Le régulateur italien des télécommunications AGCOM vient d’infliger une amende de 14,2 millions d’euros à Cloudflare à payer dans les 30 jours, une somme représentant 1 % du chiffre d’affaires mondial de l’entreprise.

L’AGCOM reproche au géant états-unien de ne pas avoir mis en œuvre le blocage par son résolveur DNS 1.1.1.1 de sites pirates qu’elle lui avait demandé en février 2025 en s’appuyant sur la loi anti-piratage italienne votée en 2023.

Celle-ci permet d’imposer le blocage de noms de domaine et d’adresses IP liés au piratage dans un délai de 30 minutes, comme l’explique TorrentFreak. « Il avait été demandé à la société, en tant que fournisseur de services numérique impliqué dans l’accès à des contenus diffusés illégalement, de désactiver la résolution DNS des noms de domaine et le routage du trafic réseau vers les adresses IP signalées par les titulaires des droits via la plateforme Piracy Shield, ou, en tout état de cause, de prendre les mesures technologiques et organisationnelles nécessaires pour rendre les contenus diffusés illégalement inaccessibles aux utilisateurs finaux », explique l’AGCOM dans son communiqué de presse.

Comme l’explique le média Heise, Cloudflare s’est défendu en affirmant que la demande était « disproportionnée et déraisonnable », car cette demande l’obligeait à mettre un filtre sur les 200 milliards de requêtes que reçoit son DNS 1.1.1.1 par jour, ce qui entrainerait une latence importante de son service et son efficacité. L’entreprise a aussi pointé le risque de « surblocage », avec un ciblage trop large.

L’entreprise pourra mettre de nouveau en avant ces arguments devant la Cour d’appel administrative régionale du Lazio auprès de laquelle elle a déjà annoncé qu’elle ferait appel.

Le CEO de Cloudflare, Matthew Prince, a vertement réagi vendredi sur X dans un long message en estimant que cette amende était infligée à son entreprise pour « ne pas s’être conformée à [un] programme de censure d’Internet ».

Il y explique aussi que Cloudflare réfléchit à « 1) mettre fin aux services de cybersécurité pro bono d’une valeur de plusieurs millions de dollars qu’ [elle fournit] aux prochains Jeux olympiques de Milan-Cortina ; 2) mettre fin aux services de cybersécurité gratuits de Cloudflare pour tous les utilisateurs basés en Italie ; 3) retirer tous les serveurs des villes italiennes ; et 4) mettre fin à tous les projets de création d’un bureau Cloudflare en Italie ou d’investissements dans le pays ».

Si vous disposez d’un compte Instagram, peut-être avez-vous reçu, ces derniers jours, un mail non sollicité de récupération de votre mot de passe. Malwarebytes, éditeur de l’antivirus éponyme, a affirmé dans sa newsletter que le phénomène découlait d’une intrusion dans les systèmes d’Instagram.

« Cette semaine, Malwarebytes a découvert que des pirates informatiques avaient dérobé les informations sensibles de 17,5 millions de comptes Instagram. Ces données, comprenant noms d’utilisateur, adresses postales, numéros de téléphone, adresses électroniques et autres, peuvent être exploitées par des cybercriminels pour usurper l’identité de marques de confiance, tromper les utilisateurs et voler leurs mots de passe », affirmait l’éditeur.

L’hypothèse de cette intrusion a largement circulé sur les réseaux sociaux entre samedi et dimanche, bien aidée, dans la sphère francophone, par le relais de Clément Domingo (alias SaxX sur les réseaux sociaux), récemment épinglé pour ses révélations discutables d’un point de vue éthique.

Instagram a fini par réagir dimanche, non pas sur les canaux de Meta, mais par l’intermédiaire d’un message posté sur X. Via son compte officiel, le réseau social indique :

« Nous avons corrigé un problème qui permettait à un tiers de demander l’envoi d’e-mails de réinitialisation de mot de passe pour certains utilisateurs. Nos systèmes n’ont subi aucune intrusion et vos comptes Instagram sont sécurisés. Vous pouvez ignorer ces e-mails. Veuillez nous excuser pour la gêne occasionnée. »

Le message constitue une dénégation catégorique, mais il ne donne aucune explication concrète sur la nature du « problème » en question.

D’où viennent dans ce cas les 17,5 millions de comptes compromis évoqués par Malwarebytes ? D’après Troy Hunt de Have I Been Pwned, le déclencheur serait le « repost » d’une publication de 2024 annonçant la mise en vente d’un jeu de 17 millions d’enregistrements issus des bases de données d’Instagram. Dans le lot, environ 6 millions de lignes seraient associées à une adresse email. Un volume qui correspond à celui de la fuite surnommée Doxagram, survenue en 2017.

Troy Hunt n’établit aucun lien formel, mais renvoie vers la déclaration d’Instagram en remarquant que «  les données extraites ne semblent pas être liées aux demandes de réinitialisation de mot de passe effectuées sur la plateforme, malgré la concordance temporelle. Rien ne prouve que des mots de passe ou d’autres données sensibles aient été compromis. »

L’annonce a été faite ce matin : « Nous sommes ravis d’annoncer que le Conseil d’Administration de Mageia a officiellement validé la publication de la première image ISO Alpha pour Mageia 10 ». Attention, nous sommes encore loin d’une version stable, il s’agit ici de commencer « des tests à grande échelle par la communauté » pour collecter des retours.

Les images ISO de cette mouture sont disponibles pour des « installations traditionnelles sur les systèmes 32 bits (i686) et 64 bits », ce qui est de plus en plus rare en mode 32 bits (le CPU doit supporter le jeu d’instructions SSE2 pour Mageia 10). Ubuntu par exemple a arrêté il y a plusieurs années.

Mageia 10 est livrée avec le noyau Linux 6.6, X.Org 21.1.13 et XWayland 24.1.0. Il y a également des « images Live Desktop présentant des bureaux populaires tels que Plasma, GNOME et Xfce ». Les notes de version détaillées se trouvent par ici. Pour signaler des bugs, c’est par là que ça se passe.

• X11, Wayland : pourquoi la transition est-elle aussi longue ?

La suite du calendrier a été annoncée en décembre : « une première version bêta prévue pour la première moitié de janvier 2026, suivie d’une deuxième version bêta un mois plus tard. La version release candidate est prévue deux semaines après la deuxième version bêta, tandis que la version finale est attendue en avril 2026 ». Cette date d’avril 2026 est confirmée dans le billet de blog du jour.

Un Prince déchu

Le Cambodge a extradé en Chine un milliardaire accusé d’avoir supervisé des centres de travail forcé dédiés aux cyberarnaques à la romance et aux cryptoactifs de type « pig-butchering » (« arnaque à l’abattage du cochon » en français). En octobre dernier, les autorités états-uniennes et britanniques avaient déjà saisi ses propriétés en Grande-Bretagne (un immeuble de la City, un manoir et 17 appartements à Londres), ainsi que l’équivalent de 15 milliards de dollars en bitcoins.

Les autorités cambodgiennes ont annoncé mercredi soir l’arrestation et l’extradition vers la Chine de trois ressortissants d’origine chinoise, dont Chen Zhi, rapporte l’AFP. Fondateur et président du Prince Holding Group, un conglomérat international, il était accusé d’avoir orchestré « l’une des plus grandes opérations de fraude à l’investissement de l’histoire », d’après Joseph Nocella Jr., procureur fédéral du district de New York.

L’extradition a été confirmée par le ministère chinois de la Sécurité publique, qui a salué un « succès très important de la coopération Chine-Cambodge », et diffusé une vidéo du magnat menotté à sa descente d’avion. Il a aussi annoncé que des mandats d’arrêt contre le premier cercle de ses complices seraient bientôt émis.

L’une des plus grandes organisations criminelles transnationales d’Asie

Le ministère états-unien de la Justice avait déjà annoncé, en octobre 2025, « la plus grande action en confiscation jamais engagée », correspondant à « 127 271 bitcoins » d’une valeur d’environ 15 milliards de dollars, ainsi qu’un immeuble de bureaux dans la City, un manoir et 17 appartements à Londres, comme nous l’avions relaté dans un précédent long format à son sujet.

• Arnaques en ligne : saisie historique de 15 milliards de dollars en bitcoins

Cette fortune aurait été accumulée via des extorsions menées sur des centaines de « victimes de traite d’êtres humains et d’esclavage moderne » détenues « contre leur gré », et pour certaines torturées, dans des complexes abritant de vastes dortoirs entourés de hauts murs et de barbelés, qualifiés de « camps de travaux forcés ».

Le Cambodge a aussi annoncé la liquidation de la banque Prince fondée par Chen Zhi, qui gérerait environ un milliard de dollars d’actifs, mais que les États-Unis accusent de servir de paravent à l’« une des plus grandes organisations criminelles transnationales d’Asie ».

L’un des plus généreux donateurs du Parti du peuple cambodgien

Né en Chine mais citoyen britannique, Chen Zhi avait obtenu la nationalité cambodgienne en 2014, et avait gravi les échelons jusqu’à devenir conseiller de l’ancien Premier ministre cambodgien Hun Sen et de son fils et successeur au poste de Premier ministre Hun Manet. Il était aussi l’un des plus généreux donateurs du Parti du peuple cambodgien (PPC) au pouvoir, rapporte le Courrier International. Chen Zhi et de hauts responsables auraient ainsi usé de leur influence politique et corrompu des fonctionnaires dans plusieurs pays pour protéger leurs activités illégales, relève l’AFP.

Dans une longue enquête publiée en 2024, Radio Free Asia soulignait que « depuis sa création il y a huit ans, le groupe Prince s’est imposé comme l’une des marques les plus omniprésentes du Cambodge » et que « son nom est présent dans presque tous les secteurs du marché cambodgien : centres commerciaux, supermarchés, banques, casinos, appartements, cinémas, immeubles de bureaux, jets privés, bateaux de plaisance, production cinématographique, hôtels, sociétés de capital-risque, services de VTC, restaurants, etc. »

Signe de sa chute, sa nationalité cambodgienne lui avait été retirée en décembre dernier, suite à des pressions répétées des USA et de la Chine, qui voient d’un mauvais œil ces centres frauduleux, qui rapportent des dizaines de milliards de dollars par an au Cambodge, au Myanmar et au Laos, pays désignés par l’Institut américain pour la paix comme épicentres de la traite des êtres humains et du crime organisé, souligne The Diplomat.

Une « goutte d’eau » dans la lutte contre la cybercriminalité au Cambodge

Interrogé par l’AFP, Jacob Sims, expert en criminalité transnationale, ne voit cela dit dans cette arrestation et extradition qu’« une goutte d’eau » dans la lutte contre la cybercriminalité au Cambodge, « à moins que le même type de pressions » ne soit appliqué pour « d’autres barons de l’arnaque » et « les oligarques cambodgiens corrompus ».

En octobre dernier, Jacob Sims avait déjà qualifié Chen Zhi d’« acteur profondément ancré dans l’État cambodgien », précisant que « son influence s’étend à tous les niveaux du gouvernement, et le Prince Group est depuis longtemps l’un des principaux soutiens financiers du parti au pouvoir ».

Le phénomène des centres d’arnaque au Cambodge est tellement prégnant qu’ils ont même droit à un article dédié sur Wikipedia. Amnesty International en a identifié au moins 53, qui emploieraient entre 100 000 et 150 000 personnes, générant entre 12 et 19 milliards de dollars par an, soit plus de la moitié du PIB du pays d’après l’United States Institute of Peace.

En octobre, quelques jours après la validation par l’Arcep d’une nouvelle prolongation de l’itinérance 2G et 3G de Free sur le réseau d’Orange, Free Mobile annonçait la fin de sa 3G. Désormais, la fiche d’information standardisée indique : « Service accessible en itinérance 2G/3G sur le réseau de l’opérateur historique partenaire ».

• Free Mobile abandonne officiellement sa 3G

Au 1ᵉʳ décembre 2025 (relevé sur le mois de novembre), Free disposait encore de 21 137 sites en service dans les 900 MHz, ainsi que 181 sites dans les 2100 MHz. Au 1ᵉʳ janvier 2026, la situation a bien changé : 6 303 sites 3G en service dans les 900 MHz, 0 dans les 2 100 MHz.

Free a donc perdu près de 15 000 sites en service dans les 900 MHz en 3G… mais en gagne dans le même temps plus de 11 000 en 4G, toujours dans les 900 MHz. La 3G dans les 900 MHz chez les trois autres opérateurs ne change que peu avec ± une centaine de sites maximum.

C’est le seul opérateur sur le mois de décembre à annoncer des changements sur cette bande de fréquence pour la 4G. Les trois autres ne laisseront pour rappel la 3G de côté qu’à partir de 2028, ils continuent donc d’assurer un service à leurs clients d’ici là.

En janvier, Free est d’ailleurs toujours le seul opérateur avec des sites 4G en service dans les 900 MHz, avec désormais près de 24 000 sites (pour un peu plus de 26 000 autorisations). Orange a quatre autorisations, mais aucune mise en service.