#Le brief du 23 septembre 2025

Le système de gestion de paquets RPM 6.0 renforce la sécurité

RPM est l’un des systèmes de gestion de paquets les plus utilisés dans le monde Linux. On le retrouve bien sûr dans les systèmes Red Hat (RHEL et Fedora), mais également dans openSUSE, Mageia et d’autres distributions.

La version 6.0, arrivée hier soir, contient un grand nombre de nouveautés. Elle commence par casser la compatibilité avec les paquets RPM v3 pour des questions de sécurité, mais conserve celle pour les versions 4 et 5. Nous évoquions cette compatibilité récemment dans notre article consacré à Fedora 43, qui a adopté RPM 6.0, tout en conservant des paquets en v4 pour l’instant.

Cadran de coffre-fort

L’un des plus gros apports de RPM 6.0 est le support de plusieurs signatures OpenPGP par paquet. La nouvelle version se distingue plus globalement par une poussée sur l’intégrité cryptographique, avec la vérification par défaut des signatures, le support des clés et signatures OpenPGP v6 et QPC (Post-quantum cryptography), ainsi que celui de la mise à jour des clés précédemment importées. RPM 6.0 gère également l’utilisation de l’ID complet de la clé ou de l’empreinte digitale pour identifier les clés OpenPGP.

Cet effort sur la sécurité se retrouve dans de nombreux changements dans RPM 6.0 et reflète des inquiétudes grandissantes autour de la gestion des paquets. Et bien que les technologies ne soient pas les mêmes, les attaques perpétrées contre NPM récemment ont remis une pièce dans la machine. Le nouveau RPM, en plus de proposer une documentation remaniée, rend également les archives de versions davantage reproductibles, donc vérifiables.

Stellantis victime d’une fuite de données en Amérique du Nord

Le constructeur automobile Stellantis, qui réunit 14 marques dont Peugeot, Citroën, ou Fiat, a subi une fuite de données concernant sa clientèle d’Amérique du Nord.

Produit de la fusion entre PSA Group et Fiat Chrysler Automobiles, Stellantis est le cinquième plus grand constructeur au monde en volume de véhicules produits.

Les coordonnées des clients ont été volées par des cybarattaquants, d’après un communiqué publié ce week-end, mais aucune information financière n’est concernée dans la mesure où la plateforme attaquée n’était pas utilisée pour les stocker.

L’intrusion ferait partie de la vague plus importante d’attaques opérées depuis l’obtention d’identifiants de salariés de Salesloft et Salesforce début septembre, selon BleepingComputer.

Le groupe ShinyHunters a d’ailleurs revendiqué l’intrusion dans l’instance Salesforce de Stellantis. Il est lié à plusieurs attaques de ce type, initiées par des opérations de phishing, et dont Google, Cisco, Adidas, Allianz Life ou encore plusieurs filiales de LVMH ont été victimes depuis le début de l’année 2025.

La Samaritaine : 100 000 euros d’amende pour des caméras et micros dissimulés aux salariés

La CNIL vient d’infliger une amende de 100 000 euros aux grands magasins La Samaritaine. En effet, l’entreprise, détenue par LVMH, avait installé en 2023 des détecteurs camouflant des caméras dans les espaces pour le personnel du magasin. Ces faits avaient été révélés par Mediapart.

L’autorité explique dans sa décision s’être saisie de l’affaire après la publication de cet article et le dépôt d’une plainte trois jours après, d’un salarié dénonçant « un système de vidéosurveillance dissimulé dans des faux détecteurs de fumée au sein des réserves ».

Devanture du magasin de la Samaritaine
Crédits : Arthur Weidmann, licence Creative Commons by-sa

Elle y estime qu’ « en principe […] les obligations de transparence ou le droit d’accès du RGPD n’impliquent pas l’affichage ou la communication d’un plan comprenant les emplacements exacts des caméras ». Mais elle ajoute que c’est « à condition que l’information donne des indications suffisantes sur la zone soumise à vidéoprotection/surveillance ».

« Toutefois, pour satisfaire à l’exigence de loyauté posée par l’article 5-1-a) du RGPD, la CNIL estime qu’en principe, les caméras composant le dispositif doivent être visibles, non dissimulées », explique-t-elle. Si ce principe peut avoir des exceptions (comme la suspicion de vols de marchandises par le personnel), « cela ne peut être que dans des circonstances exceptionnelles et à condition de ménager un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés ».

Dans ce dossier, la CNIL a considéré « que le traitement de données permis par ces caméras constitu[ait] un traitement déloyal, faute pour la société de n’avoir apporté aucun élément permettant d’attester du caractère temporaire du dispositif, dans la mesure où ce n’est qu’à la faveur de sa découverte puis de son démontage par les salariés que le traitement de données à caractère personnel a été interrompu ».

Elle ajoute aussi que « les caméras étaient dotées de micros, rendant ainsi le dispositif très intrusif vis-à-vis des salariés ».

La CNIL considère que l’enregistrement sonore des salariés était excessif, ce qui constitue un manquement au principe de minimisation du RGPD (article 5-1-c).

Enfin, elle fait remarquer que le dispositif « n’avait pas été répertorié dans l’analyse d’impact sur la protection des données et que la déléguée à la protection des données n’avait pas été informée de son déploiement ». Ce qui démontre « que la société a mis en œuvre le traitement en dehors de toutes considérations liées au respect du RGPD ».

Pour ces différents manquements au RGPD, la CNIL a décidé de prononcer cette amende de 100 000 euros ainsi que de rendre publique cette délibération. Comme habituellement, La Samaritaine peut faire un recours devant le Conseil d’État dans un délai de deux mois.

Google Overviews attaqué en justice par des lobbys européens des médias et de l’édition

Plusieurs lobbys européens des médias et de l’édition en ligne annoncent avoir déposé plainte contre Google devant l’autorité de régulation allemande BNetzA (Agence fédérale des réseaux). Ils reprochent à Google de violer le DSA « en intégrant des réponses générées par l’IA (appelées « Google AI Over­views ») dans les recherches ».

« Les réponses générées par Google sont basées sur un modèle propriétaire dont le fonctionnement n’est pas transparent. Des études ont montré à plusieurs reprises que l’IA diffuse également des contenus incorrects ou fictifs, ce qui est en contradiction directe avec les objectifs du DSA », affirment-ils.

L’action est notamment menée par Corint Media, une société de gestion collective allemande anciennement connue sous le nom de VG Media. D’autres organisations comme la fédération européenne des journalistes ou Algorithm Watch s’y sont associées.

« Cela a de graves conséquences pour la diversité des médias, la liberté d’opinion et le discours démocratique », affirme le communiqué de presse annonçant l’action en justice.

Cette plainte vient s’ajouter à une autre déposée en Europe en juillet contre la fonctionnalité de résumés IA de Google. Rappelons que si Google a déployé la fonctionnalité dans certains pays européens, ce n’est pas le cas en France, les négociations liées aux droits voisins dans notre pays ayant poussé le géant étasunien à prendre un peu plus de temps avant de faire ce genre d’annonce.

OBS Studio 32.0 a désormais son propre gestionnaire de plugins

Neuf mois après OBS Studio 31.0, La nouvelle mouture du logiciel libre de capture d’écran et de streaming ajoute bon nombre de fonctions. L’une des principales nouveautés est l’ajout d’un gestionnaire de plugins intégré, bien qu’il soit décrit comme « basique » par l’équipe de développement.

Parmi les autres apports, on peut citer la Voice Activity Detection (VAD) pour les effets audio NVIDIA RTX (avec notamment à la clé une meilleure suppression du bruit), la détection du retrait de chaise dans NVIDIA RTX Background Removal, l’ajout d’un moteur de rendu expérimental pour l’API Metal de macOS, le support de ProRes sur macOS, ou encore l’ajout d’une option HEVC/H.264 + PCM plus largement supportée sur toutes les plateformes.

OBS Studio 32.0 procède également à plusieurs changements. Par exemple, le bitrate par défaut passe de 2 500 à 6 000 kb/s. La nouvelle mouture ne charge plus non plus les plugins conçus pour une version plus récente du logiciel. Des widgets personnalisés ont été ajoutés pour préparer le terrain à de vastes mises à jour de l’interface, les paramètres par défaut pour le codage ont été modifiés pour les puces AMD, et OBS Studio passe à Hybrid MP4/MOV comme format par défaut pour les conteneurs.

La liste complète des nouveautés peut être consultée depuis le dépôt GitHub du projet. Les liens de téléchargements se trouvent en bas de page, mais on peut récupérer aussi la nouvelle version depuis le site officiel.