Pendant que les marques européennes enterrent discrètement le cabriolet, les constructeurs chinois s’en emparent. Après MG et son Cyberster, c’est Denza (groupe BYD) qui en prépare un.

L'édition 2025 du ZEvent a été touchée par une controverse, lorsqu'un député du camp présidentiel a voulu s'inscrire et participer à l'événement. Il a été repéré par des internautes, qui s'en sont pris à lui sur les réseaux sociaux, avec virulence. L'organisation a sorti dans l'urgence une charte qui n'existait pas initialement, pour écarter la participation de l'élu. Mais une autre affaire pourrait éclater.

C'était son vol inaugural, et tout n'a pas été parfait. En Australie, la société Gilmour Space Technologies a procédé au premier vol de la fusée Eris. Mais si le décollage s'est bien passé, les choses ont mal tourné ensuite.

Convaincu en 2021 que le « métavers » remplacerait Internet, Mark Zuckerberg pronostique désormais que la « super-intelligence » est la future grande révolution technologique. Meta, son entreprise, pivote progressivement du monde virtuel vers les modèles d'IA.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Ceci est histoire qui me fascine depuis que j’ai commencé à m’intéresser au hacking car c’est l’histoire incroyable du premier vrai braquage bancaire en ligne. Pas de cagoules, pas d’armes, pas de voitures qui démarrent en trombe mais juste un mec, un ordinateur, et 10,7 millions de dollars qui changent de compte en quelques clics. Cette histoire, c’est celle de Vladimir Levin et du casse de Citibank en 1994.

Un IBM PC typique des années 90, similaire à celui utilisé pour le hack

Imaginez, on est en 1994, Internet balbutie, la plupart des gens n’ont jamais vu un email, et Windows 95 n’existe même pas encore. À cette époque, quand on parlait de vol bancaire, on pensait encore à des mecs avec des bas sur la tête qui braquaient des agences. Et à ce moment précis, personne n’imaginait encore qu’un type en pyjama, depuis son appart’ de Saint-Pétersbourg, pourrait piquer des millions à une des plus grosses banques du monde.

Vladimir Leonidovitch Levin, un nom qui aujourd’hui figure dans tous les bouquins sur la cybercriminalité. Mais qui était vraiment ce mec ? Et bien si vous lisez les articles de l’époque, on vous dira que c’était un mathématicien brillant, un biochimiste diplômé de l’Institut de Technologie de Saint-Pétersbourg, un génie de l’informatique. Mais la réalité est beaucoup moins glamour et bien plus intéressante.

Saint-Pétersbourg en pleine transition post-soviétique - image IA

Et franchement, Saint-Pétersbourg en 1994, c’était pas la joie. L’URSS s’était effondrée trois ans plus tôt, et la Russie traversait une crise économique sans précédent. L’inflation annuelle atteignait 224% cette année-là et le 11 octobre 1994, “Mardi Noir”, le rouble perdait 27% de sa valeur en une seule journée. Les gens allaient au boulot sans être payés pendant des mois, obligés de trouver deux ou trois jobs pour survivre et la ville était surnommée “le Saint-Pétersbourg des bandits” (banditsky Peterburg), et c’était pas pour rien.

Dans ce bordel ambiant, Vladimir Levin travaillait comme admin système pour une boîte qui s’appelle AO Saturn. Rien de bien folichon. Il configurait des serveurs, gérait des réseaux, faisait tourner la boutique informatique. Un job tranquille dans une époque qui ne l’était pas.

Mais voilà, Vladimir a entendu parler d’un truc qui allait changer sa vie. Un groupe de hackers de Saint-Pétersbourg avait découvert quelque chose d’énorme. Ces mecs, qui se faisaient appeler ArkanoiD, Hacker 3 et Buckazoid (oui, comme le personnage de Space Quest… les nerds quoi…), avaient trouvé une faille monumentale dans les systèmes de Citibank.

Citibank, une des plus grandes banques américaines

C’est véridique… l’histoire vraie, celle qu’on ne raconte jamais, c’est que Levin n’a JAMAIS hacké Citibank lui-même. Je le sais car en 2005, un des hackers originaux, ArkanoiD, a balancé toute l’histoire sur Provider.net.ru, un forum russe. Lui et ses potes avaient passé plus d’un an à explorer les réseaux de Citibank et pas par Internet, non, non… Ils utilisaient le réseau X.25, un vieux protocole de communication que plus personne n’utilise aujourd’hui.

X.25, pour ceux qui ne connaissent pas, c’était un peu l’ancêtre d’Internet pour les entreprises. Créé en 1976, c’était un réseau de communication par paquets qui permettait aux banques et aux grandes entreprises d’échanger des données. Super lent selon nos standards actuels (on parle de latences d’une demi-seconde !), mais ultra-fiable pour les transactions financières avec zéro erreur de transmission, ce qui était crucial pour bouger des millions.

Le truc, c’est que Citibank avait son propre réseau X.25 qui reliait toutes ses agences dans le monde. Ce réseau était censé être sécurisé, mais… comment dire… les hackers russes ont découvert qu’ils pouvaient se balader tranquillement dessus. Phrack Magazine avait même publié une liste de 363 ordinateurs Citibank accessibles via Sprintnet !

La liste dans Phrack

Pendant six mois, ArkanoiD et sa bande ont joué les touristes sur les serveurs de Citibank. Ils installaient des jeux, lançaient des programmes, jouaient même à Star Trek sur les machines de la banque et personne ne remarquait rien. Selon ArkanoiD, c’était “très low tech”… pas d’exploit sophistiqué, pas d’analyse de buffer overflow, juste “une approche systématique et un peu de chance”.

C’est là qu’ils ont trouvé le Saint Graal : le système Cash Manager de Citibank. Le service qui permettait aux gros clients corporate de faire des virements internationaux. Ils se connectaient avec un modem (vous savez, ces trucs qui faisaient ce bruit insupportable “KRRRRR BEEP BEEP”), ils rentraient leurs identifiants, et ils pouvaient bouger des millions d’un compte à l’autre. Citibank traitait 500 milliards de dollars par jour avec ce système !

Le problème c’est que la sécurité était… disons… minimaliste. Pas d’authentification à deux facteurs, pas de token physique, juste un login et un mot de passe. En 1994, c’était la norme, mais quand même…

Un coupleur acoustique, ancêtre du modem

Buckazoid découvre alors exactement où et comment transférer l’argent, mais il remarque aussi que tout est loggé et ces logs sont probablement imprimés sur papier chaque jour. Les hackers comprennent vite que “ce serait impossible de voler de l’argent sans se faire remarquer”. Ils n’ont pas les ressources pour gérer la partie logistique du crime car en Russie en 1994, ça voulait dire contacter des gens “désagréables”, comme le dit ArkanoiD.

C’est là que Vladimir Levin entre en scène. Buckazoid lui raconte ce qu’ils ont trouvé et Levin est TRÈS intéressé. Tellement intéressé qu’il sort 100 dollars de sa poche, une fortune en Russie à l’époque où le salaire moyen tournait autour de 50 dollars par mois et et achète toutes les infos : comment se connecter, les identifiants, les mots de passe, quels systèmes cibler, comment faire les virements.

Les hackers originaux ? Ils se barrent direct. La vente de ces infos les a fait flipper et ils disparaissent du réseau Citibank. Mais Levin, lui, il voit l’opportunité de sa vie. Depuis son appartement de Saint-Pétersbourg, avec un simple PC et une ligne téléphonique, il va monter le casse du siècle.

Alors entre fin juin et octobre 1994, Levin se met au boulot. Il se connecte au système Cash Manager de Citibank et commence à transférer de l’argent. Et pas n’importe comment, hein. Il a monté tout un réseau de complices : des comptes en Finlande, aux États-Unis, aux Pays-Bas, en Allemagne, en Israël et des mules qui vont récupérer le cash et le lui renvoyer.

Au total, il va effectuer environ 40 virements frauduleux. Des comptes de grosses entreprises américaines voient leur solde diminuer mystérieusement, l’argent part vers des comptes à l’étranger, disparaît dans la nature, et Citibank ne s’aperçoit de rien. Les clients non plus… en tout cas, au début.

Vladimir Levin au moment de son arrestation - Photo nettoyée par IA

Mais Levin devient gourmand. Trop gourmand. Au total, il va transférer 10,7 millions de dollars. Au prix du dollars aujourd’hui, ça fait plus de 22,7 millions avec l’inflation. Pas mal pour un admin système dans un pays où l’inflation galopait à 224% par an !

Le problème, c’est que bouger autant d’argent, ça finit par se voir et en juillet 1994, plusieurs clients corporate de Citibank remarquent que 400 000 dollars ont disparu de leurs comptes. Ils appellent la banque. Panique à bord !! Citibank lance alors une enquête interne et découvre l’ampleur du désastre.

Le FBI entre alors dans la danse et Steve Garfinkel est désigné comme agent responsable du dossier. Ils remontent la piste des virements, arrêtent les complices qui essaient de retirer l’argent. Une femme et son mari à San Francisco, un autre à Tel Aviv, un à Rotterdam. Et bien sûr, sous la pression, ils craquent et balancent tout. Tous les chemins mènent à Saint-Pétersbourg, à un certain Vladimir Levin d’AO Saturn.

Steve N. Garfinkel - L’agent du FBI en charge de retrouver Levin

Mais attraper Levin, c’est une autre paire de manches. Il est en Russie, pays qui n’a pas de traité d’extradition avec les États-Unis pour ce genre de crime informatique. Le FBI ne peut rien faire. Levin pourra couler des jours heureux à Saint-Pétersbourg avec ses millions (enfin, les 400 000 dollars jamais récupérés). Sauf que…

Mars 1995. Pour des raisons qui restent mystérieuses (certains disent qu’il avait une copine en Angleterre, d’autres qu’il voulait investir son argent à l’étranger), Levin décide de voyager. Il prend un vol Moscou-Londres avec une correspondance. Grosse, GROSSE erreur.

L’aéroport de Stansted où Levin fut arrêté

Le 3 mars 1995, quand son avion atterrit à l’aéroport de Stansted, Scotland Yard l’attend sur le tarmac. Les Américains avaient prévenu les Britanniques via Interpol et Levin est arrêté dans la zone de transit, menottes aux poignets. Game over.

S’ensuit une bataille juridique épique de 30 mois durant laquelle les avocats de Levin se battent bec et ongles contre son extradition. Ils plaident que les preuves sont insuffisantes, que leur client est victime d’une erreur judiciaire, que la juridiction américaine ne s’applique pas. Mais en juin 1997, la Chambre des Lords britannique rejette leur appel final. Direction les États-Unis.

Septembre 1997, Levin est alors extradé. Devant le tribunal fédéral de Manhattan à New York, il change alors de stratégie. Nous sommes en janvier 1998, et il plaide coupable pour un seul chef d’accusation : conspiration en vue de commettre des transferts de fonds frauduleux. Il admet avoir volé 3,7 millions de dollars (pas les 10,7 millions, notez bien).

Et en février 1998, la sentence tombe : 3 ans de prison fédérale et 240 015 dollars de dédommagement. Le juge a pris en compte le temps déjà passé en détention au Royaume-Uni.

Le tribunal fédéral Thurgood Marshall où Levin fut jugé

Trois ans pour ce qui est considéré comme le premier braquage bancaire en ligne de l’histoire. Aujourd’hui, ça paraît dérisoire, mais à l’époque, personne ne savait trop comment gérer ce nouveau type de criminalité. Pas de violence, pas d’arme, pas même d’entrée par effraction. Juste des électrons qui bougent d’un compte à l’autre via des lignes téléphoniques.

Ce qui est fascinant dans cette histoire, c’est à quel point elle était en avance sur son temps car en 1994, la plupart des gens ne savaient même pas ce qu’était un modem. Les modems 14.4k venaient juste d’arriver en 1991, les 28.8k en 1994 et l’idée qu’on puisse voler des millions depuis son salon paraissait être de la science-fiction. Pourtant, c’est exactement ce que Levin a fait.

L’impact du casse de Citibank a été énorme car pour la première fois, les banques ont réalisé qu’elles étaient vulnérables à un nouveau type de menace. Citibank a donc immédiatement mis à jour ses systèmes, introduisant les Dynamic Encryption Cards, des jetons physiques qui génèrent des codes aléatoires pour l’authentification. Un vrai mouvement pionnier dans la cybersécurité bancaire que d’autres banques ont suivi.

Un jeton de sécurité descendant direct des mesures prises après l’affaire Levin

Ce qui me fascine le plus dans cette histoire, c’est le contraste entre l’image publique et la réalité car les médias ont présenté Levin comme un génie maléfique, un super-hacker capable de pénétrer n’importe quel système mais la réalité c’est qu’il était juste un admin système opportuniste qui a acheté des infos à de vrais hackers pour 100 balles.

Les vrais héros techniques (ou anti-héros, selon votre point de vue) de cette histoire, ce sont ArkanoiD et sa bande car ces mecs ont passé plus d’un an à explorer les systèmes de Citibank, pas pour l’argent, mais par pure curiosité. Ils y ont découvert une faille monumentale, ont joué avec pendant six mois, puis ont tout lâché quand c’est devenu trop dangereux.

Comme je vous le disais au début de l’article, en 2005 ArkanoiD a publié son témoignage amer sur Provider.net.ru : “J’ai déjà essayé plusieurs fois de raconter cette histoire d’une manière ou d’une autre, et à chaque fois elle a été monstrueusement déformée.” puisque tous les articles parlaient de Levin le génie, personne ne mentionnait le vrai travail technique fait par son groupe.

C’est ça, la vraie histoire du casse de Citibank. Pas celle d’un génie solitaire, mais celle d’un écosystème : des hackers curieux qui trouvent une faille, un opportuniste qui l’exploite, un système bancaire pas préparé, et des autorités qui découvrent un nouveau monde.

Mais alors qu’est devenu Vladimir Levin aujourd’hui ? Et bien après sa sortie de prison en 2001, il a disparu. Certains disent qu’il vit en Lituanie sous une fausse identité. D’autres qu’il est retourné en Russie et travaille maintenant dans la cybersécurité. Personne ne sait vraiment. Et les 400 000 dollars jamais récupérés ?

Toujours dans la nature. Peut-être planqués dans un compte en Suisse, ou peut-être dépensés depuis longtemps…

Sources : Wikipedia - Vladimir Levin, FBI Archives - A Byte Out of History, Malicious Life Podcast - The Real Story, Darknet Diaries - Vladimir Levin, ISC2 - The CitiBank Cyber Heist 30 Years On, Carnegie - Russia’s Economic Transformation, Wikipedia - X.25 Protocol

[Deal du jour] Envie de changer votre opérateur pour une autre fibre ? En ce moment, SFR vous offre les frais de mise en service de la fibre.

Un PC portable offre moins de flexibilité qu’une tour : les composants sont intégrés et souvent difficilement remplaçables. Il est donc important de bien choisir sa configuration dès le départ, en fonction de ses besoins présents et à venir. Que ce soit pour le télétravail, les études ou un usage bureautique classique, voici les modèles que Numerama recommande pour leur bon équilibre entre performances, autonomie et prix.

La série de SF, adaptée de la fameuse saga et attendue pour le 13 août 2025 sur Disney+, sera assurément l'un des grands évènements de cet été. D'autant que Noah Hawley, le créateur d'Alien : Earth, l'a déjà comparée à un autre monument de la télévision : Game of Thrones.

Présentée au Mondial de l’Auto 2022, la BT01 devait incarner l’excellence à la française sur circuit… mais le rêve de GT électrique, porté par Beltoise eTechnology, semble bien s’être échoué avant même la ligne de départ.

La rumeur selon laquelle Pikachu devait être représenté avec une poitrine généreuse dans sa version américaine vient d’être confirmée. Une refonte graphique audacieuse, fort heureusement rapidement abandonnée.

Depuis fin juillet, des centaines de pharmacies russes n'accueillent plus aucun patient. La raison ? Deux des plus grands réseaux d'officines du pays sont victimes d'une cyberattaque majeure. Réservation de médicaments en ligne indisponible, personnel mis au chômage forcé : un nouveau pan de l'économie russe est visé par les hackers.

C'était son vol inaugural, et tout n'a pas été parfait. En Australie, la société Gilmour Space Technologies a procédé au premier vol de la fusée Eris. Mais si le décollage s'est bien passé, les choses ont mal tourné ensuite.

Le directeur de la publication au sein du studio Larian a révélé une statistique étonnante sur Baldur's Gate 3 : le temps médian des joueuses et des joueurs est de 62 heures et 55 minutes.

À l’approche de sa sortie, Battlefield 6 refait parler de lui. EA a récemment confirmé son intention de maintenir des tarifs classiques

Cet article Battlefield 6 : Un prix de lancement se confirme a été publié en premier par GinjFo.

Avez-vous déjà remarqué que l'application Photos d'iOS peut vous suggérer des souvenirs en lien avec des concerts ou d'autres événements ? Apple semble en mesure de deviner pourquoi vous étiez à un endroit.

Nintendo termine le mois de juillet 2025 par un Direct centré sur les futurs jeux de la Switch 2 (et Switch). ll s'agira d'une présentation articulée autour des productions des tiers.

De nouvelles règles de calcul pour la TVA vont s'appliquer sur votre facture d'électricité, et cela dès le 1er août 2025. Cette évolution vise à mettre la France en conformité avec le cadre européen. Pour limiter les perspectives d'une hausse, le gouvernement actionne par ailleurs certains leviers.

YouTube va déployer un système d'intelligence artificielle aux États-Unis pour estimer l'âge des utilisateurs en se basant sur leurs habitudes de visionnage.

L’article YouTube : fini de tricher sur votre âge, voici comment l’intelligence artificielle va vous démasquer est apparu en premier sur Tom’s Hardware.

Et dire qu’en 2025, certains d’entre vous laissent encore traîner des API sans authentification avec des données sensibles dedans. Ça vous dirait pas de sécuriser un peu tout ça ?

Alors ça tombe bien car je viens de découvrir AutoSwagger, un outil gratuit développé par l’équipe d’Intruder qui scanne automatiquement les domaines à la recherche de documentation API exposée (du genre OpenAPI ou Swagger). Ensuite il parse tout ça pour générer une liste d’endpoints à tester et évidemment, il trouve des trucs de malade.

L’équipe d’Intruder a par exemple découvert des vulnérabilités assez dingues pendant leurs tests comme cette faille qui permettait à n’importe qui d’énumérer les infos des utilisateurs Active Directory sans authentification, un peu comme la CVE-2025-0589 trouvée récemment dans Octopus Deploy. Ils ont aussi déniché un endpoint ‘config’ qui exposait carrément les credentials et les clés API pour des datastores Microsoft Partner Program, avec en bonus les identifiants d’une base Redis contenant des données personnelles de partenaires. Sans oublier des enregistrements Salesforce avec des infos personnelles chez une grosse multinationale tech.

Et tout ça dans de grandes entreprises avec des équipes de sécurité bien matures. Selon le rapport Verizon 2025 sur les brèches de données, l’exploitation des vulnérabilités a augmenté de 34% en un an, et les droits et autorisations mal configurés restent parmi les failles les plus critiques.

Pour réussir ses analyses, AutoSwagger utilise trois méthodes pour découvrir les specs API. D’abord, si vous lui donnez une URL qui finit en .json, .yaml ou .yml, il va parser directement le fichier OpenAPI. Ensuite, il cherche les interfaces Swagger UI connues (comme /swagger-ui.html) et extrait les specs depuis le HTML ou le JavaScript. Et si ça ne marche toujours pas, il tente sa chance avec une liste d’endpoints par défaut comme /swagger.json ou /openapi.json.

Une fois qu’il a trouvé la documentation, AutoSwagger envoie des requêtes à chaque endpoint avec des paramètres valides tirés de la doc. Si au lieu de recevoir une erreur 401 ou 403 (non autorisé), il obtient une réponse valide, bingo ! Il a trouvé un endpoint non protégé.

Mais ce n’est pas tout. L’outil intègre Presidio pour identifier automatiquement les données personnelles comme les numéros de téléphone, les emails, les adresses et les noms. Il utilise aussi des regex pour détecter les tokens exposés, les clés API et autres artefacts de debug qui traînent. En gros, il fait tout le boulot qu’un pentester ferait manuellement, mais en quelques minutes.

Pour utiliser AutoSwagger, c’est super simple. Vous clonez le repo GitHub, vous installez les dépendances Python, et c’est parti :

git clone [email protected]:intruder-io/autoswagger.git
pip install -r requirements.txt
python3 autoswagger.py https://api.example.com -v

L’outil propose plein d’options intéressantes. Avec -risk, vous pouvez inclure les méthodes non-GET (POST, PUT, PATCH, DELETE) dans les tests. Le flag -all affiche tous les codes HTTP dans les résultats (pas seulement les 401/403). Et si vous voulez être vraiment méchant, -b ou --brute active le brute-forcing des valeurs de paramètres pour contourner certaines validations.

Vous pouvez aussi contrôler le débit avec -rate (30 requêtes par seconde par défaut) et obtenir les résultats en JSON avec -json. Le mode -product est particulièrement utile car il ne montre que les endpoints qui contiennent des données personnelles ou des secrets.

La plupart des failles découvertes sont encore super communes, même chez les gros et elles peuvent être exploitées avec très peu de compétences techniques. N’importe qui peut par exemple lancer AutoSwagger et potentiellement trouver des données sensibles.

Les experts en sécurité recommandent évidemment de ne jamais exposer la documentation de vos API sauf si c’est absolument nécessaire pour le business. C’est du bon sens, mais apparemment, beaucoup l’oublient car exposer votre doc Swagger, c’est comme donner le plan de votre maison à des cambrioleurs.

L’équipe d’Intruder précise que cette première version d’AutoSwagger n’est pas encore complète car il y a certains types de spécifications que l’outil ne gère pas encore. Mais c’est open source, donc n’hésitez pas à contribuer et ajouter vos propres regex de détection selon vos besoins.

Et pour ceux qui veulent tester leurs propres API, car c’est ça l’objectif de cet outil, voici quelques conseils. D’abord, utilisez toujours l’outil en mode verbose (-v) pour voir exactement ce qui se passe. Les logs sont stockés dans ~/.autoswagger/logs. Ensuite, commencez par des tests sans risque (GET uniquement) avant de passer aux méthodes plus dangereuses. Et surtout, testez uniquement vos propres API ou celles pour lesquelles vous avez une autorisation explicite, sinon vous irez en prison car c’est illégal.

Les résultats peuvent ensuite être interprétés assez facilement. Les endpoints qui retournent un code 200 sont ceux qui méritent votre attention, surtout s’ils sont marqués comme contenant des données personnelles ou des secrets. AutoSwagger fait une bonne partie du travail, mais une vérification manuelle reste indispensable. Utilisez alors curl, Postman ou Burp Suite pour confirmer vos découvertes.

L’outil affiche aussi des statistiques intéressantes avec -stats. Vous pouvez voir combien d’hôtes ont des specs valides, lesquels exposent des données personnelles, le nombre total de requêtes envoyées, le RPS moyen, et le pourcentage d’endpoints qui répondent avec des codes 2xx ou 4xx.

Au final, AutoSwagger est un super outil pour les équipes de sécurité qui veulent tester leurs API mais c’est aussi, je trouve, un rappel brutal que les bases de la sécurité API sont encore mal appliquées. Donc si vous développez des API, prenez le temps de vérifier que chaque endpoint nécessite une authentification appropriée. Et si possible, ne documentez publiquement que ce qui est absolument nécessaire !

D’ailleurs, grand merci à Lorenper qui m’a fait découvrir cet outil !