Sous fond de guerre larvée avec Apple, Google a annoncé lors de sa conférence Google I/O 2022 que le protocole RCS a dépassé la barre des 500 millions d'utilisateurs quotidiens actifs.

Une mise à jour a été déployée afin de corriger cette faille de type zero day a annoncé Google le 14 avril dernier.

Une étude a révélé que Google a récolté des données d’utilisateurs Android sans leur consentement.

Sécurité renforcée

Google a annoncé vouloir investir 9,5 milliards de dollars (Mds$) en 2022 dans des datacenters, mais aussi dans des bureaux, alors même qu’il dit avoir adopté « un modèle de main-d’œuvre hybride »accentuant le recours au télétravail.

Le ministère de la Transformation et de la fonction publique a dévoilé son plan numérique pour garantir le Cloud souverain à l’échelle européenne. Un « cloud de confiance » qui ambitionne de se protéger des lois d’exterritorialités américaines tout en autorisant Google ou Microsoft, par exemple, de licencier certaines technologies.

Après plusieurs tentatives avortées en ce sens, le gouvernement d’Emmanuel Macron a présenté une stratégie visant à inscrire la France dans un plan d’ambition de Cloud souverain. Et il n’a pas manqué au passage d’y apporter une touche de désormais célèbre « en même temps » macronien.

Le gouvernement de la Transformation et de la fonction publiques a dévoilé les contours de sa stratégie nationale pour le Cloud, lors d’une conférence de presse, lundi dernier, fruit d’une réflexion de deux années a précisé, en préambule, Bruno Le Maire, ministre de l’Économie, des Finances et de la Relance.

Cette stratégie, en trois axes, consiste à développer un label « Cloud de confiance » auprès des entreprises pour leur garantir une protection de leur données, moderniser l’action publique grâce aux technologies du Cloud dans les administrations publiques - « désormais mode d’hébergement par défaut des projets numériques des administrations », a rappelé Amélie de Montchalin, ministre de la Transformation et de la fonction publiques – ainsi qu’un soutien des projets d’entreprises françaises en ce sens dont cinq d’une valeur totale de 100 millions d’euros sont déjà sur la table.

Les ministres ont cité notamment le projet Gaia-X comme horizon souhaitable pour ce Cloud souverain.

Présence d’entreprises américaines

Reste que pour accéder aux meilleurs services mondiaux, il faut composer avec les États-Unis, les meilleurs en la matière, de l’aveux de Bruno Le Maire. La France a donc décidé que certaines entreprises américaines – seules Google et Microsoft ont été citées par le ministre – pourraient licencier tout ou partie de leur technologie à des entreprises françaises.

« Nous pourrions conjuguer ce que nous n’étions jamais arrivé à conjuguer : une protection et valorisation maximale des données », a justifié Bruno Le Maire, précisant que les technologies seront opérées par des Français dans un souci de garantie d’indépendance. « Nous ne renonçons pas à notre souveraineté française », s’est-il défendu d’avance, citant les exemples passés du développement de la filière industrielle nucléaire française permis par des licences américaines.

« Nous espérons l’émergence d’autres alliances franco-américaines qui permettent de disposer de la meilleure technologie tout en garantissant l’indépendance des données des Français », a ajouté Cédric O.

Ce même Cédric O qui assurait qu « une nation ne peut pas rivaliser dans [la course à la souveraineté] face à l’agilité du secteur privé et les importants moyens de la première ou deuxième puissance mondiale : c’est pourquoi nous ne devons pas nous entêter à vouloir développer des technologies souveraines de A à Z, mais travailler de concert avec les autres nations et grandes entreprises européennes », dans une préface pour le livre « Pour un Cloud européen ».

Et américaines, donc.

Un projet de loi antitrust a été voté jeudi dernier par une commission de sénateurs aux États-Unis. Le texte ambitionne d'interdire aux plateformes leaders du marché, de favoriser leurs produits au détriment de la concurrence.

Réunis sous la bannière Compat2021, Microsoft, Google ainsi que d’autres acteurs du Web travaillent à résoudre cinq problèmes de compatibilité de rendus des navigateurs : CSS Flexbox, Grid, position : sticky, aspect-ratio property et transform.

C’est une alliance inattendue et bienvenue dans le monde des développeurs Web entre plusieurs géants de l’industrie.

Google et Microsoft ont annoncé dans deux billets sur leurs blogs respectifs qu'ils travaillent ensemble et avec d’autres acteurs du Web à la résolution de cinq problèmes de compatibilités de leurs navigateurs,

Les cinq problèmes concernent les CSS FlexBox, Grid, position : sticky, aspect-ratio property et transform, respectivement relatifs à la mise en page, au calcul de ratio, à la disposition des éléments, des grilles, de la mise en page, du ratio et des animations et transformations 3D.

Safari le plus affecté

Selon des travaux de recherches, ces fonctions présentent des résultats différents selon les navigateurs alors que les développeurs utilisent les mêmes outils Chromium ou WebKit. L’objectif affiché est donc de résoudre les cinq problèmes d’ici à la fin 2021.

Un dashboard de l’avancée des travaux est disponible ici. Pour l’instant, Safari est le moteur de recherche souffrant le plus des cinq problèmes de compatibilités (chacune notée sur 20) avec une note globale de 64/100 contre 86 et 83 pour Chrome et Firefox.

Un Chromebook HP.

Selon Finaria, les ventes de Chromebooks ont atteint de nouveaux records grignotant des parts de marché aux environnements Windows.

En 2020 les ventes d'équipements Chromebooks ont augmenté de 74 % atteignant 29,6 millions d'unités vendues. Il est estimé que ce chiffre grimperait à 40 millions à la fin de cette année. HP est le principal vendeur de ces matériels avec 9,4 millions d'unités vendues et une croissance des ventes de 83 %.

Samsung connaît la plus forte croissance sur les ventes de Chromebooks avec un bond de 400 % des ventes qui atteignent maintenant 1,9 million d'unités. Lenovo affiche lui aussi de bons résultats sur ces matériels en particulier lors du dernier trimestre de l'année dernière.

Première conséquence : pour le première fois les systèmes Windows finissent sous les 80 % de parts de marché. Selon un autre cabinet d'analystes, TrendForce, la part de marché de Windows devrait finir par se stabiliser entre 70 et 75 %.

C’est à qui investira le plus. Microsoft, Google, IBM ou encore Apple ont rencontré hier Joe Biden lors d’une réunion dédiée à la cybersécurité. Depuis, les géants rivalisent d’annonces et de dizaines de milliards de dollars pour permettre aux Etats-Unis de faire face à la menace cyber.

Tandis que les régulateurs américain et européen travaillent à faire adopter des législations antitrust, Microsoft, Google et Amazon ont battu des records d’acquisitions en 2021. 

La suite de productivité de Google connaît plusieurs mises à jour dans Meet, Voice et Chat pour satisfaire les nouveaux besoins liés aux modes de travail hybrides.

Une trentaine d’États et territoires américains ont attaqué Google pour abus de position dominante dans deux procès distincts la semaine dernière. Dans un contexte où la domination des nouvelles technologies ainsi que les méthodes commerciales des acteurs leaders inquiètent l’appareil législatif américain.

Google est à nouveau sous les feux des projecteurs du judiciaire américain. Déjà accusé d’abus de position dominante par le département de justice américain (DOJ) en octobre dernier, la firme de Mountain View voit poindre de nouveaux adversaires s’appuyant sur les arguments du DOJ pour étendre leurs accusations.

Plus d’une trentaine d’États et territoires américains ont intenté une action en justice contre l’entreprise pour abus de position dominante, jeudi 17 décembre 2020, rapporte Associated Press, reprochant à l’entreprise l’instauration illégale d’un monopole annihilant toute concurrence. Ces allégations suivent celles émises par le Département de Justice américain à l’encontre de l’entreprise, en octobre dernier.

Mais ils ont décidé d’aller plus loin, levant de nouvelles accusations visant à empêcher Google de devenir un acteur dominant sur les secteurs des assistants domotiques ou des voitures connectées.

Discrimination

Selon le contenu de la plainte, Google discrimine certains moteurs de recherche offrant certains services commerciaux, comme le voyage ou le bricolage, et bannirait l’accès publicitaire à d’autres concurrents comme Bing, écrit The Associated Press.

« Les utilisateurs ne bénéficient pas des bienfaits de la compétition, y compris la possibilité de services de meilleure qualité et d’une meilleure protection de leur vie privée »,a estimé Phil Weiser, avocat général du Colorado et chef de file du dépôt de plainte, cité par l’Associated Press.

La veille, 10 États américains ont intenté un procès contre Google sur les mêmes motifs. Ils pensent que l’entreprise aurait passé un arrangement avec WhatsApp pour accéder aux conversations, photos et vidéos de millions d’utilisateurs de la messagerie. Cette action en justice à l’encontre de Google est donc la troisième en quelques mois.

Google n’est d'ailleurs pas la seule entreprise dans le viseur de l’administration judiciaire américaine. Le 9 décembre, Facebook a été attaqué par la Federal Trade Commission ainsi que 48 États et territoires américains, également pour abus de position dominante.

C’est la France que l’association de Max Schrems a choisie pour lancer la charge contre le géant de Mountain View. NOYB reproche à Google d’enfreindre la directive ePrivacy via son identifiant publicitaire Android, activé par défaut et donc qui se passe du consentement de l’utilisateur. Une plainte similaire à celle visant Apple déposée par l’association l’an dernier.

Après avoir fait trembler Facebook, l’activiste autrichien Maximilien Schrems parviendra-t-il à faire tomber Google ? Son association, NOYB, pour None Of Your Business, vient de déposer une plainte à l’encontre du géant. Et c’est en France que se jouera cette nouvelle confrontation puisque la plainte a été adressée à la Cnil.

Est mis en cause l’AAID (Android Advertising Identifier), un identifiant unique attaché à chaque smartphone Android. Cet instrument du géant de Mountain View sert à collecter des informations sur les préférences de l’utilisateur de sorte à afficher des publicités personnalisées. Ce qui, selon NOYB, enfreint la directive ePrivacy, du moins dans sa version actuelle.

Google et Apple dans le même panier

Celle-ci, en son article 5, stipule qu’il est nécessaire de fournir une « information claire et complète » à l’utilisateur, de même que la possibilité de « refuser un tel traitement » avant de pouvoir « stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal ». Or, dans le cas présent, Android n’affiche aucun message quant à son AAID, activé par défaut.

La Cnil examine pour l’heure cette plainte, qui n’est pas sans en rappeler une autre. En 2020, Max Schrems et son association s’en prenaient à Apple pour les mêmes motifs, l’attaquant devant les gendarmes des données personnelles espagnol et allemand. Car l’IDFA (IDentifier For Advertisers) obéit au même fonctionnement que l’AAID de Google. La Cnil a par ailleurs été saisie d’une plainte similaire de la part de France Digitale.

Une forte demande

Retour à la normale

37 Attorney Generals ont attaqué le géant de Mountain View devant la cour fédérale de Californie. Il ne s'agit jamais que de la quatrième procédure antitrust à laquelle Google est confrontée en moins d'un an. Cette fois-ci, c'est la commission imposée aux développeurs d'applications Android qui est dans le viseur des procureurs.

Sur le dossier des conditions des boutiques applicatives et des commissions exigées aux éditeurs sur les achats in-app, Google est moins sous pression qu'Apple, Android s'avérant plus ouvert qu'iOS. Pour autant, Epic Games et ses alliés, Spotify notamment, ne se sont pas contentés d'étriller la marque à la pomme. Ils dénonçaient également les 30% que Mountain View entendait capter pour chaque achat réalisé dans une application téléchargée via le Play Store. 

Pire encore, le géant a récemment modifié sa politique à l'attention des développeurs d'applications mobiles, étendant sa "taxe" à davantage de produits et ciblant principalement des services qui pouvaient, jusqu'alors, contourner les barrières fixées par le Play Store. Ainsi, dans la clarification que Google apportait à ses conditions, “les développeurs qui facturent des applications et des téléchargements sur Google Play sont tenus d’utiliser le système de facturation de Google Play comme mode de paiement”, de même pour toutes formes d’achat in-app. Et merci de ne pas dire depuis l'application que les utilisateurs peuvent profiter de ristournes s'ils réalisent leurs achats par d'autres biais. 

Le Play Store, un monopole qui ne dit pas son nom

Cette politique n'est pas du goût des procureurs de 36 États et de Washington DC, qui viennent d'entamer une procédure antitrust devant le tribunal fédéral de Californie. Ils y reprochent à l'entreprise de tenir une position monopolistique dans la distribution d'applications Android, à grands renforts de clauses d'exclusivité, de fermeture aux concurrents et autres pratiques relevant de la concurrence déloyale. Et il en va de même pour les systèmes de paiement in-app. Et c'est grâce à ces positions monopolistiques que Google est en mesure de dicter ses conditions aux développeurs et de leur imposer des droits de douanes. 

Mountain View n'a pas manqué de réagir dans une publication de blog, s'étonnant qu'un "groupe de procureurs généraux d'États ait choisi d'intenter une action en justice contre un système qui offre plus d'ouverture et de choix que d'autres". Car c'est bien là l'axe de défense du géant : son OS est ouvert, et favorise la compétition et la transparence. "Cette plainte imite une action en justice tout aussi infondée déposée par le grand développeur d'applications Epic Games, qui a profité de l'ouverture d'Android en distribuant son application Fortnite en dehors de Google Play" souligne, non sans malice, l'accusé.

Google a trouvé un accord à l’amiable avec des développeurs américains afin d’éviter des poursuites pour abus de position dominante.

Les chercheurs en sécurité de Google accordent un délai aux développeurs et aux fournisseurs après découverte d’une faille dans un programme. Ainsi, Project attendra 30 jours avant de divulguer les détails de la vulnérabilité dans les cas où celle-ci est corrigée dans un délai de 7 à 90 jours après notification. Le temps que les utilisateurs appliquent le correctif. 

Découvrir une faille et en informer le développeur, c’est bien. Mais divulguer les détails techniques de cette vulnérabilité, cela ne va pas sans poser quelques problèmes. L’actualité récente a montré que les révélations autour de problèmes de sécurité, corrigés ou non, sont pain béni pour les cybercriminels. Qui auront tôt fait d’exploiter ces informations pour monter leurs attaques, en attendant que les utilisateurs appliquent les correctifs (ou que le FBI le fasse à leur place).

Le Project Zero de Google, si son efficacité a été démontré à bien des reprises, n’est pas à l'écart de ces polémiques. Failles révélées trop tôt, développeurs manquant de temps... L’équipe de sécurité du géant semble avoir tiré les leçons des controverses de ces derniers mois et a annoncé un changement dans sa politique de divulgation des failles.

30 jours de plus

Le délai avant la divulgation d’une faille reste de 90 jours après la première notification, avec la possibilité pour les développeurs de demander un sursis de 14 jours, le temps de colmater la brèche. Mais, une fois la faille corrigée, Project Zero attendra encore 30 jours après la diffusion du patch, le temps que celui-ci soit appliqué par les utilisateurs. Jusqu’à présent, les détails étaient dévoilés dès que le correctif était publié. 

Dans le cas de failles d’ores et déjà exploitées, là encore le délai initial pour patcher la vulnérabilité est conservé, soit 7 jours après notification de la part de Project Zero, en comptant un tout nouveau sursis de trois jours accordé par Google aux développeurs. Si la faille n’est pas corrigée dans ce délai, les détails techniques sont publiés mais en cas de publication d’un correctif, Google attendra à nouveau 30 jours. 

Attention, les sursis accordés par Google sont décomptés dans ces 30 jours avant publication. Ainsi, une faille patchée au 100ème jour après notification verra ses détails publiés au jour 120. Project Zero avait décidé l’an dernier de ce cycle de 90 jours afin de laisser le temps aux fournisseurs de développer et déployer leurs correctifs. 

Donner du temps aux fournisseurs et aux développeurs

“Cependant, dans la pratique, nous n'avons pas observé de changement significatif dans les délais de développement des correctifs et nous avons continué à recevoir des commentaires des fournisseurs indiquant qu'ils étaient préoccupés par la publication publique de détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs aient installé le correctif” explique Project Zero dans un post de blog.

D’où ce changement de politique afin de laisser plus de temps, aux développeurs comme aux utilisateurs. “Les fournisseurs disposeront désormais de 90 jours pour le développement des correctifs et de 30 jours supplémentaires pour l'adoption des correctifs” écrit l’équipe de chercheurs en sécurité de Google. Qui ajoute qu’il s’agit d’un “point de départ” qui sera susceptible d’être “réduit progressivement”.