Depuis son lancement le 1ᵉʳ avril 2004, la messagerie Gmail de Google ne permettait pas de changer son adresse. C’est désormais possible, comme le rapporte 9to5Google.
Une page d’aide dédiée a été mise en ligne. Elle indique que « vous pouvez remplacer l’adresse e-mail de votre compte Google se terminant par gmail.com par une nouvelle adresse se terminant par gmail.com ».
Votre ancienne adresse deviendra alors automatiquement une adresse secondaire toujours liée à votre compte Google. Vous pourrez d’ailleurs y revenir « à tout moment ». La nouvelle s’affichera par défaut sur les services Google, mais « les anciennes instances ne seront pas modifiées de manière rétroactive. Cela signifie que certains éléments, tels que les événements d’agenda créés avant le changement, continueront d’afficher votre ancienne adresse e-mail ».
La foire aux questions dresse une liste des limitations. On apprend notamment que l’ancienne adresse email ne peut pas être supprimée et qu’il n’est pas possible de l’empêcher de s’afficher dans le compte Google.
De plus, « vous ne pouvez créer une adresse e-mail de compte Google se terminant par @gmail.com qu’une fois tous les 12 mois et trois fois au total », soit un total de quatre adresses en gmail.com pour votre compte Google (d’ici trois ans minimum).
Cette fonctionnalité est en cours de déploiement « pour tous les utilisateurs », précise Google. Sur notre compte, il n’est pour le moment pas possible de la modifier.
"On m'a dit de venir, pas de venir avec des bagages"
En naviguant dans les Google Groupes, il ne faut pas plus de quelques minutes pour tomber sur des informations qui ne devraient pas être librement accessibles : devis, relevés de compte, bilans de santé, rendez-vous médicaux, etc. Parents d’élèves, associations, syndicats de copropriété, entreprises… tout le monde est concerné. Pire encore, certaines données sont en ligne depuis près de 20 ans.
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 2 juillet 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
En décembre 2024, nous parlions d’un cas emblématique de Shadow IT : l’équipe d’une clinique privée utilisait Google Groupes pour parler des patients et s’échanger des documents confidentiels avec des données personnelles et médicales. Nous avions contacté l’établissement de santé et le groupe de discussions avait été rendu inaccessible dans la foulée.
Mais en trainant un peu sur les Google Groupes, on se rend rapidement compte que c’est loin, très loin d’être un cas isolé. Il serait quasiment impossible de boucher toutes les brèches potentielles, sauf à rendre privés l’ensemble des groupes, dont certains ont plus de 20 ans.
C’est, en effet, début 2001 que Google rachète Deja.com et sa base de données contenant les discussions des Newgroups, soit pas moins de 500 millions de messages, selon le communiqué de l’époque. Le tout est rendu accessible sur Groups.google.com. C’est encore aujourd’hui l’adresse des Google Groupes.
Ils sont accessibles à condition d’avoir un compte Google et se sont largement développés au fil des années. Ils continuent aujourd’hui d’attirer du monde. Souvent, il s’agit d’avoir un email commun pour partager des informations au sein d’une communauté. Problème, suivant les réglages de visibilité, tout le monde peut lire les emails envoyés au groupe. Comme nous allons le voir, certains utilisent même cette adresse comme email d’identification.
En première ligne : les associations sportives et syndics de copropriété
Les exemples de données accessibles par tout un chacun, nous pourrions presque les multiplier à l’infini, mais nous allons nous limiter à quelques cas emblématiques. Accrochez-vous, certains sont inquiétants ; d‘autant qu’ils peuvent avoir quelques mois comme quelques (dizaines d’) années.
Un club de sport pour commencer. Des dossiers d’inscriptions des membres, des autorisations RGPD et des certificats médicaux sont disponibles en toute liberté sur un groupe ouvert à tous. Nous y retrouvons aussi des comptes rendus des réunions de bureau ainsi que divers documents, certains bancaires.
Voici un exemple d’échange librement accessible :
Ce groupe a été créé en 2013 et il est toujours actif. Nous avons contacté l’association sportive pour lui signaler le problème il y a plusieurs mois déjà, sans aucune réponse ou action de sa part jusqu’à présent.
On retrouve aussi beaucoup de groupes autour des copropriétés et/ou des conseils syndicaux. Devis, querelles de voisinage, photos, codes, etc. tout y passe ou presque. On y retrouve aussi des coordonnées téléphoniques et des adresses de certaines personnes.
L’une d’entre elles est même ingénieure chez Thales depuis plus de 20 ans, selon son profil LinkedIn. On pourrait se dire qu’elle est un minimum rompue aux questions de cybersécurité, mais on retrouve son adresse et ses numéros de téléphones dans un message.
Encore une fois, le souci principal vient de la configuration du Google Groupe qui permet à tout le monde de consulter les messages. Il suffit donc d’envoyer un email à une adresse branchée sur un Google Groupe pour que toute la correspondance soit visible.
Le compte Google Groupe sert à s’identifier dans une banque
Toujours sur le principe des choses à ne pas faire, certains utilisent l’email associé au compte Google Groupes comme identifiant pour les réseaux sociaux et, pire, pour des comptes bancaires, PayPal, des cagnottes…
Résultats des courses, si quelqu’un fait une demande de mot de passe perdu, l’email est envoyé sur l’adresse du Google Groupe… qui est donc automatiquement publié dans le groupe de discussions visible par tout le monde.
Ce n’est pas un cas isolé : en moins de temps qu’il en faut pour le dire, nous avons identifié plusieurs messages du genre.
Il y a également des entreprises qui utilisent l’adresse du compte Google Groupes comme une messagerie interne, pour discuter des devis envoyés à des prospects et clients (avec le détail des prestations évidemment).
Nous avons l’exemple d’une entreprise qui, en plus des discussions internes, s’en sert aussi pour réceptionner les mails de sa banque Qonto et d’abonnements à Starlink. Son activité ? Elle vend des solutions d’accès à Internet par satellite de SpaceX.
Nous avons voulu vérifier si la procédure fonctionnait. En l’espace de quelques secondes, les emails de réinitialisation de mot de passe pour Qonto et Starlink sont arrivés sur le Google Groupes, visible par tout le monde…
« Pas seulement par simplicité, mais par nécessité »
Contacté par Next, l’administrateur du groupe a toutefois rapidement fermé les vannes. Il nous explique avoir « choisi cela non pas seulement par simplicité, mais par nécessité » :
« J’ai besoin d’une multitude d’adresses email différentes pour les différents services que j’utilise sans que je puisse utiliser les mêmes à chaque fois. Donc, soit je m’achète un domaine et je me crée des tonnes d’adresses email, soit je détourne l’usage de ce groupe pour me rendre destinataire de tous ces services ».
À lire les emails envoyés dans le Google Groupes, on se rend compte que l’entreprise dispose déjà d’un nom de domaine et d’un site, bien que ce soit principalement une coquille vide.
Bilan de santé et de fertilité
Dans le domaine de la santé, un service dédié à la reproduction est aussi sur Google Groupes, avec le planning des interventions, des comptes rendus opératoires, des résultats d’analyses, etc. Nous avons contacté il y a plusieurs mois le médecin responsable de cette unité (hors Europe), sans réponse. Les premiers messages remontent à 2022, les derniers ont quelques jours.
Il s’agit là de comptes récents, dont nous avons à chaque fois tenté de contacter les responsables pour leur expliquer le problème. Mais il y a également d’autres groupes, laissés à l’abandon depuis des années, mais toujours librement accessibles.
Des groupes abandonnés depuis 10, 15, 20 ans…
On y retrouve une multitude d’informations qui n’ont rien à faire en ligne, à la vue de tous. Problème, il y a très peu de chances de contacter l’administrateur d’un groupe créé en 2010 et inactif depuis plus de 15 ans… D’autres remontent même aux années 2000 et sont encore accessibles.
Or, Google Groupes regorge de groupes de parents d’élèves, d’associations locales, de syndicats, etc. Chaque année scolaire, chaque événement, chaque action peut être l’occasion de créer un groupe et de le laisser tomber rapidement par la suite. Souvent, les responsables ne savent peut-être même pas que les informations sont librement accessibles. Qui plus est, les pièces jointes envoyées (PDF, images…) sur les Google Groupes sont hébergées par Google, et donc toujours téléchargeables, des années plus tard.
Pour ne rien arranger, les questions du respect de la vie privée, des informations personnelles et du fait qu’Internet n’oublie rien, n’étaient pas aussi présentes dans les années 2000 et 2010 qu’elles le sont aujourd’hui. Beaucoup de groupes se sont lancés (et se lancent encore) pour « simplifier » la discussion entre plusieurs personnes d’horizons différents. En témoignent d’ailleurs certains messages d’ouverture des groupes qui vantent la simplicité d’utilisation du service pour leurs usages, sans penser une seconde à la confidentialité.
Sur la plupart des groupes qui ne sont plus actifs, il y a quand même des messages parfois publiés au fil du temps : du spam, en masse, pour des sites plus que douteux.
La (molle) réponse de Google
L’ampleur du phénomène est telle qu’il nous est impossible de contacter l’ensemble des groupes divulguant des données personnelles. Nous avons contacté plusieurs associations, leur avons expliqué comment faire pour limiter la visibilité, mais face à la déferlante de résultats, ce n’est qu’une petite goutte d’eau. Nous ne parlons là que des groupes récents, la chance d’avoir une réponse sur ceux abandonnés depuis plus de 10 ans est proche de zéro.
Une autre approche serait de basculer, par défaut, l’ensemble des groupes sur une visibilité limitée aux membres. C’est le cas pour les nouveaux groupes lors d’une création, comme nous avons pu le confirmer encore récemment.
Nous avons aussi contacté Google, en lui demandant s’il comptait agir sur cette problématique et, si oui, de quelle manière. Comme indiqué précédemment, Google nous rappelle que « les Groupes sont privés par défaut, et ce sont les propriétaires de ces Groupes qui contrôlent ces paramètres ».
« S’il y a des exemples de contenus de Groupe qui violent les règles de contenu ou nos conditions d’utilisation, les utilisateurs peuvent alerter sur le sujet en suivant ce process (par groupe ou par message) », ajoute Google. Pas de changement de masse sur les Groupes donc, mais un traitement au cas par cas suite à des signalements.
Dans le règlement relatif au contenu de Google Groupes, un paragraphe est dédié aux « informations personnelles et confidentielles : il est interdit de communiquer les informations personnelles et confidentielles d’autrui telles que les numéros de carte de paiement, les numéros de Sécurité sociale, les numéros de téléphone sur liste rouge et les numéros de permis de conduire. Sachez que, dans la plupart des cas, les informations déjà disponibles sur Internet ou dans des archives publiques ne sont pas considérées comme privées ou confidentielles selon notre règlement ».
Hasard ou pas du calendrier, Google vient d’annoncer des changements pour les Groupes avec la mise en place pour tout le monde d’une option permettant de les verrouiller pour « empêcher les modifications sensibles ». Quand un groupe est « locked », cela « restreint considérablement la possibilité de modifier les attributs du groupe, tels que le nom et l’adresse e-mail) et les membres ». Cette fonction permet d’« éviter qu’il ne se désynchronise avec une source externe ».
Une fois activé, seuls certains administrateurs peuvent modifier le nom, la description, l’adresse e-mail, les alias, ajouter ou retirer des membres, supprimer le groupe, configurer une restriction d’adhésion, qui peut rejoindre le groupe, ce qu’il en est pour les membres externes, etc.
Dans tous les cas, cela ne change rien pour les données déjà exposées sur Internet dans les Google Groupes.
Depuis son lancement le 1ᵉʳ avril 2004, la messagerie Gmail de Google ne permettait pas de changer son adresse. C’est désormais possible, comme le rapporte 9to5Google.
Une page d’aide dédiée a été mise en ligne. Elle indique que « vous pouvez remplacer l’adresse e-mail de votre compte Google se terminant par gmail.com par une nouvelle adresse se terminant par gmail.com ».
Votre ancienne adresse deviendra alors automatiquement une adresse secondaire toujours liée à votre compte Google. Vous pourrez d’ailleurs y revenir « à tout moment ». La nouvelle s’affichera par défaut sur les services Google, mais « les anciennes instances ne seront pas modifiées de manière rétroactive. Cela signifie que certains éléments, tels que les événements d’agenda créés avant le changement, continueront d’afficher votre ancienne adresse e-mail ».
La foire aux questions dresse une liste des limitations. On apprend notamment que l’ancienne adresse email ne peut pas être supprimée et qu’il n’est pas possible de l’empêcher de s’afficher dans le compte Google.
De plus, « vous ne pouvez créer une adresse e-mail de compte Google se terminant par @gmail.com qu’une fois tous les 12 mois et trois fois au total », soit un total de quatre adresses en gmail.com pour votre compte Google (d’ici trois ans minimum).
Cette fonctionnalité est en cours de déploiement « pour tous les utilisateurs », précise Google. Sur notre compte, il n’est pour le moment pas possible de la modifier.
"On m'a dit de venir, pas de venir avec des bagages"
En naviguant dans les Google Groupes, il ne faut pas plus de quelques minutes pour tomber sur des informations qui ne devraient pas être librement accessibles : devis, relevés de compte, bilans de santé, rendez-vous médicaux, etc. Parents d’élèves, associations, syndicats de copropriété, entreprises… tout le monde est concerné. Pire encore, certaines données sont en ligne depuis près de 20 ans.
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 2 juillet 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
En décembre 2024, nous parlions d’un cas emblématique de Shadow IT : l’équipe d’une clinique privée utilisait Google Groupes pour parler des patients et s’échanger des documents confidentiels avec des données personnelles et médicales. Nous avions contacté l’établissement de santé et le groupe de discussions avait été rendu inaccessible dans la foulée.
Mais en trainant un peu sur les Google Groupes, on se rend rapidement compte que c’est loin, très loin d’être un cas isolé. Il serait quasiment impossible de boucher toutes les brèches potentielles, sauf à rendre privés l’ensemble des groupes, dont certains ont plus de 20 ans.
C’est, en effet, début 2001 que Google rachète Deja.com et sa base de données contenant les discussions des Newgroups, soit pas moins de 500 millions de messages, selon le communiqué de l’époque. Le tout est rendu accessible sur Groups.google.com. C’est encore aujourd’hui l’adresse des Google Groupes.
Ils sont accessibles à condition d’avoir un compte Google et se sont largement développés au fil des années. Ils continuent aujourd’hui d’attirer du monde. Souvent, il s’agit d’avoir un email commun pour partager des informations au sein d’une communauté. Problème, suivant les réglages de visibilité, tout le monde peut lire les emails envoyés au groupe. Comme nous allons le voir, certains utilisent même cette adresse comme email d’identification.
En première ligne : les associations sportives et syndics de copropriété
Les exemples de données accessibles par tout un chacun, nous pourrions presque les multiplier à l’infini, mais nous allons nous limiter à quelques cas emblématiques. Accrochez-vous, certains sont inquiétants ; d‘autant qu’ils peuvent avoir quelques mois comme quelques (dizaines d’) années.
Un club de sport pour commencer. Des dossiers d’inscriptions des membres, des autorisations RGPD et des certificats médicaux sont disponibles en toute liberté sur un groupe ouvert à tous. Nous y retrouvons aussi des comptes rendus des réunions de bureau ainsi que divers documents, certains bancaires.
Voici un exemple d’échange librement accessible :
Ce groupe a été créé en 2013 et il est toujours actif. Nous avons contacté l’association sportive pour lui signaler le problème il y a plusieurs mois déjà, sans aucune réponse ou action de sa part jusqu’à présent.
On retrouve aussi beaucoup de groupes autour des copropriétés et/ou des conseils syndicaux. Devis, querelles de voisinage, photos, codes, etc. tout y passe ou presque. On y retrouve aussi des coordonnées téléphoniques et des adresses de certaines personnes.
L’une d’entre elles est même ingénieure chez Thales depuis plus de 20 ans, selon son profil LinkedIn. On pourrait se dire qu’elle est un minimum rompue aux questions de cybersécurité, mais on retrouve son adresse et ses numéros de téléphones dans un message.
Encore une fois, le souci principal vient de la configuration du Google Groupe qui permet à tout le monde de consulter les messages. Il suffit donc d’envoyer un email à une adresse branchée sur un Google Groupe pour que toute la correspondance soit visible.
Le compte Google Groupe sert à s’identifier dans une banque
Toujours sur le principe des choses à ne pas faire, certains utilisent l’email associé au compte Google Groupes comme identifiant pour les réseaux sociaux et, pire, pour des comptes bancaires, PayPal, des cagnottes…
Résultats des courses, si quelqu’un fait une demande de mot de passe perdu, l’email est envoyé sur l’adresse du Google Groupe… qui est donc automatiquement publié dans le groupe de discussions visible par tout le monde.
Ce n’est pas un cas isolé : en moins de temps qu’il en faut pour le dire, nous avons identifié plusieurs messages du genre.
Il y a également des entreprises qui utilisent l’adresse du compte Google Groupes comme une messagerie interne, pour discuter des devis envoyés à des prospects et clients (avec le détail des prestations évidemment).
Nous avons l’exemple d’une entreprise qui, en plus des discussions internes, s’en sert aussi pour réceptionner les mails de sa banque Qonto et d’abonnements à Starlink. Son activité ? Elle vend des solutions d’accès à Internet par satellite de SpaceX.
Nous avons voulu vérifier si la procédure fonctionnait. En l’espace de quelques secondes, les emails de réinitialisation de mot de passe pour Qonto et Starlink sont arrivés sur le Google Groupes, visible par tout le monde…
« Pas seulement par simplicité, mais par nécessité »
Contacté par Next, l’administrateur du groupe a toutefois rapidement fermé les vannes. Il nous explique avoir « choisi cela non pas seulement par simplicité, mais par nécessité » :
« J’ai besoin d’une multitude d’adresses email différentes pour les différents services que j’utilise sans que je puisse utiliser les mêmes à chaque fois. Donc, soit je m’achète un domaine et je me crée des tonnes d’adresses email, soit je détourne l’usage de ce groupe pour me rendre destinataire de tous ces services ».
À lire les emails envoyés dans le Google Groupes, on se rend compte que l’entreprise dispose déjà d’un nom de domaine et d’un site, bien que ce soit principalement une coquille vide.
Bilan de santé et de fertilité
Dans le domaine de la santé, un service dédié à la reproduction est aussi sur Google Groupes, avec le planning des interventions, des comptes rendus opératoires, des résultats d’analyses, etc. Nous avons contacté il y a plusieurs mois le médecin responsable de cette unité (hors Europe), sans réponse. Les premiers messages remontent à 2022, les derniers ont quelques jours.
Il s’agit là de comptes récents, dont nous avons à chaque fois tenté de contacter les responsables pour leur expliquer le problème. Mais il y a également d’autres groupes, laissés à l’abandon depuis des années, mais toujours librement accessibles.
Des groupes abandonnés depuis 10, 15, 20 ans…
On y retrouve une multitude d’informations qui n’ont rien à faire en ligne, à la vue de tous. Problème, il y a très peu de chances de contacter l’administrateur d’un groupe créé en 2010 et inactif depuis plus de 15 ans… D’autres remontent même aux années 2000 et sont encore accessibles.
Or, Google Groupes regorge de groupes de parents d’élèves, d’associations locales, de syndicats, etc. Chaque année scolaire, chaque événement, chaque action peut être l’occasion de créer un groupe et de le laisser tomber rapidement par la suite. Souvent, les responsables ne savent peut-être même pas que les informations sont librement accessibles. Qui plus est, les pièces jointes envoyées (PDF, images…) sur les Google Groupes sont hébergées par Google, et donc toujours téléchargeables, des années plus tard.
Pour ne rien arranger, les questions du respect de la vie privée, des informations personnelles et du fait qu’Internet n’oublie rien, n’étaient pas aussi présentes dans les années 2000 et 2010 qu’elles le sont aujourd’hui. Beaucoup de groupes se sont lancés (et se lancent encore) pour « simplifier » la discussion entre plusieurs personnes d’horizons différents. En témoignent d’ailleurs certains messages d’ouverture des groupes qui vantent la simplicité d’utilisation du service pour leurs usages, sans penser une seconde à la confidentialité.
Sur la plupart des groupes qui ne sont plus actifs, il y a quand même des messages parfois publiés au fil du temps : du spam, en masse, pour des sites plus que douteux.
La (molle) réponse de Google
L’ampleur du phénomène est telle qu’il nous est impossible de contacter l’ensemble des groupes divulguant des données personnelles. Nous avons contacté plusieurs associations, leur avons expliqué comment faire pour limiter la visibilité, mais face à la déferlante de résultats, ce n’est qu’une petite goutte d’eau. Nous ne parlons là que des groupes récents, la chance d’avoir une réponse sur ceux abandonnés depuis plus de 10 ans est proche de zéro.
Une autre approche serait de basculer, par défaut, l’ensemble des groupes sur une visibilité limitée aux membres. C’est le cas pour les nouveaux groupes lors d’une création, comme nous avons pu le confirmer encore récemment.
Nous avons aussi contacté Google, en lui demandant s’il comptait agir sur cette problématique et, si oui, de quelle manière. Comme indiqué précédemment, Google nous rappelle que « les Groupes sont privés par défaut, et ce sont les propriétaires de ces Groupes qui contrôlent ces paramètres ».
« S’il y a des exemples de contenus de Groupe qui violent les règles de contenu ou nos conditions d’utilisation, les utilisateurs peuvent alerter sur le sujet en suivant ce process (par groupe ou par message) », ajoute Google. Pas de changement de masse sur les Groupes donc, mais un traitement au cas par cas suite à des signalements.
Dans le règlement relatif au contenu de Google Groupes, un paragraphe est dédié aux « informations personnelles et confidentielles : il est interdit de communiquer les informations personnelles et confidentielles d’autrui telles que les numéros de carte de paiement, les numéros de Sécurité sociale, les numéros de téléphone sur liste rouge et les numéros de permis de conduire. Sachez que, dans la plupart des cas, les informations déjà disponibles sur Internet ou dans des archives publiques ne sont pas considérées comme privées ou confidentielles selon notre règlement ».
Hasard ou pas du calendrier, Google vient d’annoncer des changements pour les Groupes avec la mise en place pour tout le monde d’une option permettant de les verrouiller pour « empêcher les modifications sensibles ». Quand un groupe est « locked », cela « restreint considérablement la possibilité de modifier les attributs du groupe, tels que le nom et l’adresse e-mail) et les membres ». Cette fonction permet d’« éviter qu’il ne se désynchronise avec une source externe ».
Une fois activé, seuls certains administrateurs peuvent modifier le nom, la description, l’adresse e-mail, les alias, ajouter ou retirer des membres, supprimer le groupe, configurer une restriction d’adhésion, qui peut rejoindre le groupe, ce qu’il en est pour les membres externes, etc.
Dans tous les cas, cela ne change rien pour les données déjà exposées sur Internet dans les Google Groupes.
Le mercredi 24 décembre au matin, La Poste annonçait sur X un retour partiel à la normale : « nos services Banque en ligne et App mobile sont rétablis ». La société ajoutait que ses équipes restaient « pleinement mobilisées ». En effet, la cyberattaque (DDoS) était toujours en cours et, quatre jours plus tard, elle n’est toujours pas terminée.
C’est en effet le sens du message affiché sur laposte.fr ce vendredi 26 matin : « L’attaque informatique est toujours en cours. L’accès à nos services en ligne s’améliore progressivement. Les opérations bancaires et postales en bureau de poste fonctionnent normalement. La Poste met tout en œuvre pour rétablir le service aussi vite que possible ».
À l’AFP (via Le Monde), La Poste expliquait hier soir que le suivi de colis sur le site avait repris, mais en ajoutant qu’il « peut rester des colis qui n’y sont pas encore référencés, mais c’est très marginal ». C’était le dernier service de La Poste en mode dégradé. Le groupe affirme que 5,5 millions de colis ont été acheminés depuis lundi matin, dont « 2 millions pour la seule journée du 24 décembre ».
La Poste a évidemment déposé plainte auprès du parquet de Paris, qui a ouvert une enquête pour des « faits d’entrave au fonctionnement d’un système de traitement automatisé de données ». Le groupe pro-russe NoName057(016) a revendiqué l’attaque, mais ce genre de revendications est à prendre avec de grosses pincettes.
Le mercredi 24 décembre au matin, La Poste annonçait sur X un retour partiel à la normale : « nos services Banque en ligne et App mobile sont rétablis ». La société ajoutait que ses équipes restaient « pleinement mobilisées ». En effet, la cyberattaque (DDoS) était toujours en cours et, quatre jours plus tard, elle n’est toujours pas terminée.
C’est en effet le sens du message affiché sur laposte.fr ce vendredi 26 matin : « L’attaque informatique est toujours en cours. L’accès à nos services en ligne s’améliore progressivement. Les opérations bancaires et postales en bureau de poste fonctionnent normalement. La Poste met tout en œuvre pour rétablir le service aussi vite que possible ».
À l’AFP (via Le Monde), La Poste expliquait hier soir que le suivi de colis sur le site avait repris, mais en ajoutant qu’il « peut rester des colis qui n’y sont pas encore référencés, mais c’est très marginal ». C’était le dernier service de La Poste en mode dégradé. Le groupe affirme que 5,5 millions de colis ont été acheminés depuis lundi matin, dont « 2 millions pour la seule journée du 24 décembre ».
La Poste a évidemment déposé plainte auprès du parquet de Paris, qui a ouvert une enquête pour des « faits d’entrave au fonctionnement d’un système de traitement automatisé de données ». Le groupe pro-russe NoName057(016) a revendiqué l’attaque, mais ce genre de revendications est à prendre avec de grosses pincettes.
Avec la loi n° 2022 – 300 du 2 mars 2022, l’ANFR a hérité de la vérification du contrôle parental. Depuis le 13 juillet 2024, cela concerne « l’ensemble des nouveaux appareils connectés à internet mis sur le marché », notamment les smartphones.
L’Agence nationale des fréquences a contrôlé le Pixel 9 de Google : « Les analyses ont mis en évidence que, dans certains cas d’usage concernant les mineurs de plus de 15 ans, l’appareil ne respectait pas l’exigence réglementaire consistant à proposer l’activation du dispositif de contrôle parental lors de la première mise en service de l’équipement ».
Google a été mis en demeure de corriger le tir, ce qui a été fait via la mise à jour BP3A.251105.015 du 14 novembre 2025. Elle est déployée sur les Pixel 7 à 9, ainsi que les Pixel Tablet et Fold, avec divers autres correctifs.
« L’ANFR a vérifié l’efficacité de cette mesure », mais précise : « Toutefois, l’ANFR attire l’attention des utilisateurs sur le fait que, dans certains cas, cette activation, du fait qu’elle se poursuit au-delà de la procédure d’initialisation de l’appareil, peut être abandonnée sans que ceux-ci en aient clairement manifesté l’intention ».
Il y a tout juste un mois, c’était l’iPhone 16 qui était épinglé par l’ANFR pour le même genre de problème. Apple aussi avait corrigé le tir. Que ce soit chez Apple ou Google, on peut supposer que les modifications ne concernent pas que les deux smartphones testés (iPhone 16 et Pixel 9), mais plus largement iOS et Android.
Avec la loi n° 2022 – 300 du 2 mars 2022, l’ANFR a hérité de la vérification du contrôle parental. Depuis le 13 juillet 2024, cela concerne « l’ensemble des nouveaux appareils connectés à internet mis sur le marché », notamment les smartphones.
L’Agence nationale des fréquences a contrôlé le Pixel 9 de Google : « Les analyses ont mis en évidence que, dans certains cas d’usage concernant les mineurs de plus de 15 ans, l’appareil ne respectait pas l’exigence réglementaire consistant à proposer l’activation du dispositif de contrôle parental lors de la première mise en service de l’équipement ».
Google a été mis en demeure de corriger le tir, ce qui a été fait via la mise à jour BP3A.251105.015 du 14 novembre 2025. Elle est déployée sur les Pixel 7 à 9, ainsi que les Pixel Tablet et Fold, avec divers autres correctifs.
« L’ANFR a vérifié l’efficacité de cette mesure », mais précise : « Toutefois, l’ANFR attire l’attention des utilisateurs sur le fait que, dans certains cas, cette activation, du fait qu’elle se poursuit au-delà de la procédure d’initialisation de l’appareil, peut être abandonnée sans que ceux-ci en aient clairement manifesté l’intention ».
Il y a tout juste un mois, c’était l’iPhone 16 qui était épinglé par l’ANFR pour le même genre de problème. Apple aussi avait corrigé le tir. Que ce soit chez Apple ou Google, on peut supposer que les modifications ne concernent pas que les deux smartphones testés (iPhone 16 et Pixel 9), mais plus largement iOS et Android.
Plus d’excuse pour ne pas sauvegarder ses données !
Avec votre abonnement Next vous avez désormais droit à 1 To de stockage offert (et même davantage selon votre ancienneté), mais vous ne savez pas comment en profiter ? Voici un tuto pour configurer un ordinateur (Windows, macOS, Linux) ou un NAS.
C’est du stockage « compatible S3 », utilisable par de très nombreux services pour sauvegarder des données. Pour ce lancement en pleine période de fêtes, l’accès est limité aux cent premiers lecteurs, mais les vannes seront ouvertes plus largement dès le mois de janvier.
1 To de S3 offert et les explications pour l’exploiter au mieux !
Pour profiter du To offert, il faut commencer par demander vos codes d’accès. Cela se passe dans votre compte Next. Si vous disposez d’un abonnement actif, un nouvel onglet « Stockage S3 » est désormais disponible entre les paramètres et la liste des utilisateurs bloqués.
Sur cet onglet, il vous suffit de demander l’activation de votre espace de stockage, puis de valider les conditions d’utilisation. Veillez à bien les lire et les comprendre (promis, elles ne sont pas longues).
Point important et répété par la suite, votre clé privée n’est proposée qu’une seule fois lors du parcours, et uniquement à la création de votre espace (via le téléchargement d’un fichier texte) ! Il ne faut pas la perdre, sous peine de ne plus pouvoir accéder à vos données. Ni Next, ni moji, n’ont la moindre trace de cette clé.
En cas de perte, vous disposerez (notez l’emploi du futur, la fonctionnalité arrivera rapidement, promis !) d’une option permettant de réinitialiser votre espace de stockage. Elle permettra de disposer d’une nouvelle clé privée, et de mettre en place une nouvelle sauvegarde, mais toutes les données hébergées sur votre sauvegarde précédente seront supprimées.
Par défaut, la capacité de stockage est de 1 To (1024 Go) pour les abonnés Premium, avec 100 Go supplémentaires par année d’ancienneté du compte (on parle bien du compte, pas du statut Premium), au travers d’un bucket unique (puisque le service est à usage individuel).
Une fois votre espace de stockage créé, vous retrouvez sur l’onglet dédié de votre compte les informations nécessaires à son utilisation, à l’exception donc de la fameuse clé privée. Un tableau récapitule les infos dont vous aurez besoin pour paramétrer votre sauvegarde : l’adresse du service de stockage, une clé d’accès publique, un paramètre de région, et le nom du bucket (s3-next-ink), qui n’est pas modifiable.
Dans cet article, nous vous détaillons comment mettre à profit ces informations pour créer une sauvegarde automatisée, sur votre espace de stockage Next, à partir d’un ordinateur sous Windows, macOS ou Linux, mais aussi depuis un NAS QNAP ou Synology. Ce ne sont que quelques exemples, il n’y a évidemment aucune limitation sur la manière d’utiliser votre espace S3.
Nous expliquons la procédure pour le cas des utilisateurs de Next sur cet espace offert dans le cadre de l’abonnement, mais notre tuto fonctionne pour n’importe quel service de stockage exploitant S3. Dans ce cas, il faut simplement adapter l’adresse du serveur S3, les clés et éventuellement le nom bucket, mais le reste de la procédure est identique. Il est d’ailleurs possible d’ajouter le stockage Next comme une sauvegarde distante supplémentaire, en plus de celles que vous avez déjà.
Dans tous les cas, pensez à chiffrer vos données avant de les envoyer dans le cloud, que ce soit chez Next ou n’importe où ailleurs. Toutes les solutions présentées ici permettent d’activer le chiffrement côté client.
Pour sauvegarder ses données depuis un ordinateur, nous allons utiliser une seule « application » dans le cadre de ce tuto : Duplicati. Elle est disponible aussi bien sur Windows, macOS et Linux. Une image Docker est aussi proposée. L’interface est donc la même pour tout le monde. Pour ne rien gâcher, le code source est disponible sur GitHub.
Windows, macOS, Linux : sauvegarder et chiffrer ses données
La version gratuite est suffisante pour un usage grand public, avec jusqu’à cinq machines prises en charge, 200 sauvegardes et un an d’historique des logs. Une version à 5 dollars par mois et par machine permet d’avoir des messages d’alerte, des webhooks, une analyse par IA des sauvegardes, un accès prioritaire au support, etc.
Une fois installée, la particularité de Duplicati est de fonctionner en ligne de commande ou sous la forme d’un site web accessible à une adresse locale (c’est-à-dire depuis votre ordinateur) via votre navigateur Internet (Brave, Chrome, Edge, Firefox, Opera, Safari…) : http://127.0.0.1:8200/.
Pour créer une sauvegarde, cliquez sur « Add + » dans la partie Backups et laissez-vous guider. Pensez à activer le chiffrement dans le second menu. C’est le cas par défaut avec AES sur 256 bits, mais vous pouvez aussi passer sur GNU Privacy Guard (GnuPG). Pensez à sauvegarder votre mot de passe, faute de quoi vous ne pourrez plus accéder à vos données.
Dans la page Destination, choisissez Compatible S3. L’adresse du serveur (on parle aussi d’endpoint) est s3.fr1.next.ink. Saisissez ensuite votre access et secret key récupérés depuis votre compte Next. Pensez à ajouter un dossier pour éviter que les sauvegardes se retrouvent à la racine de votre bucket, puis cliquez sur « Test destination » pour vérifier que tout est bon avant d’aller plus loin.
L’écran suivant vous permet de sélectionner les dossiers et fichiers de votre ordinateur à sauvegarder. Chacun sélectionnera en fonction de ses besoins. Vous pouvez ajouter des filtres et/ou exclure certains fichiers, comme ceux dépassant une certaine taille.
La page suivante permet de régler la récurrence des sauvegardes, aussi bien au niveau des jours que des heures. Dans les options, deux paramètres. Le premier concerne la taille des volumes, à 50 Mo par défaut. Duplicati découpera les sauvegardes par morceaux de 50 Mo avant de les uploader sur S3. Laissez la valeur par défaut sauf si vous avez des besoins particuliers et que vous savez ce que vous faites. Le deuxième paramètre permet de mettre en place une rotation des sauvegardes.
Si vous lancez une sauvegarde à la fin du processus, vous pouvez voir l’état de l’avancement dans le haut de la page.
Synology : sauvegarder et chiffrer ses données avec Hyper Backup
Chez Synology, la sauvegarde des données de son NAS sur un espace de stockage S3 passe par l’application Hyper Backup. Nous l’avons installé sur un NAS DiskStation 1520 + dont nous disposons. Pour mettre en place une tâche de sauvegarde, cliquez sur le bouton « + » dans le menu de gauche de Hyper Backup.
Il faut ensuite cocher « Dossiers et paquets » puis S3 Storage dans le menu Cloud Service. L’adresse du serveur S3 doit être personnalisée avec s3.fr1.next.ink. Ajoutez vos clés d’accès et secrète, puis sélectionnez votre bucket (l’interface vous le propose automatiquement) et modifiez le répertoire si besoin. Par défaut c’est le nom de votre NAS avec « _1 » en plus à la fin pour la première tâche de sauvegarde, « _2 » pour la seconde, etc.
La page suivante vous permet de sélectionner les répertoires à sauvegarder, et par ailleurs d’ajouter des filtres pour exclure ou inclure certains fichiers par exemple. Vous pouvez aussi sauvegarder des applications (avec leurs paramètres).
La page suivante est celle des paramètres où l’on peut activer le chiffrement côté client, c’est-à-dire avant d’envoyer les données sur un stockage S3. Saisissez un mot de passe (Hyper Backup impose une longueur minimum de 8 caractères) et cliquez sur suivant. Activez et ajustez une rotation des sauvegardes si besoin, puis validez le résumé avec le bouton « Effectué ».
La configuration est terminée, vous pouvez lancer la sauvegarde immédiatement si vous le désirez.
QNAP : sauvegarder et chiffrer ses données avec Hybrid Backup Sync
Sur les NAS QNAP, la sauvegarde des données dans un bucket S3 passe par l’application du fabricant Hybrid Backup Sync 3 (ou HBS 3). Comme celle de Synology, elle permet aussi de mettre en place des sauvegardes locales et distantes, mais nous allons nous concentrer sur celle dans le cloud. N’ayant pas de NAS physique QNAP récents sous la main, nous avons installé QuTScloud sur une machine virtuelle, nous permettant ainsi de la transformer en NAS QNAP.
Dans HBS 3, rendez-vous dans la partie « Sauvegarder et Restaurer », puis cliquez sur créer une tâche de sauvegarde. Sélectionnez le ou les dossiers à sauvegarder, puis cliquez sur suivant. Dans le stockage de destination, descendez dans la partie Serveur Cloud puis choisissez « Compatible Amazon S3 et S3 ».
Le fournisseur de services n’est pas Amazon Web Services (AWS) comme indiqué par défaut, mais moji. Il faut donc le changer et choisir Compatible S3. Entrez l’adresse suivante : s3.fr1.next.ink et vos clés. Sur la page suivante, choisissez votre bucket (vous n’en avez qu’un seul et il n’est pas possible d’en créer de nouveau) et laissez le reste par défaut, sauf à savoir exactement ce que vous faites et pourquoi. Cliquez sur Sélectionner.
Le menu suivant vous permet de choisir ou créer le répertoire pour sauvegarder les données de votre NAS QNAP. Nous avons créé le répertoire Sav-QNAP dans notre bucket grâce à la petite icône en forme de dossier avec un « + » dedans.
Un menu récapitule enfin les informations de la tâche de sauvegarde. Si tout est bon, cliquez sur suivant et choisissez si vous le désirez une planification des tâches (périodique, quotidienne, hebdomadaire, mensuelle).
Pensez à faire un tour sur le menu à gauche, vous pouvez définir la gestion des versions et la vérification de l’intégrité des données. Il y a la possibilité de filtrer les fichiers, d’inclure ou d’exclure certains fichiers, de compresser les données et enfin d’utiliser ou non la déduplication.
De nouveau sur la gauche, allez faire un tour dans Politiques pour activer le chiffrement côté client afin de chiffrer vos données avant de les envoyer. Entrez votre mot de passe et pensez à le sauvegarder. Si vous le perdez, l’accès à vos données ne sera plus possible ; notez-le précieusement dans un endroit sûr.
C’est la dernière ligne droite. Vérifiez les informations et créez la tâche de sauvegarde si tout est bon. Lancez-la immédiatement si vous le souhaitez.
C’est à vous ! Pensez à chiffrer !!
Une fois les différentes sauvegardes en place, elles s’exécuteront automatiquement en fonction de la récurrence que vous avez demandée. Vous pouvez multiplier les ordinateurs et les NAS, il n’y a pas de limite. La seule limite étant la capacité de stockage S3 : 1 To pour tous les abonnés Next, avec 100 Go de plus par année d’ancienneté.
On ne le répétera jamais assez, mais chiffrez vos données AVANT de les envoyer dans le cloud, que ce soit chez moji ou n’importe qui d’autre. Duplicati est un exemple, mais bien d’autres solutions sont possibles. Le S3 de moji est évidemment agnostique de l’application. Vous avez l’adresse du serveur (endpoint) et les clés, et êtes donc totalement libre de vos choix.
Il restait un domaine avec un caractère, je l’ai acheté !
Depuis les débuts du .fr, près de 10 millions de noms de domaine ont été enregistrés. Nous les avons analysés afin d’en ressortir des statistiques (longueur, fréquence, récurrence, etc). Saviez-vous qu’il reste des milliers de noms de domaine disponibles avec deux caractères ? Quel était le premier nom avec 63 caractères ? Qu’il existe un site du « ministère de l’exploration urbaine » ?
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 9 septembre 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
L’Afnic (Association en charge des noms de domaines de la France) propose de nombreuses informations en open data, dont la liste de l’ensemble des noms de domaines en .fr existants ou ayant un jour existé, qu’ils aient duré moins d’une journée ou plusieurs décennies.
Ni une ni deux, nous téléchargeons l’archive d’un peu plus de 100 Mo, contenant un fichier CSV de près de 650 Mo une fois décompressé. Il contient près de 10 millions de noms de domaines (9 312 276 précisément).
Pour commencer, quelques statistiques. Un peu plus de 5 millions (53,7 %) ont une date de retrait dans le Whois, cela signifie qu’ils ne sont aujourd’hui plus actifs. Il reste donc pas moins de 4,3 millions de noms de domaines .fr valides.
30 ans d’historique du .fr
Attention, cela ne signifie pas qu’ils ont un site associé ni qu’ils répondent, ils appartiennent a priori à quelqu’un pour le moment, rien de plus. Le fichier débute au 31 décembre 1994 avec 343 créations ; ils n’ont pas tous été créés à cette date, mais sont tous datés du 31 décembre 1994.
En l’espace de 30 ans, la moyenne des créations des noms de domaine est d’un peu moins de 1 000 par jour, un chiffre qui double quasiment si on ne prend en compte que les dix dernières années. En 2024, la moyenne était de 2 150 domaines par jour, contre 2 300 pour la première moitié de 2025.
Cela ne surprendra personne, mais il y a environ deux fois plus de demandes les jours de semaine (avec une petite baisse de régime le vendredi) que les samedis et dimanches. Août est le pire mois de l’année en nombre d’enregistrements, suivi par juillet et décembre.
Le Top 3 des jours les plus productifs est le suivant : 7 mars 2012 avec 5 021 créations, 29 mars 2011 (4 628) et 18 mai 2004 (4 479). Cette date (qui a désormais plus de 20 ans) ne doit rien au hasard : « À partir du 11 mai 2004, toutes les personnes identifiables en ligne sur des bases de données publiques et nationales (entreprises, artisans, associations immatriculées à l’INSEE, détenteurs de marques…), pourront obtenir le nom de domaine qu’elles souhaitent sans que ce dernier figure sur quelque document que ce soit », expliquait l’Afnic.
Limites de l’open data, précisions de l’Afnic sur les données
Notre première analyse a consisté à vérifier si nous retrouvions les mêmes données que l’Afnic sur le nombre de domaines créés chaque année. Surprise, ce n’est pas la même chose, et pas à quelques (dizaines voire centaines de) domaines près. Un petit écart pourrait être laissé de côté, mais là c’est important et mérite un éclaircissement.
L’Afnic annonce par exemple plus de 802 000 créations en 2024, contre près de 790 000 dans le fichier, soit un écart d’un peu plus de 10 000 noms de domaines tout de même. Interrogée par Next, il y a quelque temps, l’Association nous expliquait avoir « déjà identifié l’origine de la différence. Cela concerne les noms déposés et supprimés dans les cinq jours ».
L’Association nous confirme que les créations sont bien au nombre de 802 000, « mais sur l’année, environ 10 000 noms ont été supprimés dans la période de cinq jours, permettant au bureau d’enregistrement de ne pas être facturé ». Dans ce genre de cas, les noms n’apparaissent pas dans les données en open data, bien qu’ils aient été comptabilisés dans les créations.
Nous notons également des différences entre les retraits du Whois des données en open data et celles publiées dans des communiqués. Pour l’Afnic, « les retraits ou suppressions figurant dans l’open data sont vraisemblablement ceux qui ont donné lieu à un ticket suppression. Les autres (abandon « tacite » par non-renouvellement) n’ayant pas fait l’objet de tickets, ne sont pas dans l’Opendata ».
Des écarts existent donc bien entre les données publiées par l’Afnic et celles proposées en open data, mais sont inhérents à la manière dont le fichier est constitué. Rien d’alarmant pour autant, ou qui nous empêche de réaliser une analyse sur des millions de noms de domaines.
Vous pouvez également remarquer qu’il n’y a aucune information sur des suppressions avant 2014. C’est normal : « Le suivi « fin » des suppressions a été mis en place fin 2013 quand nous avons monté notre premier système de BI [business intelligence, NDR]. Ces résultats ont pu être intégrés en 2014 dans l’open data », nous précise là encore l’Afnic.
Dernier point, qu’en est-il des noms de domaines qui ont changé de registrar au cours de leur vie, sans avoir été abandonnés entre temps ? Nous avons testé sur quelques domaines en .fr. La date de création reste bien celle signalée par le premier registrar lors de l’enregistrement initial, mais le nom du bureau d’enregistrement est mis à jour dans le fichier open data (sans toucher la date).
Maintenant que le décor est planté, passons à quelques statistiques. Sans surprise, la durée de vie la plus courte pour un nom de domaine est de… 0 jour. Pour les plus longs, elle dépasse les 30 ans. Sur les domaines sans date de fin dans le Whois, la moyenne de la durée de vie est de 6,5 ans, sachant que cela comprend aussi des domaines créés récemment, donc avec une durée pour le moment courte.
de 0 à 1 an : 838 649 domaines (709 821 sans date de fin, 128 828 avec une date de fin)
1 à 2 ans : 2 412 353 domaines (558 101 sans date de fin, 1 854 252 avec une date de fin)
2 à 5 ans : 2 801 662 domaines (1 046 412 sans date de fin, 1 755 250 avec une date de fin)
5 à 10 ans : 1 871 426 domaines (942 592 sans date de fin, 928 834 avec une date de fin)
10 à 15 ans : 843 942 domaines (569 560 sans date de fin, 274 382 avec une date de fin)
15 à 20 ans : 406 696 domaines (354 831 sans date de fin, 51 865 avec une date de fin)
Plus de 20 ans : 137 548 domaines (129 564 sans date de fin, 7 984 avec une date de fin)
Sur les 343 domaines de 1994 (première date dans le fichier, impossible d’en savoir plus), 330 n’ont toujours pas de date de fin à l’heure actuelle, ils fêtent donc leur 30 ans. Renater est largement présent avec déjà 41 domaines en « univ- », 7 en « cnrs », etc. On retrouve évidemment de grands groupes et institutions comme airliquide.fr, bipm.fr, bnf.fr, bpi.fr, cea.fr, cnes.fr, dassault-systemes.fr, renault.fr, mais aussi des plus génériques comme geometre-expert.fr, cosytec.fr.
13,6 caractères en moyenne sur l’ensemble des .fr
Nous nous demandons ensuite comment se répartissent les noms de domaine en fonction de leur longueur. Sur les 9,3 millions, ils sont 108 à atteindre la taille maximale de 63 caractères, dont 15 sans date de fin dans le Whois. On reste dans la centaine pour 58 caractères et plus. La moyenne sur les près de 10 millions est de 13,6 caractères, tandis que la médiane est à 13 caractères.
Voici un résumé :
1 à 5 caractères : 400 194 domaines
6 à 10 caractères : 2 778 294 domaines
11 à 15 caractères : 3 167 990 domaines
16 à 20 caractères : 1 832 866 domaines
21 à 30 caractères : 997 973 domaines
30 et plus caractères : 134 960 domaines
Nous en profitons au passage pour étudier les domaines en fonctions de la présence de certains éléments, comme des chiffres, un tiret ou des caractères spéciaux :
Domaines avec chiffres : 656 208
Domaines avec tirets : 3 535 000
Domaines avec uniquement des lettres : 5 273 240
Domaines avec uniquement des chiffres : 7 549
Domaines avec des caractères spéciaux : 103 042
Nous avons ensuite regardé l’évolution du nombre de caractères dans les noms de domaines en .fr en fonction de l’année. Aux débuts du web, avant les années 2000, la moyenne était sous les 10 caractères et la médiane à 7/8 caractères. Au fils des années, la moyenne a augmenté pour atteindre son maximum dans les années 2011 à 2016 avec plus de 14 caractères. Depuis, c’est en légère baisse avec 13 caractères tout pile en 2025.
Que se passe-t-il avec les nom de domaines de 55 caractères ?
Actuellement, la grande majorité des noms de domaines encore actifs ont entre 7 et 15 caractères.
Le tableau de variation permet de soulever une petite anomalie dans la répartition : 412 domaines encore en service ont 55 caractères très exactement, alors qu’ils sont respectivement 181 et 47 avec 54 et 56 caractères. L’explication n’est pas à chercher bien loin.
Sur les 412 noms de domaine de 55 caractères, 384 sont sous cette forme : devis-installation-depannage-remplacement-chaudiere-xxx.fr avec trois chiffres (entre 100 et 514) à la place des xxx, et 21 domaines sous la forme devis-installation-depannage-remplacement-chauffeeau-xx avec des chiffres de 10 à 30. Ces domaines sont encore actifs aujourd’hui. Cela suffit à fausser les statistiques puisqu’on est généralement à moins de 200 noms de domaines sans date de fin à partir de 50 caractères.
Premier domaine à 63 caractères en 2009
Petit rappel des règles de l’Afnic : « Un nombre minimum et un nombre maximum de caractère(s) sont à respecter : 1 caractère minimum pour les noms de domaine en .fr et 3 caractères minimum pour les noms de domaine ultramarins (.re, .tf, .pm, .wf et .yt). Pour les .fr comme pour les ultramarins, la longueur maximum est de 63 caractères ».
Autre précision : les noms de domaine sous les zones .tm.fr, .asso.fr, .asso.re, .com.fr et .com.re sont fermés à l’enregistrement depuis le 15 mars 2013, mais sont maintenus en place pour les existants. De plus, certains domaines à deux caractères ne peuvent faire l’objet d’un enregistrement : « les noms de domaine suivants : fr.fr, re.fr, pm.fr, yt.fr, tf.fr, wf.fr, nc.fr, pf.fr, mf.fr, bl.fr, gp.fr, mq.fr, gf.fr, co.fr et nh.fr ainsi que leurs versions IDN », détaille l’Afnic.
Le premier nom de domaine à un seul caractère a été enregistré en 1997 (o.tm.fr), tandis que le plus long (63 caractères) date de 2009 avec portail-automatique-motorisation-amiens-picardie-key-automation.fr. Rien d’exceptionnel et aucune originalité… nous sommes presque déçus.
Aurons-nous plus de chance avec le premier domaine à 42 caractères (un geek y a-t-il pensé avant les autres) ? Même pas… puisqu’il s’agit de credit-agricole-maitrise-douvrage-deleguee.fr.
Heureusement, des noms plus originaux sont arrivés par la suite, notamment mondomaine-super-long-car-je-veux-avoir-le-domaine-le-plus-long.fr ou cestimpossiblequejemesouviennedecetteadresseinternetaussilongue.fr… Mais c’est une autre histoire que nous raconterons prochainement dans la suite de notre dossier.
Voici la liste des premiers noms de domaine de chaque longueur (après 2000) et leur date de création.
66 domaines avec un seul caractère
À l’extrême opposé des noms les plus longs, une soixantaine de noms de domaines ne contiennent qu’une seule lettre. Bien évidemment, tout l’alphabet (y compris en version internationale, alias IDN), avec ou sans accent, y passe. Cela correspond, depuis 2012, aux caractères suivants : a, à, á, â, ã, ä, å, æ, b, c, ç, d, e, è, é, ê, ë, f, g, h, i, ì, í, î, ï, j, k, l, m, n, ñ, o, ò, ó, ô, õ, ö, œ, p, q, r, s, t, u, ù, ú, û, ü, v, w, x, y, ý, ÿ, z, ß, 0, 1, 2, 3, 4, 5, 6, 7, 8 et 9.
Ne cherchez pas un nom de domaine avec un seul caractère ASCII (a à z, 0 à 9) libre ; il n‘y en a plus aucun de disponible. Si on passe aux caractères IDN (66 caractères possibles, contre 36 en ASCII), il en reste un seul avec un caractère (il a été libéré en mai 2023, après une création en mars 2020).
Donc, oui, a.fr, å.fr, ç.fr, ß.fr, é.fr et autres 0.fr sont déjà pris. Seule exception au moment d’écrire cette actu : ý.fr. Du moins il l’était… nous n’avons pas résisté et avons passé commande. Notez pour la petite histoire que ce nom de domaine est soumis à examen préalable. Pour le moment, notre commande n’est toujours pas validée par l’Afnic.
Des milliers de disponibles avec 2 caractères
Passons maintenant à deux caractères. Les portes de la création sont grandes ouvertes avec près de 3 000 domaines disponibles : aà, aá, aâ, aã, etc. Ne comptez par contre pas trouver une combinaison trop évidente comme ab.fr ou 12.fr.
Au total, 4 356 combinaisons existent avec deux caractères, 287 496 avec trois, près de 19 millions avec quatre, plus de 1,2 milliard avec cinq caractères, etc. Il y a de la marge ! Avec trois caractères en ASCII uniquement (sans les caractères spéciaux donc), il y a 46 656 possibilités, 1,6 million avec quatre, plus de 60 millions avec cinq, etc.
Voici quelques exemples de noms de domaine avec deux caractères qui ont un jour été enregistrés, mais qui sont désormais libérés : àà.fr, àç.fr, àf.fr, àt.fr, ââ.fr, ää.fr, åå.fr, ææ.fr, bâ.fr… Ceux-ci sont actuellement pris : çç.fr, aa.fr, bb.fr, ôs.fr, œœ.fr… Enfin ces derniers apparaissent totalement libres (et jamais enregistrés) : àæ.fr, âœ.fr, ïá.fr, 9ß.fr…
Les mots et combinaisons les plus fréquents
Passons maintenant à un top maison des mots que l’on retrouve dans des noms de domaine. « France » est présent dans plus de 100 000 d’entre eux, contre 95 000 pour « Paris ». Voici le Top 10 des villes :
Paris : 95 427
Lyon : 24 397
Bordeaux : 13 809
Marseille : 13 264
Toulouse : 12 847
Nice : 12 107
Nantes : 9 555
Lille : 9 469
Montpellier : 8 139
Rennes : 6 201
Le mot « service » est présent dans plus de 73 000 noms de domaines. Maison et sport sont à plus de 50 000. Conseil, formation et avocat sont aussi bien présents avec plus de 40 000 résultats. Immobilier et ville sont à plus de 35 000, hotel à 31 000, pharmacie à 27 000, media et consulting à 25 000, pizza à 19 000, etc. Rien de vraiment surprenant en soi.
En fouillant un peu, on retrouve aussi des patterns bien plus spécifiques, comme installation-depannage-remplacement qui est présent 514 fois. De manière générale, les métiers comme plombier (22 500), serrurier (18 000), électriciens (11 000) et chauffagiste (6 000) sont bien présents.
Voici le Top 20 des métiers :
electricien : 23 318
plombier : 22 503
serrurier : 17 820
macon : 11 939
couvreur : 8 407
vitrier : 7 227
chauffagiste : 6 378
boucher : 5 779
boulanger : 5 321
peintre : 3 888
fleuriste : 3 712
coiffeur : 3 514
jardinier : 2 532
menuisier : 2 025
demenageur : 1 674
plaquiste : 1 600
fromager : 1 494
ebeniste : 1 414
charpentier : 1 108
carreleur : 943
Tout ce qui est service remonte aussi dans les résultats : 21 000 pour renovation , 12 000 pour depannage (et aussi 51 pour « depanage » avec un seul n), 4 000 pour terrassement et pompes-funebres. D’autres sont plus opportunistes comme les 273 punaisesdelit (172 punaises-de-lit), 90 intelligence-artificielle et 49 intelligenceartificielle. Pour une fois, l’IA n’est pas au top de la hype !
Niveau voiture, renault (2 820) arrive en tête devant peugeot (1 726). Citons également tesla (1 163, mais attention certains noms de domaines sont aussi le début de t’es la -> t es la -> tesla), bmw (1 119), mercedes (769) et dacia (607). Il y a des amateurs de littérature dans le tas, avec 50nuancesdeteintesrenault.fr
Quelques dernières séries pour la route : mariage (11 566), manger (1 458), caca (1 053), divorce (882), puzzle (782), police (674), windows (555), Microsoft (389), outlook (102), password (103) et motdepasse (42). On ne passera pas à côté : sex est présent dans 15 825 domaines, porn dans 3 987, sexe dans 3 721, porno dans 1 636, etc.
Voici notre Top 20 des mots qui reviennent le plus souvent dans les noms de domaines :
france : 109 290
paris : 95 427
service : 73 793
entre : 57 469
maison : 55 754
sport : 52 919
group : 52 674
saint : 52 499
conseil : 46 445
atelier : 43 347
formation : 43 262
photo : 42 305
avocat : 40 115
immobilier : 39 446
serie : 36 070
ville : 35 908
studio : 35 698
design : 35 654
restaurant : 32 876
groupe : 31 778
Politique, guerre, Covid, ChatGPT…
Le 21 mars 2018, quelques mois avant l’annonce officielle du nouveau parti, plus de 200 noms de domaines contenant rassemblementnational ou rassemblement-national ont été créés, notamment rassemblementnationalxx avec xx de 01 à 95.
Deux ans plus tard, le covid a aussi fait exploser les compteurs avec pas moins de 721 domaines contenant covid19 et 172 avec covid-19. Près de 600 et 150 respectivement ont une date de fin dans le Whois.
Certains sont allés loin : panneau-information-entreprise-covid-19.fr, fr-precautionslutte-againstcovid-19.fr, covid-19game.fr, covid19-medecinechinoise-france.fr, covid19-chloroquine.fr (durée de vie : moins de trois mois), wastewatersurveillanceduringthecovid19pandemic.fr. Juste avec covid, on dépasse les 2 600… dont près de 2 200 ont désormais une date de fin dans le Whois.
La guerre en Ukraine aussi a été l’occasion de nombreuses créations. Il y a 274 domaines dans le fichier de l’Afnic, dont 176 avec une date de fin. Certains datent d’avant l’invasion par la Russie, mais la grande majorité a été créée en 2022 ou après.
Un dernier pour la route : ChatGPT. L’IA générative d’OpenAI a inspiré les internautes avec pas moins de 266 noms de domaine… dont 149 avec une date de fin dans Whois. Dans les créations, nous avons des noms comme chatgptjo2024.fr, formationingenieurpromptchatgpt.fr, chatgpt-hacked.fr, chatgptimmobilier.fr et même un chatgpt-sex qui est encore actif et propose des discussions coquines… qui tournent trèsvites à des discussions tarifées.
Préfixes et suffixes en www, https, -gouv, -fr…
Les noms de domaines commençant par « www » sont aussi très nombreux, avec plus de 2 200 résultats. Certaines sociétés présentes en ligne réservent aussi la version wwwdomaine.fr de leur domaine.fr pour éviter un typosquatting.
C’est par exemple le cas d‘Yves Rocher et des 3Suisses. Mais attention, cela peut aussi être des tentatives de phishing (un site en wwwdomaine.fr se faisant passer pour www.domaine.fr), prudence ! On ne peut d’ailleurs que vous conseiller d’installer notre extension, qui intègre la liste de Red Flag Domains.
Il y a également 426 noms de domaine débutant par HTTP, dont 176 en HTTPS, 15 en HTTPSWWW et 9 HTTPWWW. La plupart ne sont plus actifs. Erreur, volonté de réserver toutes les variations ou tentative d’arnaques, toutes les options sont malheureusement sur la table.
Ministère de l’exploration urbaine en « -gouv.fr »
Nous tombons aussi sur un nom de domaine pour le moins surprenant : urbex-gouv.fr. Un ministère de l’exploration urbaine ? Oui, mais certainement pas un établissement public officiel.
Pourtant, les noms de domaines en -gouv.fr sont réglementés depuis la charte de nommage du 15 septembre 2021. L’Afnic nous explique ce qu’il en est : « Effectivement, la nouvelle règle concernant les noms de domaine en « -gouv.fr » n’a pas d’effet rétroactif, l’interdiction ne concerne que les nouvelles créations ».
Les noms de domaines en -gouv peuvent aussi faire l’objet de « contournements ». Un exemple avec antai-gouv-fr[.]fr, créé en 2023 est relativement proche du vrai antai.gouv.fr. Il appartient à la société Hucy, qui se présente comme proposant de la sensibilisation et formation en cybersécurité. Actuellement, le domaine renvoi vers une page « site en construction ». On se souvient aussi du qouv.fr.
Il n’y a pas que le .fr dans la vie (et les tentatives d’arnaques)
Attention, les .fr ne sont pas les seuls domaines concernés. Nicolas Pawlak de Red Flag Domain le rappelait en août avec la création de rentre-gouv.com. Le site propose « la vente de kits scolaires soit-disant déductibles des impôts à hauteur de 80 %, et même 100 % pour les boursiers, via France Connect ! La plate-forme se présente comme validée par l’Éducation Nationale, avec livraison à domicile ou dans la mairie de son choix… le tout, à grand renfort d’IA, y compris pour le faux sujet du 20H de TF1 au ton particulièrement promotionnel. Évidemment, le RNA de l’association éditrice du site n’existe même pas… ».
Le domaine était enregistré sur LWS, qui a « engagé la procédure de suspension du nom de domaine concerné » suite au signalement. L’hébergeur rappelle qu’il a « mis en place des bannissements automatiques pour certains mots-clés sensibles et un système d’alerte avec surveillance manuelle pour d’autres ». Dans ce cas, « aucun contenu frauduleux n’était présent » lors de la vérification, mais le domaine est resté « sous surveillance renforcée et, dès qu’une activité illicite a été constatée, le service a été immédiatement suspendu ».
Consultez aussi la deuxième partie de notre dossier :
Connexion
![[Offert] Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre](https://next.ink/wp-content/uploads/2024/07/Cloud-donnees-sensibles.webp)
![[Tuto Next] 1 To de stockage offert : comment sauvegarder ses données sur le S3 Next](https://next.ink/wp-content/uploads/2025/03/Tuto-ia.webp)
![[Offert] On analyse les 10 millions de noms de domaines en .fr](https://next.ink/wp-content/uploads/2025/09/Nomdedomaine-scrabble.webp)
