Fastmail est un service payant pour les e-mails qui existe depuis de nombreuses années. L’entreprise a pour philosophie de faire payer un abonnement, avec en échange un service rapide, sans tracking ou exploitation des données personnelles, et avec un support rapide et « humain ». Fastmail évoque souvent la sécurité, mais ne peut pas être comparé à Proton par exemple, car les échanges ne sont pas chiffrés de bout en bout par défaut.

Le service a désormais son application desktop pour les trois plateformes principales (des versions mobiles pour Android et iOS existent depuis longtemps). Fastmail n’a pas joué la carte du natif : il s’agit de versions encapsulées de son webmail grâce à Electron.

L’interface est donc identique, avec les mêmes capacités. On trouve quand même quelques bénéfices, comme une meilleure intégration des notifications, le respect du thème défini sur le système ou encore la possibilité de la déclarer comme application par défaut pour les e-mails. Mais dans l’absolu, cette version desktop n’apporte que peu de bénéfices, surtout si vous avez installé le webmail comme application web, capacité que le service exploite déjà bien.

De fait, le nouveau logiciel s’adresse surtout aux personnes abonnées ayant une préférence pour les applications « natives ». Signalons que la version Linux n’est disponible pour l’instant que sous forme d’un flatpak, via Flathub.

F5, reload !

L’entreprise spécialisée dans la gestion de réseau et la cybersécurité a été infiltrée pendant une longue période par un État-nation. Dans la besace des pirates, du code source et des informations sur des failles non encore corrigées. Plus que jamais, il est urgent de se mettre à jour !

F5 est une société américaine spécialisée dans la gestion des réseaux et la sécurité. Elle s’est payée NGINX en 2019 pour 370 millions de dollars. Le produit phare de l’entreprise, BIG-IP, « fournit une suite complète de services application hautement programmables et automatisables pour les charges de travail hybrides et multicloud ». L’entreprise revendique plus de 1 000 clients à travers le monde, et affirme avoir « la confiance de 85 % des entreprises du Fortune 500 ».

Quatre mots : exfiltration, État-nation, longue durée, persistant

F5 vient d’annoncer ce qui peut arriver de pire ou presque : « En août 2025 [le 9 août précisément, ndlr], nous avons appris qu’un acteur malveillant très sophistiqué lié à un État-nation a maintenu sur une longue période un accès persistant à certains systèmes F5 et téléchargeait des fichiers ». Le pays n’est pas précisé, mais plusieurs sources et soupçons ciblent la Chine.

Les documents ne sont pas anodins : « notre environnement de développement de produits BIG-IP et nos plateformes de gestion des connaissances en ingénierie » sont concernées. Cela comprend notamment « des informations sur des vulnérabilités de BIG-IP non divulguées et sur lesquelles [l’entreprise] travaillait ». Pour un « petit pourcentage de clients […] des informations de configuration ou d’implémentation » sont également dans la nature.

La brèche a été colmatée et, depuis, aucune activité malveillante n’a été identifiée par la société. F5 a fait appel à « CrowdStrike, Mandiant et à d’autres experts en cybersécurité » pour l’aider dans ses analyses. Des cabinets de recherche en cybersécurité (NCC Group et IOActive) ont examiné la chaine d’approvisionnement logicielle, sans trouver de trace de compromission, « y compris le code source, les applications et le pipeline de publication ».

Une bonne nouvelle dans cette tempête : « Nous n’avons aucune preuve que l’acteur malveillant ait accédé ou modifié le code source de NGINX ou son environnement de développement, ni qu’il ait accédé ou modifié les produits F5 Distributed Cloud Services ou Silverline ».

La méthode utilisée par les pirates pour infiltrer le réseau de F5 n’est pas précisée, pas plus que la durée pendant laquelle ils sont restés dans les systèmes.

50 CVE, près d’une trentaine à au moins 8,7 sur 10

Le risque est réel. Exploiter une faille des logiciels F5 « pourrait permettre à un acteur malveillant d’accéder aux informations d’identification intégrées et aux clés API, de se déplacer latéralement au sein du réseau d’une organisation, d’exfiltrer des données et d’établir un accès permanent au système ».

Une cinquantaine de CVE sont listées, dont plus de la moitié classées avec un niveau de sévérité élevé. Les scores CVSS grimpent jusqu’à 8,8 sur 10. Une petite trentaine de failles ont un score de 8,7 ou 8,8. Des conseils pour les clients sont disponibles sur cette page.

Mettez-vous à jour, sans attendre (vraiment !)

Des mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et APM sont disponibles. « Nous vous conseillons vivement de mettre à jour ces nouvelles versions dès que possible », ajoute l’entreprise (en gras dans le communiqué).

Le National Cyber Security Centre (NCSC) anglais recommande aussi aux organisations de se mettre à jour sans attendre. La CISA des États-Unis laisse une semaine, jusqu’au 22 octobre 2025, aux agences de la Federal Civilian Executive Branch (FCEB) pour « inventorier les produits F5 BIG-IP, évaluer si les interfaces de gestion en réseau sont accessibles à partir de l’Internet public et appliquer les mises à jour de F5 ». Recommandation de bon sens de la CISA : « Avant d’appliquer la mise à jour, vérifiez les sommes de contrôle MD5 ».

Michael Montoya quitte le conseil et devient directeur des opérations

Dans une notice transmise à la SEC (gendarme boursier américain), F5 précise que « le Département de la Justice des États-Unis a déterminé qu’un report de la divulgation publique était justifié conformément à l’Article 1.05(c) du Formulaire 8-K ».

On y apprend aussi que Michael Montoya a démissionné le 9 octobre de son poste d’administrateur du conseil d’administration, avec effet immédiat. Il était également présent au sein de plusieurs comités de l’entreprise, dont celui des… risques. De 11 places, le conseil passe à 10.

« Sa décision de démissionner du conseil d’administration n’était pas le résultat d’un désaccord avec F5 », affirme l’entreprise. Il reste au sein de l’entreprise, comme directeur des opérations technologiques depuis le 13 octobre.

En bourse, l’effet ne s’est pas fait attendre avec une baisse de 4 % environ du titre, qui revient à ce qu’elle était mi-septembre. Une date est à retenir : le 27 octobre 2025. Ce sera la publication de son bilan annuel et le sujet de cette cyberattaque semble incontournable.

Fastmail est un service payant pour les e-mails qui existe depuis de nombreuses années. L’entreprise a pour philosophie de faire payer un abonnement, avec en échange un service rapide, sans tracking ou exploitation des données personnelles, et avec un support rapide et « humain ». Fastmail évoque souvent la sécurité, mais ne peut pas être comparé à Proton par exemple, car les échanges ne sont pas chiffrés de bout en bout par défaut.

Le service a désormais son application desktop pour les trois plateformes principales (des versions mobiles pour Android et iOS existent depuis longtemps). Fastmail n’a pas joué la carte du natif : il s’agit de versions encapsulées de son webmail grâce à Electron.

L’interface est donc identique, avec les mêmes capacités. On trouve quand même quelques bénéfices, comme une meilleure intégration des notifications, le respect du thème défini sur le système ou encore la possibilité de la déclarer comme application par défaut pour les e-mails. Mais dans l’absolu, cette version desktop n’apporte que peu de bénéfices, surtout si vous avez installé le webmail comme application web, capacité que le service exploite déjà bien.

De fait, le nouveau logiciel s’adresse surtout aux personnes abonnées ayant une préférence pour les applications « natives ». Signalons que la version Linux n’est disponible pour l’instant que sous forme d’un flatpak, via Flathub.

F5, reload !

L’entreprise spécialisée dans la gestion de réseau et la cybersécurité a été infiltrée pendant une longue période par un État-nation. Dans la besace des pirates, du code source et des informations sur des failles non encore corrigées. Plus que jamais, il est urgent de se mettre à jour !

F5 est une société américaine spécialisée dans la gestion des réseaux et la sécurité. Elle s’est payée NGINX en 2019 pour 370 millions de dollars. Le produit phare de l’entreprise, BIG-IP, « fournit une suite complète de services application hautement programmables et automatisables pour les charges de travail hybrides et multicloud ». L’entreprise revendique plus de 1 000 clients à travers le monde, et affirme avoir « la confiance de 85 % des entreprises du Fortune 500 ».

Quatre mots : exfiltration, État-nation, longue durée, persistant

F5 vient d’annoncer ce qui peut arriver de pire ou presque : « En août 2025 [le 9 août précisément, ndlr], nous avons appris qu’un acteur malveillant très sophistiqué lié à un État-nation a maintenu sur une longue période un accès persistant à certains systèmes F5 et téléchargeait des fichiers ». Le pays n’est pas précisé, mais plusieurs sources et soupçons ciblent la Chine.

Les documents ne sont pas anodins : « notre environnement de développement de produits BIG-IP et nos plateformes de gestion des connaissances en ingénierie » sont concernées. Cela comprend notamment « des informations sur des vulnérabilités de BIG-IP non divulguées et sur lesquelles [l’entreprise] travaillait ». Pour un « petit pourcentage de clients […] des informations de configuration ou d’implémentation » sont également dans la nature.

La brèche a été colmatée et, depuis, aucune activité malveillante n’a été identifiée par la société. F5 a fait appel à « CrowdStrike, Mandiant et à d’autres experts en cybersécurité » pour l’aider dans ses analyses. Des cabinets de recherche en cybersécurité (NCC Group et IOActive) ont examiné la chaine d’approvisionnement logicielle, sans trouver de trace de compromission, « y compris le code source, les applications et le pipeline de publication ».

Une bonne nouvelle dans cette tempête : « Nous n’avons aucune preuve que l’acteur malveillant ait accédé ou modifié le code source de NGINX ou son environnement de développement, ni qu’il ait accédé ou modifié les produits F5 Distributed Cloud Services ou Silverline ».

La méthode utilisée par les pirates pour infiltrer le réseau de F5 n’est pas précisée, pas plus que la durée pendant laquelle ils sont restés dans les systèmes.

50 CVE, près d’une trentaine à au moins 8,7 sur 10

Le risque est réel. Exploiter une faille des logiciels F5 « pourrait permettre à un acteur malveillant d’accéder aux informations d’identification intégrées et aux clés API, de se déplacer latéralement au sein du réseau d’une organisation, d’exfiltrer des données et d’établir un accès permanent au système ».

Une cinquantaine de CVE sont listées, dont plus de la moitié classées avec un niveau de sévérité élevé. Les scores CVSS grimpent jusqu’à 8,8 sur 10. Une petite trentaine de failles ont un score de 8,7 ou 8,8. Des conseils pour les clients sont disponibles sur cette page.

Mettez-vous à jour, sans attendre (vraiment !)

Des mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et APM sont disponibles. « Nous vous conseillons vivement de mettre à jour ces nouvelles versions dès que possible », ajoute l’entreprise (en gras dans le communiqué).

Le National Cyber Security Centre (NCSC) anglais recommande aussi aux organisations de se mettre à jour sans attendre. La CISA des États-Unis laisse une semaine, jusqu’au 22 octobre 2025, aux agences de la Federal Civilian Executive Branch (FCEB) pour « inventorier les produits F5 BIG-IP, évaluer si les interfaces de gestion en réseau sont accessibles à partir de l’Internet public et appliquer les mises à jour de F5 ». Recommandation de bon sens de la CISA : « Avant d’appliquer la mise à jour, vérifiez les sommes de contrôle MD5 ».

Michael Montoya quitte le conseil et devient directeur des opérations

Dans une notice transmise à la SEC (gendarme boursier américain), F5 précise que « le Département de la Justice des États-Unis a déterminé qu’un report de la divulgation publique était justifié conformément à l’Article 1.05(c) du Formulaire 8-K ».

On y apprend aussi que Michael Montoya a démissionné le 9 octobre de son poste d’administrateur du conseil d’administration, avec effet immédiat. Il était également présent au sein de plusieurs comités de l’entreprise, dont celui des… risques. De 11 places, le conseil passe à 10.

« Sa décision de démissionner du conseil d’administration n’était pas le résultat d’un désaccord avec F5 », affirme l’entreprise. Il reste au sein de l’entreprise, comme directeur des opérations technologiques depuis le 13 octobre.

En bourse, l’effet ne s’est pas fait attendre avec une baisse de 4 % environ du titre, qui revient à ce qu’elle était mi-septembre. Une date est à retenir : le 27 octobre 2025. Ce sera la publication de son bilan annuel et le sujet de cette cyberattaque semble incontournable.

• 40 % de réduction sur les billets adultes pour les visites du lundi au vendredi en utilisant le code ESCAPEPAW.
• Promotion applicable exclusiveme...

• Les aventures en 3D de Kirby bénéficient elles aussi d'...

Et si votre voiture électrique devenait une centrale de stockage d’énergie ambulante ? C’est la promesse du V2X (Vehicle-to-Everything), une technologie qui permet aux véhicules électriques d’injecter de l’électricité dans le réseau, une maison ou un appareil personnel. En collaboration avec nos confrères et amis d’Automobile Propre, Révolution Énergétique décrypte ce potentiel gigantesque encore largement inexploité en France. Une solution qui pourrait radicalement transformer la gestion des pics de consommation hivernaux et l’intégration des énergies renouvelables intermittentes.

Un potentiel équivalent à six réacteurs nucléaires

Les chiffres donnent le vertige. Avec 1,3 million de véhicules électriques fin 2024 selon l’Avere-France, le parc français représente une capacité de stockage de 45 GWh et une puissance cumulée de 9,1 GW. Pour donner un ordre de grandeur : l’équivalent de cinq à six réacteurs nucléaires EPR de dernière génération comme celui de Flamanville (1,65 GW), ou du double du système de pompage-turbinage de Montézic, deuxième plus grand dispositif de stockage hydraulique français avec 30 GWh de capacité.

Mieux encore : avec une moyenne de 35 kWh par batterie et 7 kW de puissance de recharge bidirectionnelle, chaque véhicule pourrait alimenter un foyer moyen pendant plusieurs jours hors chauffage. « Le potentiel est là, il suffit de l’exploiter », souligne Hugo, rédacteur en chef de Révolution Énergétique. Et ce n’est qu’un début : la part des véhicules électriques dans le parc roulant total ne représente que 2 à 3 %, mais les ventes atteignent déjà 13 % du marché neuf.

V2G, V2L, V2H, V1G : des technos qui augmentent les fonctionnalités d’une voiture électrique

Quatre technologies coexistent aujourd’hui, chacune avec ses usages spécifiques. Le V2L (Vehicle-to-Load) équipe déjà 10 à 20 % des modèles neufs comme par exemple la Dacia Spring, la Renault 5, ou les coréennes Kia EV6 et EV9. Cette fonction permet d’alimenter des appareils électriques via un simple adaptateur branché sur la prise de recharge, avec une puissance de 3,6 à 3,7 kW. Idéal pour un professionnel utilisant des outils électriques ou pour une raclette en montagne, entre autres.

Le V2G reste ultra confidentiel en France : seule la Renault 5 le propose parmi les modèles récents, aux côtés de véhicules historiques jamais exploités (Nissan Leaf première génération, Mitsubishi i-MiEV). Cette technologie exige un cadre réglementaire strict pour communiquer avec le réseau électrique national et rémunérer les utilisateurs qui mettent leur batterie à disposition pendant les pics de consommation. Un système d’autopartage innovant utilisant le V2G est opérationnel aux Pays-Bas.

Entre les deux, le V1G (charge monodirectionnelle intelligente) se développe rapidement avec plusieurs fournisseurs d’électricité proposant déjà des contrats de pilotage intelligent. Le principe : la borne coupe ou réduit automatiquement la recharge lors des tensions sur le réseau, puis recharge massivement quand les prix de l’électricité chutent. Quelques dizaines d’euros de rémunération mensuelle sont possibles.

Le V2H (Vehicle-to-Home) transforme chaque voiture en batterie de stockage domestique, rendant obsolète l’achat d’un système de stockage séparé pour les installations solaires en autoconsommation. Mais cette solution nécessite des adaptations électriques (compteur communicant, disjoncteur d’isolement) et un cadre réglementaire encore flou.

Le potentiel colossal d’un parc automobile très électrifié

Le potentiel est colossal, mais l’adoption reste freinée par la complexité technique et réglementaire. « Le V2G, c’est un plan à mettre en place à l’échelle d’un pays. Il faut que les constructeurs, les fournisseurs d’énergie, les gestionnaires de réseau se parlent », explique Pierre Desjardin, rédacteur en chef d’Automobile Propre.

Pourtant, les enjeux sont majeurs : soulager le réseau lors des pointes hivernales sans recourir aux centrales à charbon, fioul ou à gaz, faciliter l’intégration de l’éolien et du solaire, et offrir une source de revenus complémentaires aux propriétaires de véhicules électriques. Avec seulement 2 à 3 % du parc automobile électrifié aujourd’hui, la France n’a encore rien vu de ce que ces technologies peuvent apporter à la transition énergétique dans les cinq prochaines années.

L’article V2G, V2L, V2H : voici les pouvoirs secrets des voitures électriques est apparu en premier sur Révolution Énergétique.