Quand le WTF rencontre le JPP

Que se passe-t-il chez Relais Colis ? La question mérite vraiment d’être posée, vu l’email reçu par certains clients. Il contient pas moins de… 10 000 adresses email d’autres personnes. Pendant ce temps, un pirate mettrait en vente un fichier avec 10 millions de données de Relais Colis.

Emailception : un email de Relais Colis, avec 10 000 adresses emails

VivaSentenza, lecteur de Next a reçu hier un email pour le moins étrange et inquiétant. Il fait en effet partie des destinataires à avoir reçu, dans le corps d’un email, une liste de 10 000 emails d’autres personnes (le contenu représente 10 000 @ et 240 315 caractères).

Le lecteur a ensuite reçu un second courrier quelques heures plus tard l’informant d’un « incident de sécurité informatique ». Il nous a fait suivre les deux emails au complet (exportation au format .eml) pour que nous les analysions.

Contacté, le service presse de Relais Colis nous confirme « avoir été alerté d’un accès frauduleux cette semaine à certaines données clients ».

Voici ce que nous apprennent les informations dans les métadonnées. L’email a été créé le 15 janvier à 12h02 (en UTC) et son sujet est « Information relative à la sécurité de vos données personnelles ». Il passe entre les mains du service de messagerie SimpleLogin (qui appartient à Proton) puis enfin dans la boite email du destinataire (Proton Mail).

Sur les réseaux sociaux, d’autres personnes ont visiblement reçu le même email (SaxX par exemple). Le destinataire n’est pas le même (l’heure diffère aussi un peu), mais la liste des emails dans le contenu du message semble être identique à chaque fois.

DKIM, DMARC et SPF : tout est ok !

Toutes les signatures DKIM, DMARC et SPF sont au vert. Les champs signés sont notamment From, Subject, To et Date.

Arc-Authentication-Results: i=1; mail.protonmail.ch;
dmarc=pass (p=quarantine dis=none) header.from=relaiscolis.com;
spf=pass smtp.mailfrom=eu-central-1.amazonses.com;
dkim=pass (1024-bit key) header.d=amazonses.com header.i=@amazonses.com […];
dkim=pass (1024-bit key) header.d=relaiscolis.com header.i=@relaiscolis.com […];

Nous vérifions au passage les serveurs autorisés à envoyer des emails au nom du domaine relaiscolis.com (via le DNS). Allons directement à la partie importante : « include:amazonses.com ». Amazonses.com est bien autorisé à envoyer des emails pour le compte de Relaiscolis.com. Dans l’email reçu par le lecteur, DKIM confirme que relaiscolis.com a bien signé l’email.

Il est donc légitime, mais nous ne savons pas comment cela a pu se produire. Piratage du compte de gestion des envois d’emails de Relais Colis ? Fausse manip’ du stagiaire ? Bug technique ? Impossible à dire pour le moment.

Relais Colis informe d’un « incident de sécurité »

Quelques heures plus tard, à 20h18, le lecteur reçoit donc un autre email de Relais Colis, intitulé « Information – Incident de sécurité affectant certaines données de contact ». L’email qui reçoit le message est utilisé uniquement pour Le Bon Coin nous précise le lecteur, alors que la communication vient de Relais Colis, mais les deux sont partenaires pour l’expédition des colis.

« Nous souhaitions vous informer qu’un incident de sécurité informatique a récemment été porté à notre connaissance et a affecté l’un de nos prestataires techniques intervenant dans le cadre de nos activités. Bien que cet incident soit désormais contenu et résolu, il a pu entraîner une atteinte limitée à la confidentialité de certaines données à caractère personnel vous concernant ».

Dans le lot, nom, prénom, adresse e-mail et numéro de téléphone. « Aucune donnée bancaire, aucun mot de passe, ni aucune information de paiement ou donnée sensible ne sont concernés par cet incident », ajoute Relais Colis. La CNIL a été notifiée, comme la loi l’y oblige.

Pas un mot par contre sur le précédent email.

Relais Colis nous confirme « un accès frauduleux cette semaine »

Nous avons contacté le transporteur en leur expliquant la situation et notamment les 10 000 emails dans le message et la signature de l’email par relaiscolis.com. Son agence de presse nous répond que, « à l’issue des premières vérifications, Relais Colis confirme avoir été alerté d’un accès frauduleux cette semaine à certaines données clients ».

La suite de la réponse est du même acabit que le second email envoyé aux clients : « Les données concernées sont des données téléphoniques et postales. Aucune donnée bancaire, aucun mot de passe ni aucune information sensible liée à la sécurité n’ont été compromis ».

« Dès l’identification de l’incident, Relais Colis a engagé les actions nécessaires et a entamé les démarches réglementaires en cours, notamment auprès de la CNIL, conformément aux obligations en vigueur. Cet incident est bien entendu regrettable et fait l’objet d’un suivi attentif visant à renforcer les dispositifs de sécurité », ajoute le service presse.

Nous avons redemandé comment un email avec 10 000 adresses emails a été envoyé à des clients, sans réponse pour l’instant.

Une base de données « relaiscolis » en vente sur Breachforum

Cette semaine, un nouveau message sur Breachforum annonçait « la vente de la base de données “relaiscolis” » avec les nom, prénom, nom de l’entreprise, adresse, téléphone et email. Le fichier contiendrait près de 10 millions de données.

Une vingtaine de comptes sont donnés en exemples avec la publication. Nous avons comparé les e-mails aux 10 000 dans l’email envoyé au lecteur : aucun ne correspond, mais cela ne permet pas d’en conclure grand-chose pour le moment.

Faut mettre des GANs

Le chargeur Ikea 20 W Power Delivery vendu 4 euros cachait une partie de son jeu. Nous l’avons démonté et découvert que le contrôleur primaire utilisait la technologie GaN, sans qu’Ikea n’en fasse la promotion. Ce démontage est aussi l’occasion de découvrir le PCB et le reste des composants.

Hier, nous avons testé le nouveau chargeur Ikea de 20 watts en Power Delivery vendu 3 euros à son lancement, et désormais proposé à 4 euros.

Les performances sont bonnes, la puissance annoncée est tenue et il ne chauffe pas trop. Curieux, nous avons décidé de voir quels composants il utilise, et si ces derniers sont à la hauteur du reste de notre analyse.

En étudiant les références des puces, nous tombons sur une (bonne) surprise concernant le module de charge. Explications.

On ouvre le chargeur (sans marteau, promis)

Première étape, ouvrir le boîtier du chargeur. À l’examiner, il n’y a qu’une seule possibilité sans tout casser : enlever le cache au niveau du port USB. Quelques coups de tournevis (c’était tentant, mais le marteau est resté sagement dans la caisse à outils), le cache saute et nous voyons l’intérieur du chargeur.

Nous découvrons un PCB chargé en composants, plus en tout cas que celui des chargeurs à quelques euros de chez AliExpress. Avec une pince, nous attrapons le PCB pour le retirer du boîtier en plastique. Il glisse facilement. Le reste de la coque est une même pièce moulée, avec des connecteurs sous la forme de petites griffes pour « attraper » le PCB et faire circuler le courant en 230 volts.

Dongke Semiconductor aux commandes, en primaire et secondaire

Yo ! Et paf 350 milliards d’opérations !

Quand on parle d’intelligence artificielle, on pense prompt, GPU, inférence, milliards de paramètres, consommation de ressources, etc. Dans ce #Nextquick, on vous explique pourquoi des centaines de milliards d’opérations sont nécessaires pour un petit Yo. C’est aussi à relativiser face à la puissance de calcul des GPU.

Nous allons parler du modèle GPT-3 d’OpenAI car nous disposons d’informations précises sur son fonctionnement. Son architecture est décrite dans cette publication sur arXiv : le modèle a 175 milliards de paramètres, il dispose de 96 couches, l’embedding d’un token est 12 288… Le quoi du quoi ?

Token et embedding en version abrégée

Sinon il y a le pare-feu d’OpenOffice

Des failles, ça peut arriver à tout le monde même en prenant un maximum de précautions. Aujourd’hui nous parlons de ce qui se passe après : la manière de réagir face à un signalement. Au lieu de vouloir faire peur et de tirer sur le messager, la bonne pratique est d’écouter, remercier, corriger. Rappelons qu’il existe un moyen d’expliquer comment contacter les équipes de manière sure et responsable.

Imaginez, vous êtes un expert en cybersécurité et vous trouvez une faille sur un site. Quatre choix (pour simplifier) s’offrent à vous.

Le premier est l’appat du gain en essayant de vendre votre découverte à des personnes malveillantes ou sur des forums. Le second est d’en profiter directement en récupérant des données, pour ensuite les revendre, les exploiter, faire chanter l’entreprise… Le troisième est de signaler de manière responsable la faille aux responsables du site.

Il est également possible de saisir l’ANSSI en tant que lanceur d’alerte « en cas de non-respect d’une disposition issue d’un cadre réglementaire en matière de sécurité des systèmes d’information susceptible de faire l’objet d’une sanction », et donc si la faille est particulièrement grave.

L’ANSSI sera « susceptible de demander au lanceur d’alerte tout élément qu’elle jugerait nécessaire à l’appréciation de l’exactitude des allégations formulées », mais s’engage à garantir la confidentialité de son identité.

50 nuances de chapeaux

Les « white hats » sont les « gentils » hackeurs avec une éthique et un sens des responsabilités ; ils ne font pas n’importe quoi et n’exploitent pas ni ne mettent en danger les données des utilisateurs. Ils sont à l’opposé des « black hats », ces « méchants » qui exploitent les vulnérabilités. On retrouve aussi des « grey hats » qui sont un peu entre les deux (ou les deux à la fois suivant les cas).

L’éthique des « white hats » ne les empêche pas de fixer des limites, par exemple lorsqu’une faille béante est découverte et que rien n’est fait malgré des signalements à répétition. L’équipe Project Zero de Google, par exemple, attend maximum 120 jours pour publier les détails d’une faille, qu’elle soit bouchée ou non. Il y a une dizaine d’années, Microsoft et Google s’étaient publiquement écharpées sur la question des délais stricts de publication avec un patch prévu le lendemain de la publication des détails de la faille.

• Microsoft fustige Google pour les détails publics d’une faille corrigée demain

Google n’est pas la seule à avoir un calendrier de publication, bon nombre de sociétés et de « hackers » font de même… Ce qui n’empêche pas les choses de parfois trainer en longueur, parfois à cause d’un flagrant manque de volonté des responsables.

C’est pour signaler une fuite… Allo… Allo ?! Allloooooooo…

Prenons un exemple : un hackeur découvre qu’il peut accéder sans authentification à une API et récupérer des données telles que des noms d’utilisateur et des mots de passe, en clair (non chiffrés, cela ne devrait pas être possible, mais passons…). Dans les données, notamment, des identifiants (en clair donc) d’un compte administrateur de la plateforme. Imaginons que ce soit une plateforme logistique, vous avez maintenant une idée des dégâts possibles.

À ce niveau, ce n’est pas une petite faille, c’est une brèche béante, de quoi rejouer le Titanic en version 2.0. Coup de chance, notre gentil hackeur du jour est un « white hat ». Il ne publie ni ne monétise sa découverte, et contacte plutôt l’entreprise comme il peut : messages LinkedIn aux responsables, messages sur les téléphones de l’entreprise… Pas de réponse, le lendemain rebelote avec en plus un message sur l’e-mail de contact indiqué par l’entreprise sur son site.

Zorin OS dans sa dernière version, la 18, ne cache pas sa volonté d’être une alternative à Windows. Nous l’avions prise en main lors de la mise en ligne de la bêta. Plus axée vers les joueurs, nous avons également testé une autre distribution Linux, GLF OS.

La distribution reprend d’ailleurs une présentation proche et, selon l’équipe, « les améliorations apportées à Zorin OS 18 rendent la transition depuis Windows plus facile que jamais, offrant une expérience familière et intuitive aux utilisateurs de Windows tout en libérant tout le potentiel de votre ordinateur existant ».

• Fin de Windows 10 : que faire ?

La date de fin du support de Windows 10 était pour rappel le 14 octobre 2025, sauf pour l’Europe qui a droit à une année supplémentaire. Le 14 octobre était aussi le jour de sortie de Zorin OS 18. Et le message semble être passé puisque, sur X, l’équipe en charge du projet annonçait ce 11 janvier pas moins de 2 millions de téléchargements.

Zorin ajoute que « plus des trois quarts de ces téléchargements provenaient d’utilisateurs sous Windows, contribuant ainsi à accroître la base d’utilisateurs Linux ».

Pas assez cher mon fils !

Le nouveau chargeur USB Ikea de 20 W a beaucoup fait parler de lui pour son prix à son lancement il y a quelques jours : moins de 3 euros. Une importante question restait en suspens : que vaut-il vraiment ? Next vous répond, mesures à l’appui. Nous avons également testé les modèles de 45 et 65 watts.

Ikea est une enseigne bien connue pour ses meubles à monter soi-même, mais aussi pour ses produits électroniques et domotiques généralement bon marché. La marque s’est même associée pendant un temps à Sonos pour ses enceintes connectées Symfonisk.

Elle propose depuis longtemps des chargeurs USB sous la gamme SJÖSS. Depuis quelques jours, un nouveau modèle est commercialisé : 20 W avec Power Delivery sur un port USB Type-C. Un tarif au ras des pâquerettes qui le place en face des chargeurs d’entrée de gamme vendus sur des places de marché telles que celles opérées par Amazon, Cdiscount et AliExpress.

Après une longue attente, nous avons enfin reçu les trois chargeurs que nous avons achetés, il est temps de passer aux tests. On commence de suite par le nouveau venu, le SJÖSS 20 W, chargeur USB 1 port 20W que nous avons payé 2,99 euros… mais qui est maintenant référencé à 3,99 euros, soit une augmentation de 33 % en quelques jours !

Ces modèles Ikea viennent compléter notre dossier au long cours, qui comprend déjà le test de modèles « no-name » issus de marketplaces mais aussi des références signées Ugreen, Anker, Belkin et Amazon Basics (d’autres sont à venir) :

• [Dossier] Dans l’enfer des chargeurs USB pas chers chez AliExpress, Amazon et Cdiscount
• [Test] Chargeurs USB Ugreen de 45 et 65 watts à moins de 23 euros… tout va bien !
• [Test] Chargeurs USB Anker de 65 et 100 watts : promesses (presque) tenues
• [Test] Chargeurs USB Belkin autour de 20 € : un compact 25 watts, un autre 2x 30 watts
• [Test] Chargeurs USB Amazon Basics de 20 et 63 watts : des alternatives à moins de 20 € ?

SJÖSS Chargeur USB 1 port 20W : 3 euros et ça passe !

Selon la fiche technique et le descriptif sur le chargeur, il prend en charge les tensions de 5 à 15 volts, avec 20 watts maximum. La bonne nouvelle, c’est que nous détectons également une prise en charge de Quick Charge 2.0 et 3.0 (jusqu’à 20 volts cette fois-ci), de FCP, SCP, AFP et Apple 2.4.

Passons aux choses sérieuses : les 20 watts annoncés sont bien tenus, avec de très bonnes stabilité de la tension et consommation à la prise. Rien à redire sur ces deux points ! Cerise sur le gâteau, le chargeur ne chauffe pas trop puisqu’il ne dépasse pas les 61 °C pendant une charge de 30 minutes (15 volts et 1,33 ampère).

En Quick Charge 3.0, selon notre testeur KM003C, le chargeur annonce qu’il est capable de monter jusqu’à 20 volts, étonnant puisque les inscriptions sur le chargeur donnent 15 volts maximum. En Power Delivery c’est bien 15 volts qui sont affichés et, sans PPS, impossible d’ajuster manuellement la tension pour essayer d’arriver à 20 volts. Avec Quick Charge 2.0, la tension maximale descend à 12 volts.

Nous testons et… ça marche, le chargeur peut bien délivrer 20 volts en Quick Charge 3.0. À 20 watts de charge, la tension est de 20,0 volts, l’intensité de 1,0 ampère sur notre PowerZ. Nous l’avons laissé tourner plusieurs dizaines de minutes sans problème.

Finalement, les seuls regrets seront l’absence de PPS pour ajuster finement la tension en Power Delivery et la limite à 15 volts (le chargeur aurait pu aller jusqu’à 20 volts et 1 ampère). Mais difficile de demander plus pour un chargeur vendu moins de 4 euros…

Voici comme toujours notre grand tableau des mesures, avant de passer aux deux autres chargeurs :

L’annonce est tombée hier soir : « L’intégralité des programmes de M6+ sont disponibles dès aujourd’hui sur Prime Video en France ». Amazon promet « 30 000 heures de contenus » avec ce nouveau partenariat.

Prime Video est l’offre de streaming d’Amazon pour ses clients (payants) Prime, concurrent de Netflix, disponible en France depuis près de 10 ans. La plateforme propose depuis longtemps des chaines « TV en direct » en plus des contenus d’autres plateformes et de la SVOD.

Chez Amazon, ce partenariat est présenté comme « une étape importante dans notre objectif de devenir la première destination de divertissement ». De son côté, le Groupe M6 veut « bâtir un écosystème streaming adapté aux nouveaux usages dans un contexte de consommation fragmenté », mais y voit aussi un autre avantage : « Ce partenariat consolide également la couverture de notre offre publicitaire, commercialisée par M6 Unlimited ».

En juillet dernier, un accord du même genre était annoncé avec France TV. Il était question de « l’intégralité de l’offre france.tv […] avec les directs des chaînes (France 2, France 3, France 4, France 5 et France Info), les programmes en preview et en replay ainsi que les contenus exclusifs ».

Le projet « Albert » de la DINUM (direction interministérielle du numérique) avait été sélectionné par la CNIL en 2023 comme un des projets d’IA « visant à améliorer les services publics ». Il s’adresse aux agents de la fonction publique et devait les assister. L’IA avait été présenté en avril 2024 par le Premier ministre (de l’époque) Gabriel Attal à la maison France Services de Sceaux (Hauts-de-Seine).

• L’IA au service des citoyens : c’est compliqué

Comme le rapporte l’AFP, Albert était déjà testé dans 48 maisons France Services, mais il ne sera pas généralisé « dans sa forme actuelle », indique la Direction interministérielle du numérique (Dinum). Cette dernière affirme que ce n’est pas la fin d’Albert : « La majorité des projets expérimentaux regroupés sous la marque Albert sont désormais pérennisés et pleinement opérationnels ».

Albert est aussi une API sur laquelle viennent se brancher des modèles d’IA, notamment ceux de Mistral. Des changements sont d’ailleurs en cours sur l’API. Il y a notamment de « nouveaux alias openweight-* », une mise à jour de plusieurs modèles et la suppression de « la fonctionnalité de recherche web ».

« Nous abandonnons les alias albert-, qui manquent de clarté, au profit d’alias du type openweight-  », explique la Dinum. Elle précise que, « jusqu’au 15 février 2026, les anciens modèles/alias cohabitent avec les nouveaux ».

Des CLIK et des claques

Il est difficile de savoir ce qu’il en sera de l’IA et du numérique dans 5 ou 10 ans, mais cela n’empêche pas l’ADEME de proposer une prospective sur la consommation des datacenters à l’horizon 2035 et même 2060. Un exercice complexe, semé d’embûches, de doutes et d’approximations (sur des approximations).

L’Agence de la transition écologique (ex-Agence de l’environnement et de la maîtrise de l’énergie, ADEME) a mis en ligne récemment un long rapport de 225 pages (PDF et PDF de la synthèse) intitulé « Prospective d’évolution des consommations des centres de données en France de 2024 à 2060 ». Deux périodes sont distinguées : pré- 2035 d’un côté, post-2035 jusqu’à 2060 de l’autre.

Des aléas, beaucoup (trop ?) d’aléas

Pourquoi une telle séparation ? À cause de « l’évolution technologique extrêmement rapide du secteur numérique ». Plus on voit loin dans le temps, plus la période est « sujette à l’émergence de technologies de rupture, mais aussi aux aléas climatiques et tensions sur les ressources ». Pas besoin d’attendre 2035 pour être dans le flou, bien malin déjà celui qui peut prévoir 2030…

Néanmoins, l’Agence estime que pour la période pré- 2035 « il est plus simple d’anticiper les éventuels sauts technologiques et modéliser la maturation des technologies actuelles ». Plus facile, pas forcément juste pour autant… dans tous les cas, c’est ambitieux comme approche. Il y a 10 ans, en 2015, la révolution de l’IA générative n’était même pas une folle rumeur (cette « révolution » s’est pour rappel installée très rapidement, sans crier gare, avec le lancement de ChatGPT fin 2022).

Il y a 10 ans, c’était l’époque de la GTX 1080 chez NVIDIA. L’intelligence artificielle existait évidemment, mais pas la GenAI. Or, une bonne partie des scénarios de l’ADEME reposent précisément sur des moyennes de moyennes de statistiques datant d’il y a 10 ans…

• Cartes graphiques : 30 ans d’évolution des GPU

Entre accélération, accumulation et chemin inverse

Un an après la version 10, Wine – qui n’est pas un émulateur au sens strict, son nom est d’ailleurs l’acronyme récursif de « Wine is not an emulator » – vient de passer en version 11.

Ce logiciel permet pour rappel de lancer des applications conçues pour Windows sur d’autres systèmes, comme Linux et macOS. De la documentation est disponible ici pour découvrir l’application si besoin.

Les notes de version annoncent pas moins de 6 300 changements (contre 6 000 pour Wine 10). Il y a notamment la finalisation de WoW64 permettant d’exécuter des applications 32 bits et même 16 bits dans un environnement 64 bits et l’ajout du module NTSync pour le noyau Linux (pour améliorer les performances des émulateurs Windows NT). Ce sont les « principaux points forts », affirme l’équipe en charge du projet.

Il y a également diverses améliorations sur la partie graphique, la prise en charge de l’API Vulkan 1.4.335, le support de X11 Window Manager, la prise en charge de nouvelles manettes, etc.

• Télécharger Wine 11

Das Boot !

Si vous installez plus ou moins régulièrement des ordinateurs, des systèmes d’exploitation ou si vous avez besoin d’utilitaires comme Memtest+ et Ultimate Boot CD, alors ce tuto est fait pour vous. Cerise sur le gâteau, il est possible d’installer le serveur TFTP directement dans la Freebox, avec les machines virtuelles.

La semaine dernière, Free ajoutait un serveur TFTP à son interface Freebox OS, permettant ainsi d’avoir un serveur Trivial FTP (mais dont l’utilité est limitée), mais surtout d’ajouter l’adresse d’un serveur TFTP dans le serveur DHCP. Nous avions alors expliqué le fonctionnement, en précisant que la Freebox ne faisait pas serveur PXE, elle renvoyait simplement la balle à une autre machine sur le réseau.

• Les Freebox intègrent désormais un serveur TFTP : quelle utilité et comment ça marche ?

Mais il est aussi possible de configurer la Freebox comme serveur PXE, avec les VM (machine virtuelle) intégrées. Voici un tuto qui vous permet ensuite de booter n’importe quel ordinateur sur le réseau et d’y installer un système d’exploitation ou juste de lancer des utilitaires comme MemTest et Ultimate Boot CD.

Nous utilisons une VM de la Freebox, mais ce tuto fonctionne exactement de la même manière si on installe le serveur TFTP sur n’importe quelle autre VM ou ordinateur. La Freebox a l’avantage de ne pas nécessiter d’ordinateur supplémentaire, libre à vous de faire ce que vous voulez évidemment. Une VM Ubuntu Server sur un Proxmox fera tout aussi bien l’affaire !

Création d’une VM dans Freebox OS et connexion via Putty

Première étape, dans Freebox OS, la création d’une VM. Entrez le nom que vous voulez, puis laissez coché « Choisir un système d’exploitation pré-installé parmi une liste ». Nous avons laissé la configuration par défaut avec deux cœurs CPU et 957 Mo de mémoire. Nous avons dans le menu suivant choisi Ubuntu 24.04 LTS (Noble).

Allumez la VM et récupérez son adresse IP (192.168.1.65 dans notre cas). Dans Freebox OS, rendez-vous dans les Paramètres (mode avancé) puis cliquez sur DHCP. Dans la partie Serveur TFTP, indiquez l’adresse IP de la VM (192.168.1.65 chez nous) puis dans Fichier de démarrage « pxelinux.0 ». Cliquez sur Appliquer et OK. C’est désormais terminé pour Freebox OS.

La suite, nous allons le faire directement dans notre VM. On s’y connecte avec Putty (un client SSH et Telnet). Rien de compliqué : dans Host Name indiquez l’adresse IP de la VM de la Freebox (192.168.1.65) et laissez le port par défaut 22. Le nom d’utilisateur par défaut est « freebox » et le mot de passe celui entré lors de la création de la VM.

On installe le paquet tftpd-hpa pour notre serveur TFTP

Bons élèves que nous sommes, la première étape est de lancer ces deux commandes pour mettre à jour le système (cette opération dans une VM sur une Freebox, ça prend un peu de temps, quelques minutes dans notre cas).

Reste le morse en éclipse solaire, mais c’est lent…

L’Iran s’est encore fermé du monde extérieur en coupant Internet, aussi bien sur les réseaux fixes et mobiles (comme cela a déjà été fait), mais aussi en brouillant les communications Starlink à grande échelle.

Nous en parlions jeudi : l’Iran s’est brutalement coupé d’Internet. Ce n’est pas la première fois que les autorités mettent en place ce genre de black-out, la précédente n’a que quelques mois, en juin 2025. Comme à l’époque, Elon Musk en profite pour mettre en avant Starlink et propose des connexions aux utilisateurs en Iran, mais le système de connexion par satellite subit des brouillages.

• Chine, Iran, Russie… : comment des pays contrôlent, bloquent et manipulent Internet

4 jours que l’Iran est coupé d’Internet

Sur X, l’ONG Netblocks faisait les comptes ce matin : « Alors que l’Iran se réveille pour commencer une nouvelle journée, les mesures indiquent que la coupure nationale d’internet a dépassé les 84 heures ». Même constat chez Cloudflare dont le Radar ne détecte aucune reprise.

Elle ajoute que « des années de recherche sur la censure numérique mettent en évidence ces solutions de contournement ». Elle en liste quatre : les radios ondes courtes/amateurs, les antennes-relais placées aux frontières, les communications direct to cell avec les satellites et enfin les terminaux Starlink.

• Direct-to-Cell : mais comment diable un smartphone peut communiquer avec un satellite

Cette fois, la censure semble encore plus forte : « L’Iran semble avoir renforcé sa capacité à maîtriser ces techniques de restriction de l’accès à internet », explique Valère Ndior (spécialiste du numérique) à RFI. Selon nos confrères, « même le Réseau national d’information (NIN) est hors service […] Le régime accepte donc de paralyser ses propres infrastructures, pour couper tous les canaux de communication ».

L’Internet par satellite d’Elon Musk est aussi coupé, plus ou moins suivant les zones. Il est pour rappel interdit depuis longtemps d’utiliser ou ne serait-ce que de posséder un système Starlink en Iran. La sanction du régime peut être « une exécution et prétendre que [la personne] travaille pour Israël ou les États-Unis », rappelait à Associated Press Azam Jangravi, expert en cybersécurité à Toronto qui s’oppose au gouvernement iranien.

Starlink a joué un « rôle clé » par le passé pour diffuser des images et des informations au-delà des frontières iraniennes (dans un sens, comme dans l’autre), expliquait également à Associated Press le militant pour la liberté d’Internet Mehdi Yahyanejad. Cette fois encore c’est le cas : « Elon Musk, l’improbable allié des journalistes pour collecter les images des violences en Iran », titre RTL qui se fait l’écho de témoignages locaux.

Starlink : l’Iran « va au-delà du brouillage GPS »

Déjà en juin dernier, l’Iran perturbait les signaux GPS, certainement dans le but de limiter l’efficacité des drones qui ont besoin du GPS pour se positionner. Mais c’est aussi le cas des récepteurs Starlink qui ont besoin d’un signal GPS pour se connecter à un des satellites de la constellation en orbite basse.

De nouveau, selon Associated Press qui se base sur des déclarations d’Amir Rashidi (expert sur l’Iran pour l’ONG Miaan de défense des droits humains et des droits numériques), les connexions via Starlink feraient face à une perte de 30 % des paquets. « Dans certaines régions d’Iran, Rashidi a indiqué qu’on avait constaté une perte de paquets de 80 % », ajoutent nos confrères. Selon IranWire (toujours sur des déclarations d’Amir Rashidi), le passage de 30 à 80 % dans certaines zones s’est fait dans la même journée.

Selon des estimations récentes, on pourrait compter entre 20 000 et 50 000 utilisateurs de Starlink en Iran, contre une centaine de terminaux actifs fin 2022 (selon Elon Musk à l’époque). Début 2025, un institut annonçait 30 000 Iraniens connectés via Starlink. L’ordre de grandeur reste à peu près le même.

« Je crois que le gouvernement iranien fait quelque chose qui va au-delà du brouillage GPS, comme en Ukraine où la Russie a tenté de brouiller Starlink », ajoute Amir Rashidi. Selon lui, l’Iran pourrait utiliser un brouilleur mobile. Une solution serait de surcharger la zone d’ondes dans les mêmes fréquences que celles utilisées par Starlink pour brouiller les signaux, que ce soit en émission ou en réception.

La Russie ou la Chine en embuscade ?

Selon IranWire et les déclarations de l’expert sur l’Iran, ce type d’interférence « n’avait jamais été observé en 20 ans de recherche […] la technologie impliquée est très sophistiquée et de qualité militaire, et a probablement été fournie au gouvernement par la Russie ou la Chine, si elle n’a pas été développée au niveau national ».

En avril dernier, un rapport du think tank Secure World Foundation expliquait comment la Russie et la Chine intensifiaient leurs recherches « pour contrer la domination des constellations de satellites commerciaux, en particulier Starlink de SpaceX », indiquait Spacenews.com.

Deux systèmes russes étaient notamment mis en avant : Tobol et Kalinka. Selon le rapport, Kalinka pourrait « même détecter les terminaux connectés à Starshield, la version militaire de Starlink censée offrir une sécurité renforcée ».

Donald Trump en appelle à Elon Musk pour rétablir Internet en Iran

Donald Trump a récemment déclaré aux journalistes qu’il comptait s’entretenir avec Elon Musk « au sujet du rétablissement de l’internet en Iran », sans plus de précision. « Il est très doué pour ce genre de choses, il a une très bonne entreprise », ajoutait le président américain.

Après une idylle, le divorce s’est déroulé en juin dernier, sur la place publique. Depuis, les deux tentent de petits rapprochements en se caressant dans le sens du poil à tour de rôle.

• Donald Trump et Elon Musk mettent fin à leur idylle en direct sur les réseaux sociaux

L’annonce a été faite ce matin : « Nous sommes ravis d’annoncer que le Conseil d’Administration de Mageia a officiellement validé la publication de la première image ISO Alpha pour Mageia 10 ». Attention, nous sommes encore loin d’une version stable, il s’agit ici de commencer « des tests à grande échelle par la communauté » pour collecter des retours.

Les images ISO de cette mouture sont disponibles pour des « installations traditionnelles sur les systèmes 32 bits (i686) et 64 bits », ce qui est de plus en plus rare en mode 32 bits (le CPU doit supporter le jeu d’instructions SSE2 pour Mageia 10). Ubuntu par exemple a arrêté il y a plusieurs années.

Mageia 10 est livrée avec le noyau Linux 6.6, X.Org 21.1.13 et XWayland 24.1.0. Il y a également des « images Live Desktop présentant des bureaux populaires tels que Plasma, GNOME et Xfce ». Les notes de version détaillées se trouvent par ici. Pour signaler des bugs, c’est par là que ça se passe.

• X11, Wayland : pourquoi la transition est-elle aussi longue ?

La suite du calendrier a été annoncée en décembre : « une première version bêta prévue pour la première moitié de janvier 2026, suivie d’une deuxième version bêta un mois plus tard. La version release candidate est prévue deux semaines après la deuxième version bêta, tandis que la version finale est attendue en avril 2026 ». Cette date d’avril 2026 est confirmée dans le billet de blog du jour.

En octobre, quelques jours après la validation par l’Arcep d’une nouvelle prolongation de l’itinérance 2G et 3G de Free sur le réseau d’Orange, Free Mobile annonçait la fin de sa 3G. Désormais, la fiche d’information standardisée indique : « Service accessible en itinérance 2G/3G sur le réseau de l’opérateur historique partenaire ».

• Free Mobile abandonne officiellement sa 3G

Au 1ᵉʳ décembre 2025 (relevé sur le mois de novembre), Free disposait encore de 21 137 sites en service dans les 900 MHz, ainsi que 181 sites dans les 2100 MHz. Au 1ᵉʳ janvier 2026, la situation a bien changé : 6 303 sites 3G en service dans les 900 MHz, 0 dans les 2 100 MHz.

Free a donc perdu près de 15 000 sites en service dans les 900 MHz en 3G… mais en gagne dans le même temps plus de 11 000 en 4G, toujours dans les 900 MHz. La 3G dans les 900 MHz chez les trois autres opérateurs ne change que peu avec ± une centaine de sites maximum.

C’est le seul opérateur sur le mois de décembre à annoncer des changements sur cette bande de fréquence pour la 4G. Les trois autres ne laisseront pour rappel la 3G de côté qu’à partir de 2028, ils continuent donc d’assurer un service à leurs clients d’ici là.

En janvier, Free est d’ailleurs toujours le seul opérateur avec des sites 4G en service dans les 900 MHz, avec désormais près de 24 000 sites (pour un peu plus de 26 000 autorisations). Orange a quatre autorisations, mais aucune mise en service.

Ce midi, Clément Domingo (alias SaxX sur les réseaux sociaux) explique, capture d’écran à l’appui, que « le site internet de l’euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris ! ».

Élections Municipales – Le site internet de l'euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris !

Attention aux sites internet "vibecodé"… qui exposent/exposeront les données personnelles des… pic.twitter.com/S6pojT781V

— SaxX ¯\_(ツ)_/¯ (@_SaxX_) January 9, 2026

1h30 plus tard, CheckNews confirme. En quelques clics, nos confrères ont « pu constater que ces données privées étaient effectivement accessibles ce vendredi midi. Parmi les 607 contributions enregistrées, nous avons pu distinguer 458 mails uniques, 437 adresses IP, et 187 numéros de téléphone renseignés ».

Lorsque SaxX a publié son message sur X, la faille était donc toujours présente, permettant ainsi à n’importe qui de récupérer les données. D’ailleurs, sur Breachforum, on retrouve déjà des publications à ce sujet. Un des membres « s’amuse » d’ailleurs de la situation : « Ce n’est pas une divulgation responsable, tu es un pirate informatique, SaxX ! Bienvenue du côté obscur ».

La coupe est pleine ? Peut être pas… selon Seblatombe, toujours sur X : « Pire encore, les cartes et photos d’identités apparaissent en clairs dans le code. Les photos ne sont pas demandées par le site. Elles sont publiées de manière volontaire par certaines personnes ayant rédigé un commentaire. Certains commentaires n’en contiennent aucune, tandis que d’autres en affichent », explique-t-il.

D’après nos constatations, il y a une petite vingtaine de photos, dont une seule avec une pièce d’identité tronquée. Pour le reste, ce sont des photos de la ville de Paris, de personnes… Il y a aussi un chien et des poubelles.

Pire encore, les cartes et photos d'identités apparaissent en clairs dans le code.. https://t.co/LQyKbJ8TaG pic.twitter.com/3HdagY1vBM

— Seb (@seblatombe) January 9, 2026

CheckNews a aussi repéré un même email « utilisé jusqu’à 20 fois, avec des pseudonymes différents ». Des propositions étaient aussi associées à un email de Sarah Knafo, mais cette dernière affirme à nos confrères qu’elle n’est pas à l’origine des messages. Dans ce genre de formulaire, il est possible d’indiquer n’importe quel email pour rappel.

La principale intéressée, qui s’est déclarée le 7 janvier dernier candidate à la mairie de Paris, affirme à nos confrères avoir « corrigé » l’erreur. Le site participatif Paris à cœur ouvert de la candidate du parti d’extrême droite Reconquête fondé par son compagnon Eric Zemmour affiche désormais une « information importante » : « L’ultra gauche n’aime pas la démocratie et tente de pirater le site ». Rappelons qu’il n’y a a priori pas de piratage ici puisque les données étaient lisibles directement depuis la console des navigateurs.

La première ligne de la politique de confidentialité du site affirme que « Sarah Knafo pour Paris (ci-après, « Nous »), s’engage, en tant que responsable du traitement de vos Données Personnelles, à protéger votre vie privée ».

Dans la même journée, ce site de Sarah Knafo faisait l’objet d’un signalement à la procureure de la République par le sénateur Ian Brossat : « À peine en ligne, le site participatif de Mme Knafo est déjà un déferlement de propos racistes, y compris d’appels au meurtre. Le racisme n’est pas une opinion. C’est un délit », indique-t-il sur X, avec une copie de son signalement.

Check News parlait de 607 contributions à 13h30, il y en a 634 à l’heure actuelle. Mais, pour le moment, la page des contributions n’affiche plus que l’« information importante ».

De quoi largement rentabiliser votre abo à Next !

C’est le bon moment pour changer de fournisseur d’électricité. Les prix ont baissé et on trouve des offres avec jusqu’à 25 % de réduction sur le tarif réglementé. Comme ce n’est pas toujours facile de comparer les offres, Next propose un outil taillé sur mesure pour que vous puissiez trouver la meilleure offre en fonction de votre consommation réelle. Nous vous proposons une centaine de forfaits.

Mise à jour du 14 janvier à 11h30. Notre comparateur a largement évolué depuis la semaine dernière. Nous avons pris en compte vos retours et vos demandes afin qu’il corresponde toujours plus à vos besoins. Comme précédemment, le comparateur est intégré à la fin de cette actualité.

Il dispose désormais d’une centaine d’offres (pensez à télécharger la liste à jour des forfaits et à l’ajouter dans le comparateur), prend en compte la labellisation VertVolt, dispose d’un indicateur de complexité des offres et peut estimer vos consommations sur la base de relevés journaliers. On notera au passage la publication sur Firefox de l’extension pour récupérer votre consommation depuis le site d’Enedis.

100 % d’électricité verte, VertVolt 1 ou 2 : faites votre choix

Premier point, nous avons ajouté des « filtres écologiques » pour les forfaits proposant 100 % d’électricité verte (avec des garanties d’origine), une labellisation VertVolt de niveau 1 (engagé) ou de niveau 2 (très engagée) ; nous avons détaillé les deux niveaux dans cette actualité. Ils sont présents à la fois dans le tableau récap’ des forfaits et dans le comparateur.

• VertVolt : comment choisir son offre d’électricité verte, les pièges à éviter
• [Dossier Next] C’est quoi de l’électricité verte et comment en « profiter »

La mention est grisée si l’option est payante. Dans le comparateur, cocher une des cases ajoute automatiquement le tarif s’il est payant. Vous voulez du VertVolt niveau 1 minimum, La belle énergie est bien présente, avec le supplément de 0,01 euro par kWh dans le calcul du prix.

Dans la gestion des forfaits, de nouvelles options sont disponibles pour ajouter de l’électricité « 100 % verte » ou une labélisation VertVolt. Nous avons ajouté au passage une trentaine de nouveaux forfaits d’une dizaine de fournisseurs : Enercoop, Ilek, GEG, Vattenfall, Engie…

De 0 à 5 : la complexité des forfaits en un coup d’œil

De nouveau dans la partie récap’ des forfaits et comparaison des offres, une nouvelle colonne fait son apparition en tête de tableau, avec un chiffre de 0 à 5 (c’est le maximum).

C’est un indicateur de complexité. 0 : tarif unique toute la journée. 1 : heure creuses et pleines. Ensuite, de de 2 à 5, le niveau de complexité augmente en fonction du nombre de règles pour les tarifs et des éventuels jours/périodes de l’années à prendre en compte. Tempo avec ses six tarifs différents en fonction des jours bleus, blancs et rouges est à 5 points par exemple.

Quelques fois, à quelques euros près, vous pouvez avoir une offre bien moins complexe. À vous de voir en fonction de vos besoins, envies et habitudes.

Heures creuses personnalisables, consommation journalière acceptée

Puisqu’on parle des HC/HP, tout le monde n’est pas forcément logé à la même enseigne, nous avons donc adapté le comparateur : par défaut la plage horaire heures creuses est de 00h00 à 6h00 puis de 22h00 à 6h00, mais vous pouvez la modifier. Les forfaits HC/HP prendront en compte les nouvelles plages lors du calcul.

• Électricité : les plages d’heures creuses vont changer pour 11 millions de foyers

Nous avons également entendu ceux d’entre vous qui n’ont pas activé le relevé horaire chez Enedis (et qui ne veulent pas le faire). Le comparateur accepte désormais le fichier journalier renvoyé par le site Enedis (on peut cette fois sélectionner une année complète).

Par défaut, le comparateur attribue 33 % de la consommation de chaque journée en heures creuses et 66 % en heures pleines. Cela correspond à la répartition classique de 8 heures pleines et 16 heures creuses. Libre à vous de bouger le curseur du pourcentage. Attention, les résultats seront dans tous les cas des estimations (pour les offres avec tarifs différenciés).

Voici un exemple avec un même compteur Linky mais deux relevés différents : le détail par heure à gauche et ensuite le journalier à droite. Le premier est évidemment plus précis, mais le second permet d’avoir un ordre de grandeur si le détail de la consommation par heure n’est pas disponible. Pour rappel, tous les calculs se font en local dans votre navigateur.

---

Article original du 09 janvier à 17h13.

L’électricité fait partie des indispensables de la vie quotidienne. La quasi-totalité des foyers dispose d’un abonnement à un fournisseur d’électricité, que ce soit via des offres réglementées d’EDF (les fameux tarifs bleus) ou chez d’autres fournisseurs avec des forfaits… plus ou moins exotiques.

Changer est simple comme bonjour, toutes les offres sont sans engagement !

Un rappel important d’Enedis : « Avec la libéralisation du marché de l’énergie en 2017 et la loi NOME 2010 portant sur la nouvelle organisation du marché de l’électricité, tout particulier peut résilier son contrat d’électricité, à tout moment, peu importe la raison, et cela, sans frais. Tous les contrats d’énergie sont donc sans engagement ».

Vous pouvez donc faire jouer la concurrence sans crainte et partir quand bon vous semble. Lors du changement, vous n’avez pas à résilier votre ancien forfait, c’est le nouveau fournisseur qui s’en occupe pour vous. Si vous voyez des durées d’engagement, c’est que le fournisseur s’engage à maintenir ses prix pendant un certain temps (généralement de 1 à 3 ans).

• Changer de fournisseur d’électricité : les choses à savoir, les pièges à éviter
• VertVolt : comment choisir son offre d’électricité verte, les pièges à éviter

Ce n’est pas facile de s‘y retrouver entre les forfaits avec un tarif unique du kWh tout au long de la journée, ceux avec une différence entre les heures creuses et pleines, ainsi que la multitude d’offres aux conditions particulières en fonction de la saison, du jour de la semaine, de jours précis, etc.

Next vous propose une liste détaillée de 70 forfaits

Next vous propose une petite application (intégrée dans cette actualité) permettant de comparer environ 70 forfaits provenant d’une douzaine de fournisseurs différents. Vous pouvez non seulement comparer les offres les unes aux autres, mais surtout les mettre en concurrence face à votre consommation réelle.

Voici un exemple :

C’est là tout l’intérêt de ce comparateur, car une offre intéressante pour un foyer ne le sera pas forcément pour un autre. Cet outil permet aussi d’estimer les économies réelles attendues. Tempo est un exemple parfait : six prix différents du kWh, dont des jours rouges où le tarif en journée explose littéralement.

Tempo peut être très intéressant pour celui qui fait attention, mais dans quelle proportion et quelles sont les économies ? Au final, le jeu en vaut-il la chandelle ? Next vous permet d’avoir une réponse précise à cette question, avec un traitement local de vos données !

Nous avons fait le tour de quasiment 70 forfaits d’électricité, en ajoutant à chaque fois le prix du kWh, les règles de calculs, les jours particuliers, etc. Pour Tempo par exemple, les jours blancs et rouges sont précisés.

Notre liste de début janvier est disponible ici ; vous pouvez l’importer dans l’application et l’utiliser comme bon vous semble. Vous pouvez la mettre à jour, modifier ou ajouter des forfaits, etc. Next ne la maintiendra pas à jour sur une base régulière, mais l’application sera toujours utilisable et une fonction d’export est aussi présente pour partager des configurations de forfaits ; si la communauté le souhaite, elle peut donc faire vivre cette liste.

À vous de jouer : modifiez, créez, partagez des listes de forfaits

Pour chaque forfait, il est possible de préciser des informations basiques comme le nom, le fournisseur, des URLs et le montant de l’abonnement. Pour le prix du kWh, la tarification fixe et HC/HP (heure creuse et heure pleine) est disponible, mais notre comparateur propose aussi un mode « avancé » avec des conditions multiples.

Chaque règle peut s’appliquer à une ou plusieurs plages horaires en fonction des jours de la semaine et des mois de l’année, en fonction de jours précis, etc. Vous pouvez ajouter une multitude de règles à un même forfait, certaines plus alambiquées que d’autres…

Par contre, cela peut rapidement devenir une usine à gaz, nous avons donc ajouté une option pour « vérifier la couverture ». Elle regarde pour chaque heure et jour de l’année s’il n’y a pas de chevauchement ou de manque. Elle affiche une alerte le cas échéant.

Si vous définissez des jours précis (par exemple les jours Blancs et Rouges de Tempo), ce sont des exceptions qui prennent le dessus sur les tarifs applicables le reste de l’année. Si vous créez ou modifiez des forfaits, pensez à lancer une vérification, on ne sait jamais…

Récupérez votre consommation et trouvez l’offre la plus adaptée

Pour commencer, il faut récupérer votre relevé de consommation horaire. Le site Enedis ne propose qu’une semaine de téléchargement, mais il est possible d’automatiser les téléchargements pour contourner le problème. Nous avons mis à jour notre script avec le passage en API v2 côté Enedis.

Toujours dans l’idée de vous simplifier la vie, nous avons aussi développé avec Claude Code une extension pour Chrome et Firefox afin de simplifier le processus. Une fois l’extension installée, rendez-vous sur le site Enedis, connectez-vous et allez sur la « home ». L’extension devrait récupérer toute seule les identifiants nécessaires au téléchargement. Ils sont ensuite gardés dans le local storage du navigateur.

Simple, Basics…

Amazon vend sous sa propre marque Basics des chargeurs à moins de 20 euros. Nous en avons acheté deux : 20 watts pour le premier, jusqu’à 63 watts pour le second (avec deux ports USB). Promesses tenues ? Dans de bonnes conditions ?

Amazon Basics est une gamme de produits lancée il y a déjà plus de 15 ans par le géant américain de la vente en ligne. Une « marque de distributeur », comme il en existe plein dans la grande distribution. Aujourd’hui, on y retrouve de tout, des ustensiles de cuisine aux jouets pour enfants et bébés, en passant par du linge de maison, des piles et donc des chargeurs USB.

• [Dossier] Dans l’enfer des chargeurs USB pas chers chez AliExpress, Amazon et Cdiscount
• [Test] Chargeurs USB Ugreen de 45 et 65 watts à moins de 23 euros… tout va bien !
• [Test] Chargeurs USB Anker de 65 et 100 watts : promesses (presque) tenues
• [Test] Chargeurs USB Belkin autour de 20 € : un compact 25 watts, un autre 2x 30 watts

Il s’agit généralement de produits d’entrée de gamme, qui sont vendus moins chers que des équivalents siglés de « marques » ayant pignon sur rue. Chez Amazon, l’emballage des Basics se réduit souvent à sa plus simple expression ; les produits sont régulièrement mis en avant dans la boutique en ligne.

Nous avons acheté deux produits que nous passons à la moulinette de notre protocole de test. Ils viennent donc rejoindre les chargeurs d’autres marques déjà passés entre nos mains : Ugreen, Anker et Belkin, sans compter les « no-name » vendus quelques euros sur des marketplaces.

Amazon Basics 20 W USB-C Wall Charger : 12 euros, 20 watts et 65 °C

Toujours pas d’agent Smith ?

Cette année, l’Autorité de la concurrence va rendre un avis sur les agents conversationnels, et notamment les conséquences pour l’e-commerce via des IA. Une révolution à venir qui nécessite des adaptations aussi bien côté revendeurs que fournisseurs de services et des solutions de paiement.

Après le cloud et l’IA générative, l’Autorité de la concurrence s’autosaisit d’un nouveau dossier, dans le prolongement des précédents : les agents conversationnels. Pour le dire plus simplement, on parle des « chatbots » tels que ChatGPT d’OpenAI, Claude d’Anthropic ou encore Le Chat de Mistral, pour ne citer que ces trois-là.

Ne pas confondre chatbot et agents conversationnels

Attention, précise l’Autorité, à ne pas amalgamer tous les chatbots. Son avis du jour ne concerne que les « agents conversationnels de type ChatGPT », pas l’ensemble des chatbots. En effet, ceux « qui gèrent les interactions avec des clients à l’aide d’un arbre de décision ne faisant pas nécessairement appel à l’intelligence artificielle » sont laissés de côté. De même que les « assistants virtuels fondés sur l’IA générative, comme Siri d’Apple, Alexa d’Amazon ».

L’Autorité de la concurrence dresse le portrait du secteur, qui s’organise autour de quelques grands acteurs : « ChatGPT d’OpenAI, serait le premier outil conversationnel avec 21,6 millions de visiteurs uniques au mois de septembre 2025. Derrière lui se trouverait Google Gemini (2,8 millions), Le « Chat » de Mistral AI (1,5 million), Perplexity (1,3 million), Microsoft Copilot (1 million) ».

On parle ici d’agents conversationnels « capables de comprendre le langage naturel, de répondre à des questions, de générer du texte, d’expliquer du code ou encore de créer des contenus visuels ». C’est un secteur « en pleine effervescence », selon l’Autorité.

Les acteurs cherchent à diversifier les possibilités et à monétiser

Dans le précédent dossier sur l’IA générative, l’Autorité s’est déjà penchée sur la base des agents conversationnels – les fameux modèles de fondation ; ce n’est donc pas l’objet de l’autosaisie du jour. Les entreprises derrière ces agents conversationnels « cherchent à diversifier les possibilités d’utilisation »… et s’intéressent surtout aux possibilités de monétisation « afin que ces services deviennent rentables ». Actuellement, les entreprises d’IA dépensent des milliards de dollars comme des petits pains.

• IA générative : l’Autorité de la concurrence s’autosaisit et lance une consultation
• Quand les patrons de la tech s’inquiètent d’un risque de bulle IA

Dans son enquête, l’Autorité va donc s’intéresser à plusieurs thématiques : l’intégration de la publicité (modalités d’affichage et conséquence sur le modèle économique), l’intégration des agents dans les services existants (effets de levier et autoréférence), car ces agents sont « mis en œuvre par des acteurs dominants », les partenariats et enfin la transformation des agents conversationnels en plateformes.

Les agents ne sont pas simplement des interfaces de questions et réponses, ils « tendent à devenir de véritables plateformes, permettant aux utilisateurs d’accéder directement à des services tiers sans quitter la fenêtre de conversation ». Une fonction qui tend à se développer avec les agents d’IA, c’est-à-dire des IA capables « d’agir en votre nom », pour reprendre une citation de Sundar Pichai (patron de Google) et d’interagir entre elles.

Des agents toujours plus présents et avec davantage « d’autonomie »

Une norme ouverte est en train de se développer à ce sujet : MCP pour Model Context Protocol. OpenAI saute les deux pieds dedans et propose même aux développeurs d’intégrer leurs applications directement dans ChatGPT. Pour prendre le contrôle sur le web, les sociétés développent leurs propres navigateurs (OpenAI et Perplexity) ou bien proposent des extensions qui peuvent prendre le contrôle du navigateur (c‘est le cas d’Anthropic).

• C’est quoi l’IA agentique ?

L’Autorité consacre d’ailleurs une partie de son communiqué à la question du (e-)commerce agentique. Non seulement les « éditeurs déploient des efforts importants pour développer des agents accompagnant les utilisateurs dans leur parcours d’achat », mais de manière plus générale « c’est tout l’écosystème de la vente en ligne qui pourrait devoir s’adapter à l’irruption et au développement du commerce agentique ».

Contrairement au sujet du cloud où l’Autorité avait bien pris son temps avant de s’autosaisir, elle est cette fois-ci bien plus réactive. Des agents d’IA et notamment pour de l’e-commerce, sont certes déjà une réalité, mais nous sommes encore au début de cette technologie.

• L’IA de shopping d’Amazon revend des produits à l’insu et contre le gré de leurs vendeurs

L’Autorité va par contre laisser de côté tout un pan du sujet : « la relation entre les agents conversationnels et les moteurs de recherche ne fait pas partie du champ de l’avis ». Pourtant, ces agents sont de plus en plus utilisés comme moteur de recherche, avec des enjeux importants sur la diversité des sources. En plus du bien connu SEO (Search Engine Optimization), le GEO (Generative Engine Optimization) a largement le vent en poupe. Dommage, le sujet mériterait pourtant de s’y attarder.

• 250 documents suffisent à empoisonner l’entraînement d’une IA

Comme toujours en pareille situation, l’Autorité de la concurrence lancera prochainement une consultation publique, avant de rendre son avis dans le courant de l’année. « Les observations des parties prenantes viendront nourrir les travaux de l’Autorité ».

 Ça (tu)Rubin(e) ?

Pour sa nouvelle baie avec des GPU Rubin, NVIDIA affirme qu’il est possible de refroidir « ce supercalculateur avec de l’eau chaude. C’est incroyablement efficace ». Une annonce qui a fait trembler le cours de bourse de certains fabricants de systèmes de refroidissement. Pourtant, NVIDIA avait déjà laissé entendre la même chose avec la génération actuelle de GPU, Blackwell. Explications.

Lors du CES de Las Vegas, NVIDIA a multiplié les annonces avec des dizaines de communiqués, aussi bien sur les modèles d’IA, que sur les voitures autonomes, les jeux et les GPU. La plateforme (Vera) Rubin était au cœur des annonces, avec un GPU de nouvelle génération.

Les caractéristiques techniques sont impressionnantes avec pas moins de 336 milliards de transistors par puce et des performances jusqu’à 5x supérieures par rapport à Blackwell, qui était déjà largement au-dessus de la précédente génération. La question est maintenant de savoir comment va se passer le refroidissement d’un tel « monstre ».

• NVIDIA dévoile ses CPU Vera avec 88 cœurs Arm et GPU Rubin avec 336 milliards de transistors

« Nous refroidissons ce supercalculateur avec de l’eau chaude »

Lors de sa keynote, Jensen Huang (CEO de NVIDIA) a évidemment présenté sa baie équipée des nouveaux GPU. Il a aussi parlé du refroidissement et notamment du watercooling avec de l’eau à 45 °C. À cette température, « un water chiller n’est pas nécessaire dans le datacenter. En gros, nous refroidissons ce supercalculateur avec de l’eau chaude. C’est incroyablement efficace ».

Dans un rapport pour Infostealers, la société spécialisée en cybersécurité Hudson Rock explique qu’un pirate est « en train de mettre aux enchères des données exfiltrées des portails de partage de fichiers d’environ 50 grandes entreprises mondiales ». Le pirate est entré dans des applications comme ShareFile, OwnCloud et Nextcloud qui permettent de stocker et partager des fichiers. Il n’avait plus qu’à se servir.

Le rapport explique que « ces défaillances catastrophiques de sécurité n’étaient pas le résultat d’exploitation de faille zero-day dans l’architecture de la plateforme, mais plutôt des suites d’infections malveillantes sur les appareils des employés, combiné à manque cruel de mise en place de l’authentification multi-facteurs (MFA) ».

• [Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

Une des plateformes concernées, ownCloud, s’est fendue d’un billet de blog pour alerter ses utilisateurs. Elle rappelle qu’il ne s’agit pas d’une faille ni d’un piratage. Elle enjoint ses utilisateurs à activer la double authentification (ou authentification multi-facteurs) au plus vite si ce n’est pas déjà fait : « Des acteurs malveillants ont obtenu des identifiants utilisateurs via des logiciels malveillants de type infostealer installés sur les appareils des employés ». Sans double authentification, le pirate peut accéder au compte.

Ce rapport n’est qu’une goutte d’eau dans l’océan des manquements liés à la cybersécurité, mais il illustre bien les risques causés par un problème sur un compte. Si la double authentification n’est pas une protection absolue contre le piratage, c’est déjà une barrière de sécurité robuste et facile à mettre en œuvre, du moins si le service la propose.

La CNIL recommande évidemment d’utiliser l’authentification multifacteurs et va même plus loin. « En raison du grand nombre de violations intervenues l’an dernier [il était question de 2024, mais 2025 n’était pas mieux, ndlr] sur des bases de clients/prospects et usagers, la CNIL estime qu’un effort spécifique de sécurisation est nécessaire », expliquait-elle en avril dernier.

Ainsi, elle « renforcera dès 2026 sa politique de contrôle pour s’assurer de la mise en place de l’authentification multifacteur pour ces grandes bases de données. L’absence de cette mesure pourra justifier que soit initiée une procédure de sanction ».

Enfin, la Commission rappelle « que la mise en place d’une authentification multifacteur était déjà jugée en principe nécessaire au titre du RGPD pour des bases de données comprenant des données sensibles ou des données dont la violation exposerait les personnes à des risques importants (données bancaires et numéro de sécurité sociale notamment) ».