Dans un communiqué, le ministère de l’Enseignement annonce que, à « la suite d’un signalement intervenu courant mars 2026, ses équipes […] ont identifié une usurpation frauduleuse affectant le compte d’un module de gestion des données Parcoursup réservé à l’usage des personnels de la région académique Occitanie ».

Le vol des données, qui n’avait pas été repéré jusqu’à présent, remonte à octobre 2025, soit il y a six mois tout de même. Sont concernés, « environ 705 000 candidats, résidant en Occitanie ou y ayant formulé des vœux au cours de la session 2023 ou de la session 2025 ».

La liste des informations personnelles est assez longue : nom, prénom, nationalité (française, UE ou hors UE), date de naissance, adresse physique et email, numéro de téléphone, des informations sur la scolarité, le statut boursier, le parcours de formation et, pour les mineurs, le lien de parenté et la catégorie socio-professionnelle des responsables légaux.

Comme le veut la loi, les personnes concernées sont informées et la CNIL notifiée. Une plainte a été déposée auprès de la procureure de la République de Paris, affirme le ministère. Les risques pour les usagers victimes du vol de leurs données sont toujours un peu les mêmes : tentatives d’hameçonnage (phishing), escroquerie et usurpation d’identité.

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Il y a une dizaine de jours, le ministère de l’Éducation nationale expliquait que des données d’élèves étaient exposées après une cyberattaque visant ÉduConnect. En mars, c’était le portail RH Compas qui avait laissé fuiter les informations de 243 000 agents et stagiaires. Chez France Titres, ce sont pas moins de 11,7 millions de comptes qui sont touchés.

Cette semaine, le hacker HexDex a été arrêté en France, en Vendée. Il revendique des dizaines de cyberattaques en France contre des fédérations sportives, mais aussi des institutions et services officiels français avec le système d’information sur les armes du ministère de l’Intérieur (SIA), l’Agence Nationale de la Cohésion des Territoires (ANCT), Choisir le service public gouv, etc. Aucun lien n’est fait entre HexDex et cette fuite de Parcoursup.

• HexDex interpellé en France, le hacker revendique des dizaines de cyberattaques

Dans un communiqué, le ministère de l’Enseignement annonce que, à « la suite d’un signalement intervenu courant mars 2026, ses équipes […] ont identifié une usurpation frauduleuse affectant le compte d’un module de gestion des données Parcoursup réservé à l’usage des personnels de la région académique Occitanie ».

Le vol des données, qui n’avait pas été repéré jusqu’à présent, remonte à octobre 2025, soit il y a six mois tout de même. Sont concernés, « environ 705 000 candidats, résidant en Occitanie ou y ayant formulé des vœux au cours de la session 2023 ou de la session 2025 ».

La liste des informations personnelles est assez longue : nom, prénom, nationalité (française, UE ou hors UE), date de naissance, adresse physique et email, numéro de téléphone, des informations sur la scolarité, le statut boursier, le parcours de formation et, pour les mineurs, le lien de parenté et la catégorie socio-professionnelle des responsables légaux.

Comme le veut la loi, les personnes concernées sont informées et la CNIL notifiée. Une plainte a été déposée auprès de la procureure de la République de Paris, affirme le ministère. Les risques pour les usagers victimes du vol de leurs données sont toujours un peu les mêmes : tentatives d’hameçonnage (phishing), escroquerie et usurpation d’identité.

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Il y a une dizaine de jours, le ministère de l’Éducation nationale expliquait que des données d’élèves étaient exposées après une cyberattaque visant ÉduConnect. En mars, c’était le portail RH Compas qui avait laissé fuiter les informations de 243 000 agents et stagiaires. Chez France Titres, ce sont pas moins de 11,7 millions de comptes qui sont touchés.

Cette semaine, le hacker HexDex a été arrêté en France, en Vendée. Il revendique des dizaines de cyberattaques en France contre des fédérations sportives, mais aussi des institutions et services officiels français avec le système d’information sur les armes du ministère de l’Intérieur (SIA), l’Agence Nationale de la Cohésion des Territoires (ANCT), Choisir le service public gouv, etc. Aucun lien n’est fait entre HexDex et cette fuite de Parcoursup.

• HexDex interpellé en France, le hacker revendique des dizaines de cyberattaques

T’es Pas Unifié

Google vient d’annoncer sa nouvelle génération de Tensor Processing Unit, alias TPU, des puces spécialisées dans les calculs liés à l’IA (générative). Google change son fusil d’épaule pour les v8 et spécialise ses puces. On vous explique les enjeux et les approches techniques, avec en prime un tableau comparatif des sept dernières générations de TPU.

Pour cette huitième génération, Google présente deux versions distinctes : TPU 8t et TPU 8i. Ce n’est pas la première fois que la gamme est séparée en deux, il y avait les TPU v5e et v5p, qui misaient respectivement sur l’efficacité énergétique pour les premiers, la puissance brute pour les seconds.

C’est par contre la première fois que Google sépare ses puces en fonction des usages. Le fabricant s’en sert d’ailleurs comme un argument : « nous avons conçus les TPU 8t et 8i comme deux systèmes distincts et spécialisés, adaptés aux exigences futures et complexes du cycle de vie de l’IA ». Dans un autre billet de blog, Google explique « que les deux puces peuvent gérer différentes charges de travail, mais la spécialisation permet d’obtenir des gains significatifs ».

Tableau comparatif des TPU v3 aux v8, huit ans d’évolution

Pour commencer, et comme à notre habitude, Next vous propose un tableau récapitulatif des caractéristiques techniques et des performances des dernières générations de TPU de Google. Nous sommes remontés jusqu’au v3 de 2018 :

Laisse moi kiffer la vibe avec mon sat

Les constellations de satellites permettent aux smartphones de se connecter depuis quasiment n’importe où et sont une alternative aux antennes des réseaux mobiles dans des zones blanches. Reste un problème de taille : les ondes utilisées doivent être harmonisées au niveau mondial car elles ne connaissent pas les frontières.

Si la quasi-totalité des échanges mondiaux d’Internet passent par des câbles sous-marins, le satellite prend de l’importance avec l’augmentation du nombre et de la taille des constellations. Sur le mobile, le satellite permet d’apporter du « réseau » dans des régions isolées, un fort relief (blocage des ondes), une faible densité de population (peu intéressant économiquement), etc.

Communiquer partout avec un smartphone « n’est plus de la science-fiction »

Bref, les liaisons satellites sont une alternative quand les antennes des réseaux mobiles ne sont pas disponibles, peu importe presque l’endroit dans le monde. C’est également le cas dans le monde maritime.

L’ANFR rappelle que la « frontière technologique s’estompe » entre les réseaux mobiles et satellitaires. En effet, la 3GPP – en charge de développer les technologies des réseaux mobiles (3G, 4G, 5G, 6G…) – « intègre désormais les réseaux non terrestres (NTN) : un téléphone mobile peut aussi communiquer directement avec un satellite ».

• Direct-to-Cell : mais comment diable un smartphone peut communiquer avec un satellite

Toujours selon l’Agence nationale des fréquences, « la convergence entre réseaux terrestres et spatiaux ouvre ainsi la voie à une connectivité véritablement ubiquitaire : communiquer partout depuis un smartphone ordinaire n’est plus de la science-fiction ». En témoignent d’ailleurs l’ambiance générale du Mobile World Congress (MWC) de Barcelone en mars dernier.

Selon l’ANFR, ce rendez-vous annuel a confirmé une évolution majeure : « Au cours de la prochaine décennie, le satellite ne sera plus un marché de niche ni un simple complément aux réseaux terrestres […] La nouveauté observée à Barcelone est la multiplication de projets visant à fournir des services mobiles par satellite directement au grand public ».

D2D-MSS vs D2D-IMT : une même finalité, deux approches

Il existe deux approches pour que les smartphones puissent communiquer avec les satellites : D2D-MSS (Mobile Satellite Services) sur les bandes de fréquences des satellites ou D2D-IMT (International Mobile Telecommunications) sur les fréquences de la téléphonie mobile. D2D signifie Direct to Device, mais on parle aussi parfois de Direct-to-Cell pour les smartphones en particulier.

Le robot tondeuse Mammotion LUBA 2 AWD 5000X dispose d’une connexion 4G, Wi-Fi et Bluetooth, tout en étant bardé de capteurs, notamment avec son « système de positionnement et de navigation NetRTK + Vision IA à double caméra ». Il est vendu plus de 2 000 euros.

Il exploite donc le système RTK (Real Time Kinematic) qui, rappelle l’ANFR, « améliore la précision des signaux GNSS (GPS, Galileo…) grâce à une base fixe transmettant des corrections au centimètre près, utile pour éviter que le robot ne déborde chez le voisin ou sur la route ». Cette coupe au centimètre a des conséquences inattendues : des brouillages un peu partout en France.

La base RTK du robot utilise en effet la bande de fréquence 863–870 MHz, également utilisée par le réseau bas-débit LoRa. Jusque-là, rien d’exceptionnel car cette bande est « libre » : elle peut être utilisée sans licence, contrairement aux fréquences de la téléphonie mobile par exemple. Mais attention, libre cela ne veut pas dire que c’est le « far west » et que tout le monde fait ce qu’il veut.

• On vous explique les protocoles pour les objets connectés : Zigbee, Z-Wave, EnOcean, DIO…

Les fabricants doivent en effet respecter des conditions techniques strictes sur la puissance et le temps d’émission, par exemple. Selon la décision 2023 - 1412 de l’Arcep et le tableau national de répartition des bandes de fréquences (TNRBF, pdf de 314 pages), le temps d’émission est limité à 1 %. Problème, le module RTK de la tondeuse était bien loin de cette limite et « était décidément beaucoup trop bavard : il émettait dans la bande 868–868,6 MHz près de 40 % du temps ».

Ce robot tondeuse n’était pas un cas isolé : « plus de 120 plaintes concernant le réseau LoRa ont été traitées entre 2024 et 2025, rendant indispensable une solution durable ». Le distributeur français de la tondeuse a déployé une mise à jour logicielle afin de réduire l’occupation excessive de la bande, « mais ces ajustements apparaissaient insuffisants ».

L’Agence nationale des fréquences change de braquet. Si la lutte contre les brouillages permet de régler des cas individuels, « la diffusion dans tout le pays d’un appareil produisant des brouillages systématiques relève, elle, de la procédure de surveillance du marché, afin d’éliminer le trouble à sa source ». Une nouvelle procédure est enclenchée.

Un robot est prélevé chez un revendeur et analysé. Sans surprise, « l’appareil ne respectait toujours pas les obligations de mise sur le marché, notamment les conditions techniques d’utilisation de la bande 863–870 MHz ». Le responsable des produits, Shenzhen Mammotion Innovation Co, est alors contacté et une mise à jour du firmware est déployée – la V1.14.1.2 – et diffusée automatiquement. L’ANFR confirme que le souci est réglé.

« Sans mise à jour, l’appareil peut continuer à émettre de manière non conforme, exposant l’utilisateur au risque de brouillage et aux sanctions du Code des postes et communications électroniques — c’est-à-dire jusqu’à 30 000 € d’amende et 6 mois d’emprisonnement », rappelle enfin l’ANFR.

Le robot tondeuse Mammotion LUBA 2 AWD 5000X dispose d’une connexion 4G, Wi-Fi et Bluetooth, tout en étant bardé de capteurs, notamment avec son « système de positionnement et de navigation NetRTK + Vision IA à double caméra ». Il est vendu plus de 2 000 euros.

Il exploite donc le système RTK (Real Time Kinematic) qui, rappelle l’ANFR, « améliore la précision des signaux GNSS (GPS, Galileo…) grâce à une base fixe transmettant des corrections au centimètre près, utile pour éviter que le robot ne déborde chez le voisin ou sur la route ». Cette coupe au centimètre a des conséquences inattendues : des brouillages un peu partout en France.

La base RTK du robot utilise en effet la bande de fréquence 863–870 MHz, également utilisée par le réseau bas-débit LoRa. Jusque-là, rien d’exceptionnel car cette bande est « libre » : elle peut être utilisée sans licence, contrairement aux fréquences de la téléphonie mobile par exemple. Mais attention, libre cela ne veut pas dire que c’est le « far west » et que tout le monde fait ce qu’il veut.

• On vous explique les protocoles pour les objets connectés : Zigbee, Z-Wave, EnOcean, DIO…

Les fabricants doivent en effet respecter des conditions techniques strictes sur la puissance et le temps d’émission, par exemple. Selon la décision 2023 - 1412 de l’Arcep et le tableau national de répartition des bandes de fréquences (TNRBF, pdf de 314 pages), le temps d’émission est limité à 1 %. Problème, le module RTK de la tondeuse était bien loin de cette limite et « était décidément beaucoup trop bavard : il émettait dans la bande 868–868,6 MHz près de 40 % du temps ».

Ce robot tondeuse n’était pas un cas isolé : « plus de 120 plaintes concernant le réseau LoRa ont été traitées entre 2024 et 2025, rendant indispensable une solution durable ». Le distributeur français de la tondeuse a déployé une mise à jour logicielle afin de réduire l’occupation excessive de la bande, « mais ces ajustements apparaissaient insuffisants ».

L’Agence nationale des fréquences change de braquet. Si la lutte contre les brouillages permet de régler des cas individuels, « la diffusion dans tout le pays d’un appareil produisant des brouillages systématiques relève, elle, de la procédure de surveillance du marché, afin d’éliminer le trouble à sa source ». Une nouvelle procédure est enclenchée.

Un robot est prélevé chez un revendeur et analysé. Sans surprise, « l’appareil ne respectait toujours pas les obligations de mise sur le marché, notamment les conditions techniques d’utilisation de la bande 863–870 MHz ». Le responsable des produits, Shenzhen Mammotion Innovation Co, est alors contacté et une mise à jour du firmware est déployée – la V1.14.1.2 – et diffusée automatiquement. L’ANFR confirme que le souci est réglé.

« Sans mise à jour, l’appareil peut continuer à émettre de manière non conforme, exposant l’utilisateur au risque de brouillage et aux sanctions du Code des postes et communications électroniques — c’est-à-dire jusqu’à 30 000 € d’amende et 6 mois d’emprisonnement », rappelle enfin l’ANFR.

Passer du Laptop 13 au 13 Pro, c’est possible !

L’ordinateur portable laptop 13 de Framework passe en version « Pro » avec des changements à tous les étages… sauf sur deux points : modularité et rétrocompatibilité. Le fabricant annonce aussi un adaptateur OCuLink (une norme du PCI-SIG) pour brancher des périphériques PCIe externes, notamment des cartes graphiques classiques.

Framework propose depuis des années maintenant des ordinateurs portables modulaires (et depuis plus récemment des mini PC). Hier, la marque organisait son [Next Gen] Event avec la présentation de nouveaux produits. Commençons par le Laptop 13 Pro.

Laptop 13 Pro : « refonte complète » et écran tactile… toujours rétrocompatible

Le fabricant proposait déjà un modèle de 13 pouces (qui en est à sa septième génération), mais cette version est présentée comme « une refonte complète » basée sur les retours des clients, tout en étant « rétrocompatible avec les générations précédentes » du Laptop 13. Une vidéo de comparaison entre les deux a été mise en ligne. Framework revendique un indice de réparabilité de 9,7 sur 10.

Il dispose d’un châssis en aluminium avec, pour la première fois, un « écran avec une consommation d’énergie optimisée et la prise en charge du tactile ». La définition est de 2 880 x 1 920 pixels, le taux de rafraichissement variable entre 30 à 120 Hz et la luminosité de 700 nits.

La machine est animée par les processeurs Intel Core Series 3 avec de la mémoire au format LPCAMM2 LPDDR5X (jusqu’à 64 Go). La batterie affiche une capacité de 74Wh et permet de tenir 20 heures en regardant des vidéos Netflix, selon le constructeur. Un lecteur d’empreintes (compatible avec Windows Hello et libfprint sous Linux) est aussi présent. Tous les détails se trouvent par ici.

• Tests Core Ultra Series 3 (Panther Lake) : Intel semble avoir redoré son blason

« Il s’agit toujours d’un ordinateur portable Framework, ce qui signifie qu’il est réparable, évolutif, personnalisable et que vous pouvez en faire ce que vous voulez », affirme le fabricant. La rétrocompatibilité est assurée, le fabricant propose un guide de compatibilité entre les Framework Laptop 13 et 13 Pro.

Les clients avec un Laptop 13 d’ancienne génération peuvent passer à la carte mère du Pro, à l’écran tactile, changer le châssis, etc. Parfois, un kit d’adaptation est nécessaire, notamment pour la batterie ou les haut-parleurs par exemple. Le nouvel écran est proposé seul à 335 euros (expédition en juillet), tandis que la carte mère du 13 Pro avec un Core Ultra 5 325 est à 509 euros (899 euros pour le Core Ultra X7 358H) par exemple. Pour le reste, direction la marketplace officielle.

Les tarifs débutent à 1 349 euros pour un Core Ultra 5 325 ou 1 799 euros avec un Ultra X7 358H. Il existe aussi en version AMD avec un Ryzen AI 7 350 à partir de 1 579 euros ou un Ryzen AI 9 HX 370 dès 1 859 euros. Pour personnaliser le portable Framework 13 Pro et la connectique, c’est par ici. Les expéditions sont prévues à partir du mois de juin.

Framework promet « une expérience Linux de premier ordre »

HexDown

Des fédérations sportives, des institutions, des boutiques en ligne… HexDex pirate tout ce qu’il peut et propose ensuite les données à la vente sur des forums. Il a été interpellé par les autorités françaises, en Vendée. Son matériel informatique a été saisi au passage.

Selon plusieurs de nos confrères (notamment Franceinfo, le Parisien et l’AFP), « un homme de 21 ans, soupçonné d’être le pirate informatique HexDex, à l’origine de la publication de nombreuses bases de données volées dans l’Hexagone, a été interpellé lundi 20 avril en Vendée ».

Des dizaines d’exfiltrations de données pour « l’appât du gain »

Le parquet avait ouvert une enquête pour atteintes à un système de traitement automatisé de données suite à une centaine de signalements d’exfiltration de données à partir de décembre 2025 (rappelons que 2025 était déjà une année bien chargée).

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?
• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

Elles étaient revendiquées pour une bonne partie d’entre elles par un pirate sous le pseudo « Hexdex ». Il publiait ses « exploits » sur des forums biens connus des hackers, pirates et autres acteurs de la cybersécurité. Les fuites dont il s’attribuait le « mérite » avaient fait le tour des médias.

Elles concernaient notamment plus d’une dizaine de fédérations sportives, le système d’information sur les armes du ministère de l’Intérieur (SIA), l’Agence Nationale de la Cohésion des Territoires (ANCT), Choisir le service public gouv, etc.

Sur la plateforme Pastebin, HexDex avait répertorié l’ensemble de ses revendications, qui s’approchent de la quarantaine. De plus, il y a quelques semaines, il avait expliqué à Zataz qu’il se considérait « simplement comme quelqu’un qui gagne de l’argent illégalement et qui ressent une montée d’adrénaline à chaque intrusion ». Il ne cachait pas sa motivation première : « L’appât du gain ». Il s’est donc depuis fait rattraper par la Pat’ Patrouille.

Interpelé alors « qu’il s’apprêtait à publier d’autres données »

« HexDex a été identifié comme étant un homme né en août 2004 », il « a été interpellé lundi 20 avril 2026, en Vendée, alors même qu’il s’apprêtait à publier d’autres données », indique le parquet de Paris cité par Franceinfo. Toujours selon nos confrères, il « a reconnu l’utilisation de ce pseudonyme […] Son compte sur Darkforum a été saisi, ainsi que son matériel informatique, qui devra être exploité ».

Sur le message publié par les autorités via le profil de HexDex, on peut lire que ce profil « a été saisi par la Brigade de lutte contre la cybercriminalité de la préfecture de police de Paris et la section cyber – J3 du parquet de Paris ». Il est aussi précisé « travail en cours ! ».

Selon l’AFP, « la brigade de lutte contre la cybercriminalité (BL2C) impute aussi à « HexDex » le piratage de données personnelles enregistrées dans la base « Compas », logiciel de ressources humaines du ministère dédié à la gestion des stagiaires du premier et second degré de l’Éducation nationale ». Par contre, les autorités ne font pour le moment aucun lien entre HexDex et la fuite de données à France Titres, avec 11,7 millions de comptes touchés.

• [MàJ] Fuite de données à France Titres : au moins 11,7 millions de comptes touchés

HexDown

Des fédérations sportives, des institutions, des boutiques en ligne… HexDex pirate tout ce qu’il peut et propose ensuite les données à la vente sur des forums. Il a été interpellé par les autorités françaises, en Vendée. Son matériel informatique a été saisi au passage.

Selon plusieurs de nos confrères (notamment Franceinfo, le Parisien et l’AFP), « un homme de 21 ans, soupçonné d’être le pirate informatique HexDex, à l’origine de la publication de nombreuses bases de données volées dans l’Hexagone, a été interpellé lundi 20 avril en Vendée ».

Des dizaines d’exfiltrations de données pour « l’appât du gain »

Le parquet avait ouvert une enquête pour atteintes à un système de traitement automatisé de données suite à une centaine de signalements d’exfiltration de données à partir de décembre 2025 (rappelons que 2025 était déjà une année bien chargée).

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?
• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

Elles étaient revendiquées pour une bonne partie d’entre elles par un pirate sous le pseudo « Hexdex ». Il publiait ses « exploits » sur des forums biens connus des hackers, pirates et autres acteurs de la cybersécurité. Les fuites dont il s’attribuait le « mérite » avaient fait le tour des médias.

Elles concernaient notamment plus d’une dizaine de fédérations sportives, le système d’information sur les armes du ministère de l’Intérieur (SIA), l’Agence Nationale de la Cohésion des Territoires (ANCT), Choisir le service public gouv, etc.

Sur la plateforme Pastebin, HexDex avait répertorié l’ensemble de ses revendications, qui s’approchent de la quarantaine. De plus, il y a quelques semaines, il avait expliqué à Zataz qu’il se considérait « simplement comme quelqu’un qui gagne de l’argent illégalement et qui ressent une montée d’adrénaline à chaque intrusion ». Il ne cachait pas sa motivation première : « L’appât du gain ». Il s’est donc depuis fait rattraper par la Pat’ Patrouille.

Interpelé alors « qu’il s’apprêtait à publier d’autres données »

« HexDex a été identifié comme étant un homme né en août 2004 », il « a été interpellé lundi 20 avril 2026, en Vendée, alors même qu’il s’apprêtait à publier d’autres données », indique le parquet de Paris cité par Franceinfo. Toujours selon nos confrères, il « a reconnu l’utilisation de ce pseudonyme […] Son compte sur Darkforum a été saisi, ainsi que son matériel informatique, qui devra être exploité ».

Sur le message publié par les autorités via le profil de HexDex, on peut lire que ce profil « a été saisi par la Brigade de lutte contre la cybercriminalité de la préfecture de police de Paris et la section cyber – J3 du parquet de Paris ». Il est aussi précisé « travail en cours ! ».

Selon l’AFP, « la brigade de lutte contre la cybercriminalité (BL2C) impute aussi à « HexDex » le piratage de données personnelles enregistrées dans la base « Compas », logiciel de ressources humaines du ministère dédié à la gestion des stagiaires du premier et second degré de l’Éducation nationale ». Par contre, les autorités ne font pour le moment aucun lien entre HexDex et la fuite de données à France Titres, avec 11,7 millions de comptes touchés.

• [MàJ] Fuite de données à France Titres : au moins 11,7 millions de comptes touchés

Chips Act arrête de chiper

La Cour des comptes vient de mettre en ligne un rapport sur la filière des semi-conducteurs en France, en Europe et dans le monde. L’enjeu est important dans un monde où les enjeux géopolitiques et numériques ne cessent de s’entrechoquer, de plus en plus violemment. Si on parle régulièrement de souveraineté sur les données, la question se pose aussi sur le matériel et la fabrication des puces.

La Cour des comptes commence par rappeler une réalité : les puces électroniques sont partout. Elle donne quelques indicateurs : en moyenne une vingtaine dans une machine à laver, un millier dans une voiture et plusieurs milliers dans un avion.

La microélectronique « joue aujourd’hui un rôle clé dans les transitions numérique et environnementale et conditionne toute innovation industrielle stratégique, notamment dans les domaines de la défense, de l’intelligence artificielle et du quantique ».

Des investissements records dans la microélectronique

Alors que le budget de la recherche du CNRS est en baisse en France avec un risque de rupture, qu’en est-il de la filière industrielle française et de sa place dans le monde ?

• La baisse du budget du CNRS, « une rupture » dans le financement de la recherche française

Sans être le seul nerf de la guerre, l’argent est une des principales artères du développement des puces et des usines de fabrication, les fameuses « fabs ». La microélectronique présente « le ratio d’investissement rapporté au chiffre d’affaires le plus élevé (ce ratio est en moyenne de 7 % pour l’industrie, il est de 20 % pour la microélectronique) », note le rapport.

La fabrication des puces repose « sur une chaîne de valeur mondialisée et très éclatée, à tel point qu’aucun pays au monde n’est à ce jour en mesure de fabriquer à lui seul la totalité d’une puce ». Ce secteur n’est plus depuis longtemps seulement un enjeu technique, mais très fortement géopolitique, avec deux blocs en opposition : les États-Unis et la Chine, sans oublier Taïwan et ses usines de fabrication.

L’Europe et la France entre le marteau américain et l’enclume asiatique

We've come a long long way together

Microsoft prend son temps et le temporaire a vite fait de s’installer pour quelques années, voire décennies, dans le cas de la limitation FAT32 à 32 Go dans Windows. Après les Insiders sur le canal Canary, Microsoft fait sauter cette limite sur les canaux Dev et Beta.

Marty, va chercher la DeLorean et rendez-vous en 1996. C’est en effet il y a 30 ans que le système de fichiers FAT32 débarque officiellement pour remplacer FAT12 et FAT16. Ces deux derniers utilisent respectivement des adresses sur 12 et 16 bits, FAT32 est donc en… 32 bits 28 bits. exFAT est venu mettre tout le monde d’accord avec une limite de 128 Po.

• Systèmes de fichiers : FAT12 à 32 et exFAT, conçus pour le grand public

FAT32 : 2 To selon les organisateurs, 32 Go pour Microsoft

Qu’importe, FAT32 est une « révolution » pour l’époque avec des fichiers jusqu’à 4 Go maximum et des volumes de 2 To. D’autres limitations sont de la partie : 268 435 456 fichiers au maximum et 65 534 fichiers par dossier (pourquoi pas 65 536 ? Car deux entrées sont réservées pour les dossiers courant et parent).

Windows 95 utilisait le FAT16 à son lancement, puis est arrivé le FAT32 avec la version OSR2 (OEM Service Release 2). Enfin, l’implémentation maison de Microsoft puisque les outils intégrés à Windows ne permettaient pas de dépasser… 32 Go en FAT32. Pourquoi 32 Go ?

Dave Plummer, ancien développeur de chez Microsoft, a proposé sa petite explication dans une vidéo publiée début 2021 :

« La carte mémoire que j’utilisais pour les tests était de 16 Mo. C’était la plus grande que j’avais pu trouver. Peut-être ai-je multiplié sa taille par mille et que je l’ai ensuite doublée pour faire bonne mesure ; et j’ai pensé que cela suffirait amplement pour la durée de vie de NT 4.0. J’ai choisi une capacité de 32 Go comme limite et j’ai continué ma journée. Je n’ai commencé à regretter mon choix que des années plus tard lorsque les cartes SD ont atteint 32 Go ».

Il pensait alors que cette limite de 32 Go serait temporaire… mais il se trompait.

2 To en FAT32 dans Windows depuis 2024… pour les Insiders Canary

Mais Microsoft a déjà aboli cette limite de 32 Go dans Windows, non ? Oui, Next en parlait d’ailleurs en aout 2024. Mais cela ne concernait alors que le canal Canary Insider de Windows 11 (27686). Presque deux ans plus tard, Microsoft revient à la charge avec de nouveau une annonce autour de FAT32 et l’augmentation des volumes de 32 Go à 2 To. La nouveauté ? Cela concerne Windows 11 sur le canal Dev (26300.8170) et le canal Beta (26220.8165) du programme Insider.

Il y a quelques jours, Microsoft a décidé de faire un peu de simplification dans ses canaux Insiders. Désormais, « Expérimental remplace les anciens canaux Dev et Canary […] La version Beta est une mise à jour de l’ancienne version Beta qui donne un aperçu de ce que nous prévoyons de déployer dans les semaines à venir. Le plus gros changement : nous mettons fin au déploiement progressif des fonctionnalités en version bêta ».

La fin de la limite temporaire de 32 Go en FAT32 dans Windows a donc pris 28 ans pour arriver sur la branche Canary, puis presque deux ans de plus pour descendre sur le canal Dev et Beta. Cela signifie que pour le moment le grand public sous Windows 11 « classique » ne peut toujours pas en profiter. Les paris sont ouverts sur l’attente…

We've come a long long way together

Microsoft prend son temps et le temporaire a vite fait de s’installer pour quelques années, voire décennies, dans le cas de la limitation FAT32 à 32 Go dans Windows. Après les Insiders sur le canal Canary, Microsoft fait sauter cette limite sur les canaux Dev et Beta.

Marty, va chercher la DeLorean et rendez-vous en 1996. C’est en effet il y a 30 ans que le système de fichiers FAT32 débarque officiellement pour remplacer FAT12 et FAT16. Ces deux derniers utilisent respectivement des adresses sur 12 et 16 bits, FAT32 est donc en… 32 bits 28 bits. exFAT est venu mettre tout le monde d’accord avec une limite de 128 Po.

• Systèmes de fichiers : FAT12 à 32 et exFAT, conçus pour le grand public

FAT32 : 2 To selon les organisateurs, 32 Go pour Microsoft

Qu’importe, FAT32 est une « révolution » pour l’époque avec des fichiers jusqu’à 4 Go maximum et des volumes de 2 To. D’autres limitations sont de la partie : 268 435 456 fichiers au maximum et 65 534 fichiers par dossier (pourquoi pas 65 536 ? Car deux entrées sont réservées pour les dossiers courant et parent).

Windows 95 utilisait le FAT16 à son lancement, puis est arrivé le FAT32 avec la version OSR2 (OEM Service Release 2). Enfin, l’implémentation maison de Microsoft puisque les outils intégrés à Windows ne permettaient pas de dépasser… 32 Go en FAT32. Pourquoi 32 Go ?

Dave Plummer, ancien développeur de chez Microsoft, a proposé sa petite explication dans une vidéo publiée début 2021 :

« La carte mémoire que j’utilisais pour les tests était de 16 Mo. C’était la plus grande que j’avais pu trouver. Peut-être ai-je multiplié sa taille par mille et que je l’ai ensuite doublée pour faire bonne mesure ; et j’ai pensé que cela suffirait amplement pour la durée de vie de NT 4.0. J’ai choisi une capacité de 32 Go comme limite et j’ai continué ma journée. Je n’ai commencé à regretter mon choix que des années plus tard lorsque les cartes SD ont atteint 32 Go ».

Il pensait alors que cette limite de 32 Go serait temporaire… mais il se trompait.

2 To en FAT32 dans Windows depuis 2024… pour les Insiders Canary

Mais Microsoft a déjà aboli cette limite de 32 Go dans Windows, non ? Oui, Next en parlait d’ailleurs en aout 2024. Mais cela ne concernait alors que le canal Canary Insider de Windows 11 (27686). Presque deux ans plus tard, Microsoft revient à la charge avec de nouveau une annonce autour de FAT32 et l’augmentation des volumes de 32 Go à 2 To. La nouveauté ? Cela concerne Windows 11 sur le canal Dev (26300.8170) et le canal Beta (26220.8165) du programme Insider.

Il y a quelques jours, Microsoft a décidé de faire un peu de simplification dans ses canaux Insiders. Désormais, « Expérimental remplace les anciens canaux Dev et Canary […] La version Beta est une mise à jour de l’ancienne version Beta qui donne un aperçu de ce que nous prévoyons de déployer dans les semaines à venir. Le plus gros changement : nous mettons fin au déploiement progressif des fonctionnalités en version bêta ».

La fin de la limite temporaire de 32 Go en FAT32 dans Windows a donc pris 28 ans pour arriver sur la branche Canary, puis presque deux ans de plus pour descendre sur le canal Dev et Beta. Cela signifie que pour le moment le grand public sous Windows 11 « classique » ne peut toujours pas en profiter. Les paris sont ouverts sur l’attente…

Quatre ans et demi après la version 3.0, OpenSSL passe en version 4.0. Attention, ce n’est pas une version LTS, elle n’est donc supportée que jusqu’en mai 2027, contrairement aux moutures 3.0 et 3.5 qui sont respectivement prises en charge jusqu’en septembre 2026 et avril 2030.

La prochaine LTS est prévue pour avril 2027, le temps certainement de stabiliser les fonctionnalités et de s’assurer d’avoir une base solide.

La liste des changements et des nouveautés est disponible sur GitHub. OpenSSL 4.0 prend en charge Encrypted Client Hello (RFC 9849) qui « permet aux clients de chiffrer le Client Hello avec le serveur TLS », renforçant ainsi la confidentialité. Sur son blog, le spécialiste des réseaux Stéphane Bortzmeyer explique l’intérêt et le fonctionnement de cette fonctionnalité :

« Quand un client TLS se connecte, il envoie en clair au serveur le nom de domaine utilisé, le serveur ayant besoin de cette information pour choisir le bon certificat qui servira pour choisir les paramètres de chiffrement qui protégeront le reste de la session. Cet envoi en clair pose un problème de vie privée, et est parfois utilisé pour la censure, par exemple en Russie. Il faut donc chiffrer ce nom annoncé, ce SNI. Mais avec quelle clé, puisqu’on a besoin du nom pour avoir une clé ? Ce RFC fournit un mécanisme pour cela, ECH (Encrypted Client Hello), qu’on pourrait traduire par « salutation chiffrée » ».

Parmi les autres nouveautés, « la prise en charge de la RFC 8998, de l’algorithme de signature sm2sig_sm3, du groupe de clés curveSM2 et du groupe post-quantique curveSM2MLKEM768 ». Il est aussi question de la fin du support du Client Hello SSLv2 et de SSLv3 (qui était déprécié et désactivé par défaut depuis presque 10 ans).

Quatre ans et demi après la version 3.0, OpenSSL passe en version 4.0. Attention, ce n’est pas une version LTS, elle n’est donc supportée que jusqu’en mai 2027, contrairement aux moutures 3.0 et 3.5 qui sont respectivement prises en charge jusqu’en septembre 2026 et avril 2030.

La prochaine LTS est prévue pour avril 2027, le temps certainement de stabiliser les fonctionnalités et de s’assurer d’avoir une base solide.

La liste des changements et des nouveautés est disponible sur GitHub. OpenSSL 4.0 prend en charge Encrypted Client Hello (RFC 9849) qui « permet aux clients de chiffrer le Client Hello avec le serveur TLS », renforçant ainsi la confidentialité. Sur son blog, le spécialiste des réseaux Stéphane Bortzmeyer explique l’intérêt et le fonctionnement de cette fonctionnalité :

« Quand un client TLS se connecte, il envoie en clair au serveur le nom de domaine utilisé, le serveur ayant besoin de cette information pour choisir le bon certificat qui servira pour choisir les paramètres de chiffrement qui protégeront le reste de la session. Cet envoi en clair pose un problème de vie privée, et est parfois utilisé pour la censure, par exemple en Russie. Il faut donc chiffrer ce nom annoncé, ce SNI. Mais avec quelle clé, puisqu’on a besoin du nom pour avoir une clé ? Ce RFC fournit un mécanisme pour cela, ECH (Encrypted Client Hello), qu’on pourrait traduire par « salutation chiffrée » ».

Parmi les autres nouveautés, « la prise en charge de la RFC 8998, de l’algorithme de signature sm2sig_sm3, du groupe de clés curveSM2 et du groupe post-quantique curveSM2MLKEM768 ». Il est aussi question de la fin du support du Client Hello SSLv2 et de SSLv3 (qui était déprécié et désactivé par défaut depuis presque 10 ans).

La faute à deux irréductibles bugs

WireGuard pour Windows passe enfin en version 1.0. Le développeur explique avoir trouvé une solution de contournement pour deux « épines » qu’il avait dans le pied… Il s’agit dans les faits de contourner deux problèmes rencontrés sur Windows (et non corrigés par Microsoft). L’un d’entre eux est qualifié de « bombe à retardement ».

Mars 2020 : WireGuard passe en 1.0 sous Linux et s’intègre dans le noyau

Six ans… c’est le décalage entre la version 1.0 de l’application VPN sous Linux et Windows. C’est en effet fin mars 2020 que WireGuard est passé en 1.0 sous Linux, en même temps que son intégration pour la première fois dans le noyau de Linux (5.6 à l’époque), comme l’expliquait alors le développeur de l’application, Jason A. Donenfeld.

Ce week-end, en avril 2026, autre annonce, toujours par Donenfeld : WireGuard pour Windows et WireGuardNT, Version 1.0. « Je suis heureux d’annoncer la sortie de la version 1.0 de WireGuardNT et WireGuard pour Windows. Les derniers obstacles à la version 1.0 ont enfin été surmontés, et je suis ravi d’avoir franchi cette étape », indique-t-il.

• Un VPN, à quoi ça sert ?
• [Tuto] Utiliser son VPS comme serveur Wireguard pour un VPN maison (et gratuit)
• [Édito] Au pays des VPN menteurs…

Deux « irréductibles » bugs résistaient encore et toujours

À qui le tour ?

La semaine dernière était chargée pour la Commission européenne dans sa lutte contre les géants américains du Net. Elle a tout d’abord renvoyé Meta dans ses cordes sur la question des assistants d’IA tiers de WhatsApp, puis elle a proposé des mesures à Google sur le partage des données de son moteur de recherche.

Fin 2025, la Commission européenne ouvrait une procédure formelle contre Meta en matière de pratiques anticoncurrentielles sur la question de l’accès des fournisseurs d’IA à WhatsApp. Début février, dans ses conclusions préliminaires, elle a estimé que « Meta a enfreint les règles de l’UE en matière de pratiques anticoncurrentielles en empêchant les assistants d’intelligence artificielle (IA) tiers d’accéder à WhatsApp et d’interagir avec ses utilisateurs ».

L’Europe retoque la proposition de Meta et prépare des mesures provisoires

Le 2 mars 2026, Meta répondait à la Commission européenne et, deux jours plus tard, l’entreprise publiait « une version révisée de sa politique, qui annule l’interdiction mais introduit un cadre tarifaire applicable aux assistants d’IA tiers à usage général ».

Insuffisant pour la Commission, qui estime que la « nouvelle politique semblait avoir le même effet d’exclusion des assistants d’IA tiers de WhatsApp ». Elle « semblait donc, à première vue, contraire aux règles de concurrence de l’UE ».

• WhatsApp et l’IA : pour l’Europe, « Meta a enfreint les règles de l’UE »

Selon l’analyse préliminaire de la Commission, les risques sont les mêmes : « bloquer l’entrée ou le développement de ses concurrents sur le marché en croissance rapide des assistants d’IA ». Elle envoie donc à Meta une nouvelle série de griefs.

Mais elle a également l’intention d’imposer à l’entreprise de Mark Zuckerberg des mesures provisoires afin d’empêcher « ces changements de politique de causer un préjudice grave et irréparable sur le marché ».

Meta peut maintenant répondre. Si les mesures provisoires devaient entrer en vigueur, elles resteraient en place jusqu’à la fin de l’enquête.

Search : la Commission veut que Google partage ses données…

Faire dire ce qu‘on fait. et essayer de faire ce qu’on a fait dire

« Moi aussi, moi aussi, moi aussi » ! C’est la première réaction que nous avons eue face aux récentes « fuites » des plans d’OpenAI pour contrer Mythos d’Anthropic. L’entreprise de Sam Altman veut marquer sa différence sur deux plans – la puissance de calcul et les performances – tout en copiant Anthropic avec un nouveau palier intermédiaire à 100 euros par mois.

Anthropic roi de la com’ sur Claude ?

Anthropic sait jouer avec les médias – certains diraient manipuler –, c’est une certitude. Nous l’avons d’ailleurs longuement expliqué dans une précédente actualité sur les annonces « sensationnelles » des derniers mois et la « fuite » de plusieurs milliers de documents sur Mythos.

La fuite de Claude Code était différente puisqu’elle ne fait pas seulement le jeu d’Anthropic mais aussi celui de ses concurrents qui peuvent étudier de près le fonctionnement de l’IA générative. Cette fois-ci, Anthropic avait tenté en vain de faire retirer le code source, alors qu’elle surfait gentiment sur la fuite de Mythos. Deux salles, deux ambiances.

• Anthropic : entre annonces et Mythos
• Anthropic dévoile Mythos, son modèle d’IA chasseur de failles… réservé à certains
• Anthropic face à la fuite de Claude Code : tout comprendre en trois questions

Revenons justement à Mythos, annoncé officiellement quelques jours après la fuite. Pas de grosses surprises, principalement la confirmation des informations qui avaient été mises en ligne quelques jours auparavant, à savoir que le modèle est tellement « puissant », selon Anthropic évidemment, qu’il n’est proposé qu’à une poignée de partenaires triés sur le volet. L’entreprise accompagne son annonce d’un long document de 244 pages traitant notamment des performances et des tests de Mythos.

OpenAI contre-attaque, en deux temps

Si c’est gratuit… c’est ?

Google et Oracle proposent des VM gratuites, sans limite de durée. Elles sont chiches en caractéristiques techniques, mais c’est largement suffisant pour installer un gestionnaire de mots de passe comme Vaultwarden, et ainsi en profiter gratuitement. Next vous explique les conditions et détaille la procédure.

Nous avons déjà présenté plusieurs hébergeurs proposant des VPS (d’autres arrivent) pour une poignée d’euros par mois, de quoi disposer d’un petit serveur à moindre coût pour héberger quelques projets. Nous avons aussi mis en ligne un tuto pour renforcer la sécurité face aux milliers d’attaques que subissent les machines chaque jour.

• [Test] VPS pas cher (5 euros) : Ionos fait la différence avec des vCore AMD EPYC
• [Test] VPS pas cher (5 euros) : LWS utilise la virtualisation LXC(FS) et impose des bridages
• [Test] VPS pas cher (5 euros) : OVHcloud, la force tranquille, équilibrée et très stable
• [Test] VPS pas cher (5 euros) : Hetzner n’est ni bon ni mauvais, dans la moyenne (basse)

Du gratuit qui peut durer… mais aussi prendre fin

Mais il existe aussi des offres gratuites. Oui, vraiment gratuites dans le sens où elles n’ont pas une durée ou un montant prédéfini. Attention, cela ne veut pas dire pour autant qu’elles seront éternellement gratuites, les conditions peuvent évoluer et changer.

Scaleway, par exemple, proposait pendant des années 75 Go de stockage objet gratuitement (de quoi héberger gratuitement un site statique), avant de changer son fusil d’épaule fin 2023 pour monter jusqu’à 750 Go… mais pendant 90 jours seulement.

Dans le domaine des VPS, Google et Oracle proposent tous les deux des machines virtuelles gratuites. Il y a quelques points communs, notamment l’absence de support technique (les forums communautaires restent accessibles), mais les caractéristiques techniques et conditions d’utilisation sont bien différentes entre les deux. Oracle est le plus strict et se réserve notamment le droit de récupérer des instances qu’il juge « inactives ». On vous explique.

Google Free Tier avec une instance de VM e2-micro gratuite

Dans certains cas, il serait temps de s’y mettre…

Depuis quelques années, les fuites de données s’enchainent à vitesse grand V et les institutions officielles ne sont pas épargnées. Le gouvernement vient de mettre en ligne sa feuille de route des efforts prioritaires en matière de sécurité numérique de l’État. Elle comporte une quarantaine d’actions à mettre en place cette année.

Dès son introduction, le document – validé en concertation interministérielle – revient sur « les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d’information des ministères et des établissements dont ils ont la tutelle ». Ces failles et fuites rappellent, s’il en est besoin, « la persistance de vulnérabilités graves dans l’ensemble de ces infrastructures ». Le document du jour vise à y apporter une réponse…

Conseiller numérique obligatoire et anticipation de NIS 2

Premier point du document : renforcer la gouvernance. Chaque ministère devra ainsi désigner un conseiller numérique en charge de la cybersécurité « dans le mois suivant la nomination du ministre »… de quoi éviter des blancs en cas de changements a répétition. Les ministères devront aussi s’assurer que la cybersécurité soit bien prise en compte à tous les niveaux. Avant le 30 juin 2026, ils devront ainsi avoir formalisé « une politique d’audit et de contrôle des systèmes d’information ». La mise en œuvre est programmée pour le 31 décembre 2026.

En vue de NIS 2, qui va bien finir par passer le cap de l’Assemblée nationale un jour ou l’autre, la politique de sécurité des systèmes d’information de l’État devra être mise à jour, au plus tard au premier trimestre 2027, pour « intégrer en anticipation le référentiel de règles ayant vocation à s’appliquer aux entités essentielles que créera NIS 2 ».

• Cybersécurité : les ambitions de NIS 2 décortiquées par Vincent Strubel (ANSSI)
• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat
• La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité

Sur l’homologation des systèmes d’information, la feuille de route précise que « tout système faisant l’objet d’une migration sur le cloud devra être considéré comme un nouveau système d’information et donc faire l’objet d’une homologation ». Avec le cloud dominé par des acteurs américains, cela soulève aussi des questions de souveraineté. La qualification SecNumCloud de l’ANSSI permet de s’assurer de l’étanchéité aux lois extraterritoriales (notamment étasuniennes et chinoises), pour rappel.

• La souveraineté en 10 questions (version courte, version longue)

Supply chain, mise à jour, authentification… rappel des basiques

C’est dans l’air du temps avec les attaques qui se multiplient contre la « supply chain », le document demande aux ministères de mettre en place, d’ici au 30 juin 2026, « une politique de contrôle de la chaîne d’approvisionnement ».

Sur la question des mises à jour, ils devront définir des procédures d’installation des correctifs de sécurité d’ici au 30 juin 2026 et les mettre en œuvre avant la fin de l’année. Il est aussi question de « renforcer l’authentification et la gestion des accès ».

• France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données
• Après Trivy, Axios : une attaque chirurgicale et violente de la supply chain

Autre mesure importante (et on pourrait presque dire qu’il est temps) : « Mettre en place d’ici le 31 décembre 2026 une authentification multi-facteur de l’ensemble des administrateurs de systèmes d’information ». Avec la gestion des mises à jour, ce sont des points basiques, qui devraient déjà être en place… mais force est de constater qu’il reste encore du travail. Le détail des manquements détaillé par la CNIL suite à la fuite et condamnation de France Travail par CNIL (5 millions d’euros d’amende) en est une preuve.

La feuille de route prévoit aussi de déployer « des dispositifs avancés de détection des attaques (EDR ou XDR) sur l’ensemble des postes de travail et sur l’ensemble des serveurs » avant la fin de l’année. Les ministères doivent aussi tester au moins une fois par an les plans de reprise d’activité.

Après un incident important (dont la définition reste à préciser), le ministère impacté « aura pour obligation de suivre les recommandations de l’ANSSI, puis 6 mois après l’incident d’adresser un point de suivi à l’ANSSI, au corps d’inspection et au Premier ministre ».

Vincent Strubel, patron de l’ANSSI, rappelait dans son bilan de la cybermenace en 2025 une autre réalité : le facteur humain et le « mode legacy » parfois laissé en place pour calmer la grogne des anciens utilisateurs. Nous avons « probablement devant nous un phénomène de coupure un peu brutale des systèmes un peu obsolescents », affirmait Vincent Strubel.

• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

À surveiller de près : DNS, messageries et quantique

La feuille de route cible ensuite les DNS et messageries, utilisés par les pirates « pour introduire des codes malveillants dans les systèmes d’information » de l’État. Là encore, la feuille de route prévoit une action en deux temps : renforcer avant le 30 septembre 2026 la sécurité des DNS, « notamment par un recours accru au service interministériel DNS », et celle des systèmes de messagerie avant le 31 décembre 2026.

Dernier point, préparer la transition vers la cryptographie post-quantique. Pour rappel, la question n’est pas tant de savoir si un ordinateur quantique capable de casser des systèmes de chiffrement verra le jour, mais quand il sera opérationnel avec suffisamment de qubits.

• Le chiffrement hybride classique et post quantique, comment ça marche
• [FAQ] Notre antisèche sur l’informatique quantique
• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie

Il est donc demandé aux ministères de faire cette année l’inventaire « de leurs données durablement sensibles pour lesquelles une mise en place de la cryptographie post-quantique sera prioritaire »… en espérant qu’elles n’aient pas déjà fuité, sinon c’est déjà trop tard.

Ils devront ensuite « déployer de la cryptographie post-quantique pour tous les systèmes d’information traitant d’information à diffusion restreinte avant fin 2030 ». Enfin, à partir de 2030, « ne déployer que des produits de chiffrement qui intègrent de la cryptographie post-quantique ».

L’ANSSI aussi a dévoilé sa feuille de route sur le post quantique, avec deux échéances. À partir de 2027 tout d’abord, l’Agence n’acceptera plus en entrée de qualification des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur quantique. Puis, à partir de 2030, « on recommandera et on imposera le cas échéant de ne plus acquérir de telles solutions ».

• Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

Quoi qu’il en soit, le « suivi opérationnel de la mise en œuvre de la feuille de route 2026 - 2027 sera assuré chaque mois en Comité interministériel de suivi de la sécurité numérique (CINUS), qui réunit les chaînes de sécurité des systèmes d’information des ministères sous l’égide de l’ANSSI ».

Dans certains cas, il serait temps de s’y mettre…

Depuis quelques années, les fuites de données s’enchainent à vitesse grand V et les institutions officielles ne sont pas épargnées. Le gouvernement vient de mettre en ligne sa feuille de route des efforts prioritaires en matière de sécurité numérique de l’État. Elle comporte une quarantaine d’actions à mettre en place cette année.

Dès son introduction, le document – validé en concertation interministérielle – revient sur « les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d’information des ministères et des établissements dont ils ont la tutelle ». Ces failles et fuites rappellent, s’il en est besoin, « la persistance de vulnérabilités graves dans l’ensemble de ces infrastructures ». Le document du jour vise à y apporter une réponse…

Conseiller numérique obligatoire et anticipation de NIS 2

Premier point du document : renforcer la gouvernance. Chaque ministère devra ainsi désigner un conseiller numérique en charge de la cybersécurité « dans le mois suivant la nomination du ministre »… de quoi éviter des blancs en cas de changements a répétition. Les ministères devront aussi s’assurer que la cybersécurité soit bien prise en compte à tous les niveaux. Avant le 30 juin 2026, ils devront ainsi avoir formalisé « une politique d’audit et de contrôle des systèmes d’information ». La mise en œuvre est programmée pour le 31 décembre 2026.

En vue de NIS 2, qui va bien finir par passer le cap de l’Assemblée nationale un jour ou l’autre, la politique de sécurité des systèmes d’information de l’État devra être mise à jour, au plus tard au premier trimestre 2027, pour « intégrer en anticipation le référentiel de règles ayant vocation à s’appliquer aux entités essentielles que créera NIS 2 ».

• Cybersécurité : les ambitions de NIS 2 décortiquées par Vincent Strubel (ANSSI)
• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat
• La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité

Sur l’homologation des systèmes d’information, la feuille de route précise que « tout système faisant l’objet d’une migration sur le cloud devra être considéré comme un nouveau système d’information et donc faire l’objet d’une homologation ». Avec le cloud dominé par des acteurs américains, cela soulève aussi des questions de souveraineté. La qualification SecNumCloud de l’ANSSI permet de s’assurer de l’étanchéité aux lois extraterritoriales (notamment étasuniennes et chinoises), pour rappel.

• La souveraineté en 10 questions (version courte, version longue)

Supply chain, mise à jour, authentification… rappel des basiques

C’est dans l’air du temps avec les attaques qui se multiplient contre la « supply chain », le document demande aux ministères de mettre en place, d’ici au 30 juin 2026, « une politique de contrôle de la chaîne d’approvisionnement ».

Sur la question des mises à jour, ils devront définir des procédures d’installation des correctifs de sécurité d’ici au 30 juin 2026 et les mettre en œuvre avant la fin de l’année. Il est aussi question de « renforcer l’authentification et la gestion des accès ».

• France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données
• Après Trivy, Axios : une attaque chirurgicale et violente de la supply chain

Autre mesure importante (et on pourrait presque dire qu’il est temps) : « Mettre en place d’ici le 31 décembre 2026 une authentification multi-facteur de l’ensemble des administrateurs de systèmes d’information ». Avec la gestion des mises à jour, ce sont des points basiques, qui devraient déjà être en place… mais force est de constater qu’il reste encore du travail. Le détail des manquements détaillé par la CNIL suite à la fuite et condamnation de France Travail par CNIL (5 millions d’euros d’amende) en est une preuve.

La feuille de route prévoit aussi de déployer « des dispositifs avancés de détection des attaques (EDR ou XDR) sur l’ensemble des postes de travail et sur l’ensemble des serveurs » avant la fin de l’année. Les ministères doivent aussi tester au moins une fois par an les plans de reprise d’activité.

Après un incident important (dont la définition reste à préciser), le ministère impacté « aura pour obligation de suivre les recommandations de l’ANSSI, puis 6 mois après l’incident d’adresser un point de suivi à l’ANSSI, au corps d’inspection et au Premier ministre ».

Vincent Strubel, patron de l’ANSSI, rappelait dans son bilan de la cybermenace en 2025 une autre réalité : le facteur humain et le « mode legacy » parfois laissé en place pour calmer la grogne des anciens utilisateurs. Nous avons « probablement devant nous un phénomène de coupure un peu brutale des systèmes un peu obsolescents », affirmait Vincent Strubel.

• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

À surveiller de près : DNS, messageries et quantique

La feuille de route cible ensuite les DNS et messageries, utilisés par les pirates « pour introduire des codes malveillants dans les systèmes d’information » de l’État. Là encore, la feuille de route prévoit une action en deux temps : renforcer avant le 30 septembre 2026 la sécurité des DNS, « notamment par un recours accru au service interministériel DNS », et celle des systèmes de messagerie avant le 31 décembre 2026.

Dernier point, préparer la transition vers la cryptographie post-quantique. Pour rappel, la question n’est pas tant de savoir si un ordinateur quantique capable de casser des systèmes de chiffrement verra le jour, mais quand il sera opérationnel avec suffisamment de qubits.

• Le chiffrement hybride classique et post quantique, comment ça marche
• [FAQ] Notre antisèche sur l’informatique quantique
• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie

Il est donc demandé aux ministères de faire cette année l’inventaire « de leurs données durablement sensibles pour lesquelles une mise en place de la cryptographie post-quantique sera prioritaire »… en espérant qu’elles n’aient pas déjà fuité, sinon c’est déjà trop tard.

Ils devront ensuite « déployer de la cryptographie post-quantique pour tous les systèmes d’information traitant d’information à diffusion restreinte avant fin 2030 ». Enfin, à partir de 2030, « ne déployer que des produits de chiffrement qui intègrent de la cryptographie post-quantique ».

L’ANSSI aussi a dévoilé sa feuille de route sur le post quantique, avec deux échéances. À partir de 2027 tout d’abord, l’Agence n’acceptera plus en entrée de qualification des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur quantique. Puis, à partir de 2030, « on recommandera et on imposera le cas échéant de ne plus acquérir de telles solutions ».

• Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

Quoi qu’il en soit, le « suivi opérationnel de la mise en œuvre de la feuille de route 2026 - 2027 sera assuré chaque mois en Comité interministériel de suivi de la sécurité numérique (CINUS), qui réunit les chaînes de sécurité des systèmes d’information des ministères sous l’égide de l’ANSSI ».