Itinéraire d’une actu : Colis Privé et sa fuite de données
Viens, je t'emmène derrière le miroir
Encore un nouveau format sur Next : Itinéraire d’une Actu. Dans une introspection personnelle, je vous explique les étapes qui ont conduit à la publication de l’actualité sur la fuite de données de Colis Privé. Un travail personnel, à la première personne.
Vendredi soir, Colis Privé a envoyé à certains de ses clients un e-mail pour les informer d’une fuite de données. Nous l’avons reçu sur une de nos boites et plusieurs lecteurs nous l’ont également signalé. Déjà, merci à eux de nous l’avoir fait suivre. Comme nous allons le voir, c’est toujours utile d’avoir plusieurs sources.
Dans ce nouveau format, on vous propose de plonger dans les coulisses de la rédac, plus précisément dans le processus qui a donné naissance à cette petite actualité sur la fuite des données chez Colis Privé. Un retour à la première personne car il ne concerne que moi, ma manière de faire.
Règle d’or : vérifier et ne pas faire la course
Samedi matin, je prépare une actualité sur le sujet, pour ne pas attendre lundi et commencer la semaine avec des sujets chauds (très chauds, on en reparle rapidement). Vous l’avez peut-être remarqué, l’actualité n’a été publiée qu’à 17h26… Je n’ai évidemment pas mis des heures à l’écrire, une demi-heure tout au plus. Elle était prête pour midi, mais la publication a été mise en pause en attendant une confirmation.
Comme toujours en pareille situation, je vérifie l’authenticité de l'e-mail (je préfère prendre le temps plutôt que foncer tête baissée et me poser des questions ensuite…). Comment être sûr qu’il provient bien de Colis Privé ? Généralement, le message est aussi visible en ligne sur le site de la société ou repris sur les réseaux sociaux. Sans être une preuve irréfutable, cela permet d’avoir un niveau de confirmation suffisant pour publier une actualité.
Bonne pratique : publier le communiqué sur le site
Deux exemples avec des fuites récentes de données chez Plex et Infomaniak. Le premier propose de « lire cet e-mail depuis un navigateur » avec un lien vers une page en newsletter.infomaniak.com/*, le second propose un lien « View Online » en bas de page qui renvoie vers exactement le même communiqué sur une page en links.plex.tv/*. Une confirmation que cette information n’est pas un e-mail envoyé en masse par un plaisantin (ou pire, d’une personne malintentionnée) se faisant passer pour une entreprise.
Dans le cas de Colis Privé, rien : pas le moindre lien vers un communiqué visible sur un domaine officiel de l’entreprise. Il y a par contre des liens « Unsubscribe From This List » et « Manage Email Preferences » qui renvoient bien vers mon adresse e-mail, mais un petit doute subsiste dans ma tête (est-il justifié ? C’est une autre question).
Plutôt que courir à publier au plus vite, je décide d’attendre une confirmation, même si les messages envoyés par les lecteurs permettent de tester ces liens avec d’autres adresses e-mail et de se rendre compte que tout semble légitime.
Et si… mail, SMS et demande LinkedIn envoyés
Quoi qu’il en soit, une petite voix m’a poussé à chercher davantage au cas où (spoiler : au cas où rien du tout finalement, j’aurais pu publier immédiatement). Quelques e-mails et demandes LinkedIn partent dans la foulée pour le service presse et des responsables Colis Privé. Nous sommes samedi, je pars me promener et je me dis que je verrai bien en rentrant si j’ai une réponse. Ce n’est pas non plus l’info de l’année qui mérite que je reste sur le pont H24.
En revenant en fin d’après-midi, pas de réponse. Je regarde les métadonnées de l'e-mail pour voir si je peux confirmer sa provenance (je vous laisse seulement la partie intéressante) :
Received: from wfbtzhfp.outbound-mail.sendgrid.net (wfbtzhfp.outbound-mail.sendgrid.net [159.183.224.243])
for seb***@***.fr; Fri, 21 Nov 2025 19:37:13 + 0000 (UTC)
dkim=pass (2048-bit rsa key sha256)
dmarc=pass
spf=passL'e-mail est envoyé par la plateforme d'e-mailing états-unienne SendGrid. Est-elle autorisée à envoyer des e-mails pour le compte de notification.colisprive.com (attention on ne parle que du sous-domaine) ? Un coup de dig confirme que la réponse est oui (ça prend 2 secondes, ce serait dommage de s’en priver) :
gathor@ubuntu-seb:~$ dig +short TXT notification.colisprive.com
"v=spf1 include:sendgrid.net ~all"C’est confirmé, ça part en ligne
L'e-mail passe donc les sécurités DKIM et SPF. Je m'apprêtais à le préciser dans l’actualité et à la publier quand je reçois un SMS de confirmation d’un responsable de la communication de CEVA Logistics, une filiale de CMA CGM qui détient Colis Privé. J’ajuste le contenu de l’actualité pour préciser la confirmation et la publie dans la foulée.
Il n’y avait aucune urgence à publier et nous étions en plein week-end, ce qui explique les délais un peu rallongés, mais cette pratique est, dans mon cas, la base avant de publier l’annonce d’une fuite ou une information du genre. Attention, je ne prétends pas que cette méthode est infaillible – loin de là –, mais ces vérifications permettent au moins d’assurer un minimum d’authenticité.
Commentaires (24)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 24/11/2025 à 17h10
Qu'importe si c'est plus tard, c'est fiable et c'est ce qui compte, la base du journalisme. Du vrai journalisme je veux dire.
Le 24/11/2025 à 17h27
Le 24/11/2025 à 17h35
En attendant, version courte :
gathor@ubuntu-seb:~$ dig +short TXT notification.colisprive.com
"v=spf1 include:sendgrid.net ~all"
Cela interroge le DNS de colisprive.com, plus exactement le champ TXT du sous domaine notification.colisprive que seul le propriétaire du nom de domaine peut modifier (et donc Colis Privé). En réponse à cette demande, j’ai sendgrid.net dans le champs SPF, cela signifie que SendGrid est autorisé à envoyer des emails au nom de notification.colisprive.com, ce n’est pas un email de phishing venant d’un expéditeur tiers. L’autorisation est donnée par Colis Privé.
Plus de détails sur SPF
Le 24/11/2025 à 17h40
man dig
Mais tu as raison de te méfier : dig renvoie 2 lignes alors que Sébastien n'en a copié qu'une.
Modifié le 25/11/2025 à 08h07
*
man -k dns
(...)
delv (1) - DNS lookup and validation utility
dig (1) - DNS lookup utility
(...)
*
Qui a l'avantage de présenter aussi une alternative, mais qui n'apporte rien de plus en l’absence de signature (dans le cas contraire on aurait "fully validated"):
*
delv notification.colisprive.com TXT
; unsigned answer
notification.colisprive.com. 100 IN TXT "v=spf1 include:sendgrid.net ~all"
*
Maintenant, pour les indécrottables windowsien, faut peut-être partir du "man man"
Le 25/11/2025 à 09h35
Le 25/11/2025 à 09h48
Sinon, installe WSL.
Le 24/11/2025 à 17h49
Si dans chaque article il faut tout expliquer ca vas faire long.
Rien ne vous empêche de verifier par vous même ce que fait cette commande si vous en resentez le besoin. Et ça permet aussi d'apprendre des choses par la même occasion.
Le 24/11/2025 à 22h03
Le 24/11/2025 à 18h19
Au fait, tant mieux de n'être pas le premier tant que l'on est fiable.
Un peu marre de voir ailleurs la course à l'échalotte et la mannie de tout donner en mode "breaking news".
Derrière on ne sait plus déméler rumeur de réactions à chaud et commentaires de "spécialistes". Vous voyez le genre pour pondre un "ce que l'on sait" 3 heures après.
Enfin, c'est pas Next qui nourri ce jeu et fort heureusement...
Le 24/11/2025 à 18h33
Le 24/11/2025 à 22h42
Bon, il manque le bandeau rouge "PRESQUE DERNIÈRE MINUTE : VOL DE DONNÉES CHEZ COLISPRIVÉ" et Sébastien en embuscade devant le siège social de CMA CGM avec la grosse bonnette de micro siglé "NEXT.INK" en rose flashy. Tout fout le camp. :-P
Le 24/11/2025 à 23h19
Le dernier à m’avoir vu avec une bonette NEXT.INK il est pas né :o
Le 25/11/2025 à 08h12
Le 25/11/2025 à 08h53
Le 25/11/2025 à 14h12
Le 25/11/2025 à 14h22
Modifié le 25/11/2025 à 15h17
Après une profonde introspection et un alignement stratégique avec mes core values, je vous informe que j'ai décidé de disrupter ma roadmap professionnelle et de quitter mon poste de [votre poste] au sein de [nom de l'entreprise].
Cette décision s'inscrit dans une démarche de growth mindset et répond à mon besoin de challenge et de scalabilité personnelle. Il est temps pour moi de shift vers de nouveaux horizons et d'explorer des opportunités plus en phase avec mon WHY.
Je reste fully committed à assurer une smooth transition et un proper handover de mes deliverables en cours.
Ce fut une amazing journey et je suis grateful pour toutes les learnings et le networking que j'ai pu développer. Je suis convaincu que nos paths se recroiseront dans le futur, car #TheWorldIsSmall.
Stay tuned pour mes prochaines aventures !
Best regards,
[Votre nom]
Passionate about excellence | Game changer | Out-of-the-box thinker
Fait à [ville], le [date]
PS j'adore « disrupter ma roadmap professionnelle »
Le 25/11/2025 à 18h28
Pour la science.
Le 25/11/2025 à 21h41
Le 26/11/2025 à 00h53
Le 26/11/2025 à 08h09
Le 26/11/2025 à 08h29
Le 26/11/2025 à 08h31
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?