#Le brief du 07 juillet 2026

En Europe, la Switch 2 à batterie remplaçable arrive, fin de partie pour la Switch 1

Nintendo commencera à distribuer de nouvelles Switch 2 et manettes Joy-Con 2 en Europe à partir de cet automne. Le gros changement : des batteries remplaçables par les utilisateurs, en vertu d’une législation européenne. En revanche, les Switch de première génération cesseront d’être commercialisées.

Nintendo a donné de plus amples informations concernant la « nouvelle » Switch 2 destinée au marché européen, qui répond au règlement 2023/1542 sur les batteries. Ce dernier exige qu’à compter du 18 février 2027, ces composants puissent être facilement remplacés par les utilisateurs, à tout moment durant le cycle de vie du produit. Dont acte : ce sera le cas de la console hybride et de ses deux manettes dédiées qui intègrent elles aussi des batteries.

À partir de cet automne, Nintendo va commencer à commercialiser un nouveau modèle de Switch 2 doté d’une batterie remplaçable. Sa capacité sera très légèrement moindre que précédemment (5 172 mAh, contre 5 200 mAh dans la version actuelle). Elle sera livrée avec de nouveaux Joy-Con 2. Le poids de l’ensemble sera de 548 grammes, ce qui représente un petit embonpoint de 14 grammes.

Nintendo livrera cet hiver les premières paires de Joy-Con 2 avec batterie remplaçable. Chaque unité sera 2 grammes plus lourde que précédemment (68 grammes pour chaque manette). La manette Pro aura également droit à ce même traitement, toujours à partir de cet hiver, avec une batterie sensiblement moins importante : 897 mAh, soit 16 % de moins que les 1 070 mAh du périphérique actuel. Il sera aussi moins lourd, à 228 grammes (7 g de moins).

Les manettes N64 et GameCube que les abonnés au Nintendo Switch Online (NSO) peuvent acheter sont aussi modifiées, et elles débarqueront dans la boutique en ligne du constructeur début 2027. Il ne sera malheureusement pas possible de choisir un de ces nouveaux produits Nintendo lors de l’achat ; ils sont « remplacés progressivement », et lorsque la mouture actuelle d’un produit donné sera épuisée, « elle sera remplacée par la version modifiée. »

Il sera possible d’acheter des kits de remplacement de batterie pour chacun des produits concernés directement depuis sa boutique en ligne européenne.

D’autres appareils au catalogue de Nintendo n’auront pas droit à ce traitement. C’est le cas de plusieurs manettes du NSO, ainsi que des Switch de première génération : Switch 1, Switch Lite et Switch OLED. Par conséquent, ces consoles ne seront plus disponibles dans le Nintendo Store à partir de la mi-février 2027. Il faudra tenter sa chance chez les revendeurs.

C’en sera donc bel et bien terminé de ces modèles, dont la première mouture a été lancée en mars 2017. Depuis, Nintendo en a vendu 155 millions d’unités, à 5 millions de la PS2 qui détient toujours le record. Ces consoles restent commercialisées ailleurs dans le monde, qui devra se contenter de batteries très difficiles à remplacer.

JADEPUFFER utilise un agent IA pour mener une attaque au rançongiciel presque tout seul

Une IA a conduit une opération de rançongiciel en solo, d’après la découverte des chercheurs de Sysdig. JADEPUFFER, le petit nom de cette menace, s’appuie sur un agent IA chargé des opérations de reconnaissance, de voler des d’identifiants, de s’installer confortablement chez ses victimes, d’obtenir les privilèges nécessaires et de chiffrer les données afin que les pirates puissent réclamer une rançon.

L’attaquant exploite une faille (CVE-2025-3248) dans Langflow, une plateforme open-source utilisée pour créer des applications IA. L’éditeur a corrigé la vulnérabilité le 1er avril, rappelle BleepingComputer ; en mai de la même année, l’agence de la cybersécurité états-unienne (CISA) établissait qu’elle avait été exploitée dans des attaques ciblant des points d’accès connectés à internet et contenant des identifiants cloud et des clés API.

Illustration : Flock

Une fois dans la place, JADEPUFFER fouille la machine pour repérer les fichiers intéressants comme des portefeuilles cryptos, des bases de données, des fichiers de configuration, des clés API et des identifiants cloud donc, etc. Le point d’accès Langflow compromis sert ensuite de tremplin vers un serveur de production MySQL et Nacos (Naming and Configuration Service), un outil de configuration très utilisé dans certains environnements Alibaba. L’agent IA tente sa chance en testant plusieurs chemins pour créer un compte admin dans la base Nacos.

Quand une première tentative échoue, l’agent corrige son approche très rapidement, en quelques dizaines de secondes. C’est un des éléments qui permettent à Sysdig de parler d’agent autonome. Les chercheurs relèvent aussi qu’une fois les données verrouillées derrière une clé AES, celle-ci n’est ni stockée, ni transmise. Résultat : personne ne peut plus récupérer le contenu, que la rançon ait été versée ou pas.

Autre signe que l’attaque est pilotée par un agent IA : les commentaires détaillés en langage naturel dans le code qui expliquent les objectifs, les priorités et les corrections à appliquer. Un style qui, ajouté aux corrections rapides après un échec, correspond davantage à du code généré et exécuté par une IA qu’à un humain qui tape laborieusement ses commentaires à la main.

Les techniques utilisées ici ne sont pas inédites ou « particulièrement sophistiquées », soutient Sysdig. Elles s’en prennent aussi à des vulnérabilités pas toutes neuves qui ont pu être négligées par les administrateurs.

En revanche, l’aspect notable de cette découverte est qu’un modèle IA a enchaîné ces opérations de rançongiciel en autonomie. « Le niveau de compétence nécessaire pour lancer un ransomware est désormais ramené au coût d’exécution d’un agent. Et si cet agent fonctionne avec des identifiants volés via du LLMjacking, le coût pour l’attaquant devient presque nul », s’alarme l’équipe.

Les défenseurs ne sont pas démunis face à ces attaques : les payloads générés par IA laissent des traces qui peuvent être détectées par les solutions de sécurité.

La CNIL annonce avoir prononcé 23 sanctions ces 6 derniers mois

Dans un communiqué publié sur son site, l’autorité de protection des données se vante d’avoir pris 23 sanctions depuis janvier dernier dans le cadre de la procédure simplifiée, « dont 19 ont pour origine des plaintes ».

La CNIL met en avant notamment plusieurs décisions concernant des « sociétés intervenant dans le domaine de la restauration rapide, de transport urbain ou de l’exploitation de commerces dans les gares ferroviaires » (sans préciser lesquelles), qui exploitaient un dispositif vidéo sans autorisation préfectorale ou filmaient en permanence leurs salariés, violant l’article 5.1 du RGPD.

Illustration : Flock

Rappelons qu’en septembre 2025, elle avait infligé 100 000 euros d’amende à la Samaritaine pour des caméras et micros dissimulés aux salariés. Pour les sanctions prises depuis janvier, l’autorité ne communique aucun montant.

Les mauvaises pratiques concernant les dépôts de cookies font aussi partie des motifs de sanctions punis par l’autorité depuis le début de l’année. La CNIL ne donne pas de chiffres mais souligne qu’elle a notamment épinglé des « sociétés proposant la vente de billets en ligne ou exerçant des activités de télémercatique » dont les bandeaux « ne comprenaient pas une information complète ».

D’autres organismes ont été sanctionnés pour avoir déposé des cookies tiers sans le consentement de l’utilisateur.

Enfin, la CNIL a prononcé 8 sanctions concernant le non-respect des droits d’accès ou d’effacement de plaignants. L’autorité précise que certaines d’entre elles concernent des entreprises qui n’ont pas répondu à des demandes de droit d’accès ou d’effacement. Elle ajoute que des avocats et médecins ne lui ont pas répondu et ont donc dû payer une amende à l’issue du délai laissé pour se mettre en conformité.

Retour de Chat Control 1.0 : le Parlement européen vote la procédure d’urgence

Le Parlement européen a voté mardi 7 juillet la demande de décision d’urgence qui va lui permettre de se prononcer à nouveau sur la dérogation visant à autoriser, à nouveau, les grands acteurs du numérique à surveiller volontairement les communications électroniques pour y détecter les contenus relevant d’abus sexuels sur mineurs (CSAM, pour child sexual abuse material en anglais).

Du fait de cette procédure d’urgence, le sujet sera réexaminé jeudi 9 juillet, ce qui donnera donc lieu à un nouveau vote, sur le fond cette fois. La dérogation a été votée à 331 voix pour, 304 voix contre et 11 abstentions.

D’après la communication transmise par la Commission au Parlement européen (PDF), cette dérogation « vise à éviter toute autre lacune dans le cadre temporaire, en attendant la finalisation des négociations sur le cadre à long terme destiné à prévenir et à combattre les abus sexuels sur enfants en ligne ».

Le principe de cette dérogation avait été rejeté par le Parlement européen en mars dernier, mais il a été remis sur la table par le Conseil de l’Europe, qui s’est dit favorable à une reconduction pour deux ans, soit jusqu’au 3 avril 2028.

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents
Illustration : Flock

On distingue pour mémoire deux textes dans cette affaire, qui remonte à 2021, comme le rappellent ses opposants sur fightchatcontrol.eu. D’un côté, cette nouvelle dérogation, surnommée Chat Control 1.0, qui cherche à prolonger l’autorisation de surveillance volontaire dont disposaient les réseaux sociaux et qui ne courait que jusqu’au 3 avril dernier.

De l’autre, le « Règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants », dit CSAR, pour Child sexual abuse regulation, et qualifié de Chat Control 2.0 par ses opposants.

Ce texte prendrait la forme d’une réglementation permanente, imposée aux plateformes (alors que la dérogation fonctionne sur la base du volontariat) et avec de possibles implications sur la sécurité des messageries chiffrées de bout en bout. Le texte, présenté en 2022, achoppe actuellement à l’étape du trilogue, mais les négociations se poursuivent.