Mis à jour : 14 décembre 2025 Nous avons ajouté de nouveaux codes ! Le football est un sport incroyable, n’est-ce pas ? Mais si vous êtes un fan de Manchester United, je ne peux que vous offrir ma sympathie. Cependant, la bonne nouvelle est le monde vibrant des jeux vidéo inspirés du football, comme […]
Alphabet, maison mère de Google, a retiré sa plainte antitrust déposée auprès de la Commission européenne contre les pratiques cloud de Microsoft, une semaine après l’ouverture par Bruxelles de trois enquêtes de marché sur AWS et Microsoft Azure dans le cadre du Digital Markets Act (DMA).
Désormais, Google affirme vouloir contribuer aux travaux des autorités dans ce cadre plus large, et indique rester engagé dans le dialogue avec les décideurs publics pour faire évoluer les règles de concurrence et les conditions de licences dans le cloud.
Google avait saisi la Commission européenne en 2024 en accusant Microsoft d’utiliser des conditions de licences logicielles pour enfermer les clients dans sa plateforme Azure. La plainte mettait en avant des pénalités financières, des restrictions d’usage de Windows Server et des obstacles d’interopérabilité pour les entreprises souhaitant exécuter les logiciels Microsoft sur des clouds concurrents ou migrer leurs charges de travail hors d’Azure.
Ces griefs faisaient écho à des préoccupations déjà exprimées par l’association professionnelle CISPE, soutenue par Amazon, qui avait elle-même déposé puis retiré une plainte contre Microsoft après un accord transactionnel en 2024.
Enquêtes de l’UE sur le cloud
Les enquêtes ouvertes par la Commission visent à déterminer si AWS et Azure doivent être désignés comme « contrôleurs d’accès » (gatekeepers) pour leurs services cloud, alors même qu’ils ne remplissent pas automatiquement tous les seuils chiffrés prévus par le DMA. Bruxelles veut évaluer si certaines caractéristiques du secteur (effets de verrouillage, coûts de sortie, barrières techniques au multicloud) renforcent le pouvoir de marché de ces hyperscalers au détriment de la concurrence.
Une troisième enquête examinera si les dispositions actuelles du DMA suffisent à traiter les pratiques susceptibles de limiter la contestabilité et l’équité dans le cloud, ou si des ajustements réglementaires sont nécessaires. La Commission a indiqué que ces travaux s’inscrivent dans un effort plus large pour adapter les outils de concurrence numérique aux spécificités de l’informatique en nuage dans l’UE.
Google a annoncé le retrait de sa plainte antitrust déposée l’an dernier auprès de la Commission européenne contre les pratiques de Microsoft en rapport avec le cloud . Le géant de la recherche accusait son rival de verrouiller le marché pour enfermer les clients dans son écosystème Azure, …
La plateforme SecretDesires.ai, un service de chatbot érotique avec génération d’images par IA, a laissé fuiter dans la nature près de 2 millions de photos et vidéos dans des conteneurs Azure pas du tout sécurisés. Hé oui, n’importe qui pouvait y accéder via de simples fichiers XML contenant tous les liens vers les images, et ça ont le sait grâce à cette enquête de
404 Media
.
Alors qu’est-ce qu’on trouve dans cette fuite ?
Hé bien sans surprise des photos de célébrités mais surtout des photos de parfaites inconnues. Des selfies pris dans des chambres, des photos de profil de réseaux sociaux, des photos de remise de diplôme universitaire et j’en passe. Certains fichiers contiennent même les noms complets des femmes photographiées donc autant vous dire que ça craint un max !
Alors pourquoi y’avait tout ça ? Et bien SecretDesires proposait une fonctionnalité de “face swapping” dans ses abonnements payants (entre 7,99 et 19,99 dollars par mois, les pervers ont les moyens), qui permettait en uploadant la photo d’une vraie personne, de “coller” son visage sur d’autres images et vidéos sexuellement explicites générées pour l’occasion. Un container “removed images” contenait environ 930 000 images, un autre baptisé “faceswap” en contenait +50 000, et un troisième nommé “live photos” (des shorts vidéos IA) en contenait +220 000 dont des vidéos montrant des personnes d’apparence trèèèès jeune…
Et les prompts visibles dans certains noms de fichiers sont encore plus flippants car certains “clients” de cette plateforme ont demandé clairement des images de mineures. Et bien sûr, même si SecretDesires interdisait ça dans ses CGU, rien n’était fait techniquement pour l’empêcher.
De plus, la plateforme mentait à ses clients !! Elle se vantait d’utiliser un chiffrement de bout en bout et des serveurs ultra-sécurisés, sauf que leurs conteneurs Azure étaient grands ouverts depuis des mois vu les dates des fichiers et absolument rien n’était chiffré.
Heureusement, environ une heure après que 404 Media ait contacté SecretDesires pour les prévenir de la faille, les fichiers ont été rendus inaccessibles.
Alors j’sais pas si certains d’entre vous se sont déjà amusés à créer des deepfakes sexuels d’autres personnes sans leur consentement, mais sachez que les conséquences pour les victimes sont souvent dévastatrices. Cela a un impact sur leur carrière, leur confiance en soi, et parfois leur sécurité physique… Et bien sûr cela fait de vous des agresseurs sexuels !
Donc arrêtez d’utiliser ces services de merde, utilisez votre cerveau, faites preuve d’empathie et bien sûr, comme toujours, force aux victimes !
La Commission européenne lance trois enquêtes de marché sur les offres d’AWS et Microsoft Azure dans le cadre du Digital Markets Act (DMA) dont l’objectif est de limiter le pouvoir des grandes entreprises technologiques, désignées comme « contrôleurs d’accès » , et de garantir des conditions de concurrence équitables pour les rivaux plus petits.
Les investigations se décomposent en trois volets distincts :
Désignation en tant que « contrôleurs d’accès ». A travers deux enquêtes, la Commission va évaluer si Amazon Web Services (AWS) et Microsoft Azure doivent être désignés comme « contrôleurs d’accès » pour leurs services cloud.Si cette désignation est confirmée, ces services cloud seraient ajoutés à la liste des services de plateforme essentiels pour lesquels Amazon et Microsoft sont déjà considérés comme contrôleurs d’accès.
Efficacité du DMA dans le cloud. Cette troisième enquête vise à évaluer l’efficacité des obligations actuelles du DMA pour lutter contre les pratiques déloyales ou anticoncurrentielles dans le secteur du Cloud. L’examen porte notamment sur les obstacles à l’interopérabilité, l’accès limité aux données pour les entreprises utilisatrices, les services de vente liée et de groupage, ainsi que les clauses contractuelles potentiellement déséquilibrées.
Les critères de la DMA
Le DMA, entré en vigueur en 2023, définit un « contrôleur d’accès » comme une entreprise proposant un service de plateforme essentiel, avec plus de 45 millions d’utilisateurs actifs mensuels et une capitalisation boursière d’au moins 75 milliards € (86,87 milliards $). AWS est le plus grand fournisseur de cloud au niveau mondial, avec 30 %de parts de marché, suivi par Microsoft Azure (20%) et Google Cloud (13 %).
Les entreprises désignées comme « contrôleurs d’accès » sont tenues de rendre leurs services interopérables avec ceux de leurs concurrents et ne peuvent pas favoriser leurs propres services au détriment de ceux de leurs rivaux. En cas de violation du DMA, les entreprises encourent des amendes pouvant atteindre 10 % de leur chiffre d’affaires annuel mondial.
La cheffe de l’antitrust de l’UE, Teresa Ribera, a déclaré que la Commission cherchera également à déterminer si « les règles existantes du règlement sur les marchés numériques doivent être mises à jour afin que l’Europe puisse suivre le rythme de l’évolution rapide des pratiques dans le secteur de l’informatique en nuage ».
Un porte-parole de Microsoft a indiqué que l’entreprise était prête à contribuer à l’enquête.
Du côté d’AWS, on estime que « désigner les fournisseurs de cloud comme contrôleurs d’accès ne vaut pas le risque d’étouffer l’invention ou d’augmenter les coûts pour les entreprises européennes ».
La Commission veut conclure les deux enquêtes sur la désignation d’AWS et Azure dans un délai de 12 mois. L’enquête sur l’application du DMA aux marchés du cloud donnera lieu à la publication d’un rapport final dans un délai de 18 mois.
Défaut logiciel dans le plan de contrôle, puis suppression par inadvertance d’une valeur de configuration : telles furent, le 9 octobre dernier, les sources d’un double incident ayant touché le CDN Azure Front Door.
L’accès à un grand nombre de portails de gestion de services s’en est trouvé perturbé pendant plus d’une demi-journée. L’Europe et l’Afrique furent les zones géographiques les plus touchées.
Un état de configuration invalide « loupé » par les systèmes de protection
Un nouvel incident impliquant Azure Front Door est survenu ce 29 octobre. Cette fois, l’impact n’a pas été circonscrit aux portails de gestion. Microsoft liste une quinzaine de services affectés. Parmi eux, Azure SQL Database, Azure Virtual Desktop, Copilot for Security, Purview, Sentinel et Entra ID (sur certaines composantes dont l’IAM et l’interface de gestion des utilisateurs).
Le déclencheur fut un changement de configuration de locataire Azure Front Door. Il a introduit un état invalide empêchant le chargement d’un grand nombre de nœuds. Avec, pour conséquence, une hausse des latences, voire des erreurs de connexion sur les services aval.
Microsoft a alors bloqué tout changement de configuration pour éviter la propagation de cet état défaillant. Il a ensuite amorcé un rollback vers la dernière « bonne version » de configuration. Pour éviter une surcharge, le trafic a dû être rééquilibré de façon progressive. Il s’est donc écoulé près de 10 heures entre le début de l’incident et sa résolution officielle (1 heure du matin en France ce 30 octobre, les changements de configuration par les clients étant restés bloqués un peu plus longtemps).
Cet état invalide est passé à travers les mécanismes de protection en raison d’un défaut logiciel, nous explique-t-on.
Une version défectueuse du plan de contrôle Azure Front Door
Le motif « défaut logiciel » a également été invoqué des suites de l’incident du 9 octobre. Plus précisément sur la première phase, qui a duré environ 8 heures.
Le souci se trouvait dans le plan de contrôle d’Azure Front Door, au niveau des informations communiquées au plan des données dans le cadre des opérations de création et de modification de profils CDN initiées par le client.
La version problématique du plan de contrôle avait été déployée 6 semaines en amont. Une séquence spécifique d’opérations de mise à jour de profils générait des métadonnées erronées faisant crasher le plan de données.
Les protections automatisées ont détecté le problème suffisamment tôt pour éviter une propagation au-delà du plan de données. De surcroît, l’ancienne version de plan de contrôle tournant toujours, il a été possible d’y rediriger toutes les requêtes.
Dans ce contexte, le 9 octobre, un processus d’assainissement de la configuration contenant les métadonnées erronées a été lancé. Comme le système de protection automatisé bloquait les mises à jour de profils concernées, un contournement temporaire a été mis en place. Il a toutefois ouvert la porte à la propagation des métadonnées problématiques,.. et à la perturbation d’Azure Front Door. Essentiellement, donc, en Afrique et en Europe.
La redistribution de charge qui s’est ensuivie, assortie d’une augmentation du trafic avec le démarrage des heures de bureau, a tant fait croître l’utilisation de ressources que des seuils critiques ont fini par être dépassés. Une couche de protection supplémentaire s’est alors mise en marche pour distribuer encore davantage le trafic. Il a cependant fallu des interventions manuelles lorsque le processus automatisé prenait trop de temps.
Une valeur de configuration supprimée car inconnue d’une API
En début d’après-midi (heure française), la disponibilité d’Azure Front Door était pleinement rétablie. Dans la soirée, la retour à la normale ayant été validé, Microsoft a entrepris de refaire passer tout le trafic par son CDN.
C’est là qu’un deuxième problème est survenu. Un script destiné à mettre à jour la config de loadbalancing a supprimé une valeur de configuration. La cause : l’API qu’il utilisait n’avait pas connaissance de cette valeur.
Les vérifications d’intégrité de l’endpoint Azure Front Door ont alors commencé à échouer. À mesure que les filtres réseau ont été mis à jour, le problème s’est propagé. Il a fallu environ 4 heures pour le résoudre. Entre-temps, environ la moitié des clients ayant utilisé les portails de gestion de services Azure ont subi une forme d’impact.
Panne Microsoft en cours ce mercredi, Azure et Microsoft 365 connaissent des accès dégradés, avec une piste DNS évoquée et plus de 11 000 signalements.
Microsoft et OpenAI viennent de conclure un accord majeur dans l’histoire de leur collaboration initiée en 2019 permettant à au créateur de ChatGPT d’adopter le statut de Public Benefit Corporation (PBC), soit une société à but lucratif encadrée par une mission d’intérêt public.
Dans cette nouvelle configuration, Microsoft détiendra une participation d’environ 27 % dans OpenAI Group PBC, valorisée à 135 milliards $, selon les informations fournies par les deux entreprises.
Le nouvel accord prolonge et redéfinit les droits de propriété intellectuelle (PI) entre les deux entreprises. Microsoft conserve son statut de partenaire exclusif pour les modèles de pointe développés par OpenAI, ainsi que l’exclusivité d’hébergement sur la plateforme Azure, jusqu’à la reconnaissance formelle d’une intelligence artificielle générale (AGI).
Restructuration et participation de Microsoft
La déclaration d’atteinte de l’AGI par OpenAI devra désormais être vérifiée par un panel d’experts indépendants. Les droits de Microsoft sur les modèles et produits d’OpenAI sont étendus jusqu’en 2032, contre 2030 précédemment, et continueront de s’appliquer même si l’AGI est validée avant cette date. Ces droits incluent les modèles post-AGI, sous réserve de garde-fous de sécurité.
Les droits de Microsoft sur la recherche (méthodes de développement internes et données confidentielles) expireront à la date de validation de l’AGI ou en 2030, selon la première de ces échéances. Ces droits ne couvrent pas l’architecture des modèles, les poids, le code d’inférence, le code de fine-tuning ni les infrastructures matérielles et logicielles de centres de données.
L’accord ouvre la voie à une coopération plus flexible. OpenAI pourra désormais développer certains produits avec des partenaires tiers. Les produits d’API issus de ces collaborations resteront exclusifs à Azure, tandis que les produits non liés à des API pourront être hébergés sur d’autres clouds.
Microsoft pourra également poursuivre de manière indépendante ses recherches vers l’AGI, seul ou avec d’autres partenaires. Si l’entreprise utilise la propriété intellectuelle d’OpenAI pour ce développement avant la reconnaissance formelle de l’AGI, elle devra respecter des limites de capacité de calcul prédéfinies.
Enfin, l’accord prévoit qu’OpenAI achètera pour 250 milliards $ de services Azure supplémentaires. En contrepartie, Microsoft renonce à son droit de premier refus pour fournir les services de calcul de l’entreprise.
Le partage de revenus entre les deux sociétés demeure en vigueur jusqu’à la validation de l’AGI, avec des paiements étalés sur une période plus longue. OpenAI est désormais autorisée à fournir des services API à des clients du gouvernement américain, y compris pour des usages liés à la sécurité nationale, sans exclusivité d’hébergement.
L’entreprise pourra également publier des modèles « Open Weight » répondant à des critères de sécurité et de capacité déterminés.
Connexion
