– Article en partenariat avec PowerMail –

Connaissez-vous PowerMail , le spécialiste français de l’hébergement mail pour les pro ? Peut-être pas, mais on va remédier à ça, car derrière PowerMail, il n’y a pas une multinationale avec des milliers d’ingénieurs, mais une petite équipe française qui a décidé de créer sa propre technologie email de zéro. Et ça, dans le contexte actuel c’est assez courageux.

Dans un monde dominé par Google et Microsoft, ces gars-là développent tranquillement leur propre serveur mail depuis les Pays de la Loire. Et ils ne font pas semblant puisque PowerMail héberge aujourd’hui des dizaines de milliers de boîtes, ce qui représente 25 000 utilisateurs, 91 millions de messages, et plus de 58 To de data, avec une clientèle qui va de la PME aux collectivités. Pas mal pour une alternative 100% française lancée en 2007, à une époque où tout le monde basculait déjà vers les solutions américaines.

Et leur approche technique est très osée, puisqu’au lieu de se contenter d’utiliser des solutions existantes comme Exchange ou Zimbra comme la plupart des hébergeurs mail, eux ont développé leur propre serveur POP/IMAP/SMTP. Et ça, ça demande un sacré niveau en programmation et une vision à long terme, parce que créer un serveur mail from scratch, le personnaliser et l’optimiser aux petits oignons… c’est pas donné à tout le monde. Mais c’est aussi ce qui leur permet d’avoir la main sur absolument tout et de ne pas dépendre d’un éditeur tiers.

D’un point de vue infrastructure, ils ont également fait le choix de la redondance maximale, et c’est là qu’on voit qu’ils ne plaisantent pas. Chaque client dispose ainsi de deux serveurs synchronisés en temps réel, dans des datacenters différents et chez des opérateurs distincts. Comme ça, si l’un tombe, l’autre prend le relais automatiquement. Détection de panne en ~1 minute, bascule DNS en ~1 minute, et un taux de dispo annoncé à 99,99%. Et contrairement à certains qui annoncent des chiffres au doigt mouillé, eux ont un vrai monitoring externe avec UptimeRobot qui certifie ces stats. Bref, du solide.

Sur la sécurité, c’est carré aussi puisqu’ils supportent SPF/DKIM/DMARC (ce qui devrait être la base en 2025, mais vous seriez surpris…), antivirus, et même une double authentification (2FA) pour verrouiller l’admin côté web.

Mais là où PowerMail se démarque vraiment, c’est sur l’interface d’administration. Certes, c’est à l’ancienne niveau design (ne vous attendez pas à du Material Design ou des animations partout) mais c’est clair, précis et accessible. Tout paraît simple à configurer et vous avez tout sous la main.

En testant leur espace client, je comprends mieux maintenant pourquoi les DSI l’apprécient. Quand on gère des centaines de boîtes, on veut de l’efficacité, pas du bling-bling.

Au travers de cette interface, vous avez donc trois niveaux d’accès : administrateur général, gestionnaire de domaine, et utilisateur final. Chacun peut ainsi configurer ses propres règles antispam, ses redirections, ses répondeurs automatiques. C’est ce degré de contrôle granulaire qui fait la différence quand vous gérez plusieurs centaines de comptes. Et franchement, même Microsoft 365 ne fait pas beaucoup mieux, et cela pour un prix bien supérieur.

Concernant l’antispam, ils ont aussi sorti l’artillerie lourde puisque leur moteur maison combine plus d’une vingtaine de critères : bayésien, RBL, géolocalisation, analyse de la structure et du respect SMTP, filtrage par langue/alphabet, détection des newsletters, Google Safe Browsing/URIBL pour les liens, greylisting, analyse de l’heure/jour d’envoi… Et le top, c’est vraiment la quarantaine centralisée comme ça, au lieu d’avoir les spams éparpillés dans chaque boîte, tout remonte vers une boîte unique sous contrôle de l’admin (débannir en un clic, supprimer direct ce qui vient d’une liste noire, etc.).

C’est du bon sens, mais étonnamment, peu de solutions le proposent aussi simplement. Et cadeau bonux, vous pouvez recevoir également des rapports antispam périodiques pour vérifier ce qui a été bloqué.

Côté fonctionnalités, PowerMail intègre aussi des trucs qu’on ne voit pas ailleurs ou qu’on ne voit qu’en SaaS séparé à prix d’or. Je pense par exemple à l’e-mail recommandé avec accusé PDF signé (*LRAR dans l’objet), la signature électronique de documents par les destinataires (*SIGN), l’envoi différé côté serveur (*DELAI=…) (donc ça marche même si votre client mail est fermé), la copie carbone individuelle (*INDIV) pour du mail‑merge propre, l’envoi de fax par mail (*FAX=…) (oui, certains secteurs en ont encore besoin), les dossiers IMAP partagés, l’archivage automatique, et les alertes SMS sur réception de messages importants (ponctuelles ou récurrentes, avec mots‑clés/expéditeurs).

Essayez de trouver tout ça chez un concurrent au même prix.

Et pour les pièces jointes, pas de prise de tête puisque vous pouvez y aller jusqu’à 1 Go par envoi, avec détachement automatique au‑delà d’un seuil configurable et lien de téléchargement en haut du mail pour le destinataire (avec accusé quand il récupère les fichiers). Pratique, et ça évite de saturer les boîtes de tout le monde !

Ils proposent également un système de calendriers et contacts (CalDAV / CardDAV) pour rester en synchro entre PC et smartphones, comme sur un Exchange mais en plus ouvert. Et le webmail, c’est du Roundcube, régulièrement mis à jour. Pas le plus sexy, certes, mais c’est fonctionnel et éprouvé.

Bref, ils partent des vrais besoins métier de leurs clients plutôt que de chercher à faire le buzz avec la dernière techno à la mode. Côté références, on croise notamment TotalEnergies, 4Murs, les Pompiers de Paris, la Région Bretagne et du secteur régulé avec les Notaires (ADSN) qui ont signé une convention cette année. Tous ont comme point commun un besoin fort de maîtriser leurs communications sans dépendre d’un GAFAM et sans voir leurs données partir aux États-Unis.

Car oui, la souveraineté numérique, c’est pas juste un argument marketing ici. Vos données restent stockées à 100% en France, pas de Cloud Act, pas d’IA qui scanne vos mails pour vous proposer de la pub. Et pour le support, c’est par e‑mail 7j/7 et téléphone du lundi au samedi (9h-20h sur un numéro non surtaxé). Essayez d’avoir quelqu’un au téléphone chez Google, bon courage.

Maintenant, les tarifs !! Et c’est là que ça devient vraiment intéressant.

Pour les particuliers, ils proposent un service e‑mail gratuit en @powermail.fr avec 3 Go de stockage. C’est une offre réservée aux particuliers en France, pas de support, et certaines fonctions pro ne sont pas incluses (fax, alertes SMS, signature électronique, CalDAV/CardDAV). Mais pour un mail perso souverain et gratuit, c’est cadeau !

Et pour les entreprises, on est par contre sur du mutualisé à la carte à partir de 0,40 € HT / utilisateur / mois (oui, 40 centimes !), et du cluster dédié (2 serveurs privés en temps réel, 2 DC/2 opérateurs) sur devis. Leur priorité, clairement, c’est donc la qualité de service plus que les gros volumes. Et à ce prix-là, franchement, pourquoi s’en priver ?

Alors bien sûr, tout n’est pas parfait. L’interface mériterait un petit lifting, il manque quelques fonctions modernes (Ils ont une API mais elle n’est pas REST, pas d’app mobile dédiée), et ils ne peuvent certes pas rivaliser avec tout l’écosystème Office 365 ou Google Workspace. Mais pour du mail qui fonctionne à 100%, avec des fonctions qu’on ne trouve pas ailleurs, hébergé en France, avec un vrai support, le tout à un prix défiant toute concurrence… PowerMail c’est l’exemple parfait de ce qu’on peut faire avec une équipe technique compétente et une vision claire.

Et dans un secteur complètement dominé par les géants américains, je trouve qu’ils arrivent plutôt bien à proposer une alternative crédible et souveraine tout en développant leur propre stack technologique. Pas de bullshit marketing, pas de buzzwords, juste un service qui fait le job. Et ça, pour une boîte française de taille humaine qui tient tête aux mastodontes depuis 14 ans, c’est plutôt remarquable.

Bref, si vous cherchez une alternative aux GAFAM pour vos mails pro, PowerMail mérite vraiment qu’on s’y intéresse.

Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.

Et tout ça avec un simple email qui disait “Je t’aime”.

On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.

Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.

Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”

La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?

Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.

C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.

Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.

Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.

Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.

Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.

Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.

Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.

Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.

Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.

Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.

Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.

Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…

Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.

Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.

Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”

Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.

De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”

L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.

Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.

En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.

Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.

Sources : BBC - Love Bug’s creator tracked down to repair shop in Manila, Computer Weekly - The man behind the first major computer virus pandemic, Geoff White - Crime Dot Com, Wikipedia - ILOVEYOU, CNN - How a badly-coded computer virus caused billions in damage, F-Secure Labs - Email-Worm:VBS/LoveLetter

The Gmail MCP server covered in this post lets you access Gmail from any AI client that supports MCP. I found the MCP server more capable than Google's integration with Gemini in Gmail. The AI-powered search feature proved to be helpful, but the MCP server also offers several other valuable commands. In this post, I used Claude Desktop. However, once you install the MCP server and set up the Gmail API, you can access Gmail through MCP from any compatible AI application by copying the MCP JSON. I expect that the ChatGPT app and even Windows 11 will add MCP support very soon.

Source