0rphn3  -  APT Update / l'Aperçu de la Presse Tech

 -  3 mars - 

Bonjour à tous, cette semaine on fait le tour de ce qui change et des nouveautés dans le monde de la tech. Bonne lecture !

L'agenda

Mercredi 5 mars à partir de 14h, au Campus Pierre et Marie Curie, Amphi 25, 4 place Jussieu, Paris 5e, aura lieu une journée de rencontres et d'échanges tout public sur le thème "Géosciences : savoirs et usages. Contributions des géosciences aux savoirs et à la société"
Entrée gratuite, inscription recommandée.

Le jeudi 6 mars de 9h15 à 17h30, au LIRMM, 161 rue Ada à Montpellier aura lieu ROBOTOP’IA (Robotique et IA, futur d’une rencontre)
Entrée gratuite, inscription nécessaire

Du 6 au 8 mars au MAIF Social Club, 37 rue de Turenne, Paris 3e, dans le cadre de l'exposition Chaosmos, Fréderic Férrer propose Wow ! Cartographie Experience, une conférence-spectacle sur nos possibilités de vivre ailleurs.
Entrée libre et gratuite.

Initiative amusante du web journal DarkReading, que vous retrouvez souvent dans cette revue de presse : Name That Toon: Ka-Ching!Le principe est simple, si vous avez un bon coup de crayon et une idée amusante à propos de cybersécurité, réalisez un dessin humoristique à ce sujet, le gagnant recevra une carte-cadeau de 25$.

Opinion

Cette semaine, Usbek&Rica donne un espace d'expression à un lecteur sur le thème "Une IA éthique est-elle compatible avec le capitalisme de surveillance ?". L'auteur y formule ses craintes, y pose des questions légitimes.

Dura Lex

Quand la Sillicon Valley tente de tordre la bras à l'Europe

Le nouveau gouvernement des États-Unis se fait le champion de son industrie numérique, reprenant à son compte ses revendications contre les contraintes réglementaires en vigueur en Europe. En cause, le DMA (Digital Market Act) et le DSA (Digital Services Act), qui sanctionnent, l'un les pratiques anti-concurrentielles sur internet, et l'autre les contenus illégaux et la désinformation. Selon Washington, cela défavoriserait les "big tech" de la Sillicon Valley en tant qu'acteurs majeurs du secteur, et entraînerait des mesures de rétorsion contre l'Europe, sous forme de taxes douanières.
De son côté, l'Europe persiste et signe en rappelant que ses lois s'appliquent à tous, et non seulement aux américains.

Dans ce contexte international instable et tendu, l'Europe cherche à s'imposer comme un acteur numérique indépendant. Cette même semaine, elle a sanctionné des leaders politiques et militaires russes et nord-coréens pour leur implication dans des opérations de déstabilisation cyber de l'état ukrainien.

Les services de l’État contre le chiffrement (épisode trouzemille)

L'annonce a fait l'effet d'un coup de tonnerre dans un ciel… Bon, pas très serein puisque les coups de boutoirs contre le chiffrement durent depuis des années : Apple retire sa solution de chiffrement de bout-en-bout du marché britannique.

Reprenons le déroulé des événements outre-Manche :
1. Depuis 2016, l'Investigatory Powers Act (IPA) donne au gouvernement britannique le pouvoir d'exiger des données utilisateur (possiblement en provenance du monde entier) au nom de la sécurité nationale et de la prévention du crime.
2. Les prérogatives octroyées par cette loi ont été étendues en 2024, par exemple en permettant aux services de renseignement un accès à l'ensemble des données personnelles détenues par une partie tierce, et au gouvernement d'interférer avec les services de chiffrement.
3. Le Washington Post révèle qu'Apple a reçu l'ordre de se tenir en capacité de laisser les services de l’État accéder aux données utilisateur, en d'autres termes, d'installer des portes dérobées. Il est impossible de savoir si c'est la première fois, parce que dénoncer une telle demande est illégal.
4. En conséquence, Apple a retiré ADP (Advanced Data Protection) du marché anglais plutôt que d'installer des portes dérobées à l'insu de ses clients.

L'acte II de la tragédie du chiffrement s'est joué en Suède, où Signal a préféré se retirer du marché plutôt que de se plier aux exigences du gouvernement, qui demandait une cope en texte clair de tous les échanges sécurisés sur la plateforme. Comme le rappelle la CEO M. Whittaker, accéder à cette demande revient à briser le chiffrement, et compromettre ainsi la totalité de leur réseau.

Et l'acte III est en cours ici, à l'occasion de la présentation en commission des lois du projet de loi dit "Narcotrafic", qui aura lieu le 5 mars. Tous les spécialistes, depuis l'ANSSI jusqu'aux militants de la Quadrature du Net, en passant par le PDG d'Olvid (messagerie instantanée sécurisée), soulignent la dangerosité d'une porte dérobée laissée en libre accès à n'importe quel acteur, simple pirate ou puissance étrangère hostile. C'est aussi un coup décisif porté aux libertés publiques puisque cette mesure, enrobée dans un projet anti-drogues, peut en fait s'appliquer à n'importe qui, à des militants écologistes par exemple.

Toutes ces tentatives liberticides prennent une tournure particulièrement menaçante à l'heure où le Privacy and Civil Liberties Oversight Board (PCLOB) est démantelé aux États-Unis. Le rapport ? Cette institution harmonisait le traitement des données des utilisateurs européens de services états-uniens, en les protégeant de leur collecte et de leur exploitation massives. Fruit de négociations âpres et tendues, sa disparition implique le gouvernement des États-Unis aussi bien que les entreprises du numérique qui le soutiennent auront accès à toutes les données hébergées chez eux.
Ce qui rend particulièrement inopportune toutes ces tentatives de rendre impossible au citoyen européen la maîtrise de ses données que représente la protection par chiffrement de bout-en-bout.

Abus de position dominante : Google à l'amende

La CJUE a confirmé le jugement rendu par l'Autorité de la concurrence italienne : Google a bien abusé de sa position dominante. En 2018, l'entreprise publique italienne Enel avait lancé JuicePass, une appli de recherche de bornes pour véhicules électriques. Google avait refusé de la rendre interopérable avec Android Auto (un dispositif permettant l'utilisation de certaines fonctionnalités depuis l'écran d'une voiture). Condamné à 100 millions d'euros d'amende en première instance, Google a saisi le conseil d’État italien, qui a lui-même consulté la CJUE pour avis, lequel a confirmé le verdict. Il serait bien surprenant que le mot de la fin, qui revient au conseil d’État, vienne contredire les deux jugements précédents.

Le feuilleton judiciaire autour du streaming illégal continue

Après les attaques contre les fournisseurs de services DNS pour les obliger à bloquer les sites de streaming illégal de compétitions sportives, ce sont maintenant les fournisseurs de VPN qui sont dans le viseur du groupe Canal+. Une action en justice est en cours pour les obliger à blacklister ces mêmes sites.
La VPN Trust Initiative dénonce la pression croissante sur les fournisseurs d'infrastructure, qui n'est selon elle que l'expression d'un manque de volonté de s'attaquer aux causes profondes du piratage. Et d'ajouter que malgré cette pression, le streaming illégal est de plus en plus utilisé. La VTI annonce que des fournisseurs de VPN pourraient quitter la France en cas de décision judiciaire à leur encontre.

En bref

• Une entreprise états-unienne spécialisée dans l'éducation porte plainte contre Google pour pratiques anti-concurrentielles à cause de AI Overviews.
• Après avoir perdu contre Valve (l'éditeur de la plateforme Steam) en cassation, l'UFC-Que Choisir saisit la CJUE pour mettre fin à l'interdiction de revendre ses jeux vidéos dématérialisés.
• Le Commissariat canadien à la protection de la vie privée (équivalent de la CNIL) ouvre une enquête sur l'utilisation des données personnelles des canadiens dans le cadre de l'entraînement des modèles de xAI.
• Après la publication d'un rapport d'Amnesty International, Cellebrite bloque l'usage de ses outils de forensic par la Serbie. En cause, leur utilisation par la police serbe pour infecter le téléphone d'un journaliste et activiste.

Gouvernance

La dure vie des RSSI

Le rôle de RSSI revient à tenir en équilibre précaire entre la responsabilité de sécuriser les actifs de l'organisation et la nécessité de laisser libre cours à l'innovation et à l'agilité. Différentes stratégies permettent de concilier les deux, telles que l'automatisation et la visibilité en temps réel, ou la gouvernance collaborative.

En matière de politique de sécurité de l'information, deux approches coexistent. D'une part, la gestion des vulnérabilités est une approche méthodologique qui permet d'identifier, d'évaluer et de gérer les vulnérabilités présentes dans un système d'information. D'autre part, la gestion de la surface d'attaque externe identifie, analyse et cartographie l'ensemble des points d'entrée et de communication avec l'extérieur du système. Ces deux approches complémentaires peuvent être menées simultanément pour mieux maîtriser la surface d'attaque de l'entreprise.

On termine sur le chapitre RSSI avec le meilleur conseil de leadership que j'aie pu lire : "La cybersécurité a besoin de leaders, alors arrêtez de débattre et commencez à décider !" La cybersécurité ne s'opère pas dans un silo, c'est un enjeu commercial qui engage l'ensemble de l'organisation plus qu'une problématique technique. C'est aussi un travail d'équipe, et cette équipe a besoin d'un leader qui fixe les objectifs et assure la cohésion.

Les opportunités et les menaces du RSSI

Le développement de l'intelligence artificielle requiert un nouveau niveau de gouvernance, notamment pour ce qui concerne la gestion et la protection des données. L'introduction des IA dans les entreprises représente un changement de paradigme à la fois dans les interactions des applis avec leurs utilisateurs, et dans l'accès et le traitement des données. La gestion de l'IA implique le contrôle des accès, du cycle de vie des données et de la conformité des usages aux réglementations. La mise en place d'outils de stockage, de surveillance et d'audit spécifiques sera nécessaire.
Pour l'instant, on en est loin : 89% des utilisations de l'IA au travail passent sous le radar des organisations . Ce qui n'est pas sans poser des risques critiques en matière de sécurité des données sensibles soumises à l'IA sans aucun contrôle.

Il existe une vulnérabilité sous-évaluée dans les actifs des entreprises : celle des appareils non-gérés. Ce sont les terminaux nomades (PC portables, téléphones, tablettes) utilisés par les employés dans le cadre de leur travail, mais qui ne sont pas couverts par une solution de gestion des terminaux mobiles. 47 % des entreprises autorisent cet usage, et selon Microsoft, 92% des attaques de ransomware en 2024 impliquaient cette mauvaise pratique.

Innovation

Des nouveautés à base d'IA (encore)

Il y a un côté cyclique dans l'affaire : pour permettre (notamment) le déploiement des IA à l'échelle attendue, il faut toujours plus de data centers. Ce sont des endroits à protéger, notamment contre les risques d'incendie. Le systèmes de protection sont automatisés, et pour améliorer leur efficacité, on fait appel à… l'IA.

Alors que le RGPD oblige les organisations à détruire les données des utilisateurs après le temps de stockage autorisé, le développement de l'IA générative leur impose le défi de s'assurer que l'IA non plus ne stocke pas les données qui ont servi à son apprentissage. Mission impossible ? Non, mais c'est tout de même une problématique délicate que de vérifier la disparition d'une donnée profondément intégrée dans un LLM, "un peu comme de retrouver une fraise dans un smoothie". C'est ainsi que naît l'art délicat du machine unlearning. Le concept consiste à intégrer dans l'entraînement un jeu de données "oubliables", qui pourra être effacé après usage sans avoir à recommencer l'apprentissage.

Informatique quantique

On en parlait la semaine dernière, la sécurité de l'information doit dès à présent passer à la cryptographie quantique, car les attaquants sont déjà sur le coup. Fortanix s'y est mis, en implémentant dans ses solutions de sécurité des standards de cryptographie post-quantique (PQC) validés par le NIST.

De son côté, Amazon affirme que nouvelle puce post-quantique, baptisée Ocelot, va augmenter l'efficacité de la correction d'erreurs. Cette question de la correction d'erreurs représente l'un des plus grands défis pour la mise au point de l'informatique quantique. Avec une approche très différente des solutions avancées par ses concurrents, l'architecture plus efficiente du prototype d'Amazon porte en elle la promesse d'ordinateurs quantiques moins gourmands en ressources.

Robotique

Ce n'est pas encore Westworld mais on s'en rapproche : le robot "Protoclone" est doté de muscles synthétiques et d'un squelette de 206 os en polymère qui lui permettent de bouger comme un être humain. Son cœur est une pompe électrique, et ses yeux sont constitués de quatre caméras.

Quoi de neuf dans nos machines ?

La première 5G non terrestre est lancée par Eutelsat

Associé à Mediatek et à Airbus, l'opérateur européen vient de damer le pion à Starlink en lançant la première connexion 5G par satellite.

Téléphonie mobile

Apple annonce pour 2026 le lancement de son modèle de téléphone pliant.
De son côté, Clicks sort son clavier inspiré de Blackberry, pour téléphones Android.
Entre les téléphones à clapet et les claviers blackberry, les tendances de la téléphonie sont furieusement rétro...

Du côté de l'IA

Alors que jusqu'ici on avait plutôt l'habitude de voir des modèles d'IA intégrés à des navigateurs existants, cette fois c'est Perplexity AI qui veut lancer son propre navigateur. Son nom : Comet. Son approche : la recherche agentique, qui remplace le navigateur par un agent capable d'anticiper les besoins de l'utilisateur et d'anticiper certaines tâches.

Anthropic lance Claude 3.7 sonnet, un modèle de raisonnement hybride qui dépasse tous ses concurrents lors des premiers tests.

Amazon dote Alexa d'une IA : Alexa+ assistant , avec de nouvelles fonctionnalités à l'intention des enfants.

Google vise plutôt un public de développeurs avec Gemini Code Assist en version gratuite. Il s'agit théoriquement d'une offre d'essai précédant le basculement vers la version payante, mais avec un quota de 180,000 complétions de code par mois, il est largement possible d'éviter de débourser.

Les bides de la semaine

Il y a du drama chez Mozilla. La fondation qui maintient le navigateur Firefox descend toujours plus bas dans la spirale de l'enshittification. En cause, les nouvelles conditions d'utilisation de Firefox, qui semblaient s'arroger les droits sur toutes les entrées utilisateur. Une lecture démentie depuis : Mozilla affirme ne pas se servir des données des utilisateurs pour nourrir des IA, et ajoute que les données vendues à des entités tierces sont anonymisées. Une communication quelque peu malencontreuse pour un navigateur dont les parts de marché étaient déjà au plus bas (2.54%) avant ce bad buzz.

"La dictée vocale de l’iPhone transcrit le mot « Racist » en « Trump »". Non, rien...

En bref

• L'authentification par SMS est peu sûre, c'est pourquoi GMail remplace les SMS par des QR codes.
• Wireshark 4.4.4 est sorti.
• Have I been pwned enrichit sa base de données de 284 millions de comptescompromis par un infostealer.
• Xbox Cloud Gaming vous permet d'inviter vos amis avec un simple lien.

Keep in touch (VoIP, messageries, réseaux sociaux...)

Suite à un vœu des écologistes, et après avoir quitté X, la mairie de Paris débarque sur Mastodon.

De son côté, Meta ne se contente plus de supprimer le fact-checking, il va en outre rémunérer les contenus les plus viraux. "Le temps que la vérité enfile ses chaussures, le mensonge a déjà fait le tour du monde". Et Meta veille à lui remettre la médaille d'or.

Après 22 ans de bons et loyaux services, Microsoft va en finir avec Skype et presse ses utilisateurs de migrer vers Teams. Le dinosaure de la messagerie instantanée s'éteindra définitivement en mai. RIP.

Hackerspace

DIY

Les adeptes du montage de PC maison et ceux de la consommation durable connaissent Framework. Pour les autres, il s'agit d'une gamme d'ordinateurs portables modulables, dont on peut changer chaque pièce obsolète ou endommagée séparément. Et maintenant, Framework lance un mini ordinateur de bureau.

L'arène d'entraînement

Ce n'est un secret pour personne, les pratiques et les contraintes évoluent sans cesse dans le domaine de la sécurité de l'information, et sans doute plus vite que jamais. Une évolution à ne pas manquer est le passage d'une cybersécurité traditionnelle à des compétences transversales fondées sur les notions d'intégration, d'évolutivité, d'interopérabilité et de travail collaboratif. Pour réussir en cybersécurité, développer une expertise sur les terminaux, les systèmes ou les réseaux n'est plus la meilleure option. Mieux vaut se rendre polyvalent sur les APIs, le cloud, l'IA, le devSecOps.

Culture numérique

J'ai trouvé intéressante cette approche du milieu de la tech : "Ce que les pros lisent pour le plaisir". Sans surprise, on y trouve beaucoup d'anticipation, et du cyberpunk. Les néophytes et les stagiaires y trouveront peut-être de quoi s'intégrer aux discussions à la machine à café ?

RIP

Ce 23 février, Jean-Pierre Archambault est décédé à 78 ans. Grande figure de la promotion du logiciel libre à l'école, il a aussi œuvré pour l'enseignement de l'informatique et milité pour une licence globale pour les manuels scolaires.

Voilà, c'est tout pour cette semaine. Merci de m'avoir lue et à la semaine prochaine !

par aht