La directive européenne NIS2 est toujours dans l’attente d’une transposition dans le droit français. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a passé le cap du Sénat mais reste en attente d’un vote final.
Le mois dernier, Vincent Strubel rappelait aux Assises de la cybersécurité de Monaco que ce vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ». Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire », expliquait-il.
L’ANSSI avance et annonce l’ouverture d’un guichet de pré-enregistrement, ce qui constitue « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ». Comptez 5 à 10 minutes de procédure si vous avez déjà un compte Club SSI (obligatoire).
L’Agence rappelle que « l’ensemble des entités soumises au champ d’application de la directive a l’obligation de communiquer un certain nombre d’informations à l’autorité compétente (article 3 et article 27 de la directive) ». Le changement est important : de 600 entreprises environ concernées par NIS1, on passe à 15 000 avec NIS2.
« Ce pré-enregistrement permet aux entités de préparer leur enregistrement afin de bénéficier d’un enregistrement facilité lorsque la phase d’enregistrement obligatoire démarrera après publication des textes réglementaires associés au projet de loi Résilience », explique l’ANSSI.
Un simulateur permettant « d’obtenir une estimation du statut d’une entité, conformément aux textes actuellement en vigueur » est disponible à cette adresse. Bien évidemment, « le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité. Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2 ».
La directive européenne NIS2 est toujours dans l’attente d’une transposition dans le droit français. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a passé le cap du Sénat mais reste en attente d’un vote final.
Le mois dernier, Vincent Strubel rappelait aux Assises de la cybersécurité de Monaco que ce vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ». Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire », expliquait-il.
L’ANSSI avance et annonce l’ouverture d’un guichet de pré-enregistrement, ce qui constitue « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ». Comptez 5 à 10 minutes de procédure si vous avez déjà un compte Club SSI (obligatoire).
L’Agence rappelle que « l’ensemble des entités soumises au champ d’application de la directive a l’obligation de communiquer un certain nombre d’informations à l’autorité compétente (article 3 et article 27 de la directive) ». Le changement est important : de 600 entreprises environ concernées par NIS1, on passe à 15 000 avec NIS2.
« Ce pré-enregistrement permet aux entités de préparer leur enregistrement afin de bénéficier d’un enregistrement facilité lorsque la phase d’enregistrement obligatoire démarrera après publication des textes réglementaires associés au projet de loi Résilience », explique l’ANSSI.
Un simulateur permettant « d’obtenir une estimation du statut d’une entité, conformément aux textes actuellement en vigueur » est disponible à cette adresse. Bien évidemment, « le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité. Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2 ».
Encore un nouveau format sur Next : Itinéraire d’une Actu. Dans une introspection personnelle, je vous explique les étapes qui ont conduit à la publication de l’actualité sur la fuite de données de Colis Privé. Un travail personnel, à la première personne.
Vendredi soir, Colis Privé a envoyé à certains de ses clients un e-mail pour les informer d’une fuite de données. Nous l’avons reçu sur une de nos boites et plusieurs lecteurs nous l’ont également signalé. Déjà, merci à eux de nous l’avoir fait suivre. Comme nous allons le voir, c’est toujours utile d’avoir plusieurs sources.
Dans ce nouveau format, on vous propose de plonger dans les coulisses de la rédac, plus précisément dans le processus qui a donné naissance à cette petite actualité sur la fuite des données chez Colis Privé. Un retour à la première personne car il ne concerne que moi, ma manière de faire.
Samedi matin, je prépare une actualité sur le sujet, pour ne pas attendre lundi et commencer la semaine avec des sujets chauds (très chauds, on en reparle rapidement). Vous l’avez peut-être remarqué, l’actualité n’a été publiée qu’à 17h26… Je n’ai évidemment pas mis des heures à l’écrire, une demi-heure tout au plus. Elle était prête pour midi, mais la publication a été mise en pause en attendant une confirmation.
Comme toujours en pareille situation, je vérifie l’authenticité de l’e-mail (je préfère prendre le temps plutôt que foncer tête baissée et me poser des questions ensuite…). Comment être sûr qu’il provient bien de Colis Privé ? Généralement, le message est aussi visible en ligne sur le site de la société ou repris sur les réseaux sociaux. Sans être une preuve irréfutable, cela permet d’avoir un niveau de confirmation suffisant pour publier une actualité.
Bonne pratique : publier le communiqué sur le site
Deux exemples avec des fuites récentes de données chez Plex et Infomaniak. Le premier propose de « lire cet e-mail depuis un navigateur » avec un lien vers une page en newsletter.infomaniak.com/*, le second propose un lien « View Online » en bas de page qui renvoie vers exactement le même communiqué sur une page en links.plex.tv/*. Une confirmation que cette information n’est pas un e-mail envoyé en masse par un plaisantin (ou pire, d’une personne malintentionnée) se faisant passer pour une entreprise.
Dans le cas de Colis Privé, rien : pas le moindre lien vers un communiqué visible sur un domaine officiel de l’entreprise. Il y a par contre des liens « Unsubscribe From This List » et « Manage Email Preferences » qui renvoient bien vers mon adresse e-mail, mais un petit doute subsiste dans ma tête (est-il justifié ? C’est une autre question).
Plutôt que courir à publier au plus vite, je décide d’attendre une confirmation, même si les messages envoyés par les lecteurs permettent de tester ces liens avec d’autres adresses e-mail et de se rendre compte que tout semble légitime.
Et si… mail, SMS et demande LinkedIn envoyés
Quoi qu’il en soit, une petite voix m’a poussé à chercher davantage au cas où (spoiler : au cas où rien du tout finalement, j’aurais pu publier immédiatement). Quelques e-mails et demandes LinkedIn partent dans la foulée pour le service presse et des responsables Colis Privé. Nous sommes samedi, je pars me promener et je me dis que je verrai bien en rentrant si j’ai une réponse. Ce n’est pas non plus l’info de l’année qui mérite que je reste sur le pont H24.
En revenant en fin d’après-midi, pas de réponse. Je regarde les métadonnées de l’e-mail pour voir si je peux confirmer sa provenance (je vous laisse seulement la partie intéressante) :
Received: from wfbtzhfp.outbound-mail.sendgrid.net (wfbtzhfp.outbound-mail.sendgrid.net [159.183.224.243])
for seb***@***.fr; Fri, 21 Nov 2025 19:37:13 + 0000 (UTC)
dkim=pass (2048-bit rsa key sha256)
dmarc=pass
spf=pass
L’e-mail est envoyé par la plateforme d’e-mailing états-unienne SendGrid. Est-elle autorisée à envoyer des e-mails pour le compte de notification.colisprive.com (attention on ne parle que du sous-domaine) ? Un coup de dig confirme que la réponse est oui (ça prend 2 secondes, ce serait dommage de s’en priver) :
L’e-mail passe donc les sécurités DKIM et SPF. Je m’apprêtais à le préciser dans l’actualité et à la publier quand je reçois un SMS de confirmation d’un responsable de la communication de CEVA Logistics, une filiale de CMA CGM qui détient Colis Privé. J’ajuste le contenu de l’actualité pour préciser la confirmation et la publie dans la foulée.
Il n’y avait aucune urgence à publier et nous étions en plein week-end, ce qui explique les délais un peu rallongés, mais cette pratique est, dans mon cas, la base avant de publier l’annonce d’une fuite ou une information du genre. Attention, je ne prétends pas que cette méthode est infaillible – loin de là –, mais ces vérifications permettent au moins d’assurer un minimum d’authenticité.
En avril 2026 se déroulera le deuxième tour des extensions personnalisées de noms de domaine, les .marques. Lors du premier tour, plusieurs centaines d’entités avaient répondu présentes. Nous pouvons par exemple citer les extensions .leclerc, .bnpparibas, .lancaster, .sncf, .google, ainsi que des extensions géographiques comme les .paris, .bzh, .alsace, etc.
Au début du mois, le Conseil d’administration de l’ICANN a adopté officiellement « le Guide de candidature, ouvrant la voie à la série de 2026 », comme le rapporte Abondance. Dans son communiqué, l’ICANN explique que ce guide « définit les exigences et les procédures applicables à toute entité posant une candidature à un gTLD ».
Désormais, le calendrier se resserre : « le Guide de candidature doit être mis à disposition au moins quatre mois avant l’ouverture de la fenêtre de candidature. L’adoption par le Conseil d’administration lors de la réunion ICANN84 a pour effet que l’organisation ICANN (ICANN org) est chargée de publier le guide au plus tard le 30 décembre 2025 ».
Lors du Summit d’OVHcloud nous avons demandé aux équipes en charge des noms de domaine si un accompagnement des clients souhaitant se lancer dans des .marques était prévu. Le sujet est discuté en interne, mais rien n’est acté pour l’instant.
En attendant, une version non finalisée du guide est disponible à cette adresse (pdf de 440 pages). L’Afnic rappelle les couts qui « représentent certes un investissement au démarrage, mais qui doivent être analysés à la lumière des économies et des bénéfices générés » : 227 500 dollars de frais de dossier pour le dépôt initial la première année, puis à partir de 25 000 dollars par an. Il faut ajouter des coûts techniques variables. Les entités intéressées peuvent contacter l’Afnic pour un accompagnement.
En avril 2026 se déroulera le deuxième tour des extensions personnalisées de noms de domaine, les .marques. Lors du premier tour, plusieurs centaines d’entités avaient répondu présentes. Nous pouvons par exemple citer les extensions .leclerc, .bnpparibas, .lancaster, .sncf, .google, ainsi que des extensions géographiques comme les .paris, .bzh, .alsace, etc.
Au début du mois, le Conseil d’administration de l’ICANN a adopté officiellement « le Guide de candidature, ouvrant la voie à la série de 2026 », comme le rapporte Abondance. Dans son communiqué, l’ICANN explique que ce guide « définit les exigences et les procédures applicables à toute entité posant une candidature à un gTLD ».
Désormais, le calendrier se resserre : « le Guide de candidature doit être mis à disposition au moins quatre mois avant l’ouverture de la fenêtre de candidature. L’adoption par le Conseil d’administration lors de la réunion ICANN84 a pour effet que l’organisation ICANN (ICANN org) est chargée de publier le guide au plus tard le 30 décembre 2025 ».
Lors du Summit d’OVHcloud nous avons demandé aux équipes en charge des noms de domaine si un accompagnement des clients souhaitant se lancer dans des .marques était prévu. Le sujet est discuté en interne, mais rien n’est acté pour l’instant.
En attendant, une version non finalisée du guide est disponible à cette adresse (pdf de 440 pages). L’Afnic rappelle les couts qui « représentent certes un investissement au démarrage, mais qui doivent être analysés à la lumière des économies et des bénéfices générés » : 227 500 dollars de frais de dossier pour le dépôt initial la première année, puis à partir de 25 000 dollars par an. Il faut ajouter des coûts techniques variables. Les entités intéressées peuvent contacter l’Afnic pour un accompagnement.
Memtest86+ est un nom qui rappelle certainement des souvenirs aux moins jeunes d’entre nous. Ce petit utilitaire permet de tester de fond en comble la mémoire d’un ordinateur. Il est revenu sur le devant de la scène en 2022 avec une nouvelle version entièrement réécrite. La première nouvelle version était la 6.00 publiée en octobre 2022. En janvier 2024, la 7.00 était mise en ligne.
Et c’est maintenant au tour de Memtest86+ 8.00 de débarquer. Les notes de versions sont assez peu détaillées puisqu’elles indiquent simplement la prise en charge des « derniers processeurs Intel et AMD ».
Des correctifs sur la DDR5 sont de la partie, avec aussi les informations sur la température. Un mode sombre est aussi proposé en option. Tous les détails et les téléchargements sont disponibles dans ce dépôt GitHub. Vous pouvez également passer par le site officiel.
Memtest86+ est un nom qui rappelle certainement des souvenirs aux moins jeunes d’entre nous. Ce petit utilitaire permet de tester de fond en comble la mémoire d’un ordinateur. Il est revenu sur le devant de la scène en 2022 avec une nouvelle version entièrement réécrite. La première nouvelle version était la 6.00 publiée en octobre 2022. En janvier 2024, la 7.00 était mise en ligne.
Et c’est maintenant au tour de Memtest86+ 8.00 de débarquer. Les notes de versions sont assez peu détaillées puisqu’elles indiquent simplement la prise en charge des « derniers processeurs Intel et AMD ».
Des correctifs sur la DDR5 sont de la partie, avec aussi les informations sur la température. Un mode sombre est aussi proposé en option. Tous les détails et les téléchargements sont disponibles dans ce dépôt GitHub. Vous pouvez également passer par le site officiel.
C’est au tour de Colis Privé d’être victime d’une fuite de données personnelles de ses clients. Contacté par Next, CEVA Logistics, filiale de CMA CGM et propriétaire de Colis Privé, confirme la situation.
Hier soir, le transporteur français a envoyé un email à des clients (merci à tous ceux qui nous l’ont partagé) dont l’objet est : « Information importante relative à vos données personnelles ». La suite on ne la connait malheureusement que trop bien : une fuite de données.
Par contre, aucun message sur ses réseaux sociaux ni sur son site. Pour confirmer l’envoi de cet email, nous avons contacté le service presse de CEVA Logistics, filiale de CMA CGM (un armateur de porte-conteneurs français) et propriétaire de Colis Privé, qui nous confirme la situation.
Accès non autorisé aux données personnelles, pas bancaires
« Nos investigations ont permis de confirmer que seules des informations de contact sont potentiellement impliquées : nom, prénom, adresse postale, adresse électronique, et numéro de téléphone ». L’entreprise ajoute que vous pouvez être « rassurés » : « aucune donnée bancaire, aucun mot de passe ni aucune information sensible n’est concernée ». On appréciera la considération pour la sensibilité de nos données personnelles…
Colis Privé ne rentre pas dans les détails, évoquant simplement « un incident ayant entraîné un accès non autorisé et limité à certaines données sur une partie de nos systèmes ». La brèche a évidemment été bouchée et, « à ce stade, nous n’avons constaté aucun usage frauduleux de ces informations », ajoute la société.
Prudence face aux arnaques aux faux colis, toujours nombreuses
Nous avons également droit à l’éternelle promesse : « La protection de vos données personnelles est notre priorité absolue ». L’email se termine par trois conseils : « Restez attentif aux e-mails, SMS ou appels vous demandant des informations personnelles ou vous incitant à cliquer sur un lien, et vérifiez toujours l’identité de l’expéditeur en cas de doute », « utilisez des mots de passe forts et uniques pour chacun de vos comptes et activer la double authentification (MFA) » et enfin « ignorez tout message demandant un paiement : Colis Privé ne vous demandera jamais de payer ».
Cette fuite pourrait remettre une pièce dans la machine de l’arnaque aux faux colis et/ faux livreurs. L‘une des dernières versions étant les SMS du type « Bonjour vous êtes chez vous ? », « Bonjour vous êtes à la maison ? », comme l’expliquait récemment l’UFC-Que Choisir.
Si des personnes malintentionnées récupèrent les données de Colis Privé, elles pourraient s’en servir pour « personnaliser » ce type d’arnaque en ciblant davantage les tentatives de phishing avec les noms, adresses, emails, etc. des clients de Colis Privé.
Microsoft a développé et utilise déjà une seconde génération de processeurs maison basés sur Arm : les Cobalt 200. Elle promet une hausse des performances et de la sécurité. Le fabricant présente aussi la nouvelle génération d’Azure Boost, avec toujours plus de bande passante.
Les machines virtuelles basées sur Cobalt 100 sont disponibles pour les clients depuis octobre 2024. « Les développeurs de Snowflake, Databricks, Elastic, Adobe et de notre propre Microsoft Teams profitent déjà d’Azure Cobalt en production, constatant des performances jusqu’à 45 % supérieures, ce qui se traduit par une réduction de 35 % du nombre de cœurs de calcul et de machines virtuelles nécessaires, ce qui permet de réaliser d’importantes économies », affirme Microsoft. Les exemples mis en avant sont évidemment à son avantage.
L’annonce du jour n’est pas qu’un « paper launch » affirme l’entreprise : « Nos premiers serveurs en production avec des CPU Cobalt 200 sont désormais opérationnels dans nos datacenters, avec un déploiement plus large et une disponibilité client prévue en 2026 ». Quelques détails techniques sont donnés.
Des benchmarks et 350 000 jumeaux numériques
Pour développer sa puce, Microsoft explique avoir été confrontée à un problème : « les benchmarks traditionnels ne représentent pas la diversité des charges de travail clients ». Ils ont tendance à s’intéresser davantage aux cœurs du CPU, laissant de côté « le comportement des applications cloud à grande échelle lorsqu’elles utilisent des ressources réseau et de stockage ». Microsoft a donc développé ses propres benchmarks (il y a environ 140 tests).
À l’aide de jumeaux numériques, le constructeur a fait varier le nombre de cœurs, la taille du cache, la vitesse de la mémoire, la consommation du SoC, etc. Microsoft serait ainsi arrivée à pas moins de 350 000 « candidats » pour son processeur Cobalt 200.
132 cœurs Arm CSS V3, 588 Mo de cache L2 + L3
Dans le CPU, on retrouve des cœurs Arm Neoverse Compute Subsystems V3 (CSS V3) annoncés en février 2024. Les variantes Compute Subsystems avaient été inaugurées avec le cœur N2. C’est une configuration dans laquelle Arm ne s’occupe que de la partie CPU et laisse à ses partenaires la possibilité de personnaliser les puces avec des accélérateurs maison, la gestion de la mémoire, les entrées/sorties, l’alimentation, etc.
D’un point de vue technique, « chaque SoC Cobalt 200 comprend 132 cœurs [128 pour Cobalt 100, ndlr] avec 3 Mo de cache L2 par cœur et 192 Mo de cache système L3 ». Dans la pratique, il s’agit d’une configuration avec deux chiplets, chacun disposant de 66 cœurs, de six canaux pour la mémoire et d’accélérateurs pour la cryptographie.
Ajustement des tensions et des fréquences par cœur
Microsoft précise que son contrôleur mémoire est personnalisé et que « le chiffrement est activé par défaut, avec un impact négligeable sur les performances ». La Confidential Compute Architecture (CCA) d’Arm est de la partie afin de proposer une « isolation matérielle de la mémoire de la machine virtuelle par rapport à l’hyperviseur et au système d’exploitation hôte ».
Cobalt intègre aussi un module Azure Integrated HSM (Hardware Security Module), qui « fonctionne avec Azure Key Vault pour une gestion simplifiée des clés de chiffrement ». Le tout est certifié FIPS (Federal Information Processing Standard Publication) 140 - 3 niveau 3.
Microsoft affirme avoir particulièrement soigné la consommation électrique : « L’une des innovations de nos processeurs Azure Cobalt est le Dynamic Voltage and Frequency Scaling (DVFS) par cœur ». La puce est gravée avec le procédé 3 nm de dernière génération de TSMC.
Microsoft profitait aussi de sa conférence pour présenter une nouvelle version d’Azure Boost, un système « qui décharge les processus de virtualisation de serveur traditionnellement effectués par l’hyperviseur et le système d’exploitation hôte sur des logiciels et du matériel conçus à ces fins ».
Les performances annoncées peuvent atteindre jusqu’à 1 million d’IOPS, un débit de 20 Go/s pour le stockage et de 400 Gb/s pour le réseau. Le nouveau Azure Boost prend aussi en charge le RDMA (Remote Direct Memory Access) pour un accès direct à la mémoire.
Cette nouvelle génération sera disponible dans les prochaines VM de la série v7 avec des processeurs Intel Xeon de la génération Granite Rapids. Microsoft précise que ses futures machines virtuelles DSv7 et ESv7 pourront gérer jusqu’à 372 vCPU, tandis que les ESv7 pourront prendre en charge jusqu’à 2,8 To de mémoire.
Matter est un protocole pour objets connectés développé par la Connectivity Standards Alliance (regroupant des centaines d’entreprises, dont Amazon, Apple et Google), dont la première version a été mise en ligne il y a trois ans.
Matter porte aussi la promesse (plutôt l’espoir) de regrouper d’autres protocoles et de servir de pont entre tous les équipements compatibles. Le protocole avance… doucement. Au début de l’année il débarquait dans Google Home.
Le protocole vient de passer en version 1.5 avec la prise en charge des caméras pour la « diffusion vidéo et audio en direct grâce à la technologie WebRTC, permettant une communication bidirectionnelle, ainsi qu’un accès local et distant ». D’autres fonctionnalités sont prises en charge comme les flux vidéos multiples, les mouvements des caméras, les zones de détection, l’enregistrement local ou en ligne.
Les interrupteurs pour stores, rideaux, auvents, portails et portes de garage sont également supportés : « Grâce à une conception simplifiée et modulaire, les fabricants peuvent représenter différents types de mouvements (par exemple, glissement, rotation, ouverture) et configurations (par exemple, panneaux simples ou doubles, mécanismes imbriqués) en utilisant des blocs ».
Matter 1.5 prend aussi en charge les capteurs de sol pour les jardins et les plantes (humidité et température) pour automatiser, par exemple, l’arrosage.
Enfin, du côté du courant électrique, le protocole permet d’échanger des informations sur la grille tarifaire, le prix instantané et l’intensité carbone du réseau. Sur la recharge de voitures électriques. Matter permet de certifier « l’état de charge et la facturation bidirectionnelle ».
Enfin, « Matter 1.5 ajoute un support complet pour l’exploitation via le transport TCP, permettant une transmission plus efficace et fiable de grands ensembles de données ». De la documentation pour les développeurs se trouve par ici.
Amazon avait demandé à la Cour de Justice de l’Union européenne « l’annulation de la décision par laquelle la Commission avait désigné cette plateforme comme une « très grande plateforme en ligne » [ou VLOP, ndlr] au titre du DSA ». Le Tribunal de l’Union européenne rejette le recours.
La plateforme d’e-commerce contestait « la légalité de la disposition du règlement qui détermine les plateformes en ligne, dont les places de marché, qui doivent être désignées comme des grandes plateformes en ligne et qui soumet ces dernières à des obligations spécifiques de transparence, de coopération et d’accès aux données ».
Flock pour Next
Selon Amazon, ces dispositions enfreignent « la liberté d’entreprise, le droit de propriété, le principe d’égalité devant la loi, la liberté d’expression et d’information, ainsi que le droit au respect de la vie privée et à la protection des informations confidentielles ».
Les motifs de rejet sont exposés dans ce communiqué. Dans son arrêt, la CJUE relève que les obligations imposées par le DSA constituent bien une forme de contrainte ou d’ingérence dans certains de ces droits, mais estime que chacune d’entre elles répond de façon proportionnée à un objectif de prévention d’un risque ou de protection des consommateurs.
Amazon peut faire appel et compte bien utiliser ce droit, selon Euractiv : « En tant que place de marché en ligne, Amazon Store ne présente aucun risque systémique de ce type ; elle se contente de vendre des marchandises et ne diffuse ni n’amplifie aucune information, opinion ou point de vue », ajoute un porte-parole.
Le projet Itiner-e propose « le jeu de données numérique ouvert le plus détaillé des routes de tout l’Empire romain ». En plus des villes (avec les noms d’époque) et des voies romaines, le site permet de calculer des itinéraires à pied, à cheval ou avec une charrette à bœufs. Les données peuvent être téléchargées.
Il fallait ainsi 95 heures avec un cheval (vitesse moyenne de 6 km/h), 143 heures à pied et 286 heures avec une charrette à bœufs pour rejoindre Lugdunum et Burdigala (c’est-à-dire Lyon vers Bordeaux). Pour les trajets en mode Google Maps cliquez sur la petite icône en bas à droite de l’écran. Les autres options permettent d’afficher un fond de carte satellite, les routes, villes et frontières actuelles.
Le blog spécialisé et contributif Cartonumérique explique qu’une « équipe de recherche internationale a créé une nouvelle cartographie des routes de l’Empire romain. La carte qui en résulte comprend près de 300 000 km de routes, soit près de deux fois plus que ce que l’on trouve d’habitude sur des cartes historiques. Cet immense réseau routier témoigne de la puissance de cet empire ».
Le site « agrège 200 ans de recherche : tout ce qu’on sait sur les endroits où des routes ont été étudiées et excavées a été combiné avec des images satellites et des cartes topographiques qui montrent les traces, dans le paysage, où des chemins auraient pu se trouver », expliquait à la RTS Tom Brughman (professeur associé en archéologie au Danemark et co-directeur du projet). Il affirme que ce sont pas moins de 100 000 km supplémentaires « par rapport aux anciennes estimations ».
Il ajoute qu’un « grand nombre de lieux de vie romains ne sont pas encore connectés à notre réseau par des routes connues. Beaucoup de ces chemins pourront encore être découverts, aussi en Suisse ». Au fur et à mesure des découvertes, la carte (collaborative et évolutive) sera enrichie.
De nombreux tutos pour utiliser ce site ont été mis en ligne sur cette page.
En fin de semaine dernière, Amazon annonçait un changement de nom pour son projet Kuiper, le concurrent de Starlink. Il faut désormais l’appeler Leo, comme « low earth orbit » en anglais. Le nom renvoie à l’orbite basse utilisée par ces constellations de satellites.
Amazon en profite pour rappeler que Leo dispose depuis quelques semaines de « plus de 150 satellites en orbite, et des clients professionnels tels que JetBlue, L3Harris, DIRECTV Latin America, Sky Brasil et le Réseau Haut Débit National Australien (National Broadband Network – NBN Co.) s’engagent déjà à déployer le service ». Il y avait 102 satellites en orbite en août.
Amazon n’a par contre toujours pas annoncé de date de lancement pour une ouverture de son service commercial (grand public et professionnels). En France, l’Arcep a déjà donné son feu vert.
L’extension développée par Next – avec de l’IA générative – pour signaler des sites avec des contenus rédigés en tout ou partie par de l’IA générative signale désormais plus de 8 500 domaines. Nous en profitons pour ajouter une nouvelle fonction : une alerte contre des sites potentiellement malveillants utilisant des homoglyphes. Surfez couvert avec Next !
Notre liste continue de grandir de semaine en semaine. Ce qui n’était au début que quelques centaines de noms est passé à plus de 1 000 en février, et ne cesse de grandir pour désormais atteindre plus de 8 500 sites. Pour rappel, elle intègre aussi les listes noires de Red Flag Domains des noms de domaine potentiellement suspects, ainsi que celle de l’Autorité des marchés financiers (AMF).
La procédure de mise à jour de la liste était loin d’être optimale. Nous l’avons améliorée, Jean-Marc peut désormais la mettre à jour en toute autonomie ; attendez-vous donc à l’arrivée de nouveaux domaines plus régulièrement. La taille du fichier de la liste bloom a été considérablement réduite au passage, mais sans pour autant modifier le niveau des faux positifs.
Notification d’échec des mises à jour des listes et nouvelles autorisations
Nous avons également amélioré le système de détection des échecs des mises à jour des listes. Si une des listes n’est pas disponible, l’extension affiche désormais un message d’alerte et envoie une notification au système (une seule par problème, pas plus !). Ce changement dans les autorisations entraine une validation de votre part lors de la mise à jour puisque les notifications n’étaient pas utilisées auparavant.
L’extension a aussi besoin d’accéder aux URL des onglets pour vérifier si le domaine est ou non dans une des listes. Elle doit également pouvoir « modifier » les pages pour y afficher le message d’alerte le cas échéant (le pop-up sur fond gris).
L’extension permettant, de manière volontaire, de nous signaler des sites en cliquant sur le bouton de l’extension, l’URL et des métadonnées nous sont également envoyées (nous les avons détaillées dans une précédente actualité).
Si vous cliquez sur l’icône de l’extension, nous avons revu un peu la fenêtre, notamment avec l’indication du nombre de sites dans notre liste GenAI, de Red Flag Domains et de l’AMF. En cas d’erreur sur la mise à jour des listes, un message s’affiche ici aussi. De plus, l’icône de l’extension affiche un ! en rouge pour indiquer le problème.
Dans les paramètres de l’extension, un message d’erreur vous donne quelques détails et permet, si vous le désirez, de nous envoyer un message d’alerte (avec les mêmes métadonnées que pour les signalements de sites). Tout en bas s’affiche la liste des sites dont vous avez coché la case « Ne plus m’alerter sur ce site pour toutes les catégories » en bas à gauche du message d’alerte qui s’affiche lorsque vous consultez l’un des 8 500 sites GenAI identifiés. Vous pouvez en supprimer certains ou la totalité.
Notre extension alerte sur les homoglyphes !
L’autre gros morceau de cette version 2.5.5 est l’arrivée d’une nouvelle « liste ». Ce n’est pas une liste au sens propre du terme, mais plutôt une alerte contre de potentielles attaques par homographes, reposant sur l’utilisation d’homoglyphes, à savoir ces caractères ou glyphes qui semblent identiques ou très similaires à un ou plusieurs autres, tels que le « p » latin et le « p » cyrillique.
Une rapide explication de l’ANSSI : « Un utilisateur malintentionné peut acquérir un nom de domaine proche visuellement (la proximité visuelle est obtenue par le fait que de nombreux systèmes d’écriture utilisent des caractères se ressemblant) d’un autre nom de domaine connu ».
La liste Red Flag Domains permet déjà d’avoir ce genre d’alerte, mais uniquement sur les domaines en .fr. Les pirates visent plus large et tirent tous azimuts sur les autres domaines (.com, .net, .org etc.). Notre extension se base sur des listes de caractères proches de ceux de notre alphabet latin pour afficher un message d’alerte et vous appeler à la vigilance. Si une alerte s’affiche, vérifiez que vous êtes bien sur le bon site. La détection se fait uniquement en local.
Un bon exemple est (du moins était, il a été rapidement désactivé) le faux site avec le nom de domaine université-nantes[.]fr ; la vraie adresse de l’université est univ-nantes.fr. Il reprenait la présentation officielle du site de l’université et on pouvait se faire piéger facilement. Utilisant une extension en .fr, il était déjà dans la liste Red Flag Domains et donc signalé par la version actuelle de l’extension. La version 2.5.5 de notre extension le détecte automatiquement et fonctionne tout autant en .fr qu’en .com, .net, etc.
La technique est connue de longue date et peut se révéler redoutable contre les internautes. Par exemple, « арpІе » n’a pas de lettre « a », de « l » ou de « e » de l’alphabet latin et un seul « p » (le deuxième). Les autres sont des caractères cyriliques. Un vrai faux site a été mis en place ici : аррӏе.com (les navigateurs transforment le nom de domaine en xn--80ak6aa92e.com, mais on peut facilement se faire avoir en collant аррӏе.com dans la barre du navigateur et tout le monde n’a pas toujours les yeux rivés sur la barre d’URL.
C’est une première version des attaques par homoglyphes, la liste des caractères suspects peut être mise à jour de notre côté. Comme les autres listes, elle est téléchargée automatiquement tous les jours, ou bien à la demande depuis les paramètres de l’extension. Comme n’importe quelle autre liste, vous pouvez désactiver cette détection dans les paramètres.
Pensez à épingler l’extension !
Pour profiter au mieux de l’extension, nous vous conseillons de l’épingler. Une fois installée, sur Edge ou Chrome. Cliquez sur l’icône en forme de puzzle et cliquez sur la punaise. Sur Firefox, il faut aussi cliquer sur le puzzle, puis sur la roue crantée de l’extension et enfin sur « épingler à la barre d’outils ».
Pour rappel, le petit chiffre entouré de jaune qui s’affiche au-dessus du bouton de l’extension indique quant à lui le nombre de pages de sites GenAI que vous avez consultées dans la journée.
Un email, c’est une carte postale. La métaphore n’est pas nouvelle, mais elle n’en reste pas moins toujours vraie. Mais savez-vous vraiment comment circulent les emails et qui peut y accéder ? Next vous explique leur fonctionnement et comment vérifier qui y a potentiellement accès.
En marge de notre dossier sur le fonctionnement en profondeur d’Internet, nous avons décidé de nous pencher sur les emails. Ils sont utilisés par tout le monde, parfois pour des futilités, parfois pour des choses importantes. Ils constituent aussi un enjeu de souveraineté, malheureusement trop souvent pris à la légère.
Un email par défaut, il faut le considérer comme une carte postale : n’importe quel intermédiaire peut lire son contenu, son expéditeur et son destinataire. Pire encore, il est facile d’usurper n’importe quelle identité. On peut évidemment appliquer une couche de chiffrement – un peu à la manière de mettre la carte postale dans une enveloppe –, mais c’est un autre sujet que nous aborderons dans un second temps.
Tout d’abord, comment se passe l’envoi d’un email ? Il faut savoir que l’email se décompose en deux principales parties, regroupées au sein de ce qu’on appelle le format MIME (Multipurpose Internet Mail Extensions ou Extensions multifonctions du courrier Internet) :
Un en-tête (header) avec l’expéditeur, le destinataire, le sujet, la date…
Le corps du message (body) avec le contenu de l’email et les éventuelles pièces jointes
La première partie du voyage de notre message se déroule dans un client de messagerie (Mail User Agent ou MUA) de l’expéditeur, que ce soit une application ou depuis un site web. L’acheminement du courrier se fait ensuite vers un serveur de courriel (Mail Transfer Agent ou MTA) rattaché à votre nom de domaine, via le protocole SMTP. À partir de là, la moitié du chemin est faite.
On peut se faire passer pour n’importe qui, la preuve !
L’email passe du serveur MTA lié à votre messagerie au serveur MTA rattaché au nom de domaine de votre destinataire. Par exemple, si vous m’envoyez un email sur une adresse en @next.ink depuis un email @Orange.fr, le serveur MTA de départ sera celui d’Orange, celui de réception est chez moji (qui héberge Next.ink). De son côté, le destinataire récupère son email via son client de messagerie relié au MTA (de moji, vous suivez ?).
Le problème avec cette architecture, c’est qu’il est très facile pour n’importe qui de faire n’importe quoi. En effet, on peut facilement modifier les en-têtes pour changer l’expéditeur et se faire passer pour une autre personne.
N’allez en effet pas croire que c’est compliqué à mettre en place… quelques lignes de codes et une dizaine de minutes suffisent. Pour créer le message ci-dessous, nous avons simplement assemblé un email avec les éléments suivants (oui, c’est aussi simple que ça en a l’air, mais nous ne ferons pas de tuto) avec le résultat juste en dessous :
message = MIMEMultipart()
message["From"]="Sundar Pichai sundar.pichai@google.com"
message["Subject"]="Trop bien guys votre enquete sur les sites GenAI !"
message["Reply-To"]="sundar.pichai@google.com"
Vers qui partent les emails ? Les enregistrements MX balancent tout !
Les mails pouvant circuler dans tous les sens sans restriction particulière par défaut, les serveurs associés aux adresses emails sont publics. On les trouve dans les enregistrements MX des noms de domaines ; MX pour Mail eXchange.
Cette information est publique, dans le DNS, lisible par tout le monde depuis son ordinateur. Deux outils extrêmement simples permettent de récupérer les enregistrements MX : nslookup et dig (il en existe bien d’autres).
Sous Windows et Linux, nslookup est disponible en ligne de commande. Il existe aussi dig, plus complet, sur les distributions Linux. Voici les commandes à utiliser dans les deux cas, pour les serveurs emails recevant tous les envois vers @next.ink. Pour dig, nous avons ajouté le paramètre +short afin de n’avoir que les champs MX les uns en dessous des autres sans tous les détails supplémentaires, mais vous pouvez l’enlever pour une réponse plus longue.
nslookup -type=mx next.ink
dig +short MX next.ink
Dans les deux cas, le résultat est évidemment le même : mx1.oui.do avec une préférence à 1 et mx2.oui.do avec la préférence à 2. La préférence est simplement l’ordre dans lequel il faut choisir les serveurs pour envoyer les emails. mx1.oui.do est le premier, mais s’il ne répond pas, un serveur secondaire est disponible sur mx2.oui.do.
Ce que les enregistrements MX permettent de prouver
Cela signifie donc qu’un simple coup d’œil à l’enregistrement DNS permet de savoir qui s’occupe de la réception des emails. Si une entreprise utilise les services de Google pour gérer ses emails, les enregistrements MX pointeront vers des sous domaines de Google.com. Pour du Microsoft, ils pointent vers du Outlook.com, etc.
Quelques points à savoir. Les serveurs MX indiquent la route à suivre et pointent vers le premier « poste de douane », c’est-à-dire l’endroit où arrivent les emails avant d’être ensuite acheminés vers leur destinataire. Ils peuvent ensuite prendre des chemins plus ou moins long et sinueux avant d’arriver à destination, mais nous n’avons pas accès aux détails des routes, c’est de la tambouille interne.
Voici quelques exemples. Certains comme Polytechnique et l’Université de Paris Saclay gèrent la réception en interne, d’autres comme l’Université de Versailles Saint-Quentin passent par Renater (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). Blablacar utilise de son côté Google.
Cela ne veut pas obligatoirement dire que les mails @Blablacar.fr finissent dans une boite Gmail ou un compte Google Workspace, mais cela prouve néanmoins qu’ils arrivent chez Google comme premier poste de douane.
Le géant du Net a donc accès à un moment donné à tous les emails envoyés à @Blablacar.fr. Et comme tout poste de douane qui se respecte, il peut décider du jour au lendemain de couper l’accès, mais de continuer à recevoir les emails entrants, jusqu’à ce que les enregistrements MX soient changés.
Autre point important, ce n’est pas parce qu’une entreprise passe par autre chose que Google ou Outlook dans ses enregistrements MX, qu’elle n’utilise pas à un moment donné les services des géants américains ; simplement les enregistrements MX ne permettent pas de le prouver.
Certains comme Shares.io – un outil d’investissement « développé, opéré et régulé en France » – doublent la mise avec Google comme enregistrements MX primaire, secondaire et tertiaire, ainsi que Outlook en quatrième position si les trois serveurs Google devaient ne pas répondre. Ceinture et bretelle aux couleurs des États-Unis en somme.
Un vrai enjeu de souveraineté !
En résumé : si les MX pointent vers Google ou Microsoft, cela prouve que les entreprises américaines ont accès aux emails, peu importe où ils finissent par arriver. Mais nous ne pouvons en déduire rien de plus ; aucun corollaire n’existe à cette affirmation.
Par exemple, les enregistrements MX de Next.ink renvoient vers oui.do, mais ensuite impossible de savoir ce qu’il se passe pour un observateur à l’extérieur ; ils pourraient se retrouver sur un compte Gmail sans que vous le sachiez. Rassurez-vous, chez Next les emails sont bien gérés et stockés en interne chez oui.do (moji), dans leur datacenter à Nanterre.
La gestion des enregistrements MX est donc un enjeu fort quand il s’agit de parler de souveraineté numérique. Problème, beaucoup d’entreprises, start-ups et institutions françaises utilisent encore massivement Google et dans une moindre mesure Microsoft comme point d’entrée des emails.
SPF, DKIM et DMARC : le trio de la sécurité des emails
Terminons enfin avec un point que nous avions déjà abordé il y a quelques années, mais qu’il est bon de rappeler quand on parle email. Il est possible d’ajouter des couches de sécurité avec DKIM, SPF et DMARC, notamment pour éviter que des petits malins ne changent l’expéditeur sans se faire remarquer.
Le Sender Policy Framework (SPF) « permet au serveur qui reçoit un e-mail de s’assurer que ce dernier a bien été envoyé depuis un serveur de confiance », explique OVHcloud. Si vous recevez un email provenant du domaine exemple.com, le SPF permet de vérifier que le serveur est bien autorisé à envoyer des emails au nom de exemple.com.
Avec SPF, on peut donc vérifier que l’email provient d’un serveur autorisé, mais rien de plus. N’importe qui pouvant envoyer des emails en @next.ink pourrait se faire passer pour une autre personne de @next.ink. Pour s’assurer que l’expéditeur du message est, lui aussi, autorisé, un autre protocole existe : DKIM ou DomainKeys Identified Mail.
Il permet « aux propriétaires de domaines de signer automatiquement « les courriels » provenant de leur domaine, tout comme la signature d’un chèque permet de confirmer l’identité de son auteur », explique Cloudflare. DKIM utilise un chiffrement asymétrique : une clé publique sur le serveur email et une clé privée utilisée par l’expéditeur pour signer l’en-tête de l’email.
« Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l’expéditeur a été utilisée en appliquant la clé publique », détaille Cloudflare. Un point important : la vérification de l’expéditeur est de la responsabilité du serveur email rattaché au nom de domaine de l’expéditeur, c’est à lui que revient la charge de s’assurer que l’utilisateur qui envoie l’email est le bon. Comme les utilisateurs doivent s’identifier, cela n’est généralement pas un problème.
Enfin, DMARC (Domain-based Message Authentication Reporting and Conformance) définit ce que doit faire un serveur de messagerie en fonction des résultats de la vérification SPF et DKIM. On parle de « politique DMARC » qui peut être de refuser en bloc les messages échouant aux tests SPF et/ou DKIM, les mettre en quarantaine ou tout simplement les accepter. Oui, un message peut louper son test SPF, échouer à DKIM et arriver tout de même dans votre boite de réception, la fleur au fusil.
Connexion
