteurs publics ou privés et leur impact sur les droits humains, l’État de droit et la démocratie ».

Protéger vos données !

Chacun y va de sa petite annonce à cette occasion, notamment Cybermalveillance.gouv. Le site rappelle les bonnes pratiques pour protéger vos informations personnelles, professionnelles et bancaires.

Premier point, les mots de passe : ils doivent être complexes et uniques pour chaque service. Le but étant d’éviter qu’une fuite, et elles sont nombreuses, ne puisse avoir des incidences sur d’autres comptes. La CNIL et l’ANSSI ont mis à jour leurs recommandations en 2021 et rappellent qu’en changer régulièrement est « contre-productif ».

• Phrases de passe : la CNIL passe elle aussi en mode 2.0

On ne le répétera jamais assez, mais faites des sauvegardes régulières ! Une sauvegarde ce n’est pas seulement copier des documents sur une clé USB. Et, surtout, une sauvegarde ça se teste pour vérifier que tout fonctionne bien et que l’on pourra récupérer ses données en cas de besoin.

• Qu’est-ce que la stratégie de sauvegarde 3-2-1 ?

Cybermalveillance ajoute aussi de ne pas oublier que les « mises à jour sont essentielles pour garantir votre cybersécurité, car elles corrigent les failles de sécurité ». Un exemple pas plus tard qu’aujourd’hui avec une faille 0-day chez Apple. On pourrait multiplier les exemples quasiment à l’infini.

Soyez vigilants !

Vous avez beau prendre un maximum de précaution, une fuite peut arriver via un service tiers. Les exemples sont nombreux ces derniers mois. L’année 2024 a été marqué par la fuite chez France Travail sur 43 millions de personnes, le point d’orgue des fuites précédentes.

• [Édito] Internet, un annuaire des Français à ciel ouvert

Les risques sont toujours les mêmes avec les fuites de données : du phishing grâce aux informations récoltées afin de tenter d’en récupérer d’autres ou de vous soutirer de l’argent. Surtout que l’on peut facilement combiner ces informations avec d’autres fuites/trouvailles sur Internet. Tout le monde est concerné et la prudence doit être de mise face à des messages, appels et toutes formes de sollicitations.

Face à la recrudescence des actes de cybermalveillance, le Service d’Information du Gouvernement (SIG) rappelle « un réflexe à adopter : se rendre sur 17Cyber.gouv.fr pour obtenir des conseils pratiques et recevoir gratuitement une assistance ». Cette plateforme a été lancée mi-décembre 2024.

• 17cyber, la plateforme de lutte contre les cybermalveillances, est en ligne

Hausse des fuites en 2024 et nouvelles escroqueries

Le SIG confirme s’il en était besoin que, en 2024, « les violations de données ont connu une hausse importante ». La CNIL a ainsi enregistré 5 629 notifications de violations de données (+ 20 % en un an). « Beaucoup sont liés à des fuites de données personnelles massives, exploitant des vulnérabilités dans les systèmes de sécurité des organisations ». Selon l’ANSSI cette fois-ci, « 115 incidents ont été traités en 2024, ayant conduit à des exfiltrations de données ».

Le SIG revient sur une escroquerie qui a le vent en poupe ces derniers temps : « un message prétendant être celui d’un « livreur » vous informe que votre colis ne peut être livré et vous invite à fournir des informations personnelles sous forme de lien, vous exposant ainsi à un vol de données bancaires ». Il y a également les faux messages pour une urgence familiale dans lesquels « l’intelligence artificielle est souvent utilisée pour créer des profils et des vidéos de proches ».

La fuite d’un IBAN n’est pas sans risque

En plus des données personnelles, on retrouve parfois des données bancaires avec l’IBAN. L’association Aides.org, Free et Red by SFR en ont fait les frais. La fuite d’IBAN n’est pas anodine et mérite qu’on surveille son compte de près.

• Fuite d’IBAN : quels sont les risques, comment se protéger

Qu’est-ce qu’une donnée personnelle ? Comment ça marche ?

L’Institut national de la consommation (INC) rappelle ce qu’est une donnée personnelle et quels sont vos principaux droits. Il s’agit « de toute information se rapportant à une personne physique (vous) clairement identifiée ou qu’il est possible d’identifier ». Cela comprend évidemment vos nom, numéro de téléphone fixe, adresse postale, email, description physique, etc.

Autre point important : l’utilisation de vos données et le consentement : « Les professionnels peuvent utiliser vos données à condition notamment de vous avoir informé de la finalité de la collecte, des destinataires de vos données, de la durée de la collecte et de vos droits ».

Vous avez également plusieurs droits : à l’information, à la rectification, à l’oubli et à l’opposition. La CNIL dispose d’un dossier sur le sujet. Comme nous l’avons récemment expliqué avec les bandeaux RGPD, donner son accord avec le bouton « tout accepter » peut envoyer vos données vers des centaines de « partenaires ».

• [T@LC] On a regardé derrière les bandeaux RGPD… et on a eu très peur

Arianespace vient de dévoiler la date dans un communiqué : « Le 26 février 2025 à 13h24 heure locale (16h24 UTC, 17h24 CET), Arianespace doit lancer le satellite CSO-3 avec Ariane 6 depuis le port spatial européen de Kourou, en Guyane française ». Il était initialement prévu pour fin 2024, mais il arrive un peu plus tôt que les dernières estimations.

• Souveraineté, latence : deux nerfs de la guerre dans l’espace

La charge utile était déjà connue depuis longtemps, un satellite militaire pour le compte de la Direction générale de l’armement (DGA) et du Centre national d’études spatiales (CNES). Il sera placé sur une orbite héliosynchrone (environ 800 km d’altitude) environ 1h06 après le décollage.

• Ariane 6 : la cause du raté de l’APU identifiée, un correctif en cours de test

Cette mission VA263 sera le 352ᵉ lancement effectué par Arianespace et 2ᵉ vol d’Ariane 6, après le lancement inaugural en juillet dernier. Le début de la mission s’était déroulé sans souci, mais un problème avec l’APU était venu un peu gâcher la fête à la fin de la mission.

Calendars out for #Arianespace's upcoming launch! #VA263

On February 26, Arianespace will launch the CSO-3 satellite for @DGA & @CNES on behalf of the French Air and Space Force’s Space Command (CDE), with #Ariane6.

Launch details available here: https://t.co/1vSCsuUTY5 pic.twitter.com/VhJiu1YYwQ

— Arianespace (@Arianespace) January 28, 2025

Cette annonce intervient alors que la 17e Conférence européenne sur l’espace vient de débuter à Bruxelles. « Qui contrôle l’espace contrôle l’avenir. Si nous voulons que l’espace soit une force au bénéfice du bien, l’Europe doit rester une puissance spatiale de premier plan », rappelle Andrius Kubilius (Commissaire européen à la Défense et à l’Espace).

« Si l’Europe veut réussir dans l’espace et sur la scène mondiale, nous devons agir avec urgence et décision. Nous devons accroître les investissements, forger des partenariats et concrétiser la vision qui élèvera l’Europe vers de nouveaux sommets », ajoute Josef Aschbacher (directeur général de l’ESA).

Dans un message envoyé à l’AFP (via Le Monde), la société reprend les poncifs habituels pour expliquer sa décision : « Dans le cadre de nos efforts continus pour prioriser les projets et réduire les coûts afin d’assurer la stabilité à long terme d’Ubisoft, nous avons annoncé des restructurations ciblées ».

Cela concerne les studios de Düsseldorf, de Stockholm et de Reflections à Newcastle. Ubisoft ajoute aussi « la fermeture définitive du site d’Ubisoft Leamington ». Au total, 185 employés se retrouvent sur le carreau.

L’entreprise avait déjà supprimé 277 postes en décembre après l’arrêt du jeu XDefiant. Cela va aussi entrainer la « fermeture de trois studios de production situés dans des zones géographiques à coûts élevés ». Il s’agit de San Francisco, Osaka et Sydney.

Dans un plan stratégique publié en janvier de cette année, la société annonçait que des « réductions de coûts significatives » étaient toujours au programme, avec une « approche très sélective en matière d’investissements ». L’entreprise « prévoit désormais de dépasser les 200 millions d’euros de réduction de sa base de coûts fixes d’ici l’exercice 2025 - 26 par rapport à l’exercice 2022 - 23, sur une base annualisée ».

Ubisoft a aussi récemment annoncé un retard pour Assassin’s Creed Shadows, désormais attendu pour le 20 mars 2025.

Le fabricant de SSD pour datacenter Solidigm vient d’annoncer « une prolongation pluriannuelle de son accord avec Broadcom sur l’utilisation de contrôleurs SSD (Solid State Drive) haute capacité ». Et, pour ce qui est de la haute capacité, on est servi avec le D5-P5336 qui intègre de la NAND QLC (quatre bits par cellule).

Il grimpe en effet jusqu’à 122 To en version U.2 et E1.L. Il a été annoncé fin 2024, avec une disponibilité prévue pour le début de cette année (le tarif n’est pas précisé). Le format U.2 est pour rappel identique au SSD classique de 2,5″ avec une hauteur de 15 mm, tandis que le E1.L est une « réglette ». Dans les deux cas, l’interface est en PCIe 4.0 x4.

• U.3, E1.S/L et E3.S/L : dans les serveurs, les SSD changent de format

Samsung est pour rappel à 61,44 To avec sa gamme BM174 et prévoyait l’été dernier de monter lui aussi jusqu’à 122,88 To avec ces SSD.

2024, 2025… même combat

Comme nous l’a signalé un lecteur, l’association française de lutte contre le VIH et les hépatites virales envoie un message à ses membres pour leur annoncer une mauvaise nouvelle : « AIDES a été victime d’une attaque informatique qui a porté sur un serveur sécurisé de partage de fichiers hébergé et utilisé par AIDES […] Cette attaque pourrait avoir eu un impact sur la sécurité de vos données personnelles ».

Nom, prénom, adresse… et aussi des IBAN

Dans les informations concernées, on retrouve les données d’identité (nom, prénom, date de naissance), de contact (adresse postale, téléphone et adresse électronique) et enfin les « données relatives à votre IBAN ».

Ce n’est pas la première fois que des IBAN sont dans la nature, ce qui n’est pas sans soulever des risques pour les comptes concernés. Nous les avions déjà expliqués en octobre dernier suite à la fuite des IBAN chez Free et de RED by SFR en septembre.

• Quels risques pose une fuite de données bancaires ?
• Fuite d’IBAN : quels sont les risques, comment se protéger

« Nous collaborons étroitement aux enquêtes dont nous souhaitons qu’elles permettront de retrouver le ou les auteurs », affirme Aides. La CNIL a été notifiée et « l’autorité judiciaire a été saisie par AIDES ». « Nous avons pris les mesures nécessaires pour limiter les dommages et renforcer la sécurité de nos systèmes et de vos données », affirme enfin l’association.

Des fuites toujours plus nombreuses

Aides ne donne aucune précision sur le vecteur d’attaque. Cette énième attaque s’inscrit dans une période noire pour les entités françaises, avec de multiples fuites au cours des derniers mois… et encore seulement celles dont les entreprises ont parlé publiquement, il y en a peut-être d’autres.

Plusieurs fédérations françaises de sport et E.Leclerc en ont fait les frais ces derniers jours. Sans compter Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance, Norauto…

• [MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport
• Cyberattaque contre E.Leclerc : des données personnelles « ont pu être exposées »

Comme toujours en pareille situation, les recommandations sont d’avoir « la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie ou d’hameçonnage qui pourraient survenir dans les prochaines semaines ».

Triste monde tragique…

Tout est allé très vite, trop vite. D’une mise en garde contre des amendes pour avoir payé avec Apple Pay à un péage, on passe à une réaction d’Emmanuel Macron qui en appelle au ministre de l’Intérieur. Entre les deux, d’autres vidéos d’influenceurs sur TikTok et un bruit médiatique important.

Cette année 2025 débute sur les chapeaux de roues. Depuis la semaine dernière, une histoire affole les réseaux sociaux et l’actualité : une amende de 90 euros et 3 points en moins sur le permis de conduire pour avoir payé à un péage avec Apple Pay (sans contact) via son smartphone.

« Il y a zéro vanne » : s’il le dit, c’est que ça doit être vrai !

L’histoire est devenue virale après une vidéo de « s4iintt » sur TikTok. Il y raconte ce qu’il présente comme une mésaventure personnelle : « Je viens de me manger 90 euros d’amende et trois points sur le permis parce que j’ai payé avec mon téléphone en Apple Pay au péage. Il y a zéro vanne. J’arrive à un péage, c’était 25,90 euros. Je sors mon téléphone pour payer en Apple Pay […] Je paye le péage. Mais quand je vous dis instantanément, c’est instantanément ; moto, gyrophare ».

Il se met en scène avec un document… une enveloppe blanche, sans aucun écrit en l’occurrence. La vidéo dépasse les 5 millions de vues, 500 000 j’aime et 7 600 commentaires.

On ne va pas revenir sur l’usage du téléphone au volant, y compris pour payer au péage avec Apple ou Android Pay : c‘est interdit, tout le monde s’accorde sur ce point. L’article R412-6-1 rappelle que « l’usage d’un téléphone tenu en main par le conducteur d’un véhicule en circulation est interdit ». Peu importe que le véhicule soit à l’arrêt à la barrière, moteur éteint ou allumé : il reste sur les voies de circulation.

Macron a « passé le dossier au ministre de l’Intérieur »

De toute façon, le cœur du problème n’est pas là. La vidéo de S4iintt a été reprise comme argent comptant par bon nombre de nos confrères dans la presse traditionnelle, mais aussi dans la presse spécialisée, sur les réseaux sociaux. Elle est même remontée jusqu’à Emmanuel Macron.

Dans une vidéo publiée sur TikTok, le chef de l’État a répondu : « Je viens de vous voir et vous avez raison. Je crois qu’en 2025 on doit pouvoir payer au péage avec son téléphone. J’ai passé le dossier au ministre de l’Intérieur et on va collectivement régler ça ». Sa vidéo fait 11 millions de vues pour 1,1 million de « J’aime » et près de 22 000 commentaires.

Bruno Retailleau, ministre de l’Intérieur, affirme à La Dépêche que « bien sûr, l’affaire va être réglée. Surtout si c’est le Président qui le demande. Un ministre est là pour délivrer » (sic). Bruno Retailleau ajoute à nos confrères : « Le Président m’avait fait passer un petit mot en Conseil des ministres pour me prévenir en me disant : tu vois que je m’occupe de sujets importants ».

Wait… what ? On rembobine cette folle histoire

Beaucoup de choses ne vont pas dans cette histoire. Reprenons depuis le début. Tout d’abord, la vidéo de S4iintt n’est pas la première à dénoncer une amende du genre.

L’une des premières références remonte au 7 janvier avec une vidéo d’UnMoniteurCool : « Payer avec le téléphone au péage, c’est 90 euros et trois points en moins […] Ça fait plusieurs fois où j’entends la même histoire : les gens s’arrêtent au péage […] ils mettent le téléphone, la caméra verbalise : 90 euros et trois points. Usage du téléphone ».

Sur les réseaux sociaux, « l’information » tourne doucement, jusqu’à la mise en situation de S4iintt puis une reprise par Masdak, sans aucune source sur cette histoire dans les deux cas. Ce sont les deux tiktokeurs à qui répond Emmanuel Macron. Leurs vidéos sont en effet en introduction de son intervention.

Le procès-verbal ? Il aurait été jeté

Dans tous les cas, un point commun entre les différents messages sur les réseaux sociaux : aucune preuve n’est montrée, aucune amende, rien. Toujours sur les réseaux sociaux, maitre Benezra est revenu sur cette affaire dans une vidéo publiée il y a quelques jours. Il explique avoir demandé, par l’intermédiaire d’un journaliste, une preuve de l’infraction dont S4iintt a été victime. « Contacté, ce tiktokeur nous dit avoir jeté le procès-verbal ».

Autre point mis en avant par l’avocat : « les gendarmes et la police affirment n’avoir aucune trace de cette affaire ». Pour maitre Benezra, « cet individu raconte n’importe quoi, il surfe sur le buzz […] Même Emmanuel Macron est tombé dans le piège ». Faire le buzz est un peu le saint Graal de tout influenceur, cela lui permet d’augmenter son audience, sa visibilité, ses revenus, etc.

Les « ravages de la TikTokisation de la vie politique »

Contacté par TF1 Info, Jean-Baptiste Iosca (président de l’Association française des avocats de droit routier) ne croit pas non plus à cette affaire : « En 25 ans de carrière, je n’ai jamais vu une contravention qui portait sur ce sujet. Et puis, il ne faut pas se leurrer, les forces de l’ordre au péage vérifient autre chose, pas des automobilistes qui seraient éventuellement amenés à payer avec leur smartphone ».

Nos confrères notent au passage que Vinci indiquait encore mi-septembre 2024 : « À l’aide de votre carte bancaire, mais aussi de votre téléphone, de votre montre ou de tout autre objet connecté, payez votre péage de façon simple et sécurisé ». Une mention qui n’existe plus aujourd’hui, mais sans savoir quand elle a disparu.

L’avocat Alexandre Archambault, spécialiste du numérique, a aussi commenté cette histoire : « Quand on parlait des ravages de la TikTokisation de la vie politique. On a donc le Président d’une puissance nucléaire qui est intervenu sans qu’à aucun moment quelqu’un dans son entourage ne prenne la peine d’effectuer quelques vérifications. Arrêtez de démarrer au quart de tour ». C’est valable pour le président de la République, mais aussi pour la presse dont on s’attendait à beaucoup mieux.

Quid de la TikTokisation de l’information ?

Hasard ou pas du calendrier, Hubert Guillaud publie ce jour un billet de blog intitulé « L’ère post-TikTok va continuer de bouleverser la société », sous-titré « Ce que le passage d’une information largement textuelle à la vidéo change à la société ».

Il y décrit l’évolution de l’information : « Nous sommes passés d’articles à leurs commentaires en 280 caractères, au détriment du compromis, de la subtilité et de la complexité. Désormais, nous sommes en train de passer aux vidéos courtes, qui prennent le pas sur ce qu’il restait de textes sur les réseaux sociaux ».

La forme dépasse largement le fond

Ce changement de paradigme va au-delà du poids des mots : « Être le premier sur l’actu est devenu bien moins important qu’être engageant. Le charisme risque de prendre le pas sur les faits », résume-t-il. On ne peut que remarquer la ressemblance avec le péage et Apple Pay.

Hubert Guillaud cite le journaliste Matt Pearce : « Les nouvelles technologies continuent de faire baisser le coût de la production de conneries alors que le coût d’obtention d’informations de qualité ne fait qu’augmenter. Il devient de plus en plus coûteux de produire de bonnes informations, et ces dernières doivent rivaliser avec de plus en plus de déchets une fois qu’elles sont sur le marché ».

C’est un peu différent dans le cas présent. Si on voit bien le poids des réseaux sociaux et surtout des courtes vidéos dans cette affaire, le problème se situe principalement dans les reprises sans recul d’une « mise en situation » d’un influenceur. La vidéo est prise pour argent comptant par de nombreuses personnes, visiblement jusqu’au président de la République.