Archives par mot-clé : Ecosystème

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

En France, l’association LaFA joue la carte de « l’exception culturelle française » face aux Gafam

Publié le par

Bien que les Gafam ne soient pas conviés à être membres de La Filière audiovisuelle (LaFA), association créée il y a huit mois par les groupes audiovisuels traditionnels (France Télévisions, M6 et TF1), ils participent pourtant au nouveau PAF. « L’exception culturelle française » est-elle exclusive ?

« Nous serons toujours mobilisés pour défendre les piliers de notre exception culturelle », a assuré Rodolphe Belmer (photo de gauche), président de l’association La Filière audiovisuelle (LaFA), et par ailleurs PDG du groupe TF1, s’exprimant ainsi en préambule du livre blanc intitulé « L’exception culturelle française au défi du XXIe siècle » et publié par cette association le 27 juin 2025. Pour LaFA, cofondée huit mois plus tôt par le groupe public France Télévisions et les groupes privés de télévision TF1 et M6, avec des syndicats professionnels et des organismes de gestion collective, « l’exception culturelle française [est] un modèle unique et créateur de valeur » qu’il faut préserver.

LaFA n’est pas représentative de l’audiovisuel
« Pour permettre à l’exception culturelle française de se projeter dans l’avenir, et construire une filière performante et conquérante au plan mondial, LaFA défend des objectifs clairs pour préserver les piliers vertueux du système », écrit l’association dans son livre blanc, en faisant référence notamment à l’écosystème de financement et de redistribution qu’est le Centre national du cinéma et de l’image animée (CNC). « L’Etat joue également un rôle clé via l’organisation de mécanismes de redistribution puissants, à commencer par le CNC. Ce système de réinvestissement permet d’assurer un partage de la valeur entre les diffuseurs, les producteurs, les auteurs et les artistes-interprètes, tout en favorisant un renouvellement constant de la création », se félicite LaFA. Et d’ajouter plus loin : (suite) « Le besoin de lutter contre la désinformation et de protéger l’exception culturelle française plaide désormais pour la sécurisation du niveau de financement de l’audiovisuel public ». La vingtaine de membres de cette association – aux côtés des trois groupes de télévision mentionnés, l’on compte des organismes de gestion collective des droits d’auteurs tels que la SACD, l’Adami, la Scam ou encore la Sacem, ainsi que des syndicats professionnels comme l’USPA, AnimFrance, La Guilde, le SPI ou encore le Snac – sont décidés à défendre becs et ongles « l’exception culturelle française ». Pour autant, l’association La Filière audiovisuelle créée dans les locaux de TF1 le 13 novembre 2024 ne représente qu’une partie de ladite « filière audiovisuelle » justement. Non seulement tous les groupes audiovisuels français ne sont pas membres de LaFA, à l’instar du groupes privés Canal+, BFM/RMC ou encore NRJ, mais aussi du groupe public Radio France ni aucun autre groupe privé de radio. Mais surtout, les Gafam sont aux abonnés absents de cette association, alors qu’ils participent désormais amplement à « l’exception culturelle française » du PAF (1). Cela n’empêche pas l’association LaFA d’affirmer qu’elle « regroupe l’ensemble des acteurs qui sont impliqués dans le processus allant de la création à la diffusion des œuvres sur les chaînes de télévision et les plateformes de vidéo à la demande (BVOD (2), SVOD (3), AVOD (4), etc.). Ce large écosystème d’acteurs intègre les représentants des auteurs et des artistes-interprètes aux côtés des acteurs institutionnels ». Il n’en reste pas moins que de grands acteurs de la SVOD et de l’AVOD tels que Netflix, Amazon Prime Video, Disney+ ou encore YouTube ne sont pas représentés au sein de LaFA.
Contactés par Edition Multimédi@ pour savoir si des grandes plateformes – américaines ou autres, elles aussi contributrices à l’audiovisuel français – pouvaient devenir membres de LaFA si elles le souhaitaient, ni Rodolphe Belmer (président de l’association) ni Cécile Rap-Veber (sa secrétaire) ne nous ont répondu. Le périmètre de LaFA, qui affirme représenter « la filière audiovisuelle », est en réalité assez limité, d’autant que dans son livre blanc, il est précisé en note de bas de page : « Cette définition [du “processus” allant de la création à la diffusion des œuvres sur les chaînes et les plateformes] exclut la création et la diffusion des œuvres cinématographiques en salles. Cependant, leur diffusion à la télévision et sur les plateformes de vidéo à la demande est incluse. Il est à noter que certains acteurs, notamment les sociétés de production, opèrent à la fois dans les secteurs audiovisuel et cinématographique ».

Le CNC, la vraie poule aux œufs d’or du PAF
« L’exception culturelle française » défendue par LaFA – association déclarée le 14 avril 2025 et domiciliée au siège du groupe TF1 à Boulogne-Billancourt (5) – passe notamment par la consolidation du CNC, un établissement public administratif placé sous la tutelle du ministre de la Culture, et grand argentier du cinéma et de l’audiovisuel français. Présidé depuis février par Gaëtan Bruel (photo de droite), le CNC est la véritable poule aux œufs d’or de « l’exception culturelle française » avec environ 770 millions d’euros de recettes annuelles – provenant de différentes taxes – et destinées à son « fonds de soutiens » pour le cinéma et l’audiovisuel, y compris le multimédia, le jeu vidéo ou encore la réalité virtuelle. Rien que pour l’année 2025, le « rendement prévisionnel total » du CNC s’élèvera à 768,5 millions d’euros. Mais ce n’est pas tout : le CNC dispose d’une « trésorerie disproportionnée » (dixit la Cour des comptes en 2023) de plus de… 1 milliard d’euros.

Ecosystème « vertueux » lorgné par Bercy
Avec un compte de soutien qui ne connaît pas la crise et cette méga-cagnotte, le CNC apparaît crucial dans la chaîne de valeur de l’audiovisuel en France. L’on comprend dans ces conditions pourquoi les acteurs de la filière défendent la raison d’être de cet établissement public et veulent ainsi préserver cet écosystème vertueux et premier pourvoyeur de fonds du cinéma français (44 % du fonds de soutien) et de la production audiovisuelle française (39 % du fonds de soutien), le restant allant à la vidéo et VOD, aux jeux vidéo ou aux fonds régionaux. « Par son soutien au secteur audiovisuel, le CNC contribue de manière irréfutable à la défense et à la vivacité de l’exception culturelle française en favorisant le dynamisme de la production nationale », assure LaFA dans son livre blanc (6).
L’association appelle également à « préserver les mécanismes de soutien, le modèle et le montant actuel des taxes affectées, et mettre fin au prélèvement par l’Etat dans la trésorerie du CNC ». En effet, la loi de finances 2025 a prévu « un prélèvement de 500 millions d’euros sur le fonds de roulement du CNC » (7). Cette ponction exceptionnelle dans le trop plein de trésorerie du grand argentier du 7e Art français est faite par l’Etat au nom de l’effort demandé par le gouvernement – alias Bercy – aux administrations publiques pour ramener le déficit public de la France à 5,4 % en 2025, contre 6,1 % en 2024. Et de l’établissement public à l’audiovisuel public, il n’y a qu’un pas. LaFA, qui réunit les deux plus puissants groupes privés de télévision (TF1 et M6, ayant la volonté de fusionner à termes) et le groupe public France Télévisions, plaide pour un audiovisuel public fort. « Pour défendre sa souveraineté culturelle face aux acteurs internationaux, les télévisions publiques sont indispensables. […] L’audiovisuel public n’est pas une charge pour les finances publiques mais un instrument indispensable à la préservation de la souveraineté culturelle […] ». Préserver la souveraineté culturelle de la France, le pendant de « l’exception culturelle française », passe aussi par ce qu’il est convenu d’appeler les « services de médias audiovisuels à la demande » – les SMAd – que sont notamment les grandes plateformes mondiales de SVOD comme Netflix, Amazon Prime Video, Disney+ ou encore Max). Or, LaFA dénonce la différence de traitement entre les médias traditionnels et les plateformes internationales. « Si l’intégration des SMAd au modèle français a été globalement réussie, certaines asymétries réglementaires demeurent. En particulier, le maintien du principe du pays d’origine permet à certaines plateformes d’échapper à des quotas plus ambitieux en matière de diffusion d’œuvres européennes et d’expression française (étant dans des Etats membres moins contraignants) ».
LaFA appelle aussi à corriger les asymétries liées à la publicité, « pénalisant les éditeurs historiques français par rapport aux plateformes internationales » (voir les tableaux des asymétries réglementaires pour respectivement les distributeurs p. 83 et des éditeurs p. 95 du livre blanc). Distributeurs français et distributeurs étrangers, mais aussi éditeurs historiques et plateformes internationales, ne sont toujours pas à la même enseigne. @

Charles de Laubier

Valve et son écosystème Steam (plateforme, console et catalogue) révolutionnent le jeu vidéo avec Linux

Publié le par

Cofondée il y a près de 30 ans et présidée par Gabe Newell (ex-Microsoft), la société Valve – éditeur de « Half-Life », son premier jeu vidéo, suivi de « Counter-Strike » – mise depuis plus de 10 ans sur le système d’exploitation open source Linux pour ses consoles Steam – bientôt dans le salon ?

Gabe Newell (photo), le cofondateur de Valve en 1996 et actuel président de l’éditeur et distributeur de jeux vidéo, avait quitté Microsoft après treize années passés à développer Windows. L’autre cofondateur de Valve, Mike Harrington (qui n’est plus dans l’entreprise depuis 2000), était aussi développeur Windows chez Microsoft. Gabe Newell avait reproché au système d’exploitation de Bill Gates d’être un écosystème fermé, similaire à l’iOS d’Apple. Ce diplômé d’Harvard s’était alors tourné vers le système d’exploitation open source Linux, plus flexible que les « OS » propriétaires, en faisant le pari d’y faire tourner sa plateforme de distribution de jeux vidéo Steam.

24.249 jeux fonctionnent sous Linux
Aujourd’hui, Steam s’est imposé comme un « canal de distribution de contenu numérique » où peuvent jouer en ligne – sous Windows et de plus en plus sous Linux – de très nombreux joueurs, les « steam players », qui peuvent être simultanément plus de 30 millions. Valve distribue ainsi en streaming ses propres jeux vidéo, de l’historique « Half-Life » (sorti en 1998) au légendaire « Counter-Strike » (sorti en 2004 sous Windows, puis en 2013 sous Linux), en passant par « Deadlock » (sorti en 2024 sous Windows et jouable sous Linux via le logiciel Proton), « Dota 2 » (sorti en 2013 sous Windows et Linux), ou encore « Portal » (sorti en 2007 sous Windows et 2013 sous Linux). Mais Valve distribue aussi les jeux vidéo d’autres éditeurs, comme ce fut récemment le cas du nouvel opus du français Ubisoft sorti le 20 mars dernier, « Assassin’s Creed Shadows », qui fonctionne sous Windows et, via le logiciel Proton, Linux. Il se dit même que Steam aurait (suite)
contribué largement au succès de ce jeu d’Ubisoft, qui a conquis 2 millions de joueurs en trois jours (1), soit mieux que les précédents succès « Assassin’s Creed Origins » et « Assassin’s Creed Odyssey ». Ubisoft n’avait pas lancé depuis 2019 de titres majeurs sur la « boutique » de Valve, préférant les publier sur sa propre plateforme Ubisoft Connect et sur l’Epic Games Store. Steam apparaît comme un pari gagnant pour la major des jeux vidéo des frères Guillemot (2), malgré les retards accumulés avant la sortie de ce dernier « triple A ». Au début, ce qui freinait l’adoption de Linux – pourtant réputé pour offrir une expérience de jeu optimisé – était le manque de jeux vidéo compatibles. Mais en plus d’une décennie, les choses ont changé grâce à Valve. Avec la société de développement CodeWeavers, Gabe Newell a mis au point le logiciel Proton, partiellement open source (basé sur Wine, entièrement open source), pour assurer la compatibilité entre les jeux vidéo sous Windows et leur exploitation sous Linux. Aujourd’hui, d’après ProtonDB (3) au 11 avril 2025, ce sont 24.447 jeux vidéo « Windows » qui fonctionnent sur Linux grâce à la couche logicielle Proton intégrée dans la fonctionnalité Steam Play depuis 2018. Les jeux vidéo peuvent ainsi être joués sur plusieurs systèmes d’exploitation (Windows, Linux et macOS) sans avoir à les acheter à nouveau.
« Linux est le futur du jeu vidéo », avait assuré Gabe Newell lors de la conférence de la Linux Foundation (LinuxCon) de septembre 2013. Il y annonça non seulement son système d’exploitation SteamOS fondé sur Linux et son ralliement à la fondation Linux (4), mais aussi pour la première fois sa Steam Machine (mini-ordinateur pour gamers), son Steam Controller (manettes de jeu vidéo) et son Steam Link (passerelle vers un téléviseur). Et ce, un an après avoir déclaré à l’époque que « Windows 8 [était] une catastrophe pour tous dans le monde PC », dénonçant le verrouillage de l’OS de Microsoft comme celui de l’iOS d’Apple.
Si la Steam Machine lancée en 2015 a été un échec commercial (abandon en 2018 après quelques milliers d’unités vendues), Valve rencontrera en revanche un franc succès avec le Steam Deck, une console de jeu portable lancée en 2022 et fonctionnant sous SteamOS (Proton/Linux). Selon les estimations de The Verge en février 2025, Steam Deck devait atteindre cette année près de 7,9 millions d’unités vendues cumulées en dix ans d’existence (5).

Console Steam de salon : rumeurs démenties
De la console portable à la console de salon, il y a un pas que Valve pourrait franchir selon des rumeurs qui circulent depuis l’an dernier et relancées en février (6). Contactés par Edition Multimédi@, ni Gabe Newell (surnommé « Gaben ») ni la société de Bellevue (dans Etat de Washington) ne nous ont répondu au sujet d’un éventuel projet « Fremont » (matériel doté d’un port HDMI et d’un pilote pour les cartes graphiques AMD), susceptible de concurrencer la PS5 de Sony et la Xbox de Microsoft. Un développeur de chez Valve, le Français Samuel Pitoiset (basé à Bordeaux), a affirmé auprès de GamingOnLinux (7) que ce n’était que « spéculations sauvages »… @

Charles de Laubier

Xiaomi, qui a détrôné Apple dans les smartphones, étend son écosystème à sa berline connectée

Publié le par

L’américain Apple en a rêvé ; le chinois Xiaomi l’a fait. L’empire que Lei Jun a fondé il y a à peine 15 ans a non seulement ravi en août à Apple la deuxième place mondiale des fabricants de smartphones, mais il est aussi en passe de réussir le pari d’un « Apple Car » – là où la Pomme a abandonné son projet.

Depuis que le chinois Xiaomi a lancé il y a six mois la commercialisation de sa berline électrique « intelligente » baptisée SU7 (Speed Ultra 7), produite par sa filiale Xiaomi Motors, plus de 27.300 exemplaires ont été livrés durant le second trimestre. « Les attentes sont largement dépassées », s’est félicitée la jeune firme basée à Pékin, dont c’est la toute première voiture, lors de la présentation le 21 août dernier de ses résultats trimestriels.
Ayant dépassé les 10.000 véhicules livrés par mois, son fondateur et président Lei Jun (photo) a décidé d’accélérer la cadence de production, à « 100.000 livraisons d’ici novembre 2024 », en avance sur le calendrier. Sur l’ensemble de cette année, Xiaomi compte avoir livré 120.000 voitures. Mais pas question de s’endormir sur ses lauriers : le « X » de BATX (les GAFAM chinois) finalise un prototype de la SU7 Ultra qui sera lancée en octobre sur le mythique circuit automobile de Nürburgring, en Allemagne. Objectif : « Devenir le véhicule électrique à quatre portes le plus rapide du circuit au cours de la prochaine décennie ». Alors que fin février l’agence Bloomberg révélait l’abandon par la marque à la pomme de son projet de voiture lancé une décennie auparavant (1), l’« Apple Car » de Xiaomi existe, elle, et fait même partie du nouvel écosystème « Human x Car x Home » où les équipements peuvent interagir intelligemment grâce à l’IA.

« Mi » mise sur son écosystème IA unifié
Lancé en février, l’écosystème intelligent « Human x Car x Home » de Xiaomi vise en effet à englober sous son nouveau système d’exploitation HyperOS – successeur de Miui – aussi bien les smartphones ou tout appareils personnels que les objets connectés de la maison (assistants, montre connectée, téléviseur, …), et même désormais la voiture (2). L’intégration de tous ces usages de la vie quotidienne et de l’Internet des objets est rendue possible et fluide par une sorte de moteur IA appelé HyperMind.

Grâce à lui, tous les équipements qui en dépendront vont apprendre des usages de l’utilisateur afin de lui suggérer des actions pertinentes à exécuter. « Nous offrons une expérience intelligente et transparente, qui répond à vos besoins de façon proactive et qui fonctionne comme vous le souhaitez », assure le groupe chinois, dont Lei Jun – 113e fortune mondiale et 20e chinoise (16,8 milliards de dollars, selon Forbes) – détient 24 % du capital. HyperOS est basé sur Linux et utilise des briques Android, tout en intégrant le système « temps réel » Vela que Xiaomi a créé à partir du système d’exploitation real-time et open source NuttX d’Apache.

Smartphones : Xiaomi passe devant Apple
La marque « mi » – abréviation de « Mobile Internet » qui lui fait office de logo – se sent pousser des ailes. Sur le marché mondial des smartphones, Xiaomi peut se targuer d’avoir délogé Apple de la seconde place. Selon Counterpoint Research, c’est au mois d’août que la firme de Pékin s’est hissée sur la deuxième marche du podium mondial des fabricants de smartphones.
Ce n’est pas la première fois que « mi » relègue la firme de Cupertino en troisième position, puisque cela avait déjà été le cas en août 2021. « Xiaomi a remporté en août 2024 la deuxième place en termes de volumes de vente de smartphones à l’échelle mondiale, même si ses volumes de ventes sont restés stables au cours de ce mois, par rapport au déclin saisonnier d’Apple pendant la même période », précise le cabinet d’études hong-kongais le 14 septembre dernier. Et d’après lui, « mi » a été l’une des marques de smartphones à la croissance la plus rapide en 2024, aidant le marché mondial – qu’elle a « surperformé » – à se placer sur la voie de la reprise. « Xiaomi est particulièrement fort dans les fourchettes de prix inférieures, c’est-à-dire à moins de 200 dollars, plus encore après le lancement de ses appareils 5G à prix compétitif Redmi 13 et Note 13. Les appareils Redmi ont été extrêmement populaires, aidant Xiaomi à gagner des parts de marché, en particulier en Inde, en Amérique latine, en Asie du Sud-Est et au Moyen-Orient et en Afrique », constate Tarun Pathak, directeur de recherche chez Counterpoint Research (3).
Mais la baisse saisonnière d’Apple, qui a profit à Xiaomi en août, ne devrait sans doute pas se prolonger au mois de septembre dans la mesure où la marque à la pomme a dévoilé le 9 septembre deux versions de son nouvel iPhone 16, conçus avec le « système d’intelligence personnel » Apple Intelligence et d’autres innovations (4). La Pomme devrait donc retrouver sa deuxième position et « mi » sa troisième. Mais le chinois n’a pas dit son dernier mot face au californien. « Si les smartphones de niveau d’entrée à milieu de gamme continuent de présenter de bonnes performances pour Xiaomi, [le fabricant] a également fait des percées dans le segment haut de gamme avec des appareils pliables [comme le Mix Flip, ndlr] et ultra [comme le Mi 11 Ultra, ndlr] », souligne Tarun Pathak. Et le 26 septembre, de Berlin, Xiaomi a lancé la série 14T à photographies haut de gamme avec optique Leica et IA avancée (5). Repasser devant Apple : mission impossible ? (en référence au logo « mi » qui peut signifier « mission impossible » justement). Une chose est sûre : la concurrence sur le marché mondial des smartphones ne s’est jamais autant intensifiée, avec l’arrivée des modèles IA et la montée en charge des pliables en deux popularisés par Samsung (Galaxy Z Fold), voire en trois lancés par Huawei en septembre (Mate XT). Dans cette course aux « tri-fold », Xiaomi a déposé son brevet auprès de la China National Intellectual Property Administration (Cnipa), d’après plusieurs sources (6). En attendant, le PDG de Xiaomi a annoncé le 19 septembre sur X que le « bi-fold » haut de gamme Mix Flip va être lancé sur les marchés mondiaux en cette fin septembre (7).
Entre ses smartphones à succès capables de coiffer au poteau la marque à la pomme et sa première voiture électrique ayant démarré sur les chapeaux de roues, le tout dans un écosystème intelligent et unifié à tous ses produits, Lei Jun a convaincu le magazine Time.
Dans son Top 100 publié le 30 mai dernier, l’hebdomadaire américain a désigné Xiaomi comme étant « l’une des entreprises les plus influentes en 2024 » : « La berline électrique SU7 de Xiaomi, lancée en mars, peut être [considérée comme] la première voiture fabriquée par une entreprise de téléphonie. Le géant chinois de l’électronique – qui fabrique des ordinateurs, des appareils portables, des aspirateurs robotisés, des scooters et des téléphones (il était numéro 3 dans le monde en 2023, après Apple et Samsung) ne voit rien d’étrange à cela. Au contraire, il considère le SU-7 comme une extension des écosystèmes électroniques des clients » (8). Lei Jun réussit à concurrencer frontalement à la fois Apple et Tesla. Mais la route sera longue avant de détrôner éventuellement le constructeur automobile d’Elon Musk, comme il l’a fait par deux fois pour le fabricant dirigé par Tim Cook.

Vers les 50 milliards de dollars en 2024
Si Xiaomi enchaîne les records de chiffre d’affaires trimestriels, comme au second trimestre 2024 présenté le 21 août avec une croissance de plus de 30 % sur un an, alors le groupe chinois pourrait terminer l’année avec un total de près de 50 milliards de dollars (contre 37,3 milliards en 2023), et une rentabilité nette de près de 3 milliards de dollars (contre 2,6 milliards en 2023), d’après les estimations des analyses. Pour l’heure, la capitalisation boursière de « mi » – société cotées depuis juin 2018 à la Bourse de Hong Kong – s’élève à 62,8 milliards de dollars (9) (au 27-09-24) – certes, encore bien loin des près des 3.459 milliards de dollars d’Apple et des 812,1 milliards de Tesla. @

Charles de Laubier

Fermé et accusé de monopole, Apple consolide son walled garden aux commissions abusives

Publié le par

Apple a délogé Samsung en 2023 de la première place mondiale des fabricants de smartphones. De quoi conforter la marque à la pomme dans son modèle économique verrouillé et contesté. En plus des taxes de 30 % (ou 15 %), une nouvelle à 27 % (ou 12 %) va se retrouver devant la justice. Aux Etats-Unis, bientôt en Europe ?

« La dernière fois qu’une entreprise qui n’était pas Samsung s’est retrouvée au sommet du marché mondial des smartphones, c’était en 2010 [avec Nokia en tête à l’époque, ndlr]. Et pour 2023, il y a maintenant Apple », a indiqué le cabinet d’études international IDC le 15 janvier dernier. « Le succès et la résilience continus d’Apple sont en grande partie imputables à la tendance croissante des smartphones haut de gamme, qui représentent maintenant plus de 20 % du marché mondial, alimentée par des offres de remplacement agressives et des plans de financement sans intérêts d’emprunt », souligne Nabila Popal, directrice de recherche chez IDC.

N°1 mondial pour la toute première fois
Ainsi, le « malheur » de Samsung fait le « bonheur » d’Apple qui a crû sur un marché mondial des smartphones pourtant en déclin de – 3,2 % en 2023 par rapport à l’année précédente. Il s’agit même, constate IDC (1), du volume annuel le plus bas en une décennie, avec 1,17 milliard d’unités vendues l’an dernier. « Apple est le seul acteur dans le “Top 3” à afficher une croissance positive chaque année, […] malgré les défis réglementaires croissants et la concurrence renouvelée de Huawei en Chine, son plus grand marché », ajoute Nabila Popal. Cela dit, pas sûr que la firme de Cupertino (Californie) – pour la toute première fois numéro un mondial des smartphones depuis le lancement de l’iPhone en 2007 – se maintienne longtemps en haut du podium mondial, en raison de l’offensive du fabricant sud-coréen avec la commercialisation, à partir du 31 janvier, de ses nouveaux Galaxy S24 boostés à l’IA (S24, S24 + et S24 Ultra) annoncés des Etats-Unis le 17 janvier dernier (2).
Le monde iOS fermé et verrouillé d’Apple – que Edition Multimédi@ avait surnommé en 2010 l’«”iPrison” dorée » (3) – devra aussi composer avec l’ex-numéro deux mondial des smartphones, le chinois Huawei (4), lequel regagne du terrain malgré son ostracisation par l’administration américaine. Sans oublier l’avancée de quatre autres chinois : Xiaomi (3e position en 2023), Oppo (4e), Transsion (5e) et OnePlus (en embuscade), ainsi que l’espagnol Vivo, ou encore l’américain Google avec ses Pixel (5) – en plus d’être à l’origine d’Android, le rival d’iOS.

Pour cette année 2024, le marché mondial des smartphones devrait repartir à la hausse : + 3,5 %, selon les prévisions d’IDC. Apple est dépendant de ses iPhone qui pèsent encore pour 52,3 % de son chiffre d’affaires annuel, soit – sur le dernier exercice clos le 30 septembre 2023 – 200,5 milliards de dollars (sans compter les 28,3 milliards de dollars des iPad ni même les 28,3 milliards de dollars des Mac) sur un total de 383,2 milliards de dollars. Et le modèle économique de l’iOS, basé sur l’App Store lancé il y a plus de quinze ans, est une cash machine qui prélève à chaque transaction les fameux 30 % de commission, lorsque ce n’est pas 15 % dans certains cas – voire maintenant 27 % ou 12 % comme annoncé par la Pomme aux développeurs le 17 janvier (6). Sur ce terrain-là, le groupe dirigé par Tim Cook (photo) – depuis la démission en août 2011 de Steve Jobs (décédé le 5 octobre 2011) – a été sommé par la justice américaine de ne pas empêcher les éditeurs d’applications « iOS » de l’App Store d’orienter leurs utilisateurs vers leur site web et leur propre moyen de paiement. Ces transactions effectuées sur des liens externes pour poursuivre ses achats sur le web sont censées échapper à Apple, alors qu’elles sont tout de même taxées par le fabricant d’iPhone.
Cette commission de 30 % prélevée au passage sur chacune de ces transactions externes lui a valu un procès qui a duré près de quatre ans et qui fut initié par le persévérant éditeur de jeux vidéo Epic Games (« Fortnite »). L’affaire est allée jusqu’à la Cour suprême des Etats-Unis, laquelle avait statué en avril 2023 en faveur d’Apple en ne reconnaissant pas son « monopole » que dénonçait Epic Games. Et le 16 janvier dernier, cette même Cour suprême a rejeté les recours en appel formés par Epic Games et Apple (7). Pour autant, la Pomme devra s’en tenir à l’injonction de deuxième instance (District Court) qui l’oblige à laisser des transactions se faire sur des liens externes.

Epic Games et Spotify comptent sur le DMA
Mais le ver peut être dans le fruit : la firme de Cupertino a trouvé une parade en instaurant une nouvelle taxe de 27 % (ou 12 % pour les TPE) applicables à ces transactions externes, au lieu des 30 % (ou 15 %) qui posaient problème aux éditeurs tiers et à la justice. Aussitôt, le PDG fondateur d’Epic Games, Tim Sweeney, a annoncé le 17 janvier sur X (ex-Twitter) avoir déposé une plainte contre la « mauvaise foi » d’Apple à se conformer au jugement (8). La marque à la pomme voit déjà se profiler un autre front qui remettra en cause son walled garden : le Digital Markets Act (DMA) européen (9), qui entrera en vigueur le 6 mars prochain. Spotify a déjà annoncé le 24 janvier (10) que l’on pourra faire des achats in-app sur iPhone avec son propre moyen de paiement. @

Charles de Laubier