Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour,
Cette semaine dans APT Update, pour la spéciale "Enjeux du numérique", on va beaucoup y parler d'IA.
L'agenda
Du 6 au 11 février, la France accueillera le Sommet de l'IA. En marge de la rencontre diplomatique qui se tiendra les 10 et 11 février au Grand Palais, plusieurs événements ont été organisés : ça commencera les 6 et 7 février à l'Institut Polythechnique de Paris, avec
une conférence sur le thème 'IA, sciences et sociétés' Malheureusement, les réservations sont closes.
Le
week-end culturel du sommet se tiendra le 8 février à la BNF, et le 9 à la Conciergerie.
Le programme complet est disponible
sur le site de l’Élysée.
Les 7 et 8 février à la Maison de la Chimie (28 bis Rue Saint-Dominique, Paris 7e), vous pourrez assister en présentiel à la
19e Université des DPO. Un replay sera disponible en ligne, et 5 sessions numériques se tiendront ensuite tout au long de l'année. Malheureusement, la place coûte 750€.
En ligne
Le 6 février de 20h à 21h30 (heure de Paris), en visioconférence sur Zoom, CircleId et Edgemoor Research Institute organisent une réflexion sur
'Beyond WHOIS: Towards a new framework for Internet Domain Registration Data Disclosure'Opinion
Pas de grandes questions métaphysiques dans l'opinion de cette semaine, mais un billet d'humeur lapidaire
signé Irénée Regnauld, qui parle sans détour des pulsions mortifères qu'il voit dans la nouvelle alliance techno-trumpiste.
Tendances
Des hauts, des bas et beaucoup de débats : l'IA est un roller coaster
Penchons nous sur l'inévitable DeepSeek, qui a fait arriver des articles par centaines dans mes flux RSS. Mais pourquoi un n-ième modèle d'IA générative fait-il couler autant d'encre ? Résumé des caractéristiques de DeepSeek :
- DeepSeek est un modèle sobre en ressources énergétiques, bien que sa prétention à consommer seulement 1/10e des ressources de Llama 3.1 soit sujet à caution, en raison du manque de données sur la consommation de l'entraînement des modèles. Reste à savoir si cette perspective d'IA moins énergivores va permettre de s'orienter vers des modèles de développement plus durables, ou seulement laisser la place à plus d'utilisation de l'IA.
- Beaucoup plus indubitable est la sobriété et la rationalité économiquede cette startup en regard des milliards engloutis par le développement des IA états-uniennes. Voila de quoi relancer la course à l'IA pour des acteurs moins imposants.
- C'est une IA générative performante, comme le démontre le résultat de cette épreuve de codage, qui le place devant Gemini, CoPilot et Llama avec 3 épreuves réussies sur 4.
- C'est un chatbot bridé par la censure.
Les réactions ont été diverses dans la Silicon Valley.
Zuckerberg prend des airs de ne pas s'en préoccuper et réaffirme sa volonté d'investir massivement dans l'IA. Business as usual. A l'opposé,
OpenAI accuse DeepSeek de copier ses modèles par distillation : il s'agit d'entraîner un modèle en le faisant imiter le comportement d'un autre modèle. Ces affirmations sont reprises par le gouvernement Trump, sans preuve concrète à ce jour. Mais la réaction la plus répandue est simplement de relever le défi :
HuggingFace et
AI2, un institut de recherche à but non lucratif basé à Seattle, sont déjà dans les starting-blocks pour surpasser DeepSeek. Du côté chinois aussi, on joue l'émulation :
AliBaba a présenté ses propres LLM. C'est sans compter sur… DeepSeek qui après avoir disrupté le marché de l'IA avec un LLM, revient à la charge avec un
modèle de génération d'images capable de rivaliser avec Dall-E 3. On a pas fini de rager chez OpenAI…
Concurrence mise à part, DeepSeek n'a laissé personne indifférent. A commencer par les utilisateurs, qui le plébiscitent :
c'est maintenant l'appli la plus téléchargée sur l'AppStore, et si la tendance se confirme sur la durée, elle pourrait détrôner ChatGPT et ses 300 millions d’utilisateurs hebdomadaires en tant qu'appli la plus utilisée.
Côté business, la tendance est au partenariat :
Microsoft l'intègre déjà dans ses produits, et Pat Gelsinger, l'ancien CEO d'Intel,
l'utilise à la place d'OpenAI pour sa startup Gloo. Même Nvidia, qui a pourtant essuyé des pertes record à cause de l'ascension fulgurante de DeepSeek,
se vante que ses derniers modèles de GPU sont les plus rapides pour DeepSeek, alors que la sobriété de cette IA remet en cause le besoin d'augmenter indéfiniment la puissance de calcul.
Le ministre indien de l'IT compte parmi les admirateurs de DeepSeek, et dit vouloir
héberger ses modèles sur des serveurs locaux.
Nettement moins positive, une autre forme de reconnaissance est venue des milieux cybercriminels, qui
exploitent la popularité soudaine de DeepSeek pour propager des scams et des malwares. Par exemple, une campagne de téléchargement de faux DeepSeek a été utilisée
pour répandre le malware Poseidon auprès des utilisateurs de Mac. La rançon du succès, littéralement.
Si l'attirance des cybercriminels pour toute appli à succès se limitait à de nouveaux scams, le monde de la tech serait un peu plus paisible. Malheureusement, tout outil numérique largement répandu se voit étudié dans ses moindres faiblesses en vue d'une exploitation. DeepSeek n'échappe pas à la règle,
et s'est avéré un outil puissant générer du code malveillant une fois les nouvelles techniques de jailbreak popularisées.
Là où le bât blesse, c'est qu'en quelques jours de renommée seulement, DeepSeek s'est également illustré par sa négligence en terme de protection des données,
en laissant accessible une de ses bases de données. Wiz, l'entreprise de cybersécurité qui a découvert le pot aux roses, précise que "
cette base de données contenait un volume important d'historiques de chat, de données de backend et d'informations sensibles, y compris des flux de logs, des secrets d'API et des détails opérationnels". Dans la foulée de cette découverte, les experts ont pu prendre le contrôle de la BDD avec possibilité d'élévation de privilèges au sein de l'environnement DeepSeek. Ouch.
Alors bien sûr, le moment des
attaques massives est vite arrivé, notamment nombre de DDOS, et DeepSeek a dû temporairement fermer les inscriptions pour limiter les perturbations.
La réaction des régulateurs ne s'est pas fait attendre. C'est d'abord
l'Italie, suivie de près par l'Irlande, qui a demandé des comptes sur la traçabilité des données des utilisateurs. S'en est suivi un
blocage de l'appli en Italie. En France,
la CNIL s'aligne sur ses homologues européens et annonce un examen du traitement des données personnelles.
Les États-Unis, en guerre économique et en désaccord idéologique avec la chine,
avaient déjà émis soupçons et réserves quant l'utilisation de DeepSeek sur leur sol. Désormais, le Pentagone et la Navy
bloquent l'appli sur leurs réseaux.
En conclusion, ce que dénote la montée express de deepSeek, c'est surtout la course effrénée à l'IA que se livrent les grandes puissances, où les questions de sécurité ne semblent surgir qu'à l'encontre d'un concurrent malvenu, où chacun repense ses opportunités et menaces en fonction des derniers événements (exemple parmi les autres,
l'Europe), et ou l'on précipite des projets pourtant ambitieux
au risque de l'échec. Bien peu de place est faite pour le recul et la réflexion face à des outils de plus en plus puissants, c'est-à-dire gourmands en ressources et potentiellement dangereux.
Libertés publiques & individuelles
Error404 : Democracy not found
Les opérations d'influence de l'opinion publique ont été le sujet de plusieurs articles cette semaine, dont
un édito de Next sur une histoire révélatrice : comment un tiktoker en mal de buzz invente une histoire de contravention pour avoir réglé un péage avec son smartphone, comment la presse a relayé l'affaire, comment le président lui-même s'en est emparée en affirmant confier le dossier au ministre de l'Intérieur… Et surtout comment personne, pas un maillon de la chaîne, ne s'est donné la peine de vérifier cette histoire avant d'en faire état publiquement. Seule la posture compte, au détriment des faits.
Au rayon infox, on passe sans transition des amateurs aux grands maîtres :
Mathilde Saliou nous dresse un rapide portrait de JM Dougan. Cet américain, un temps réfugié à Moscou après avoir été mis en cause dans des affaires de hacking et d'extorsion, a fait partie de l'opération d'influence russe "Storm-156". Il est maintenant à la tête de 102 faux sites alimentés par IA, dont l'objet est de propager des fake news en soutien à l'AFD allemand.
Parce que ce triste individu est loin d'être le seul à polluer internet, passons du particulier au général :
Google a révélé quels APT ont utilisé Gemini, pour quel gouvernement et dans quels buts.
Ces derniers temps, le groupe Meta a eu plusieurs comportements problématiques pour nos démocraties. Il y a d'abord eu ce
changement des règles de modération consistant à abandonner les fact-checking par des équipes externes au profit des "community notes". Ce changement s'est accompagné d'un retrait des règles de protection des minorités, mais aussi d'une forme de mise au pas du personnel en interne : plus de politique en faveur de la diversité, mais une délocalisation de la revue des contenus de la Californie au Texas, où l'équipe serait, selon les dires de Zuckerberg, moins opposée à ses nouvelles vues. Enfin l'essentiel est sauf puisque
les revenus publicitaires sont restés stables suite à cette décision.
Ensuite, il y a eu cette attaque incongrue contre
Linux, dont le nom est banni de Facebook en tant que cybermenace. L'ironie de l'histoire, c'est que les services de
Meta sont hébergés sur des serveurs Linux...
Pour finir, cette nouvelle de Meta est effectivement assez... meta :
Meta avertit que les fuites d'informations donneront lieu à des licenciements, apprend-on dans un mémo qui a fuité. Fin de la blague.
Les control freaks de la semaine
C'est plus navrant que surprenant, mais
des données publiées par les agences états-uniennes ont été supprimées, notamment celles relatives au climat, et celles de certaines agences de santé.
La Fance non plus n'est pas en reste sur le contrôle de ses habitants.
Disclose a enquêté sur les manœuvres françaises pour assouplir l'AI Act et faciliter les pratiques intrusives telles que reconnaissance faciale ou interprétation des émotions.
Dans le privé aussi, on jete des regards gourmands du côté de la technosurveillance :
le groupe les Mousquetaires manœuvre pour pouvoir utiliser la VSA (Vidéo Surveillance Algorithmique) à des fins de lutte contre les fraudes aux caisses automatiques. Ils n'avaient qu'à garder les caissières…
Ils remettent ça une fois de plus :
le Sénat a voté un amendement pour obliger les applis chiffrées de bout en bout à installer des backdoors à l'usage des services de police et de renseignement. Europol avait fait une demande similaire il y a peu.
Pendant ce temps aux États-Unis, la consultation des données numériques
à travers une backdoor sans mandat a été jugée inconstitutionnelle.
C'est tout pour cette semaine. Merci pour votre intérêt et à la semine prochaine !
