Protego Maxima

L’extension développée par Next – avec de l’IA générative – pour signaler des sites avec des contenus rédigés en tout ou partie par de l’IA générative signale désormais plus de 8 500 domaines. Nous en profitons pour ajouter une nouvelle fonction : une alerte contre des sites potentiellement malveillants utilisant des homoglyphes. Surfez couvert avec Next !

Notre liste continue de grandir de semaine en semaine. Ce qui n’était au début que quelques centaines de noms est passé à plus de 1 000 en février, et ne cesse de grandir pour désormais atteindre plus de 8 500 sites. Pour rappel, elle intègre aussi les listes noires de Red Flag Domains des noms de domaine potentiellement suspects, ainsi que celle de l’Autorité des marchés financiers (AMF).

La procédure de mise à jour de la liste était loin d’être optimale. Nous l’avons améliorée, Jean-Marc peut désormais la mettre à jour en toute autonomie ; attendez-vous donc à l’arrivée de nouveaux domaines plus régulièrement. La taille du fichier de la liste bloom a été considérablement réduite au passage, mais sans pour autant modifier le niveau des faux positifs.

• Télécharger et installer notre extension pour Chrome
• Télécharger et installer notre extension pour Firefox

Notification d’échec des mises à jour des listes et nouvelles autorisations

Nous avons également amélioré le système de détection des échecs des mises à jour des listes. Si une des listes n’est pas disponible, l’extension affiche désormais un message d’alerte et envoie une notification au système (une seule par problème, pas plus !). Ce changement dans les autorisations entraine une validation de votre part lors de la mise à jour puisque les notifications n’étaient pas utilisées auparavant.

L’extension a aussi besoin d’accéder aux URL des onglets pour vérifier si le domaine est ou non dans une des listes. Elle doit également pouvoir « modifier » les pages pour y afficher le message d’alerte le cas échéant (le pop-up sur fond gris).

L’extension permettant, de manière volontaire, de nous signaler des sites en cliquant sur le bouton de l’extension, l’URL et des métadonnées nous sont également envoyées (nous les avons détaillées dans une précédente actualité).

Si vous cliquez sur l’icône de l’extension, nous avons revu un peu la fenêtre, notamment avec l’indication du nombre de sites dans notre liste GenAI, de Red Flag Domains et de l’AMF. En cas d’erreur sur la mise à jour des listes, un message s’affiche ici aussi. De plus, l’icône de l’extension affiche un ! en rouge pour indiquer le problème.   

Dans les paramètres de l’extension, un message d’erreur vous donne quelques détails et permet, si vous le désirez, de nous envoyer un message d’alerte (avec les mêmes métadonnées que pour les signalements de sites). Tout en bas s’affiche la liste des sites dont vous avez coché la case « Ne plus m’alerter sur ce site pour toutes les catégories » en bas à gauche du message d’alerte qui s’affiche lorsque vous consultez l’un des 8 500 sites GenAI identifiés. Vous pouvez en supprimer certains ou la totalité.

Notre extension alerte sur les homoglyphes !

L’autre gros morceau de cette version 2.5.5 est l’arrivée d’une nouvelle « liste ». Ce n’est pas une liste au sens propre du terme, mais plutôt une alerte contre de potentielles attaques par homographes, reposant sur l’utilisation d’homoglyphes, à savoir ces caractères ou glyphes qui semblent identiques ou très similaires à un ou plusieurs autres, tels que le « p » latin et le « p » cyrillique.

Une rapide explication de l’ANSSI : « Un utilisateur malintentionné peut acquérir un nom de domaine proche visuellement (la proximité visuelle est obtenue par le fait que de nombreux systèmes d’écriture utilisent des caractères se ressemblant) d’un autre nom de domaine connu ».

La liste Red Flag Domains permet déjà d’avoir ce genre d’alerte, mais uniquement sur les domaines en .fr. Les pirates visent plus large et tirent tous azimuts sur les autres domaines (.com, .net, .org etc.). Notre extension se base sur des listes de caractères proches de ceux de notre alphabet latin pour afficher un message d’alerte et vous appeler à la vigilance. Si une alerte s’affiche, vérifiez que vous êtes bien sur le bon site. La détection se fait uniquement en local.

Un bon exemple est (du moins était, il a été rapidement désactivé) le faux site avec le nom de domaine université-nantes[.]fr ; la vraie adresse de l’université est univ-nantes.fr. Il reprenait la présentation officielle du site de l’université et on pouvait se faire piéger facilement. Utilisant une extension en .fr, il était déjà dans la liste Red Flag Domains et donc signalé par la version actuelle de l’extension. La version 2.5.5 de notre extension le détecte automatiquement et fonctionne tout autant en .fr qu’en .com, .net, etc.

La technique est connue de longue date et peut se révéler redoutable contre les internautes. Par exemple, « арpІе » n’a pas de lettre « a », de « l » ou de « e » de l’alphabet latin et un seul « p » (le deuxième). Les autres sont des caractères cyriliques. Un vrai faux site a été mis en place ici : аррӏе.com (les navigateurs transforment le nom de domaine en xn--80ak6aa92e.com, mais on peut facilement se faire avoir en collant аррӏе.com dans la barre du navigateur et tout le monde n’a pas toujours les yeux rivés sur la barre d’URL.

C’est une première version des attaques par homoglyphes, la liste des caractères suspects peut être mise à jour de notre côté. Comme les autres listes, elle est téléchargée automatiquement tous les jours, ou bien à la demande depuis les paramètres de l’extension. Comme n’importe quelle autre liste, vous pouvez désactiver cette détection dans les paramètres.

Pensez à épingler l’extension !

Pour profiter au mieux de l’extension, nous vous conseillons de l’épingler. Une fois installée, sur Edge ou Chrome. Cliquez sur l’icône en forme de puzzle et cliquez sur la punaise. Sur Firefox, il faut aussi cliquer sur le puzzle, puis sur la roue crantée de l’extension et enfin sur « épingler à la barre d’outils ».

Pour rappel, le petit chiffre entouré de jaune qui s’affiche au-dessus du bouton de l’extension indique quant à lui le nombre de pages de sites GenAI que vous avez consultées dans la journée.

Protego Maxima

L’extension développée par Next – avec de l’IA générative – pour signaler des sites avec des contenus rédigés en tout ou partie par de l’IA générative signale désormais plus de 8 500 domaines. Nous en profitons pour ajouter une nouvelle fonction : une alerte contre des sites potentiellement malveillants utilisant des homoglyphes. Surfez couvert avec Next !

Notre liste continue de grandir de semaine en semaine. Ce qui n’était au début que quelques centaines de noms est passé à plus de 1 000 en février, et ne cesse de grandir pour désormais atteindre plus de 8 500 sites. Pour rappel, elle intègre aussi les listes noires de Red Flag Domains des noms de domaine potentiellement suspects, ainsi que celle de l’Autorité des marchés financiers (AMF).

La procédure de mise à jour de la liste était loin d’être optimale. Nous l’avons améliorée, Jean-Marc peut désormais la mettre à jour en toute autonomie ; attendez-vous donc à l’arrivée de nouveaux domaines plus régulièrement. La taille du fichier de la liste bloom a été considérablement réduite au passage, mais sans pour autant modifier le niveau des faux positifs.

• Télécharger et installer notre extension pour Chrome
• Télécharger et installer notre extension pour Firefox

Notification d’échec des mises à jour des listes et nouvelles autorisations

Nous avons également amélioré le système de détection des échecs des mises à jour des listes. Si une des listes n’est pas disponible, l’extension affiche désormais un message d’alerte et envoie une notification au système (une seule par problème, pas plus !). Ce changement dans les autorisations entraine une validation de votre part lors de la mise à jour puisque les notifications n’étaient pas utilisées auparavant.

L’extension a aussi besoin d’accéder aux URL des onglets pour vérifier si le domaine est ou non dans une des listes. Elle doit également pouvoir « modifier » les pages pour y afficher le message d’alerte le cas échéant (le pop-up sur fond gris).

L’extension permettant, de manière volontaire, de nous signaler des sites en cliquant sur le bouton de l’extension, l’URL et des métadonnées nous sont également envoyées (nous les avons détaillées dans une précédente actualité).

Si vous cliquez sur l’icône de l’extension, nous avons revu un peu la fenêtre, notamment avec l’indication du nombre de sites dans notre liste GenAI, de Red Flag Domains et de l’AMF. En cas d’erreur sur la mise à jour des listes, un message s’affiche ici aussi. De plus, l’icône de l’extension affiche un ! en rouge pour indiquer le problème.   

Dans les paramètres de l’extension, un message d’erreur vous donne quelques détails et permet, si vous le désirez, de nous envoyer un message d’alerte (avec les mêmes métadonnées que pour les signalements de sites). Tout en bas s’affiche la liste des sites dont vous avez coché la case « Ne plus m’alerter sur ce site pour toutes les catégories » en bas à gauche du message d’alerte qui s’affiche lorsque vous consultez l’un des 8 500 sites GenAI identifiés. Vous pouvez en supprimer certains ou la totalité.

Notre extension alerte sur les homoglyphes !

L’autre gros morceau de cette version 2.5.5 est l’arrivée d’une nouvelle « liste ». Ce n’est pas une liste au sens propre du terme, mais plutôt une alerte contre de potentielles attaques par homographes, reposant sur l’utilisation d’homoglyphes, à savoir ces caractères ou glyphes qui semblent identiques ou très similaires à un ou plusieurs autres, tels que le « p » latin et le « p » cyrillique.

Une rapide explication de l’ANSSI : « Un utilisateur malintentionné peut acquérir un nom de domaine proche visuellement (la proximité visuelle est obtenue par le fait que de nombreux systèmes d’écriture utilisent des caractères se ressemblant) d’un autre nom de domaine connu ».

La liste Red Flag Domains permet déjà d’avoir ce genre d’alerte, mais uniquement sur les domaines en .fr. Les pirates visent plus large et tirent tous azimuts sur les autres domaines (.com, .net, .org etc.). Notre extension se base sur des listes de caractères proches de ceux de notre alphabet latin pour afficher un message d’alerte et vous appeler à la vigilance. Si une alerte s’affiche, vérifiez que vous êtes bien sur le bon site. La détection se fait uniquement en local.

Un bon exemple est (du moins était, il a été rapidement désactivé) le faux site avec le nom de domaine université-nantes[.]fr ; la vraie adresse de l’université est univ-nantes.fr. Il reprenait la présentation officielle du site de l’université et on pouvait se faire piéger facilement. Utilisant une extension en .fr, il était déjà dans la liste Red Flag Domains et donc signalé par la version actuelle de l’extension. La version 2.5.5 de notre extension le détecte automatiquement et fonctionne tout autant en .fr qu’en .com, .net, etc.

La technique est connue de longue date et peut se révéler redoutable contre les internautes. Par exemple, « арpІе » n’a pas de lettre « a », de « l » ou de « e » de l’alphabet latin et un seul « p » (le deuxième). Les autres sont des caractères cyriliques. Un vrai faux site a été mis en place ici : аррӏе.com (les navigateurs transforment le nom de domaine en xn--80ak6aa92e.com, mais on peut facilement se faire avoir en collant аррӏе.com dans la barre du navigateur et tout le monde n’a pas toujours les yeux rivés sur la barre d’URL.

C’est une première version des attaques par homoglyphes, la liste des caractères suspects peut être mise à jour de notre côté. Comme les autres listes, elle est téléchargée automatiquement tous les jours, ou bien à la demande depuis les paramètres de l’extension. Comme n’importe quelle autre liste, vous pouvez désactiver cette détection dans les paramètres.

Pensez à épingler l’extension !

Pour profiter au mieux de l’extension, nous vous conseillons de l’épingler. Une fois installée, sur Edge ou Chrome. Cliquez sur l’icône en forme de puzzle et cliquez sur la punaise. Sur Firefox, il faut aussi cliquer sur le puzzle, puis sur la roue crantée de l’extension et enfin sur « épingler à la barre d’outils ».

Pour rappel, le petit chiffre entouré de jaune qui s’affiche au-dessus du bouton de l’extension indique quant à lui le nombre de pages de sites GenAI que vous avez consultées dans la journée.

Du nanomètre au bullshit-o-mètre

Si vous pensiez qu’un processeur avec une finesse de gravure de 3 nm était vraiment gravé en 3 nm, alors vous vous mettez le doigt dans l’œil jusqu’au coude. Cette information n’est qu’un argument marketing, sans lien avec la réalité. Dans ce nouveau format court #Nextquick on vous explique.

Lorsque l’on parle des caractéristiques techniques des puces – aussi bien pour les CPU, les GPU et les SoC en tout genre – , on indique généralement la finesse de gravure… mais cela veut-il dire quelque chose de précis ? Oui… et non. Depuis des années, ce n’est qu’une indication marketing, n’ayons pas peur des mots (surtout qu’ils ne sont pas de nous).

J’ai mal à ma souveraineté

88 % des 200 startups qui composent les trois classements de référence de la French Tech font transiter leurs emails par des outils fournis par des acteurs basés aux États-Unis. Sur les 176 entreprises concernées, 171 font confiance à Google et Microsoft. Ce chiffre illustre l’omniprésence des géants américains dans les entreprises françaises et soulève évidemment des questions sur la souveraineté.

La semaine dernière, la mission French Tech a dévoilé sa liste des 80 lauréats pour la seconde édition de la French Tech 2030. Ils sont présentés comme « les nouveaux bâtisseurs de la souveraineté technologique française », mais qu’en est-il de leurs fondations ?

Nous avons regardé à qui les 80 qui « développent des solutions stratégiques » confient leur emails. Nous avons ensuite élargi nos analyses aux startups du programme French Tech Next40/120, dédié « aux 120 scale-up françaises les plus performantes, en capacité de devenir les leaders technologiques de rang mondial ».

Des bâtisseurs de la souveraineté sur des piliers américains

Comme expliqué dans le premier volet de cette enquête, il suffit pour cela de regarder les enregistrements MX du nom de domaine de l’entreprise. Ce sont les serveurs vers lesquels les emails sont automatiquement redirigés afin d’être traités. Ils peuvent suivre un chemin plus ou moins long et tortueux par la suite, mais si le MX renvoie vers Google.com, alors Google est la porte d’entrée de tous les emails associés au nom de domaine de l’entreprise étudiée.

• Les emails : analyse technique et enjeux de souveraineté

La grande majorité des emails de la French Tech va chez Google et Microsoft, avec respectivement 30 et 32 entreprises sur les 80 de la seconde série de lauréats French Tech 2030. Les deux acteurs américains représentent donc près de 80 % de ce marché spécifique.

Le troisième sur le podium est le français OVHcloud, mais il n’est utilisé que par 4 des 80 entreprises de la French Tech 2030… soit seulement 5 % des startups concernées. Deux gèrent leurs e-mails en interne – Space Dreams et Keysom –, tout du moins les MX Domains puisque ces derniers renvoient vers leur propre domaine.

Voici le tableau complet des MX Domains de chaque entreprise lauréate de la French Tech 2030 :

Knock knock

Un email, c’est une carte postale. La métaphore n’est pas nouvelle, mais elle n’en reste pas moins toujours vraie. Mais savez-vous vraiment comment circulent les emails et qui peut y accéder ? Next vous explique leur fonctionnement et comment vérifier qui y a potentiellement accès.

En marge de notre dossier sur le fonctionnement en profondeur d’Internet, nous avons décidé de nous pencher sur les emails. Ils sont utilisés par tout le monde, parfois pour des futilités, parfois pour des choses importantes. Ils constituent aussi un enjeu de souveraineté, malheureusement trop souvent pris à la légère.

• [Dossier] Internet, mode d’emploi : une URL c’est quoi ? (partie 1)

Un email, c’est une carte postale

Un email par défaut, il faut le considérer comme une carte postale : n’importe quel intermédiaire peut lire son contenu, son expéditeur et son destinataire. Pire encore, il est facile d’usurper n’importe quelle identité. On peut évidemment appliquer une couche de chiffrement – un peu à la manière de mettre la carte postale dans une enveloppe –, mais c’est un autre sujet que nous aborderons dans un second temps.

Tout d’abord, comment se passe l’envoi d’un email ? Il faut savoir que l’email se décompose en deux principales parties, regroupées au sein de ce qu’on appelle le format MIME (Multipurpose Internet Mail Extensions ou Extensions multifonctions du courrier Internet) :

• Un en-tête (header) avec l’expéditeur, le destinataire, le sujet, la date…
• Le corps du message (body) avec le contenu de l’email et les éventuelles pièces jointes

La première partie du voyage de notre message se déroule dans un client de messagerie (Mail User Agent ou MUA) de l’expéditeur, que ce soit une application ou depuis un site web. L’acheminement du courrier se fait ensuite vers un serveur de courriel (Mail Transfer Agent ou MTA) rattaché à votre nom de domaine, via le protocole SMTP. À partir de là, la moitié du chemin est faite.

On peut se faire passer pour n’importe qui, la preuve !

L’email passe du serveur MTA lié à votre messagerie au serveur MTA rattaché au nom de domaine de votre destinataire. Par exemple, si vous m’envoyez un email sur une adresse en @next.ink depuis un email @Orange.fr, le serveur MTA de départ sera celui d’Orange, celui de réception est chez moji (qui héberge Next.ink). De son côté, le destinataire récupère son email via son client de messagerie relié au MTA (de moji, vous suivez ?).

Le problème avec cette architecture, c’est qu’il est très facile pour n’importe qui de faire n’importe quoi. En effet, on peut facilement modifier les en-têtes pour changer l’expéditeur et se faire passer pour une autre personne.

N’allez en effet pas croire que c’est compliqué à mettre en place… quelques lignes de codes et une dizaine de minutes suffisent. Pour créer le message ci-dessous, nous avons simplement assemblé un email avec les éléments suivants (oui, c’est aussi simple que ça en a l’air, mais nous ne ferons pas de tuto) avec le résultat juste en dessous :

message = MIMEMultipart()
message["From"]="Sundar Pichai sundar.pichai@google.com"
message["Subject"]="Trop bien guys votre enquete sur les sites GenAI !"
message["Reply-To"]="sundar.pichai@google.com"

Vers qui partent les emails ? Les enregistrements MX balancent tout !

Les mails pouvant circuler dans tous les sens sans restriction particulière par défaut, les serveurs associés aux adresses emails sont publics. On les trouve dans les enregistrements MX des noms de domaines ; MX pour Mail eXchange.

Cette information est publique, dans le DNS, lisible par tout le monde depuis son ordinateur. Deux outils extrêmement simples permettent de récupérer les enregistrements MX : nslookup et dig (il en existe bien d’autres).

Sous Windows et Linux, nslookup est disponible en ligne de commande. Il existe aussi dig, plus complet, sur les distributions Linux. Voici les commandes à utiliser dans les deux cas, pour les serveurs emails recevant tous les envois vers @next.ink. Pour dig, nous avons ajouté le paramètre +short afin de n’avoir que les champs MX les uns en dessous des autres sans tous les détails supplémentaires, mais vous pouvez l’enlever pour une réponse plus longue.

nslookup -type=mx next.ink
dig +short MX next.ink

Dans les deux cas, le résultat est évidemment le même : mx1.oui.do avec une préférence à 1 et mx2.oui.do avec la préférence à 2. La préférence est simplement l’ordre dans lequel il faut choisir les serveurs pour envoyer les emails. mx1.oui.do est le premier, mais s’il ne répond pas, un serveur secondaire est disponible sur mx2.oui.do.

Ce que les enregistrements MX permettent de prouver

Cela signifie donc qu’un simple coup d’œil à l’enregistrement DNS permet de savoir qui s’occupe de la réception des emails. Si une entreprise utilise les services de Google pour gérer ses emails, les enregistrements MX pointeront vers des sous domaines de Google.com. Pour du Microsoft, ils pointent vers du Outlook.com, etc.

Quelques points à savoir. Les serveurs MX indiquent la route à suivre et pointent vers le premier « poste de douane », c’est-à-dire l’endroit où arrivent les emails avant d’être ensuite acheminés vers leur destinataire. Ils peuvent ensuite prendre des chemins plus ou moins long et sinueux avant d’arriver à destination, mais nous n’avons pas accès aux détails des routes, c’est de la tambouille interne.

Voici quelques exemples. Certains comme Polytechnique et l’Université de Paris Saclay gèrent la réception en interne, d’autres comme l’Université de Versailles Saint-Quentin passent par Renater (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). Blablacar utilise de son côté Google.

Cela ne veut pas obligatoirement dire que les mails @Blablacar.fr finissent dans une boite Gmail ou un compte Google Workspace, mais cela prouve néanmoins qu’ils arrivent chez Google comme premier poste de douane.

Le géant du Net a donc accès à un moment donné à tous les emails envoyés à @Blablacar.fr. Et comme tout poste de douane qui se respecte, il peut décider du jour au lendemain de couper l’accès, mais de continuer à recevoir les emails entrants, jusqu’à ce que les enregistrements MX soient changés.

Autre point important, ce n’est pas parce qu’une entreprise passe par autre chose que Google ou Outlook dans ses enregistrements MX, qu’elle n’utilise pas à un moment donné les services des géants américains ; simplement les enregistrements MX ne permettent pas de le prouver.

Certains comme Shares.io – un outil d’investissement « développé, opéré et régulé en France » – doublent la mise avec Google comme enregistrements MX primaire, secondaire et tertiaire, ainsi que Outlook en quatrième position si les trois serveurs Google devaient ne pas répondre. Ceinture et bretelle aux couleurs des États-Unis en somme.

Un vrai enjeu de souveraineté !

En résumé : si les MX pointent vers Google ou Microsoft, cela prouve que les entreprises américaines ont accès aux emails, peu importe où ils finissent par arriver. Mais nous ne pouvons en déduire rien de plus ; aucun corollaire n’existe à cette affirmation.

Par exemple, les enregistrements MX de Next.ink renvoient vers oui.do, mais ensuite impossible de savoir ce qu’il se passe pour un observateur à l’extérieur ; ils pourraient se retrouver sur un compte Gmail sans que vous le sachiez. Rassurez-vous, chez Next les emails sont bien gérés et stockés en interne chez oui.do (moji), dans leur datacenter à Nanterre.

La gestion des enregistrements MX est donc un enjeu fort quand il s’agit de parler de souveraineté numérique. Problème, beaucoup d’entreprises, start-ups et institutions françaises utilisent encore massivement Google et dans une moindre mesure Microsoft comme point d’entrée des emails.

SPF, DKIM et DMARC : le trio de la sécurité des emails

Terminons enfin avec un point que nous avions déjà abordé il y a quelques années, mais qu’il est bon de rappeler quand on parle email. Il est possible d’ajouter des couches de sécurité avec DKIM, SPF et DMARC, notamment pour éviter que des petits malins ne changent l’expéditeur sans se faire remarquer.

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Le Sender Policy Framework (SPF) « permet au serveur qui reçoit un e-mail de s’assurer que ce dernier a bien été envoyé depuis un serveur de confiance », explique OVHcloud. Si vous recevez un email provenant du domaine exemple.com, le SPF permet de vérifier que le serveur est bien autorisé à envoyer des emails au nom de exemple.com.

Avec SPF, on peut donc vérifier que l’email provient d’un serveur autorisé, mais rien de plus. N’importe qui pouvant envoyer des emails en @next.ink pourrait se faire passer pour une autre personne de @next.ink. Pour s’assurer que l’expéditeur du message est, lui aussi, autorisé, un autre protocole existe : DKIM ou DomainKeys Identified Mail.

Il permet « aux propriétaires de domaines de signer automatiquement « les courriels » provenant de leur domaine, tout comme la signature d’un chèque permet de confirmer l’identité de son auteur », explique Cloudflare. DKIM utilise un chiffrement asymétrique : une clé publique sur le serveur email et une clé privée utilisée par l’expéditeur pour signer l’en-tête de l’email.

« Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l’expéditeur a été utilisée en appliquant la clé publique », détaille Cloudflare. Un point important : la vérification de l’expéditeur est de la responsabilité du serveur email rattaché au nom de domaine de l’expéditeur, c’est à lui que revient la charge de s’assurer que l’utilisateur qui envoie l’email est le bon. Comme les utilisateurs doivent s’identifier, cela n’est généralement pas un problème.

Enfin, DMARC (Domain-based Message Authentication Reporting and Conformance) définit ce que doit faire un serveur de messagerie en fonction des résultats de la vérification SPF et DKIM. On parle de « politique DMARC » qui peut être de refuser en bloc les messages échouant aux tests SPF et/ou DKIM, les mettre en quarantaine ou tout simplement les accepter. Oui, un message peut louper son test SPF, échouer à DKIM et arriver tout de même dans votre boite de réception, la fleur au fusil.

Knock knock

Un email, c’est une carte postale. La métaphore n’est pas nouvelle, mais elle n’en reste pas moins toujours vraie. Mais savez-vous vraiment comment circulent les emails et qui peut y accéder ? Next vous explique leur fonctionnement et comment vérifier qui y a potentiellement accès.

En marge de notre dossier sur le fonctionnement en profondeur d’Internet, nous avons décidé de nous pencher sur les emails. Ils sont utilisés par tout le monde, parfois pour des futilités, parfois pour des choses importantes. Ils constituent aussi un enjeu de souveraineté, malheureusement trop souvent pris à la légère.

• [Dossier] Internet, mode d’emploi : une URL c’est quoi ? (partie 1)

Un email, c’est une carte postale

Un email par défaut, il faut le considérer comme une carte postale : n’importe quel intermédiaire peut lire son contenu, son expéditeur et son destinataire. Pire encore, il est facile d’usurper n’importe quelle identité. On peut évidemment appliquer une couche de chiffrement – un peu à la manière de mettre la carte postale dans une enveloppe –, mais c’est un autre sujet que nous aborderons dans un second temps.

Tout d’abord, comment se passe l’envoi d’un email ? Il faut savoir que l’email se décompose en deux principales parties, regroupées au sein de ce qu’on appelle le format MIME (Multipurpose Internet Mail Extensions ou Extensions multifonctions du courrier Internet) :

• Un en-tête (header) avec l’expéditeur, le destinataire, le sujet, la date…
• Le corps du message (body) avec le contenu de l’email et les éventuelles pièces jointes

La première partie du voyage de notre message se déroule dans un client de messagerie (Mail User Agent ou MUA) de l’expéditeur, que ce soit une application ou depuis un site web. L’acheminement du courrier se fait ensuite vers un serveur de courriel (Mail Transfer Agent ou MTA) rattaché à votre nom de domaine, via le protocole SMTP. À partir de là, la moitié du chemin est faite.

On peut se faire passer pour n’importe qui, la preuve !

L’email passe du serveur MTA lié à votre messagerie au serveur MTA rattaché au nom de domaine de votre destinataire. Par exemple, si vous m’envoyez un email sur une adresse en @next.ink depuis un email @Orange.fr, le serveur MTA de départ sera celui d’Orange, celui de réception est chez moji (qui héberge Next.ink). De son côté, le destinataire récupère son email via son client de messagerie relié au MTA (de moji, vous suivez ?).

Le problème avec cette architecture, c’est qu’il est très facile pour n’importe qui de faire n’importe quoi. En effet, on peut facilement modifier les en-têtes pour changer l’expéditeur et se faire passer pour une autre personne.

N’allez en effet pas croire que c’est compliqué à mettre en place… quelques lignes de codes et une dizaine de minutes suffisent. Pour créer le message ci-dessous, nous avons simplement assemblé un email avec les éléments suivants (oui, c’est aussi simple que ça en a l’air, mais nous ne ferons pas de tuto) avec le résultat juste en dessous :

message = MIMEMultipart()
message["From"]="Sundar Pichai sundar.pichai@google.com"
message["Subject"]="Trop bien guys votre enquete sur les sites GenAI !"
message["Reply-To"]="sundar.pichai@google.com"

Vers qui partent les emails ? Les enregistrements MX balancent tout !

Les mails pouvant circuler dans tous les sens sans restriction particulière par défaut, les serveurs associés aux adresses emails sont publics. On les trouve dans les enregistrements MX des noms de domaines ; MX pour Mail eXchange.

Cette information est publique, dans le DNS, lisible par tout le monde depuis son ordinateur. Deux outils extrêmement simples permettent de récupérer les enregistrements MX : nslookup et dig (il en existe bien d’autres).

Sous Windows et Linux, nslookup est disponible en ligne de commande. Il existe aussi dig, plus complet, sur les distributions Linux. Voici les commandes à utiliser dans les deux cas, pour les serveurs emails recevant tous les envois vers @next.ink. Pour dig, nous avons ajouté le paramètre +short afin de n’avoir que les champs MX les uns en dessous des autres sans tous les détails supplémentaires, mais vous pouvez l’enlever pour une réponse plus longue.

nslookup -type=mx next.ink
dig +short MX next.ink

Dans les deux cas, le résultat est évidemment le même : mx1.oui.do avec une préférence à 1 et mx2.oui.do avec la préférence à 2. La préférence est simplement l’ordre dans lequel il faut choisir les serveurs pour envoyer les emails. mx1.oui.do est le premier, mais s’il ne répond pas, un serveur secondaire est disponible sur mx2.oui.do.

Ce que les enregistrements MX permettent de prouver

Cela signifie donc qu’un simple coup d’œil à l’enregistrement DNS permet de savoir qui s’occupe de la réception des emails. Si une entreprise utilise les services de Google pour gérer ses emails, les enregistrements MX pointeront vers des sous domaines de Google.com. Pour du Microsoft, ils pointent vers du Outlook.com, etc.

Quelques points à savoir. Les serveurs MX indiquent la route à suivre et pointent vers le premier « poste de douane », c’est-à-dire l’endroit où arrivent les emails avant d’être ensuite acheminés vers leur destinataire. Ils peuvent ensuite prendre des chemins plus ou moins long et sinueux avant d’arriver à destination, mais nous n’avons pas accès aux détails des routes, c’est de la tambouille interne.

Voici quelques exemples. Certains comme Polytechnique et l’Université de Paris Saclay gèrent la réception en interne, d’autres comme l’Université de Versailles Saint-Quentin passent par Renater (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). Blablacar utilise de son côté Google.

Cela ne veut pas obligatoirement dire que les mails @Blablacar.fr finissent dans une boite Gmail ou un compte Google Workspace, mais cela prouve néanmoins qu’ils arrivent chez Google comme premier poste de douane.

Le géant du Net a donc accès à un moment donné à tous les emails envoyés à @Blablacar.fr. Et comme tout poste de douane qui se respecte, il peut décider du jour au lendemain de couper l’accès, mais de continuer à recevoir les emails entrants, jusqu’à ce que les enregistrements MX soient changés.

Autre point important, ce n’est pas parce qu’une entreprise passe par autre chose que Google ou Outlook dans ses enregistrements MX, qu’elle n’utilise pas à un moment donné les services des géants américains ; simplement les enregistrements MX ne permettent pas de le prouver.

Certains comme Shares.io – un outil d’investissement « développé, opéré et régulé en France » – doublent la mise avec Google comme enregistrements MX primaire, secondaire et tertiaire, ainsi que Outlook en quatrième position si les trois serveurs Google devaient ne pas répondre. Ceinture et bretelle aux couleurs des États-Unis en somme.

Un vrai enjeu de souveraineté !

En résumé : si les MX pointent vers Google ou Microsoft, cela prouve que les entreprises américaines ont accès aux emails, peu importe où ils finissent par arriver. Mais nous ne pouvons en déduire rien de plus ; aucun corollaire n’existe à cette affirmation.

Par exemple, les enregistrements MX de Next.ink renvoient vers oui.do, mais ensuite impossible de savoir ce qu’il se passe pour un observateur à l’extérieur ; ils pourraient se retrouver sur un compte Gmail sans que vous le sachiez. Rassurez-vous, chez Next les emails sont bien gérés et stockés en interne chez oui.do (moji), dans leur datacenter à Nanterre.

La gestion des enregistrements MX est donc un enjeu fort quand il s’agit de parler de souveraineté numérique. Problème, beaucoup d’entreprises, start-ups et institutions françaises utilisent encore massivement Google et dans une moindre mesure Microsoft comme point d’entrée des emails.

SPF, DKIM et DMARC : le trio de la sécurité des emails

Terminons enfin avec un point que nous avions déjà abordé il y a quelques années, mais qu’il est bon de rappeler quand on parle email. Il est possible d’ajouter des couches de sécurité avec DKIM, SPF et DMARC, notamment pour éviter que des petits malins ne changent l’expéditeur sans se faire remarquer.

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Le Sender Policy Framework (SPF) « permet au serveur qui reçoit un e-mail de s’assurer que ce dernier a bien été envoyé depuis un serveur de confiance », explique OVHcloud. Si vous recevez un email provenant du domaine exemple.com, le SPF permet de vérifier que le serveur est bien autorisé à envoyer des emails au nom de exemple.com.

Avec SPF, on peut donc vérifier que l’email provient d’un serveur autorisé, mais rien de plus. N’importe qui pouvant envoyer des emails en @next.ink pourrait se faire passer pour une autre personne de @next.ink. Pour s’assurer que l’expéditeur du message est, lui aussi, autorisé, un autre protocole existe : DKIM ou DomainKeys Identified Mail.

Il permet « aux propriétaires de domaines de signer automatiquement « les courriels » provenant de leur domaine, tout comme la signature d’un chèque permet de confirmer l’identité de son auteur », explique Cloudflare. DKIM utilise un chiffrement asymétrique : une clé publique sur le serveur email et une clé privée utilisée par l’expéditeur pour signer l’en-tête de l’email.

« Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l’expéditeur a été utilisée en appliquant la clé publique », détaille Cloudflare. Un point important : la vérification de l’expéditeur est de la responsabilité du serveur email rattaché au nom de domaine de l’expéditeur, c’est à lui que revient la charge de s’assurer que l’utilisateur qui envoie l’email est le bon. Comme les utilisateurs doivent s’identifier, cela n’est généralement pas un problème.

Enfin, DMARC (Domain-based Message Authentication Reporting and Conformance) définit ce que doit faire un serveur de messagerie en fonction des résultats de la vérification SPF et DKIM. On parle de « politique DMARC » qui peut être de refuser en bloc les messages échouant aux tests SPF et/ou DKIM, les mettre en quarantaine ou tout simplement les accepter. Oui, un message peut louper son test SPF, échouer à DKIM et arriver tout de même dans votre boite de réception, la fleur au fusil.

rm -fr >> all pour ce qui est de la taille finale !

Le meilleur algorithme de compression n’est pas forcément le plus rapide et vice-versa. Le meilleur choix dépend généralement des usages, mais comment faire ce choix ? Next vous aide avec 14 algorithmes, 10 catégories de données et 3 niveaux de compression. Près de 4 000 résultats vous attendent, avec un classement interactif dont vous êtes le héros !

Il y a quelques jours, nous avons testé le nouvel algorithme de compression OpenZL de Meta. Un autre est sorti récemment, Turbosqueeze. Son créneau est la vitesse de traitement : « Turbosqueeze propose des compressions et décompressions très rapides, ce qui le rend idéal pour les charges de travail exigeantes, les fichiers volumineux et les systèmes en temps réel ».

• On a testé OpenZL, le modèle de compression de Meta : résultats et limitations

Spoiler sur Turbosqueeze : il est en effet rapide, mais n’est pas systématiquement premier, loin de là. Niveau compression des données, par contre, il est toujours loin de la tête de course. Ses meilleurs résultats sont dans la catégorie CSV avec la vitesse la plus élevée et un niveau de compression semblable à lz4 et lzop.

Nous l’avons intégré à un comparatif plus large, aux côtés d’autres algorithmes, avec de la décompression cette fois-ci (comme certains le demandaient). Pour améliorer notre protocole et dépendre le moins possible du stockage, nous effectuons désormais l’ensemble des tests de compression et décompression dans un ramdisk. Il s’agit pour rappel d’un espace de stockage créé en mémoire vive, bien plus rapide que les HDD et les SSD.

Les algorithmes : OpenZL, Turbosqueeze, zstd, rar, rip, brotli, zopfli…

Nous avons tout d’abord effectué un fichier d’archive avec la commande TAR. Aucune compression ici, mais un mètre étalon. Du côté des algorithmes, OpenZL avec le profil serial qui s’adapte à tous les types de fichiers. Un coup de Turbosqueeze ensuite.

Viennent ensuite des algorithmes plus classiques : zstd, xz (attention, une porte dérobée a été détectée en 2024), gzip, bzip2, 7zip, zip, lz4, rar, brotli, pixz, lzop et zopfli. Lorsque plusieurs niveaux de compression sont disponibles, nous lançons plusieurs tests avec les niveaux 1, 5 et 9.

La quantité de données qui en résulte est relativement importante puisque, pour chaque type de données, nous avons une quarantaine de tests (plus d’une dizaine d’algorithmes avec pour la plupart trois niveaux de compression).

Ci-dessous les tableaux de seulement trois des dix catégories de fichiers testés. Comme toujours, nous vous proposons également l’intégralité des résultats dans une feuille de calcul avec toutes les données exploitables.

Un score final personnalisable selon vos besoins (débit, compression)

Les Vitals dans Android sont un ensemble de signaux (taux de plantages, taux d’erreurs…) pour les développeurs, leur permettant d’avoir des retours sur la qualité technique de leurs applications. Ils ont été lancés en 2017 et sont disponibles via une API depuis 2022.

En avril de cette année, de nouvelles mesures sont arrivées en bêta sur la consommation de la batterie causée par des wake locks trop importants, c’est-à-dire des « verrous pour empêcher l’appareil de se mettre en veille » même si l’application est en arrière-plan. Durant la phase bêta, Android Vitals signalait une utilisation excessive si l’ensemble des verrous « s’exécutent pendant plus de 3 heures sur une période de 24 heures ».

Ces derniers mois ont été mis à profit pour affiner « l’algorithme afin qu’il soit encore plus précis et représentatif ». Le seuil du temps cumulé est par exemple passé de 3 à 2 heures. Comme prévu, Google a passé la seconde : cette information n’est plus en bêta et sera même affichée sur la boutique Play Store.

En effet, à compter du 1ᵉʳ mars 2026, si votre application atteint certains seuils (voir l’image ci-dessus), Google pourra « l’exclure de certaines zones telles que les recommandations. Dans certains cas, nous pouvons afficher un avertissement sur votre fiche pour indiquer aux utilisateurs que votre application peut entraîner une consommation excessive de la batterie ».

Ce billet de blog explique aux développeurs comment vérifier ce qu’il en est de leurs applications et prendre des mesures correctives avant le 1ᵉʳ mars pour éviter un affichage sur la place publique.

Deux de perdus, un de retrouvé

Intel vient de subir deux départs de responsables techniques autour des datacenters et de l’intelligence artificielle. Saurabh Kulkarni va chez AMD, Sachin Katti chez OpenAI. Intel renforce son conseil d’administration avec un « vieux de la vieille » : Craig H. Barratt.

Saurabh Kulkarni : des datacenters d’Intel à ceux d’AMD

La semaine dernière, CRN annonçait le départ de Saurabh Kulkarni, directeur technique et responsable de l’intelligence artificielle chez Intel. Il passe chez AMD comme vice-président chargé de la gestion des produits GPU pour centres de données, comme il l’a confirmé sur LinkedIn.

Anil Nanduri, vice-président de l’IA dans les datacenters, prendra sa relève, précisent nos confrères. Saurabh Kulkarni est resté un peu plus de deux ans chez Intel, mais c’est une maison qu’il connait bien car il y a passé 13 ans dans le début des années 2000. Il a également passé six ans chez Microsoft.

Sachin Katti : de directeur technique d’Intel aux infras d’OpenAI

Autre départ annoncé, cette semaine cette fois : celui de Sachin Katti. Il était chez Intel depuis quatre ans, avec ces derniers mois le poste de directeur technique et responsable de l’intelligence artificielle. Il part pour rejoindre OpenAI et, sur X, annonce qu’il aidera « au développement de l’infrastructure de calcul pour l’IA générale ».

À CRN, Intel précise que c’est l’actuel patron de l’entreprise, Lip-Bu Tan, qui prendra les responsabilités de Sachin Katti pour l’instant. « L’IA reste l’une des plus grandes priorités stratégiques d’Intel, et nous nous concentrons sur l’exécution de notre feuille de route des produits et de la technologie », ajoute une porte-parole d’Intel.

Craig H. Barratt ex-Google, ex-Qualcomm, ex-Atheros, (re)vient chez Intel

Lundi, Intel a annoncé l’arrivée d’une nouvelle tête à son conseil d’administration : Craig H. Barratt. Son CV sur LinkedIn est impressionnant. Il était déjà chez Intel dans la fin des années 2010, arrivé par le rachat de Barefoot Networks (dont il était CEO). Il avait auparavant passé trois ans comme haut responsable chez Google et une dizaine d’années comme CEO d’Atheros, dont un an après le rachat par Qualcomm.

Âgé de 63 ans, il devient donc administrateur indépendant. « Il s’agit d’un dirigeant chevronné dans le secteur des semi-conducteurs avec une expérience dans plusieurs entreprises de pointe, une expérience inestimable pour continuer à mettre en œuvre notre stratégie et capitaliser sur nos opportunités de croissance à long terme », indique Lip-Bu Tan dans un communiqué.

Des bénéfices pour Intel au troisième trimestre

Il y a quelques jours, Intel publiait son bilan financier du troisième trimestre, avec des revenus en petite hausse sur un an pour atteindre 13,7 milliards de dollars. La société retrouve un peu de couleurs avec un bénéfice de 4,1 milliards de dollars après des pertes de 16,6 milliards l’année précédente.

Au cours des dernières semaines, des changements importants ont été annoncés, notamment l’entrée au capital de NVIDIA qui investit 5 milliards de dollars. L’entreprise a également reçu 5,7 milliards de dollars d’aides. Fin août, c’était l’administration de Donald Trump qui prenait 9,9 % du capital… juste après deux milliards de dollars de Softbank. Les années 2024 et 2025 sont financièrement compliquées pour Intel qui a largement coupé dans ses effectifs et revu ses investissements.

• L’administration Trump prend 9,9 % du capital d’Intel
• NVIDIA investit 5 milliards dans Intel : bientôt des CPU avec un GPU RTX !

Les Vitals dans Android sont un ensemble de signaux (taux de plantages, taux d’erreurs…) pour les développeurs, leur permettant d’avoir des retours sur la qualité technique de leurs applications. Ils ont été lancés en 2017 et sont disponibles via une API depuis 2022.

En avril de cette année, de nouvelles mesures sont arrivées en bêta sur la consommation de la batterie causée par des wake locks trop importants, c’est-à-dire des « verrous pour empêcher l’appareil de se mettre en veille » même si l’application est en arrière-plan. Durant la phase bêta, Android Vitals signalait une utilisation excessive si l’ensemble des verrous « s’exécutent pendant plus de 3 heures sur une période de 24 heures ».

Ces derniers mois ont été mis à profit pour affiner « l’algorithme afin qu’il soit encore plus précis et représentatif ». Le seuil du temps cumulé est par exemple passé de 3 à 2 heures. Comme prévu, Google a passé la seconde : cette information n’est plus en bêta et sera même affichée sur la boutique Play Store.

En effet, à compter du 1ᵉʳ mars 2026, si votre application atteint certains seuils (voir l’image ci-dessus), Google pourra « l’exclure de certaines zones telles que les recommandations. Dans certains cas, nous pouvons afficher un avertissement sur votre fiche pour indiquer aux utilisateurs que votre application peut entraîner une consommation excessive de la batterie ».

Ce billet de blog explique aux développeurs comment vérifier ce qu’il en est de leurs applications et prendre des mesures correctives avant le 1ᵉʳ mars pour éviter un affichage sur la place publique.

Deux de perdus, un de retrouvé

Intel vient de subir deux départs de responsables techniques autour des datacenters et de l’intelligence artificielle. Saurabh Kulkarni va chez AMD, Sachin Katti chez OpenAI. Intel renforce son conseil d’administration avec un « vieux de la vieille » : Craig H. Barratt.

Saurabh Kulkarni : des datacenters d’Intel à ceux d’AMD

La semaine dernière, CRN annonçait le départ de Saurabh Kulkarni, directeur technique et responsable de l’intelligence artificielle chez Intel. Il passe chez AMD comme vice-président chargé de la gestion des produits GPU pour centres de données, comme il l’a confirmé sur LinkedIn.

Anil Nanduri, vice-président de l’IA dans les datacenters, prendra sa relève, précisent nos confrères. Saurabh Kulkarni est resté un peu plus de deux ans chez Intel, mais c’est une maison qu’il connait bien car il y a passé 13 ans dans le début des années 2000. Il a également passé six ans chez Microsoft.

Sachin Katti : de directeur technique d’Intel aux infras d’OpenAI

Autre départ annoncé, cette semaine cette fois : celui de Sachin Katti. Il était chez Intel depuis quatre ans, avec ces derniers mois le poste de directeur technique et responsable de l’intelligence artificielle. Il part pour rejoindre OpenAI et, sur X, annonce qu’il aidera « au développement de l’infrastructure de calcul pour l’IA générale ».

À CRN, Intel précise que c’est l’actuel patron de l’entreprise, Lip-Bu Tan, qui prendra les responsabilités de Sachin Katti pour l’instant. « L’IA reste l’une des plus grandes priorités stratégiques d’Intel, et nous nous concentrons sur l’exécution de notre feuille de route des produits et de la technologie », ajoute une porte-parole d’Intel.

Craig H. Barratt ex-Google, ex-Qualcomm, ex-Atheros, (re)vient chez Intel

Lundi, Intel a annoncé l’arrivée d’une nouvelle tête à son conseil d’administration : Craig H. Barratt. Son CV sur LinkedIn est impressionnant. Il était déjà chez Intel dans la fin des années 2010, arrivé par le rachat de Barefoot Networks (dont il était CEO). Il avait auparavant passé trois ans comme haut responsable chez Google et une dizaine d’années comme CEO d’Atheros, dont un an après le rachat par Qualcomm.

Âgé de 63 ans, il devient donc administrateur indépendant. « Il s’agit d’un dirigeant chevronné dans le secteur des semi-conducteurs avec une expérience dans plusieurs entreprises de pointe, une expérience inestimable pour continuer à mettre en œuvre notre stratégie et capitaliser sur nos opportunités de croissance à long terme », indique Lip-Bu Tan dans un communiqué.

Des bénéfices pour Intel au troisième trimestre

Il y a quelques jours, Intel publiait son bilan financier du troisième trimestre, avec des revenus en petite hausse sur un an pour atteindre 13,7 milliards de dollars. La société retrouve un peu de couleurs avec un bénéfice de 4,1 milliards de dollars après des pertes de 16,6 milliards l’année précédente.

Au cours des dernières semaines, des changements importants ont été annoncés, notamment l’entrée au capital de NVIDIA qui investit 5 milliards de dollars. L’entreprise a également reçu 5,7 milliards de dollars d’aides. Fin août, c’était l’administration de Donald Trump qui prenait 9,9 % du capital… juste après deux milliards de dollars de Softbank. Les années 2024 et 2025 sont financièrement compliquées pour Intel qui a largement coupé dans ses effectifs et revu ses investissements.

• L’administration Trump prend 9,9 % du capital d’Intel
• NVIDIA investit 5 milliards dans Intel : bientôt des CPU avec un GPU RTX !

En Espagne ils ont eu le Black Out

Ce qui n’était au départ qu’une journée de promotion venue des États-Unis s’est transformé en un mois complet de « fête » pour les commerçants. Ajoutez à cela les soldes, les French Days et les opérations ponctuelles des revendeurs et vous avez une présentation de notre monde actuel : des promotions tournantes et permanentes.

Le Black Friday (vendredi noir en traduction littérale ou vendredi fou au Québec) est une fête commerciale venue des États-Unis. Elle se déroule le vendredi suivant Thanksgiving (qui a lieu le troisième jeudi du mois de novembre).

Le « Single Day » le même jour que l’Armistice

Notez que le Black Friday arrive (en théorie, nous allons y revenir) quelques jours après le 11 novembre (11/11), une autre journée de promotions, mais venue de Chine cette fois-ci. C’est le « jour des célibataires » ou « Single Day », car le mois et le jour ne comprennent que des 1. Les plateformes chinoises en profitent pour multiplier les offres, Alibaba en tête.

En France, le Black Friday a pris son envol durant la seconde moitié des années 2010. « Le Black Friday 2016 a été le jour le plus intense de toute [son] histoire, avec environ 1,4 million d’unités commandées, 40 % de plus que l’année précédente », se félicitait par exemple Amazon. À titre de comparaison, en novembre 2015, Alibaba (propriétaire d’AliExpress) revendiquait 467 millions de commandes pour le Single Day.

En France, cette journée des célibataires n’a jamais vraiment décollé. Il faut dire que cette date du 11 novembre est synonyme d’Armistice de la Première Guerre mondiale. C’est une journée pour rendre « hommage à tous les morts pour la nation », rappelle le gouvernement, pas spécialement propice à la fête des promotions en tout genre.

Du Black Friday à la Black Week

Le 12 décembre 2015, les accords de Paris étaient signé par 195 pays. Leur but ? Limiter le réchauffement climatique à 2 °C. Le Journal du CNRS fait le point dix ans après : « les résultats se font attendre. De quoi interroger l’efficacité des COP, ces grand-messes climatiques, dont la trentième édition s’ouvre ce lundi au Brésil ».

Le bilan est loin d’être à la hauteur : « en 2024, la température moyenne à la surface de la Terre a franchi pour la première fois le seuil de + 1,5 °C par rapport à l’ère préindustrielle. Si rien ne change, nous nous acheminons vers un réchauffement de la température planétaire de 3,1 °C à la fin du siècle ».

En janvier 2024, la NASA affirmait que 2023 était l’année « la plus chaude jamais enregistrée », tandis qu’en 2025 c’était l’Organisation météorologique mondiale (OMM) qui annonçait que 2024 était officiellement « l’année la plus chaude jamais enregistrée, avec une température supérieure d’environ 1,55 °C aux valeurs préindustrielles ».

La température globale n’est pas le seul problème : « Les océans se réchauffent plus vite que prévu par les modèles. De même, la cryosphère (l’ensemble des masses de glace, de neige et de sols gelés) fond plus rapidement », explique Agathe Euzen, directrice adjointe de CNRS Écologie & Environnement.

Et encore, c’est « sans même parler du dépérissement de la forêt amazonienne ou de la mort des récifs coralliens d’eau chaude dont dépendent 1 milliard de personnes et un quart de la vie marine… », ajoute le Journal du CNRS.

Gerhard Krinner, chercheur à l’Institut des géosciences de l’environnement, voit le bon côté des choses : « le monde est incontestablement meilleur avec l’accord de Paris que sans ». « Avec l’accord, on est actuellement sur une trajectoire de + 3 °C en 2100. Sans, on serait à+ 4 ou à+ 5 °C », ajoute Jean-François Doussin, directeur adjoint de CNRS Terre & Univers.

En septembre, nous expliquions qu’EchoStar était sous la pression du régulateur américain (poussé par SpaceX et Donald Trump) sur l’utilisation, ou plutôt la non-utilisation de ses fréquences.

Deux contrats ont été signés pour se séparer de certaines bandes de fréquences : 23 milliards de dollars de fréquences pour AT&T puis 17 milliards de dollars avec SpaceX. Un joli pactole pour l’entreprise.

• EchoStar vend pour 40 milliards de dollars de fréquences à SpaceX et AT&T

De 17 milliards, l’addition va passer à 19,6 milliards avec la vente de nouvelles fréquences EchoStar à SpaceX. Elles se trouvent dans la bande AWS-3, une liaison montante entre 1695 à 1710 MHz. Comme toujours, cette opération est soumise à l’accord des autorités compétentes.

« La combinaison de la liaison montante AWS-3, d’AWS-4 et du bloc H d’EchoStar avec les capacités de lancement de fusées et de fabrication de satellites de SpaceX accélère la mise en place d’offres direct-to-cell pour les consommateurs et les entreprises du monde entier, y compris nos clients Boost Mobile », affirme EchoStar.

• Direct-to-Cell : mais comment diable un smartphone peut communiquer avec un satellite

Depuis cet été, l’action de l’entreprise américaine a augmenté de 145 % et plus de 260 % en six mois.

Le 12 décembre 2015, les accords de Paris étaient signé par 195 pays. Leur but ? Limiter le réchauffement climatique à 2 °C. Le Journal du CNRS fait le point dix ans après : « les résultats se font attendre. De quoi interroger l’efficacité des COP, ces grand-messes climatiques, dont la trentième édition s’ouvre ce lundi au Brésil ».

Le bilan est loin d’être à la hauteur : « en 2024, la température moyenne à la surface de la Terre a franchi pour la première fois le seuil de + 1,5 °C par rapport à l’ère préindustrielle. Si rien ne change, nous nous acheminons vers un réchauffement de la température planétaire de 3,1 °C à la fin du siècle ».

En janvier 2024, la NASA affirmait que 2023 était l’année « la plus chaude jamais enregistrée », tandis qu’en 2025 c’était l’Organisation météorologique mondiale (OMM) qui annonçait que 2024 était officiellement « l’année la plus chaude jamais enregistrée, avec une température supérieure d’environ 1,55 °C aux valeurs préindustrielles ».

La température globale n’est pas le seul problème : « Les océans se réchauffent plus vite que prévu par les modèles. De même, la cryosphère (l’ensemble des masses de glace, de neige et de sols gelés) fond plus rapidement », explique Agathe Euzen, directrice adjointe de CNRS Écologie & Environnement.

Et encore, c’est « sans même parler du dépérissement de la forêt amazonienne ou de la mort des récifs coralliens d’eau chaude dont dépendent 1 milliard de personnes et un quart de la vie marine… », ajoute le Journal du CNRS.

Gerhard Krinner, chercheur à l’Institut des géosciences de l’environnement, voit le bon côté des choses : « le monde est incontestablement meilleur avec l’accord de Paris que sans ». « Avec l’accord, on est actuellement sur une trajectoire de + 3 °C en 2100. Sans, on serait à+ 4 ou à+ 5 °C », ajoute Jean-François Doussin, directeur adjoint de CNRS Terre & Univers.

En septembre, nous expliquions qu’EchoStar était sous la pression du régulateur américain (poussé par SpaceX et Donald Trump) sur l’utilisation, ou plutôt la non-utilisation de ses fréquences.

Deux contrats ont été signés pour se séparer de certaines bandes de fréquences : 23 milliards de dollars de fréquences pour AT&T puis 17 milliards de dollars avec SpaceX. Un joli pactole pour l’entreprise.

• EchoStar vend pour 40 milliards de dollars de fréquences à SpaceX et AT&T

De 17 milliards, l’addition va passer à 19,6 milliards avec la vente de nouvelles fréquences EchoStar à SpaceX. Elles se trouvent dans la bande AWS-3, une liaison montante entre 1695 à 1710 MHz. Comme toujours, cette opération est soumise à l’accord des autorités compétentes.

« La combinaison de la liaison montante AWS-3, d’AWS-4 et du bloc H d’EchoStar avec les capacités de lancement de fusées et de fabrication de satellites de SpaceX accélère la mise en place d’offres direct-to-cell pour les consommateurs et les entreprises du monde entier, y compris nos clients Boost Mobile », affirme EchoStar.

• Direct-to-Cell : mais comment diable un smartphone peut communiquer avec un satellite

Depuis cet été, l’action de l’entreprise américaine a augmenté de 145 % et plus de 260 % en six mois.

C’est la guerre mon général !

Le match pour récupérer 700 MHz de fréquence dans les 6 GHz continue. D’un côté les opérateurs de téléphonie mobile qui veulent récupérer l’intégralité du spectre, de l’autre deux Alliances Wi-Fi qui veulent au moins que soit explorée la piste du partage des ressources. Dans deux jours, la Commission européenne doit prendre une décision importante.

Cela fait maintenant des années que se déroule une « lutte acharnée entre la communauté réseaux mobiles et Wi-Fi ». En cause le partage des ressources – le spectre radio – et plus précisément la partie haute des 6 GHz, des fréquences comprises entre 6 425 et 7 125 MHz. Cela représente 700 MHz tout de même, de quoi ouvrir en grand les appétits.

Under pressure

La plateforme Shein fait encore parler d’elle. La fermeture de la marketplace lui a permis de se « mettre en conformité », mais cela ne clôture pas les actions en justice. Le BHV Marais se félicite de ce partenariat et annonce qu’il va élargir son offre Shein.

Shein n’en finit plus d’occuper le devant de la scène politique, juridique et médiatique suite à l’affaire des « poupées sexuelles à caractère pédopornographique » vendues sur sa marketplace. Le gouvernement a engagé une « procédure de suspension » contre Shein qui, dans la foulée, a annoncé la suspension temporaire des « ventes de sa Marketplace en France ».

• Shein : les 200 000 colis arrivés cette nuit en France « seront tous contrôlés. Tous. »
• [MàJ] Shein : « procédure de suspension » engagée, la marketplace ferme en France

Shein sous « surveillance rapprochée »

Du côté des douanes, une action était lancée jeudi avec le contrôle de l’intégralité des 200 000 colis Shein arrivés pendant la nuit. Comme nous l’avions alors expliqué, ce n’était pas les preuves qui manquaient déjà sur « des produits non conformes et illicites » venant de plateformes chinoises. En avril, Amélie de Montchalin expliquait déjà à l’Assemblée nationale que « 94 % de ces 800 millions d’articles [venant de Chine] sont non conformes et d’abord en termes de sécurité ».

Le 7 novembre, la répression des fraudes annonce que, suite à son injonction, « Shein a été contraint de se mettre en conformité en suspendant sa marketplace, supprimant ainsi tous les produits illicites de la plateforme ». Cela comprend notamment des objets à caractère pédopornographique, des armes blanches et des médicaments. La plateforme reste sous « surveillance rapprochée des services de l’État ».

Frédéric Merlin, propriétaire du BHV Marais et président de la Société des Grands Magasins, défend son partenariat avec Shein et a maintenu l’ouverture du « corner » mercredi dernier, en pleine tempête médiatique. Il s’est exprimé sur la fermeture de la marketplace et défend Shein. Il parle d’une décision « volontaire » de fermeture et pas « contrainte » comme l’indique la DGCCRF :

« Je salue cette décision et je peux vous dire également que la décision de suspendre cette marketplace avait été prise par Shein avant la demande du Premier ministre […] J’espère enfin qu’on pourra arrêter de vendre des produits illicites sur cette place de marché. »

Les différentes procédures judiciaires continuent

Quoi qu’il en soit, la DGCCRF ajoute que « les procédures judiciaires » continuent. En effet, « les mesures prises par Shein ne remettent en aucun cas en cause les procédures judiciaires engagées ». Elles sont lancées à plusieurs niveaux.

Le tribunal judiciaire de Paris a été officiellement saisi par le ministère de l’Intérieur. De plus, quatre enquêtes sont confiées à l’Office mineurs (AliExpress, Shein, Temu et Wish). Ensuite, « le contrôle des produits saisis en douane se poursuit et tous les cas de fraudes détectés conduiront à des sanctions ». Enfin, au niveau européen, « une demande d’enquête a été envoyée par la France à la Commission européenne qui a reconnu la gravité de la situation ».

Le 8 novembre, le gouvernement faisait un point sur ces procédures et notamment sur l’opération « coup de poing » des douanes à l’aéroport Roissy-Charles de Gaulle : « Dans le cadre de la procédure de suspension de la plateforme, une opération douanière inédite de contrôle des colis issus d’une commande Shein a eu lieu à l’aéroport Roissy-Charles de Gaulle jeudi 6 novembre 2025. Sur les 200 000 colis contrôlés, huit articles sur dix se sont révélés non conformes (cosmétiques non autorisés, jouets dangereux, appareils électroménagers défaillants…). ». Malheureusement, rien de très surprenant comme nous l’expliquions la semaine dernière.

Poupées pédopornographiques : des arrestations

Sur le sujet des poupées pédopornographiques vendues par Shein, le parquet de Vienne confirme la mise en examen d’un Isérois pour « importation, détention et acquisition d’une ou plusieurs images ou représentations d’un mineur présentant un caractère pornographique », comme le rapporte Francebleu, confirmant une information du Dauphiné Libéré. Il avait acheté deux poupées pédopornographiques sur Shein en juillet et octobre 2025, et s’est dénoncé aux gendarmes après le début de l’affaire.

S’en est évidemment suivi une perquisition. Les gendarmes ont alors découvert des « images pédopornographiques contenues dans ses supports informatiques », explique Olivier Rabot, procureur de la République de Vienne. Pour rappel, Shein a déjà annoncé qu’elle donnerait à la justice toutes les informations sur les vendeurs et les acheteurs, y compris les noms et adresses.

Juste après la mise en lumière des poupées sexuelles enfantines, un homme était interpelé suite à la découverte par des employés d’un entrepôt d’un « colis assez lourd, volumineux et en partie ouvert », explique le Parisien. À l’intérieur : « une poupée en silicone, à l’image d’une préadolescente mesurant 1m30. Le colis portait le nom de l’expéditeur, à savoir la société Zech, chinoise », précisent nos confrères. Elle n’était pas vendue par Shein, mais « cette fois par un site internet dédié à ces objets sexuels en forme de jeune femme ou enfant ».

Le BHV va « élargir la capsule » Shein

Pendant ce temps-là, au BHV, tout irait bien avec la boutique Shein : « En quelques jours, plus de 50 000 visiteurs sont venus découvrir la première capsule Shein au BHV  […] Un panier moyen de 45 euros, et près de 15 % d’entre eux ont poursuivi leurs achats dans les autres rayons », affirme Frédéric Merlin, le propriétaire du BHV Marais. Néanmoins, selon les médias et les personnes interrogées, les retours sont plus mitigés.

Quoi qu’il en soit, Frédéric Merlin veut même aller plus loin : « Nous allons élargir la capsule avec une offre homme plus complète, un espace enfant, une gamme de robes plus large et des basiques plus accessibles pour répondre à tous les styles de vie ».

Under pressure

La plateforme Shein fait encore parler d’elle. La fermeture de la marketplace lui a permis de se « mettre en conformité », mais cela ne clôture pas les actions en justice. Le BHV Marais se félicite de ce partenariat et annonce qu’il va élargir son offre Shein.

Shein n’en finit plus d’occuper le devant de la scène politique, juridique et médiatique suite à l’affaire des « poupées sexuelles à caractère pédopornographique » vendues sur sa marketplace. Le gouvernement a engagé une « procédure de suspension » contre Shein qui, dans la foulée, a annoncé la suspension temporaire des « ventes de sa Marketplace en France ».

• Shein : les 200 000 colis arrivés cette nuit en France « seront tous contrôlés. Tous. »
• [MàJ] Shein : « procédure de suspension » engagée, la marketplace ferme en France

Shein sous « surveillance rapprochée »

Du côté des douanes, une action était lancée jeudi avec le contrôle de l’intégralité des 200 000 colis Shein arrivés pendant la nuit. Comme nous l’avions alors expliqué, ce n’était pas les preuves qui manquaient déjà sur « des produits non conformes et illicites » venant de plateformes chinoises. En avril, Amélie de Montchalin expliquait déjà à l’Assemblée nationale que « 94 % de ces 800 millions d’articles [venant de Chine] sont non conformes et d’abord en termes de sécurité ».

Le 7 novembre, la répression des fraudes annonce que, suite à son injonction, « Shein a été contraint de se mettre en conformité en suspendant sa marketplace, supprimant ainsi tous les produits illicites de la plateforme ». Cela comprend notamment des objets à caractère pédopornographique, des armes blanches et des médicaments. La plateforme reste sous « surveillance rapprochée des services de l’État ».

Frédéric Merlin, propriétaire du BHV Marais et président de la Société des Grands Magasins, défend son partenariat avec Shein et a maintenu l’ouverture du « corner » mercredi dernier, en pleine tempête médiatique. Il s’est exprimé sur la fermeture de la marketplace et défend Shein. Il parle d’une décision « volontaire » de fermeture et pas « contrainte » comme l’indique la DGCCRF :

« Je salue cette décision et je peux vous dire également que la décision de suspendre cette marketplace avait été prise par Shein avant la demande du Premier ministre […] J’espère enfin qu’on pourra arrêter de vendre des produits illicites sur cette place de marché. »

Les différentes procédures judiciaires continuent

Quoi qu’il en soit, la DGCCRF ajoute que « les procédures judiciaires » continuent. En effet, « les mesures prises par Shein ne remettent en aucun cas en cause les procédures judiciaires engagées ». Elles sont lancées à plusieurs niveaux.

Le tribunal judiciaire de Paris a été officiellement saisi par le ministère de l’Intérieur. De plus, quatre enquêtes sont confiées à l’Office mineurs (AliExpress, Shein, Temu et Wish). Ensuite, « le contrôle des produits saisis en douane se poursuit et tous les cas de fraudes détectés conduiront à des sanctions ». Enfin, au niveau européen, « une demande d’enquête a été envoyée par la France à la Commission européenne qui a reconnu la gravité de la situation ».

Le 8 novembre, le gouvernement faisait un point sur ces procédures et notamment sur l’opération « coup de poing » des douanes à l’aéroport Roissy-Charles de Gaulle : « Dans le cadre de la procédure de suspension de la plateforme, une opération douanière inédite de contrôle des colis issus d’une commande Shein a eu lieu à l’aéroport Roissy-Charles de Gaulle jeudi 6 novembre 2025. Sur les 200 000 colis contrôlés, huit articles sur dix se sont révélés non conformes (cosmétiques non autorisés, jouets dangereux, appareils électroménagers défaillants…). ». Malheureusement, rien de très surprenant comme nous l’expliquions la semaine dernière.

Poupées pédopornographiques : des arrestations

Sur le sujet des poupées pédopornographiques vendues par Shein, le parquet de Vienne confirme la mise en examen d’un Isérois pour « importation, détention et acquisition d’une ou plusieurs images ou représentations d’un mineur présentant un caractère pornographique », comme le rapporte Francebleu, confirmant une information du Dauphiné Libéré. Il avait acheté deux poupées pédopornographiques sur Shein en juillet et octobre 2025, et s’est dénoncé aux gendarmes après le début de l’affaire.

S’en est évidemment suivi une perquisition. Les gendarmes ont alors découvert des « images pédopornographiques contenues dans ses supports informatiques », explique Olivier Rabot, procureur de la République de Vienne. Pour rappel, Shein a déjà annoncé qu’elle donnerait à la justice toutes les informations sur les vendeurs et les acheteurs, y compris les noms et adresses.

Juste après la mise en lumière des poupées sexuelles enfantines, un homme était interpelé suite à la découverte par des employés d’un entrepôt d’un « colis assez lourd, volumineux et en partie ouvert », explique le Parisien. À l’intérieur : « une poupée en silicone, à l’image d’une préadolescente mesurant 1m30. Le colis portait le nom de l’expéditeur, à savoir la société Zech, chinoise », précisent nos confrères. Elle n’était pas vendue par Shein, mais « cette fois par un site internet dédié à ces objets sexuels en forme de jeune femme ou enfant ».

Le BHV va « élargir la capsule » Shein

Pendant ce temps-là, au BHV, tout irait bien avec la boutique Shein : « En quelques jours, plus de 50 000 visiteurs sont venus découvrir la première capsule Shein au BHV  […] Un panier moyen de 45 euros, et près de 15 % d’entre eux ont poursuivi leurs achats dans les autres rayons », affirme Frédéric Merlin, le propriétaire du BHV Marais. Néanmoins, selon les médias et les personnes interrogées, les retours sont plus mitigés.

Quoi qu’il en soit, Frédéric Merlin veut même aller plus loin : « Nous allons élargir la capsule avec une offre homme plus complète, un espace enfant, une gamme de robes plus large et des basiques plus accessibles pour répondre à tous les styles de vie ».

Au début de l’année, après des années d’attente et de retard, la fusée réutilisable New Glenn de Blue Origin décollait enfin. Pour son vol inaugural, elle était arrivée dans une orbite spatiale. Le premier étage n’avait pas été récupéré lors de ce premier test. Dans la foulée, la production était lancée.

Le deuxième vol de New Glenn (alias NG) devait avoir lieu ce week-end, mais les conditions météorologiques, et « plus précisément de la présence de cumulus », ont eu raison du lancement. Il a donc été ajourné. Ce n’est pas le premier report, comme le rappelle TechCrunch.

pic.twitter.com/rkarkk5cBX

— Jeff Bezos (@JeffBezos) November 8, 2025

Dans un autre message sur X avant l’abandon du lancement, Blue Origin annonçait que « l’équipe de lancement examine un problème avec notre équipement de soutien au sol sur l’aire de lancement ». Problème qui semble avoir été réglé, contrairement à la météo.

Une nouvelle fenêtre de tir s’ouvrira le 12 novembre, à partir de 20h50 (heure française) et 22h17. Tous les détails de la mission et le déroulé du lancement se trouvent par ici.

NG-2 emporte deux satellites Escapade (Escape and Plasma Acceleration and Dynamics Explorers) pour le compte de la NASA. Ils prendront la route vers Mars si tout va bien. À bord également, « un démonstrateur technologique de Viasat en soutien au projet de services de communication de la NASA ».

New Glenn a pour rappel été annoncé en 2016 et se place comme un concurrent direct de SpaceX. Le nom est un hommage à John Glenn, le premier Américain en orbite autour de la Terre.

Ce lanceur doit déposer l’atterrisseur maison Blue Moon sur la Lune dans les prochaines années, dans le cadre du troisième volet du programme Artemis et du retour des humains sur notre satellite naturel. Les retards s’accumulent et le lancement d’Artemis II n’est pour le moment prévu que début 2026. Blue Moon fait partie de la suite, avec Artemis III.

• Fusées réutilisables : avec New Glenn, Blue Origin veut concurrencer SpaceX