Quoi qu’il en soit, depuis le 13 juillet 2024, le contrôle parental est obligatoire sur tous les appareils connectés. C’est l’Agence nationale des fréquences (ANFR) qui est « chargée de faire respecter les exigences de la loi ». Elle a déjà annoncé qu’elle veillerait au grain.
Dans le cadre de cette mission, l’Agence a contrôlé l’iPhone 16 d’Apple : « Les analyses ont mis en évidence que, dans certains cas d’usage concernant les mineurs de plus de 15 ans, l’appareil ne respectait pas l’exigence réglementaire consistant à proposer l’activation du dispositif de contrôle parental lors de la première mise en service de l’équipement ».
Apple a été mis en demeure de corriger le tir. Le fabricant a pris des mesures correctives « et a diffusé, le 15 septembre 2025, dans sa mise à jour iOS 26, le correctif nécessaire à l’équipement iPhone 16 ». Comme pour les mises en demeure sur le DAS en cas d’expositions trop importantes aux ondes, l’ANFR vérifie l’efficacité des correctifs.
« Les évolutions permettent désormais une activation du contrôle parental lors de l’initialisation de l’équipement, ce qui met fin à la non-conformité identifiée. Les évolutions intégrées à iOS 26 corrigent le défaut constaté sur l’équipement iPhone 16 et devraient également bénéficier aux autres modèles utilisant iOS 26 », ajoute l’Agence nationale des fréquences.
Il y a deux ans, Apple et l’ANFR avaient fait une passe d’armes autour de l’iPhone 12 et d’un DAS trop élevé (niveau d’exposition aux ondes). Le smartphone avait été interdit à la vente avant qu’un correctif ne soit déployé. L’affaire était remontée jusqu’à la Commission européenne, qui avait confirmé que « la mesure prise par la France […] portant sur le retrait du marché de l’iPhone 12 A2403 fabriqué par Apple Inc., est justifiée ». Cette fois-ci, la situation semble moins tendue.
Quoi qu’il en soit, depuis le 13 juillet 2024, le contrôle parental est obligatoire sur tous les appareils connectés. C’est l’Agence nationale des fréquences (ANFR) qui est « chargée de faire respecter les exigences de la loi ». Elle a déjà annoncé qu’elle veillerait au grain.
Dans le cadre de cette mission, l’Agence a contrôlé l’iPhone 16 d’Apple : « Les analyses ont mis en évidence que, dans certains cas d’usage concernant les mineurs de plus de 15 ans, l’appareil ne respectait pas l’exigence réglementaire consistant à proposer l’activation du dispositif de contrôle parental lors de la première mise en service de l’équipement ».
Apple a été mis en demeure de corriger le tir. Le fabricant a pris des mesures correctives « et a diffusé, le 15 septembre 2025, dans sa mise à jour iOS 26, le correctif nécessaire à l’équipement iPhone 16 ». Comme pour les mises en demeure sur le DAS en cas d’expositions trop importantes aux ondes, l’ANFR vérifie l’efficacité des correctifs.
« Les évolutions permettent désormais une activation du contrôle parental lors de l’initialisation de l’équipement, ce qui met fin à la non-conformité identifiée. Les évolutions intégrées à iOS 26 corrigent le défaut constaté sur l’équipement iPhone 16 et devraient également bénéficier aux autres modèles utilisant iOS 26 », ajoute l’Agence nationale des fréquences.
Il y a deux ans, Apple et l’ANFR avaient fait une passe d’armes autour de l’iPhone 12 et d’un DAS trop élevé (niveau d’exposition aux ondes). Le smartphone avait été interdit à la vente avant qu’un correctif ne soit déployé. L’affaire était remontée jusqu’à la Commission européenne, qui avait confirmé que « la mesure prise par la France […] portant sur le retrait du marché de l’iPhone 12 A2403 fabriqué par Apple Inc., est justifiée ». Cette fois-ci, la situation semble moins tendue.
Des clients Ledger font de nouveau face à des tentatives de phishing, envoyées directement dans leur boite aux lettres. Un QR code renvoie vers un faux site, qui reprend les codes de Ledger et même des éléments graphiques directement sur son site. Le but ? Dérober votre phrase de récupération. Cette histoire rappelle qu’il faut toujours être prudent, aussi bien dans le monde virtuel que physique.
Les fuites de données personnelles sont extrêmement nombreuses en France ces derniers mois, voire années. Il faut avoir beaucoup de chance pour passer entre les gouttes. Les risques sont toujours un peu les mêmes : des tentatives de phishing pour récupérer encore plus d’informations sur vous, des mots de passe, des identifiants, etc. Dans le cas de fuite de données bancaires avec des RIB/IBAN, il faut également surveiller de près ses comptes.
Du phishing livré directement chez vous, par La Poste
Les attaques se déplacent désormais du monde numérique au monde physique. Les courriers papier sont envoyés en plus des hordes d’emails pour essayer de toucher de nouvelles cibles. Le phénomène n’est pas nouveau, mais un lecteur nous signale avoir reçu un faux courrier postal à son adresse – dans une enveloppe à fenêtre, sans précision de l’expéditeur, mais avec un « joli timbre » comme ceux vendus en bureaux de poste, pas un affranchissement imprimé par une entreprise.
La lettre se fait passer pour une communication de Ledger rappelant que « Transaction Check deviendra bientôt un élément obligatoire de Ledger Live ». C’est évidemment faux, mais nous avons quand meme regardé ce qu’il se cache derrière.
Il reste 88% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Le Raspberry Pi Imager 2.0 apporte son lot de nouveautés par rapport à la génération 1.x dont l’interface n’avait pas évolué depuis des années. L’application intègre désormais Raspberry Pi Connect lors de la création de l’image et permet de personnaliser facilement les dépôts des systèmes d’exploitation. Voici notre prise en main rapide.
La fondation Raspberry Pi vient d’annoncer la version 2.0 de son PI Imager, une petite application pour préparer une carte microSD pour les différentes générations du micro-ordinateur. La première version du Rasbperry Pi Imager remonte à début 2020… soit il y a déjà cinq ans.
À ne pas confondre avec le Raspberry Pi bootloader intégré dans les dernières versions des Raspberry Pi et qui permet d’installer un OS depuis le réseau. Nous l’avions également pris en main pour vous expliquer en détail son fonctionnement.
Maintenant que la nouvelle version 2.0 de l’Imager est disponible (après une phase de bêta), que propose-t-elle de plus ? Par rapport à la 1.9.6 (la dernière mouture de la branche 1.x) le changement qui saute aux yeux est l’interface entièrement revue. Les Raspberry Pi supportés ainsi que les images proposées sont les mêmes.
Il reste 93% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
La DGCCRF a mené une enquête entre septembre 2023 et juin 2025 sur la Banque Populaire Rives de Paris. Il en est ressorti que, entre le 1ᵉʳ janvier 2022 et le 27 juin 2025, la banque pratiquait « certains actes constituant une pratique commerciale trompeuse ».
Sur Paris et dans l’ensemble du territoire de la région Île-de-France, Banque Populaire Rives de Paris « tromp[ait] les consommateurs en leur facturant des commissions d’intervention non justifiées, dans certains cas précis, sans qu’il n’y ait eu d’irrégularités de fonctionnement du compte bancaire, en méconnaissance de la réglementation applicable ».
La banque « a accepté une amende transactionnelle d’un montant de 2 500 000 euros assortie de la publication du présent communiqué, ainsi que l’arrêt de la pratique constatée ». Banque Populaire Rives de Paris revendique 2 800 collaborateurs, plus de 200 agences et 734 000 clients (dont 226 000 sociétaires).
À l’AFP, un porte-parole de la banque précise que les cas soulevés « relèvent chacun d’une situation très particulière », sans plus de détails. « La banque a conscience que, dans certains cas, ce mécanisme peut parfois être complexe à appréhender pour certains de ses clients. C’est pourquoi (elle) a pris la décision de mettre un terme à cette pratique dès mi-octobre 2025 », ajoute-t-il. Là encore, le porte-parole ne donne aucune précision…
La 30ᵉ Conférence des Nations unies sur le climat (alias COP30) s’est déroulée du 10 au 21 novembre au Brésil. Un accord final a été conclu le 22 novembre. La déception est palpable : « un accord modeste, sans plan de sortie des énergies fossiles » titre Courrier internationnal, « la COP30 sauve la face mais pas le climat » au Monde, « un accord au rabais qui permet tout juste de sauver la face » chez Les Échos, « pas de consensus » chez France 24, etc.
Le Parlement européen s’est exprimé par l’intermédiaire de Lídia Pereira, présidente de la délégation : « À la COP30, malgré nos efforts constants et le mandat clair du Parlement concernant l’atténuation et la sortie des combustibles fossiles, nous avons été confrontés à un front uni BRICS–États [BRICS pour Brésil, Russie, Inde, Chine, Afrique du Sud, Iran, Égypte… ndlr] arabes ainsi qu’à une Présidence qui n’était pas disposée à atteindre notre niveau d’ambition. Nous regrettons que le résultat final ne soit pas allé plus loin ».
Il faut se contenter d’un lot de consolation : « la reconnaissance de la nécessité de répondre au problème des émissions, l’organisation d’un événement de haut niveau consacré à la mise en œuvre ». Arte explique que l’accord « réaffirme l’engagement des 1,5 °C et la nécessité de mettre pleinement en œuvre les plans climatiques nationaux, les pays riches doivent augmenter leur aides climatique aux plus pauvres ». Le problème étant « l’absence de feuille de route concrète ».
Pour Mohammed Chahim, vice-président de la délégation, le résultat est en dessous des attentes : « L’issue de la COP30 établit une base minimale pour l’action climatique mondiale, mais le rythme demeure largement insuffisant face à l’urgence de la crise climatique. Ce résultat confirme que l’écart entre l’ambition affichée et les réductions effectives d’émissions reste considérable ».
« L’UE s’est présentée avec l’intention de jouer un rôle moteur au sein d’une coalition de pays ambitieux. Toutefois, la résistance de certains États producteurs de pétrole, entre autres, a été trop forte, et les équilibres géopolitiques se sont nettement modifiés. Aux côtés du Royaume-Uni, l’UE a dû aller à contre-courant pour préserver un minimum d’ambition. Cela isole l’Europe du reste du monde. L’UE doit désormais s’attacher, de toute urgence, à consolider des coalitions afin d’éviter de se retrouver de nouveau isolée lors des prochaines négociations », ajoute-t-il.
La DGCCRF a mené une enquête entre septembre 2023 et juin 2025 sur la Banque Populaire Rives de Paris. Il en est ressorti que, entre le 1ᵉʳ janvier 2022 et le 27 juin 2025, la banque pratiquait « certains actes constituant une pratique commerciale trompeuse ».
Sur Paris et dans l’ensemble du territoire de la région Île-de-France, Banque Populaire Rives de Paris « tromp[ait] les consommateurs en leur facturant des commissions d’intervention non justifiées, dans certains cas précis, sans qu’il n’y ait eu d’irrégularités de fonctionnement du compte bancaire, en méconnaissance de la réglementation applicable ».
La banque « a accepté une amende transactionnelle d’un montant de 2 500 000 euros assortie de la publication du présent communiqué, ainsi que l’arrêt de la pratique constatée ». Banque Populaire Rives de Paris revendique 2 800 collaborateurs, plus de 200 agences et 734 000 clients (dont 226 000 sociétaires).
À l’AFP, un porte-parole de la banque précise que les cas soulevés « relèvent chacun d’une situation très particulière », sans plus de détails. « La banque a conscience que, dans certains cas, ce mécanisme peut parfois être complexe à appréhender pour certains de ses clients. C’est pourquoi (elle) a pris la décision de mettre un terme à cette pratique dès mi-octobre 2025 », ajoute-t-il. Là encore, le porte-parole ne donne aucune précision…
La 30ᵉ Conférence des Nations unies sur le climat (alias COP30) s’est déroulée du 10 au 21 novembre au Brésil. Un accord final a été conclu le 22 novembre. La déception est palpable : « un accord modeste, sans plan de sortie des énergies fossiles » titre Courrier internationnal, « la COP30 sauve la face mais pas le climat » au Monde, « un accord au rabais qui permet tout juste de sauver la face » chez Les Échos, « pas de consensus » chez France 24, etc.
Le Parlement européen s’est exprimé par l’intermédiaire de Lídia Pereira, présidente de la délégation : « À la COP30, malgré nos efforts constants et le mandat clair du Parlement concernant l’atténuation et la sortie des combustibles fossiles, nous avons été confrontés à un front uni BRICS–États [BRICS pour Brésil, Russie, Inde, Chine, Afrique du Sud, Iran, Égypte… ndlr] arabes ainsi qu’à une Présidence qui n’était pas disposée à atteindre notre niveau d’ambition. Nous regrettons que le résultat final ne soit pas allé plus loin ».
Il faut se contenter d’un lot de consolation : « la reconnaissance de la nécessité de répondre au problème des émissions, l’organisation d’un événement de haut niveau consacré à la mise en œuvre ». Arte explique que l’accord « réaffirme l’engagement des 1,5 °C et la nécessité de mettre pleinement en œuvre les plans climatiques nationaux, les pays riches doivent augmenter leur aides climatique aux plus pauvres ». Le problème étant « l’absence de feuille de route concrète ».
Pour Mohammed Chahim, vice-président de la délégation, le résultat est en dessous des attentes : « L’issue de la COP30 établit une base minimale pour l’action climatique mondiale, mais le rythme demeure largement insuffisant face à l’urgence de la crise climatique. Ce résultat confirme que l’écart entre l’ambition affichée et les réductions effectives d’émissions reste considérable ».
« L’UE s’est présentée avec l’intention de jouer un rôle moteur au sein d’une coalition de pays ambitieux. Toutefois, la résistance de certains États producteurs de pétrole, entre autres, a été trop forte, et les équilibres géopolitiques se sont nettement modifiés. Aux côtés du Royaume-Uni, l’UE a dû aller à contre-courant pour préserver un minimum d’ambition. Cela isole l’Europe du reste du monde. L’UE doit désormais s’attacher, de toute urgence, à consolider des coalitions afin d’éviter de se retrouver de nouveau isolée lors des prochaines négociations », ajoute-t-il.
La directive européenne NIS2 est toujours dans l’attente d’une transposition dans le droit français. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a passé le cap du Sénat mais reste en attente d’un vote final.
Le mois dernier, Vincent Strubel rappelait aux Assises de la cybersécurité de Monaco que ce vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ». Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire », expliquait-il.
L’ANSSI avance et annonce l’ouverture d’un guichet de pré-enregistrement, ce qui constitue « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ». Comptez 5 à 10 minutes de procédure si vous avez déjà un compte Club SSI (obligatoire).
L’Agence rappelle que « l’ensemble des entités soumises au champ d’application de la directive a l’obligation de communiquer un certain nombre d’informations à l’autorité compétente (article 3 et article 27 de la directive) ». Le changement est important : de 600 entreprises environ concernées par NIS1, on passe à 15 000 avec NIS2.
« Ce pré-enregistrement permet aux entités de préparer leur enregistrement afin de bénéficier d’un enregistrement facilité lorsque la phase d’enregistrement obligatoire démarrera après publication des textes réglementaires associés au projet de loi Résilience », explique l’ANSSI.
Un simulateur permettant « d’obtenir une estimation du statut d’une entité, conformément aux textes actuellement en vigueur » est disponible à cette adresse. Bien évidemment, « le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité. Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2 ».
La directive européenne NIS2 est toujours dans l’attente d’une transposition dans le droit français. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a passé le cap du Sénat mais reste en attente d’un vote final.
Le mois dernier, Vincent Strubel rappelait aux Assises de la cybersécurité de Monaco que ce vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ». Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire », expliquait-il.
L’ANSSI avance et annonce l’ouverture d’un guichet de pré-enregistrement, ce qui constitue « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ». Comptez 5 à 10 minutes de procédure si vous avez déjà un compte Club SSI (obligatoire).
L’Agence rappelle que « l’ensemble des entités soumises au champ d’application de la directive a l’obligation de communiquer un certain nombre d’informations à l’autorité compétente (article 3 et article 27 de la directive) ». Le changement est important : de 600 entreprises environ concernées par NIS1, on passe à 15 000 avec NIS2.
« Ce pré-enregistrement permet aux entités de préparer leur enregistrement afin de bénéficier d’un enregistrement facilité lorsque la phase d’enregistrement obligatoire démarrera après publication des textes réglementaires associés au projet de loi Résilience », explique l’ANSSI.
Un simulateur permettant « d’obtenir une estimation du statut d’une entité, conformément aux textes actuellement en vigueur » est disponible à cette adresse. Bien évidemment, « le résultat est dépendant de l’exactitude des données fournies en entrée, ne dispense pas d’une analyse au vu des textes en vigueur et des circonstances propres à chaque entité. Les résultats du test sont strictement indicatifs, dans l’attente de l’adoption définitive des textes législatifs et réglementaires de transposition de la directive NIS 2 ».
Encore un nouveau format sur Next : Itinéraire d’une Actu. Dans une introspection personnelle, je vous explique les étapes qui ont conduit à la publication de l’actualité sur la fuite de données de Colis Privé. Un travail personnel, à la première personne.
Vendredi soir, Colis Privé a envoyé à certains de ses clients un e-mail pour les informer d’une fuite de données. Nous l’avons reçu sur une de nos boites et plusieurs lecteurs nous l’ont également signalé. Déjà, merci à eux de nous l’avoir fait suivre. Comme nous allons le voir, c’est toujours utile d’avoir plusieurs sources.
Dans ce nouveau format, on vous propose de plonger dans les coulisses de la rédac, plus précisément dans le processus qui a donné naissance à cette petite actualité sur la fuite des données chez Colis Privé. Un retour à la première personne car il ne concerne que moi, ma manière de faire.
Samedi matin, je prépare une actualité sur le sujet, pour ne pas attendre lundi et commencer la semaine avec des sujets chauds (très chauds, on en reparle rapidement). Vous l’avez peut-être remarqué, l’actualité n’a été publiée qu’à 17h26… Je n’ai évidemment pas mis des heures à l’écrire, une demi-heure tout au plus. Elle était prête pour midi, mais la publication a été mise en pause en attendant une confirmation.
Comme toujours en pareille situation, je vérifie l’authenticité de l’e-mail (je préfère prendre le temps plutôt que foncer tête baissée et me poser des questions ensuite…). Comment être sûr qu’il provient bien de Colis Privé ? Généralement, le message est aussi visible en ligne sur le site de la société ou repris sur les réseaux sociaux. Sans être une preuve irréfutable, cela permet d’avoir un niveau de confirmation suffisant pour publier une actualité.
Bonne pratique : publier le communiqué sur le site
Deux exemples avec des fuites récentes de données chez Plex et Infomaniak. Le premier propose de « lire cet e-mail depuis un navigateur » avec un lien vers une page en newsletter.infomaniak.com/*, le second propose un lien « View Online » en bas de page qui renvoie vers exactement le même communiqué sur une page en links.plex.tv/*. Une confirmation que cette information n’est pas un e-mail envoyé en masse par un plaisantin (ou pire, d’une personne malintentionnée) se faisant passer pour une entreprise.
Dans le cas de Colis Privé, rien : pas le moindre lien vers un communiqué visible sur un domaine officiel de l’entreprise. Il y a par contre des liens « Unsubscribe From This List » et « Manage Email Preferences » qui renvoient bien vers mon adresse e-mail, mais un petit doute subsiste dans ma tête (est-il justifié ? C’est une autre question).
Plutôt que courir à publier au plus vite, je décide d’attendre une confirmation, même si les messages envoyés par les lecteurs permettent de tester ces liens avec d’autres adresses e-mail et de se rendre compte que tout semble légitime.
Et si… mail, SMS et demande LinkedIn envoyés
Quoi qu’il en soit, une petite voix m’a poussé à chercher davantage au cas où (spoiler : au cas où rien du tout finalement, j’aurais pu publier immédiatement). Quelques e-mails et demandes LinkedIn partent dans la foulée pour le service presse et des responsables Colis Privé. Nous sommes samedi, je pars me promener et je me dis que je verrai bien en rentrant si j’ai une réponse. Ce n’est pas non plus l’info de l’année qui mérite que je reste sur le pont H24.
En revenant en fin d’après-midi, pas de réponse. Je regarde les métadonnées de l’e-mail pour voir si je peux confirmer sa provenance (je vous laisse seulement la partie intéressante) :
Received: from wfbtzhfp.outbound-mail.sendgrid.net (wfbtzhfp.outbound-mail.sendgrid.net [159.183.224.243])
for seb***@***.fr; Fri, 21 Nov 2025 19:37:13 + 0000 (UTC)
dkim=pass (2048-bit rsa key sha256)
dmarc=pass
spf=pass
L’e-mail est envoyé par la plateforme d’e-mailing états-unienne SendGrid. Est-elle autorisée à envoyer des e-mails pour le compte de notification.colisprive.com (attention on ne parle que du sous-domaine) ? Un coup de dig confirme que la réponse est oui (ça prend 2 secondes, ce serait dommage de s’en priver) :
L’e-mail passe donc les sécurités DKIM et SPF. Je m’apprêtais à le préciser dans l’actualité et à la publier quand je reçois un SMS de confirmation d’un responsable de la communication de CEVA Logistics, une filiale de CMA CGM qui détient Colis Privé. J’ajuste le contenu de l’actualité pour préciser la confirmation et la publie dans la foulée.
Il n’y avait aucune urgence à publier et nous étions en plein week-end, ce qui explique les délais un peu rallongés, mais cette pratique est, dans mon cas, la base avant de publier l’annonce d’une fuite ou une information du genre. Attention, je ne prétends pas que cette méthode est infaillible – loin de là –, mais ces vérifications permettent au moins d’assurer un minimum d’authenticité.
Encore un nouveau format sur Next : Itinéraire d’une Actu. Dans une introspection personnelle, je vous explique les étapes qui ont conduit à la publication de l’actualité sur la fuite de données de Colis Privé. Un travail personnel, à la première personne.
Vendredi soir, Colis Privé a envoyé à certains de ses clients un e-mail pour les informer d’une fuite de données. Nous l’avons reçu sur une de nos boites et plusieurs lecteurs nous l’ont également signalé. Déjà, merci à eux de nous l’avoir fait suivre. Comme nous allons le voir, c’est toujours utile d’avoir plusieurs sources.
Dans ce nouveau format, on vous propose de plonger dans les coulisses de la rédac, plus précisément dans le processus qui a donné naissance à cette petite actualité sur la fuite des données chez Colis Privé. Un retour à la première personne car il ne concerne que moi, ma manière de faire.
Samedi matin, je prépare une actualité sur le sujet, pour ne pas attendre lundi et commencer la semaine avec des sujets chauds (très chauds, on en reparle rapidement). Vous l’avez peut-être remarqué, l’actualité n’a été publiée qu’à 17h26… Je n’ai évidemment pas mis des heures à l’écrire, une demi-heure tout au plus. Elle était prête pour midi, mais la publication a été mise en pause en attendant une confirmation.
Comme toujours en pareille situation, je vérifie l’authenticité de l’e-mail (je préfère prendre le temps plutôt que foncer tête baissée et me poser des questions ensuite…). Comment être sûr qu’il provient bien de Colis Privé ? Généralement, le message est aussi visible en ligne sur le site de la société ou repris sur les réseaux sociaux. Sans être une preuve irréfutable, cela permet d’avoir un niveau de confirmation suffisant pour publier une actualité.
Bonne pratique : publier le communiqué sur le site
Deux exemples avec des fuites récentes de données chez Plex et Infomaniak. Le premier propose de « lire cet e-mail depuis un navigateur » avec un lien vers une page en newsletter.infomaniak.com/*, le second propose un lien « View Online » en bas de page qui renvoie vers exactement le même communiqué sur une page en links.plex.tv/*. Une confirmation que cette information n’est pas un e-mail envoyé en masse par un plaisantin (ou pire, d’une personne malintentionnée) se faisant passer pour une entreprise.
Dans le cas de Colis Privé, rien : pas le moindre lien vers un communiqué visible sur un domaine officiel de l’entreprise. Il y a par contre des liens « Unsubscribe From This List » et « Manage Email Preferences » qui renvoient bien vers mon adresse e-mail, mais un petit doute subsiste dans ma tête (est-il justifié ? C’est une autre question).
Plutôt que courir à publier au plus vite, je décide d’attendre une confirmation, même si les messages envoyés par les lecteurs permettent de tester ces liens avec d’autres adresses e-mail et de se rendre compte que tout semble légitime.
Et si… mail, SMS et demande LinkedIn envoyés
Quoi qu’il en soit, une petite voix m’a poussé à chercher davantage au cas où (spoiler : au cas où rien du tout finalement, j’aurais pu publier immédiatement). Quelques e-mails et demandes LinkedIn partent dans la foulée pour le service presse et des responsables Colis Privé. Nous sommes samedi, je pars me promener et je me dis que je verrai bien en rentrant si j’ai une réponse. Ce n’est pas non plus l’info de l’année qui mérite que je reste sur le pont H24.
En revenant en fin d’après-midi, pas de réponse. Je regarde les métadonnées de l’e-mail pour voir si je peux confirmer sa provenance (je vous laisse seulement la partie intéressante) :
Received: from wfbtzhfp.outbound-mail.sendgrid.net (wfbtzhfp.outbound-mail.sendgrid.net [159.183.224.243])
for seb***@***.fr; Fri, 21 Nov 2025 19:37:13 + 0000 (UTC)
dkim=pass (2048-bit rsa key sha256)
dmarc=pass
spf=pass
L’e-mail est envoyé par la plateforme d’e-mailing états-unienne SendGrid. Est-elle autorisée à envoyer des e-mails pour le compte de notification.colisprive.com (attention on ne parle que du sous-domaine) ? Un coup de dig confirme que la réponse est oui (ça prend 2 secondes, ce serait dommage de s’en priver) :
L’e-mail passe donc les sécurités DKIM et SPF. Je m’apprêtais à le préciser dans l’actualité et à la publier quand je reçois un SMS de confirmation d’un responsable de la communication de CEVA Logistics, une filiale de CMA CGM qui détient Colis Privé. J’ajuste le contenu de l’actualité pour préciser la confirmation et la publie dans la foulée.
Il n’y avait aucune urgence à publier et nous étions en plein week-end, ce qui explique les délais un peu rallongés, mais cette pratique est, dans mon cas, la base avant de publier l’annonce d’une fuite ou une information du genre. Attention, je ne prétends pas que cette méthode est infaillible – loin de là –, mais ces vérifications permettent au moins d’assurer un minimum d’authenticité.
En avril 2026 se déroulera le deuxième tour des extensions personnalisées de noms de domaine, les .marques. Lors du premier tour, plusieurs centaines d’entités avaient répondu présentes. Nous pouvons par exemple citer les extensions .leclerc, .bnpparibas, .lancaster, .sncf, .google, ainsi que des extensions géographiques comme les .paris, .bzh, .alsace, etc.
Au début du mois, le Conseil d’administration de l’ICANN a adopté officiellement « le Guide de candidature, ouvrant la voie à la série de 2026 », comme le rapporte Abondance. Dans son communiqué, l’ICANN explique que ce guide « définit les exigences et les procédures applicables à toute entité posant une candidature à un gTLD ».
Désormais, le calendrier se resserre : « le Guide de candidature doit être mis à disposition au moins quatre mois avant l’ouverture de la fenêtre de candidature. L’adoption par le Conseil d’administration lors de la réunion ICANN84 a pour effet que l’organisation ICANN (ICANN org) est chargée de publier le guide au plus tard le 30 décembre 2025 ».
Lors du Summit d’OVHcloud nous avons demandé aux équipes en charge des noms de domaine si un accompagnement des clients souhaitant se lancer dans des .marques était prévu. Le sujet est discuté en interne, mais rien n’est acté pour l’instant.
En attendant, une version non finalisée du guide est disponible à cette adresse (pdf de 440 pages). L’Afnic rappelle les couts qui « représentent certes un investissement au démarrage, mais qui doivent être analysés à la lumière des économies et des bénéfices générés » : 227 500 dollars de frais de dossier pour le dépôt initial la première année, puis à partir de 25 000 dollars par an. Il faut ajouter des coûts techniques variables. Les entités intéressées peuvent contacter l’Afnic pour un accompagnement.
Memtest86+ est un nom qui rappelle certainement des souvenirs aux moins jeunes d’entre nous. Ce petit utilitaire permet de tester de fond en comble la mémoire d’un ordinateur. Il est revenu sur le devant de la scène en 2022 avec une nouvelle version entièrement réécrite. La première nouvelle version était la 6.00 publiée en octobre 2022. En janvier 2024, la 7.00 était mise en ligne.
Et c’est maintenant au tour de Memtest86+ 8.00 de débarquer. Les notes de versions sont assez peu détaillées puisqu’elles indiquent simplement la prise en charge des « derniers processeurs Intel et AMD ».
Des correctifs sur la DDR5 sont de la partie, avec aussi les informations sur la température. Un mode sombre est aussi proposé en option. Tous les détails et les téléchargements sont disponibles dans ce dépôt GitHub. Vous pouvez également passer par le site officiel.
En avril 2026 se déroulera le deuxième tour des extensions personnalisées de noms de domaine, les .marques. Lors du premier tour, plusieurs centaines d’entités avaient répondu présentes. Nous pouvons par exemple citer les extensions .leclerc, .bnpparibas, .lancaster, .sncf, .google, ainsi que des extensions géographiques comme les .paris, .bzh, .alsace, etc.
Au début du mois, le Conseil d’administration de l’ICANN a adopté officiellement « le Guide de candidature, ouvrant la voie à la série de 2026 », comme le rapporte Abondance. Dans son communiqué, l’ICANN explique que ce guide « définit les exigences et les procédures applicables à toute entité posant une candidature à un gTLD ».
Désormais, le calendrier se resserre : « le Guide de candidature doit être mis à disposition au moins quatre mois avant l’ouverture de la fenêtre de candidature. L’adoption par le Conseil d’administration lors de la réunion ICANN84 a pour effet que l’organisation ICANN (ICANN org) est chargée de publier le guide au plus tard le 30 décembre 2025 ».
Lors du Summit d’OVHcloud nous avons demandé aux équipes en charge des noms de domaine si un accompagnement des clients souhaitant se lancer dans des .marques était prévu. Le sujet est discuté en interne, mais rien n’est acté pour l’instant.
En attendant, une version non finalisée du guide est disponible à cette adresse (pdf de 440 pages). L’Afnic rappelle les couts qui « représentent certes un investissement au démarrage, mais qui doivent être analysés à la lumière des économies et des bénéfices générés » : 227 500 dollars de frais de dossier pour le dépôt initial la première année, puis à partir de 25 000 dollars par an. Il faut ajouter des coûts techniques variables. Les entités intéressées peuvent contacter l’Afnic pour un accompagnement.
Memtest86+ est un nom qui rappelle certainement des souvenirs aux moins jeunes d’entre nous. Ce petit utilitaire permet de tester de fond en comble la mémoire d’un ordinateur. Il est revenu sur le devant de la scène en 2022 avec une nouvelle version entièrement réécrite. La première nouvelle version était la 6.00 publiée en octobre 2022. En janvier 2024, la 7.00 était mise en ligne.
Et c’est maintenant au tour de Memtest86+ 8.00 de débarquer. Les notes de versions sont assez peu détaillées puisqu’elles indiquent simplement la prise en charge des « derniers processeurs Intel et AMD ».
Des correctifs sur la DDR5 sont de la partie, avec aussi les informations sur la température. Un mode sombre est aussi proposé en option. Tous les détails et les téléchargements sont disponibles dans ce dépôt GitHub. Vous pouvez également passer par le site officiel.
C’est au tour de Colis Privé d’être victime d’une fuite de données personnelles de ses clients. Contacté par Next, CEVA Logistics, filiale de CMA CGM et propriétaire de Colis Privé, confirme la situation.
Hier soir, le transporteur français a envoyé un email à des clients (merci à tous ceux qui nous l’ont partagé) dont l’objet est : « Information importante relative à vos données personnelles ». La suite on ne la connait malheureusement que trop bien : une fuite de données.
Par contre, aucun message sur ses réseaux sociaux ni sur son site. Pour confirmer l’envoi de cet email, nous avons contacté le service presse de CEVA Logistics, filiale de CMA CGM (un armateur de porte-conteneurs français) et propriétaire de Colis Privé, qui nous confirme la situation.
Accès non autorisé aux données personnelles, pas bancaires
« Nos investigations ont permis de confirmer que seules des informations de contact sont potentiellement impliquées : nom, prénom, adresse postale, adresse électronique, et numéro de téléphone ». L’entreprise ajoute que vous pouvez être « rassurés » : « aucune donnée bancaire, aucun mot de passe ni aucune information sensible n’est concernée ». On appréciera la considération pour la sensibilité de nos données personnelles…
Colis Privé ne rentre pas dans les détails, évoquant simplement « un incident ayant entraîné un accès non autorisé et limité à certaines données sur une partie de nos systèmes ». La brèche a évidemment été bouchée et, « à ce stade, nous n’avons constaté aucun usage frauduleux de ces informations », ajoute la société.
Prudence face aux arnaques aux faux colis, toujours nombreuses
Nous avons également droit à l’éternelle promesse : « La protection de vos données personnelles est notre priorité absolue ». L’email se termine par trois conseils : « Restez attentif aux e-mails, SMS ou appels vous demandant des informations personnelles ou vous incitant à cliquer sur un lien, et vérifiez toujours l’identité de l’expéditeur en cas de doute », « utilisez des mots de passe forts et uniques pour chacun de vos comptes et activer la double authentification (MFA) » et enfin « ignorez tout message demandant un paiement : Colis Privé ne vous demandera jamais de payer ».
Cette fuite pourrait remettre une pièce dans la machine de l’arnaque aux faux colis et/ faux livreurs. L‘une des dernières versions étant les SMS du type « Bonjour vous êtes chez vous ? », « Bonjour vous êtes à la maison ? », comme l’expliquait récemment l’UFC-Que Choisir.
Si des personnes malintentionnées récupèrent les données de Colis Privé, elles pourraient s’en servir pour « personnaliser » ce type d’arnaque en ciblant davantage les tentatives de phishing avec les noms, adresses, emails, etc. des clients de Colis Privé.
C’est au tour de Colis Privé d’être victime d’une fuite de données personnelles de ses clients. Contacté par Next, CEVA Logistics, filiale de CMA CGM et propriétaire de Colis Privé, confirme la situation.
Hier soir, le transporteur français a envoyé un email à des clients (merci à tous ceux qui nous l’ont partagé) dont l’objet est : « Information importante relative à vos données personnelles ». La suite on ne la connait malheureusement que trop bien : une fuite de données.
Par contre, aucun message sur ses réseaux sociaux ni sur son site. Pour confirmer l’envoi de cet email, nous avons contacté le service presse de CEVA Logistics, filiale de CMA CGM (un armateur de porte-conteneurs français) et propriétaire de Colis Privé, qui nous confirme la situation.
Accès non autorisé aux données personnelles, pas bancaires
« Nos investigations ont permis de confirmer que seules des informations de contact sont potentiellement impliquées : nom, prénom, adresse postale, adresse électronique, et numéro de téléphone ». L’entreprise ajoute que vous pouvez être « rassurés » : « aucune donnée bancaire, aucun mot de passe ni aucune information sensible n’est concernée ». On appréciera la considération pour la sensibilité de nos données personnelles…
Colis Privé ne rentre pas dans les détails, évoquant simplement « un incident ayant entraîné un accès non autorisé et limité à certaines données sur une partie de nos systèmes ». La brèche a évidemment été bouchée et, « à ce stade, nous n’avons constaté aucun usage frauduleux de ces informations », ajoute la société.
Prudence face aux arnaques aux faux colis, toujours nombreuses
Nous avons également droit à l’éternelle promesse : « La protection de vos données personnelles est notre priorité absolue ». L’email se termine par trois conseils : « Restez attentif aux e-mails, SMS ou appels vous demandant des informations personnelles ou vous incitant à cliquer sur un lien, et vérifiez toujours l’identité de l’expéditeur en cas de doute », « utilisez des mots de passe forts et uniques pour chacun de vos comptes et activer la double authentification (MFA) » et enfin « ignorez tout message demandant un paiement : Colis Privé ne vous demandera jamais de payer ».
Cette fuite pourrait remettre une pièce dans la machine de l’arnaque aux faux colis et/ faux livreurs. L‘une des dernières versions étant les SMS du type « Bonjour vous êtes chez vous ? », « Bonjour vous êtes à la maison ? », comme l’expliquait récemment l’UFC-Que Choisir.
Si des personnes malintentionnées récupèrent les données de Colis Privé, elles pourraient s’en servir pour « personnaliser » ce type d’arnaque en ciblant davantage les tentatives de phishing avec les noms, adresses, emails, etc. des clients de Colis Privé.
16 To pour 5 euros, l’offre est intéressante, mais semble trop belle pour être vraie. C’est évidemment une arnaque, mais avec un bel enrobage qui pourrait tromper certains clients. En effet, la clé fait bien croire à Windows (et partiellement à Ubuntu) qu’elle dispose de 16 To de capacité.
C’est le genre d’offre que l’on retrouve sur des plateformes chinoises et même parfois dans des « bons plans » en France. Cette clé, nous l’avons commandée sur AliExpress pour moins de 5 euros. Sur la fiche produit et sur l’emballage reçu, il est indiqué : « Xiaomi MIJIA Ultra Usb Flash Drives 16 To USB 3.1 haute vitesse ».
La marque Xiaomi avec le logo Mi fait aussi penser à un produit officiel. C’est d’autant plus trompeur que Xiaomi a officiellement lancé fin septembre 2025 « ses produits d’électroménager Mijia pour une maison intelligente et connectée ».
Xiaomi MIJIA est la marque indiquée sur la fiche produit et sur l’emballage. Néanmoins, le fabricant mentionné sur la fiche AliExpress – il faut cliquer sur « Informations sur la conformité des articles » pour le voir – n’est pas Xiaomi, mais « Shenzhen Xiaojia Kuaipao E-commerce Co., Ltd ». C’est proche, mais le « m » de Xiaomi est remplacé par « ji ».
Sur un domaine appartenant à Alibaba (propriétaire d’AliExpress), on retrouve de beaux visuels de cette clé USB, avec des caractéristiques techniques alléchantes.
Xiaomi MIJIA : 16 To dans une clé USB ? Évidemment que non !
Dans la réalité, il s’agit évidemment d’une arnaque (nous n’avions aucun doute à ce sujet) avec un lecteur de carte microSD déguisé en clé USB. La description, la clé USB en elle-même et même son utilisation : tout laisse penser qu’il s’agit d’une vraie. Il n’en est rien.
Une fois reçue, nous insérons la clé USB dans un ordinateur. Windows la reconnait et affiche bien 16 To, selon l’explorateur de fichiers et l’utilitaire de gestion des disques (diskmgmt.msc). On parle bien de To, pas de Go qui est l’ordre de grandeur des clés USB.
Il reste 74% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Microsoft a développé et utilise déjà une seconde génération de processeurs maison basés sur Arm : les Cobalt 200. Elle promet une hausse des performances et de la sécurité. Le fabricant présente aussi la nouvelle génération d’Azure Boost, avec toujours plus de bande passante.
Les machines virtuelles basées sur Cobalt 100 sont disponibles pour les clients depuis octobre 2024. « Les développeurs de Snowflake, Databricks, Elastic, Adobe et de notre propre Microsoft Teams profitent déjà d’Azure Cobalt en production, constatant des performances jusqu’à 45 % supérieures, ce qui se traduit par une réduction de 35 % du nombre de cœurs de calcul et de machines virtuelles nécessaires, ce qui permet de réaliser d’importantes économies », affirme Microsoft. Les exemples mis en avant sont évidemment à son avantage.
L’annonce du jour n’est pas qu’un « paper launch » affirme l’entreprise : « Nos premiers serveurs en production avec des CPU Cobalt 200 sont désormais opérationnels dans nos datacenters, avec un déploiement plus large et une disponibilité client prévue en 2026 ». Quelques détails techniques sont donnés.
Des benchmarks et 350 000 jumeaux numériques
Pour développer sa puce, Microsoft explique avoir été confrontée à un problème : « les benchmarks traditionnels ne représentent pas la diversité des charges de travail clients ». Ils ont tendance à s’intéresser davantage aux cœurs du CPU, laissant de côté « le comportement des applications cloud à grande échelle lorsqu’elles utilisent des ressources réseau et de stockage ». Microsoft a donc développé ses propres benchmarks (il y a environ 140 tests).
À l’aide de jumeaux numériques, le constructeur a fait varier le nombre de cœurs, la taille du cache, la vitesse de la mémoire, la consommation du SoC, etc. Microsoft serait ainsi arrivée à pas moins de 350 000 « candidats » pour son processeur Cobalt 200.
132 cœurs Arm CSS V3, 588 Mo de cache L2 + L3
Dans le CPU, on retrouve des cœurs Arm Neoverse Compute Subsystems V3 (CSS V3) annoncés en février 2024. Les variantes Compute Subsystems avaient été inaugurées avec le cœur N2. C’est une configuration dans laquelle Arm ne s’occupe que de la partie CPU et laisse à ses partenaires la possibilité de personnaliser les puces avec des accélérateurs maison, la gestion de la mémoire, les entrées/sorties, l’alimentation, etc.
D’un point de vue technique, « chaque SoC Cobalt 200 comprend 132 cœurs [128 pour Cobalt 100, ndlr] avec 3 Mo de cache L2 par cœur et 192 Mo de cache système L3 ». Dans la pratique, il s’agit d’une configuration avec deux chiplets, chacun disposant de 66 cœurs, de six canaux pour la mémoire et d’accélérateurs pour la cryptographie.
Ajustement des tensions et des fréquences par cœur
Microsoft précise que son contrôleur mémoire est personnalisé et que « le chiffrement est activé par défaut, avec un impact négligeable sur les performances ». La Confidential Compute Architecture (CCA) d’Arm est de la partie afin de proposer une « isolation matérielle de la mémoire de la machine virtuelle par rapport à l’hyperviseur et au système d’exploitation hôte ».
Cobalt intègre aussi un module Azure Integrated HSM (Hardware Security Module), qui « fonctionne avec Azure Key Vault pour une gestion simplifiée des clés de chiffrement ». Le tout est certifié FIPS (Federal Information Processing Standard Publication) 140 - 3 niveau 3.
Microsoft affirme avoir particulièrement soigné la consommation électrique : « L’une des innovations de nos processeurs Azure Cobalt est le Dynamic Voltage and Frequency Scaling (DVFS) par cœur ». La puce est gravée avec le procédé 3 nm de dernière génération de TSMC.
Microsoft profitait aussi de sa conférence pour présenter une nouvelle version d’Azure Boost, un système « qui décharge les processus de virtualisation de serveur traditionnellement effectués par l’hyperviseur et le système d’exploitation hôte sur des logiciels et du matériel conçus à ces fins ».
Les performances annoncées peuvent atteindre jusqu’à 1 million d’IOPS, un débit de 20 Go/s pour le stockage et de 400 Gb/s pour le réseau. Le nouveau Azure Boost prend aussi en charge le RDMA (Remote Direct Memory Access) pour un accès direct à la mémoire.
Cette nouvelle génération sera disponible dans les prochaines VM de la série v7 avec des processeurs Intel Xeon de la génération Granite Rapids. Microsoft précise que ses futures machines virtuelles DSv7 et ESv7 pourront gérer jusqu’à 372 vCPU, tandis que les ESv7 pourront prendre en charge jusqu’à 2,8 To de mémoire.
Connexion
