Arround the World

Plus de dix ans après sa précédente tentative, Valve retente sa chance sur le marché des consoles de salon avec une nouvelle Steam Machine, un casque VR et une manette revisitée. Cette fois cependant, l’entreprise a des arguments autrement plus convaincants, en tout cas sur le papier.

Steam Machine

Le cœur de la nouvelle offre matérielle est la Steam Machine. C’est l’équivalent du Steam Deck pour le salon, avec un matériel plus adapté. La Steam Machine est ainsi présentée comme six fois plus puissante que la console portable.

Le cœur de la nouvelle bête est un processeur AMD doté de six cœurs Zen 4 pouvant grimper jusqu’à 4,8 GHz (TDP de 30 W), épaulé par 16 Go de DDR5. Côté graphique, on trouve un GPU AMD RDNA 3 « Navi 33 » équipé de 8 Go de mémoire GDDR6 (TDP de 110 W). Selon The Verge qui était présent à l’évènement de lancement, ce GPU se rapproche des Radeon RX 7600 et 7700, dont la puissance théorique est équivalente ou supérieure à ce que peut fournir une PS5 Pro.

Côté performances, nos confrères disent avoir vu fonctionner le benchmark intégré à Cyberpunk 2077 à une moyenne de 65 images par seconde sur un téléviseur 4K, avec réglages ray tracing positionnés en moyen. Il ne s’agissait cependant pas d’une définition native de l’image, mais d’un 1080p mis à l’échelle via le FSR 3.0 d’AMD. Avec une 4K native, la moyenne était de 24 i/s, mais The Verge fait remarquer que les autres consoles n’utilisent généralement pas non plus la 4K native avec les jeux exigeants.

L’ensemble est intégré dans un boitier cubique de 160 mm d’arête dont l’alimentation est interne. Le refroidissement est assuré par un vaste radiateur à ailettes, des caloducs et un ventilateur de 120 mm dont les pales ont été travaillées pour le silence, selon Valve. En plus du SSD fourni (de 512 Go ou 2 To), la machine contient une baie M2 2280 qui peut accueillir les SSD de taille standard et les modèles plus petits M2 2230 (utilisés notamment par le Steam Deck).

La Steam Machine, qui joue la carte de la sobriété, dispose en outre d’une façade interchangeable. Elle permet de faire varier le style de la console, avec du bois ou autre matériau. The Verge a pu également observer un panneau avec écran e-paper intégré pour afficher des informations sur le fonctionnement de la machine. Ces panneaux s’enlèvent et s’installent via un support magnétique. Valve a indiqué que les fichiers CAO correspondants seraient fournis pour que tout le monde puisse imprimer et/ou fabriquer ses propres panneaux. La personnalisation s’étend à la barre lumineuse sur la façade avant, qui permet d’afficher des informations comme la progression d’un téléchargement. La couleur et l’animation peuvent être changées, et il sera possible de l’éteindre complètement.

La console sera mise en vente début 2026, en deux versions, avec 512 Go ou 2 To de stockage. Elle sera vendue avec ou sans la nouvelle manette, mais Valve n’a pas encore communiqué sur les prix. On retrouvera dans tous les cas deux sorties vidéo (HDMI 2.0 et DisplayPort 1.4), quatre ports USB-A (deux USB 2 et deux USB 3), un port USB-C 10 Gbit/s, un port Ethernet Gigabit, du Wi-Fi 6E (en 2×2) et du Bluetooth 5.3. Sans surprise, la Steam Machine fonctionnera sur SteamOS (basée sur Arch avec KDE Plasma), qui accompagne déjà le Steam Deck.

Signalons enfin que la console peut être aussi bien utilisée au salon avec une manette que sur un bureau avec un clavier et une souris.

Des arguments nettement plus convaincants qu’il y a dix ans

La Steam Machine pourrait rencontrer le succès, là où la précédente tentative de Valve a échoué dans les grandes largeurs. D’une part parce que Valve sera l’unique distributeur de la Steam Machine, alors que la précédente version était davantage un modèle que tous les constructeurs pouvaient reproduire, avec de grands écarts dans les configurations et l’expérience. D’autre part car le contexte a grandement évolué.

On parle bien désormais de Linux comme d’une plateforme de jeu plus que crédible. Valve est pour beaucoup dans cette évolution grâce au Steam Deck, dont le succès incontestable repose sur Proton. Cette couche d’émulation, basée sur Wine, a largement contribué à lubrifier toute la mécanique nécessaire à l’exécution des jeux Windows sur système Linux, avec le plus souvent des performances équivalentes, voire supérieures. Certaines distributions, dont GLF OS, capitalisent sur ce succès croissant.

• Sur Steam, la part de marché de Linux franchit pour la première fois les 3 %

Steam est aujourd’hui de loin la plus grosse boutique en ligne de jeux vidéo, avec environ 100 000 titres référencés. Beaucoup peuvent être joués sur le Steam Deck, mais la Steam Machine, beaucoup plus puissante, déverrouille presque tout le reste du catalogue. Les 16 Go pourraient se révéler un peu justes dans les prochaines années, mais le vrai cheval de bataille sera le support des jeux par Proton. Le site ProtonDB permet d’ailleurs de suivre le niveau de prise en charge pour chaque titre.

Steam Frame, le nouveau casque VR

Valve retente également sa chance dans le domaine de la réalité virtuelle avec le Steam Frame, qui doit faire oublier le précédent casque, l’Index. Pesant 440 g (contre 809 g pour l’Index), il dispose de deux modes de fonctionnement : soit indépendant, grâce à sa puce Arm et son stockage intégrés (un port microSD est aussi présent), soit comme un écran déporté en exploitant un dongle 6 GHz à brancher sur le PC de jeu (ou la Steam Machine, bien sûr).

L’idée de Valve est simple avec le casque : tous les jeux de votre bibliothèque Steam doivent être jouables sur le Frame, sans fil. The Verge, qui l’a également testé, évoque un très bon confort, avec notamment « un coussin facial particulièrement moelleux et soyeux », ainsi qu’une bonne répartition du poids, la batterie étant placée à l’arrière de la tête.

La solution de Valve est assez originale pour faire fonctionner les jeux. La puce embarquée est en effet un Snapdragon 8 Gen 3, ce qui nécessite une grosse adaptation pour faire tourner des jeux développés pour x86. Un émulateur, nommé Fex, s’occupe ainsi des adaptations en temps réel, mais nos confrères pointent des « accrocs » dans les jeux, dont Hades II et Hollow Knight Silksong.

Valve s’est montrée proactive sur le sujet, indiquant qu’il sera possible de télécharger des versions préconverties du code, de la même manière que le Steam Deck permet de télécharger des shaders précalculés. De manière générale, nos confrères n’ont pas été impressionnés par les performances, mais Valve a évoqué des bugs et promis des optimisations à venir au cours des prochains mois.

La partie matérielle n’est pas non plus la meilleure de sa catégorie, loin de là. Les deux écrans sont de type LCD, avec des définitions de 2160 x 2160. Le passthrough est monochrome, quand le Meta Quest 3D, vendu 300 dollars, dispose d’un passthrough couleur. Pas un problème selon Valve cependant, le Frame ayant été pensé pour le jeu, le passthrough des caméras extérieures n’est là que pour assurer un positionnement. La sangle intègre également deux haut-parleurs de chaque côté, afin d’annuler les vibrations qu’ils engendrent.

À noter que Valve a indiqué à Gamers Nexus que le Frame serait capable de charger les fichiers APK des applications Android, ce qui devrait lui ouvrir de plus amples capacités. Sans surprise, l’autonomie dépendra de l’utilisation. La batterie fournie permet de délivrer 21,6 Wh, soit environ la moitié du Steam Deck. Il sera cependant possible de brancher n’importe quelle batterie d’au moins 45 W via un port USB-C.

Comme pour la Steam Machine, le Steam Frame sera lancé début 2026, sans plus de précisions pour le moment. Le tarif n’a pas non plus été donné.

Le Steam Controller fait peau neuve

En 2013, Valve avait également lancé une manette. Le pari était alors osé, car en lieu et place des contrôles habituels, le Steam Controller proposait deux pads circulaires tactiles. Le stick analogique et les quatre boutons étaient disposés en-dessous et très rapprochés. Aucune croix directionnelle sur cette première manette. L’ensemble fournissait une expérience très différente de ce que l’on pouvait trouver (et que l’on trouve encore) sur les manettes de PlayStation et Xbox.

Entre temps, Valve a cependant lancé son Steam Deck et le travail réalisé sur la console a servi de base pour une nouvelle version de la manette. Les contrôles ressemblent beaucoup plus à ce que l’on trouve ailleurs, avec la croix et les quatre boutons sur les bords, deux sticks analogiques plus centrés, ainsi que deux zones tactiles carrées sur le bas de la manette.

Sur son site, Valve décrit ses sticks comme magnétiques, avec « sensation améliorée, une meilleure réactivité et une fiabilité à long terme ». Les vibrations sont présentées comme « haute définition », avec retour haptique « précis et immersif ». Le nouveau Steam Controller dispose également d’une visée gyroscopique à la demande : si l’on appuie sur les poignées situées sous la manette de chaque côté, on active la visée, qui se coupe quand on relâche la pression. Les pavés tactiles sont décrits comme particulièrement précis, au point de pouvoir être utilisés dans les FPS.

La manette est prévue pour fonctionner partout où Steam est installé, des ordinateurs classiques à la Steam Machine, en passant par le Steam Frame et le Steam Deck. La manette, elle aussi lancée début 2026 (aucun tarif annoncé), sera entièrement personnalisable et présentera deux boutons pour les fonctions maison : un bouton Steam qui sert d’accès à la bibliothèque et de bouton marche/arrêt, et un accès rapide pour les accès aux notifications, contacts, discussions et autres.

Arround the World

Plus de dix ans après sa précédente tentative, Valve retente sa chance sur le marché des consoles de salon avec une nouvelle Steam Machine, un casque VR et une manette revisitée. Cette fois cependant, l’entreprise a des arguments autrement plus convaincants, en tout cas sur le papier.

Steam Machine

Le cœur de la nouvelle offre matérielle est la Steam Machine. C’est l’équivalent du Steam Deck pour le salon, avec un matériel plus adapté. La Steam Machine est ainsi présentée comme six fois plus puissante que la console portable.

Le cœur de la nouvelle bête est un processeur AMD doté de six cœurs Zen 4 pouvant grimper jusqu’à 4,8 GHz (TDP de 30 W), épaulé par 16 Go de DDR5. Côté graphique, on trouve un GPU AMD RDNA 3 « Navi 33 » équipé de 8 Go de mémoire GDDR6 (TDP de 110 W). Selon The Verge qui était présent à l’évènement de lancement, ce GPU se rapproche des Radeon RX 7600 et 7700, dont la puissance théorique est équivalente ou supérieure à ce que peut fournir une PS5 Pro.

Côté performances, nos confrères disent avoir vu fonctionner le benchmark intégré à Cyberpunk 2077 à une moyenne de 65 images par seconde sur un téléviseur 4K, avec réglages ray tracing positionnés en moyen. Il ne s’agissait cependant pas d’une définition native de l’image, mais d’un 1080p mis à l’échelle via le FSR 3.0 d’AMD. Avec une 4K native, la moyenne était de 24 i/s, mais The Verge fait remarquer que les autres consoles n’utilisent généralement pas non plus la 4K native avec les jeux exigeants.

L’ensemble est intégré dans un boitier cubique de 160 mm d’arête dont l’alimentation est interne. Le refroidissement est assuré par un vaste radiateur à ailettes, des caloducs et un ventilateur de 120 mm dont les pales ont été travaillées pour le silence, selon Valve. En plus du SSD fourni (de 512 Go ou 2 To), la machine contient une baie M2 2280 qui peut accueillir les SSD de taille standard et les modèles plus petits M2 2230 (utilisés notamment par le Steam Deck).

La Steam Machine, qui joue la carte de la sobriété, dispose en outre d’une façade interchangeable. Elle permet de faire varier le style de la console, avec du bois ou autre matériau. The Verge a pu également observer un panneau avec écran e-paper intégré pour afficher des informations sur le fonctionnement de la machine. Ces panneaux s’enlèvent et s’installent via un support magnétique. Valve a indiqué que les fichiers CAO correspondants seraient fournis pour que tout le monde puisse imprimer et/ou fabriquer ses propres panneaux. La personnalisation s’étend à la barre lumineuse sur la façade avant, qui permet d’afficher des informations comme la progression d’un téléchargement. La couleur et l’animation peuvent être changées, et il sera possible de l’éteindre complètement.

La console sera mise en vente début 2026, en deux versions, avec 512 Go ou 2 To de stockage. Elle sera vendue avec ou sans la nouvelle manette, mais Valve n’a pas encore communiqué sur les prix. On retrouvera dans tous les cas deux sorties vidéo (HDMI 2.0 et DisplayPort 1.4), quatre ports USB-A (deux USB 2 et deux USB 3), un port USB-C 10 Gbit/s, un port Ethernet Gigabit, du Wi-Fi 6E (en 2×2) et du Bluetooth 5.3. Sans surprise, la Steam Machine fonctionnera sur SteamOS (basée sur Arch avec KDE Plasma), qui accompagne déjà le Steam Deck.

Signalons enfin que la console peut être aussi bien utilisée au salon avec une manette que sur un bureau avec un clavier et une souris.

Des arguments nettement plus convaincants qu’il y a dix ans

La Steam Machine pourrait rencontrer le succès, là où la précédente tentative de Valve a échoué dans les grandes largeurs. D’une part parce que Valve sera l’unique distributeur de la Steam Machine, alors que la précédente version était davantage un modèle que tous les constructeurs pouvaient reproduire, avec de grands écarts dans les configurations et l’expérience. D’autre part car le contexte a grandement évolué.

On parle bien désormais de Linux comme d’une plateforme de jeu plus que crédible. Valve est pour beaucoup dans cette évolution grâce au Steam Deck, dont le succès incontestable repose sur Proton. Cette couche d’émulation, basée sur Wine, a largement contribué à lubrifier toute la mécanique nécessaire à l’exécution des jeux Windows sur système Linux, avec le plus souvent des performances équivalentes, voire supérieures. Certaines distributions, dont GLF OS, capitalisent sur ce succès croissant.

• Sur Steam, la part de marché de Linux franchit pour la première fois les 3 %

Steam est aujourd’hui de loin la plus grosse boutique en ligne de jeux vidéo, avec environ 100 000 titres référencés. Beaucoup peuvent être joués sur le Steam Deck, mais la Steam Machine, beaucoup plus puissante, déverrouille presque tout le reste du catalogue. Les 16 Go pourraient se révéler un peu justes dans les prochaines années, mais le vrai cheval de bataille sera le support des jeux par Proton. Le site ProtonDB permet d’ailleurs de suivre le niveau de prise en charge pour chaque titre.

Steam Frame, le nouveau casque VR

Valve retente également sa chance dans le domaine de la réalité virtuelle avec le Steam Frame, qui doit faire oublier le précédent casque, l’Index. Pesant 440 g (contre 809 g pour l’Index), il dispose de deux modes de fonctionnement : soit indépendant, grâce à sa puce Arm et son stockage intégrés (un port microSD est aussi présent), soit comme un écran déporté en exploitant un dongle 6 GHz à brancher sur le PC de jeu (ou la Steam Machine, bien sûr).

L’idée de Valve est simple avec le casque : tous les jeux de votre bibliothèque Steam doivent être jouables sur le Frame, sans fil. The Verge, qui l’a également testé, évoque un très bon confort, avec notamment « un coussin facial particulièrement moelleux et soyeux », ainsi qu’une bonne répartition du poids, la batterie étant placée à l’arrière de la tête.

La solution de Valve est assez originale pour faire fonctionner les jeux. La puce embarquée est en effet un Snapdragon 8 Gen 3, ce qui nécessite une grosse adaptation pour faire tourner des jeux développés pour x86. Un émulateur, nommé Fex, s’occupe ainsi des adaptations en temps réel, mais nos confrères pointent des « accrocs » dans les jeux, dont Hades II et Hollow Knight Silksong.

Valve s’est montrée proactive sur le sujet, indiquant qu’il sera possible de télécharger des versions préconverties du code, de la même manière que le Steam Deck permet de télécharger des shaders précalculés. De manière générale, nos confrères n’ont pas été impressionnés par les performances, mais Valve a évoqué des bugs et promis des optimisations à venir au cours des prochains mois.

La partie matérielle n’est pas non plus la meilleure de sa catégorie, loin de là. Les deux écrans sont de type LCD, avec des définitions de 2160 x 2160. Le passthrough est monochrome, quand le Meta Quest 3D, vendu 300 dollars, dispose d’un passthrough couleur. Pas un problème selon Valve cependant, le Frame ayant été pensé pour le jeu, le passthrough des caméras extérieures n’est là que pour assurer un positionnement. La sangle intègre également deux haut-parleurs de chaque côté, afin d’annuler les vibrations qu’ils engendrent.

À noter que Valve a indiqué à Gamers Nexus que le Frame serait capable de charger les fichiers APK des applications Android, ce qui devrait lui ouvrir de plus amples capacités. Sans surprise, l’autonomie dépendra de l’utilisation. La batterie fournie permet de délivrer 21,6 Wh, soit environ la moitié du Steam Deck. Il sera cependant possible de brancher n’importe quelle batterie d’au moins 45 W via un port USB-C.

Comme pour la Steam Machine, le Steam Frame sera lancé début 2026, sans plus de précisions pour le moment. Le tarif n’a pas non plus été donné.

Le Steam Controller fait peau neuve

En 2013, Valve avait également lancé une manette. Le pari était alors osé, car en lieu et place des contrôles habituels, le Steam Controller proposait deux pads circulaires tactiles. Le stick analogique et les quatre boutons étaient disposés en-dessous et très rapprochés. Aucune croix directionnelle sur cette première manette. L’ensemble fournissait une expérience très différente de ce que l’on pouvait trouver (et que l’on trouve encore) sur les manettes de PlayStation et Xbox.

Entre temps, Valve a cependant lancé son Steam Deck et le travail réalisé sur la console a servi de base pour une nouvelle version de la manette. Les contrôles ressemblent beaucoup plus à ce que l’on trouve ailleurs, avec la croix et les quatre boutons sur les bords, deux sticks analogiques plus centrés, ainsi que deux zones tactiles carrées sur le bas de la manette.

Sur son site, Valve décrit ses sticks comme magnétiques, avec « sensation améliorée, une meilleure réactivité et une fiabilité à long terme ». Les vibrations sont présentées comme « haute définition », avec retour haptique « précis et immersif ». Le nouveau Steam Controller dispose également d’une visée gyroscopique à la demande : si l’on appuie sur les poignées situées sous la manette de chaque côté, on active la visée, qui se coupe quand on relâche la pression. Les pavés tactiles sont décrits comme particulièrement précis, au point de pouvoir être utilisés dans les FPS.

La manette est prévue pour fonctionner partout où Steam est installé, des ordinateurs classiques à la Steam Machine, en passant par le Steam Frame et le Steam Deck. La manette, elle aussi lancée début 2026 (aucun tarif annoncé), sera entièrement personnalisable et présentera deux boutons pour les fonctions maison : un bouton Steam qui sert d’accès à la bibliothèque et de bouton marche/arrêt, et un accès rapide pour les accès aux notifications, contacts, discussions et autres.

Horizon, c'est une licence qui appartient à Sony qui en avait fait un cheval de bataille pour promouvoir la PlayStation 4 et 5. Deux titres la composent : Horizon Zero Dawn et Horizon Forbidden West, mettant en scène les aventures pas singulières d'une femme nommé Aloy au passé et aux racines dévoil...

J’ai mal à ma souveraineté

88 % des 200 startups qui composent les trois classements de référence de la French Tech font transiter leurs emails par des outils fournis par des acteurs basés aux États-Unis. Sur les 176 entreprises concernées, 171 font confiance à Google et Microsoft. Ce chiffre illustre l’omniprésence des géants américains dans les entreprises françaises et soulève évidemment des questions sur la souveraineté.

La semaine dernière, la mission French Tech a dévoilé sa liste des 80 lauréats pour la seconde édition de la French Tech 2030. Ils sont présentés comme « les nouveaux bâtisseurs de la souveraineté technologique française », mais qu’en est-il de leurs fondations ?

Nous avons regardé à qui les 80 qui « développent des solutions stratégiques » confient leur emails. Nous avons ensuite élargi nos analyses aux startups du programme French Tech Next40/120, dédié « aux 120 scale-up françaises les plus performantes, en capacité de devenir les leaders technologiques de rang mondial ».

Des bâtisseurs de la souveraineté sur des piliers américains

Comme expliqué dans le premier volet de cette enquête, il suffit pour cela de regarder les enregistrements MX du nom de domaine de l’entreprise. Ce sont les serveurs vers lesquels les emails sont automatiquement redirigés afin d’être traités. Ils peuvent suivre un chemin plus ou moins long et tortueux par la suite, mais si le MX renvoie vers Google.com, alors Google est la porte d’entrée de tous les emails associés au nom de domaine de l’entreprise étudiée.

• Les emails : analyse technique et enjeux de souveraineté

La grande majorité des emails de la French Tech va chez Google et Microsoft, avec respectivement 30 et 32 entreprises sur les 80 de la seconde série de lauréats French Tech 2030. Les deux acteurs américains représentent donc près de 80 % de ce marché spécifique.

Le troisième sur le podium est le français OVHcloud, mais il n’est utilisé que par 4 des 80 entreprises de la French Tech 2030… soit seulement 5 % des startups concernées. Deux gèrent leurs e-mails en interne – Space Dreams et Keysom –, tout du moins les MX Domains puisque ces derniers renvoient vers leur propre domaine.

Voici le tableau complet des MX Domains de chaque entreprise lauréate de la French Tech 2030 :

Valve a sacrément bien joué le coup et très peu de choses ont fuité les jours précédant l'annonce, alors qu'on découvre que bien du monde était en réalité dans la confidence. C'est ainsi que, dans la quasi-surprise générale, l'entreprise a dévoilé hier, le 12 novembre 2025, trois nouveaux appareils...

Read more of this story at Slashdot.

La Shield TV reçoit une nouvelle mise à jour qui vise particulièrement à l’amélioration de son accessibilité. Mis à part un bug mineur de son avec le service de streaming Disney+, l’ensemble de la version 9.2.2 se penche sur le problème du handicap.

La Nvidia Shield TV propose de faciliter son usage pour les personnes ayant divers handicaps. Des technologies d’assistance sont proposées dans une mise à jour de 1 Go à télécharger.

Des améliorations notables sont proposées. Des signaux sonores permettront par exemple de savoir quand les manettes et télécommandes seront appairées correctement. L’ajout de la fonction « Bounce Keys » qui permet d’ignorer les actions répétées sur une touche provoquées par certaines maladies et handicaps. Cela évite une manipulation hasardeuse en cas de tremblements par exemple. Une fonction permettra de répéter des séquences de touches en formant des sortes de « macros » pour ne pas avoir à relancer tout un cheminement de navigation. C’est particulièrement pratique pour lancer, par exemple, son programme préféré sans avoir à naviguer dans tous les menus. D’autres réglages d’attente et de navigation sont disponibles.

La Shield proposera désormais la prise en charge d’une synthèse vocale dans 23 langues dont le français. Elle s’appuie sur la technologie de synthèse de Google et permettra d’exploiter la TV Box en naviguant dans les menus et les titres qui seront lus par la machine. Bref, un gros effort sur l’accessibilité et comme toujours une remarquable persistance de la marque pour continuer à faire vivre un engin lancé en… 2017.

La Nvidia Shield se penche sur son accessibilité © MiniMachines.net. 2025

Pseudoscience de la comparaison

Les benchmarks de LLM pullulent mais aucun, ou presque, ne semble s’appuyer sur un travail réellement scientifique, analysent des chercheurs. Ils appellent à une plus grande rigueur.

À chaque publication d’un nouveau modèle pour l’IA générative, l’entreprise qui l’a conçu nous montre par des graphiques qu’il égale ou surpasse ses congénères, en s’appuyant sur des « benchmarks » qu’elle a soigneusement choisis.

Plusieurs études montraient déjà qu’en pratique, ces « bancs de comparaison » n’étaient pas très efficaces pour mesurer les différences entre les modèles, ce qui est pourtant leur raison d’être.

• Raisonnement des IA génératives : les benchmarks nous désinforment

Un nouveau travail scientifique, mené par 23 experts, a évalué 445 benchmarks de LLM. Il a été mis en ligne sur la plateforme de preprints arXiv et sera présenté à la conférence scientifique NeurIPS 2025 début décembre.

Une faible majorité s’appuie sur une méthode théorique robuste

Déjà, une faible majorité (53,4 %) des articles présentant ces 445 benchmarks proposent des preuves de leur validité conceptuelle, expliquent les chercheurs. 35 % comparent le benchmark proposé à d’autres déjà existants, 32 % à une référence humaine et 31 % à un cadre plus réaliste, permettant de comprendre les similitudes et les différences.

Avant de mesurer un phénomène avec un benchmark, il faut le définir. Selon cette étude, 41 % des phénomènes étudiés par ces benchmarks sont bien définis, mais 37 % d’entre eux le sont de manière vague. Ainsi, quand un benchmark affirme mesurer l’ « innocuité » d’un modèle, il est difficile de savoir de quoi on parle exactement. Et même 22 % des phénomènes étudiés par ces benchmarks ne sont pas définis du tout.

16 % seulement utilisent des tests statistiques pour comparer les résultats

De plus, les chercheurs montrent que la plupart de ces benchmarks ne produisent pas des mesures valides statistiquement. Ainsi, 41 % testent exclusivement en vérifiant que les réponses d’un LLM correspondent exactement à ce qui est attendu sans regarder si elles s’en approchent plus ou moins. 81 % d’entre eux utilisent au moins partiellement ce genre de correspondance exacte de réponses. Mais surtout, seulement 16 % des benchmarks étudiés utilisent des estimations d’incertitude ou des tests statistiques pour comparer les résultats. « Cela signifie que les différences signalées entre les systèmes ou les affirmations de supériorité pourraient être dues au hasard plutôt qu’à une réelle amélioration », explique le communiqué d’Oxford présentant l’étude.

Enfin, les chercheurs expliquent qu’une bonne partie des benchmarks ne séparent pas bien les tâches qu’ils analysent. Ainsi, comme ils le spécifient dans le même communiqué, « un test peut demander à un modèle de résoudre un casse-tête logique simple, mais aussi lui demander de présenter la réponse dans un format très spécifique et compliqué. Si le modèle résout correctement le casse-tête, mais échoue au niveau du formatage, il semble moins performant qu’il ne l’est en réalité ».

« « Mesurer ce qui a de l’importance » exige un effort conscient et soutenu »

Dans leur étude, les chercheurs ne font pas seulement des constats. Ils ajoutent des recommandations. Ils demandent notamment à ceux qui établissent des benchmarks de définir clairement les phénomènes qu’ils étudient et de justifier la validité conceptuelle de leur travail.

Pour eux, les créateurs de benchmarks doivent s’assurer de « mesurer le phénomène et uniquement le phénomène » qu’ils étudient, de construire un jeu de données représentatif de la tâche testée et d’utiliser des méthodes statistiques pour comparer les modèles entre eux. Enfin, ils leur conseillent de mener, après avoir conçu leur benchmark, une analyse des erreurs « qui permet de révéler les types d’erreurs commises par les modèles », ce qui permet de comprendre en quoi le benchmark en question est réellement utile.

« En fin de compte, « mesurer ce qui a de l’importance » exige un effort conscient et soutenu de la part de la communauté scientifique pour donner la priorité à la validité conceptuelle, en favorisant un changement culturel vers une validation plus explicite et plus rigoureuse des méthodologies d’évaluation », concluent-ils.

« Les benchmarks sous-tendent presque toutes des affirmations concernant les progrès de l’IA », explique Andrew Bean, dans le communiqué, « mais sans définitions communes et sans mesures fiables, il devient difficile de savoir si les modèles s’améliorent réellement ou s’ils en donnent simplement l’impression ».

Pseudoscience de la comparaison

Les benchmarks de LLM pullulent mais aucun, ou presque, ne semble s’appuyer sur un travail réellement scientifique, analysent des chercheurs. Ils appellent à une plus grande rigueur.

À chaque publication d’un nouveau modèle pour l’IA générative, l’entreprise qui l’a conçu nous montre par des graphiques qu’il égale ou surpasse ses congénères, en s’appuyant sur des « benchmarks » qu’elle a soigneusement choisis.

Plusieurs études montraient déjà qu’en pratique, ces « bancs de comparaison » n’étaient pas très efficaces pour mesurer les différences entre les modèles, ce qui est pourtant leur raison d’être.

• Raisonnement des IA génératives : les benchmarks nous désinforment

Un nouveau travail scientifique, mené par 23 experts, a évalué 445 benchmarks de LLM. Il a été mis en ligne sur la plateforme de preprints arXiv et sera présenté à la conférence scientifique NeurIPS 2025 début décembre.

Une faible majorité s’appuie sur une méthode théorique robuste

Déjà, une faible majorité (53,4 %) des articles présentant ces 445 benchmarks proposent des preuves de leur validité conceptuelle, expliquent les chercheurs. 35 % comparent le benchmark proposé à d’autres déjà existants, 32 % à une référence humaine et 31 % à un cadre plus réaliste, permettant de comprendre les similitudes et les différences.

Avant de mesurer un phénomène avec un benchmark, il faut le définir. Selon cette étude, 41 % des phénomènes étudiés par ces benchmarks sont bien définis, mais 37 % d’entre eux le sont de manière vague. Ainsi, quand un benchmark affirme mesurer l’ « innocuité » d’un modèle, il est difficile de savoir de quoi on parle exactement. Et même 22 % des phénomènes étudiés par ces benchmarks ne sont pas définis du tout.

16 % seulement utilisent des tests statistiques pour comparer les résultats

De plus, les chercheurs montrent que la plupart de ces benchmarks ne produisent pas des mesures valides statistiquement. Ainsi, 41 % testent exclusivement en vérifiant que les réponses d’un LLM correspondent exactement à ce qui est attendu sans regarder si elles s’en approchent plus ou moins. 81 % d’entre eux utilisent au moins partiellement ce genre de correspondance exacte de réponses. Mais surtout, seulement 16 % des benchmarks étudiés utilisent des estimations d’incertitude ou des tests statistiques pour comparer les résultats. « Cela signifie que les différences signalées entre les systèmes ou les affirmations de supériorité pourraient être dues au hasard plutôt qu’à une réelle amélioration », explique le communiqué d’Oxford présentant l’étude.

Enfin, les chercheurs expliquent qu’une bonne partie des benchmarks ne séparent pas bien les tâches qu’ils analysent. Ainsi, comme ils le spécifient dans le même communiqué, « un test peut demander à un modèle de résoudre un casse-tête logique simple, mais aussi lui demander de présenter la réponse dans un format très spécifique et compliqué. Si le modèle résout correctement le casse-tête, mais échoue au niveau du formatage, il semble moins performant qu’il ne l’est en réalité ».

« « Mesurer ce qui a de l’importance » exige un effort conscient et soutenu »

Dans leur étude, les chercheurs ne font pas seulement des constats. Ils ajoutent des recommandations. Ils demandent notamment à ceux qui établissent des benchmarks de définir clairement les phénomènes qu’ils étudient et de justifier la validité conceptuelle de leur travail.

Pour eux, les créateurs de benchmarks doivent s’assurer de « mesurer le phénomène et uniquement le phénomène » qu’ils étudient, de construire un jeu de données représentatif de la tâche testée et d’utiliser des méthodes statistiques pour comparer les modèles entre eux. Enfin, ils leur conseillent de mener, après avoir conçu leur benchmark, une analyse des erreurs « qui permet de révéler les types d’erreurs commises par les modèles », ce qui permet de comprendre en quoi le benchmark en question est réellement utile.

« En fin de compte, « mesurer ce qui a de l’importance » exige un effort conscient et soutenu de la part de la communauté scientifique pour donner la priorité à la validité conceptuelle, en favorisant un changement culturel vers une validation plus explicite et plus rigoureuse des méthodologies d’évaluation », concluent-ils.

« Les benchmarks sous-tendent presque toutes des affirmations concernant les progrès de l’IA », explique Andrew Bean, dans le communiqué, « mais sans définitions communes et sans mesures fiables, il devient difficile de savoir si les modèles s’améliorent réellement ou s’ils en donnent simplement l’impression ».

Knock knock

Un email, c’est une carte postale. La métaphore n’est pas nouvelle, mais elle n’en reste pas moins toujours vraie. Mais savez-vous vraiment comment circulent les emails et qui peut y accéder ? Next vous explique leur fonctionnement et comment vérifier qui y a potentiellement accès.

En marge de notre dossier sur le fonctionnement en profondeur d’Internet, nous avons décidé de nous pencher sur les emails. Ils sont utilisés par tout le monde, parfois pour des futilités, parfois pour des choses importantes. Ils constituent aussi un enjeu de souveraineté, malheureusement trop souvent pris à la légère.

• [Dossier] Internet, mode d’emploi : une URL c’est quoi ? (partie 1)

Un email, c’est une carte postale

Un email par défaut, il faut le considérer comme une carte postale : n’importe quel intermédiaire peut lire son contenu, son expéditeur et son destinataire. Pire encore, il est facile d’usurper n’importe quelle identité. On peut évidemment appliquer une couche de chiffrement – un peu à la manière de mettre la carte postale dans une enveloppe –, mais c’est un autre sujet que nous aborderons dans un second temps.

Tout d’abord, comment se passe l’envoi d’un email ? Il faut savoir que l’email se décompose en deux principales parties, regroupés au sein de ce qu’on appelle le format MIME (Multipurpose Internet Mail Extensions ou Extensions multifonctions du courrier Internet) :

• Une en tête (header) avec l’expéditeur, le destinataire, le sujet, la date…
• Le corps du message (body) avec le contenu de l’email et les éventuelles pièces jointes

La première partie du voyage de notre message se déroule dans un client de messagerie (Mail User Agent ou MUA) de l’expéditeur, que ce soit une application ou depuis un site web. L’acheminement du courrier se fait ensuite vers un serveur de courriel (Mail Transfer Agent ou MTA) rattaché à votre nom de domaine, via le protocole SMTP. À partir de là, la moitié du chemin est faite.

On peut se faire passer pour n’importe qui, la preuve !

L’email passe du serveur MTA lié à votre messagerie au serveur MTA rattaché au nom de domaine de votre destinataire. Par exemple, si vous m’envoyez un email sur une adresse en @next.ink depuis un email @Orange.fr, le serveur MTA de départ sera celui d’Orange, celui de réception est chez moji (qui héberge Next.ink). De son côté, le destinataire récupère son email via son client de messagerie relié au MTA (de moji, vous suivez ?).

Le problème avec cette architecture, c’est qu’il est très facile pour n’importe qui de faire n’importe quoi. En effet, on peut facilement modifier les en-têtes pour changer l’expéditeur et se faire passer pour une autre personne.

N’allez en effet pas croire que c’est compliqué à mettre en place… quelques lignes de codes et une dizaine de minutes suffisent. Pour créer le message ci-dessous, nous avons simplement assemblé un email avec les éléments suivants (oui, c’est aussi simple que ça en a l’air, mais nous ne ferons pas de tuto) avec le résultat juste en dessous :

message = MIMEMultipart()
message["From"]="Sundar Pichai sundar.pichai@google.com"
message["Subject"]="Trop bien guys votre enquete sur les sites GenAI !"
message["Reply-To"]="sundar.pichai@google.com"

Vers qui partent les emails ? Les enregistrements MX balancent tout !

Les mails pouvant circuler dans tous les sens sans restriction particulière par défaut, les serveurs associés aux adresses emails sont publics. On les trouve dans les enregistrements MX des noms de domaines ; MX pour Mail eXchange. Pour simplifier, quand vous m’envoyez un email à sebastien@next.ink, ils sont envoyés au serveur oui.do.

Cette information est publique, dans le DNS, lisible par tout le monde depuis son ordinateur. Deux outils extrêmement simples permettent de récupérer les enregistrements MX : nslookup et dig (il en existe bien d’autres).

Sous Windows et Linux, nslookup est disponible en ligne de commande. Il existe aussi dig, plus complet, sur les distributions Linux. Voici les commandes à utiliser dans les deux cas, pour les serveurs emails recevant tous les envois vers @next.ink. Pour dig, nous avons ajouté le paramètre +short afin de n’avoir que les champs MX les uns en dessous des autres sans tous les détails supplémentaires, mais vous pouvez l’enlever pour une réponse plus longue.

nslookup -type=mx next.ink
dig +short MX next.ink

Dans les deux cas, le résultat est évidemment le même : mx1.oui.do avec une préférence à 1 et mx2.oui.do avec la préférence à 2. La préférence est simplement l’ordre dans lequel il faut choisir les serveurs pour envoyer les emails. mx1.oui.do est le premier, mais s’il ne répond pas, un serveur secondaire est disponible sur mx2.oui.do.

Ce que les enregistrements MX permettent de prouver

Cela signifie donc qu’un simple coup d’œil à l’enregistrement DNS permet de savoir qui s’occupe de la réception des emails. Si une entreprise utilise les services de Google pour gérer ses emails, les enregistrements MX pointeront vers des sous domaines de Google.com. Pour du Microsoft, ils pointent vers du Outlook.com, etc.

Quelques points à savoir. Les serveurs MX indiquent la route à suivre et pointent vers le premier « poste de douane », c’est-à-dire l’endroit où arrivent les emails avant d’être ensuite acheminés vers leur destinataire. Ils peuvent ensuite prendre des chemins plus ou moins long et sinueux avant d’arriver à destination, mais nous n’avons pas accès aux détails des routes, c’est de la tambouille interne.

Voici quelques exemples. Certains comme Polytechnique et l’Université de Paris Saclay gèrent la réception en interne, d’autres comme l’Université de Versailles Saint-Quentin passent par Renater (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). Blablacar utilise de son côté Google.

Cela ne veut pas obligatoirement dire que les mails @Blablacar.fr finissent dans une boite Gmail ou un compte Google Workspace, mais cela prouve néanmoins qu’ils arrivent chez Google comme premier poste de douane.

Le géant du Net a donc accès à un moment donné à tous les emails envoyés à @Blablacar.fr. Et comme tout poste de douane qui se respecte, il peut décider du jour au lendemain de couper l’accès, mais de continuer à recevoir les emails entrants, jusqu’à ce que les enregistrements MX soient changés.

Autre point important, ce n’est pas parce qu’une entreprise passe par autre chose que Google ou Outlook dans ses enregistrements MX, qu’elle n’utilise pas à un moment donné les services des géants américains ; simplement les enregistrements MX ne permettent pas de le prouver.

Certains comme Shares.io – une plateforme d’investissement « développé, opéré et régulé en France » – doublent la mise avec Google comme enregistrements MX primaire, secondaire et tertiaire, ainsi que Outlook en quatrième position si les trois serveurs Google devaient ne pas répondre. Ceinture et bretelle aux couleurs des États-Unis en somme.

Un vrai enjeu de souveraineté !

En résumé : si les MX pointent vers Google ou Microsoft, cela prouve que les entreprises américaines ont accès aux emails, peu importe où ils finissent par arriver. Mais nous ne pouvons en déduire rien de plus ; aucun corollaire n’existe à cette affirmation.

Par exemple, les enregistrements MX de Next.ink renvoient vers oui.do, mais ensuite impossible de savoir ce qu’il se passe pour un observateur à l’extérieur ; ils pourraient se retrouver sur un compte Gmail sans que vous le sachiez. Rassurez-vous, chez Next les emails sont bien gérés et stockés en interne chez oui.do (moji), dans leurs datacenter à Nanterre.

La gestion des enregistrements MX est donc un enjeu fort quand il s’agit de parler de souveraineté numérique. Problème, beaucoup d’entreprises, start-ups et institutions françaises utilisent encore massivement Google et dans une moindre mesure Microsoft comme point d’entrée des emails.

SPF, DKIM et DMARC : le trio de la sécurité des emails

Terminons enfin avec un point que nous avions déjà abordé il y a quelques années, mais qu’il est bon de rappeler quand on parle email. Il est possible d’ajouter des couches de sécurité avec DKIM, SPF et DMARC, notamment pour éviter que des petits malins ne changent l’expéditeur sans se faire remarquer.

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Le Sender Policy Framework (SPF) « permet au serveur qui reçoit un e-mail de s’assurer que ce dernier a bien été envoyé depuis un serveur de confiance », explique OVHcloud. Si vous recevez un email provenant du domaine exemple.com, le SPF permet de vérifier que le serveur est bien autorisé à envoyer des emails au nom de exemple.com.

Avec SPF, on peut donc vérifier que l’email provient d’un serveur autorisé, mais rien de plus. N’importe qui pouvant envoyer des emails en @next.ink pourrait se faire passer pour une autre personne de @next.ink. Pour s’assurer que l’expéditeur du message est, lui aussi, autorisé, un autre protocole existe : DKIM ou DomainKeys Identified Mail.

Il permet « aux propriétaires de domaines de signer automatiquement « les courriels » provenant de leur domaine, tout comme la signature d’un chèque permet de confirmer l’identité de son auteur », explique Cloudflare. DKIM utilise un chiffrement asymétrique : une clé publique sur le serveur email et une clé privée utilisée par l’expéditeur pour signer l’en-tête de l’email.

« Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l’expéditeur a été utilisée en appliquant la clé publique », détaille Cloudflare. Un point important : la vérification de l’expéditeur est de la responsabilité du serveur email rattaché au nom de domaine de l’expéditeur, c’est à lui que revient la charge de s’assurer que l’utilisateur qui envoie l’email est le bon. Comme les utilisateurs doivent s’identifier, cela n’est généralement pas un problème.

Enfin, DMARC (Domain-based Message Authentication Reporting and Conformance) défini ce que doit faire un serveur de messagerie en fonction des résultats de la vérification SPF et DKIM. On parle de « politique DMARC » qui peut être de refuser en bloc les messages échouant aux tests SPF et/ou DKIM, les mettre en quarantaine ou tout simplement les accepter. Oui, un message peut louper son test SPF, échouer à DKIM et arriver tout de même dans votre boite de réception, la fleur au fusil.

La Société des Auteurs et Compositeurs Dramatiques (SACD) assigne TikTok en référé devant le Tribunal judiciaire de Paris pour violation de droits d’auteur.

En jeu : des dialogues, des extraits de films allant d’« OSS 117 » à « Petit Ours Brun », des spectacles d’humoristes…

« Après quatre ans de discussions avortées », pendant lesquelles la plateforme a utilisé « des œuvres protégées du répertoire de la SACD sans aucune autorisation et en n’ayant jamais proposé de contreparties acceptables », la SACD a décidé de porter l’affaire en justice.

Elle déclare TikTok « en position de contrefaçon » et demande « réparation du préjudice subi par les auteurs et autrices des œuvres exploitées ».

Contactée par l’AFP, cette dernière n’a pas formulé de commentaire.

La procédure est transmise en Irlande, où se situe le siège européen de TikTok Technology Limited. D’après la SACD, l’audience française est fixée au 18 mars 2026.

Une pierre dans le jardin de Parallels

Google poursuit son offensive en direction du marché entreprise avec le lancement de Cameyo, une solution de virtualisation permettant d’utiliser des clients lourds au sein de son navigateur Web Chrome ou du système d’exploitation dérivé de ce dernier, ChromeOS.

Légers, endurants et abordables, les ordinateurs Chromebook de Google souffrent d’une limitation inhérente à leur système d’exploitation, dérivé du navigateur Chrome : l’impossibilité d’exécuter nativement des logiciels conçus pour Windows. Une carence que pallient les solutions de type VDI (Virtual Desktop Interface) ou DaaS (Desktop as a Service), qui tirent parti de la virtualisation pour proposer l’accès, en local, à un environnement exécuté dans le cloud.

Virtualiser l’app plutôt que l’environnement

Mais pourquoi virtualiser une instance complète de Windows quand on peut se contenter de simplement exécuter à distance une application ? C’est ce constat qui a motivé, en juin 2024, le rachat par Google de l’éditeur spécialisé Cameyo.

Fondée en 2010 aux États-Unis, cette entreprise explore en effet une approche plus ciblée, dite VAD, pour Virtual Application Delivery, qui consiste donc à ne virtualiser qu’un seul logiciel, par opposition à un système d’exploitation. Cameyo a d’abord travaillé sur des exécutables combinant l’application ciblée et l’environnement nécessaire à sa virtualisation, avant d’embrasser la vague du cloud et de travailler à l’intégration au sein du navigateur Web.

C’est dans ce contexte que Cameyo s’est progressivement rapprochée de Google, pour proposer la mise à disposition de clients lourds Windows au sein de Chrome et de ChromeOS. Les deux entreprises ont notamment collaboré autour de la prise en charge, par Cameyo, du système de fichiers local de ChromeOS, du presse-papier et de la capacité à délivrer les applications virtualisées sous forme de PWA (Progressive Web Apps).

Suite au rachat, Cameyo a disparu des radars pendant plusieurs mois, et fait désormais son retour sous forme d’une offre intégrée au catalogue des solutions entreprises de Google.

« Avec Cameyo by Google, toutes vos applications sont plus faciles à déployer et à gérer, et aussi plus sécurisées. Vos collaborateurs peuvent accéder à leurs applications habituelles où qu’ils se trouvent, sans aucune formation supplémentaire. En transférant tout votre travail sur le Web, vous avez toutes les cartes en main pour relever les défis de demain », vante le moteur de recherche.

Un lancement opportun

Google avance trois avantages principaux : une sécurité accrue, grâce à la séparation entre l’appareil et l’application employée (principe du Zero Trust), un coût total de possession (TCO) réduit dans la mesure où la virtualisation intervient sur un périmètre plus restreint, et un confort accru pour l’utilisateur final, qui peut par cet intermédiaire accéder à ses applications métier directement dans son navigateur. À ces arguments s’ajoutent bien sûr les potentielles économies engendrées par le passage d’un parc de machines Windows à des Chromebook ou autres ordinateurs équipés des outils logiciels de Google.

« Contrairement aux écosystèmes d’entreprise tout ou rien, la suite Google pour entreprises ne vous oblige pas à abandonner vos investissements existants au nom de la modernisation. Au contraire, elle vous offre la liberté de moderniser les différentes couches de votre infrastructure à votre rythme, en fonction des besoins de votre entreprise, tout en conservant l’accès à vos investissements technologiques existants », promet l’éditeur.

Le calendrier est sans doute propice au retour de Cameyo. D’un côté, la fin du support de Windows 10 et la politique commerciale de Microsoft autour du support étendu suscitent de nombreuses critiques. De l’autre, Google Workspace occupe déjà des positions significatives sur le marché entreprise, en se présentant très directement comme une alternative à Microsoft 365 et à la messagerie Exchange. Google a par ailleurs le champ libre pour avancer ses pions sur le marché de la virtualisation dédiée à ChromeOS, puisque le développement de Parallels Desktop pour ChromeOS a été arrêté, avec une fin de support programmée au 21 avril 2026.

Google ne communique à ce stade aucun prix public relatif à l’offre de virtualisation Cameyo.

• Windows 10 : comment bénéficier d’un an de support technique supplémentaire ?

Knock knock

Un email, c’est une carte postale. La métaphore n’est pas nouvelle, mais elle n’en reste pas moins toujours vraie. Mais savez-vous vraiment comment circulent les emails et qui peut y accéder ? Next vous explique leur fonctionnement et comment vérifier qui y a potentiellement accès.

En marge de notre dossier sur le fonctionnement en profondeur d’Internet, nous avons décidé de nous pencher sur les emails. Ils sont utilisés par tout le monde, parfois pour des futilités, parfois pour des choses importantes. Ils constituent aussi un enjeu de souveraineté, malheureusement trop souvent pris à la légère.

• [Dossier] Internet, mode d’emploi : une URL c’est quoi ? (partie 1)

Un email, c’est une carte postale

Un email par défaut, il faut le considérer comme une carte postale : n’importe quel intermédiaire peut lire son contenu, son expéditeur et son destinataire. Pire encore, il est facile d’usurper n’importe quelle identité. On peut évidemment appliquer une couche de chiffrement – un peu à la manière de mettre la carte postale dans une enveloppe –, mais c’est un autre sujet que nous aborderons dans un second temps.

Tout d’abord, comment se passe l’envoi d’un email ? Il faut savoir que l’email se décompose en deux principales parties, regroupés au sein de ce qu’on appelle le format MIME (Multipurpose Internet Mail Extensions ou Extensions multifonctions du courrier Internet) :

• Une en tête (header) avec l’expéditeur, le destinataire, le sujet, la date…
• Le corps du message (body) avec le contenu de l’email et les éventuelles pièces jointes

La première partie du voyage de notre message se déroule dans un client de messagerie (Mail User Agent ou MUA) de l’expéditeur, que ce soit une application ou depuis un site web. L’acheminement du courrier se fait ensuite vers un serveur de courriel (Mail Transfer Agent ou MTA) rattaché à votre nom de domaine, via le protocole SMTP. À partir de là, la moitié du chemin est faite.

On peut se faire passer pour n’importe qui, la preuve !

L’email passe du serveur MTA lié à votre messagerie au serveur MTA rattaché au nom de domaine de votre destinataire. Par exemple, si vous m’envoyez un email sur une adresse en @next.ink depuis un email @Orange.fr, le serveur MTA de départ sera celui d’Orange, celui de réception est chez moji (qui héberge Next.ink). De son côté, le destinataire récupère son email via son client de messagerie relié au MTA (de moji, vous suivez ?).

Le problème avec cette architecture, c’est qu’il est très facile pour n’importe qui de faire n’importe quoi. En effet, on peut facilement modifier les en-têtes pour changer l’expéditeur et se faire passer pour une autre personne.

N’allez en effet pas croire que c’est compliqué à mettre en place… quelques lignes de codes et une dizaine de minutes suffisent. Pour créer le message ci-dessous, nous avons simplement assemblé un email avec les éléments suivants (oui, c’est aussi simple que ça en a l’air, mais nous ne ferons pas de tuto) avec le résultat juste en dessous :

message = MIMEMultipart()
message["From"]="Sundar Pichai sundar.pichai@google.com"
message["Subject"]="Trop bien guys votre enquete sur les sites GenAI !"
message["Reply-To"]="sundar.pichai@google.com"

Vers qui partent les emails ? Les enregistrements MX balancent tout !

Les mails pouvant circuler dans tous les sens sans restriction particulière par défaut, les serveurs associés aux adresses emails sont publics. On les trouve dans les enregistrements MX des noms de domaines ; MX pour Mail eXchange. Pour simplifier, quand vous m’envoyez un email à sebastien@next.ink, ils sont envoyés au serveur oui.do.

Cette information est publique, dans le DNS, lisible par tout le monde depuis son ordinateur. Deux outils extrêmement simples permettent de récupérer les enregistrements MX : nslookup et dig (il en existe bien d’autres).

Sous Windows et Linux, nslookup est disponible en ligne de commande. Il existe aussi dig, plus complet, sur les distributions Linux. Voici les commandes à utiliser dans les deux cas, pour les serveurs emails recevant tous les envois vers @next.ink. Pour dig, nous avons ajouté le paramètre +short afin de n’avoir que les champs MX les uns en dessous des autres sans tous les détails supplémentaires, mais vous pouvez l’enlever pour une réponse plus longue.

nslookup -type=mx next.ink
dig +short MX next.ink

Dans les deux cas, le résultat est évidemment le même : mx1.oui.do avec une préférence à 1 et mx2.oui.do avec la préférence à 2. La préférence est simplement l’ordre dans lequel il faut choisir les serveurs pour envoyer les emails. mx1.oui.do est le premier, mais s’il ne répond pas, un serveur secondaire est disponible sur mx2.oui.do.

Ce que les enregistrements MX permettent de prouver

Cela signifie donc qu’un simple coup d’œil à l’enregistrement DNS permet de savoir qui s’occupe de la réception des emails. Si une entreprise utilise les services de Google pour gérer ses emails, les enregistrements MX pointeront vers des sous domaines de Google.com. Pour du Microsoft, ils pointent vers du Outlook.com, etc.

Quelques points à savoir. Les serveurs MX indiquent la route à suivre et pointent vers le premier « poste de douane », c’est-à-dire l’endroit où arrivent les emails avant d’être ensuite acheminés vers leur destinataire. Ils peuvent ensuite prendre des chemins plus ou moins long et sinueux avant d’arriver à destination, mais nous n’avons pas accès aux détails des routes, c’est de la tambouille interne.

Voici quelques exemples. Certains comme Polytechnique et l’Université de Paris Saclay gèrent la réception en interne, d’autres comme l’Université de Versailles Saint-Quentin passent par Renater (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). Blablacar utilise de son côté Google.

Cela ne veut pas obligatoirement dire que les mails @Blablacar.fr finissent dans une boite Gmail ou un compte Google Workspace, mais cela prouve néanmoins qu’ils arrivent chez Google comme premier poste de douane.

Le géant du Net a donc accès à un moment donné à tous les emails envoyés à @Blablacar.fr. Et comme tout poste de douane qui se respecte, il peut décider du jour au lendemain de couper l’accès, mais de continuer à recevoir les emails entrants, jusqu’à ce que les enregistrements MX soient changés.

Autre point important, ce n’est pas parce qu’une entreprise passe par autre chose que Google ou Outlook dans ses enregistrements MX, qu’elle n’utilise pas à un moment donné les services des géants américains ; simplement les enregistrements MX ne permettent pas de le prouver.

Certains comme Shares.io – une plateforme d’investissement « développé, opéré et régulé en France » – doublent la mise avec Google comme enregistrements MX primaire, secondaire et tertiaire, ainsi que Outlook en quatrième position si les trois serveurs Google devaient ne pas répondre. Ceinture et bretelle aux couleurs des États-Unis en somme.

Un vrai enjeu de souveraineté !

En résumé : si les MX pointent vers Google ou Microsoft, cela prouve que les entreprises américaines ont accès aux emails, peu importe où ils finissent par arriver. Mais nous ne pouvons en déduire rien de plus ; aucun corollaire n’existe à cette affirmation.

Par exemple, les enregistrements MX de Next.ink renvoient vers oui.do, mais ensuite impossible de savoir ce qu’il se passe pour un observateur à l’extérieur ; ils pourraient se retrouver sur un compte Gmail sans que vous le sachiez. Rassurez-vous, chez Next les emails sont bien gérés et stockés en interne chez oui.do (moji), dans leurs datacenter à Nanterre.

La gestion des enregistrements MX est donc un enjeu fort quand il s’agit de parler de souveraineté numérique. Problème, beaucoup d’entreprises, start-ups et institutions françaises utilisent encore massivement Google et dans une moindre mesure Microsoft comme point d’entrée des emails.

SPF, DKIM et DMARC : le trio de la sécurité des emails

Terminons enfin avec un point que nous avions déjà abordé il y a quelques années, mais qu’il est bon de rappeler quand on parle email. Il est possible d’ajouter des couches de sécurité avec DKIM, SPF et DMARC, notamment pour éviter que des petits malins ne changent l’expéditeur sans se faire remarquer.

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Le Sender Policy Framework (SPF) « permet au serveur qui reçoit un e-mail de s’assurer que ce dernier a bien été envoyé depuis un serveur de confiance », explique OVHcloud. Si vous recevez un email provenant du domaine exemple.com, le SPF permet de vérifier que le serveur est bien autorisé à envoyer des emails au nom de exemple.com.

Avec SPF, on peut donc vérifier que l’email provient d’un serveur autorisé, mais rien de plus. N’importe qui pouvant envoyer des emails en @next.ink pourrait se faire passer pour une autre personne de @next.ink. Pour s’assurer que l’expéditeur du message est, lui aussi, autorisé, un autre protocole existe : DKIM ou DomainKeys Identified Mail.

Il permet « aux propriétaires de domaines de signer automatiquement « les courriels » provenant de leur domaine, tout comme la signature d’un chèque permet de confirmer l’identité de son auteur », explique Cloudflare. DKIM utilise un chiffrement asymétrique : une clé publique sur le serveur email et une clé privée utilisée par l’expéditeur pour signer l’en-tête de l’email.

« Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l’expéditeur a été utilisée en appliquant la clé publique », détaille Cloudflare. Un point important : la vérification de l’expéditeur est de la responsabilité du serveur email rattaché au nom de domaine de l’expéditeur, c’est à lui que revient la charge de s’assurer que l’utilisateur qui envoie l’email est le bon. Comme les utilisateurs doivent s’identifier, cela n’est généralement pas un problème.

Enfin, DMARC (Domain-based Message Authentication Reporting and Conformance) défini ce que doit faire un serveur de messagerie en fonction des résultats de la vérification SPF et DKIM. On parle de « politique DMARC » qui peut être de refuser en bloc les messages échouant aux tests SPF et/ou DKIM, les mettre en quarantaine ou tout simplement les accepter. Oui, un message peut louper son test SPF, échouer à DKIM et arriver tout de même dans votre boite de réception, la fleur au fusil.

La Société des Auteurs et Compositeurs Dramatiques (SACD) assigne TikTok en référé devant le Tribunal judiciaire de Paris pour violation de droits d’auteur.

En jeu : des dialogues, des extraits de films allant d’« OSS 117 » à « Petit Ours Brun », des spectacles d’humoristes…

« Après quatre ans de discussions avortées », pendant lesquelles la plateforme a utilisé « des œuvres protégées du répertoire de la SACD sans aucune autorisation et en n’ayant jamais proposé de contreparties acceptables », la SACD a décidé de porter l’affaire en justice.

Elle déclare TikTok « en position de contrefaçon » et demande « réparation du préjudice subi par les auteurs et autrices des œuvres exploitées ».

Contactée par l’AFP, cette dernière n’a pas formulé de commentaire.

La procédure est transmise en Irlande, où se situe le siège européen de TikTok Technology Limited. D’après la SACD, l’audience française est fixée au 18 mars 2026.