Avec certaines percées dans le domaine de l'intelligence artificielle, l'IA générative a connu une accélération rapide ces dernières années. On le constate en observant les résultats d'un même prompt entre diverses générations de modèles. Avec la sortie de GPT-5, OpenAI a même mis en ligne une page comparative.
Ils opèrent des campagnes d'espionnage et de sabotage ultra-sophistiquées et infiltrent en silence les organisations et entreprises stratégiques du monde entier. Pour mieux comprendre les grandes menaces qui entourent le monde cyber, Numerama dresse les portraits des groupes dits « APT ». Quels sont leurs modes opératoires ? Qui les finance ? On débute cette série par son commencement : APT1.
Les Superchargeurs Tesla sont passés à la vitesse supérieure récemment, dans tous les sens du terme. Plus puissants, plus performants, mais aussi beaucoup mieux dimensionnés qu'avant, ils sont un modèle à suivre pour quiconque voyage en voiture électrique. Toutefois, certains détails essentiels pour que les road-trips se passent parfaitement bien manquent encore à l'appel. Et si les bonnes vieilles aires d'autoroute n'avaient pas déjà tout compris, et qu'il serait bon pour Tesla de s'en inspirer ?
Alors que Vaiana 2 vient de débarquer sur Disney+ le 28 août 2025, Numerama a pu discuter des coulisses du long-métrage d'animation avec l'une de ses artistes : la storyboardeuse française Nolwenn Roberts.
La Traque de Gollum (The Hunt for Gollum) va certainement mettre en scène non seulement la célèbre créature décharnée, mais aussi des héros comme Gandalf et Aragorn. Cependant, en regardant les écrits de Tolkien, on peut aussi anticiper quelques autres personnages du Seigneur des Anneaux...
C'est presque la rentrée ! Et pour fêter cette presque rentrée, nous vous offrons la newsletter ToujoursPlus de la semaine, normalement réservée aux abonné·es Numerama+ ! Cette semaine, on va parler d'écrans et de bébés.
Quand Bruxelles et Washington parlent normes communes, c’est tout le secteur automobile qui retient son souffle. Un sujet d'actualité politique pour cet édito Watt Else du 28 août à quelques jours d'une rentrée qui s'annonce animée.
Que serait une rentrée sans un lancement du Starship, l'énorme fusée de SpaceX ? Plusieurs fois repoussé, le lancement a fini par avoir lieu -- pour votre plus grand bonheur. Cette semaine a aussi été un grand moment pour Google, qui a sorti plusieurs outils IA particulièrement bien fichus.
Un samedi pas comme les autres pour les clients de grandes banques françaises : Crédit Mutuel, CIC sont les principales mises en cause avec plusieurs milliers de signalements qui disent qu'elles n'assurent plus les retraits d'argent et les paiements en ligne. Crédit Agricole et Caisse d'Épargne sont aussi mentionnées, dans une moindre mesure. Des millions de clients sont potentiellement affectés.
Sur Vinted, de plus en plus de photos de vêtements proposés à la vente n'existent pas. Elles sont générées par l'intelligence artificielle (IA) et pullulent en toute impunité sur la plateforme.
La croyance selon laquelle des extraterrestres vivaient sur la Lune a perduré longtemps dans l'histoire de l'humanité. Pourtant, malgré les progrès de la science et des connaissances, elle n'a pas complètement disparu.
Le thriller politique, qui a même réussi à dépasser la saison 2 de Mercredi dans le top 10 de Netflix, se dévore en seulement quelques heures. Si vous avez déjà englouti ses 5 épisodes, voici 5 séries comme Hostage, à découvrir en streaming.
Apple dévoilera le 9 septembre ses nouveaux smartphones : les iPhone 17. Des appareils qui pourraient apporter de nombreuses nouveautés selon les rumeurs et, on l'espère, quelques surprises.
[Deal du jour] Nvidia n’a pas attendu longtemps pour voir sa RTX 5070 baisser de prix, un fait assez rare pour être souligné. La toute dernière carte graphique milieu de gamme s’affiche donc déjà à un tarif très doux sur Amazon.
Pour ce dernier article de ma série de l’été, je vais vous raconter l’histoire d’un type absolument génial que vous ne connaissez peut-être pas mais qui, lui aussi, a mis sa pierre à l’édifice de la sécurité informatique. Thomas Dullien, plus connu sous le pseudo “Halvar Flake”, c’est un peu le MacGyver du reverse engineering, sauf qu’au lieu de désamorcer des bombes avec un trombone, il désamorce des malwares avec des graphes mathématiques.
Ce gars est surtout à l’origine de BinDiff , un outil légendaire capable de comparer des binaires, très utile par exemple pour comprendre ce que Microsoft a patché dans une mise à jour de sécurité. Cet outil peut vous sortir une analyse graphique qui vous montre exactement où se trouvent les différences entre l’ancienne et la nouvelle version. À l’époque, en 2005, cet outil c’était comme avoir des super-pouvoirs.
Mais commençons par le début. Thomas Dullien, c’est un mathématicien allemand qui a grandi à une époque où Internet commençait tout juste à exploser. Le gars était destiné à devenir avocat, mais à la dernière minute, il change d’avis et s’inscrit en maths à l’Université de Bochum. Best decision ever, comme on dit. Il finit par obtenir son Master en mathématiques en 2008, après avoir commencé un doctorat qu’il abandonne pour se concentrer sur son entreprise.
Son pseudo “Halvar Flake” vient d’un personnage de dessin animé. C’est le chef d’un village viking dans la série télé “Vicky le Viking”. Et l’anecdote est géniale quand il l’explique : “J’étais petit, gros, j’avais des cheveux longs, et je buvais beaucoup de bière, alors les gens m’appelaient Halvar”, raconte-t-il avec humour. Bon, aujourd’hui le nom est resté même si la description ne colle plus vraiment !
Dans les années 90, alors qu’il est encore adolescent, Thomas commence à s’intéresser au reverse engineering et à la gestion des droits numériques (DRM). À l’époque, c’est le Far West total. Les protections logicielles sont simplistes, les entreprises pensent que leur code est impénétrable, et de petits génies comme lui s’amusent à démonter tout ça pièce par pièce. Il écrit même son premier fuzzer à 19 ans, mais refuse de l’utiliser lui-même par fierté… en vrai il préfère trouver les bugs en lisant le code ! Des années plus tard, il admettra que c’était stupide et que le fuzzing est quand même une technique incroyablement efficace.
En 2000, à seulement 19-20 ans, il fait alors sa première présentation à Black Hat Amsterdam sur “Auditing binaries for security vulnerabilities”. En réalité, il voulait rencontrer un pote du Sri Lanka mais aucun des deux n’avait les moyens de payer le billet d’avion alors ils ont décidé de faire une présentation à la même conférence. C’est donc comme ça qu’il commence sa carrière de formateur en reverse engineering… une carrière qui durera plus de 20 ans.
Pendant les années qui suivent, Halvar devient alors LA référence en matière de reverse engineering. Il développe des techniques révolutionnaires comme l’exploitation des tas Windows ( heap exploitation ), le patch diffing (comparer des versions patchées et non patchées de logiciels), et plein d’autres trucs que les chercheurs en sécurité utilisent encore aujourd’hui. Il donne des talks sur l’analyse binaire basée sur les graphes à Blackhat USA 2002, Blackhat Asia 2002, et CanSecWest 2002, où il se plaint déjà qu’IDA Pro ne gère pas bien les fonctions non-contiguës !
Mais son coup de génie, c’est au printemps 2004 quand il fonde SABRE Security, qui deviendra rapidement zynamics. L’idée c’est qu’au lieu de comparer les binaires octet par octet comme tout le monde, il utilise la théorie des graphes. En gros il faut voir ça comme une carte routière avec des intersections (les fonctions) et des routes (les appels entre fonctions). Et chaque programme a la sienne. BinDiff compare alors ces cartes pour trouver les différences.
Cette approche est innovante parce qu’elle fonctionne même si les programmes sont compilés avec des options différentes ou des compilateurs différents. Entre la publication DIMVA de 2004 et début 2005, Rolf Rolles, un autre génie du reverse engineering, contribue au projet avec de nouvelles idées qui améliorent grandement la capacité de BinDiff à matcher les blocs de base.
Puis en 2005, ils publient ensemble “Graph-based comparison of executable objects” au SSTIC… une présentation que Thomas donne en français et qu’il décrit comme “la seule présentation de conférence que j’ai jamais donnée en français. Et parce que j’étais terrifié, c’est probablement aussi celle que j’ai le plus répétée de ma vie”.
En 2006, coup de tonnerre : zynamics remporte le prix Horst Görtz, avec une récompense de 100 000 euros, pour leur technologie de classification de malwares. C’est à l’époque le plus gros prix privé en sciences naturelles d’Allemagne ! Ce prix récompense leur travail sur la similarité de code basée sur les graphes et cet argent leur permet de rester indépendants sans avoir besoin de capital-risque. “Le capital-risque était trop restrictif”, explique Thomas, qui finissait alors son Master tout en dirigeant l’entreprise.
L’entreprise grandit alors jusqu’à une douzaine d’employés, tous des ninjas du reverse engineering. Ils développent non seulement BinDiff, mais aussi BinNavi (essentiellement un IDE pour le reverse engineering centré sur la visualisation interactive de graphes, l’analyse de couverture et le débogage différentiel) et VxClass , qu’ils décrivent comme “un laboratoire d’analyse antivirus dans une boîte”.
L’impact de BinDiff sur l’industrie est énorme. Le nom devient même un verbe… les gens disent “je vais bindiff ça” pour dire qu’ils vont comparer deux binaires. C’est un peu comme quand on dit “googler”… alors quand votre outil devient un verbe, vous savez que vous avez réussi !
Thomas Dullien
Mais l’histoire prend un tournant dramatique en juillet 2007. Halvar arrive aux États-Unis pour donner sa formation annuelle à Black Hat Las Vegas, une formation qu’il donne depuis 7 ans sans problème. Mais cette fois, catastrophe, les douanes américaines trouvent ses supports de présentation dans ses bagages et le retiennent pendant 4 heures et demie. “Si vous allez faire du profit en tant que conférencier individuel, vous avez besoin d’un visa différent”, lui disent-ils. Le problème c’est qu’il avait un contrat avec Black Hat Consulting en direct en tant qu’individu, pas en tant que représentant de son entreprise.
L’ironie de la situation c’est que la plupart des participants à ses formations sont des employés du gouvernement américain ! Mais ça ne change rien et ils le renvoient en Allemagne sur le prochain vol. “Vous n’avez aucun droit, parce que techniquement vous n’êtes pas encore dans le pays”, lui ont-ils dit. Le programme d’exemption de visa lui est désormais interdit à vie. La communauté Black Hat est furieuse, mais Thomas reste philosophe… il finit par obtenir un visa business et revient l’année suivante, plus fort que jamais.
VxClass devient alors rapidement le produit phare de zynamics. C’est une infrastructure capable de traiter automatiquement les nouveaux malwares en les classifiant automatiquement en familles en utilisant l’analyse de graphes de flux de contrôle. L’outil peut générer des signatures privées en octets (au format ClamAV) pour toute une famille de malwares. VxClass peut par exemple, à partir de 160 extraits de malwares, les classifier automatiquement comme une seule famille et générer un seul pattern pour trouver chaque variante. Mandiant annonce même l’intégration avec VxClass dans leur logiciel de forensique mémoire Memoryze.
Le chevauchement de 2 malwares de la même “famille”
Et en mars 2011, Google rachète zynamics. C’est la consécration ! C’est d’ailleurs probablement VxClass qui intéresse le plus Google dans ce deal, étant donné l’intérêt de l’entreprise pour classifier les malwares et les sites malveillants. Le prix de BinDiff passe alors de plusieurs milliers de dollars à seulement 200 dollars. Google veut démocratiser ces outils de sécurité, et Halvar se retrouve propulsé dans la cour des grands avec le titre de Staff Engineer.
Illustration du principe de l’attaque Rowhammer
Chez Google, il travaille d’abord sur l’intégration et le scaling de sa technologie, puis il retourne à la recherche pure et dure et c’est là qu’il tombe sur quelque chose d’absolument dingue : le Rowhammer.
Le Rowhammer avait été découvert en juin 2014 par des chercheurs de Carnegie Mellon et Intel Labs (Yoongu Kim et ses collègues) dans leur papier “Flipping Bits in Memory Without Accessing Them”. Mais là où les académiques voient un problème de fiabilité, Thomas et Mark Seaborn de l’équipe Project Zero de Google voient une faille de sécurité monumentale.
Le Rowhammer, c’est une de ces découvertes qui font dire “mais comment c’est possible ?!”. En gros, imaginez que la mémoire de votre ordinateur est comme un parking avec des places très serrées. Si vous ouvrez et fermez la portière de votre voiture des milliers de fois très rapidement (on appelle ça “marteler” une ligne de mémoire), les vibrations peuvent faire bouger les voitures garées à côté (les bits dans les lignes adjacentes). Plus concrètement, quand on accède sans arrêt à une même zone de la mémoire, ça crée des perturbations électriques qui peuvent modifier les données stockées juste à côté… un peu comme si l’électricité “débordait” sur les zones voisines.
En mars 2015, Thomas et Mark publient alors leur exploit sur le blog de Project Zero. Les contributions techniques de Thomas incluent une méthode pour attaquer la mémoire des deux côtés en même temps (le “double-sided hammering”… imaginez-vous en train de marteler un mur par les deux faces pour le faire céder plus vite) et une technique astucieuse (le “PTE spraying”) pour transformer cette faille en véritable exploit, même s’il admet modestement que Mark a fait 90% du travail.
Ils surnomment même affectueusement le premier ordinateur où l’exploit fonctionne “Flippy the laptop” ! Leur exploit fonctionne donc en utilisant le row hammering pour induire un bit flip (une inversion de bit) dans une entrée de table de pages (PTE) qui la fait pointer vers une page physique contenant une table de pages appartenant cette fois au processus attaquant. Ça donne alors au processus attaquant un accès en lecture-écriture à une de ses propres tables de pages, et donc à toute la mémoire physique. Les chercheurs rapportent des bit flips avec seulement 98 000 activations de lignes !
La présentation de leurs résultats à Black Hat 2015 fait alors l’effet d’une bombe. Hé oui, une faille qui existe dans pratiquement toute la RAM moderne, qui ne peut pas être patchée par du logiciel, et qui peut être exploitée même depuis JavaScript dans un navigateur ! C’est le cauchemar ultime des responsables sécurité. Cette découverte devient alors le point d’origine de toute une famille d’attaques hardware (RowPress, Half-Double, etc.).
En août 2015, Halvar reçoit le Pwnie Award pour l’ensemble de sa carrière. C’est l’Oscar de la sécurité informatique, avec un jury de chercheurs en sécurité renommés qui sélectionne les gagnants. Et ces derniers reçoivent des trophées “My Little Pony” dorés ! À seulement 34 ans, il est alors décrit comme un “gourou du reverse engineering ayant déjà révolutionné le domaine plusieurs fois”.
Le fameux trophée Pwnie Award - un “My Little Pony” doré remis aux légendes de la sécurité informatique
Quoi qu’il en soit, cette découverte du Rowhammer change profondément la vision de Thomas sur l’informatique. Il se passionne pour la physique informatique, c’est-à-dire ce qui se passe réellement dans le processus de fabrication des puces. “C’est le plus grand spectacle sur Terre”, dit-il, et tire plusieurs leçons importantes. La première c’est qu’on a besoin d’une vraie théorie de l’exploitation. Aussi, que le hardware n’est pas correctement analysé pour anticiper tout ce qui pourrait arriver de pire, et enfin que la recherche sur les défauts des puces dus aux variations de fabrication est extrêmement intéressante.
Après un congé sabbatique d’un an, il retourne alors chez Google en 2016 et rejoint Project Zero, l’équipe d’élite qui cherche les failles zero-day. Son travail se concentre sur la découverte automatique de fonctions de bibliothèques liées statiquement dans les binaires et sur des recherches de similarité ultra-efficaces sur d’énormes quantités de code.
Mais en janvier 2019, nouveau virage à 180 degrés. Thomas quitte Google et co-fonde Optimyze. Cette fois, il change complètement de domaine : fini la sécurité, place à la performance et à l’économie du cloud ! Après 20 ans passés à casser des trucs, il décide de les rendre plus efficaces.
L’idée d’Optimyze est géniale puisqu’avec la fin de la loi de Moore et le passage au SaaS/Cloud, l’efficacité logicielle redevient super importante. Leur produit est un profileur continu multi-runtime qui peut s’installer sur des milliers de machines Linux et vous dire exactement où votre flotte dépense ses cycles CPU, jusqu’à la ligne de code, peu importe le langage (C/C++, Java, Ruby, PHP, Perl, Python, etc.). Le tout avec une technologie eBPF qui permet un déploiement sans friction.
Thomas remarque en effet qu’il y a, je cite, “une quantité énorme de calculs inutiles partout”. Avec les coûts du cloud qui explosent et l’attention croissante sur le CO2 et l’efficacité énergétique, aider les entreprises à optimiser leur code devient crucial. “Avec la fin de la loi de Moore et de Dennard scaling, combinée avec le passage au cloud et la transformation digitale continue de la société, l’efficacité computationnelle va recommencer à compter”, explique-t-il.
En octobre 2021, Elastic rachète Optimyze. Leur idée c’est de combiner le profiling continu d’Optimyze avec les capacités d’analyse et de machine learning d’Elastic pour offrir une observabilité unifiée. Thomas devient alors Distinguished Engineer chez Elastic, où il continue à travailler sur l’efficacité à grande échelle.
Début 2024, après avoir intégré Optimyze dans l’écosystème Elastic, Thomas annonce à nouveau qu’il quitte l’entreprise pour prendre une pause prolongée. Il veut se reposer, et se consacrer à sa famille, sa santé et l’écriture. Mais il ne reste pas inactif longtemps puisque depuis 2019, il est aussi Venture Partner chez eCAPITAL, où il se concentre sur les investissements en cybersécurité et technologies climatiques. Enfin, depuis 2025, il dirige avec Gregor Jehle le groupe de projet Engineering au CNSS e.V.
Ces dernières années, on le voit donner des conférences passionnantes. Par exemple à QCon London en mars 2023, où il présente “Adventures in Performance”. Il y explique comment les choix de design des langages impactent les performances. Notamment comment la culture monorepo de Google et la culture “two-pizza team” d’Amazon affectent l’efficacité du code, et pourquoi la variance statistique est l’ennemi.
À ISSTA 2024 en septembre à Vienne, il donne une keynote intitulée “Reasons for the Unreasonable Success of Fuzzing”, où il analyse pourquoi le fuzzing marche si bien alors que théoriquement, ça ne devrait pas. Il raconte notamment comment dans la culture hacker des années 90, le terme “fuzz-tester” était utilisé comme une insulte pour ceux qui ne savaient pas trouver des bugs en lisant le code.
Ce qui est fascinant avec Thomas Dullien, c’est surtout sa capacité à voir les problèmes sous un angle complètement différent. Là où d’autres voient des bugs, il voit des opportunités. Là où d’autres voient de la complexité, il voit de jolis graphes. Là où d’autres voient des problèmes de fiabilité hardware, il voit des failles de sécurité. C’est cette vision unique qui lui a permis de faire progresser ses domaines de prédilection.
Son approche de l’enseignement est aussi unique. Ses formations Black Hat étaient limitées à 18 étudiants maximum, avec des prérequis techniques élevés et aujourd’hui, Thomas continue d’influencer l’industrie. Que ce soit par ses recherches, ses talks, ou les outils qu’il a créés, son impact est partout. BinDiff est maintenant open source et supporte IDA Pro, Binary Ninja et Ghidra. Le Rowhammer a donné naissance à toute une famille d’attaques hardware et les idées d’Optimyze sur l’efficacité logicielle deviennent de plus en plus pertinentes avec la crise climatique.
Voilà l’histoire de Thomas Dullien. C’est l’histoire d’un gars qui a su transformer sa curiosité en innovations. Une chose est sûre, quand Halvar Flake s’intéresse à quelque chose, l’industrie entière devrait y prêter attention. Que ce soit pour casser des trucs, les analyser, ou les rendre plus efficaces, il trouve toujours un angle nouveau que personne n’avait anticipé.
Sources : Site personnel de Thomas Dullien , Google Project Zero - Exploiting the DRAM rowhammer bug , Black Hat Archives - 2007 US Entry Denial Incident , Silver Bullet Podcast - Interview with Halvar Flake , Elastic acquiert Optimyze , ISSTA 2024 - Keynote on Fuzzing , QCon London 2024 - Adventures in Performance , Heise - Horst Görtz Prize 2006 , Dark Reading - Pwnie Awards 2015 , OffensiveCon - Halvar Flake Biography , eCAPITAL - Thomas Dullien Venture Partner , GitHub - BinDiff Open Source , zynamics - BinDiff , Intel Technology Podcast - Interview with Thomas Dullien , Wikipedia - Row hammer
Nos confrères ont publié de nombreux dossiers et tests durant cette dernière semaine du mois d’aout 2025. A lire sans aucune modération !
Cet article Barre de son, boitier, carte graphique et performance test, tous les tests à ne pas manquer ! a été publié en premier par GinjFo.
Je me souviens encore de ce 7 septembre 2017 quand j’ai vu l’annonce du hack d’Equifax débouler dans mes flux RSS. 143 millions d’Américains touchés avec leurs numéros de sécurité sociale, leurs dates de naissance, leurs adresses…etc… tout était dans la nature. Mais le pire dans cette histoire, c’est que ce n’était pas juste une faille technique. C’était un concentré de négligence, d’incompétence et de cupidité qui allait devenir le cas d’école de tout ce qu’il ne faut pas faire en cybersécurité. Trêve de blabla, je vous raconte tout ça tout de suite !
Pour comprendre l’ampleur du désastre, il faut d’abord comprendre ce qu’est Equifax. Fondée en 1899 sous le nom de Retail Credit Company (oui, cette entreprise est plus vieille que le FBI), c’est l’une des trois grandes agences de crédit américaines avec Experian et TransUnion. Ces entreprises collectent des informations sur pratiquement tous les Américains adultes telles que l’historique de crédit, dettes, paiements, emplois… Bref, tout ce qui permet de calculer votre score de crédit, ce fameux nombre qui détermine si vous pouvez avoir un prêt, louer un appartement, ou même décrocher certains jobs.
Le truc avec Equifax, c’est que vous n’avez jamais demandé à être leur client. Ils collectent vos données que vous le vouliez ou non. En 2017, ils avaient des dossiers sur environ 820 millions de consommateurs dans le monde, dont 147 millions rien qu’aux États-Unis. C’est comme si une entreprise privée détenait le dossier médical de chaque citoyen, sauf que là, c’est votre vie financière. John Oliver l’a parfaitement résumé pendant son émission : “Nous ne sommes pas les clients d’Equifax. On n’est pas le gars qui achète le bucket de poulet… On est les putains de poulets !”
Richard Smith en était le CEO depuis 2005. Un vétéran de General Electric où il avait passé 22 ans, grimpant les échelons jusqu’à devenir Corporate Officer en 1999. Diplômé de Purdue University en 1981, Smith était le parfait exemple du CEO corporate américain : costard impeccable, sourire Colgate et salaire de base de 1,45 million de dollars par an, plus des bonus qui pouvaient tripler ce montant. Sous sa direction, Equifax était devenue une machine à cash, avec des revenus dépassant les 3 milliards de dollars par an et une capitalisation boursière qui était passée de 3 à 20 milliards.
Mais derrière cette façade de réussite, l’infrastructure IT de l’entreprise était un véritable château de cartes…
Richard Smith lors de son témoignage devant le Congrès américain en octobre 2017
Tout commence donc le 7 mars 2017. Ce jour-là, Apache Software Foundation publie un bulletin de sécurité critique estampillé CVE-2017-5638. C’est une vulnérabilité dans Apache Struts, un framework Java utilisé par des milliers d’entreprises pour leurs applications web. La faille est sérieuse car elle permet l’exécution de code à distance via une manipulation du header Content-Type dans les requêtes HTTP. En gros, un hacker peut injecter des commandes OGNL (Object-Graph Navigation Language) et prendre le contrôle total du serveur.
Bref, si vous avez une application vulnérable exposée sur Internet, n’importe qui peut devenir root sur votre machine…
Apache publie alors un patch le jour même. C’est là que les choses deviennent intéressantes car le 8 mars, le Department of Homeland Security envoie une alerte à toutes les grandes entreprises américaines, dont Equifax. “Patchez immédiatement”, dit le message. Le 9 mars, l’équipe sécurité d’Equifax fait suivre l’alerte en interne avec pour instruction de patcher tous les systèmes vulnérables sous 48 heures. Graeme Payne, le Chief Information Officer responsable des plateformes globales, supervise l’opération.
Sauf que voilà, Equifax, c’est une entreprise avec des milliers de serveurs, des centaines d’applications, et une dette technique monumentale. Le portail ACIS (Automated Consumer Interview System), utilisé pour gérer les litiges des consommateurs sur leur crédit, tourne sur une vieille version d’Apache Struts datant des années 1970, et devinez quoi ? Personne ne le patche. Les scans de sécurité lancés le 15 mars ne trouvent rien.
Pourquoi ?
Et bien parce que l’outil de scan n’était pas configuré pour vérifier le portail ACIS. En gros, c’est comme chercher ses clés partout sauf dans la poche où elles sont.
Apache Struts, le framework vulnérable au cœur du hack d’Equifax
Le 10 mars 2017, trois jours après la publication du patch, les premiers hackers frappent. Ce ne sont pas encore les gros poissons, juste des opportunistes qui scannent Internet avec des outils automatisés. Des kits d’exploitation de CVE-2017-5638 circulent déjà sur le dark web, et Metasploit a même sorti un module le 7 mars à 6h21 UTC. Les premiers intrus trouvent alors le portail ACIS d’Equifax grand ouvert.
Les logs montreront plus tard que ces premiers hackers étaient probablement des amateurs. Ils se baladent un peu dans le système, réalisent qu’ils sont chez Equifax, mais ne vont pas plus loin. Pourquoi ? Probablement parce qu’ils ne réalisent pas la mine d’or sur laquelle ils sont tombés. Ou peut-être qu’ils ont eu peur. Toujours est-il qu’ils font ce que font tous les petits hackers quand ils trouvent un gros poisson : ils vendent l’accès.
C’est là qu’entrent en scène nos véritables protagonistes : l’unité 54th Research Institute de l’Armée Populaire de Libération chinoise. Wu Zhiyong, Wang Qian, Xu Ke et Liu Lei. Quatre officiers de l’armée chinoise spécialisés dans le cyber-espionnage économique. Ces types, c’est pas des script kiddies qui utilisent des outils trouvés sur GitHub. Non, ils font partie de l’élite cyber de la Chine, formés et financés par l’État pour voler les secrets économiques de l’Occident. Le 54th Research Institute, c’est le cousin moins connu mais tout aussi dangereux de la fameuse Unit 61398 (APT1) basée à Shanghai dont je vous parlais il y a quelques jours.
Les hackers chinois commencent leur travail mi-mai. Ils sont méthodiques, patients. D’abord, ils installent 30 web shells, des portes dérobées qui leur permettent de revenir quand ils veulent. Puis ils commencent à explorer le réseau. Et c’est là qu’ils tombent sur le jackpot, un truc tellement énorme qu’ils ont dû se pincer pour y croire.
Dans un répertoire non protégé, ils trouvent un fichier texte. Un simple fichier texte contenant… les identifiants et mots de passe de dizaines de serveurs. En clair. Pas chiffrés. Juste là, comme ça…
Parmi ces identifiants, plusieurs utilisent la combinaison sophistiquée “admin/admin”. Oui, vous avez bien lu. Une entreprise qui gère les données financières de 147 millions d’Américains utilisait “admin” comme nom d’utilisateur et “admin” comme mot de passe. C’est le genre de truc qu’on voit dans les films où on se dit “c’est trop gros, personne n’est aussi con”. Eh bien si.
Mais attendez, ça devient encore mieux.
Susan Mauldin, la Chief Security Officer d’Equifax à l’époque n’a aucun background en sécurité informatique. Elle a juste un Bachelor et un Master en… composition musicale de l’Université de Géorgie. Oui, la personne responsable de la sécurité des données de 147 millions d’Américains avait fait des études de musique. Certes, elle avait travaillé chez HP, SunTrust Banks et First Data avant d’arriver chez Equifax en 2013, mais son profil LinkedIn (qu’elle a rapidement rendu privé après le hack en changeant son nom en “Susan M.”) ne mentionnait aucune formation en sécurité. Dans une interview supprimée depuis, elle avait déclaré : “On peut apprendre la sécurité”.
Visiblement, pas assez bien…
Avec ces identifiants “admin/admin”, les hackers peuvent maintenant se balader dans le réseau d’Equifax comme chez eux. Ils accèdent à trois bases de données ACIS, puis à 48 autres bases de données. Au total, ils vont exécuter plus de 9 000 requêtes SQL sur une période de 76 jours. Plus de deux mois durant lesquels nos quatre militaires chinois pillent les données les plus sensibles de la moitié de la population américaine, et personne ne s’en aperçoit.
Mais comment c’est possible ? Comment une entreprise de cette taille peut-elle ne pas voir que des téraoctets de données sortent de ses serveurs ? Et bien la réponse tient en deux mots : certificat expiré.
Equifax avait bien des outils de monitoring réseau. Des trucs sophistiqués qui analysent le trafic, détectent les anomalies, sonnent l’alarme quand quelque chose cloche. Sauf que ces outils ont besoin de déchiffrer le trafic SSL pour voir ce qui se passe. Et pour ça, il leur faut un certificat SSL valide. Sauf que le certificat d’Equifax avait expiré… 10 mois plus tôt. Personne ne l’avait renouvelé, du coup, tout le trafic chiffré passait sans être inspecté. Les hackers pouvaient donc exfiltrer des gigaoctets de données chaque jour, et c’était invisible pour les systèmes de sécurité.
Dommage…
Et les hackers sont malins. Ils ne veulent pas se faire repérer, alors ils procèdent méthodiquement. Ils compressent les données en petits paquets de 10 MB. Ils utilisent 34 serveurs relais dans 20 pays différents pour masquer leur origine. Ils effacent les logs au fur et à mesure. C’est du travail de pro, le genre d’opération que seul un État peut financer et organiser.
Entre mai et juillet 2017, ils aspirent tout : 145,5 millions de numéros de sécurité sociale, 147 millions de noms et dates de naissance, 99 millions d’adresses, 209 000 numéros de cartes de crédit avec leurs dates d’expiration, 182 000 documents personnels contenant des informations sur les litiges de crédit. Sans oublier les permis de conduire de 10,9 millions d’Américains et les données de 15,2 millions de Britanniques et 19 000 Canadiens. C’est le casse du siècle, version numérique.
Pendant ce temps, la vie continue chez Equifax. Richard Smith touche son bonus de 3 millions de dollars pour l’année 2016. Susan Mauldin, la Chief Musician Security Officer, gère la sécurité de l’entreprise tranquillou. Les affaires tournent, l’action monte. Tout va bien dans le meilleur des mondes. C’est déjà le troisième incident de sécurité majeur depuis 2015, mais bon, qui compte ?
L’action Equifax continuait de grimper pendant que les hackers pillaient les données
Puis le 29 juillet 2017, un samedi, un administrateur système décide enfin de renouveler ce fameux certificat SSL expiré. Probablement un stagiaire qui s’ennuyait ou un admin consciencieux qui faisait du ménage. Dès que le nouveau certificat est installé, les outils de monitoring se remettent à fonctionner, et là, c’est la panique ! Le système détecte immédiatement du trafic suspect vers la Chine avec des gigaoctets de données qui sortent du réseau.
L’équipe sécurité est alors appelée en urgence. Ils coupent l’accès au portail ACIS, analysent les logs (ceux qui n’ont pas été effacés), et commencent à réaliser l’ampleur du désastre. Le 30 juillet, ils appellent Mandiant, la Rolls-Royce des entreprises de sécurité informatique rachetée par FireEye, spécialisée dans les incidents de ce type et qui avait déjà enquêté sur les attaques de l’Unit 61398.
Et le 31 juillet, Graeme Payne informe Richard Smith de la situation. Le CEO comprend immédiatement que c’est une catastrophe. Smith dira plus tard au Congrès : “J’étais ultimement responsable de ce qui s’est passé sous ma surveillance.” Mais au lieu d’informer immédiatement le public, la direction décide d’abord de… “gérer la situation en interne”.
Et c’est là que l’histoire devient vraiment sale. Le 1er et 2 août, alors que seule une poignée de dirigeants connaît l’ampleur de la fuite, trois executives d’Equifax vendent pour 1,8 million de dollars d’actions. Le CFO John Gamble vend pour 946 000$, le président de l’unité US Information Solutions Joseph Loughran pour 584 000$, et le président de Workforce Solutions Rodolfo Ploder pour 250 000$. Pure coïncidence, bien sûr.
Plus tard, une enquête interne conclura qu’ils n’étaient pas au courant de la fuite au moment de la vente. Smith témoignera devant le Congrès : “Nous avons notifié le FBI et engagé un cabinet d’avocats le 2 août. À ce moment-là, nous ne voyions qu’une activité suspecte. Les trois individus ont vendu leurs actions les 1er et 2 août. Nous n’avions aucune indication de brèche de sécurité à ce moment.” Permettez-moi d’être sceptique car c’est une sacrée coïncidence de vendre ses actions juste avant l’annonce d’une catastrophe qui va faire chuter le cours de 35%.
Pendant ce temps, Mandiant mène son enquête. Leurs experts reconstituent le puzzle, identifient la vulnérabilité Apache Struts, découvrent les fichiers de mots de passe en clair, tracent les connexions vers la Chine via les 34 serveurs relais. Le rapport est accablant : négligence à tous les niveaux, absence de segmentation réseau, données sensibles non chiffrées, monitoring défaillant, 120 millions de numéros de sécurité sociale stockés en clair, données de cartes de crédit dans des fichiers Excel sans protection. C’est un manuel de ce qu’il ne faut pas faire en sécurité informatique.
Le 7 septembre 2017, six semaines après la découverte, Equifax annonce enfin publiquement la faille. Le communiqué est un chef-d’œuvre de langue de bois corporate : “Equifax a subi un incident de cybersécurité potentiellement impactant environ 143 millions de consommateurs américains.” Potentiellement ? 143 millions, c’est 44% de la population des États-Unis !
La réaction est immédiate et brutale. L’action chute en bourse de 13% en quelques heures, passant de 142$ à 92$ en quelques jours. Les médias s’emparent de l’affaire et John Oliver dédie un segment entier de “Last Week Tonight” au désastre, expliquant que si ça n’était pas arrivé pendant une période où chaque jour les gros titres étaient “Tout Part en Couilles Encore Aujourd’hui”, le hack d’Equifax aurait été LA nouvelle du mois. Les politiciens demandent des comptes et plus de 52 000 plaintes sont déposées. Les class actions pleuvent.
Et les 147 millions de victimes ? Elles découvrent qu’elles sont peut-être victimes d’un vol d’identité sans avoir jamais entendu parler d’Equifax.
Mais attendez, ça devient encore pire car Equifax met en place un site web pour que les gens puissent vérifier s’ils sont affectés : equifaxsecurity2017.com. Sauf que le site est tellement mal fait que les experts en sécurité pensent que c’est un site de phishing ! Brian Krebs, expert renommé en sécurité, qualifie la réponse d’Equifax de “dumpster fire” (feu de poubelle)et un développeur, Nick Sweening, achète même le domaine securityequifax2017.com pour démontrer à quel point c’est facile de créer un site de phishing crédible.
Et vous voulez savoir le plus drôle ?
Le compte Twitter officiel d’Equifax tweetera huit fois le lien vers le FAUX site !
En plus, les termes et conditions du site incluent une clause d’arbitrage qui stipule que si vous utilisez le site pour vérifier si vous êtes affecté, vous renoncez à votre droit de poursuivre Equifax en justice ! La grogne est telle qu’ils doivent retirer cette clause après quelques jours. Sans compter que le site retourne des résultats apparemment aléatoires. Par exemple, des journalistes testent avec des fausses données et obtiennent quand même des réponses.
Le 15 septembre, à peine une semaine après l’annonce publique, Susan Mauldin, la CSO, “prend sa retraite”. David Webb, le CIO, fait de même. Et leurs profils LinkedIn disparaissent comme par magie. Même leurs interviews sont retirées d’Internet. Equifax utilise d’ailleurs le mot “retraite” plutôt que “licenciement”, ce qui signifie qu’ils partent probablement avec de confortables indemnités.
Et le 26 septembre, c’est au tour de Richard Smith. Le CEO “prend sa retraite” lui aussi, mais contrairement à ses subordonnés, on connaît exactement ce qu’il emporte : 90 millions de dollars. Oui, vous avez bien lu. 90 millions. 72 millions pour 2017 (salaire + stocks + options), plus 18,4 millions de retraite. Pendant que 147 millions d’Américains vont devoir surveiller le montant de leurs crédits pour le reste de leur vie, lui part avec l’équivalent de 61 cents par victime.
Techniquement, il ne touche pas de prime de départ puisqu’il “démissionne”. Mais il garde toutes ses stock-options et ses droits à la retraite. C’est beau, le capitalisme américain, quand même non ?
Richard Smith est parti avec un parachute doré de 90 millions de dollars
Pendant ce temps, Graeme Payne, le CIO qui avait supervisé les scans de sécurité ratés, se fait virer le 2 octobre. Pas de retraite dorée pour lui. Il est désigné comme bouc émissaire pour ne pas avoir fait suivre un email sur la vulnérabilité Apache Struts. Dans son témoignage au Congrès, il dira : “Dire qu’un vice-président senior devrait faire suivre chaque alerte de sécurité à des équipes trois ou quatre niveaux en dessous… ça n’a aucun sens. Si c’est le processus sur lequel l’entreprise doit compter, alors c’est ça le problème.”
L’enquête du Congrès est un spectacle en soi. Le 4 octobre 2017, pendant que Smith témoigne devant le Senate Banking Committee, une activiste nommée Amanda Werner, déguisée en Rich Uncle Pennybags (le Monopoly Man), s’assoit juste derrière lui.
Pendant toute l’audition, elle essuie son front avec des faux billets de 100$, ajuste son monocle et twirle sa moustache. Les images deviennent virales instantanément. Werner expliquera plus tard : “Je suis habillée en Monopoly Man pour attirer l’attention sur l’utilisation par Equifax et Wells Fargo de l’arbitrage forcé comme carte ‘sortie de prison gratuite’ pour leurs méfaits massifs.”
Amanda Werner déguisée en Monopoly Man trollant l’audition au Sénat
Le témoignage de Smith devant le Congrès révèle l’ampleur de l’incompétence. Les sénateurs, notamment Elizabeth Warren, le grillent sur le timing suspect des ventes d’actions et les failles de sécurité. Warren est particulièrement féroce, demandant pourquoi Equifax a obtenu un contrat de sécurité avec l’IRS après le hack.
Le rapport du Government Accountability Office qui s’en suivra est cinglant : “Equifax n’a pas segmenté ses bases de données pour limiter l’accès, n’a pas chiffré les données sensibles, et n’a pas maintenu à jour ses certificats de sécurité.” En gros, ils ont fait absolument tout ce qu’il ne fallait pas faire. Le rapport révèle aussi que le système ACIS datait littéralement des années 1970 et n’avait jamais été vraiment modernisé.
Mais le plus fou dans tout ça, c’est que malgré l’ampleur du désastre, les conséquences pour Equifax ont été… limitées. En juillet 2019, ils acceptent un accord avec la FTC de 575 millions de dollars, extensibles à 700 millions. Ça paraît énorme, mais divisé par 147 millions de victimes, ça fait moins de 4 dollars par personne.
Les victimes peuvent réclamer jusqu’à 125$ en cash, ou 10 ans de monitoring de crédit gratuit. Mais y’a un hic que personne n’a vu venir… le fond prévu pour les paiements n’est que de 31 millions. Avec 147 millions de victimes potentielles, si seulement 248 000 personnes demandent les 125$, le fond est vide. Au final, 4,5 millions de personnes réclament le cash. Alors la plupart des gens qui demandent cet argent cash reçoivent… 7 dollars. Pas 21 cents comme initialement calculé par les pessimistes, mais pas 125$ non plus. Sept malheureux dollars pour avoir eu toute leur vie financière exposée.
Pendant ce temps, Equifax se porte bien. Leur action, qui était tombée à 92$ après le hack, est remontée à plus de 240$ en 2025. Ils ont même eu le culot d’essayer de vendre des services de protection d’identité TrustedID Premier aux victimes. “Vos données ont été volées à cause de notre négligence, mais pour 19,99$ par mois, on peut surveiller si quelqu’un les utilise !” Le cynisme à l’état pur. Sans compter que les termes d’utilisation de TrustedID incluaient initialement une clause d’arbitrage forcé où en vous inscrivant, vous renonciez à votre droit de les poursuivre.
Et les hackers chinois ?
En février 2020, le département de Justice inculpe officiellement Wu Zhiyong, Wang Qian, Xu Ke et Liu Lei. Les charges sont fraude informatique, espionnage économique, fraude électronique. Le grand jury d’Atlanta retient neuf chefs d’accusation contre eux mais c’est symbolique car comme vous le savez, ils sont en Chine, intouchables. Ils ne seront jamais extradés ni jugés et cela même si le FBI a bien mis leurs photos sur son site “Wanted”, avec une récompense pour toute information… Mais tout le monde sait que c’est du théâtre.
L’ironie, c’est que malgré le vol de 147 millions d’identités, y’a eu étonnamment peu de cas de fraude directement liés au hack Equifax. Une étude de Carnegie Mellon University l’a même confirmé.
Pourquoi ? Et bien parce que les hackers étaient des espions du 54th Research Institute, et pas des criminels de droit commun. Leur but n’était donc pas de vendre les données sur le dark web ou de vider des comptes bancaires. C’était de l’espionnage d’État, probablement pour identifier des cibles potentielles pour le recrutement, des agents à retourner, ou simplement pour constituer une base de données géante sur la population américaine pour de futures opérations.
Mais ça ne rend pas la situation moins grave, au contraire car quelque part en Chine, y’a une base de données avec les informations personnelles et financières de la moitié de la population américaine. Et ces données ne périment pas… Dans 10, 20, 30 ans, elles seront toujours utilisables puisque les numéros de sécurité sociale ne changent pas. C’est donc une épée de Damoclès permanente au-dessus de la tête de 147 millions de personnes.
Ce hack a eu pour effet d’accélérer l’adoption de lois sur la protection des données. Le CCPA (California Consumer Privacy Act) et d’autres réglementations similaires sont en partie une réponse au hack d’Equifax. L’idée que des entreprises puissent collecter et stocker des données sensibles sans le consentement explicite des consommateurs et sans protection adéquate est devenue inacceptable. Smith lui-même a suggéré dans son témoignage de remplacer les numéros de sécurité sociale par un système plus sécurisé, proposant un “partenariat public-privé pour évaluer comment mieux protéger les données des Américains”.
Mais fondamentalement, le modèle n’a pas changé. Equifax, Experian et TransUnion continuent de collecter les données des américains sans leur permission. Elles continuent de les vendre à qui veut payer. Et elles continuent d’être des cibles de choix pour les hackers du monde entier. D’ailleurs, hasard de la publication, TransUnion vient en 2025 d’être victime d’un hack, exposant les numéros de sécu de 4,4 millions d’américains. L’histoire se répète…
Bref, ce hack d’Equifax, c’est l’histoire de la faillite d’un système. Un système où des entreprises privées ont un pouvoir démesuré sur des vies, sans avoir de comptes à rendre. Un système où la négligence criminelle est punie par une tape sur les doigts et un golden parachute de plusieurs millions de dollars. Un système où les victimes sont laissées à leur compte pendant que les responsables s’en tirent….
Mais c’est aussi une leçon sur le danger de la dette technique accumulée depuis les années 1970. Sur la nécessité de régulations strictes pour protéger les données personnelles. Et surtout, sur le fait qu’aucune entreprise n’est “too big to fail” quand il s’agit de cybersécurité. Si vous pouvez être hacké avec “admin/admin”, vous méritez presque de couler, d’ailleurs…
Aujourd’hui, en 2025, Equifax a un nouveau CEO, Mark Begor, un nouveau CISO (un vrai cette fois), Jamil Farshchi, ancien de Visa et Time Warner, et des procédures de sécurité renforcées.
Quoiqu’il en soit, dans le monde de la collecte de données, nous ne sommes pas des clients. Nous sommes le produit. Et quand le produit est volé, c’est encore nous qui en payons encore le prix.
Et c’est ça, le vrai scandale.
Sources : Rapport officiel du Congrès américain sur le breach Equifax (2018) , Inculpation du Department of Justice contre les hackers chinois (2020) , Rapport du Government Accountability Office , Témoignage de Richard Smith devant le Congrès (2017) , Analyse technique de la vulnérabilité Apache Struts CVE-2017-5638 , Settlement FTC-Equifax (2019) , Rapport Mandiant sur l’investigation forensique , Timeline détaillée du breach - CSO Online , John Oliver sur Last Week Tonight , Interview d’Amanda Werner, le “Monopoly Man”
9,99 euros pendant trois mois chez Ligue 1+ et les opérateurs, 12,99 euros par mois chez Amazon, 12,49 euros par mois chez Molotov… Les offres de lancement de Ligue 1+, le service pour regarder le football français, prennent fin le 31 août.
Initialement prévu pour le 22 octobre 2025 en France (24 octobre aux États-Unis), le film Mortal Kombat II est repoussé au 15 mai 2026 outre-Atlantique, ce qui suggère une sortie le 13 mai en France. Une mauvaise nouvelle pour les fans du jeu vidéo, qui attendaient avec impatience cette suite enfin plus « kitsch ».
Connexion