MacBidouille

• Samedi Sécurité : les iPhone et iPad reconnus sûrs par l'OTAN !

  

  Un énorme pas en avant pour Apple, les iPhone et iPad quand mis-à-jour reconnus sûrs par l'OTAN pour contenir ou accéder des informations classifiées.

  C'est une reconnaissance du travail énorme fait par Apple dans ses OS, dont iOS ou iPadOS.
  Pour notre sécurité à tous. À un niveau qui n'avait pas été atteint avant !

  Ils sont maintenant reconnus sûrs par l'OTAN, pour accéder, créer et manipuler des documents classifiés.
  Les iPhone et iPad sont les premiers et seuls aujourd'hui appareils dans leurs catégories bénéficiant de cette reconnaissance !

• Samedi Sécurité : "la vérification de l'âge" a le vent en poupe !

  La vérification d'âge arrive un petit peu partout en même temps, on ne va pas facilement y échapper...
  

  Outre les réseaux asociaux en Union Européenne, les VPN pourraient aussi être touchés, mais les États-Uniens ne cessent de m'étonner en étant les plus créatifs !

  En effet la Californie vient de passer une loi demandant à ce que l'âge de "l'usager" d'un "ordinateur" soit "vérifié" au niveau de son "OS", et cet OS doit proposer une API permettant aux logiciels de vérifier cet âge. Les termes entre guillemets sont très flous dans la loi.
  Le Colorado voudrait imposer plus ou moins la même chose...

  L'OS MidnightBSD a été le premier à tirer en changeant ses conditions d'utilisation : à partir du 1er janvier 2027 il ne doit pas être utilisé par des résidents de Californie.
  Il est possible que d'autres choisissent de boycotter la Californie plutôt que d'implémenter des mesures coercitives au sein même de leurs OS.

  Peter Thiel semble tirer les ficelles un peu partout pour que ces "vérifications d'âges" soient implémentées dans tout ce qui a une puce ou qui offre un service en-ligne !

  Peter Thiel a créé Palantir en partenariat avec la CIA, le géant de la surveillance de masse.
  Peter Thiel a aussi créé Persona, le nouvel acteur incontournable de la "vérification d'âge", comprendre l'identification incluant des données biométriques.
  Discord avait intégré le système de "vérification d'âge" de Persona, et a du faire machine-arrière quand des hackers se sont aperçus qu'il capturait bien plus qu'indiqué...

  Une société de surveillance de masse, manipulant essentiellement des metadata d'échanges, et une société de vérification d'âge qui contient de son coté des tonnes d'informations personnelles ?!?
  Qu'est-ce qui pourrait bien arriver...

• Samedi sécurité : CEGEDIM et son logiciel piraté avec 11 à 15 millions de Français exposés

  CEGEDIM est un acteur très connu de la santé, pas coté soins mais coté données personnelles dont données de santé. Données intimes ou qui devraient l'être et le rester.
  J'ai travaillé pour cette société, ce groupe, comme consultant, j'en connais trop...

  Aucun nom, aucun marquage sur l'immeuble, ni dans l'entrée, ni dans les étages. Anonyme !
  

  

  CEGEDIM a un bel historique coté données personnelles...

  CEGEDIM a gagné le prix Orwell en 2001 remis par les Big Brother Awards ! Une belle réussite !
  "L’essentiel des activités de Cegedim est de collecter les données médicales (prescriptions des praticiens, dossiers des malades, feuilles de soins etc) sous couvert d'études statistiques ou épidémiologiques, données quelle revend ensuite aux laboratoires, aux assureurs ou aux médecins eux-mêmes. Sa clientèle couvre tous les maillons de la chaine santé/médecine : laboratoires, pharmaciens, assureurs, et cabinet médicaux."

  Certains médecins ou pharmaciens se demandent pourquoi ils ont reçu des cadeaux de "visiteurs médicaux" (un euphémisme pour dire les représentant des big pharma et leurs produits), eu des cadeaux, des incitations, voire des séjours tout frais payés "colloques médicaux".
  Je n'ai pas la réponse bien sûr...

  Aucun rapport avec leur tendance à prescrire ou changer la prescription vers des médicaments concurrents ou génériques. Bien sûr...

  Ensuite en 2002 comme "most intrusing firm" (en Anglais désolé).
  Une seconde récompense, hautement méritée pour son beau travail !
  "Cegedim (data mining of the health system Sesame Vitale card network)
  This firm’ data processing does not respect the complete anonymity of thedata gathered by its network, while selling them to a lot of privatecontractors. Besides, the website of this "Leader in pharmaceuticalmarketing, European Leader in the field of doctor’s computerisation andnetworks, Leader in business-to-business marketing" doesn’t have a singleword about privacy."
  (je ne peux malheureusement pas traduire, toute erreur même légère nous exposerait)

  Évidemment aucun rapport avec la pression des big pharma sur les acteurs de la santé, dont les médecins prescripteurs ou les pharmaciens pouvant proposer des médicaments concurrents ou génériques.
  Bien sûr...

  Suivi par de nombreux autres "récompenses".
  En 2023, leur logiciel MoveIt, avec 93 millions de personne touchées via leurs données intimes.
  En 2024, CEGEDIM collectaient illégalement des données de santé sans autorisation, et ils ont été condamné, à une amende de 800 000 €. 800 000 € ?!? Une incitation !

  Et aujourd'hui, en février 2026, apparemment le logiciel MonLogicielMedical (MLM) de CEGEDIM™ (il est vendu sous cette marque de commerce !), aurait permis une attaque énorme sur nos données de santé.

  CEGEDIM indique que sur les 3800 médecins utilisant son application MonLogicielMedical.com (trop drôle, il merde en http !), 1500 auraient été piratés. Sans indiquer le nombre de patients touchés.

  
  La capture d'écran avec le navigateur Brave à jour pour https://monlogicielmedical.com
  

  CEGEDIM prétend que seules des données administratives (nom, adresse, numéro de téléphone, etc.) auraient été touchées sans aucune information médicale.
  C'est évidemment déjà trop. Si on connait le nom de mon médecin très spécialisé, on sait de quoi je suis atteint, comme pour de nombreux Français !

  France TV Info/France 2 raconte une toute autre histoire, d'abord en indiquant que 11 à 15 millions de français seraient touchés, mais plus encore que des informations intimes auraient été exposées.
  Comme "porteuse sida !!!" ou "serait homosexuelle d'après sa mère", ou même "mère musulmane voilée". Dans tous les cas des informations intimes, et pour moi très choquantes !
  Des informations confirmées par appel des personnes concernées. Réelles et prouvées.

  "porteuse sida" n'est pas pour CEGEDIM une information médicale, ni intime... Tout est dit!

• Watts M4 vs. M5 : The Inconvenient Truth

  

  Je vous laisse regarder ce graphique un instant.

  Cela a été réalisé avec Mx Power Gadget créé par Fabrice Leyne, Primesieve installé via Homebrew pour la CPU et BasemarkGPU pour la GPU.
  Les benchmarks n'ont pas été utilisés pour mesurer les performances, mais pour charger la CPU, la GPU ou les deux simultanément. Les performances ne seront pas évoquées ici.

  On y voit la consommation CPU maximale du M4 et du M5, respectivement 22W et 28W, la consommation GPU maximale des deux, vers les 19W pour les deux, leur véritable TDP quand les deux au taquet, 31 W, et surtout de quel TDP ils auraient besoin pour pousser leur CPU et leur GPU au maximum simultanément, 41W pour le M4 et 47W pour le M5 !

  TDP

  Le M4 a été testé dans un Mac mini, le M5 évidemment dans un MacBook Pro 14" (le seul disponible).
  

  Dans les deux cas, le TDP est 31W, pas de "TDP" façon Intel, le TDP réel.
  Dans mes essais, le M4 a fait des pointes courtes à 40W et le M5 vers 38W, indiquant que ses SoC peuvent gérer ce niveau de puissance, et que leur alimentation aussi au moins temporairement.

  On a donc 31W réels de budget d'alimentation électrique et d'évacuation thermique dans les deux cas.

  CPU

  Pour revenir sur la news à propos des CPU M4, M5 et autres, la CPU du M5 peut consommer 28W et celle du M4 22W, avec une plus mauvaise efficacité par Watt du M5 face au M4, malgré une gravure du SoC plus avancée (3ème génération 3nm TSMC contre 2nde génération).
  

  GPU

  Dans les deux cas, M4 ou M5, elle consomme 19W quand lancée au taquet (j'ai utilisé le test 4K pour charger la mule).
  

  CPU + GPU

  
  M5 avec CPU à fond et des passages avec la GPU à fond.
  

  Tout change !!!
  Dans ce cas, le M4 alloue 17W à sa CPU et 14W à sa GPU, quand le M5 alloue un peu plus de 15W à chacun. On est proche, mais ces 10% de Watts pour la CPU du M4 font une grosse différence.
  La CPU M4 est plus efficace par Watt que celle du M5 et elle a 10% d'électricité en plus, et dans la pratique elle est 25% plus rapide que celle du M5 sur cette charge mixte CPU+GPU !

  On peut noter que la limite est de 31W pour les deux, loin des 41W nécessaires pour que le M4 tourne réellement à fond, et encore plus loin des 47W nécessaire pour le M5

  Le M4 et le M5 sont donc throttlés (ou ralentis) lorsque leur CPU et leur GPU fonctionnent simultanément : cette entrée-de-gamme est donc muselée faute d'alimentation et/ou surtout de ventilation. Ils méritent bien plus de Watts et surtout de ventilations !

  Et la CPU du M4 est plus rapide sur ces charges que celle du M5. Étrange non ?!?
  Pas vraiment, ce sont des charges inhabituelles, qu'on rencontre par exemple dans les jeux, et les jeux ça n'est pas le fort des Mac...

  Pour conclure

  Je peux donc écrire que Apple limite les performances des M4 et maintenant M5, même dans le MacBook Pro 14" M5 ! Il faudrait 41W pour le M4 et 47W pour le M5 !
  

  Et je me demande ce que va donner le MacBook Air M5, et quels seront les choix d'Apple pour ce qui concerne les M5 Pro et M5 Max.

  Pour ceux qui veulent reproduire avec BenchmarkGPU, Primesieve, ou d'autres, en lisant les résultats sur Mx Power Gadget, qu'observez-vous sur vos Mac ARM ?

• Apple va lancer de nouveaux produits à partir de lundi

  Si Apple fera une conférence mercredi pour annoncer de nouveaux produits, Tim Cook a annoncé que des nouveautés sortiront dès lundi.
  Apple souhaite visiblement accaparer les médias pendant toute la semaine. C'est une stratégie qui mérite d'être tentée. Je vous avoue à titre personnel que les publicités actuelles sur l'iPhone dont l'écran ne se raye pas ont un goût assez fade. Mais il faut bien cela pour faire oublier le fiasco Apple Intelligence dont le mot même semble rayé de toute campagne commerciale.

• Des nouvelles des IA : le gouvernement Mexicain hacké avec l'aide de Claude et ChatGPT

  Le gouvernement Mexicain, ainsi que différentes agences et gouvernements de différents états, ont été piratés sur la durée par un hacker.
  Ce piratage aurait permis de récupérer 150 Go d'informations sur les citoyens mais aussi des agents. Entre autres.

  Ça n'est pas le point de cette news.

  Le hacker a fait appel à l'IA Claude d'Anthropic pour le piratage, assisté aussi de ChatGPT d'Open AI qui lui a créé des rapports complets sur les différentes façons de réaliser celui-ci.
  Claude a pourtant des protections, mais apparemment en insistant et en tournant différemment les demandes, elles ont été contournées.

  C'est le premier piratage à grande ampleur réalisé par des IA, sous le contrôle d'un humain qui n'est d'ailleurs probablement pas un hacker compétent !
  Plus de détails ici (en Anglais).

• Des nouvelles des IA : une responsable de sécurité perd le contrôle d'OpenClaw

  

  Summer Yue est la responsable de la sécurité d'IA et de leur "alignement" chez Meta (Facebook, Instagram, WhatsApp et tutti-quanti).
  Elle a décidé d'utiliser OpenClaw sur sa machine de travail, pour gérer ses emails.

  OpenClaw prétend être une sorte d'assistant personnel, avec une IA orchestrant le travail de différents Agents, chacun d'eux sachant faire des tâches spécifiques, comme résumer un email, effacer des emails, organiser son calendrier, etc.

  Beaucoup de gens ont alerté sur les problèmes posés par ces IA qui "déraillent" et leurs Agents qui peuvent se révéler très dangereux, si on ne limite pas énormément leurs permissions.
  Ça a été observé dans le monde du développement avec des fichiers massacrés ou détruit, voire des Repo GIT effacés localement et dans le cloud !

  Ce qui devait arriver arriva : ayant données la permission de lire et surtout détruire des emails, l'IA s'est mise à dérailler, pour effacer un grand nombre d'emails sans répondre à ses demandes d'arrêter. Elle a du intervenir en tuant les processus des Agents.
  

  En demandant à la fin à l'IA pourquoi celle-ci n'avait pas obéit à ses instructions, elle a juste eu une reconnaissance de l'erreur commise, de modifications effectuées par elle-même (!!!) sur ses instructions, en promettant que "ça ne se reproduira pas".

  La responsable de la sécurité des IA chez Meta ?!?
  Je ne sais pas si je dois rire ou pleurer...

• Consommation en Watts de CPU Apple Silicon

  

  Voilà voilà voilà... Prenez le temps de digérer cela !

  J'ai utilisé Mx Power Gadget créé par Fabrice Leyne, dont je vous avais précédemment parlé, pour mesurer la consommation de différents SoC d'Apple, avec la GPU principalement au repos.
  Ces mesures ne concernent donc que la CPU + RAM, et ont été prises avec la CPU au taquet en utilisant PrimeSieve installé avec Homebrew.

  D'abord on peut remarquer une augmentation régulière de la consommation électrique des entrée-de-gamme de chaque génération de SoC Mx d'Apple.
  Au point d'ailleurs que si ça continue comme cela, le M6 pourrait consommer autant qu'un M1 Pro avec tous les problèmes qui se poseront sur MacBook Air M6 et même MacBook Pro 14" M6 !

  Je compte refaire l'exercice avec CPU + GPU chacun au taquet, ça pourrait être pire...

  Ensuite, la CPU du M5 de base consomme 27% de plus que celle du M4 de base !
  Tout cela pour 15% (annoncé) ou 19% (mesuré avec geekbench 6) de performances en plus.
  Malgré le passage de la gravure TSMC "3nm" de la seconde à la troisième génération, l'efficacité énergétique est inférieure ! Une incroyable nouveauté et un énorme problème à venir !

  En résumé, la génération M5 pourrait poser des problèmes de TDP dans certains Mac dont évidemment le futur MacBook Air M5, mais aussi avoir moins d'autonomie pratique que la génération M4 en réalisant le même travail.

• Fichier national des comptes bancaires FICOBA des impôts piratés : mon point-de-vue de spécialiste de la sécurité

  

  Le fichier national des comptes bancaires "FICOBA", géré par la Direction Générale des Finances publiques (DGFiP), a été piraté entre le 28 janvier 2026 et le 13 février 2026.

  Environ 1,2 millions de comptes ont été accédés : les informations "[de votre] état-civil, de votre adresse postale et de vos coordonnées bancaires", d'après le ministère.
  

  Ça a fait les manchettes, mais j'aimerais revenir sur ce qui c'est passé, car il y a de nombreux points intéressants dans la communication officielle. Notamment dans leur FAQ.

  Les identifiants d'un fonctionnaire

  Voilà le point d'entrée : les identifiants d'un fonctionnaire ont été "usurpés".
  On peut légitimement se demander si il y avait un 2FA, une authentification à deux-facteurs dont TOTP2 ou FIDO2, ou même multifactorielle.
  

  À ce niveau de sensibilité, de risque et d'impact, le minimum en sus d'un mot-de-passe fort c'est une clé physique FIDO2 et si possible une clé physique FIDO2 avec biométrie (capteur d'empreinte) inutilisable même si volée.

  Ce que l'on sait : son mot-de-passe fort (souvent noté sur un post-it !)
  Ce que l'on a : la clé physique FIDO2 unique
  Ce que l'on est : son empreinte physique sur la clé pour l'activer

  Un fonctionnaire et des usages très particuliers

  Ce fonctionnaire avait des accès "dans le cadre de l’échange d’information entre ministères".
  Cela signifie qu'il n'avait pas un usage encadré de la même manière que pour les consultations usuelle du fichier FICOBA, donc probablement pas les mêmes règles de sécurité et restrictions autour de son usage.

  On peut tout de suite comprendre, via "dans le cadre de l’échange d’information entre ministères" et un usage qui est inhabituel, qu'il y à là, comme dans de nombreuses interconnexions de bases-de-données ou fichiers, une faille potentielle.

  Ça renforce le point précédent, sur un usager qui est exceptionnel dans ses usages donc ses droits et les règles de sécurité qui s'appliquent : clé FIDO2 avec sécurité biométrique en sus du mot-de-passe fort.

  Priorité à la sécurité des données et donc celle des Français

  Priorité à la sécurisation des données, quitte à affecter les opérations, et c'est exactement ce qu'il faut faire dans un tel cas. Mettre fin à l'hémorragie ! Couper court !

  Un DSO Officier de Sécurité des Données doit négocier cette autorité, et qu'elle soit connue de tous en interne mais aussi coté clients, fournisseurs et partenaires pour éviter tout "malentendu".
  Le DSO a pleine autorité sur les données dont leur sécurité. Personne d'autre.

  Prendre les bonnes décisions, le plus tôt possible. Excellent !

  Communication

  La Direction Générale des Finances publiques (DGFiP) va communiquer directement auprès de chaque Français touché.
  C'est là aussi excellent, pour la communication, mais aussi car ça démontre un bon niveau de Log le permettant.

  "La DGFiP a pour obligation d'informer dès qu'une consultation semble frauduleuse, conformément à l'article 34 du règlement général sur la protection des données (RGPD)."
  Excellent là aussi, indiquer clairement le cadre légal et le respecter.

  En conclusion

  J'aime beaucoup la façon dont la DGFiP a réagit.
  Pas de déclarations à l'emporte-pièce qui se révèlent fausses deux jours plus tard, pas de bruit, juste un audit interne basé sur des logs et donc une information concise, précise et correcte.

  Arrêter l'hémorragie quitte à impacter ou bloquer les opérations : parfait, la sécurité avant tout !

  Et une bonne communication individuelle auprès des Français touchés. Parfait aussi !

  Les problèmes identifiés

  Maintenant, il y a le problème des identifiants, qui laisse à penser que le niveau de sécurité n'est pas assez élevé pour cet utilisateur et ses usages. Probablement le même niveau pour tous...
  Droits plus élevés, authentification plus stricte. Bien sûr rien n'est parfait !

  Pas de suivi quotidien de cet utilisateur ayant des droits très différents, et une alerte après 1,2 millions de comptes accédés sur deux semaines. 1,2 millions de comptes ! Deux semaines !
  Droits plus élevés, surveillance rapprochée.

  Et le problème d'interconnexions de bases-de-données ou de fichiers, qui revient régulièrement parmi les facteurs ayant permis une attaque réussie. Un facteur souvent décisif.

  On voudrait nous proposer ou imposer un "ID numérique" avec une tonne d'interconnexion de bases-de-données ou fichiers divers et variés, plus sensibles les uns que les autres ?!?

• Des Mac mini pourraient voir leur assemblage final effectué aux USA

  
  Apple nous la ferait à l'envers ?

  Sabih Khan, Officier en Chef des Opération d'Apple (COO), a indiqué lors d'une interview par le Wall Street Journal que des Mac mini pourraient être assemblés (assemblage final) aux États-Unis pour fournir en partie ce marché, via les usines de Foxconn qui y sont situées.

  Le Mac mini est le Mac le moins cher, et franchement une excellente machine avec un très bon rapport performance/prix depuis qu'il est équipé de 16 Go d'origine, vendu $599 USD ht aux USA et 699€ ttc en France. Ajoutez-y un SSD ou disque-dur externe, c'est parfait !

  On peut prédire sans trop de risque que cet assemblage sera automatisé autant que faire ce-puisse, et que donc ça n'aura aucun impact réel en terme d'emplois.
  Le Mac mini ne représentant que seulement 5% des Mac vendus, d'après Intelligence Research Partners, cela n'aura pas d'incidence non plus sur les résultats d'Apple même aux USA.

  Mais j'apprécie l'effort, annoncé ce lundi 23 février, la veille du discours de l'État de l'Union du 47ème Président des États-Unis ce mardi 24 février. Un hasard du calendrier, très certainement...