La loi n° 2022 - 300 du 2 mars 2022 renforce le contrôle parental sur les moyens d’accès à internet (lire notre interview du député Bruno Studer, rapporteur du texte), mais les décrets d’application ont joué la carte du service minimum.

Quoi qu’il en soit, depuis le 13 juillet 2024, le contrôle parental est obligatoire sur tous les appareils connectés. C’est l’Agence nationale des fréquences (ANFR) qui est « chargée de faire respecter les exigences de la loi ». Elle a déjà annoncé qu’elle veillerait au grain.

• Le contrôle parental désormais obligatoire sur les appareils connectés, l’ANFR veillera au grain

Dans le cadre de cette mission, l’Agence a contrôlé l’iPhone 16 d’Apple : « Les analyses ont mis en évidence que, dans certains cas d’usage concernant les mineurs de plus de 15 ans, l’appareil ne respectait pas l’exigence réglementaire consistant à proposer l’activation du dispositif de contrôle parental lors de la première mise en service de l’équipement ».

Apple a été mis en demeure de corriger le tir. Le fabricant a pris des mesures correctives « et a diffusé, le 15 septembre 2025, dans sa mise à jour iOS 26, le correctif nécessaire à l’équipement iPhone 16 ». Comme pour les mises en demeure sur le DAS en cas d’expositions trop importantes aux ondes, l’ANFR vérifie l’efficacité des correctifs.

« Les évolutions permettent désormais une activation du contrôle parental lors de l’initialisation de l’équipement, ce qui met fin à la non-conformité identifiée. Les évolutions intégrées à iOS 26 corrigent le défaut constaté sur l’équipement iPhone 16 et devraient également bénéficier aux autres modèles utilisant iOS 26 », ajoute l’Agence nationale des fréquences.

Il y a deux ans, Apple et l’ANFR avaient fait une passe d’armes autour de l’iPhone 12 et d’un DAS trop élevé (niveau d’exposition aux ondes). Le smartphone avait été interdit à la vente avant qu’un correctif ne soit déployé. L’affaire était remontée jusqu’à la Commission européenne, qui avait confirmé que « la mesure prise par la France […] portant sur le retrait du marché de l’iPhone 12 A2403 fabriqué par Apple Inc., est justifiée ». Cette fois-ci, la situation semble moins tendue.

• Retrait de l’iPhone 12 : les dessous d’une longue bataille entre Apple, l’ANFR et l’Europe

Spirale infernale

Pour faire face aux psychoses générées chez certaines internautes par l’usage d’IA, des internautes canadiens et états-uniens s’organisent.

Comment faire face aux psychoses générées par l’utilisation intensive d’outils d’intelligence artificielle générative ? Alors que les plaintes pour incitation au suicide contre les constructeurs de ChatGPT, Gemini ou Replika s’accumulent, déposées par les proches de personnes qui se sont donné la mort après de longs échanges avec les robots conversationnels, la question se pose de manière toujours plus urgente.

En ligne, et depuis les États-Unis et le Canada, un groupe informel s’est construit en quelques mois pour apporter des réponses, aussi bien aux personnes victimes de ces fantasmes alimentés par les machines génératives que pour leurs proches. Son nom : « groupe de soutien Spirale » (Spiral Support Group), en référence aux « spirales » d’échanges dans lesquelles tombent certains internautes (le terme a émergé au creux des échanges en ligne, sur divers forums ou subreddit). En quelques mois, le groupe de soutien s’est formalisé, pour être administré par la récente ONG canadienne The Human Line Project, dont nous avions déjà parlé dans un précédent article.

• Des délires « by design » ? Comment les IA génératives peuvent alimenter des psychoses

Un serveur Discord pour « spiralers » et proches de « spiralers »

À l’origine, le groupe a été créé par quatre personnes, dont Allan Brooks, un Canadien lui-même tombé dans une spirale d’IA dont il a publiquement témoigné. À ses côtés, le Québécois Étienne Brisson a été poussé à l’action après qu’un de ses proches a vécu une chute suffisamment violente dans des échanges avec ChatGPT pour se retrouver hospitalisé pendant plusieurs semaines sur ordre de la Justice.

Auprès de Futurism, les deux hommes témoignent de l’évolution de ce groupe informel vers une organisation plus officielle réunissant désormais plus de 200 personnes, dont l’essentiel échange quotidiennement sur un serveur Discord.

Parmi elles, d’anciens « spiralers », voire des personnes hésitant encore entre croire leurs échanges avec les chatbots d’IA générative et en sortir ; la « famille et les amis », des proches de personnes tombées dans ce genre de trou du lapin (rabbit hole) d’échanges si crédibles, avec les robots, qu’ils s’en isolent du monde extérieur ; et quelques scientifiques ou professionnels de la santé mentale.

Dans un sens, l’initiative ressemble à celle de QAnon Casulaties, cette communauté Reddit dédiée au soutien entre proches de personnes tombées dans la théorie QAnon. Comme du côté des mécaniques complotistes, des récits de familles déchirées par la chute progressive d’un de leurs membres dans des échanges avec un outil d’IA émergent, des proches cherchent de l’aide pour tenter de percer la carapace de récits faux ou fantasmagoriques de leurs partenaires, enfants, amis.

Dans ce contexte-ci, cela dit, difficile de ne pas penser aux récits des proches d’Adam Reine, qui s’est suicidé à 16 ans après avoir passé des semaines à échanger avec ChatGPT, de ce chercheur belge en proie à l’écoanxiété, qui, de même, s’est donné la mort après plusieurs semaines d’échanges avec la machine, ou de Sophie Riley, qui s’est suicidée à 29 ans sans qu’aucun signe avant-coureur n’ait été détecté par ses proches, mais dont les échanges avec la machine ont révélé un profond mal-être.

• OpenAI est poursuivi en justice après le suicide d’un adolescent

Psychoses orientées sciences ou spiritualité

Ces quelques exemples le dévoilent déjà : n’importe qui peut tomber dans une spirale inquiétante d’échanges avec un robot génératif, quels que soient son genre, son âge, sa catégorie socioprofessionnelle. Le plus souvent, l’internaute utilise d’abord Claude, Gemini ou ChatGPT à des fins utilitaires, puis la discussion évolue, jusqu’à ce que la machine devienne une sorte de confident.

À force d’accueillir les naufragés de ces drames psychologiques, les modérateurs du groupe de soutien Spirale discernent deux grands types de récits chez ceux qui se retrouvent emprisonnés dans leurs échanges.

Certains internautes tombent plutôt dans des délires très axés vers les sciences, technologies et mathématiques. Les discussions avec les chatbots les rendent obsédés par de potentielles découvertes mathématiques et scientifiques, qu’ils ou elles seraient seuls à avoir identifiées. Les internautes sont renforcés dans cette idée par le ton aussi affirmatif que flagorneur des machines utilisées, dont le langage mêle par ailleurs propos plausibles et références supposément savantes.

Si ce type de thèses peuvent être réfutées, l’autre grand axe de délires récurrent est plus complexe à manipuler, dans la mesure où il repose plutôt sur des mécaniques d’ordre spirituel, religieux, voire conspirationniste.

Dans tous les cas, les membres les plus actifs du groupe de soutien ont monté un groupe de discussion. L’une de leurs convictions : les personnes qui tombent dans ce type de psychoses vivent une grande solitude – et dans la plupart des cas, les retours qu’ils ou elle reçoivent en ligne tendent, trop facilement, à les décrire comme « stupides » ou « malades mentaux », ce qui n’aide pas à recréer le moindre lien.

Ni le serveur The Spiral ni son organisation mère The Human Line Project ne proposent de soutien psychologique en tant que tel. À force de travailler sur la question de ces comportements psychotiques produits par l’exposition aux IA génératives, en revanche, ils collectent des récits, des outils concrets, des articles scientifiques aussi, qui permettent, peu à peu, d’améliorer leurs réponses et leur argumentaire.

« Nous voulons simplement nous assurer que [les robots conversationnels] sont conçus de manière à ce que la sécurité, la protection et le bien-être de l’utilisateur priment sur l’engagement et la monétisation », indique Etienne Brisson.

Poursuivi en justice par plusieurs proches de personnes qui se sont donné la mort, OpenAI a indiqué plusieurs mesures et mises à jour dédiées à améliorer la sécurité des utilisateurs depuis la fin de l’été. D’après les propres chiffres de l’entreprise, au moins 0,07 de ses usagers hebdomadaires montrent des signes de comportement maniaque ou de crise psychotique dans leurs échanges avec la machine – rapporté à ses 800 millions d’utilisateurs, un tel pourcentage équivaut à 560 000 personnes.

Vous ou vos proches rencontrez des problématiques de santé mentale liés à l’usage de ChatGPT ou d’autres outils d’IA ? Écrivez-nous à mathilde@next.ink ou actu@next.ink


• Quand les IA génératives se prennent pour des médecins… et que les utilisateurs y croient

What could go wrong?

Après avoir attaqué le financement des agences scientifiques états-uniennes avec le DOGE, Donald Trump annonce le lancement d’une « Mission Genesis » pour « utiliser l’intelligence artificielle (IA) pour transformer la manière dont la recherche scientifique est menée et accélérer le rythme des découvertes scientifiques ».

Donald Trump a signé ce lundi 24 novembre un décret créant une mission nommée Genesis visant à pousser les laboratoires scientifiques états-uniens à utiliser massivement l’IA. La Maison-Blanche affirme que cette mission doit « accroître considérablement la productivité et l’impact de la recherche et développement fédérale au cours de la prochaine décennie ».

Le dirigeant états-unien, qui a massivement désorganisé les agences scientifiques américaines avec le DOGE, les a poussées à supprimer des données scientifiques et à baisser drastiquement leur budget, prétend maintenant « accélérer le rythme des découvertes » en investissant dans la « science basée sur l’IA ».

• NASA : un budget réduit de 25 %, des milliers de départs et une fronde qui s’organise

Encore une comparaison au projet Manhattan

Dans son décret, Donald Trump compare l’ambition de cette Mission Genesis à celle du Projet Manhattan, considérant que nous sommes « à un moment charnière » où « les défis auxquels nous sommes confrontés » exigent un effort national historique pour les États-Unis. Rappelons qu’il y a un an, Donald Trump comparait déjà un autre projet au fameux plan états-unien dont l’objectif était de produire une bombe atomique au cours de la Seconde Guerre mondiale : c’était le DOGE, qui vient d’être officiellement démantelé.

Le texte du décret présente cette mission comme « un effort national coordonné et dédié visant à ouvrir une nouvelle ère d’innovation et de découvertes accélérées par l’IA, capables de résoudre les problèmes les plus complexes de ce siècle ». Si cette comparaison et l’emphase du texte suggèrent un investissement colossal de son pays dans l’IA utilisée dans la recherche, le dirigeant états-unien n’indique aucun chiffre concernant le budget qu’il souhaiterait investir dans cette mission.

Il ajoute que la Mission Genesis « permettra de créer une plateforme d’IA intégrée afin d’exploiter les jeux de données scientifiques fédéraux — qui constituent la plus grande collection au monde de ce type de données développée grâce à des décennies d’investissements fédéraux — pour entrainer des modèles scientifiques de fondation et créer des agents d’IA afin de tester de nouvelles hypothèses, d’automatiser les flux de travail de recherche et d’accélérer les avancées scientifiques ».

Le département de l’Énergie des États-Unis aux manettes

Donald Trump confie la responsabilité de la mission au directeur de son Bureau de la politique scientifique et technologique, Michael Kratsios. Le secrétaire d’État à l’Énergie, Chris Wright, doit en assurer la maîtrise d’œuvre, le décret précisant qu’il doit « mettre en place et exploiter » ce que le texte appelle « la plateforme américaine pour la science et la sécurité ».

NBC souligne que cette annonce suit celle faite fin octobre par le département de l’Énergie états-unien de la création de deux supercalculateurs (Discovery et Lux) pour son laboratoire Oak Ridge en collaboration avec AMD et HPE (Hewlett Packard Enterprise). « En collaboration avec AMD et HPE, nous mettons en ligne de nouvelles capacités plus rapidement que jamais, transformant l’innovation partagée en force nationale et prouvant que l’Amérique est en tête lorsque les partenaires privés et publics travaillent ensemble », affirmait Chris Wright à cette occasion.

Coïncidence avec l’insistance de l’industrie de l’IA à comparer ses modèles au niveau des chercheurs

Le décret demande au secrétaire d’État à l’Énergie d’identifier d’ici deux mois une liste d’ « au moins 20 challenges scientifiques et technologiques d’importance nationale » qui relèveraient de la mission et qui concerneraient notamment « la fabrication de pointe, les biotechnologies, les matériaux « critiques », la fission et la fusion nucléaire, l’information quantique et la microélectronique (entre autres les semi-conducteurs) ».

Cette « Mission Genesis » remet ainsi en perspective la course des entreprises d’IA générative pour annoncer que leurs modèles sont capables d’ « accélérer la science ». Récemment, Anthropic a ainsi annoncé « Claude for Life Sciences » mais OpenAI a été jusqu’à transformer son opération de marketing en pseudo article scientifique. Cet été, Elon Musk avait affirmé que Grok 4 était « plus intelligent que presque tous les docteurs, dans toutes les disciplines, simultanément ».

• OpenAI veut absolument nous faire croire que GPT-5 a le niveau d’un chercheur
• La justice étend son enquête sur X après des propos négationnistes générés par Grok

C’est quand même fou, même dans leur communication de crise, il faut savoir lire entre les petites lignes…

Carbone en colère

Un article du Parisien sur le système Android alternatif GrapheneOS a créé une polémique : le système mobile serait une « botte secrète » pour les narcotrafiquants. L’équipe du projet a réagi radicalement, en retirant toutes ses ressources de France. La polémique a enflé en quelques jours, créant une cassure diplomatique dans l’univers open source.

Le 19 novembre 2025, Le Parisien a publié un article affirmant que la police judiciaire française avait alerté sur l’utilisation de GrapheneOS par les réseaux criminels organisés. L’article citait notamment le cas d’un trafiquant de 27 ans identifié comme « Bilel », soupçonné de diriger un réseau sous l’alias « Omar », et dont le téléphone Google Pixel équipé de GrapheneOS s’est « mystérieusement réinitialisé » lors d’une perquisition.

GrapheneOS est ce que l’on appelle une ROM alternative pour smartphones Android. Contrairement à d’autres ROM cependant, il ne peut être installé que sur un seul type d’appareil : les Pixel de Google. Pourquoi ? Car selon l’équipe chargée du projet, ce sont les seuls appareils permettant un reverrouillage complet du chargeur d’amorçage (bootloader) avec des clés cryptographiques personnalisées, garantissant l’intégrité du système contre les attaques physiques (nous y reviendrons). GrapheneOS a une orientation très marquée sur la sécurité, mais l’exclusivité des Pixel pourrait être abandonnée dès l’année prochaine, l’équipe ayant évoqué un rapprochement avec un autre équipementier.

Cet article a déclenché une vaste polémique, la décision brutale pour l’équipe de retirer toutes les ressources du projet hébergées en France, des critiques virulentes du pays, des attaques contre des ROM françaises et jusqu’à l’interdiction pour les membres de l’équipe de voyager en France, par peur des arrestations.

Une déclaration de guerre

L’article du Parisien n’est pas passé. Pour l’équipe de développement de GrapheneOS, il a agi comme une déclaration de guerre. Sur les réseaux sociaux, particulièrement X, Bluesky et Mastodon, le compte officiel du projet répond de manière très franche le 20 novembre : un « autre journaliste français » est accusé de « semer la peur », en n’ayant pas rendu fidèlement sa réponse. Celle-ci est pourtant présente dans l’article :

« Nous ne vendons rien, nous n’avons ni clients ni usagers. Les gens peuvent télécharger notre système d’exploitation gratuitement sur leurs téléphones Pixel et l’utiliser. Notre travail sur la sécurité et la confidentialité est très apprécié par les professionnels de la sécurité et est régulièrement recommandé et utilisé par les militants des droits de l’homme, les journalistes et les avocats. […] Les bandits et trafiquants utilisent aussi des couteaux, des voitures rapides et de l’argent liquide, des choses qui sont aussi largement utilisées par des citoyens honnêtes »

L’équipe pointe de nombreuses erreurs et surtout ce qu’elle présente comme un gros raccourci : GrapheneOS est associé à l’idée de criminalité.

Rapidement, la réponse de l’équipe se fait très critique vis-à-vis de la France : « Nous allons mettre fin aux quelques activités que nous menons en France car nous ne pensons plus que le pays soit sûr pour les projets open source de protection de la vie privée ». Elle annonce également que ses forums de discussions et autres instances Mastodon, Discourse et Matrix, hébergés chez OVHcloud, vont déménager vers des serveurs au Canada (où est basé l’essentiel de l’équipe) et en Allemagne. Contactée, l’entreprise française ne nous a pas encore répondu.

« Nous n’irons plus en France, notamment pour des conférences, et nous éviterons également d’y faire travailler des personnes. Une règle simple pour l’UE est d’éviter les pays qui soutiennent ChatControl. Nous sommes convaincus qu’il nous est désormais impossible d’opérer en toute sécurité en France en tant que projet open source axé sur la protection de la vie privée »

• ChatControl : l’Europe renonce à obliger les messageries à contrôler les contenus partagés

Deux jours plus tard, un article de France Info cite une « note confidentielle » selon laquelle les autorités auraient alerté sur GrapheneOS, « utilisé par des groupes criminels liés au narcotrafic pour dissimuler des activités réalisées avec leurs téléphones portables et pour empêcher leur exploitation par les services d’enquête. Il permet notamment d’effacer les données du téléphone, lorsqu’il est utilisé par un tiers ».

L’équipe a été contactée et s’en est défendue : « Nous ne vendons pas de téléphones et nous ne sommes pas responsables si des personnes utilisent notre base, y ajoutent des fonctionnalités douteuses et la vendent à un groupe de personnes ». Sinon, autant blâmer Google et Apple, qui fournissent elles aussi des fonctions de préservation de la vie privée, assène l’équipe, qui ajoute : « C’est vraiment une position absurde ».

Charge contre la France

L’équipe de GrapheneOS a précisé que ses décisions n’affecteraient pas la disponibilité du système au sein du pays. Il s’agit davantage d’une rupture diplomatique et d’un doigt pointé sur un pays qui serait sur le point de sombrer dans le fascisme. L’équipe indique que les forces de l’ordre l’auraient explicitement menacée de lui « faire ce qu’elles ont fait à EncroChat et Sky ECC ».

« La France est un pays de plus en plus autoritaire, sur le point de devenir bien pire. Ils sont déjà de très fervents partisans du contrôle du chat de l’UE. Leur application fasciste de la loi est clairement en avance sur la situation, diffusant des affirmations fausses et scandaleuses sur des projets open source de confidentialité. Rien de tout cela n’est prouvé », déclarait ainsi le compte officiel sur Mastodon, X.com et Bluesky le 19 novembre.

C’est d’ailleurs là que l’affaire prend une autre tournure, car il ne s’agit plus simplement d’une ROM alternative retirant ses ressources de France, mais d’un projet reconnu pour sa sécurité et dont les membres affirment qu’ils ne se sentent plus en sécurité en France. Pour l’équipe, il est en effet clair que la position très tranchée de l’Hexagone sur Chat Control fait du pays un environnement hostile pour certains produits open source.

Le 20 novembre, la Quadrature du Net s’en mêle, dans une charge contre l’État français également. Citant des articles du Parisien et du Figaro (qui parle pourtant de détournement du système par des criminels), l’association dénonce un « relai de propagande du ministère de l’Intérieur » et le comportement des forces de l’ordre, pour qui l’utilisation de GrapheneOS est « suspecte en soi » : « En présentant GrapheneOS comme une technologie liée au trafic de drogues, cette attaque vise à criminaliser ce qui est en réalité un outil sécurisé de préservation de la vie privée ».

Pour la Quadrature, ce n’est qu’un exemple de plus de la volonté du gouvernement français d’associer les technologies de protection de la vie privée à un comportement criminel. « Désormais, c’est le trafic de drogues qui sert à attaquer ces technologies et rendre justifiable la surveillance des communications », fustige l’association, citant la tentative de porte dérobée dans le chiffrement de bout en bout lors de l’élaboration de la loi Narcotrafic. Elle cite également un article du Monde Diplomatique qui revenait récemment sur la justification des politiques sécuritaires par le combat contre le trafic de drogue, le cas GrapheneOS s’inscrivant « exactement dans cette lignée ».

La garde à vue de Pavel Durov, fondateur de Telegram, est également mise en avant comme élément de preuve d’une dérive sécuritaire et autoritaire. Durov a d’ailleurs réagi à l’un des messages de GrapheneOS, indiquant : « Je suis passé par là – et croyez-moi, ils se moquent des faits. Quiconque a suivi la presse française depuis plus d’un an ne se fait aucune illusion sur son impartialité ».

Attaques contre iodéOS et Murena

Pour Graphene, la police française confond très probablement son système avec des forks illégaux à sources fermées vendus sur le marché noir. Toutefois, la colère de l’équipe contre la France, et plus spécifiquement ses forces de l’ordre, a aussi rejailli sur deux ROM alternatives françaises : e/OS/ de Murena et iodéOS de iodé.

« iodéOS et /e/OS sont basés en France. iodéOS et /e/OS rendent les appareils beaucoup plus vulnérables tout en induisant les utilisateurs en erreur sur la vie privée et la sécurité. Ces faux produits de confidentialité servent l’intérêt des autoritaires plutôt que de protéger les gens. /e/OS reçoit des millions d’euros de financement gouvernemental », affirme GrapheneOS.

Ces systèmes « ont de nombreux mois, voire des années de retard pour fournir des correctifs standards de confidentialité et de sécurité Android. Ils encouragent fortement les utilisateurs à utiliser des appareils sans chiffrement de disque fonctionnel et sans protections de sécurité importantes. Les données de leurs utilisateurs sont récupérables par les applications, services et gouvernements qui les souhaitent », assure l’équipe.

Il y aurait ainsi « une raison pour laquelle [les forces de l’ordre françaises] s’attaquent à un projet légitime de confidentialité et de sécurité développé en dehors de leur juridiction, plutôt qu’à deux entreprises basées en France, à leur portée, qui profitent de la vente de produits de « confidentialité » ».

Visions irréconciliables ?

L’affaire prend alors une tournure supplémentaire. Cette charge violente contre e/OS/ et iodéOS est pointée du doigt par plusieurs internautes. Sur Mastodon, quand Niavy fait remarquer que l’équipe « méprise souvent les autres projets », celle-ci intensifie ses critiques :

« Ces deux produits sont carrément des arnaques. Ils sont extraordinairement risqués et peu discrets. Ils mettent les utilisateurs en danger et les induisent en erreur avec de fausses affirmations répétées sur la vie privée et la sécurité. Chaque personne induite en erreur en achetant leurs produits les enrichit au prix de bien moins de protection pour ces utilisateurs contre les applications, services et attaquants que si elle utilisait un iPhone. Ils manquent de la confidentialité et de la sécurité les plus élémentaires. GrapheneOS n’est en aucun cas dans le même domaine et n’est pas une entreprise à but lucratif »

Gaël Duval, fondateur d’e/OS/ et à la tête de l’entreprise Murena, évoque dans une réponse une « violence sans limite ». Contacté, il n’a pas souhaité réagir davantage. Mais l’opposition ne date pas d’hier. Dans un message sur Mastodon daté du 18 juillet dernier, Gaël Duval indiquait : « Une fois de plus, Graphène attaque publiquement /e/OS avec des affirmations trompeuses ou totalement fausses. C’est tellement contre-productif et cela les discrédite beaucoup (mais nous savons que le problème n’est pas Graphene, mais son chef qui se cache derrière divers comptes et publications sur Graphene) ». 

Le message faisait suite à la publication d’un long exposé sur ce que GrapheneOS pointe comme des défaillances dans la sécurité d’autres ROM, surtout e/OS/. Plusieurs sources, qui ont tenu à rester anonymes, nous ont cependant indiqué que le développeur à la tête de GrapheneOS, Daniel Micay, pouvait se montrer « difficile ».

La différence de vision entre toutes ces ROM alternatives semble cependant irréconciliable. Du côté de GrapheneOS, il s’agit avant tout de sécurité : le système a été pensé ainsi, et pas dans une optique de « dégooglisation ». Le choix des Pixel comme seuls smartphones a été expliqué par les développeurs, qui ne considèrent pas comme sérieuses les autres tentatives, tant que le bootloader n’est pas verrouillé et la chaine de démarrage contrôlée. Leur positionnement est clair : GrapheneOS n’est pas « trop » sécurisé, ce sont les autres qui ne le sont pas assez, et les attaques sur l’utilisation des Pixel ne tiennent pas, car la partie logicielle de Google est supprimée.

Leur langage dur envers e/OS/ et iodéOS semble lié à des approches très différentes, les deux ROM françaises étant davantage tournées vers le grand public et la réutilisation. Les deux idées centrales sont la lutte contre l’obsolescence matérielle et la « dégooglisation », comme Gaël Duval nous l’avait encore redit en février dernier. Il reconnaissait d’ailleurs lui-même le 18 juillet qu’e/OS/ n’était pas un système durci, qu’il se concentrait sur la vie privée, mais qu’ils prenaient quand même « la sécurité très au sérieux ».

GrapheneOS, un système très sécurisé

Les affirmations de l’équipe de GrapheneOS sur la sécurité de son système sont en tout cas fondées. En 2024 par exemple, la société Cellebrite affirmait qu’elle était en mesure de réaliser des extractions de données avec l’ensemble des smartphones Android, que les appareils soient en état AFU ou BFU, c’est-à-dire après et avant le premier déverrouillage de l’appareil suite à un redémarrage. Les appareils sous GrapheneOS étaient la seule exception, à condition que leur niveau de correctif soit postérieur à fin 2022. En février dernier, Cellebrite ne semblait toujours pas en mesure de percer les défenses de GrapheneOS.

Dans un autre article du Parisien, lui aussi du 19 novembre, Johanna Brousse, magistrate à la tête de la JUNALCO (Juridiction nationale de lutte contre la criminalité organisée), indiquait que le cas GrapheneOS était différent d’autres outils spécialisés comme EncroChat et Sky ECC, car « il existe pour une certaine partie des utilisateurs une réelle légitimité dans la volonté de protéger ses échanges ».

Estimant cependant que « rien n’est inviolable », elle déclarait qu’il fallait « développer des moyens techniques nous permettant de « pirater » ces téléphones de manière individuelle, dossier par dossier, dans le cadre légal », précisant qu’il s’agissait du « travail des ingénieurs de la DGSI ». Elle ajoutait toutefois : « Ces opérations sont très coûteuses, pouvant atteindre un million d’euros, et sont donc réservées aux affaires très graves de criminalité organisée et de terrorisme ».

Next avait déjà mentionné le service technique national de captation judiciaire (STNCJ) de la DGSI, chargé de décrypter les communications et terminaux chiffrés.

Un contexte qui faisait d’ailleurs dire à l’équipe de GrapheneOS le 20 novembre : « Cela nous incite presque à contribuer de nouveau à AOSP pour tenter de détruire leur capacité à exploiter une partie des appareils Android non équipés de GrapheneOS. Google est invitée à nous contacter ».

Des employés de tous les départements d’Amazon sont concernés par la vague historique de 14 000 licenciements que celle-ci annonçait fin octobre. 


Si tous les détails ne sont pas encore publics, CNBC constate que parmi les 4 700 personnes qui devraient se retrouver privées de leur emploi dans les États américains de New York, de Californie, du New Jersey et de Washington, plus de 40 % occupent des postes d’ingénieurs.

Le CEO d’Amazon Andy Jassy se décrit en mission pour faire de l’entreprise fondée par Jeff Bezos la « plus grande startup du monde ».

Il déclare compter sur ces licenciements pour rendre le groupe moins bureaucratique et plus rapide.

L’entreprise a par ailleurs indiqué allouer une large part de ses ressources à l’investissement dans l’intelligence artificielle.

Outre les emplois d’ingénieurs logiciels, Amazon a notamment visé son département dédié au jeu vidéo. L’entreprise réduit aussi ses équipes dédiées à la recherche visuelle (Amazon Lens et Lens Live), des services pourtant récents qui permettent d’identifier des produits à partir de la caméra de son téléphone ou de photos prises au préalable.

Même les équipes spécialisées dans la publicité en ligne, l’une des activités les plus rentables d’Amazon, ont vu leurs équipes partiellement réduites.

Par ces licenciements, Amazon rejoint la liste des sociétés de l’industrie numérique qui réduisent leurs effectifs depuis la fin des confinements liés à la pandémie de Covid-19.

Aux États-Unis, le site Layoffs.fyi a repéré plus de 114 000 licenciements depuis le début de l’année 2025.

La DGCCRF a mené une enquête entre septembre 2023 et juin 2025 sur la Banque Populaire Rives de Paris. Il en est ressorti que, entre le 1ᵉʳ janvier 2022 et le 27 juin 2025, la banque pratiquait « certains actes constituant une pratique commerciale trompeuse ».

Sur Paris et dans l’ensemble du territoire de la région Île-de-France, Banque Populaire Rives de Paris « tromp[ait] les consommateurs en leur facturant des commissions d’intervention non justifiées, dans certains cas précis, sans qu’il n’y ait eu d’irrégularités de fonctionnement du compte bancaire, en méconnaissance de la réglementation applicable ».

• Banques en ligne avec des cartes « gratuites » : notre comparatif

La banque « a accepté une amende transactionnelle d’un montant de 2 500 000 euros assortie de la publication du présent communiqué, ainsi que l’arrêt de la pratique constatée ». Banque Populaire Rives de Paris revendique 2 800 collaborateurs, plus de 200 agences et 734 000 clients (dont 226 000 sociétaires).

À l’AFP, un porte-parole de la banque précise que les cas soulevés « relèvent chacun d’une situation très particulière », sans plus de détails. « La banque a conscience que, dans certains cas, ce mécanisme peut parfois être complexe à appréhender pour certains de ses clients. C’est pourquoi (elle) a pris la décision de mettre un terme à cette pratique dès mi-octobre 2025 », ajoute-t-il. Là encore, le porte-parole ne donne aucune précision…

La 30ᵉ Conférence des Nations unies sur le climat (alias COP30) s’est déroulée du 10 au 21 novembre au Brésil. Un accord final a été conclu le 22 novembre. La déception est palpable : « un accord modeste, sans plan de sortie des énergies fossiles » titre Courrier internationnal, « la COP30 sauve la face mais pas le climat » au Monde, « un accord au rabais qui permet tout juste de sauver la face » chez Les Échos, « pas de consensus » chez France 24, etc.

Le Parlement européen s’est exprimé par l’intermédiaire de Lídia Pereira, présidente de la délégation : « À la COP30, malgré nos efforts constants et le mandat clair du Parlement concernant l’atténuation et la sortie des combustibles fossiles, nous avons été confrontés à un front uni BRICS–États [BRICS pour Brésil, Russie, Inde, Chine, Afrique du Sud, Iran, Égypte… ndlr] arabes ainsi qu’à une Présidence qui n’était pas disposée à atteindre notre niveau d’ambition. Nous regrettons que le résultat final ne soit pas allé plus loin ».

Il faut se contenter d’un lot de consolation : « la reconnaissance de la nécessité de répondre au problème des émissions, l’organisation d’un événement de haut niveau consacré à la mise en œuvre ». Arte explique que l’accord « réaffirme l’engagement des 1,5 °C et la nécessité de mettre pleinement en œuvre les plans climatiques nationaux, les pays riches doivent augmenter leur aides climatique aux plus pauvres ». Le problème étant « l’absence de feuille de route concrète ».

Pour Mohammed Chahim, vice-président de la délégation, le résultat est en dessous des attentes : « L’issue de la COP30 établit une base minimale pour l’action climatique mondiale, mais le rythme demeure largement insuffisant face à l’urgence de la crise climatique. Ce résultat confirme que l’écart entre l’ambition affichée et les réductions effectives d’émissions reste considérable ».

« L’UE s’est présentée avec l’intention de jouer un rôle moteur au sein d’une coalition de pays ambitieux. Toutefois, la résistance de certains États producteurs de pétrole, entre autres, a été trop forte, et les équilibres géopolitiques se sont nettement modifiés. Aux côtés du Royaume-Uni, l’UE a dû aller à contre-courant pour préserver un minimum d’ambition. Cela isole l’Europe du reste du monde. L’UE doit désormais s’attacher, de toute urgence, à consolider des coalitions afin d’éviter de se retrouver de nouveau isolée lors des prochaines négociations », ajoute-t-il.

Anthropic était manifestement prête : une semaine après le lancement en grande pompe de Gemini 3 Pro par Google, la startup réplique avec la version 4.5 de son plus gros modèle, Opus.

Dans son billet d’annonce, Anthropic est très satisfaite de présenter des scores supérieurs à ceux de Google dans pratiquement tous les tests, y compris dans ARC-AGI-2, réputé difficile : 37,6 % pour Opus 4.5, contre 31,1 % pour Gemini 3 Pro et 17,6 % pour GPT-5.1. Anthropic met surtout en avant ses performances dans le développement, où son modèle reprend la couronne, en étant notamment le premier à dépasser la barre des 80 % sur le test SWE-Bench Verified.

Anthropic en profite pour s’intégrer davantage dans certaines applications. Ses extensions pour Chrome et Excel sortent ainsi de leur phase de test, avec un Claude pour Chrome prochainement disponible pour les abonnés Claude Max, et un Claude pour Excel bientôt disponible pour les abonnés Max, Team et Enterprise.

Les abonnés Max reçoivent d’ailleurs d’autres capacités, dont un travail de fond sur la mémoire censé permettre une utilisation prolongée des requêtes dans un même contexte, même quand ce dernier atteint la limite de jetons. À TechCrunch, Anthropic explique que la mémoire de contexte sera compressée de manière transparente, ce qui devrait être particulièrement visible dans le cas où un gros modèle est utilisé pour en piloter plusieurs petits (avec Claude Haiku), dans un cadre de développement agentique.

Signalons tout de même que même si Anthropic récupère la couronne dans presque tous les tests, c’est à travers un modèle accessible uniquement par les comptes payants. Les utilisateurs gratuits ne peuvent utiliser que Haiku et Sonnet, là où Gemini 3 Pro a été diffusé dans tous les produits et pour l’ensemble des utilisateurs (avec des limites bien sûr).

Chut

Dans un procès qui oppose Meta à plusieurs districts scolaires états-uniens, l’entreprise de Mark Zuckerberg voit remonter l’évocation de recherches internes non rendues publiques montrant que les personnes qui ont cessé d’utiliser Facebook sont devenues moins déprimées et moins anxieuses.

Depuis 2022, Meta fait face à une plainte de plusieurs districts scolaires états-uniens concernant l’addiction des adolescents aux réseaux sociaux et qui accusent l’entreprise de proposer « des produits défectueux ».

Selon un des documents produits lors de ce procès, Meta aurait arrêté des travaux de recherches internes montrant des preuves de causalité entre l’utilisation du réseau social et la santé mentale de ses utilisateurs, explique Reuters.

Un projet abandonné après des signes problématiques sur l’utilisation des réseaux

Fin 2019, l’entreprise a mis en place, selon ce document [PDF], ce qu’elle a nommé le « Projet Mercury » : un travail en collaboration avec l’entreprise de sondage Nielsen sur les effets liés au fait de « désactiver » Facebook. « Les personnes qui ont cessé d’utiliser Facebook pendant une semaine ont déclaré ressentir moins de dépression, d’anxiété, de solitude et de comparaison sociale » montrent des tests pilotes de cette étude.

« Mais au lieu d’aller plus loin ou de sonner l’alarme », affirment les avocats des districts scolaires, « Meta a suspendu le projet, affirmant que les commentaires des participants étaient biaisés par « le résultat du discours médiatique existant autour de l’entreprise » ».

Des craintes internes d’une image proche de celle de l’industrie du tabac si le travail était enterré

En interne, cet arrêt a été critiqué par certains : « L’étude Nielsen montre effectivement un impact causal sur la comparaison sociale. », a écrit un chercheur de Meta anonyme. Un autre employé s’inquiétait d’une éventuelle fuite de l’enterrement de ce projet : « Si les résultats sont mauvais et que nous ne les publions pas, mais qu’ils fuitent, cela ressemblera-t-il aux fabricants de tabac qui menaient des recherches, savaient que les cigarettes étaient nocives, mais gardaient cette information pour eux ? ». Et ils accusent Meta de ne pas avoir publié ces résultats : « À la place, Meta a menti au Congrès sur ce qu’elle savait », affirment-ils.

« Nous sommes en total désaccord avec ces allégations, qui s’appuient sur des citations choisies de manière sélective et des opinions erronées dans le but de présenter une image délibérément trompeuse », affirme le porte-parole de Meta, Andy Stone comme l’indique CNBC. Pour lui, le projet de l’étude était biaisé : « Il constatait que les personnes qui pensaient que l’utilisation de Facebook leur était néfaste se sentaient mieux lorsqu’elles cessaient de l’utiliser », affirme-t-il sur Bluesky, ajoutant que ça ne serait que la confirmation d’autres études démontrant le même effet. « Cela semble logique intuitivement, mais cela ne montre rien concernant l’effet réel de l’utilisation de la plateforme », défend-il.

Les documents sur lesquels s’appuient les avocats des districts scolaires ne sont pas publics. Reuters explique que l’entreprise a demandé à ce qu’ils soient enlevés du dossier, considérant que leur nature était trop générale et ne concernait pas ce que les plaignants cherchent à prouver.

La directive européenne NIS2 est toujours dans l’attente d’une transposition dans le droit français. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a passé le cap du Sénat mais reste en attente d’un vote final.

Le mois dernier, Vincent Strubel rappelait aux Assises de la cybersécurité de Monaco que ce vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ». Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire », expliquait-il.

• Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

L’ANSSI avance et annonce l’ouverture d’un guichet de pré-enregistrement, ce qui constitue « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ». Comptez 5 à 10 minutes de procédure si vous avez déjà un compte Club SSI (obligatoire).

L’Agence rappelle que « l’ensemble des entités soumises au champ d’application de la directive a l’obligation de communiquer un certain nombre d’informations à l’autorité compétente (article 3 et article 27 de la directive) ». Le changement est important : de 600 entreprises environ concernées par NIS1, on passe à 15 000 avec NIS2.

« Ce pré-enregistrement permet aux entités de préparer leur enregistrement afin de bénéficier d’un enregistrement facilité lorsque la phase d’enregistrement obligatoire démarrera après publication des textes réglementaires associés au projet de loi Résilience », explique l’ANSSI.

Un simulateur permettant « d’obtenir une estimation du statut d’une entité, conformément aux textes actuellement en vigueur » est disponible à cette adresse. Bien évidemment, « le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité. Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2 ».

Tous les détails se trouvent par ici, tandis que la pré-inscription se fait par là.

Envoyez des sioux

L’association de consommateurs CLCV a initié une action de groupe à l’encontre d’Apple devant la justice française pour pratiques commerciales trompeuses liées à la façon dont l’entreprise régit l’accès aux offres de streaming musical sur iOS et via l’App Store.

Déjà sanctionnée par la Commission européenne à 1,8 milliard d’euros pour abus de position dominante, Apple pourrait-elle bientôt se voir condamnée à indemniser les consommateurs français en raison de ses pratiques en matière de streaming musical ? Pendant que l’examen du recours déposé par l’entreprise se poursuit à l’échelle européenne, tel est l’objectif affiché par l’association de consommateurs CLCV (Consommation, logement, cadre de vie). Elle a en effet annoncé lundi avoir lancé une action collective à l’encontre d’Apple et de son App Store.

Un double préjudice

Dans son assignation, déposée début novembre au tribunal de Paris et que Next a pu consulter, l’association souhaite obtenir réparation de ce qu’elle estime être les préjudices associés à l’utilisation d’un service de streaming musical par l’intermédiaire de l’App Store sur iOS. Outre l’abus de position dominante sanctionné par Bruxelles, la CLCV « considère que les pratiques d’Apple constituent également des pratiques commerciales trompeuses, en ce qu’elles ont privé les consommateurs d’une information essentielle sur les tarifs réellement disponibles », explique l’association dans un communiqué.

L’assignation, qui se fonde sur l’exemple et les pièces justificatives de plusieurs consommateurs considérés comme représentatifs, distingue deux cas de figure. D’abord, ceux qui ont acquitté leur abonnement par l’intermédiaire de l’App Store et subi la commission appliquée par Apple quand cette dernière a été répercutée par le service de streaming musical.

À ce préjudice qualifié d’économique, « du fait du surcoût payé chaque mois », CLCV en ajoute un deuxième, qualifié de moral cette fois. Cette fois, elle cible les pratiques, qualifiées d’anti-steering, un temps mises en œuvre par Apple pour limiter l’information sur les possibilités d’abonnement hors App Store, comme l’interdiction d’intégrer des liens dans l’application pointant vers un parcours de souscription extérieur. Et réclame donc que soit compensé, pour les abonnés Spotify par exemple, le préjudice « lié à la privation d’une information loyale et à la restriction de leur liberté de choix ».

Une action sans fondement pour Apple

Elle réclame de ce fait l’indemnisation de l’ensemble des consommateurs concernés, soit les « utilisateurs d’iOS qui ont payé leurs abonnements à des services de musique en streaming (Deezer, Spotify, YouTube Music, Tidal, Qobuz) via l’App Store, entre 2011 et 2025, en particulier lorsqu’ils ont payé via l’App Store ». L’association demande au tribunal d’étudier une réparation forfaitaire, calculée au prorata du nombre de mois d’abonnement sur la période concernée, et de l’habiliter pour pouvoir négocier avec Apple l’indemnisation des participants à son action collective.

« Cette action en justice est sans fondement, a réagi un porte-parole d’Apple, cité par l’AFP. Le marché européen de la musique numérique est prospère et compétitif, et les consommateurs ont plus de choix que jamais en matière de services de streaming musical ».

L’association CLCV s’inscrit dans le sillage des actions collectives déjà entreprises en Belgique, en Italie, en Espagne et au Portugal par l’association Euroconsumers. Dans ses différentes procédures, initiées en septembre 2024, cette dernière réclame que les consommateurs soient indemnisés à hauteur de 3 euros par mois d’abonnement concerné par un surcoût lié aux pratiques d’Apple et souscrit depuis juillet 2013.

Candace et Pavel sont dans une chambre d'écho

Sur X, l’influenceuse pro-Trump Candace Owens et le cofondateur de Telegram Pavel Durov diffusent des thèses complotistes relatives au couple Macron, sur fond de démêlés avec la Justice.

Depuis qu’il a été arrêté à la sortie de l’avion, à l’été 2024, pour douze chefs d’accusation, le patron de Telegram a une dent contre la France. Cette irritation s’était jusqu’ici traduite surtout par des prises de parole sur son propre réseau social, quelquefois au prix de notifications intempestives sur les appareils d’usagers n’ayant rien demandé.

En cette fin novembre, la prise de position de Pavel Durov prend un nouveau tour, dans la mesure où il relaie les thèses de Candace Owens.

Forte de 7,4 millions d’abonnés sur X, l’influenceuse pro-Trump est poursuivie par le couple Macron devant la Justice américaine pour avoir donné une résonance internationale aux thèses transphobes et misogynes visant Brigitte Macron.

La thèse des tueurs du couple Macron

Dans une publication du 22 novembre, celle-ci affirme avoir « été contactée par un employé haut placé du gouvernement » dont elle ne donne pas le nom, selon lequel le couple Macron aurait payé pour qu’une petite équipe du GIGN l’assassine. Ce faisant, elle reprend une thèse complotiste préexistante, selon laquelle le couple Macron aurait constitué une « armée de tueurs à gages » de « 40 à 50 assassins professionnels » dédiés à supprimer leurs opposants politiques.

Le média Les Surligneurs retrace l’origine de cette théorie à une publication de la Foundation to Battle Injustice, dont l’acronyme FBI peut prêter à confusion. D’après des travaux de l’université de Clemson et de Viginum sur l’opération de désinformation russe Storm-1516, cette entité a été créée par l’ex-directeur de la milice privée russe Wagner, Evgueni Prigojine.

• Le Quai d’Orsay attribue 77 opérations au groupe de désinformation russe Storm-1516

Parmi les autres éléments de sa publication, Candace Owens affirme que l’assassin du soutien de Trump Charlie Kirk aurait été entraîné au sein de la Légion française. Elle déclare enfin que la vie de Xavier Poussard serait elle aussi en danger. Ne rentrant plus en France depuis son signalement pour « appel à la haine en raison de la race ou de la religion », ce dernier est l’auteur du livre de désinformation Devenir Brigitte auquel Candace Owens a donné une audience internationale.

En appelant ses lecteurs à « RETWEET et partager », Candace Owens cultive la circulation de ses propos : au 24 novembre, sa publication dépassait les 95 000 retweets, 211 000 likes et 30 000 sauvegardes.

• Transphobie : ces désinformateurs français qui s’appuient sur des réseaux internationaux

Pavel Durov amplifie la thèse

Suivi par 2,6 millions de personnes sur X, et aux prises avec ses propres démêlés avec la Justice française, Pavel Durov participe de manière non négligeable à cette circulation.

« Après avoir repris tout ce que Charlie Kirk a jamais dit sur la France de Macron, je trouve l’information de Candace sur l’implication de la France dans sa mort entièrement plausible », déclare-t-il. Et de citer, en guise de preuve, le fait que l’activiste d’extrême droite s’était prononcé en faveur de taxes douanières de 300 % contre la France – dans un contexte où l’essentiel des pays du monde étaient ciblés par les menaces de taxes de Donald Trump. Plus loin, Pavel Durov qualifie Charlie Kirk de « héros ».

• L’onde de choc de l’assassinat de Charlie Kirk se propage en ligne et hors ligne

Cette saillie fait suite à une série de prises de parole de l’entrepreneur, notamment depuis sa propre application, dans lesquelles il mettait en cause les capacités de la Justice ou du gouvernement français. Fin octobre, il alimentait même cette communication par le partage d’un mini-jeu dans lequel les internautes devaient incarner Pavel Durov s’échappant d’une prison française.

Ce 13 novembre, la Justice française levait l’interdiction de voyager qui empêchait Pavel Durov de se déplacer ailleurs qu’entre son logement dubaïote et le commissariat de police de Nice.

• Les réseaux sociaux, porte-voix toujours plus assumés de leurs propriétaires


Viens, je t'emmène derrière le miroir

Encore un nouveau format sur Next : Itinéraire d’une Actu. Dans une introspection personnelle, je vous explique les étapes qui ont conduit à la publication de l’actualité sur la fuite de données de Colis Privé. Un travail personnel, à la première personne.

Vendredi soir, Colis Privé a envoyé à certains de ses clients un e-mail pour les informer d’une fuite de données. Nous l’avons reçu sur une de nos boites et plusieurs lecteurs nous l’ont également signalé. Déjà, merci à eux de nous l’avoir fait suivre. Comme nous allons le voir, c’est toujours utile d’avoir plusieurs sources.

Dans ce nouveau format, on vous propose de plonger dans les coulisses de la rédac, plus précisément dans le processus qui a donné naissance à cette petite actualité sur la fuite des données chez Colis Privé. Un retour à la première personne car il ne concerne que moi, ma manière de faire.

• Fuite de données personnelles confirmée chez Colis Privé

Règle d’or : vérifier et ne pas faire la course

Samedi matin, je prépare une actualité sur le sujet, pour ne pas attendre lundi et commencer la semaine avec des sujets chauds (très chauds, on en reparle rapidement). Vous l’avez peut-être remarqué, l’actualité n’a été publiée qu’à 17h26… Je n’ai évidemment pas mis des heures à l’écrire, une demi-heure tout au plus. Elle était prête pour midi, mais la publication a été mise en pause en attendant une confirmation.

Comme toujours en pareille situation, je vérifie l’authenticité de l’e-mail (je préfère prendre le temps plutôt que foncer tête baissée et me poser des questions ensuite…). Comment être sûr qu’il provient bien de Colis Privé ? Généralement, le message est aussi visible en ligne sur le site de la société ou repris sur les réseaux sociaux. Sans être une preuve irréfutable, cela permet d’avoir un niveau de confirmation suffisant pour publier une actualité.

Bonne pratique : publier le communiqué sur le site

Deux exemples avec des fuites récentes de données chez Plex et Infomaniak. Le premier propose de « lire cet e-mail depuis un navigateur » avec un lien vers une page en newsletter.infomaniak.com/*, le second propose un lien « View Online » en bas de page qui renvoie vers exactement le même communiqué sur une page en links.plex.tv/*. Une confirmation que cette information n’est pas un e-mail envoyé en masse par un plaisantin (ou pire, d’une personne malintentionnée) se faisant passer pour une entreprise.

Dans le cas de Colis Privé, rien : pas le moindre lien vers un communiqué visible sur un domaine officiel de l’entreprise. Il y a par contre des liens « Unsubscribe From This List » et « Manage Email Preferences » qui renvoient bien vers mon adresse e-mail, mais un petit doute subsiste dans ma tête (est-il justifié ? C’est une autre question).

Plutôt que courir à publier au plus vite, je décide d’attendre une confirmation, même si les messages envoyés par les lecteurs permettent de tester ces liens avec d’autres adresses e-mail et de se rendre compte que tout semble légitime.

Et si… mail, SMS et demande LinkedIn envoyés

Quoi qu’il en soit, une petite voix m’a poussé à chercher davantage au cas où (spoiler : au cas où rien du tout finalement, j’aurais pu publier immédiatement). Quelques e-mails et demandes LinkedIn partent dans la foulée pour le service presse et des responsables Colis Privé. Nous sommes samedi, je pars me promener et je me dis que je verrai bien en rentrant si j’ai une réponse. Ce n’est pas non plus l’info de l’année qui mérite que je reste sur le pont H24.

En revenant en fin d’après-midi, pas de réponse. Je regarde les métadonnées de l’e-mail pour voir si je peux confirmer sa provenance (je vous laisse seulement la partie intéressante) :

Received: from wfbtzhfp.outbound-mail.sendgrid.net (wfbtzhfp.outbound-mail.sendgrid.net [159.183.224.243])
for seb***@***.fr; Fri, 21 Nov 2025 19:37:13 + 0000 (UTC)
dkim=pass (2048-bit rsa key sha256)
dmarc=pass
spf=pass

L’e-mail est envoyé par la plateforme d’e-mailing états-unienne SendGrid. Est-elle autorisée à envoyer des e-mails pour le compte de notification.colisprive.com (attention on ne parle que du sous-domaine) ? Un coup de dig confirme que la réponse est oui (ça prend 2 secondes, ce serait dommage de s’en priver) :

gathor@ubuntu-seb:~$ dig +short TXT notification.colisprive.com
"v=spf1 include:sendgrid.net ~all"

C’est confirmé, ça part en ligne

L’e-mail passe donc les sécurités DKIM et SPF. Je m’apprêtais à le préciser dans l’actualité et à la publier quand je reçois un SMS de confirmation d’un responsable de la communication de CEVA Logistics, une filiale de CMA CGM qui détient Colis Privé. J’ajuste le contenu de l’actualité pour préciser la confirmation et la publie dans la foulée.

• Les emails : analyse technique et enjeux de souveraineté

Il n’y avait aucune urgence à publier et nous étions en plein week-end, ce qui explique les délais un peu rallongés, mais cette pratique est, dans mon cas, la base avant de publier l’annonce d’une fuite ou une information du genre. Attention, je ne prétends pas que cette méthode est infaillible – loin de là –, mais ces vérifications permettent au moins d’assurer un minimum d’authenticité.

T'es où ?

Une nouvelle fonctionnalité de X présentant les informations de création et de localisation des comptes semble dévoiler l’ampleur de l’ingérence à l’œuvre derrière, notamment, les discussions MAGA et d’extrême droite. Mais les informations présentées par le réseau social restent à prendre avec des pincettes.

Le 21 novembre, X publiait une nouvelle fonctionnalité dédiée à fournir plus de transparence sur les usagers. Nommé « À propos de ce compte », l’outil permet, en cliquant ou survolant la date d’inscription d’un compte X, d’obtenir plus d’informations sur son nombre de modifications de nom d’utilisateur, via quel outil (web ou magasin d’applications) l’internaute se connecte, et, au moins théoriquement, la région du monde d’où il ou elle se connecte.

Dans les heures qui ont suivi sa mise en ligne, de nombreuses personnes se sont lancées dans la vérification de divers comptes très actifs sur le réseau social d’Elon Musk. Depuis les États-Unis, ceci a notamment permis de constater que certains comptes MAGA (Make America Great Again, le mouvement de soutien à Donald Trump) très suivis étaient localisés en Russie, en Inde ou au Nigeria. De même en France, des comptes d’apparence « patriote », ou d’extrême droite, parfois suivis par plusieurs dizaines de milliers de comptes, apparaissent localisés au Sénégal.

Pour autant, chacune de ces informations reste à prendre avec des pincettes. Comme le montrent nos tests réalisés sur les comptes de journalistes de la rédaction, le fonctionnement de l’outil déployé par X reste fragile.

Des VPN et des magasins d’applications

Commençons donc par le compte de Jean-Marc Manach. Depuis sa bio, nous apprenons qu’il a rejoint Twitter en 2008, qu’il utilise l’application téléchargée depuis un smartphone sous Android, et que son compte est basé en France. Jean-Marc souligne que dans les faits, il consulte « d’abord et avant tout X en mode desktop web ».

Le petit « i », pour « information », à la droite de sa géolocalisation ? En cliquant, nous obtenons le message suivant.

Le compte de l’autrice de ces lignes présente des informations un peu plus atypiques. D’une part, on y apprend que j’ai changé trois fois de handle. La localisation indique quant à elle « États-Unis », alors même que j’écris ces lignes depuis la France métropolitaine.

Ceci s’explique probablement par le fait que je ne recours à X que depuis mon navigateur, lui-même derrière un VPN (virtual private network) en France qui me permet d’accéder à différents outils de travail. À côté de la géolocalisation faussée, le symbole « information » n’est d’ailleurs plus entouré d’un simple cercle, mais d’un symbole de bouclier. Lorsqu’on clique, le message n’est pas exactement le même que dans le cas précédent.

• Un VPN, à quoi ça sert ?

Comptes d’extrême droite pilotés depuis l’extérieur ?

Malgré ces aléas, l’exposition des informations d’un autre compte a permis de suggérer que des comptes MAGA très suivis étaient pilotés depuis divers pays étrangers, à commencer par la Russie, l’Inde et le Nigeria. De fait, ces différents pays sont connus pour leurs opérations d’ingérence ou pour héberger des fermes à trolls, dont l’objet consiste à simuler des activités légitimes en ligne à des fins financières, politiques, ou les deux à la fois.

Tous n’ont pas nécessairement une très forte audience. Mais quelques-uns, comme le compte @MAGANationX, suivi par plus de 392 000 comptes, ou @IvankaNews_, suivi par plus d’un million de comptes, attirent particulièrement l’attention. Créé en avril 2024, le premier serait localisé en Europe de l’Est, « (hors de l’Union européenne) », selon les informations présentées par X. Vieux de 15 ans, le second serait quant à lui installé au Nigeria.

Dans le même ordre d’idées, @America_First0, suivi par plus de 67 000 comptes X, a beau donner l’image d’une Américaine convaincue par Trump, ses informations le localisent au Bangladesh.

Après ces premiers exemples, la pratique d’exposition des informations de compte s’est répandue à toute vitesse, comme une de ces tendances (trends) classiques des cultures numériques. Elle a donné lieu à des passes d’armes pleines d’insinuations entre, par exemple, le « lobby américain pro-israël » AIPAC et divers internautes. À ses 187 000 followers, le premier publie l’information selon laquelle le compte @palestine serait installé en Australie, avec pour simple légende « Oh. ». En réponse, de petits comptes comme @crawlings13 répondent, ironiquement : « Vous ne devinerez jamais la raison pour laquelle tant de comptes palestiniens sont situés en dehors de la Palestine. »

En France, de même, quantité d’utilisateurs explorent les comptes des uns et des autres. D’après X, « @cestpasdeslol_x » (84,3 K abonnés) est par exemple basé au Maroc. Autodécrit comme « spécialisé dans les faits divers en France », le profil est qualifié de « compte favori de la patriosphère xénophobe » par le maître de conférences spécialiste des cultures numériques Tristan Mendès-France, qui s’amuse de sa potentielle localisation outre-Méditerranée. Plus radical, le compte @Henri2Turenne, suivi par plus de 20 000 personnes et affichant les drapeaux français, russe et du Vatican, a été pris à parti après que X a indiqué sa localisation au Sénégal. Ce 24 novembre, le compte avait été supprimé, quand bien même divers utilisateurs plaidaient son possible recours à un VPN.

Directeur produit chez X, Nikita Bier décrivait le 22 novembre au soir le déploiement de la fonction « à propos de ce compte » comme « un premier pas important pour sécuriser l’intégrité de cet espace public mondial ». Dans les jours qui précédaient le lancement de la fonctionnalité, divers défenseurs des droits numériques avaient critiqué le projet de X, considérant le nouvel outil comme une attaque contre les internautes qui recouraient à la plateforme depuis des VPN.

Mais plutôt que de se pencher sur cette question, nombreux sont les usagers qui se sont emparés de la fonctionnalité pour tenter de démontrer l’ampleur des ingérences étrangères dans leurs débats en ligne. Tant que la stabilité de l’outil n’est pas assurée, cela dit, difficile de dresser des conclusions solides.

Alors que plusieurs usagers se plaignaient de l’inexactitude des informations relatives à leur compte, Nikita Bier convenait d’ailleurs que « les informations ne sont pas 100 % exactes pour les vieux comptes » et prévoyait que certains dysfonctionnements devraient être résolus « d’ici mardi », c’est-à-dire, a priori, ce 25 novembre.

Il précise par ailleurs : « Si des données sont incorrectes, elles seront mises à jour périodiquement en s’appuyant sur les meilleures données disponibles. » Un processus qu’il déclare organisé de manière « différée et aléatoire », pour « préserver la vie privée ».

Le département de « l’efficacité gouvernementale » confié pendant un temps à Elon Musk a finalement été lui-même démantelé.

Scott Kupor, le responsable de l’Office of Personnel Management (agence états-unienne de la gestion de la fonction publique), a affirmé à Reuters que le DOGE n’est plus une « entité centralisée » comme elle avait été pensée et annoncée il y a un an par Donald Trump.

Confié à Elon Musk, ce département avait officiellement pour mission de restructurer l’ensemble des administrations publiques américaines. Mais le milliardaire a choisi de quitter sa direction fin mai. S’il avait fait le choix inverse, il aurait dû se plier aux obligations de transparence et de contrôle du Congrès des États-Unis, notamment concernant les conflits d’intérêt avec ses diverses entreprises X, SpaceX et Tesla dont certaines bénéficient de la commande publique.

Selon l’agence de presse américaine, c’est maintenant l’Office of Personnel Management qui a repris une bonne partie des prérogatives qu’avait acquises temporairement le DOGE.

Reuters explique que deux responsables du DOGE, Joe Gebbia et Edward Coristine (du haut de ses 19 ans, ce dernier est surnommé « Big Balls »), font maintenant partie du « National Design Studio », une agence spécifiquement créée en août dernier par Donald Trump pour embellir les sites web du gouvernement.

Pendant cinq mois, le DOGE a pu s’immiscer dans les données de multiples agences états-uniennes comme le Trésor ou Medicare/Medicaid et s’emparer de certains systèmes informatiques. Mais Politico explique qu’après le départ d’Elon Musk, les ingénieurs recrutés par ce département ont perdu leur « protecteur ».

En novembre dernier, Donald Trump annonçait la création de ce département en lui donnant une échéance : « Leur travail prendra fin au plus tard le 4 juillet 2026. Un Gouvernement resserré, avec plus d’efficacité et moins de bureaucratie, constituera un parfait cadeau pour l’Amérique à l’occasion du 250^e anniversaire de la Déclaration d’indépendance ». Finalement, la mission a fini huit mois plus tôt.

Le gestionnaire de mots de passe KeePassXC est une version open source et multiplateforme de l’application KeePass Password Safe pour Windows. Les moutures se sont faites plus rares, mais elles comportent toujours autant de nouveautés.

La nouvelle version 2.7.11 déroule ainsi une longue liste d’apports. On y trouve la génération automatique de mot de passe quand on crée une nouvelle entrée, une boite de dialogue pour demander confirmation avant la fusion de deux bases de données, le support de la synchronisation de groupe dans KeeShare, une confirmation quand on sort de la base de données avec Échap, le support des horodatages et de l’historique dans l’import depuis BitWarden, ou encore des recherches prédéfinies pour les entrées TOTP.

On note également la prise en charge d’un plus grand nombre de types de fichiers dans le visualiseur de pièces jointes en ligne, dont les images, le HTML et le Markdown. On peut aussi éditer les fichiers texte en pièce jointe. Sur macOS, l’icône et plusieurs menus ont été passés à la moulinette Liquid Glass.

KeePassXC 2.7.11 corrige en outre toute une série de bugs, dont un qui pouvait empêcher la fenêtre d’être restaurée dans sa géométrie précédente. Les notes de version complètes et les téléchargements sont disponibles depuis le site officiel.

Pour les personnes qui préfèrent une version éprouvée, KeePassXC 2.7.9 a reçu le 17 novembre une certification CSPN-2025/16 de l’ANSSI, obtenue pour trois ans. La petite application a même été mise en avant dans une publication du 21 novembre sur la sécurité des mots de passe.

En avril 2026 se déroulera le deuxième tour des extensions personnalisées de noms de domaine, les .marques. Lors du premier tour, plusieurs centaines d’entités avaient répondu présentes. Nous pouvons par exemple citer les extensions .leclerc, .bnpparibas, .lancaster, .sncf, .google, ainsi que des extensions géographiques comme les .paris, .bzh, .alsace, etc.

Au début du mois, le Conseil d’administration de l’ICANN a adopté officiellement « le Guide de candidature, ouvrant la voie à la série de 2026 », comme le rapporte Abondance. Dans son communiqué, l’ICANN explique que ce guide « définit les exigences et les procédures applicables à toute entité posant une candidature à un gTLD ».

Désormais, le calendrier se resserre : « le Guide de candidature doit être mis à disposition au moins quatre mois avant l’ouverture de la fenêtre de candidature. L’adoption par le Conseil d’administration lors de la réunion ICANN84 a pour effet que l’organisation ICANN (ICANN org) est chargée de publier le guide au plus tard le 30 décembre 2025 ».

Lors du Summit d’OVHcloud nous avons demandé aux équipes en charge des noms de domaine si un accompagnement des clients souhaitant se lancer dans des .marques était prévu. Le sujet est discuté en interne, mais rien n’est acté pour l’instant.

En attendant, une version non finalisée du guide est disponible à cette adresse (pdf de 440 pages). L’Afnic rappelle les couts qui « représentent certes un investissement au démarrage, mais qui doivent être analysés à la lumière des économies et des bénéfices générés » : 227 500 dollars de frais de dossier pour le dépôt initial la première année, puis à partir de 25 000 dollars par an. Il faut ajouter des coûts techniques variables. Les entités intéressées peuvent contacter l’Afnic pour un accompagnement.

• Interview de Kurtis Lindqvist (ICANN) : entre nouvelles extensions et gouvernance houleuse

Memtest86+ est un nom qui rappelle certainement des souvenirs aux moins jeunes d’entre nous. Ce petit utilitaire permet de tester de fond en comble la mémoire d’un ordinateur. Il est revenu sur le devant de la scène en 2022 avec une nouvelle version entièrement réécrite. La première nouvelle version était la 6.00 publiée en octobre 2022. En janvier 2024, la 7.00 était mise en ligne.

Et c’est maintenant au tour de Memtest86+ 8.00 de débarquer. Les notes de versions sont assez peu détaillées puisqu’elles indiquent simplement la prise en charge des « derniers processeurs Intel et AMD ».

Des correctifs sur la DDR5 sont de la partie, avec aussi les informations sur la température. Un mode sombre est aussi proposé en option. Tous les détails et les téléchargements sont disponibles dans ce dépôt GitHub. Vous pouvez également passer par le site officiel.

Bonjour, c’est le livreur Colis Privé…

C’est au tour de Colis Privé d’être victime d’une fuite de données personnelles de ses clients. Contacté par Next, CEVA Logistics, filiale de CMA CGM et propriétaire de Colis Privé, confirme la situation.

Hier soir, le transporteur français a envoyé un email à des clients (merci à tous ceux qui nous l’ont partagé) dont l’objet est : « Information importante relative à vos données personnelles ». La suite on ne la connait malheureusement que trop bien : une fuite de données.

Par contre, aucun message sur ses réseaux sociaux ni sur son site. Pour confirmer l’envoi de cet email, nous avons contacté le service presse de CEVA Logistics, filiale de CMA CGM (un armateur de porte-conteneurs français) et propriétaire de Colis Privé, qui nous confirme la situation.

Accès non autorisé aux données personnelles, pas bancaires

« Nos investigations ont permis de confirmer que seules des informations de contact sont potentiellement impliquées : nom, prénom, adresse postale, adresse électronique, et numéro de téléphone ». L’entreprise ajoute que vous pouvez être « rassurés » : « aucune donnée bancaire, aucun mot de passe ni aucune information sensible n’est concernée ». On appréciera la considération pour la sensibilité de nos données personnelles…

Colis Privé ne rentre pas dans les détails, évoquant simplement « un incident ayant entraîné un accès non autorisé et limité à certaines données sur une partie de nos systèmes ». La brèche a évidemment été bouchée et, « à ce stade, nous n’avons constaté aucun usage frauduleux de ces informations », ajoute la société.

Prudence face aux arnaques aux faux colis, toujours nombreuses

Nous avons également droit à l’éternelle promesse : « La protection de vos données personnelles est notre priorité absolue ». L’email se termine par trois conseils : « Restez attentif aux e-mails, SMS ou appels vous demandant des informations personnelles ou vous incitant à cliquer sur un lien, et vérifiez toujours l’identité de l’expéditeur en cas de doute », « utilisez des mots de passe forts et uniques pour chacun de vos comptes et activer la double authentification (MFA) » et enfin « ignorez tout message demandant un paiement : Colis Privé ne vous demandera jamais de payer ».

Cette fuite pourrait remettre une pièce dans la machine de l’arnaque aux faux colis et/ faux livreurs. L‘une des dernières versions étant les SMS du type « Bonjour vous êtes chez vous ? », « Bonjour vous êtes à la maison ? », comme l’expliquait récemment l’UFC-Que Choisir.

Si des personnes malintentionnées récupèrent les données de Colis Privé, elles pourraient s’en servir pour « personnaliser » ce type d’arnaque en ciblant davantage les tentatives de phishing avec les noms, adresses, emails, etc. des clients de Colis Privé.