Choses à Savoir TECH

Sur Internet, l’heure exacte est une infrastructure invisible. Tant qu’elle fonctionne, personne n’y pense. Mais sans elle, les certificats expirent, les connexions sécurisées échouent, les authentifications se bloquent et les journaux de cybersécurité deviennent impossibles à exploiter.

Cette synchronisation repose largement sur un protocole né en 1985 : NTP, pour Network Time Protocol. Son rôle est simple : permettre à un ordinateur, un téléphone ou un routeur de se caler sur une heure de référence. Le système fonctionne en strates. Tout en haut, on trouve des horloges atomiques ou des récepteurs GPS. En dessous, des serveurs redistribuent cette heure au reste du réseau. Le problème, c’est que la quasi-totalité de cette chaîne dépend, directement ou indirectement, du GPS américain. Or le GPS est d’abord un système militaire, contrôlé par le département de la Défense des États-Unis. Jusqu’en 2000, Washington dégradait volontairement le signal civil avec un mécanisme appelé Selective Availability. Cette dégradation a été désactivée, mais rien n’empêche théoriquement de la réactiver.
Pour un humain, quelques millisecondes d’écart n’ont aucune importance. Pour un système informatique, c’est autre chose. TLS, qui sécurise les connexions HTTPS, vérifie la validité temporelle des certificats. Kerberos, très utilisé dans les entreprises, rejette les authentifications avec plus de cinq minutes de décalage. Et dans les outils de cybersécurité, une horloge fausse peut désordonner toute la chronologie d’une attaque.

NTP peut aussi être détourné. Un attaquant peut décaler l’heure d’une cible, ou exploiter des serveurs mal configurés pour amplifier une attaque. En 2014, une attaque NTP avait atteint 400 gigabits par seconde contre un client de Cloudflare. Même sans attaque, une mauvaise gestion d’une seconde intercalaire avait fait tomber Reddit, LinkedIn, Mozilla ou encore Yelp en 2012. L’Europe dispose pourtant d’alternatives. Galileo diffuse un signal de temps précis. En France, l’Observatoire de Paris, via le SYRTE, maintient l’heure légale avec des horloges atomiques extrêmement fiables et propose des serveurs NTP publics. L’Allemagne, la Suède ou le Royaume-Uni ont aussi leurs références.

Mais ces sources ne sont presque jamais configurées par défaut. Ni Windows, ni macOS, ni les routeurs grand public, ni les grands clouds ne les privilégient. Les textes comme NIS2 ou DORA imposent la résilience numérique, sans exiger de sources de temps souveraines. L’Europe a donc les moyens de maîtriser son heure numérique. Elle n’a simplement pas encore décidé d’en faire une priorité.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

Microsoft présente Scout comme un nouvel « agent personnel toujours actif ». L’entreprise le classe dans une catégorie appelée autopilotes : des intelligences artificielles capables d’agir pour l’utilisateur, sans attendre une consigne explicite à chaque étape. L’outil s’appuie sur OpenClaw, une IA agentique que Microsoft intègre désormais à Microsoft 365. Testé en interne sous le nom ClawPilot, puis rebaptisé Scout pour son lancement public, il s’inscrit dans un projet plus large baptisé Project Lobster. Son ambition est de rendre ces agents accessibles à des utilisateurs sans compétences techniques.

Concrètement, Scout peut se connecter aux données d’un compte Microsoft et aux applications comme Teams, Outlook, OneDrive ou SharePoint. Il peut organiser des réunions entre plusieurs fuseaux horaires, préparer des documents, modifier des fichiers Word, Excel ou PowerPoint, naviguer sur le Web, remplir des formulaires ou exécuter certaines commandes système. Pour des tâches plus complexes, il peut mobiliser des sous-agents spécialisés, par exemple pour la recherche ou le code. Scout repose aussi sur Work IQ, une couche d’IA qui apprend la façon dont une personne travaille. L’agent ne se contente donc pas de répondre comme un simple chatbot : il tient compte du métier, de l’organisation de l’entreprise et du contexte professionnel. Microsoft assure également que chaque agent dispose de sa propre identité et que les enjeux de sécurité ont été intégrés.

Mais la controverse vient d’un document interne consulté par 404 Media. Celui-ci décrit une stratégie en trois étapes pour bâtir une plateforme agentique, avec une première phase qualifiée d’« application addictive ». Le texte explique qu’il faut rendre les utilisateurs accros à ClawPilot, devenu Scout, en développant une expérience autonome, une base d’utilisateurs et un écosystème d’outils indispensable au quotidien. Le projet serait déjà utilisé par plus de 1 000 employés de Microsoft, dont Satya Nadella, avec une forte rétention et un usage intensif. Cette approche inquiète en interne. Un salarié estime qu’aucun produit ne devrait intégrer l’addiction dans sa stratégie de conception. Reste à savoir si Scout séduira vraiment. Microsoft a déjà tenté d’imposer Copilot dans Windows 11, non sans provoquer la colère d’une partie des utilisateurs.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

Les attaques par déni de service, ou DDoS, font partie des méthodes les plus connues de la cybersécurité offensive. Leur principe est simple : envoyer tellement de requêtes vers un site ou un service en ligne que ses serveurs finissent par saturer. Résultat, la page ne répond plus, l’application tombe, et les utilisateurs légitimes ne peuvent plus accéder au service.

Traditionnellement, ce type d’attaque nécessite un botnet, c’est-à-dire un vaste réseau de machines compromises : ordinateurs, routeurs, caméras connectées ou objets mal protégés. Mais des chercheurs de la société californienne Calif viennent de documenter une méthode beaucoup plus inquiétante : une attaque DDoS capable de fonctionner depuis un seul ordinateur. Cette technique, baptisée « HTTP/2 Bomb », doit être présentée lors de la conférence Real World AI Security, organisée à Stanford du 23 au 25 juin. Les chercheurs expliquent avoir utilisé Codex, l’IA d’OpenAI, pour les aider à détecter cette faille.

Le cœur du problème vient de HTTP/2, une version moderne du protocole qui permet à un navigateur et à un serveur web de communiquer. HTTP/2 a été conçu pour accélérer les sites, notamment grâce à la compression des en-têtes et à l’envoi de plusieurs requêtes sur une même connexion. Mais ces optimisations peuvent être détournées. L’attaque exploite notamment HPACK, le système chargé de compresser certaines informations échangées entre le client et le serveur. En manipulant ce mécanisme, un attaquant peut forcer le serveur à reconstruire en mémoire de très grandes quantités de données pour un trafic en apparence limité. La seconde étape consiste à empêcher cette mémoire d’être libérée rapidement, en jouant sur les mécanismes de contrôle du flux.

Selon Calif, un simple ordinateur connecté à 100 Mbps peut ainsi épuiser des dizaines de gigaoctets de mémoire vive en quelques secondes. Lors des tests, un serveur Envoy est tombé en une dizaine de secondes, Apache a saturé 32 Go de mémoire en 18 secondes, tandis que nginx et Microsoft IIS ont cédé en moins d’une minute. La menace est sérieuse, mais pas universelle. Tous les serveurs ne sont pas vulnérables, et certains correctifs existent déjà. En attendant, les experts recommandent de limiter strictement les en-têtes, de passer par des CDN ou proxys inverses, et de désactiver HTTP/2 lorsque c’est possible.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

Imaginez votre début de journée... C’est le matin, vous venez de vous réveiller et vous ouvrez votre téléphone. Une petite histoire illustrée vous résume ce qui vous attend. Votre colis vient d’être livrée : Google l’a repéré dans Gmail. Un ami arrive ce week-end : l’information figurait dans votre agenda. Bref, cette application s’appelle Dreambeans, littéralement « graines de rêve ». Elle est actuellement testée publiquement par Google Labs. Son principe est simple : transformer les données personnelles déjà présentes dans l’écosystème Google en mini-récits visuels, comme un journal intime automatisé de votre journée.

Pour fabriquer ces histoires, Dreambeans relie les informations issues de plusieurs services : Gmail, Google Agenda, Photos, YouTube ou encore l’historique de navigation. En clair, Google ne collecte pas seulement de nouvelles données pour l’occasion ; il réorganise surtout celles qu’il possède déjà, puis les présente sous forme synthétique et illustrée grâce à l’intelligence artificielle. L’objectif affiché est de vous faire gagner du temps. Au lieu de chercher vous-même les informations utiles (une livraison, un rendez-vous, une sortie, une recommandation) l’application les rassemble dans un petit récit personnalisé. Les illustrations sont générées par IA et servent à donner une forme plus agréable, presque ludique, à ce résumé quotidien.

Derrière Dreambeans, Google met en avant une technologie appelée « Personal Intelligence ». Il s’agit d’une IA conçue pour agir de manière proactive, c’est-à-dire anticiper ce qui peut vous être utile avant même que vous ne le demandiez. Évidemment, la question de la vie privée arrive immédiatement. Google précise que Dreambeans nécessite au moins la connexion d’une application Google, mais fonctionne mieux si plusieurs services sont autorisés. L’utilisateur peut choisir quelles applications alimentent ses récits, tandis que les autres sont censées rester séparées. Pour l’instant, Dreambeans n’est disponible qu’aux États-Unis. Il faut être majeur, posséder un abonnement Google AI Ultra, et utiliser l’application sur Android ou iOS.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

Depuis son rachat par Elon Musk en 2022, Twitter, devenu X, a connu une transformation radicale. Nouveau nom, réduction des équipes, politique de modération remaniée : presque tout a changé. Mais la rupture la plus visible reste sans doute la coche bleue. Autrefois réservée aux personnalités et organisations dont l’identité avait été vérifiée, elle est devenue l’un des principaux avantages proposés aux abonnés payants.

L’objectif affiché par Elon Musk était de réduire la dépendance de la plateforme à la publicité, en développant les revenus tirés des abonnements. Et X semble désormais prêt à serrer davantage la vis pour pousser ses utilisateurs gratuits vers l’offre Premium. Selon Engadget, la plateforme a discrètement abaissé les limites quotidiennes imposées aux comptes non vérifiés. Ces utilisateurs ne peuvent plus publier que 50 messages originaux et 200 réponses par jour. La différence avec l’ancien plafond est spectaculaire : celui-ci permettait jusqu’à 2 400 publications quotidiennes. Pour les messages originaux, la baisse dépasse donc 95 %.

La modification n’a pas fait l’objet d’une grande annonce. Elle a été repérée par des internautes sur X et Reddit, après une mise à jour de la page d’assistance officielle. Lorsqu’une personne atteint l’une de ces limites, la plateforme doit afficher un message d’erreur indiquant précisément le plafond dépassé. Derrière cette décision, la stratégie commerciale paraît assez claire. X cherche à rendre l’usage gratuit plus contraignant pour mieux valoriser son abonnement Premium. La formule la moins chère coûte trois euros par mois, ou trente-deux euros par an. Un tarif d’appel qui doit convaincre les utilisateurs les plus actifs de sortir leur carte bancaire.

La plateforme peut toutefois avancer un autre argument : la lutte contre les bots, ces comptes automatisés capables de publier d’énormes volumes de contenus, parfois pour diffuser de la publicité, manipuler les conversations ou mener des campagnes de désinformation. X avait déjà introduit, en octobre 2025, une rubrique « À propos de ce compte », permettant notamment de connaître le pays d’origine associé à un profil. Mais la mesure suscite beaucoup de critiques. Sur X comme sur Reddit, certains utilisateurs y voient moins un outil de modération qu’un nouveau péage numérique.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.