Entre pas de correctif et deux correctifs

Deux vulnérabilités de Windows, dont l’une critique, sont activement exploitées. Les pirates s’en prennent particulièrement aux installations Windows Server sur site, dans l’objectif de dérober des informations.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

Une campagne depuis des mois, une exploitation depuis des années

Différence fondamentale entre les deux failles : la première n’est pas corrigée et fait l’objet de campagnes actives. C’est ce que Trend Micro affirmait déjà le 18 mars. L’éditeur indiquait que la faille avait été découverte en septembre 2024, mais qu’elle était présente dans le système depuis 2017, et probablement exploitée plus ou moins activement depuis.

Trend Micro indiquait alors avoir identifié plus d’un millier de fichier LNK malveillants contenant des commandes cachées pour déclencher des actions. Onze groupes APT de Corée du Nord, d’Iran, de Russie et de Chine étaient épinglés. Selon l’entreprise de sécurité, une preuve de concept avait été envoyée à Microsoft, mais l’éditeur aurait refusé de corriger la faille, sans que l’on sache pourquoi.

Et si l’on en parle toujours, c’est parce qu’un rapport publié par Arctic Wolf le 30 octobre faisait état d’une exploitation toujours active de cette faille en septembre et octobre. Cette fois, les cibles étaient surtout situées en Europe, particulièrement « les entités diplomatiques hongroises et belges », signe d’une coordination précise. L’ingénierie sociale est utilisée pour envoyer de fausses invitations, avec des détails sur des évènements diplomatiques, « notamment les réunions de facilitation des frontières de la Commission européenne et les ateliers de l’OTAN sur les achats de défense ».

Toujours selon ce rapport, l’attaque passe par le chargement de bibliothèques DLL provenant d’utilitaires Canon pour imprimantes et ayant une signature authentique. Le logiciel malveillant PlugX est également utilisé pour établir la persistance et voler silencieusement des informations. Arctic Wolf ajoute que la taille du fichier CanonStager, utilisé pour charger le malware, est passée de 700 ko à seulement 4 ko entre septembre et octobre, signe selon la société d’un développement très actif.

En l’absence de correctif pour l’instant, la mesure recommandée consiste à verrouiller les fonctions des fichiers LNK.

Interrogée par HelpNetSecurity sur le sujet, Microsoft a indiqué que Defender et Smart App Control avaient été mis à jour en septembre 2024 pour tenir compte de cette menace, mais le système d’exploitation lui-même n’a pas eu de correctif. Dans une autre réponse donnée le 2 novembre, la société a simplement déclaré qu’elle appréciait « le travail de la communauté des chercheurs » et qu’elle encourageait « vivement les clients à tenir compte des avertissements de sécurité et à éviter d’ouvrir des fichiers provenant de sources inconnues ».

Une faille critique corrigée deux fois

L’autre faille, CVE-2025-59287, est beaucoup plus dangereuse, mais elle a le gros avantage d’avoir été corrigée. Deux fois en fait : une première lors du Patch Tuesday d’octobre, la seconde lors d’une mise à jour d’urgence (et hors cycle) le 24 octobre. Une preuve de concept était apparue rapidement après le premier correctif, prouvant que le colmatage était incomplet et expliquant la seconde mise à jour.

Comme toujours dans ce genre de cas, le problème pourrait être considéré comme réglé puisque le correctif bouche la vulnérabilité, mais la difficulté réside dans l’application du correctif. La faille résidant dans les installations sur site de Windows Server et l’utilisation de WSUS pour gérer et diffuser les mises à jour dans le parc informatique, il faut appliquer le correctif sur les serveurs concernés, nécessitant une interruption de service.

Selon la société de sécurité Huntress, des signes d’exploitation de cette faille sont apparus le 23 octobre, la veille de la diffusion du second correctif. Des observations corroborées par d’autres entreprises, dont Sophos qui évoquait le 24 octobre comme début des hostilités. La faille peut donc être considérée comme 0-day puisqu’elle n’était pas corrigée au moment de son exploitation. Elle a également fait l’objet d’une fiche par l’ANSSI le 27 octobre. On ne sait pas à l’heure actuelle si la preuve de concept publiée peu de temps après le premier correctif a été utilisée pour exploiter la faille.

En outre, même si le correctif disponible colmate bien la brèche, l’agence américaine de cybersécurité (CISA) a publié une note à ce sujet le 29 octobre. Elle enjoint le personnel concerné à mettre à jour aussi rapidement que possible les serveurs concernés et à effectuer d’autres tâches, dont la surveillance active de processus potentiellement suspects. Il est également conseillé de surveiller également les processus PowerShell imbriqués utilisant des commandes codées en Base64.

Entre pas de correctif et deux correctifs

Deux vulnérabilités de Windows, dont l’une critique, sont activement exploitées. Les pirates s’en prennent particulièrement aux installations Windows Server sur site, dans l’objectif de dérober des informations.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

Une campagne depuis des mois, une exploitation depuis des années

Différence fondamentale entre les deux failles : la première n’est pas corrigée et fait l’objet de campagnes actives. C’est ce que Trend Micro affirmait déjà le 18 mars. L’éditeur indiquait que la faille avait été découverte en septembre 2024, mais qu’elle était présente dans le système depuis 2017, et probablement exploitée plus ou moins activement depuis.

Trend Micro indiquait alors avoir identifié plus d’un millier de fichier LNK malveillants contenant des commandes cachées pour déclencher des actions. Onze groupes APT de Corée du Nord, d’Iran, de Russie et de Chine étaient épinglés. Selon l’entreprise de sécurité, une preuve de concept avait été envoyée à Microsoft, mais l’éditeur aurait refusé de corriger la faille, sans que l’on sache pourquoi.

Et si l’on en parle toujours, c’est parce qu’un rapport publié par Arctic Wolf le 30 octobre faisait état d’une exploitation toujours active de cette faille en septembre et octobre. Cette fois, les cibles étaient surtout situées en Europe, particulièrement « les entités diplomatiques hongroises et belges », signe d’une coordination précise. L’ingénierie sociale est utilisée pour envoyer de fausses invitations, avec des détails sur des évènements diplomatiques, « notamment les réunions de facilitation des frontières de la Commission européenne et les ateliers de l’OTAN sur les achats de défense ».

Toujours selon ce rapport, l’attaque passe par le chargement de bibliothèques DLL provenant d’utilitaires Canon pour imprimantes et ayant une signature authentique. Le logiciel malveillant PlugX est également utilisé pour établir la persistance et voler silencieusement des informations. Arctic Wolf ajoute que la taille du fichier CanonStager, utilisé pour charger le malware, est passée de 700 ko à seulement 4 ko entre septembre et octobre, signe selon la société d’un développement très actif.

En l’absence de correctif pour l’instant, la mesure recommandée consiste à verrouiller les fonctions des fichiers LNK.

Interrogée par HelpNetSecurity sur le sujet, Microsoft a indiqué que Defender et Smart App Control avaient été mis à jour en septembre 2024 pour tenir compte de cette menace, mais le système d’exploitation lui-même n’a pas eu de correctif. Dans une autre réponse donnée le 2 novembre, la société a simplement déclaré qu’elle appréciait « le travail de la communauté des chercheurs » et qu’elle encourageait « vivement les clients à tenir compte des avertissements de sécurité et à éviter d’ouvrir des fichiers provenant de sources inconnues ».

Une faille critique corrigée deux fois

L’autre faille, CVE-2025-59287, est beaucoup plus dangereuse, mais elle a le gros avantage d’avoir été corrigée. Deux fois en fait : une première lors du Patch Tuesday d’octobre, la seconde lors d’une mise à jour d’urgence (et hors cycle) le 24 octobre. Une preuve de concept était apparue rapidement après le premier correctif, prouvant que le colmatage était incomplet et expliquant la seconde mise à jour.

Comme toujours dans ce genre de cas, le problème pourrait être considéré comme réglé puisque le correctif bouche la vulnérabilité, mais la difficulté réside dans l’application du correctif. La faille résidant dans les installations sur site de Windows Server et l’utilisation de WSUS pour gérer et diffuser les mises à jour dans le parc informatique, il faut appliquer le correctif sur les serveurs concernés, nécessitant une interruption de service.

Selon la société de sécurité Huntress, des signes d’exploitation de cette faille sont apparus le 23 octobre, la veille de la diffusion du second correctif. Des observations corroborées par d’autres entreprises, dont Sophos qui évoquait le 24 octobre comme début des hostilités. La faille peut donc être considérée comme 0-day puisqu’elle n’était pas corrigée au moment de son exploitation. Elle a également fait l’objet d’une fiche par l’ANSSI le 27 octobre. On ne sait pas à l’heure actuelle si la preuve de concept publiée peu de temps après le premier correctif a été utilisée pour exploiter la faille.

En outre, même si le correctif disponible colmate bien la brèche, l’agence américaine de cybersécurité (CISA) a publié une note à ce sujet le 29 octobre. Elle enjoint le personnel concerné à mettre à jour aussi rapidement que possible les serveurs concernés et à effectuer d’autres tâches, dont la surveillance active de processus potentiellement suspects. Il est également conseillé de surveiller également les processus PowerShell imbriqués utilisant des commandes codées en Base64.

Oxydation galopante

Le langage Rust est désormais presque partout. Dans une série d’entretiens, nous nous penchons sur son parcours, son évolution et surtout son utilisation aujourd’hui. Nous avons ainsi interrogé Sylvestre Ledru, directeur de l’ingénierie chez Mozilla et lead sur le projet de version Rust des Core Utils de Linux, intégrée récemment dans Ubuntu 25.10.

Le langage Rust a été créé par Mozilla. De projet personnel, il est devenu officiellement incubé par la fondation en 2009. Il a rapidement été vu comme pouvant déboucher sur d’importantes améliorations dans les logiciels, notamment Firefox. Nous étions revenus sur son histoire à l’occasion des 10 ans de la version 1.0 en mai dernier. Il est aujourd’hui géré par une fondation indépendante, dirigée actuellement par Rebecca Rumbul.

• Retour sur 10 ans de Rust, un langage devenu incontournable

Le langage Rust fait régulièrement parler de lui, en grande partie pour deux de ses qualités : il est « memory safe » tout en préservant les performances du C++. Nous avions expliqué ces qualités en 2019, quand Microsoft indiquait se pencher sur le langage pour sa programmation système. Un projet devenu réalité depuis, la version 24H2 de Windows 11 ayant été la première version à intégrer du Rust dans le noyau du système.

Dans une nouvelle série d’entretiens, nous nous penchons sur l’utilisation faite du Rust dans plusieurs entreprises. Nous ouvrons le bal avec Sylvestre Ledru, directeur de l’ingénierie chez Mozilla. En plus d’avoir été témoin de l’arrivée du langage chez l’éditeur et de ses premières utilisations dans Firefox, il est l’auteur de la version Rust de coreutils récemment intégrée dans Ubuntu 25.10.

>> Qu’est-ce qui vous a dirigé vers le Rust ?

Initialement, quand Mozilla a créé le Rust, c’est parce qu’on pensait qu’il y avait une meilleure façon de programmer. La vraie raison, c’est que nous avons estimé que nous ne savions pas – et que personne ne sait – écrire du code C ou C++ qui soit réellement sûr et parallèle. On passait un temps fou à corriger des bugs qui étaient liés au langage de programmation, et pas à nos erreurs de programmation logiques.

Je pense que tous les gens avec qui peuvent discuter aujourd’hui du Rust vous diront la même chose : 60 % des failles de sécurité sont causées par des problématiques de gestion de la mémoire, à la fois en C et en C++(les problèmes de pointeurs). Le parallélisme, c’est aussi quelque chose de très compliqué à faire correctement. Ce sont ces raisons qui ont poussé Mozilla à développer Rust.

Welcome to Texas yeah !

Dans son dernier rapport consacré aux perturbations d’Internet, Cloudflare confirme les tendances observées : de nombreuses et importantes coupures ont lieu un peu partout. Mais les causes peuvent être multiples, entre décisions politiques, facteurs techniques et jusqu’aux catastrophes naturelles.

Cloudflare est dans une position assez unique, puisque ses protections sont utilisées par 20 % du web. Un étalement suffisamment vaste pour que l’entreprise publie régulièrement des rapports sur ce qu’elle voit passer depuis sa tour d’observation. Chaque trimestre, elle publie ainsi un rapport sur les perturbations d’internet. Elles sont nombreuses et proviennent de causes très variées, parfois improbables, comme on peut le voir dans sa dernière publication.

Coupures politiques

Les perturbations entrainées par des décisions politiques sont souvent les plus visibles : Soudan, Syrie, Vénézuéla, Irak ou encore Afghanistan ont tous eu des coupures consécutives à des ordres du gouvernement.

Selon Cloudflare, les raisons peuvent largement varier. Au Soudan par exemple, les coupures enregistrées pourraient correspondre à une période d’examens scolaires, et donc à une mesure extrême pour empêcher les sujets de circuler. Cette manière de procéder correspond à des observations déjà faites par le passé, notamment en 2021 et 2022.

Même chose en Syrie, avec cette fois un message officiel du ministère syrien de l’Éducation sur Telegram, avertissant que des réseaux de triche ont été découverts. D’importantes perturbations ont donc été constatées sur les jours d’examen correspondant aux périodes des certificats d’études élémentaires et d’études secondaires, en juin et juillet principalement.

L’Irak a pris des décisions semblables. Le gouvernement du Kurdistan irakien a ainsi décrété une suspension complète d’internet tous les samedis, lundis et mercredis entre le 23 aout et le 8 septembre.

Il y a bien sûr la grosse coupure en Afghanistan survenue il y a quelques semaines et dont nous nous étions fait l’écho. « Cette mesure a été prise pour prévenir le vice », affirmait alors le responsable d’une province du Nord mi-septembre. Les répercussions avaient été multiples, empêchant notamment des milliers d’étudiants de suivre leurs cours en ligne. Le Monde avait rapporté les inquiétudes de l’ONU, qui évoquait des conséquences « extrêmement graves », avec notamment des répercussions sur le système bancaire et le trafic aérien. Lors du retour des connexions, « des scènes de liesse parmi la population, notamment dans la capitale afghane », avaient été observées.

Dégâts sur la fibre optique : entre travaux et soupçons de sabotage

L’autre grande cause dans les coupures, ce sont bien sûr les dégâts sur les grands câbles de fibre optique qui courent au fond des mers et des océans. Début juillet par exemple, en République dominicaine, la société Claro avertissait sur X de dégâts sur deux câbles de fibre optique coup sur coup, causés par des entreprises différentes (intervenant sur l’eau et l’électricité).

Situation similaire en Angola, avec des travaux routiers « qui ont affecté les interconnexions nationales par fibre optique ». L’opérateur Unitel Angola avait subi une baisse de 95 % de son trafic, témoin de l’ampleur de la coupure. Comme le signale Cloudflare toutefois, ces explications ont été contestées par des ONG, car la panne est survenue durant un mouvement de protestation contre la hausse des prix des carburants.

Citons les cas du Pakistan et des Émirats arabes unis que nous avions abordés dans nos colonnes. L’accident s’est produit dans les eaux du Yémen, ce qui faisait dire à l’expert en câbles sous-marins Roderick Beck qu’avec une profondeur de 100 mètres seulement, il s’agissait probablement d’une cause liée à un bateau, par la pêche ou par une ancre. La rupture avait causé des ralentissements au Pakistan et aux Émirats arabes unis. La piste de l’attaque volontaire n’était pas écartée.

Plus improbable en revanche, un câble de fibre optique a été rompu au Texas le 26 septembre à cause… d’une balle perdue. Les conséquences ont cependant été limitées, avec des problèmes circonscrits à la région de Dallas et n’ayant entrainé qu’une baisse du trafic de 25 % pendant environ deux heures.

Pannes de courant, catastrophes naturelles, incendies, cyberattaques…

Les pannes de courant peuvent avoir des conséquences importantes sur la disponibilité d’internet. En République tchèque par exemple, la chute d’un câble électrique le 4 juillet a entrainé une vaste panne de courant. Celle-ci a eu un effet très concret sur la disponibilité du réseau pendant approximativement 6 heures, entrainant une baisse de trafic de 32 % à l’échelle du pays.

Des pannes d’électricité expliquent des perturbations similaires dans des îles comme Saint-Vincent-et-les-Grenadines et Curaçao, ou encore à Gibraltar, où une entreprise a sectionné trois câbles à haute tension par erreur, avec à la clé une chute de 80 % du trafic dans le pays pendant environ 7 heures. Selon Cloudflare toutefois, c’est Cuba qui connait le plus de coupures de ce type, avec de très nombreuses pannes d’électricité. Le 10 septembre par exemple, une panne a entrainé une chute de 60 % du trafic pendant plus de 24 heures.

Côté catastrophes, la seule référencée par le rapport est l’impressionnant séisme ayant eu lieu dans la province du Kamchatka en Russie. Avec une magnitude de 8,8 sur l’échelle de Richter, ses puissantes secousses ont déclenché des alertes au tsunami dans plusieurs régions, notamment au Japon ou dans les États américains de l’Alaska et d’Hawaï. Si le trafic a chuté de 75 % dans la province juste après le tremblement de terre, Cloudflare indique toutefois qu’il s’est très vite rétabli. Notez que le rapport de Cloudflare était déjà bouclé au moment de l’ouragan Melissa et de son impact catastrophique en Jamaïque.

Le Yémen fait en outre partie des pays revenant le plus souvent dans le rapport. D’abord parce que le pays est le seul référencé sur les trois derniers mois à avoir subi une cyberattaque d’ampleur, suffisante pour entrainer une perturbation à l’échelle du pays, avec une baisse significative du trafic chez le fournisseur d’accès YemenNet. Ensuite car le Yémen, comme le Soudan, a été largement touché par la panne de Starlink en juillet. Pendant environ 2h30, le trafic a chuté de moitié dans ces pays, de même qu’au Zimbabwe ainsi qu’au Tchad, interrogeant sur la dépendance à un prestataire unique. Cloudflare signale d’ailleurs une autre panne de Starlink pendant une heure le 15 septembre. La société indique que Starlink avait initialement reconnu la panne, avant de supprimer son message sur X.

Diversifier pour résister

Les tendances observées dans les précédents rapports se renforcent, notamment sur les coupures décidées par les gouvernements, en pleine recrudescence selon Cloudflare. La pratique est controversée mais tend à se normaliser dans certaines régions. Si leur nombre augmente, leur portée varie considérablement d’un pays à l’autre cependant, de même que les causes, tout du moins officiellement.

De même, si les accidents et les catastrophes peuvent survenir n’importe où, la résilience affiche d’importantes disparités selon les régions. Sans surprise, celles ayant un nombre plus élevé de fournisseurs d’accès et de chemins alternatifs pour la connectivité sont moins touchées par les pannes et récupèrent souvent plus vite.

Dans l’ensemble, quelles que soient les causes des coupures, les conséquences sont presque toujours les mêmes, avec un impact économique et social, qu’il s’agisse d’étudiants ne pouvant plus suivre leurs cours, des coupures dans les services financiers voire bancaires, le commerce électronique ou encore la télémédecine. Selon Cloudflare, la seule solution est d’accentuer la résilience et la diversité des infrastructures pour minimiser les coupures.

Welcome to Texas yeah !

Dans son dernier rapport consacré aux perturbations d’Internet, Cloudflare confirme les tendances observées : de nombreuses et importantes coupures ont lieu un peu partout. Mais les causes peuvent être multiples, entre décisions politiques, facteurs techniques et jusqu’aux catastrophes naturelles.

Cloudflare est dans une position assez unique, puisque ses protections sont utilisées par 20 % du web. Un étalement suffisamment vaste pour que l’entreprise publie régulièrement des rapports sur ce qu’elle voit passer depuis sa tour d’observation. Chaque trimestre, elle publie ainsi un rapport sur les perturbations d’internet. Elles sont nombreuses et proviennent de causes très variées, parfois improbables, comme on peut le voir dans sa dernière publication.

Coupures politiques

Les perturbations entrainées par des décisions politiques sont souvent les plus visibles : Soudan, Syrie, Vénézuéla, Irak ou encore Afghanistan ont tous eu des coupures consécutives à des ordres du gouvernement.

Selon Cloudflare, les raisons peuvent largement varier. Au Soudan par exemple, les coupures enregistrées pourraient correspondre à une période d’examens scolaires, et donc à une mesure extrême pour empêcher les sujets de circuler. Cette manière de procéder correspond à des observations déjà faites par le passé, notamment en 2021 et 2022.

Même chose en Syrie, avec cette fois un message officiel du ministère syrien de l’Éducation sur Telegram, avertissant que des réseaux de triche ont été découverts. D’importantes perturbations ont donc été constatées sur les jours d’examen correspondant aux périodes des certificats d’études élémentaires et d’études secondaires, en juin et juillet principalement.

L’Irak a pris des décisions semblables. Le gouvernement du Kurdistan irakien a ainsi décrété une suspension complète d’internet tous les samedis, lundis et mercredis entre le 23 aout et le 8 septembre.

Il y a bien sûr la grosse coupure en Afghanistan survenue il y a quelques semaines et dont nous nous étions fait l’écho. « Cette mesure a été prise pour prévenir le vice », affirmait alors le responsable d’une province du Nord mi-septembre. Les répercussions avaient été multiples, empêchant notamment des milliers d’étudiants de suivre leurs cours en ligne. Le Monde avait rapporté les inquiétudes de l’ONU, qui évoquait des conséquences « extrêmement graves », avec notamment des répercussions sur le système bancaire et le trafic aérien. Lors du retour des connexions, « des scènes de liesse parmi la population, notamment dans la capitale afghane », avaient été observées.

Dégâts sur la fibre optique : entre travaux et soupçons de sabotage

L’autre grande cause dans les coupures, ce sont bien sûr les dégâts sur les grands câbles de fibre optique qui courent au fond des mers et des océans. Début juillet par exemple, en République dominicaine, la société Claro avertissait sur X de dégâts sur deux câbles de fibre optique coup sur coup, causés par des entreprises différentes (intervenant sur l’eau et l’électricité).

Situation similaire en Angola, avec des travaux routiers « qui ont affecté les interconnexions nationales par fibre optique ». L’opérateur Unitel Angola avait subi une baisse de 95 % de son trafic, témoin de l’ampleur de la coupure. Comme le signale Cloudflare toutefois, ces explications ont été contestées par des ONG, car la panne est survenue durant un mouvement de protestation contre la hausse des prix des carburants.

Citons les cas du Pakistan et des Émirats arabes unis que nous avions abordés dans nos colonnes. L’accident s’est produit dans les eaux du Yémen, ce qui faisait dire à l’expert en câbles sous-marins Roderick Beck qu’avec une profondeur de 100 mètres seulement, il s’agissait probablement d’une cause liée à un bateau, par la pêche ou par une ancre. La rupture avait causé des ralentissements au Pakistan et aux Émirats arabes unis. La piste de l’attaque volontaire n’était pas écartée.

Plus improbable en revanche, un câble de fibre optique a été rompu au Texas le 26 septembre à cause… d’une balle perdue. Les conséquences ont cependant été limitées, avec des problèmes circonscrits à la région de Dallas et n’ayant entrainé qu’une baisse du trafic de 25 % pendant environ deux heures.

Pannes de courant, catastrophes naturelles, incendies, cyberattaques…

Les pannes de courant peuvent avoir des conséquences importantes sur la disponibilité d’internet. En République tchèque par exemple, la chute d’un câble électrique le 4 juillet a entrainé une vaste panne de courant. Celle-ci a eu un effet très concret sur la disponibilité du réseau pendant approximativement 6 heures, entrainant une baisse de trafic de 32 % à l’échelle du pays.

Des pannes d’électricité expliquent des perturbations similaires dans des îles comme Saint-Vincent-et-les-Grenadines et Curaçao, ou encore à Gibraltar, où une entreprise a sectionné trois câbles à haute tension par erreur, avec à la clé une chute de 80 % du trafic dans le pays pendant environ 7 heures. Selon Cloudflare toutefois, c’est Cuba qui connait le plus de coupures de ce type, avec de très nombreuses pannes d’électricité. Le 10 septembre par exemple, une panne a entrainé une chute de 60 % du trafic pendant plus de 24 heures.

Côté catastrophes, la seule référencée par le rapport est l’impressionnant séisme ayant eu lieu dans la province du Kamchatka en Russie. Avec une magnitude de 8,8 sur l’échelle de Richter, ses puissantes secousses ont déclenché des alertes au tsunami dans plusieurs régions, notamment au Japon ou dans les États américains de l’Alaska et d’Hawaï. Si le trafic a chuté de 75 % dans la province juste après le tremblement de terre, Cloudflare indique toutefois qu’il s’est très vite rétabli. Notez que le rapport de Cloudflare était déjà bouclé au moment de l’ouragan Melissa et de son impact catastrophique en Jamaïque.

Le Yémen fait en outre partie des pays revenant le plus souvent dans le rapport. D’abord parce que le pays est le seul référencé sur les trois derniers mois à avoir subi une cyberattaque d’ampleur, suffisante pour entrainer une perturbation à l’échelle du pays, avec une baisse significative du trafic chez le fournisseur d’accès YemenNet. Ensuite car le Yémen, comme le Soudan, a été largement touché par la panne de Starlink en juillet. Pendant environ 2h30, le trafic a chuté de moitié dans ces pays, de même qu’au Zimbabwe ainsi qu’au Tchad, interrogeant sur la dépendance à un prestataire unique. Cloudflare signale d’ailleurs une autre panne de Starlink pendant une heure le 15 septembre. La société indique que Starlink avait initialement reconnu la panne, avant de supprimer son message sur X.

Diversifier pour résister

Les tendances observées dans les précédents rapports se renforcent, notamment sur les coupures décidées par les gouvernements, en pleine recrudescence selon Cloudflare. La pratique est controversée mais tend à se normaliser dans certaines régions. Si leur nombre augmente, leur portée varie considérablement d’un pays à l’autre cependant, de même que les causes, tout du moins officiellement.

De même, si les accidents et les catastrophes peuvent survenir n’importe où, la résilience affiche d’importantes disparités selon les régions. Sans surprise, celles ayant un nombre plus élevé de fournisseurs d’accès et de chemins alternatifs pour la connectivité sont moins touchées par les pannes et récupèrent souvent plus vite.

Dans l’ensemble, quelles que soient les causes des coupures, les conséquences sont presque toujours les mêmes, avec un impact économique et social, qu’il s’agisse d’étudiants ne pouvant plus suivre leurs cours, des coupures dans les services financiers voire bancaires, le commerce électronique ou encore la télémédecine. Selon Cloudflare, la seule solution est d’accentuer la résilience et la diversité des infrastructures pour minimiser les coupures.

Manchots vénères

Pour la première fois, les systèmes Linux ont dépassé les 3 % de parts de marché dans les enquêtes Steam. La plateforme a des arguments de plus en plus forts, comme illustré récemment dans un remplacement de Windows 11 par Linux sur Xbox Ally.

3,05 % pour Linux ? Le chiffre peut n’avoir l’air de rien, mais il reste une étape significative dans les changements d’habitude. Comme relevé notamment par Phoronix, il s’agit d’une progression d’un point en un an. Cependant, l’évolution mensuelle est encore plus intéressante, Linux ayant gagné 0,37 point entre septembre et octobre.

SteamOS sur plus d’un quart des configurations

Une accélération nette dont la fin de support de Windows 10 est probablement l’un des principaux facteurs. Sur la même période, Windows a perdu 0,56 point :- 1,04 point pour Windows 10 et + 0,53 point pour Windows 11. Curieusement, Windows 7 a gagné 0,02 point sur le dernier mois.

Et dans ces statistiques fournies par Valve, quelle est la distribution la plus utilisée ? Sans surprise, il s’agit de Steam OS, le système fourni avec la console portable Steam Deck, avec 27,18 % sur octobre. On note toutefois que cette part est en baisse de 0,86 point, soit une différence marquée. Si le Steam Deck a clairement bousculé le monde du jeu, la configuration d’un PC sous Linux pour jouer est également devenue simple.

Parmi les autres tirant leur épingle du jeu, on note la présence d’Arch Linux avec 10,32 % et de Linux Mint (6,65 % pour la récente version 22.2 et 2,56 % pour la 22.1). Comme on peut le voir dans le tableau fourni par Valve, de nombreuses distributions affichent une croissance dans leur nombre d’utilisateurs.

Cependant, les chiffres donnés par l’entreprise ne sont pas toujours pratiques à cause de séparations assez artificielles. Par exemple, il y a deux scores séparés pour Fedora 42 selon que l’on utilise la version Workstation avec GNOME ou la mouture KDE. On trouve aussi des parts de marché pour des « Freedesktop SDK », qui est un composant et ne renvoie (a priori) vers une distribution spécifique.

Linux plus fort que Windows ?

Le score de Linux illustre cependant un sujet grandissant autour du jeu vidéo sur cette plateforme, comme nous l’avons encore vu récemment. On pourrait également parler d’une hausse de l’émulation autour de cette thématique avec l’apparition cet été d’une distribution française centrée sur le jeu vidéo, GLF OS. Elle rejoindra peut-être dans l’avenir des distributions plus anciennes sur le même créneau, surtout Bazzite (4,24 %) et CachyOS (6,01 %).

• 90 % des jeux Windows compatibles Linux ? Oui, mais…

Cette orientation performances pour des distributions spécialisées a d’ailleurs été illustrée le 29 octobre par The Verge. Nos confrères se sont amusés à remplacer Windows 11 par Bazzite sur la console portable Xbox Ally. Résultats des courses : des performances en hausse de 15 à 30 % dans la plupart des tests, une différence plus que significative. La console s’est même payé le luxe d’avoir une meilleure autonomie avec Linux.

• Fin de Windows 10 : à Bordeaux, des associations du libre sentent la différence

Comme toujours dans ce genre de test, ces résultats ne peuvent pas être généralisés, les différences étant apparues sur un matériel spécifique. Ils invitent cependant les utilisateurs à réfléchir à leurs usages, le jeu vidéo étant considéré comme l’un des bastions de Windows. L’enthousiasme généré par la couche Proton de Valve (basée sur Wine) est bien là et continue de se traduire dans les chiffres. Pas de quoi encore tirer la sonnette d’alarme chez Microsoft, mais l’évolution est à suivre de près.

Manchots vénères

Pour la première fois, les systèmes Linux ont dépassé les 3 % de parts de marché dans les enquêtes Steam. La plateforme a des arguments de plus en plus forts, comme illustré récemment dans un remplacement de Windows 11 par Linux sur Xbox Ally.

3,05 % pour Linux ? Le chiffre peut n’avoir l’air de rien, mais il reste une étape significative dans les changements d’habitude. Comme relevé notamment par Phoronix, il s’agit d’une progression d’un point en un an. Cependant, l’évolution mensuelle est encore plus intéressante, Linux ayant gagné 0,37 point entre septembre et octobre.

SteamOS sur plus d’un quart des configurations

Une accélération nette dont la fin de support de Windows 10 est probablement l’un des principaux facteurs. Sur la même période, Windows a perdu 0,56 point :- 1,04 point pour Windows 10 et + 0,53 point pour Windows 11. Curieusement, Windows 7 a gagné 0,02 point sur le dernier mois.

Et dans ces statistiques fournies par Valve, quelle est la distribution la plus utilisée ? Sans surprise, il s’agit de Steam OS, le système fourni avec la console portable Steam Deck, avec 27,18 % sur octobre. On note toutefois que cette part est en baisse de 0,86 point, soit une différence marquée. Si le Steam Deck a clairement bousculé le monde du jeu, la configuration d’un PC sous Linux pour jouer est également devenue simple.

Parmi les autres tirant leur épingle du jeu, on note la présence d’Arch Linux avec 10,32 % et de Linux Mint (6,65 % pour la récente version 22.2 et 2,56 % pour la 22.1). Comme on peut le voir dans le tableau fourni par Valve, de nombreuses distributions affichent une croissance dans leur nombre d’utilisateurs.

Cependant, les chiffres donnés par l’entreprise ne sont pas toujours pratiques à cause de séparations assez artificielles. Par exemple, il y a deux scores séparés pour Fedora 42 selon que l’on utilise la version Workstation avec GNOME ou la mouture KDE. On trouve aussi des parts de marché pour des « Freedesktop SDK », qui est un composant et ne renvoie (a priori) vers une distribution spécifique.

Linux plus fort que Windows ?

Le score de Linux illustre cependant un sujet grandissant autour du jeu vidéo sur cette plateforme, comme nous l’avons encore vu récemment. On pourrait également parler d’une hausse de l’émulation autour de cette thématique avec l’apparition cet été d’une distribution française centrée sur le jeu vidéo, GLF OS. Elle rejoindra peut-être dans l’avenir des distributions plus anciennes sur le même créneau, surtout Bazzite (4,24 %) et CachyOS (6,01 %).

• 90 % des jeux Windows compatibles Linux ? Oui, mais…

Cette orientation performances pour des distributions spécialisées a d’ailleurs été illustrée le 29 octobre par The Verge. Nos confrères se sont amusés à remplacer Windows 11 par Bazzite sur la console portable Xbox Ally. Résultats des courses : des performances en hausse de 15 à 30 % dans la plupart des tests, une différence plus que significative. La console s’est même payé le luxe d’avoir une meilleure autonomie avec Linux.

• Fin de Windows 10 : à Bordeaux, des associations du libre sentent la différence

Comme toujours dans ce genre de test, ces résultats ne peuvent pas être généralisés, les différences étant apparues sur un matériel spécifique. Ils invitent cependant les utilisateurs à réfléchir à leurs usages, le jeu vidéo étant considéré comme l’un des bastions de Windows. L’enthousiasme généré par la couche Proton de Valve (basée sur Wine) est bien là et continue de se traduire dans les chiffres. Pas de quoi encore tirer la sonnette d’alarme chez Microsoft, mais l’évolution est à suivre de près.

Quand l’installation d’une mise à jour est terminée dans Windows, on peut choisir de l’appliquer et de redémarrer, ou de l’appliquer et d’éteindre la machine. Dans ce deuxième cas, le système n’en fait qu’à sa tête : il finalise l’installation et redémarre le PC.

C’est un vieux bug que tout le monde a sans doute expérimenté au moins une fois. Il a été introduit avec Windows 10 et Microsoft n’a jamais daigné corriger le problème, sans que l’on sache pourquoi, bien qu’il soit probablement lié à la pile de maintenance dans Windows.

Il se trouve pourtant que le bug a été rectifié dans la récente mise à jour optionnelle KB5067036. Dans la page dédiée, on peut lire tout en bas des notes de version pour Windows : « Amélioration : résolution d’un problème sous-jacent qui peut empêcher l’arrêt de votre PC après la mise à jour dans l’option Mettre à jour et arrêter ».

Malheureusement, ce problème n’est a priori réparé que dans la branche 25H2 de Windows 11. Windows 10, dont le support est maintenant terminé, le gardera. Son support est terminé, mais puisque les utilisateurs européens peuvent souscrire gratuitement à un an de correctifs de sécurité supplémentaires, le bug continuera à se manifester.

• Fin de Windows 10 : que faire ?

Quand l’installation d’une mise à jour est terminée dans Windows, on peut choisir de l’appliquer et de redémarrer, ou de l’appliquer et d’éteindre la machine. Dans ce deuxième cas, le système n’en fait qu’à sa tête : il finalise l’installation et redémarre le PC.

C’est un vieux bug que tout le monde a sans doute expérimenté au moins une fois. Il a été introduit avec Windows 10 et Microsoft n’a jamais daigné corriger le problème, sans que l’on sache pourquoi, bien qu’il soit probablement lié à la pile de maintenance dans Windows.

Il se trouve pourtant que le bug a été rectifié dans la récente mise à jour optionnelle KB5067036. Dans la page dédiée, on peut lire tout en bas des notes de version pour Windows : « Amélioration : résolution d’un problème sous-jacent qui peut empêcher l’arrêt de votre PC après la mise à jour dans l’option Mettre à jour et arrêter ».

Malheureusement, ce problème n’est a priori réparé que dans la branche 25H2 de Windows 11. Windows 10, dont le support est maintenant terminé, le gardera. Son support est terminé, mais puisque les utilisateurs européens peuvent souscrire gratuitement à un an de correctifs de sécurité supplémentaires, le bug continuera à se manifester.

• Fin de Windows 10 : que faire ?

Pas bien glorieux

La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.

Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.

Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.

Synthèse douloureuse

Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.

La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.

Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».

Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.

Loi SREN trop timide, isolement de la France sur EUCS

La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».

Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.

Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.

Nombreuses limitations dans les actions françaises

Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.

Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.

Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.

En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.

La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».

Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.

Vision stratégique et recommandations

Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.

Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ». 

La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.

Pas bien glorieux

La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.

Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.

Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.

Synthèse douloureuse

Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.

La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.

Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».

Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.

Loi SREN trop timide, isolement de la France sur EUCS

La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».

Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.

Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.

Nombreuses limitations dans les actions françaises

Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.

Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.

Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.

En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.

La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».

Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.

Vision stratégique et recommandations

Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.

Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ». 

La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.

La suite Affinity s’est fait un nom au cours des dernières années comme une alternative crédible aux outils d’Adobe. Le positionnement tarifaire était également très différent, avec des applications coutant chacune 60 euros environ, en achat définitif. Son éditeur, Canva, vient de lancer une nouvelle version, avec plusieurs changements majeurs à bord.

D’abord, la suite est désormais gratuite, mais réclame un compte Canva pour être téléchargée. Les fonctions dopées à l’IA comme la génération d’images, le nettoyage de photos ou encore la copie instantanée sont en revanche payantes, réservées aux personnes disposant d’un compte Canva premium, via Canva AI Studio (à partir de 110 euros par an). La formule comprend également 100 Go de stockage dans le cloud de l’entreprise.

Ensuite, les trois applications ont été fusionnées en une seule, appelée Affinity Professional et disponible pour Windows, macOS et prochainement sur iPad. La même application sert donc à la fois pour la retouche photo, l’illustration vectorielle et la mise en page. Le tout fonctionne sur un nouveau type de fichier décrit comme « universel » pour gérer l’ensemble des fonctions des trois applications réunies. Les anciennes, bien que retirées du site de Canva, continueront de fonctionner jusqu’à ce que l’éditeur en décide autrement.

« Que vous éditiez un portrait, construisiez une identité de marque ou conceviez une publication, le tout nouvel Affinity vous permet de garder le rythme, en combinant puissance, précision et vitesse dans un seul environnement de qualité studio », vante Canva dans son annonce. L’entreprise met également en avant la personnalisation de l’interface, les performances et la familiarité des contrôles pour les personnes qui se servaient des anciennes applications.

« Affinity est maintenant entièrement gratuit, pour toujours. L’expérience Affinity complète, de qualité professionnelle, accessible à tous », promet l’éditeur, qui assure aussi que les documents créés par la suite ne seront pas utilisés pour entrainer l’IA.

La suite Affinity s’est fait un nom au cours des dernières années comme une alternative crédible aux outils d’Adobe. Le positionnement tarifaire était également très différent, avec des applications coutant chacune 60 euros environ, en achat définitif. Son éditeur, Canva, vient de lancer une nouvelle version, avec plusieurs changements majeurs à bord.

D’abord, la suite est désormais gratuite, mais réclame un compte Canva pour être téléchargée. Les fonctions dopées à l’IA comme la génération d’images, le nettoyage de photos ou encore la copie instantanée sont en revanche payantes, réservées aux personnes disposant d’un compte Canva premium, via Canva AI Studio (à partir de 110 euros par an). La formule comprend également 100 Go de stockage dans le cloud de l’entreprise.

Ensuite, les trois applications ont été fusionnées en une seule, appelée Affinity Professional et disponible pour Windows, macOS et prochainement sur iPad. La même application sert donc à la fois pour la retouche photo, l’illustration vectorielle et la mise en page. Le tout fonctionne sur un nouveau type de fichier décrit comme « universel » pour gérer l’ensemble des fonctions des trois applications réunies. Les anciennes, bien que retirées du site de Canva, continueront de fonctionner jusqu’à ce que l’éditeur en décide autrement.

« Que vous éditiez un portrait, construisiez une identité de marque ou conceviez une publication, le tout nouvel Affinity vous permet de garder le rythme, en combinant puissance, précision et vitesse dans un seul environnement de qualité studio », vante Canva dans son annonce. L’entreprise met également en avant la personnalisation de l’interface, les performances et la familiarité des contrôles pour les personnes qui se servaient des anciennes applications.

« Affinity est maintenant entièrement gratuit, pour toujours. L’expérience Affinity complète, de qualité professionnelle, accessible à tous », promet l’éditeur, qui assure aussi que les documents créés par la suite ne seront pas utilisés pour entrainer l’IA.

Fart of the deal

Après plusieurs sanctions imposées par les États-Unis, la Cour pénale internationale s’apprêterait à signer un contrat avec la société allemande Zendis en vue d’un déploiement de la solution openDesk, pour remplacer la suite Office de Microsoft.

L’information a été révélée par le média allemand Handelsblatt. Osvaldo Zavala Giler, greffier de la CPI et responsable de l’informatique, a confirmé à demi-mot l’information : « Compte tenu des circonstances, nous devons réduire les dépendances et renforcer l’autonomie technologique de la Cour. »

Portée symbolique

Les travaux envisagés ne marqueraient pas par leur ampleur : avec 1 800 postes, la Cour pénale internationale ne détient pas une vaste infrastructure. En revanche, comme relevé par Handelsblatt, la portée symbolique du changement n’échappera à personne, les questions sur la souveraineté s’intensifiant, particulièrement en Europe.

• En Autriche, un ministère se débarrasse en grande partie de Microsoft pour Nextcloud

Les « circonstances » évoquées par Osvaldo Zavala Giler sont en effet les fortes tensions avec les États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Le président américain avait ainsi annoncé des sanctions en février dernier contre la CPI pour avoir lancé des enquêtes contre Israël pour crimes de guerre.

En mai, on apprenait que le compte e-mail de Karim Khan, procureur de la CPI, avait été supprimé par Microsoft. Interrogée devant le Sénat américain le mois suivant, l’entreprise avait nié.

En aout, c’était au tour de Nicolas Guillou, juge français à la Cour pénale internationale, et de plusieurs autres magistrats de faire les frais de ces sanctions, avec une coupure de tous les services numériques par Microsoft. Le juge avait indiqué que ce type de sanction touchait habituellement « des membres d’Al Qaïda, de Daech, de groupes mafieux, des dirigeants de régimes dictatoriaux ».

• Sanctions US : un juge de la CPI n’a plus accès aux services numériques américains

Nécessaire mais pas suffisant

Sur la migration vers openDesk, Microsoft s’est montrée laconique : « Nous apprécions notre relation client avec la Cour pénale internationale et pensons que rien n’affectera notre capacité à poursuivre notre collaboration à l’avenir ». Zendis, de son côté, n’a pas répondu aux sollicitations d’Handelsblatt.

Mais même si cette transition se fait, il faudra au minimum plusieurs mois pour aboutir à un changement effectif. De plus, comme souligné par Handelsblatt, le remplacement d’Office n’est qu’une partie du problème. Si les sanctions des États-Unis s’intensifient, toutes les entreprises américaines pourraient se voir interdire la moindre relation commerciale avec la CPI, tout comme les forces de l’ordre pourraient cesser tout envoi d’informations. Le fonctionnement de la Cour en serait largement affecté.

Fart of the deal

Après plusieurs sanctions imposées par les États-Unis, la Cour pénale internationale s’apprêterait à signer un contrat avec la société allemande Zendis en vue d’un déploiement de la solution openDesk, pour remplacer la suite Office de Microsoft.

L’information a été révélée par le média allemand Handelsblatt. Osvaldo Zavala Giler, greffier de la CPI et responsable de l’informatique, a confirmé à demi-mot l’information : « Compte tenu des circonstances, nous devons réduire les dépendances et renforcer l’autonomie technologique de la Cour. »

Portée symbolique

Les travaux envisagés ne marqueraient pas par leur ampleur : avec 1 800 postes, la Cour pénale internationale ne détient pas une vaste infrastructure. En revanche, comme relevé par Handelsblatt, la portée symbolique du changement n’échappera à personne, les questions sur la souveraineté s’intensifiant, particulièrement en Europe.

• En Autriche, un ministère se débarrasse en grande partie de Microsoft pour Nextcloud

Les « circonstances » évoquées par Osvaldo Zavala Giler sont en effet les fortes tensions avec les États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Le président américain avait ainsi annoncé des sanctions en février dernier contre la CPI pour avoir lancé des enquêtes contre Israël pour crimes de guerre.

En mai, on apprenait que le compte e-mail de Karim Khan, procureur de la CPI, avait été supprimé par Microsoft. Interrogée devant le Sénat américain le mois suivant, l’entreprise avait nié.

En aout, c’était au tour de Nicolas Guillou, juge français à la Cour pénale internationale, et de plusieurs autres magistrats de faire les frais de ces sanctions, avec une coupure de tous les services numériques par Microsoft. Le juge avait indiqué que ce type de sanction touchait habituellement « des membres d’Al Qaïda, de Daech, de groupes mafieux, des dirigeants de régimes dictatoriaux ».

• Sanctions US : un juge de la CPI n’a plus accès aux services numériques américains

Nécessaire mais pas suffisant

Sur la migration vers openDesk, Microsoft s’est montrée laconique : « Nous apprécions notre relation client avec la Cour pénale internationale et pensons que rien n’affectera notre capacité à poursuivre notre collaboration à l’avenir ». Zendis, de son côté, n’a pas répondu aux sollicitations d’Handelsblatt.

Mais même si cette transition se fait, il faudra au minimum plusieurs mois pour aboutir à un changement effectif. De plus, comme souligné par Handelsblatt, le remplacement d’Office n’est qu’une partie du problème. Si les sanctions des États-Unis s’intensifient, toutes les entreprises américaines pourraient se voir interdire la moindre relation commerciale avec la CPI, tout comme les forces de l’ordre pourraient cesser tout envoi d’informations. Le fonctionnement de la Cour en serait largement affecté.

L’application de messagerie propose de chiffrer les sauvegardes de bout en bout depuis 2021. Dans les paramètres, il faut se rendre dans « Discussions » puis dans « Sauvegarde des discussions ». De là, on peut cliquer sur « Sauvegarde chiffrée de bout en bout » et suivre la procédure.

WhatsApp laisse deux moyens d’activer ce type de sauvegarde : la création d’un mot de passe ou l’utilisation d’une clé de chiffrement de 64 caractères. Mais si l’on oublie le premier et/ou que l’on oublie la seconde, les données sont définitivement perdues. Rien de neuf dans ce domaine, c’est une conséquence inévitable du chiffrement de bout en bout. Le danger de perte en cas d’oubli est réel et se retrouve dans des produits courants comme les gestionnaires de mots de passe, dont l’accès est toujours protégé par un mot de passe maître.

Dans un billet, WhatsApp annonce cependant qu’elle va déployer dans les semaines et mois à venir une troisième voie : l’utilisation de la clé d’accès. Il faudra simplement que celle-ci ait déjà été définie, pour protéger par exemple la connexion lors de l’accès web. Dans ce cas, la même clé pourra être utilisée pour chiffrer les sauvegardes de bout en bout.

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

Comme nous l’avons indiqué à plusieurs reprises, les clés d’accès ne manquent pas d’avantages. Elles peuvent notamment être sauvegardées dans les gestionnaires de mots de passe et être réutilisées, toujours avec l’appui d’une preuve biométrique ou du code de déverrouillage de l’appareil.

« Vous n’aurez plus besoin d’avoir à retenir un mot de passe ou une clé de chiffrement à 64 chiffres. Les clés d’accès vous permettront de chiffrer les sauvegardes de vos discussions à l’aide de votre empreinte digitale, de la reconnaissance faciale ou du code de verrouillage d’écran. Appliquez le même niveau de sécurité à vos sauvegardes de discussions qu’à vos discussions et appels sur WhatsApp en les protégeant désormais d’un simple geste ou regard. Vos sauvegardes resteront ainsi sécurisées, accessibles et privées », indique ainsi WhatsApp.

L’application de messagerie propose de chiffrer les sauvegardes de bout en bout depuis 2021. Dans les paramètres, il faut se rendre dans « Discussions » puis dans « Sauvegarde des discussions ». De là, on peut cliquer sur « Sauvegarde chiffrée de bout en bout » et suivre la procédure.

WhatsApp laisse deux moyens d’activer ce type de sauvegarde : la création d’un mot de passe ou l’utilisation d’une clé de chiffrement de 64 caractères. Mais si l’on oublie le premier et/ou que l’on oublie la seconde, les données sont définitivement perdues. Rien de neuf dans ce domaine, c’est une conséquence inévitable du chiffrement de bout en bout. Le danger de perte en cas d’oubli est réel et se retrouve dans des produits courants comme les gestionnaires de mots de passe, dont l’accès est toujours protégé par un mot de passe maître.

Dans un billet, WhatsApp annonce cependant qu’elle va déployer dans les semaines et mois à venir une troisième voie : l’utilisation de la clé d’accès. Il faudra simplement que celle-ci ait déjà été définie, pour protéger par exemple la connexion lors de l’accès web. Dans ce cas, la même clé pourra être utilisée pour chiffrer les sauvegardes de bout en bout.

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

Comme nous l’avons indiqué à plusieurs reprises, les clés d’accès ne manquent pas d’avantages. Elles peuvent notamment être sauvegardées dans les gestionnaires de mots de passe et être réutilisées, toujours avec l’appui d’une preuve biométrique ou du code de déverrouillage de l’appareil.

« Vous n’aurez plus besoin d’avoir à retenir un mot de passe ou une clé de chiffrement à 64 chiffres. Les clés d’accès vous permettront de chiffrer les sauvegardes de vos discussions à l’aide de votre empreinte digitale, de la reconnaissance faciale ou du code de verrouillage d’écran. Appliquez le même niveau de sécurité à vos sauvegardes de discussions qu’à vos discussions et appels sur WhatsApp en les protégeant désormais d’un simple geste ou regard. Vos sauvegardes resteront ainsi sécurisées, accessibles et privées », indique ainsi WhatsApp.

Les mises à jour proposées dans Windows Update ont souvent des noms ésotériques pour les profanes. Microsoft a donc décidé de donner un coup de balai, avec un changement bienvenu et qui s’est fait attendre.

Par exemple, la dernière mise à jour mensuelle de sécurité pour Windows 11 se nomme :

• 2025 - 10 Mise à jour cumulative pour Windows 11, version 25H2 pour les systèmes x64 (KB5066835) (26200.6901)

Cette nomenclature communique de nombreuses informations : le mois et l’année concernés, le type de mise à jour, le système et sa version majeure, l’architecture visée, la référence de la mise à jour (Knowledge Base) ainsi que le numéro de build de Windows. Des informations peut-être utiles, mais qui donnent un nom particulièrement chargé et peu lisible, qui n’aide pas à comprendre de quoi il s’agit.

Avec la nouvelle convention de nommage, la même mise à jour devient :

• Mise à jour de sécurité (KB5066835) (26200.6901)

Soit uniquement le type, la référence et le numéro de build. Cette simplification est étendue à tous les types de mises à jour : sécurité, qualité, .NET, pilotes, composants IA et applications prises en charge, comme Visual Studio. « Les titres améliorés s’alignent sur les attentes de l’interface utilisateur moderne et les normes d’accessibilité, ce qui favorise la sécurité et la productivité grâce à une ambiguïté réduite », indique Microsoft dans son billet.

L’éditeur ne précise pas quand ce changement sera mis en place, mais il devrait être bientôt visible aussi bien dans l’interface principale de Windows Update que dans l’historique. En revanche, les noms des mises à jour dans le catalogue général Microsoft Update ne changent pas.

Les mises à jour proposées dans Windows Update ont souvent des noms ésotériques pour les profanes. Microsoft a donc décidé de donner un coup de balai, avec un changement bienvenu et qui s’est fait attendre.

Par exemple, la dernière mise à jour mensuelle de sécurité pour Windows 11 se nomme :

• 2025 - 10 Mise à jour cumulative pour Windows 11, version 25H2 pour les systèmes x64 (KB5066835) (26200.6901)

Cette nomenclature communique de nombreuses informations : le mois et l’année concernés, le type de mise à jour, le système et sa version majeure, l’architecture visée, la référence de la mise à jour (Knowledge Base) ainsi que le numéro de build de Windows. Des informations peut-être utiles, mais qui donnent un nom particulièrement chargé et peu lisible, qui n’aide pas à comprendre de quoi il s’agit.

Avec la nouvelle convention de nommage, la même mise à jour devient :

• Mise à jour de sécurité (KB5066835) (26200.6901)

Soit uniquement le type, la référence et le numéro de build. Cette simplification est étendue à tous les types de mises à jour : sécurité, qualité, .NET, pilotes, composants IA et applications prises en charge, comme Visual Studio. « Les titres améliorés s’alignent sur les attentes de l’interface utilisateur moderne et les normes d’accessibilité, ce qui favorise la sécurité et la productivité grâce à une ambiguïté réduite », indique Microsoft dans son billet.

L’éditeur ne précise pas quand ce changement sera mis en place, mais il devrait être bientôt visible aussi bien dans l’interface principale de Windows Update que dans l’historique. En revanche, les noms des mises à jour dans le catalogue général Microsoft Update ne changent pas.

Avec ses homologues allemands, belges et danois, Que-Choisir s’est lancé dans des achats de chargeurs et autres produits sur Shein et Temu pour en analyser le respect des normes européennes. Et le moins que l’on puisse dire, c’est qu’ils sont loin du compte.

Sur les 54 chargeurs achetés (27 sur chaque plateforme), seuls 2 (un de chaque plateforme) respectaient les normes européennes. 21 ne possédaient pas certains marquages obligatoires comme le logo CE ou l’unité de tension. Surtout, 51 n’ont pas résisté aux contraintes mécaniques imposées, avec des résultats variés : broches tordues ou tournées trop facilement, boitier cassé après une chute…

Pour 4 des chargeurs, « les circuits à haute et basse tension étaient trop proches l’un de l’autre, risquant de provoquer des arcs électriques ». La température s’est envolée sur 14 chargeurs, au point de dépasser les températures maximales autorisées de 77 et 87° C. Un modèle a même atteint 102° C.

« Nos tests ont mis en évidence le fait que ces produits d’entrée de gamme étaient souvent mal conçus et fabriqués avec des matériaux de mauvaise qualité, et que beaucoup d’entre eux faisaient courir de réels risques de brûlure, de choc électrique et d’incendie à leurs utilisateurs »

Les tests réalisés sur des jouets pour enfants et des bijoux renvoient vers le même type de résultats. Pour les premiers, Que-Choisir note, en fonction des modèles, une qualité de fabrication « catastrophique », un niveau de bruit bien trop puissant, des substances dangereuses, une ouverture trop facile du compartiment des piles, etc. Côté bijoux, la plupart de ceux achetés étaient conformes. Mais dans le cas contraire, ils représentaient de vrais dangers pour la santé. « L’un des bijoux achetés sur Shein était même composé à 87 % de cadmium, soit 8 700 fois la norme autorisée de 100 mg/kg », indique Que-Choisir.

Le magazine ajoute avoir contacté les deux plateformes pour expliquer ses trouvailles. Tous les produits ont rapidement été retirés et Shein a lancé une campagne de rappel auprès de la clientèle. « Malgré tout, des produits similaires sont toujours en ligne et rien ne dit que ceux qui ont été retirés ne réapparaîtront pas chez d’autres vendeurs », conclut Que-Choisir.

Rappelons que les deux plateformes sont dans le viseur de l’Europe et de plusieurs États membres. L’Union européenne a officiellement ouvert une enquête contre Temu en octobre 2024 et contre Shein en début d’année, tandis que la France tirait en avril un triste bilan des produits non-conformes qui inondent son marché.