Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierActualités numériques

La décision est prise : OVHcloud se prépare à une éventuelle introduction en bourse

8 mars 2021 à 14:49

Le géant français de l'hébergement français veut continuer à croitre et pourrait faire appel à la bourse pour cela. Une ouverture du capital qui se ferait de manière limitée, la famille Klaba restant majoritaire.

Ce matin, Octave Klaba revenait sur l'un des serpents de mer qui agite l'écosystème OVHcloud depuis des mois : est-ce que la prochaine phase de croissance de la société sera financée à travers une introduction en bourse (IPO) ? Sans répondre à cette question, le dirigeant précisait qu'une décision avait enfin été prise.

Enfin une décision de prise

Une étape importante, tant l'hébergeur semblait hésiter. Lors d'un échange en fin d'année dernière, Michel Paulin nous avait répondu que plusieurs hypothèses étaient sur la table. Dont celle de continuer à financer OVHcloud via des emprunts. Elle avait l'avantage de ne pas risquer à la famille Klaba une dilution de son pouvoir au sein de l'entreprise.

Mais son potentiel était plus limité. Sans parler des investisseurs tels que KKR et TowerBrook Capital, présents depuis 2016, qui peuvent espérer réaliser une plus-value à l'occasion d'une introduction en bourse.

« C'est n'est pas un choix anodin pour la gouvernance », confie-t-on chez OVHcloud, pour expliquer le temps qu'il aura fallu pour simplement décider de privilégier une voie à suivre. Car aujourd'hui, ce n'est pas l'annonce du début du processus de l'IPO, seulement de se « préparer à une éventuelle introduction en bourse ».

Garder la majorité malgré l'IPO

« Cette opération, si elle devait se concrétiser, permettrait au groupe d’accélérer ses investissements et d’accroitre sa visibilité et son attractivité afin de proposer un cloud ouvert, réversible et transparent. Quelle que soit l’issue de cette opération, Octave Klaba et sa famille resteraient actionnaires majoritaires ». Une précision qui n'a rien d'anodin.

Car l'équilibre trouvé semble résider sur ce point en particulier : même si une part plus grande du capital sera ouvert, la majorité restera sous le contrôle des Klaba. Reste maintenant à attendre que le (long) processus s'amorce réellement. Ainsi, si introduction en bourse il y a, elle devrait nécessiter encore plusieurs mois de travail.

 

Comment Jezby Ventures (Octave Klaba) veut reprendre Shadow pour son offre de services européens

5 mars 2021 à 11:00

Hier, Blade s'exprimait pour la première fois sur son redressement judiciaire. Assurant de la continuité de son activité, et que le service perdurerait, avec bon espoir qu'un repreneur vienne financer son développement. Il semblait déjà identifié, annoncé comme solide. Il s'agit d'Octave Klaba, via Jezby Ventures.

Les difficultés de Blade ne sont pas nouvelles. La levée de fonds ratée fin 2020 a mis la société dans une position difficile, et malgré les efforts de l'équipe pour améliorer la situation financière, il lui fallait trouver une solution.

Opérer un tel service avec 100 000 clients, nécessite en effet plusieurs millions d'euros par mois, et en l'état actuel des choses, la startup n'est pas rentable. En passer par le Tribunal de Commerce devenait donc inéluctable. C'est ce qui a été fait ce mardi 2 mars, annoncé dans la foulée aux employés puis aux clients.

Pour les investisseurs ayant suivi l'entreprise jusque-là, petits et gros, le coup est dur puisqu'ils perdront leur mise. 2CRSi, chahutée en bourse, a d'ailleurs déjà clarifié ses intentions. Hier soir, on comprenait des déclarations de Stéphane Héliot qu'un investisseur « solide » s'était déjà fait connaître, avec comme perspective de faire perdurer Shadow et de préserver les équipes. Ce matin, nous avons eu confirmation qu'il s'agit d'Octave Klaba.

Un nouveau départ, pour une offre européenne globale

Commençons d'abord par quelques fondamentaux sur la situation de Shadow. En effet, l'offre de reprise est désormais publiée, avec une Date Limite de Dépôts des Offres (DLDO) fixée au 19 mars prochain. Elle nous permet d'apprendre que l'entreprise compte 138 salariés en France, 25 à l'étranger.

À la fin de l'année dernière, elle comptait 97 000 clients, avec un chiffre d'affaires de 17 millions d'euros, en baisse par rapport à 2019 (20 millions d'euros). L'écart reste néanmoins mesuré lorsque l'on sait que l'offre Boost de Shadow a vu son tarif divisé par deux sur la période, pour une bonne partie des abonnés.

Les besoins de financement identifiés sont entre 30 et 35 millions d'euros, qu'Octave Klaba semble bien décidé à apporter. La procédure actuellement en cours lui permet de reprendre l'entreprise en étant seul aux commandes à travers son fonds d'investissement Jezby Ventures, débarrassée de ses dettes.

Selon nos informations, cela fait deux mois qu'il est sur ce dossier, sans doute depuis qu'il était clair que la levée de fonds de Shadow attendue fin 2020 n'aurait pas lieu. 12 personnes travailleraient à temps plein sur ce projet de reprise depuis, notamment pour définir un nouveau modèle d'affaires, lié à ses autres activités.

Car à travers Jezby, l'ambition de Klaba est de réussir à proposer une alternative européenne à de nombreux services. Comme nous l'avions évoqué cet été, il compte en effet faire revivre la marque HubiC basée sur OpenIO et NextCloud. Récemment, on apprenait que le duo lui servirait de base pour un « Office 365/Gsuite » maison.

Blade/Shadow : un projet qu'Octave Klaba connaît bien

Ainsi, Shadow viendrait compléter l'ensemble en donnant accès à distance à une machine pouvant directement exploiter ces services. Klaba connait d'autant bien le dossier qu'il a déjà travaillé dessus à travers le projet « Dark », lorsqu'il était question de faire reposer Shadow sur les infrastructures d'OVHcloud plutôt que 2CRSi/Equinix.

Ce choix, qui avait la préférence d'Emmanuel Freund, avait été repoussé par le conseil d'administration de Blade. Il avait alors privilégié son actionnaire historique et une baisse des prix, là où Klaba-OVHcloud poussaient plutôt à une hausse pour améliorer la rentabilité de l'entreprise... avec le succès que l'on connaît.

Le point de vue de l'hébergeur était en effet que, sans cette hausse, le risque de défaut était important, porté par OVHcloud qui exigeait donc un premier paiement significatif. Pour réduire cette barrière à l'entrée dans le cadre du contrat de 4 ans qui était alors négocié, les prix devaient augmenter.

Seul (ou presque) aux commandes à travers Jezby (et non plus OVHcloud), Octave Klaba devrait sans doute pousser la même idée. Mais en l'ajoutant à d'autres outils, il devrait rendre l'offre globale d'autant plus alléchante. Il faut aussi avoir en tête que Jezby a investi dans le projet PowerZ d'Emmanuel Freund, qui ne sera donc pas très loin. 

Rien n'est encore fait

Il faut maintenant attendre la décision de l'administrateur judiciaire. Il reste deux semaines pour le dépôt d'offres par d'éventuels repreneurs, la décision sera ensuite prise selon les projets et engagements de chacun, en termes de préservation de l'emploi et concernant le service. Nous n'avons pas encore de données chiffrées sur celle de Jezby.

Mais dans l'entourage d'Octave Klaba, on espère que la décision sera en sa faveur, avec un plan de cession rapide, qui pourrait être bouclé d'ici la fin avril. Viendra alors le temps de la transition, qui sera délicate. Interrogé sur la question des serveurs actuellement fournis par 2CRSi, qui a déjà indiqué qu'il comptait bien les récupérer au terme du plan de redressement actuellement en cours, nous n'avons eu droit qu'à un simple... « no comment ».

Blade (Shadow) s'explique sur son redressement judiciaire

4 mars 2021 à 19:00

Comme prévu, Stéphane Héliot s'exprimait ce soir, à l'occasion d'un Shadow News, sur le redressement judiciaire dont Blade fait l'objet. Mais aussi sur les espoirs de l'équipe pour les mois à venir.

Ce mardi 2 mars 2021, le Tribunal de Commerce de Paris a prononcé l'ouverture d'une procédure de redressement judiciaire concernant Blade SAS, société éditrice de Shadow. Un administrateur judiciaire a donc été nommé, l'entreprise étant en période d'observation jusqu'au 2 septembre.

Blade en redressement, 2CRSi réagit, l'équipe s'exprime

Ce n'était pas une surprise, la startup étant en difficulté ces derniers mois. Une levée de fonds était attendue en fin d'année, elle n'a pas été réalisée. Avec plusieurs millions d'euros par mois de dépense, c'était la suite logique. Comme nous l'avions évoqué dans un précédent article, les équipes ont été informées mardi soir de la procédure.

De son côté, son actionnaire et principal partenaire 2CRSi, a fait savoir qu'il restait propriétaire des serveurs mis à disposition de Blade SAS, qu'ils pourrait donc récupérer, avec un risque d'impayé dans le cadre du redressement estimé à 10,8 millions d'euros en date du 28 février 2021 (intérêts compris). Ajoutant que la filiale américaine Blade Corp lui doit également pas moins de 23,3 millions de dollars. Voici le détail des chiffres communiqués : 

Blade 2CRSi Dettes

C'est dans ce contexte que Stéphane Héliot, l'un des cofondateurs de l'entreprise, était ce soir aux côtés de Victor Grimoin pour un Shadow News un peu spécial, pour s'expliquer auprès des clients de cette nouvelle difficulté et les rassurer, ainsi que pour afficher la volonté de l'entreprise de trouver un repreneur pour l'aider à se développer.

Des dettes et un besoin de cash

Car le service Shadow perdure et reste utilisable par les clients d'ici à une éventuelle reprise. Une procédure qui peut être rapide, mais nécessitera tout de même quelques mois pendant lesquels les créances sont mises en attente.

Les employés vont bien entendu être payés, bien qu'ils aient été prévenus en début de semaine que ce serait avec quelques jours de retard pour le mois de mars. Sur le court terme, rien ne change donc. Mais tout le monde espère que l'on saura rapidement qui propose de racheter la startup et dans quelles conditions. 

Car sa situation est plus que délicate. Ses dettes se chiffrent en dizaines de millions d'euros. Un repreneur n'acceptera sans doute pas de régler ce passif en voyant dans le même temps 2CRSi reprendre ses serveurs et se retrouver avec un service inutilisable. C'est tout l'enjeu de la procédure ouverte cette semaine.

« Je suis très confiant sur le rachat »

Ce qui ressort clairement de la communication de ce soir, c'est qu'un repreneur présenté comme sérieux et solide semble déjà clairement identifié par l'équipe. Elle s'est refusée à en dire plus pour le moment, évoquant seulement le fait qu'il s'agit d'un acteur français/européen dans le secteur de l'entreprise, aux « grandes ambitions ».

Héliot présente d'ailleurs la procédure collective en cours comme « une levée de fond spéciale », qui viendrait se substituer à celle qui n'a pas eu lieu par la voie classique. Une façon un peu étonnante de voir les choses, ne serait-ce que parce que, comme il le rappelle, tous les investisseurs historiques vont ici perdre leur mise.

Blade Shadow News

Le plan de cession semble déjà dans toutes les têtes et pourrait être finalisé sous deux mois. Il sera alors temps de mettre en place une nouvelle stratégie. Là aussi rien n'a été évoqué pour le moment. Interrogé sur la transparence de la startup dans sa communication, qui n'a pas toujours été au rendez-vous, le co-fondateur considère qu'ici elle « communique presque un peu trop tôt », ne pouvant encore rien dire sur l'essentiel, qui tient de l'inconnu.

Mais quelques sujets ont néanmoins été évoqués de manière disparate. Comme la question de la baisse de prix de Shadow Boost, perçue désormais comme l'un des éléments qui n'a pas arrangé la situation financière de la société. Mais aussi la gestion des dépenses : « il y a des choses que l'on paie trop cher dans ce que l'on achète aujourd'hui, on doit gérer notre argent de manière plus rigoureuse ». Et d'évoquer les tentatives de résolution des problèmes du système de stockage, avec des éléments déployés parfois pour un million d'euros lors d'essais. 

L'arrivée du nouvel investisseur est donc également vue comme une manière de faire table rase du passé sur ces sujets, d'apprendre des erreurs commises. « C'est une chance de faire bien ce que l'on n’a pas toujours bien fait jusqu'à présent », ajoute Stéphane Héliot qui est confiant sur le fait que l'équipe aura enfin les moyens de ses ambitions dans un cadre sans doute plus structuré. 

Shadow veut croire à son renouveau

Dans la foulée de cette intervention, en français puis en anglais, Blade a diffusé un communiqué et une FAQsur le même thème. L'entreprise s'y veut positive pour la suite : « d’ici quelques semaines, nous aurons pris un tournant stratégique d’envergure pour l’entreprise, son équipe et le développement de son activité ».

Elle évoque « une nouvelle ère » et le besoin « de repartir sur des bases nouvelles ». Pour l'équipe, il n'y a pas de doute : son ambition de créer un service de « PC dans le cloud » il y a cinq ans était la bonne, l'idée « en phase avec son temps », la demande est là, les géants américains se sont presque tous lancés sur ce créneau, même si certains ont déjà ralenti la voilure, comme Google avec Stadia.

Elle évoque son avance technologique, ses 2/3 de clients à l'étranger, les milliers en file d'attente. « Il faut désormais s’assurer qu’il se réalise, en retrouvant des marges de manœuvre financières pour investir et construire une croissance durable et rentable ». Elle évoque là aussi l'adossement « à un investisseur solide » sans donner de nom.

« Fort de notre expérience, nous connaissons mieux les conditions du succès », promet Blade. On apprend au passage que la procédure collective concernera aussi la filiale américaine. 

« Ainsi, l’aventure de Shadow va se poursuivre », conclut le communiqué. « Cette opération nous donne même l'occasion de l’accélérer. Pendant cette période de transition, nous continuerons de développer notre technologie et d’assurer le meilleur service à nos utilisateurs et notre communauté, qui sont la clé de réussite du projet ».

Avec FLoC, Google propose la fin du pistage individuel, mais pas du ciblage

4 mars 2021 à 13:45

Avec l'importance prise par la question du respect de la vie privée ces dernières années, ceux qui se sont gavés de nos données sont montrés du doigt, les lois et pratiques pour protéger les consommateurs renforcées. Et alors que le marché publicitaire peine à s'adapter, Google se pose en acteur responsable. Vraiment ?

Ce 31 mars, la CNIL mettra fin à une énième période de tolérance vis-à-vis des acteurs ayant mis des années à s'adapter aux règles françaises en matière de respect du consentement dans la collecte de données personnelles. Puis d'application du RGPD européen, voté en 2016 et entré en vigueur en 2018. « Pas trop tôt », diront certains.

Face à cette problématique, sur le devant de la scène depuis les révélations d'Edward Snowden ou du scandale Cambridge Analytica, les différents acteurs ont réagi de manière différente. Apple a par exemple opté pour un vaste plan d'évolution de ses produits et de communication autour d'une approche protectrice de l'utilisateur, de son Intelligent Tracking Protection aux évolutions d'iOS comme le récent Private Click Measurement

Au point de se mettre à dos l'industrie publicitaire en général et Facebook en particulier.

Votre vie privée n'est pas leur priorité

Le secteur publicitaire et les éditeurs de sites ont pour leur part toujours eu du mal à s'adapter, préférant continuer de ne pas se conformer à la loi afin de garder l'avantage concurrentiel que cela leur procure. Mais aussi en espérant qu'au bout du compte, ils arriveraient à retourner la situation, à obtenir des arbitrages en leur faveur.

Comme l'acceptation de « dark pattern » en matière de récolte de consentement, ou du chantage au consentement à la faveur de la montée en puissance des offres payantes : « vos données, ou il faut payer ». Et continuer de faire comme si la publicité sans pistage n'avait jamais existé. Comme si le tout pistage ne s'était justement pas développé grâce au non-respect de la loi par une part importante des acteurs du marché pendant de longues années.

Mais peu à peu, et face à la pression enfin active de la CNIL, on voit ainsi les choses changer, parfois à la marge, mais dans le bon sens. Certains se parent ainsi de toutes les vertus évoquant la passion qu'ils ont désormais pour le respect de votre vie privée, ce qui tient parfois du « privacy washing » si l'on y regarde de plus près. D'autres s'adaptent, allant jusqu'à détourner des mécaniques comme le DNS pour être sûrs de vous pister.

Google et le respect de la vie privée, c'est compliqué

Puis il y a Google, à l'attitude toujours ambigüe. Géant de la publicité et de la collecte de données, il multiplie les initiatives soufflant le chaud et le froid ces dernières années. Avec Chrome, il propose par exemple le seul navigateur, largement majoritaire un peu partout dans le monde, ne proposant que très peu de fonctionnalités permettant de limiter le pistage en ligne et l'affichage excessif de publicité. Pourquoi se tirer une balle dans le pied ?

Mais à l'inverse, la société communique à l'envi sur les évolutions d'Android en matière de vie privée, l'OS étant sous le coup d'une concurrence active d'Apple et sous la pression de ses partenaires. On a aussi régulièrement droit à des billets de blog vantant des initiatives de renforcement des fonctionnalités de réduction de collecte des données ici ou là, même si nombre des produits maison continuent à favoriser la collecte par leur fonctionnement.

Il en est de même pour la Privacy Sandbox de Chrome ou la confidentialité différentielle, un principe qui a fait l'objet de nombreuses recherches ces dernières années, qui vise à permettre une collecte de données, tout en préservant la vie privée des utilisateurs. Elle est par exemple utilisée dans la saisie prédictive d'Android

Aujourd'hui, Google annonce vouloir tracer la voie vers un web « privacy-first » avec de nouveaux engagements. Une déclaration qui concerne en réalité la mise en place de nouveaux outils et qui ne fait pas l'unanimité.

Qu'a annoncé Google ?

La société commence tout d'abord par un rappel, qui est au fondement même de son existence : pour elle, l'information accessible en ligne par le plus grand nombre n'existe que grâce à la publicité. C'est en partie vrai.

Car toute entreprise, et les médias en sont le plus souvent, doit reposer sur un modèle économique viable. Il y a bien entendu des exceptions, comme les fondations et autres financements par les dons, on pense notamment à Wikipédia, mais aussi à tout le travail porté par les individus et leurs blogs, le milieu associatif et ses bénévoles.

Mais comme nous l'évoquions plus haut, et contrairement à la petite musique portée par l'industrie publicitaire, cette méthode de financement n'a pas toujours été et n'a donc pas forcément à être exclusivement associée au pistage en ligne. C'est là que Google dit vouloir se distinguer, en acceptant ce fait... tout du moins en apparence.

Le géant américain reconnaît l'état désastreux à laquelle cette confusion a mené (et à laquelle il a activement participé). Notamment parce que c'est ce pistage généralisé qui a nourri la création des bloqueurs de publicités et autres mécaniques réduisant peu à peu les possibilités d'utiliser scripts et cookies, posant parfois des problèmes aux développeurs avec des besoins légitimes, du fait des abus du marché publicitaire.

Selon les données du Pew Research Center évoquées par Google, 72 % des internautes interrogés ont l'impression que tout ce qu'ils font en ligne est pisté par des entreprises, 81 % voyant cela pour un risque, cette collecte massive n'étant pas à la hauteur des bénéfices qu'ils en retirent. Sans parler de la faciliter à naviguer sur certains sites... 

L'année dernière, Google a indiqué que Chrome mettrait fin à son support des cookies tiers, c'est notamment ce qui a poussé certains vers le CNAME Cloacking, qui consiste à faire passer des scripts de pistage tiers comme venant d'un domaine principal du site visité, posant des problèmes de sécurité (sans éviter le besoin de consentement).

Mais la question du remplacement se pose : comment continuer à effectuer du suivi en ligne sans de tels outils. Par exemple pour connaître les statistiques de consultation d'un site, l'efficacité d'une campagne par email, le tout sans forcément collecter de données personnelles ? Si Apple a développé sa propre solution en la matière, Google dit ne pas avoir fait de même et va plus loin : ses produits ne pisteront plus l'internaute individuellement en ligne.

« Nous avons conscience que cela signifie que d'autres fournisseurs pourront proposer un meilleur niveau d'identification de l'internaute pour le pistage publicitaire que les nôtres [mais] nous ne pensons pas que cela rencontrera la demande de l'utilisateur en termes de vie privée ou l'évolution rapide de la régulation en la matière »,  précise l'entreprise, qui semble ici porter un discours à contre-courant de ses pratiques récentes.

La vie privée d'abord, mais une publicité toujours ciblée

Google dit ainsi que ses produits se baseront désormais sur des API préservant la vie privée, notamment avec la confidentialité différentielle et FLoC (Federated Learning of Cohorts). Le discours du géant est ainsi que désormais « les gens ne devraient pas avoir à accepter d'être pistés en ligne pour bénéficier de publicités pertinentes ».

Toute la subtilité est là : Google ne dit pas qu'il vante un modèle ou le ciblage n'est plus l'option par défaut. L'idée n'est pas de ne plus personnaliser les annonces affichées, mais de ne plus faire reposer ces mécaniques sur le pistage et le profilage massif des individus. Les informations collectées seront ainsi anonymisées, agrégées, traitées sur l'appareil, entre autres solutions du genre. Mais le ciblage publicitaire continuera.

FLoC va ainsi être introduit sous la forme d'un test dans les prochaines versions de Chrome dans le courant du mois, via les Origin trials, avec une mise en place préliminaire au sein de Google Ads dans le courant du second trimestre. En avril, de nouveaux paramètres seront proposés aux utilisateurs, ils seront peaufinés avec le temps.

Google précise que ses produits publicitaires continueront de gérer les données dites first-party, évoquant le besoin pour les marques et les sites de renforcer les liens directs qu'ils ont avec leurs visiteurs/clients.

On peut apprécier ces décisions, même si certains ne manqueront pas de soulever que Google a joué avec le système pendant des années afin de se positionner en géant du secteur, riche à milliards, écrasant tout ou presque sur son passage, profitant finalement de cette manne financière pour désormais se positionner en acteur vertueux.

On attendra dans tous les cas de juger les évolutions sur pièces, puisque l'on est encore au stade des promesses et que sur ces sujets, le diable se cache vite dans les détails de la mise en œuvre.

L'EFF demande à Google de retirer son initiative FLoC

L'Electronic Frontier Foundation (EFF) y trouve d'ailleurs déjà à redire et ne semble pas tant séduite que cela par l'annonce de Google. Plutôt dubitative, évoquant une tentation de remplacer la mécanique des cookies tiers à l'agonie, « sans doute la plus grosse erreur du Web » par une « idée terrible ».

« Personne ne regrettera » les cookies tiers ajoute la fondation, qui rappelle les effets néfastes du tout pistage sur l'évolution d'Internet ces vingt dernières années, confirmant que de son point de vue, la fin de toute solution de pistage est une bonne nouvelle. Pour autant, elle est loin d'applaudir l'arrivée de FLoC.

Elle voit cette initiative, comme la plus ambitieuse évoquée par Google, mais « aussi la plus néfaste ». Pour l'EFF, « certaines de ses propositions montrent que la société n'a pas appris les bonnes leçons du retour de bâton actuel concernant le modèle économique de la surveillance » au risque de renforcer d'autres aspects négatifs.

Pour la fondation, l'erreur originelle est de laisser penser qu'il n'y aurait qu'un seul choix possible, entre les anciennes et nouvelles méthodes de pistage et déclare que « plutôt que de réinventer la roue en la matière, nous devrions imaginer un monde sans la myriade de problèmes qu'impliquent les publicités ciblées ».

Le choix doit être celui du pistage ou non, pas de la méthode utilisée

Le choix devant nous est celui de perdurer dans la volonté de collecter les habitudes des utilisateurs, plutôt que de leur laisser choisir librement ce qu'ils veulent partager ou non avec les sites qu'ils visitent et utilisent « sans crainte que leur navigation passée ne puisse être utilisée contre eux ou pour les manipuler au détour du prochain onglet ».

Car même l'absence de pistage individuel ne changera rien au fait de placer les internautes dans des cases, de produire des bulles de filtre, le tout partagé et accessible par de nombreux acteurs (publicitaires ou non). L'EFF rappelle que le principe de FLoC repose sur un identifiant de cohorte partagé avec les sites et leurs partenaires, indiquant à quel groupe (de plusieurs centaines/milliers de personnes) un utilisateur appartient.

Elle livre au passage une analyse détaillée du concept tel qu'il a évolué depuis son introduction, même si certains détails manquent à l'appel, comme la longueur du Cohort ID, dont découleront le nombre de groupes possibles et la finesse du ciblage, ou les restrictions d'accès imposées.

Mais pour la fondation le problème est que cet identifiant peut être croisé avec d'autres pour reconstituer une empreinte de l'utilisateur. Un problème qui pourrait être combattu à travers le Privacy Budget Plan, mais sur lequel il n'y a pour le moment pas de solutions ou d'engagements précis, alors que FloC sera bientôt là.

Cet identifiant pourrait aussi venir nourrir un profilage « à l'ancienne », que certains services continueront malgré les engagements de Google qui n'ont rien à voir avec leurs propres pratiques.

Pour l'EFF, le ciblage et ce qu'il permet sont le problème

FLoC n'apporte ainsi pas de solution aux problèmes posés par le ciblage lui-même, qui outre les questions de recoupement et de finesse du profilage, peut être utilisé à des fins autres que publicitaires. Par exemple en empêchant tel ou tel type de public de voir une annonce d'emploi, pour un appartement à louer, une solution de crédit selon quelques exemples donnés par l'EFF. On voit rapidement l'ampleur du problème.

Sans parler d'un ciblage qui viserait des publics plus fragiles pour les exposer à des arnaques en ligne comme du scam. Sachant que FLoC reposera sur une solution d'apprentissage non supervisé de Google, sans plus de contrôle par des tiers sur ses pratiques, et même si des propositions sont faites concernant l'exclusion de certaines catégories sensibles, comment savoir ce qu'il se passera dans cette nouvelle boîte noire ?

D'autant qu'une telle solution apparaît comme « à la fois orwellienne et sisyphéenne. Afin de vérifier comment les groupes FLoC recoupent des catégories sensibles, Google devrait organiser des audits massifs concernant le groupe ethnique, le genre, la religion, l'âge, la santé et le statut financier » des utilisateurs.

L'EFF demande ainsi à l'entreprise de faire machine arrière, et prévient que si FLoC est implémenté au sein de Chrome, il ne faut pas s'y tromper, « le système sera très certainement opt-in pour les publicitaires qui voudront l'utiliser, mais opt-out pour les internautes qui ne voudront pas en faire partie ». Espérons qu'il en sera autrement.

Nouveau plan de départs volontaires chez Altice France-SFR, qui promet de recruter des jeunes

4 mars 2021 à 07:51

Depuis son rachat par Patrick Drahi, Altice « dégraisse » régulièrement ses effectifs. On se souvient du large plan New Deal en 2016 (5 000 salariés). Un second est annoncé pour la France en moins d'un an. Après la branche médias, c'est à celle en charge des télécoms d'en faire les frais.

L'entreprise préfère parler dans son communiqué de  projet stratégique « Transformation et ambitions 2025 ». Mais comme elle en a l'habitude désormais, elle veut réduire ses effectifs, sur fond de crise sanitaire, évoquant l'intensification de la nécessité d'investir. Elle l'avait déjà fait au sein de NextRadioTV (BFM, RMC, 01) en 2020.

« Il s’agit de pouvoir absorber le trafic qui ne cesse d’augmenter chaque année (+35% de trafic pour SFR en 2020) et de s’adapter aux évolutions technologiques récurrentes, comme la Fibre et la 5G » indique le groupe de Patrick Drahi. Pour rappel, il est en train de sortir de bourse, limitant notamment ses obligations de publications financières.

1 700 postes supprimés

Il évoque pêle-mêle divers objectifs comme celui de couvrir 90 % des foyers français en fibre d'ici quatre ans, 98 % des villes de plus de 10 000 habitants en 5G, 5 millions de nouveaux clients FTTH, 100 % de croissance sur son parc de PME clientes de SFR Business. Ces entreprises devront également être à 90 % raccordées en fibre. Il y a enfin le programme « J'avance avec Altice » en faveur de l'environnement annoncé à la fin de l'année dernière.

Mais tout cela passe surtout par une fin de parcours pour de nombreux salariés, notamment dans le domaine des boutiques dont la fréquentation est en baisse. « 400 salariés auraient la possibilité de partir dans le cadre de ce projet. De même, l’évolution du réseau de magasins initiée en 2019 se poursuivra pour atteindre comme prévu 568 magasins sur le territoire métropolitain à horizon fin 2022 ».

Des chiffres qui peuvent évoluer dans les cinq prochaines années prévient déjà le groupe.

Un impact plus important qu'annoncé selon la CFDT

1 300 autres départs volontaires sont concernés dans « les autres fonctions de l'entreprise », sans plus de précisions pour le moment. Un total de 1 700 postes donc, soit 11 % de l'effectif actuel (environ 15 000 salariés pour les activités télécom en France). La CFDT conteste cette présentation évoquant un « tour de passe-passe » dans la communication du groupe, tant sur les motivations de ce plan de départs que sur la réalité de son impact.

En effet, hors activité dans les médias, il serait de 15 % des effectifs de la distribution et 18 % de l'unité économique et sociale (UES) SFR. Le syndicat met aussi en avant les très bons résultats du groupe qui évoque de « vieilles ficelles » sorties par la direction. Une réunion de négociation ce tiendra ce jeudi 4 mars. 

On devrait alors obtenir les détails des secteurs visés. « Seules deux directions (des contenus et juridiques, soit 60 salariés au total...) seront « épargnés ». Pour les autres, il est systématiquement précisé qu'il y aura « des conséquences sociales sur les effectifs (qui) seront détaillées et explicitées lors d'une information d'information-consultation dédiée ». L'actualité sociale va donc être particulièrement dense » prévient la CFDT.

Des jeunes et de l'IA

Pour tenter de faire passer la pilule, Altice France-SFR dit vouloir recruter 1 000 jeunes diplômés sur la même période « Pour monter en puissance sur les nouveaux métiers qualifiés du numérique, par exemple liés à la sécurité, l’analyse de la donnée ou l’IA », sans que l'on sache ce que cela représente par rapport aux départs habituels sur une telle période (démission, retraite, etc.). Le nombre de contrats d'apprentissage passer à 1 000 par an.

Le groupe de Patrick Drahi dit ainsi accompagner « la dynamique du Plan « 1 jeune, 1 solution » du Gouvernement ». Il promet également la mise en place d'une politique de formation pour 100 % des salariés et de « conduire une réflexion plus large avec ses partenaires pour répondre à ces évolutions et aux attentes de ses salariés ». 

Blade (Shadow) est dans une situation financière difficile, dans l'attente d'un repreneur

2 mars 2021 à 17:00

Après plusieurs années sous les feux des projecteurs, les temps sont durs pour les projets de Cloud Gaming. Stadia vient de fermer son studio, le patron d'Amazon Luna a quitté l'entreprise et selon nos informations, Blade est à court de cash. La piste envisagée est celle de l'annonce rapide d'un repreneur.

Fin 2019, Blade lançait en grandes pompes la « nouvelle offre » de son service de cloud gaming Shadow avec GeForce RTX et nouveaux processeurs Xeon à la clé. Même Cédric O était là. Mais après quelques mois de bêta et des débuts pleins d'empressement, on apprenait que la sortie attendue pour janvier 2020 n'aurait pas lieu.

2020, entre succès et grosses galères

Le nouveau patron de l'entreprise, Jérôme Arnaud, annonçait alors que suite à des soucis matériels, le lancement devait être retardé. Comme nous l'avions dévoilé à l'époque, la startup avait en réalité décidé de ne plus se reposer sur OVHcloud et de travailler à de nouveaux serveurs en partenariat avec l'un de ses actionnaires, 2CRSi.

Il fallait donc repartir de zéro, concevoir de nouvelles baies puis les déployer. Cela allait prendre plusieurs mois. Outre ces petits arrangements avec la vérité, cette décision allait être lourde à porter pour une autre raison : elle était prise au début de la pandémie de Covid-19, qui a impacté les transports et l'approvisionnement matériel.

Cela n'a rien arrangé dans une situation déjà difficile. Ainsi, malgré l'extension à l'international qui lui a permis d'atteindre l'objectif fixé de 100 000 clients, désormais majoritaires à l'étranger, les mauvaises nouvelles se sont enchaînées. Jusqu'au départ de l'un des fondateurs de l'entreprise, Emmanuel Freund, avec plusieurs employés.

Quelques succès ont quand même été au rendez-vous, comme la montée de LG au capital en janvier 2020. Selon des documents que nous avons pu obtenir depuis, pour un peu moins de trois millions d'euros et 5 352 actions, soit 560,51 euros chacune. Entre avril et juin 2020, différents investisseurs apportaient six millions d'euros.

Mais fin juillet, le statut de la nouvelle offre était inchangé, malgré les bonnes nouvelles évoquées alors par 2CRSi.

Blade Shadow Levées de fonds 2020Blade Shadow Levées de fonds 2020
Début 2020, Shadow a levé plusieurs millions d'euros

Le besoin de rebondir

Cyrille Even était entre temps nommé à la tête de Blade, sans jamais réussir à vraiment s'installer. Cela n'aura duré que quelques mois. De quoi continuer à secouer l'équipe, où les départs se sont multipliés depuis 2020.

En septembre, Mike Fischer était nommé CEO et Jean-Baptiste Kempf CTO. Leur objectif était alors de relancer Blade et lui faire prendre une meilleure direction. Remotiver les équipes, réorganiser l'entreprise, faire le point sur la situation et préparer le terrain pour l'avenir faisaient alors partie des pistes de travail évoquées en public.

Mais en coulisse, l'enjeu était d'améliorer les finances de l'entreprise qui, gagnant de nombreux clients, « brûlait » de plus en plus de cash chaque mois. Une situation paradoxale, mais qui est le lot de nombreuses startups en phase de croissance, notamment à l'étranger. Malgré les tweets enthousiastes de Louis Tomlinson, du groupe One Direction, cela a rapidement eu de lourdes conséquences.

Coup de grâce

Car une grosse levée de fonds était espérée fin 2020. Plusieurs sources nous ont confirmé qu'elle ne s'était pas faite. Et si le produit s'est peu à peu renforcé, les problèmes ont continué de s'accumuler. Pour ne rien arranger, la société a été sortie il y a peu du classement Next40 où elle était fièrement entrée en 2019.

L'engouement que l'on constatait autour des offres de cloud gaming, le télétravail renforçant le succès de services comme Shadow et l'expansion internationale – qui a continué en novembre avec la Corée du Sud – n'ont donc pas eu les effets positifs espérés. Certains sujets étaient d'ailleurs toujours sources de tensions en interne.

Selon plusieurs sources que nous avons pu interroger au fil des mois, tous n'appréciaient pas les décisions prises. Notamment que la nouvelle offre ait bien été disponible... mais uniquement depuis des datacenters situés à l'étranger, pas celui de Paris. Sans que la société ne communique sur le sujet auprès de ses clients français, encore nombreux à attendre leur précommande depuis des mois.

Autre signe mal perçu par certains : Mike Fisher, qui devait venir s'installer à Paris, ne l'a toujours pas fait.

Shadow Boost Disponibilité 2021Shadow Boost Disponibilité 2021
Pour Shadow Boost, il faut attendre le 31 mars depuis le Texas, le 31 décembre depuis la France

Blade dans la tourmente

Ainsi, tout semblait réuni pour que nous en arrivions à une conclusion tragique. Au fil de notre enquête, nous avons récolté de nombreux témoignages d'employés et de partenaires nous faisant part de leur inquiétude, évoquant tel ou tel signe alarmant sur la situation de Blade. Nous avons ainsi interrogé l'entreprise courant janvier.

Nous voulions savoir où elle allait, ce qui était prévu pour la nouvelle offre et sa disponibilité, ce qu'il en était d'une éventuelle levée de fonds. Comme à son habitude, le service presse nous a opposé une fin de non-recevoir, évoquant une communication attendue pour courant février (à confirmer). Elle n'est jamais venue.

Ces derniers jours, plusieurs éléments nous ont fait comprendre que la situation s'était dégradée au point que la question était désormais de savoir si Blade allait finir au tribunal de commerce. Selon nos informations, elle s'est placée sous sa protection à travers une procédure de redressement judiciaire, qui maintient l'activité mais tient les créanciers à l'écart le temps qu'une solution soit trouvée. Un administrateur judiciaire a été nommé.

La reprise est l'issue envisagée, plusieurs repreneurs ont déjà montré leur intérêt pour l'entreprise, notamment des acteurs français du monde des télécoms et du réseau. Reste à faire un choix entre les différents dossiers qui seront déposés et les perspectives qu'ils offrent  à Blade et ses équipes. Le service perdure sans changement d'ici là.

Ce choix sera d'autant plus important que certains espèrent sans doute ne pas trop y perdre. On pense notamment au strasbourgeois 2CRSi, présent au capital de Blade. S'il y a investi 2 millions d'euros en compensation de créances fin 2019, selon les derniers documents publiés il ne compte que pour moins de 1 % du capital. Il s'est néanmoins également engagé aux côtés de la startup à travers les crédits-baux pour la fourniture des serveurs.

2CRSi Blade Parts
2CRSi ne détient qu'une part minoritaire dans Blade

Coté en bourse, il a multiplié les annonces positives ces derniers mois, comme la signature d'un contrat à 6 millions de dollars avec l'américain Coin Citadel en décembre, un autre d'une durée de cinq ans auprès d'un « groupe bancaire français d'envergure mondiale », puis plusieurs contrats remportés dans le cadre d'un appel d'offres du CERN pour 15 millions d'euros. Son action, qui était à moins de 2 euros à la mi-mars 2020, est ainsi remontée aux alentours de 4-5 euros avant de s'envoler à plus de 7 euros, en baisse ces dernières heures.

Si l'importance de Blade au sein de son portefeuille client a été largement réduite au fil des années – 2CRSi a également misé sur d'autres chevaux dans le cloud gaming comme GameStream, dont il détient 14,4 % – l'annonce de ce soir devrait néanmoins secouer l'entreprise le temps qu'une décision soit prise quant au repreneur.

Les salariés dans l'attente du repreneur

Bien que la situation de Blade ne soit pas une surprise pour qui suit la société avec attention, faisant déjà l'objet de bruits de couloir à l'extérieur depuis plusieurs semaines, rien n'avait été officialisé en interne. Selon nos informations, c'est le cas, à travers un « company meeting » qui se tient alors que nous publions cet article.

Les jours à venir devraient être l'occasion d'en savoir plus sur les repreneurs qui se déclareront et leurs projets, en espérant que cela se dénouera rapidement pour l'entreprise et son équipe. Nous tenterons d'en savoir plus d'ici là. La situation de Blade étant désormais officielle, peut-être arriverons-nous à obtenir plus de réponses.

Il sera ensuite temps de se focaliser sur le projet qui sera présenté et ce qu'il signifiera, tant pour les salariés que les clients et partenaires de Blade. Une seule chose est sûre : il faut s'attendre à de gros changements pour Shadow.

Accès aux emails : Free évoque un problème « résolu »

1 mars 2021 à 09:22

L'accès aux emails de Free semble perturbé, plusieurs clients indiquant ne plus pouvoir accéder à leur messagerie depuis plusieurs heures sans que l'on ne sache encore pourquoi.

Depuis ce dimanche, plusieurs témoignages indiquent que Free rencontre des problèmes avec la gestion de certaines boites email de ses clients. En effet, plusieurs personnes indiquent sur les réseaux sociaux ou des forums ne plus pouvoir se connecter à l'interface webmail Zimbra, apparemment sans autre solution d'accès.

De tels problèmes arrivent de temps à autre, mais cette fois l'ampleur semble bien plus importante vu le nombre de témoignages constatés. Les personnes concernées évoquent la présence d'un simple message en anglais « The document has moved here », qui correspond à une redirection HTTP 302.

Certains témoignent aussi du fait que leur adresse email ne serait plus accessible en réception. Un client indique avoir « eu confirmation que le problème vient des serveurs Zimbra et que les techniciens sont au courant ». 

Interrogé, Free n'a pour le moment pas répondu à nos questions.

State Partitioning : Firefox 86 active sa « protection totale » sur les cookies

24 février 2021 à 07:53

Firefox continue de renforcer ses fonctionnalités en lien avec la vie privée, le navigateur pouvant désormais mieux isoler les données stockées par les différents sites pour limiter le pistage des internautes. La portée de cette fonctionnalité est pour le moment limitée, mais elle devrait se renforcer avec le temps.

Firefox 86 est disponible au téléchargement. Une nouvelle version qui permet d'afficher plusieurs vidéos en Picture-in-Picture (PiP), revoit le design de sa page dédiée à l'impression et met fin au support de DTLS 1.0 pour les connexions WebRTC. Le navigateur requiert la version 1.2 du standard au minimum. 

Il y a bien entendu des correctifs, entres autres nouveautés pour les entreprises et les développeurs. Mais ces derniers vont surtout avoir à faire à la Total Cookie Protection, nom marketing du State Partitioning sur lequel les équipes de Mozilla travaillent depuis longtemps et qui vise à renforcer le respect de la vie privée des utilisateurs. 

Il s'agit en effet d'une nouvelle fonctionnalité du mode strict de l'Enhanced Tracking Protection (ETP), disponible dès aujourd'hui. Quels changements concrets pour les internautes et les sites qu'ils visitent ?

Isoler les données pour mieux protéger

Dans la documentation technique de Mozilla, le State Partitioning est présenté comme une segmentation des données stockées par le navigateur afin de limiter la possibilité des sites de nous pister à travers différents domaines. Chacun dispose ainsi de son propre silo de données auquel il accède. Ils sont isolés les uns des autres.

L'équipe illustre cette fonctionnalité avec le réseau social example.com. Si des sites tiers (A.example et B.example) intègrent un bouton de connexion ou « J'aime », le service d'origine déposera des cookies en son nom auquel il pourra accéder et ainsi savoir sur quels sites s'est rendu l'un de ses utilisateurs. On parle de pistage cross-site.

Par le passé, Firefox et d'autres navigateurs ont opté pour une approche assez basique face à ce problème, en limitant la capacité d'accès au stockage de données d'un site depuis un domaine tiers, notamment lorsqu'il est considéré comme un domaine pisteur (par la liste Disconnect dans le cas de Firefox).

Mais cela peut parfois poser problème et, surtout, cette approche avait un impact limité. Le State Partitioning va ainsi plus loin, notamment en s'appliquant à tout domaine, listé comme pisteur ou non.

Firefox State PartitioningFirefox State Partitioning
Avant les données étaient dans un pot commun, désormais elles sont isolées les unes des autres

Le blocage du pistage au-delà des listes

Il consiste à marquer les données stockées avec le domaine du site visité et celui du site à l'origine de la requête, qui constituent deux clés. L'isolation se fait selon ces deux éléments. Ainsi, dans l'exemple ci-dessus, example.com dispose de son silo de données, les données qu'il stocke sur A.example en constitue un autre, celles qu'il stocke sur B.example un troisième, etc. Le croisement des données devient alors impossible pour un pistage cross-site.

Depuis Firefox 85, il était actif sur 19 API en lien avec le réseau afin de lutter contre les « Super Cookies ». Avec Firefox 86 il en concerne désormais 7 autres dans le mode strict d'ETP : Cookies, localStorage, sessionStorage, DOM Cache, IndexedDB, Broadcast Channel et Shared Workers. Ce n'est donc pas (encore ?) actif par défaut. 

Car il faut rappeler que toutes ces API existent dans un but légitime au départ. Elles permettent aux développeurs d'apporter des fonctionnalités à leurs sites et applications. Mais elles ont toutes, d'une manière ou d'une autre, été détournées par l'industrie du pistage en ligne, le plus souvent à des fins publicitaires.

Malgré des règles plus dures, il faut donc maintenir un fonctionnement cohérent pour les usages légitimes. En l'état, il existe donc quelques exceptions pour éviter tout problème de compatibilité via l'API Storage Access. Elles ont surtout été introduites pour éviter de casser les mécaniques de connexion par exemple. Dans ces cas précis, l'utilisateur n'aura pas à donner son accord, il sera automatique.

StorageAccess API
La demande d'accès à l'utilisateur sera parfois nécessaire, parfois non

Ainsi, un accès de 30 jours à un domaine tiers pourra être accordé s'il est à l'origine d'une pop-up ouverte via windows.opener. Il sera de 15 minutes en cas de redirection d'un site A vers B si les deux ont été visités avec une interaction de l'utilisateur il y a moins de  dix minutes. Si un domaine pisteur a été visité dans les 45 jours et renvoie vers un site non-pisteur, le premier pourra accéder aux données du second pour 15 minutes.

Les développeurs peuvent se rendre sur cette page qui détaille les différents cas. Les équipes de Firefox préviennent que ces mécaniques sont pour le moment là pour assurer la transition et limiter les problèmes de compatibilité. En cas d'abus, des domaines pourront se voir imposer une demande d'autorisation systématique à l'utilisateur plutôt que de passer par l'automatisation, même en cas de respect des exceptions.

Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire

5 février 2021 à 07:25

Fin mars, tous les sites devront être en conformité avec les nouvelles lignes directrices de la CNIL en matière de pistage numérique des internautes. L'aboutissement d'une bataille longue où la Commission a été plus que conciliante, face à des publicitaires et éditeurs peu regardants. 

La Commission rappelle que « le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021 ». Et on ne peut que constater sa patience sur le sujet, puisque cela fera bientôt trois ans que le RGPD est entré en vigueur, cinq ans qu'il a été voté. 

L’installation et la lecture de ces pisteurs sont certes régulées par la directive ePrivacy de 2002, qui exige le consentement préalable de l’internaute. Elle renvoie cependant la définition de cette expression à la législation européenne relative aux données personnelles. 

Avant le RGPD, le droit européen se contentait d’un consentement implicite, ce qui a permis à la CNIL, dans une délibération de 2013, de considérer que la poursuite de la navigation sur un site vaut accord de l’internaute à l’installation des mouchards publicitaires. Avec le RGPD du 25 mai 2018, tout change puisque le consentement doit être explicite, et trouver sa manifestation dans un acte « positif », qui ne peut donc être déduit.

La mise en œuvre de cette nouvelle législation n'a pas été immédiate en pratique, l'autorité ayant laissé de longs mois aux acteurs pour assurer cette mise en conformité, montée en puissance validée par le Conseil d'Etat. La période touche désormais à sa fin, près de trois ans après l'entrée en application du règlement. 

La pédagogie de la CNIL, une méthode pas toujours efficace

Alors que l'échéance approche à grands pas, la CNIL constate sans doute que le compte n'y est pas encore et a donc « souhaité sensibiliser à nouveau les organismes privés et publics par une campagne d’envoi de courriers et courriels ».

Elle en profite pour publier un observatoire édité par son laboratoire d'innovation numérique (LINC). Objectif ? « Analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France ». L'analyse est basée sur l'outil maison et open source CookieViz. Les résultats ne préjugent pas de la conformité ou non des sites, prévient le LINC, mais donnent une bonne idée de la tendance globale et la volonté des acteurs.

Et on peut constater qu'on est loin d'être dans une situation idéale.

CNIL Cookies ObservatoireCNIL Cookies Observatoire

Malgré les délais et rappels : les sites abusent toujours

Ainsi, seuls 20 % des sites n'ont déposé aucun cookie tiers au chargement de la page. 20 % en déposent entre 7 et 79. Ce, sans prendre en compte des pratiques comme le CNAME Cloaking qui vise justement à masquer les tiers derrière un sous-domaine du site visité (first party) et autres solutions de pistage qui ne dépendent pas des cookies.

Dans la majeure partie des cas, il s'agit de cookies publicitaires, Facebook et Google en tête. Avec l'omniprésence de ces acteurs, ces outils permettent de reconstituer entièrement un profil utilisateurs selon leur navigation. C'est d'ailleurs leur objectif premier.

Après ce dernier coup de semonce, il n'y a plus qu'à espérer que la CNIL saura se montrer ferme avec les sites qui jettent encore en pâture les données de leurs visiteurs sans même leur accord. Car pour certains, il s'agit d'un modèle économique bien rodé qui dure depuis plus de 10 ans. Une situation que d'aucuns pourraient considérer comme une forme de concurrence déloyale face à ceux qui respectent la loi à la lettre.

Sécurité des emails chez les FAI via SPF, DKIM, ARC/DMARC : Orange à la traîne, SFR en tête

4 février 2021 à 13:55

Lorsque vous envoyez des emails via l'adresse fournie par votre FAI, celui-ci met-il en œuvre toutes les solutions permettant à vos interlocuteurs de s'assurer qu'il est légitime ? Il y a quelques mois nous avions constaté que ce n'était pas le cas. Depuis, les choses ont-elles changé ?

En juin dernier, nous étions revenus en détail sur différents standards importants de l'email, faisant l'objet de travaux de l'ANSSI pour renforcer leur support. Ses recommandations étaient alors mises à jour.

Une étape nécessaire, car un constat s'imposait alors : bien que certains de ces outils datent de plus de 15 ans, les différents acteurs français n'étaient pas vraiment pressés de les adopter. Lorsqu'il s'agissait de protéger les emails de leurs équipes, tout était le plus souvent en place. Mais pas pour leurs clients.

Ce, bien qu'ils payent parfois pour la fourniture d'un service email. La situation était la même pour l'envoi  par ces hébergeurs et FAI d'informations aussi importantes que des factures ou des URL de remise à zéro d'un mot de passe, par exemple. De quoi expliquer, en partie, pourquoi le spam perdure.

Si certains de nos interlocuteurs ne voyaient pas le problème, d'autres nous promettaient de faire mieux. Nous avons attendu six mois avant de faire un nouveau point, voici ce que nous avons pu constater. 

Projet New MTA : chez Orange, rien de nouveau

Commençons par l'acteur le plus important de l'hexagone, « opérateur historique » et pourtant le moins bien doté en la matière : Orange. Ce dernier n'appliquait aucun des standards que nous avions évoqués dans notre dossier.

Ce n'était donc pas le cas du SPF, qui consiste à déclarer dans un enregistrement DNS les serveurs autorisés à envoyer des emails depuis le domaine Orange.fr. Ni de DKIM signant les messages pour d'assurer de la véracité du destinataire. Pas plus de DMARC qui indique aux serveurs tiers la conduite à tenir en cas de problème.

Réagissant à notre article, le FAI nous promettait à l'époque que le projet New MTA serait pour ses équipes l'occasion de mettre en place DKIM et « un SPF plus restrictif ». Tout devait être finalisé avant la fin de l'année 2020. Il y a quelques jours, nous avons donc effectué de nouveaux essais et... rien n'avait changé.

SPF n'est pas en place, les emails des clients toujours pas signés avec DKIM. L'évolution de la plateforme ne semble pas avoir été opérée. Interrogé sur l'avancée du projet, le FAI n'a pour le moment pas répondu à nos questions.

SPF DKIM ARC DMARC Orange
Les résultats obtenus via Mail Tester

Bouygues Telecom : SPF et c'est tout

Même chose chez Bouygues Telecom : rien n'a changé. Nous constations en juin dernier qu'un enregistrement SPF déclarant les serveurs autorisés à envoyer des emails de clients via Bbox.fr était bien présent, il est toujours là. DMARC/ARC ne sont toujours pas en place, pas plus qu'une signature via DKIM.

Interrogé sur le sujet, le FAI n'a là encore pas répondu à nos questions pour le moment.

SPF DKIM ARC DMARC Bouygues Telecom
Les résultats obtenus via Mail Tester

Free et SFR signent les emails de leurs clients via DKIM

Bonne nouvelle pour les clients Free : si le FAI n'a jamais répondu à nos questions de manière directe, il a finalement mis de l'eau dans son vin. Les emails envoyés par les clients sont désormais signés via DKIM. Cela permet au destinataire de s'assurer de sa provenance. SPF et DMARC arrivent.

SFR qui n'avait pas pris d'engagement particulier, a ajouté la signature DKIM à ses pratiques, en plus de l'enregistrement SPF qui était déjà en place (et qui est resté). ARC/DMARC manquent toujours à l'appel.

SPF DKIM ARC DMARC FreeSPF DKIM ARC DMARC SFR
Free et SFR ont ajouté la signature via DKIM

Bien entendu, nous ferons régulièrement d'autres vérifications, et reviendrons sous peu sur l'évolution des acteurs français sur le sujet, de manière plus générale. Ce sera alors l'occasion de faire le point avec l'ANSSI sur la situation.

Derniers jours pour profiter de nos goodies à prix réduit, nos magazines sont toujours disponibles

1 mars 2021 à 07:16

Notre second magazine est disponible depuis janvier. Si ce n'est pas déjà fait, vous pouvez le commander sur notre boutique. Nos goodies y sont à prix réduits pour encore quelques jours.

Le chemin nous ayant mené à ce second magazine n'a pas été de tout repos, notamment du fait de la pandémie qui a compliqué plusieurs étapes du processus, mais nous y sommes parvenus. Financé avant l'été, il a été finalisé fin novembre puis bouclé en décembre. Imprimé dans la foulée, il arrive chez les contributeurs.

Pour rappel, il est disponible via notre boutique en ligne. Vous pouvez le commander et le recevoir en quelques jours. Vous y lirez des chroniques de Tristan Nitot ou Framasoft, des articles sur les protocoles domotique, l'évolution du droit des hébergeurs, les idées parfois un peu folles des parlementaires, la révolution de l'internet (re)distribué ou de l'édition face au numérique, Ariane 6, l'histoire de Synology et son DSM, qui arrive à sa v7.0.

Mais aussi la recette des fameux macarons de Laurent Chemla ou encore des dessins de Flock et Commit Strip. Le sommaire complet est ici. Ce magazine est toujours sans aucune publicité. Ce projet nous a ainsi permis de travailler avec de nouvelles plumes, qui officient à nos côtés sur le papier ou en ligne puisque nos magazines se complètent à travers nos colonnes numériques, comme vous avez pu le voir ici, , ou encore

Pour encore quelques jours, vous pouvez profiter d'une remise de 50 % sur notre boutique en ligne pour l'ensemble de nos goodies (hors magazines). La réduction s'applique automatiquement.

❌
❌