❌

Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraĂźchir la page.
Hier — 27 juillet 2025Korben

Charlie Miller - L'ancien mathématicien de la NSA qui a hacké l'iPhone et piraté une Jeep à 120 km/h

Par : Korben
27 juillet 2025 Ă  13:37

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

La premiĂšre fois oĂč j’ai entendu parler de Charlie Miller c’était en 2008, juste aprĂšs qu’il ait dĂ©foncĂ© un MacBook Air flambant neuf en moins de 2 minutes au concours Pwn2Own. 10 000 dollars de prime et la gloire Ă©ternelle.

À l’époque, c’était impressionnant qu’un mec puisse compromettre une machine Apple aussi vite mais ce que je ne savais pas encore, c’est que derriĂšre ce hack spectaculaire se cachait l’histoire d’un gamin du Missouri, orphelin trĂšs tĂŽt et qui a transformĂ© sa solitude en gĂ©nie mathĂ©matique. Un chercheur qui allait devenir tellement douĂ© pour casser les produits Apple qu’ils finiraient par se faire bannir de leur Ă©cosystĂšme. Voici l’histoire de Charlie Miller, l’homme que Foreign Policy a classĂ© dans son Top 100 des penseurs mondiaux et surnommĂ© “l’un des hackers les plus techniquement compĂ©tents sur Terre”.

Charlie Miller lors d’une prĂ©sentation Ă  la Truman State University

Charles Alfred Miller est nĂ© le 6 mai 1973 Ă  St. Louis, dans le Missouri et son enfance Ă  Affton n’a rien d’un conte de fĂ©es. Quand il a 7 ans, sa mĂšre GĂ©raldine meurt d’un cancer. Pour un gamin de cet Ăąge, c’est un tsunami Ă©motionnel et Charlie se retrouve Ă  passer beaucoup de temps seul. Cette solitude forcĂ©e, il va la transformer en quelque chose de productif : une passion dĂ©vorante pour les mathĂ©matiques et la logique. “J’ai passĂ© beaucoup de temps tout seul”, confiera-t-il plus tard dans une interview au St. Louis Magazine. C’est cette solitude qui l’a poussĂ© Ă  se plonger dans les chiffres et les Ă©quations
 un monde oĂč tout avait du sens, contrairement au chaos Ă©motionnel provoquĂ© par la perte de sa mĂšre.

Au lycĂ©e, Charlie n’est pas le geek clichĂ© qu’on imagine. Il fait du vĂ©lo de compĂ©tition et devient mĂȘme champion de l’État du Missouri. Un athlĂšte matheux, y’a pas beaucoup de gens comme ça mais c’est dans les maths qu’il trouve vraiment sa voie. Il est tellement douĂ© qu’il dĂ©croche une bourse complĂšte pour Northeast Missouri State University (aujourd’hui Truman State), oĂč il obtient un bachelor en mathĂ©matiques avec une spĂ©cialisation secondaire en philosophie. La combinaison est intĂ©ressante : les maths pour la rigueur logique et la philo pour questionner le monde. D’ailleurs, cette double approche analytique et rĂ©flexive deviendra sa marque de fabrique dans le hacking.

Mais Charlie voit plus grand. Il veut un doctorat, alors direction l’UniversitĂ© de Notre Dame, l’une des meilleures facs catholiques du pays. LĂ , il se plonge dans les Ă©quations aux dĂ©rivĂ©es partielles non linĂ©aires qui dĂ©crivent la propagation de la lumiĂšre dans les fibres optiques. C’est du trĂšs haut niveau, le genre de trucs que seule une poignĂ©e de personnes dans le monde comprend vraiment. Sa thĂšse porte sur les solitons optiques, ces ondes qui se propagent sans se dĂ©former dans les fibres. Puis en 2000, aprĂšs des annĂ©es de travail acharnĂ©, il soutient sa thĂšse et devient officiellement Dr. Charlie Miller. Et honnetement, Ă  ce moment-lĂ , il pense que sa vie est toute tracĂ©e : la recherche, l’enseignement, et peut-ĂȘtre un prix Nobel un jour. Qui sait ?

L’UniversitĂ© de Notre Dame oĂč Charlie Miller a obtenu son doctorat en mathĂ©matiques

C’est lĂ  que l’histoire prend un tournant complĂštement dingue. Charlie a toujours rĂȘvĂ© d’ĂȘtre astronaute. SĂ©rieusement. Depuis gamin, il regarde les Ă©toiles et s’imagine flotter dans l’espace. Avec son PhD en maths de Notre Dame, il pense avoir le profil parfait pour la NASA. Il envoie alors candidature sur candidature. Il remplit des formulaires de 50 pages, passe des tests mĂ©dicaux, rĂ©dige des essais sur sa motivation. Mais Ă  chaque fois, c’est le silence radio. La NASA ne lui rĂ©pond mĂȘme pas. Pas un accusĂ© de rĂ©ception, rien.

Pour un type brillant comme lui, habituĂ© Ă  rĂ©ussir tout ce qu’il entreprend, c’est une claque monumentale. “Mon rĂȘve de devenir astronaute n’est restĂ© qu’un rĂȘve parce que la NASA a ignorĂ© mes nombreuses candidatures aprĂšs mes Ă©tudes supĂ©rieures.”, dira-t-il plus tard avec une pointe d’amertume qui ne l’a jamais vraiment quittĂ©.

“Mis Ă  part dans le milieu universitaire, il n’y a pas beaucoup d’emplois pour un mathĂ©maticien titulaire d’un doctorat.”, rĂ©alisera-t-il brutalement. C’est vrai, et c’est le drame de beaucoup de docteurs en sciences fondamentales. Quand vous avez passĂ© des annĂ©es Ă  Ă©tudier des Ă©quations diffĂ©rentielles partielles non linĂ©aires appliquĂ©es aux solitons optiques, vos options de carriĂšre sont
 limitĂ©es.

Prof d’universitĂ© ? Il n’a pas envie de passer sa vie Ă  publier des papers que personne ne lira sur un sujet ultra-niche qui ne le passionne plus vraiment. Les labos de recherche privĂ©s ? Ils prĂ©fĂšrent les ingĂ©nieurs aux mathĂ©maticiens purs. Quant au secteur privĂ© classique, peu d’entreprises ont besoin d’un expert en propagation d’ondes dans les fibres optiques. Wall Street peut-ĂȘtre ? Mais l’idĂ©e de devenir un quant pour optimiser des algorithmes de trading haute frĂ©quence ne l’emballe pas.

C’est alors que la NSA entre en scĂšne. L’agence de renseignement amĂ©ricaine la plus secrĂšte au monde recrute des mathĂ©maticiens Ă  tour de bras pour faire de la cryptographie et de la cryptanalyse. Pour eux, un PhD en maths de Notre Dame, c’est du pain bĂ©ni car ils voient au-delĂ  des solitons optiques : ils voient un cerveau capable de manipuler des concepts mathĂ©matiques abstraits complexes, soit exactement ce qu’il faut pour casser des codes. Charlie accepte l’offre, un peu par dĂ©faut, un peu par curiositĂ© et en 2000, dĂ©barque Ă  Fort Meade, dans le Maryland, au QG de l’agence qui Ă©coute le monde entier. Le bĂątiment est une forteresse de verre noir, entourĂ©e de barbelĂ©s et de checkpoints. Bienvenue dans le monde de l’espionnage.

Le quartier gĂ©nĂ©ral de la NSA Ă  Fort Meade, Maryland, oĂč Charlie a travaillĂ© de 2000 Ă  2005

À la NSA, Charlie est officiellement cryptographe dans la division mathĂ©matique. Son boulot officiel est de dĂ©velopper et casser des algorithmes de chiffrement, analyser des protocoles cryptographiques, chercher des failles dans les systĂšmes de communication ennemis. Mais rapidement, il dĂ©couvre un nouveau terrain de jeu : la sĂ©curitĂ© informatique opĂ©rationnelle. La NSA ne fait pas que de la crypto thĂ©orique, elle fait aussi du hacking offensif. Et pour ça, elle propose des formations internes dans tous les domaines : exploitation de vulnĂ©rabilitĂ©s, reverse engineering, dĂ©veloppement d’exploits, techniques d’intrusion avancĂ©es. Charlie s’inscrit Ă  tout ce qu’il peut. Il est comme un gamin dans un magasin de bonbons.

“MĂȘme si j’ai Ă©tĂ© embauchĂ© comme mathĂ©maticien Ă  la NSA, ils proposaient divers programmes de formation. J’ai commencĂ© par suivre une formation en sĂ©curitĂ© informatique et j’ai occupĂ© des postes qui mettaient l’accent sur cette compĂ©tence.”, expliquera-t-il. Et c’est lĂ  que sa formation mathĂ©matique devient un atout majeur. Car lĂ  oĂč d’autres voient du code, lui voit des patterns, des structures, des failles logiques. Son cerveau mathĂ©matique lui permet de comprendre intuitivement comment les systĂšmes peuvent ĂȘtre cassĂ©s. C’est alors le dĂ©but d’une transformation radicale.

Le mathĂ©maticien thĂ©oricien devient hacker opĂ©rationnel. Et pas n’importe quel hacker : un hacker de la NSA, formĂ© par les meilleurs, avec accĂšs aux outils et aux connaissances les plus pointus du renseignement amĂ©ricain. L’équipe Tailored Access Operations (TAO), l’élite du hacking Ă  la NSA, devient son terrain de jeu.

Alors durant cinq ans, Charlie va apprendre les ficelles du mĂ©tier au plus haut niveau. Comment exploiter une faille de buffer overflow dans un systĂšme embarquĂ©. Comment contourner l’ASLR et le DEP. Comment dĂ©velopper des exploits fiables qui marchent Ă  tous les coups. Comment penser comme un attaquant tout en gardant l’objectif stratĂ©gique en tĂȘte.

La NSA, c’est l’école du hacking version hardcore, avec des moyens illimitĂ©s. Pas de place pour les amateurs ou les script kiddies. Chaque jour, il cĂŽtoie des gĂ©nies de la sĂ©curitĂ© qui chassent des espions chinois, russes et iraniens dans le cyberespace. Il participe Ă  des opĂ©rations dont il ne pourra jamais parler, dĂ©veloppe des outils qui resteront classifiĂ©s pendant des dĂ©cennies.

Mais en 2005, aprĂšs cinq ans dans les entrailles de Big Brother, Charlie en a marre. Le monde de l’espionnage, c’est excitant les premiers mois, mais ça devient vite frustrant. Tout ce que vous faites est classifiĂ© Top Secret/SCI. Vous ne pouvez jamais parler de vos exploits, mĂȘme Ă  votre femme et vos dĂ©couvertes restent enfermĂ©es dans des SCIFs (Sensitive Compartmented Information Facilities).

Vous trouvez une faille critique dans un systĂšme utilisĂ© par des millions de personnes ? Tant mieux, on va l’exploiter pour espionner, pas la corriger et pour quelqu’un de crĂ©atif comme Charlie, qui aime partager ses connaissances et voir l’impact concret de son travail, c’est Ă©touffant. “Je ne suis toujours pas en mesure de discuter des dĂ©tails de mon passage Ă  la NSA, Ă  part quelques vagues rĂ©fĂ©rences Ă  des cibles Ă©trangĂšres et Ă  la reconnaissance de rĂ©seaux informatiques.”, dira-t-il des annĂ©es plus tard, toujours liĂ© par son serment de confidentialitĂ©.

Il quitte alors la NSA et devient consultant principal en sĂ©curitĂ© chez Independent Security Evaluators (ISE), une petite boĂźte de Baltimore fondĂ©e par des anciens de la NSA. Enfin libre ! Il peut maintenant hacker lĂ©galement et publiquement. Fini les opĂ©rations secrĂštes, place Ă  la recherche en sĂ©curitĂ© au grand jour. ISE fait du pentest pour des grandes entreprises, mais encourage aussi ses employĂ©s Ă  faire de la recherche publique et c’est lĂ  que sa carriĂšre explose vraiment.

Le 29 juin 2007, Apple lance l’iPhone et c’est une rĂ©volution. Un ordinateur Unix complet dans votre poche, avec un Ă©cran tactile. Le monde entier est en Ă©moi et les files d’attente devant les Apple Store font le tour du monde. Charlie regarde ce bijou de technologie avec son Ɠil de hacker et se dit : “Je parie que je peux le casser.” Il achĂšte alors un iPhone le jour de la sortie (550 dollars quand mĂȘme !), rentre chez lui et se met au boulot.

Il commence par analyser le systĂšme, chercher des vecteurs d’attaque
 Safari Mobile semble prometteur
 et quelques semaines plus tard, bingo ! Il trouve une faille dans le parseur TIFF de Safari Mobile qui permet de prendre le contrĂŽle total de l’appareil via une image malveillante. Il devient officiellement le premier au monde Ă  hacker publiquement l’iPhone. Apple n’est pas content du tout mais Charlie s’en fout royalement. Il a trouvĂ© sa nouvelle vocation : casser les produits Apple pour les rendre plus sĂ»rs. Et il est douĂ©. TrĂšs, trĂšs douĂ©.

Mars 2008, Vancouver. C’est l’heure du Pwn2Own, le championnat du monde officieux du hacking. OrganisĂ© par la Zero Day Initiative pendant la confĂ©rence CanSecWest, c’est LE concours oĂč les meilleurs hackers de la planĂšte viennent montrer leur talent. Les rĂšgles sont simples mais brutales : le premier qui rĂ©ussit Ă  compromettre complĂštement une machine via une vulnĂ©rabilitĂ© zero-day gagne le cash et la machine. Cette annĂ©e-lĂ , la cible star, c’est le MacBook Air qu’Apple vient de sortir deux mois plus tĂŽt. Ultra-fin (1,94 cm le plus Ă©pais !), ultra-cher (1 799 dollars en version de base), ultra-sĂ©curisĂ© selon la Pomme. Souvenez-vous, Steve Jobs l’a prĂ©sentĂ© en le sortant d’une enveloppe en papier kraft. Encore un coup de gĂ©nie marketing.

L’arĂšne du Pwn2Own oĂč les meilleurs hackers s’affrontent pour casser les systĂšmes les plus sĂ©curisĂ©s

Charlie arrive tranquille, en jean et t-shirt, son laptop sous le bras. Il a passĂ© des semaines Ă  prĂ©parer son attaque en secret. Il a trouvĂ© une faille dans la bibliothĂšque PCRE (Perl Compatible Regular Expressions) utilisĂ©e par Safari. Il s’agit d’une faille dans le traitement des expressions rĂ©guliĂšres qui Ă©tait publique depuis fĂ©vrier 2007 mais qu’Apple n’avait toujours pas corrigĂ©e un an plus tard. NĂ©gligence ou incompĂ©tence ? Peu importe, c’est du pain bĂ©ni pour Charlie et pour cela, il a dĂ©veloppĂ© un exploit ultra-fiable qui contourne toutes les protections : ASLR, sandboxing, tout y passe.

Le jour J arrive enfin. La salle est bondĂ©e. Des journalistes, des chercheurs en sĂ©curitĂ©, des reprĂ©sentants des vendeurs
 Tout le monde retient son souffle. Charlie s’assoit devant le MacBook Air flambant neuf. Il lance Safari, tape l’URL de son serveur malveillant. La page se charge. Elle contient juste une ligne de texte : “PWNED”. Deux minutes chrono. Le MacBook Air est compromis. Charlie a un shell root et peut faire ce qu’il veut de la machine. Il lance Calculator.app pour prouver l’exĂ©cution de code. Game over. 10 000 dollars dans la poche et un MacBook Air gratuit. Une foule de geeks l’acclame, les flashs crĂ©pitent. Charlie Miller vient d’entrer dans la lĂ©gende du hacking.

Mais Charlie reste modeste. “L’attaque a durĂ© deux minutes, mais la recherche a pris beaucoup plus de temps.”, prĂ©cisera-t-il plus tard. “J’ai passĂ© de nombreux jours Ă  faire des recherches et Ă  rĂ©diger l’exploit avant le jour de la compĂ©tition. C’est comme quand les gens regardent un match : ils voient le rĂ©sultat, mais ils ne voient pas toutes les annĂ©es d’entraĂźnement...” C’est ça, le vrai hacking : 99% de prĂ©paration minutieuse, 1% d’exĂ©cution spectaculaire. Les mĂ©dias ne montrent Ă©videmment que la partie visible de l’iceberg.

L’annĂ©e suivante, en 2009, rebelote. Charlie revient Ă  Pwn2Own et dĂ©fonce Safari sur Mac OS X 10.5.6 en quelques secondes cette fois. 5 000 dollars de plus (le prix a baissĂ©, la crise est passĂ©e par lĂ ). La faille ? Un bug dans le parseur de polices de Safari. Puis en 2010, il rĂ©cidive encore, exploitant cette fois une vulnĂ©rabilitĂ© dans le traitement des PDF. 10 000 dollars cette fois. Trois victoires d’affilĂ©e sur Mac. Du jamais vu dans l’histoire du concours. MĂȘme les organisateurs commencent Ă  se demander s’il ne faudrait pas crĂ©er une catĂ©gorie “Charlie Miller” Ă  part. Les mĂ©dias le surnomment le “serial killer d’Apple”, le “cauchemar de Cupertino”.

Mais Charlie commence Ă  en avoir sĂ©rieusement marre de ce petit jeu. Chaque annĂ©e, il trouve des failles critiques, Apple les corrige (souvent aprĂšs des mois de retard), et l’annĂ©e suivante il en trouve d’autres. C’est un cycle sans fin qui n’amĂ©liore pas vraiment la sĂ©curitĂ© fondamentale des produits. C’est du colmatage, pas de l’architecture sĂ©curisĂ©e. Alors en 2010, aprĂšs sa troisiĂšme victoire consĂ©cutive, il lance sa campagne provocatrice “NO MORE FREE BUGS” avec Dino Dai Zovi et Alex Sotirov.

“Les vulnĂ©rabilitĂ©s ont une valeur marchande, il est donc absurde de travailler dur pour trouver un bug, Ă©crire un exploit et ensuite le donner gratuitement.”, dĂ©clare-t-il lors d’une confĂ©rence de presse improvisĂ©e. Et il a totalement raison. Sur le marchĂ© gris et noir, une faille iOS zero-day peut se vendre entre 100 000 et 2 millions de dollars selon sa criticitĂ©. Des sociĂ©tĂ©s comme Zerodium ou Azimuth Security sont prĂȘtes Ă  payer des fortunes et les agences de renseignement aussi.

Alors pourquoi donner gratuitement ces failles Ă  Apple qui fait des dizaines de milliards de bĂ©nĂ©fices par trimestre et traite les chercheurs en sĂ©curitĂ© comme des emmerdeurs ? La communautĂ© est divisĂ©e. Certains l’accusent de mercantilisme, d’autres applaudissent son pragmatisme.

Mais le coup le plus spectaculaire et audacieux de Charlie contre Apple, c’est en 2011 quand il dĂ©couvre une faille architecturale majeure dans iOS. Pour accĂ©lĂ©rer JavaScript dans Safari Mobile, Apple a créé une exception dans sa politique de signature de code, permettant au navigateur d’exĂ©cuter du code non signĂ© avec des privilĂšges Ă©levĂ©s. Charlie rĂ©alise qu’il peut exploiter cette exception depuis n’importe quelle app et pour le dĂ©montrer de maniĂšre spectaculaire, il crĂ©e une application appelĂ©e InstaStock. En apparence, c’est une app banale qui affiche des cours de bourse en temps rĂ©el. Interface minimaliste, fonctionnalitĂ©s basiques. Le genre d’app qu’Apple valide sans mĂȘme regarder. Et c’est exactement ce qui se passe : Apple l’approuve et la publie sur l’App Store en septembre 2011.

Sauf qu’InstaStock cache un terrible secret. Une backdoor sophistiquĂ©e. Une fois installĂ©e, l’app se connecte discrĂštement Ă  un serveur C&C (Command & Control) chez Charlie, dans son sous-sol Ă  St. Louis. De lĂ , il peut tĂ©lĂ©charger et exĂ©cuter n’importe quel code arbitraire sur l’iPhone, contournant complĂštement le sandboxing iOS. Lire tous les contacts, activer le micro pour Ă©couter les conversations, prendre des photos avec la camĂ©ra, tracker la position GPS, voler les mots de passe du trousseau
 Apple a validĂ© un cheval de Troie militarisĂ©. Le loup est dans la bergerie.

Charlie attend patiemment. Septembre passe, octobre aussi
 Et Apple ne remarque absolument rien. Des milliers d’utilisateurs tĂ©lĂ©chargent InstaStock puis en novembre, aprĂšs deux mois d’attente, il en a marre de ce silence assourdissant. Il dĂ©cide de forcer la main d’Apple et poste une vidĂ©o sur YouTube oĂč il montre comment il contrĂŽle un iPhone Ă  distance via son app. On le voit taper des commandes sur son laptop, et l’iPhone Ă  cĂŽtĂ© rĂ©agit instantanĂ©ment : lecture des SMS, activation du vibreur, accĂšs aux photos
 C’est la dĂ©monstration ultime que l’App Store n’est pas le jardin clos sĂ©curisĂ© qu’Apple prĂ©tend. Il prĂ©vient aussi Andy Greenberg de Forbes (le journaliste qui avait couvert ses exploits prĂ©cĂ©dents) qui Ă©crit alors un article explosif : “iPhone Hacker Charlie Miller Reveals His Apple App Store Spyware”.

La rĂ©action d’Apple est immĂ©diate, brutale et sans appel. Quelques heures seulement aprĂšs la publication de l’article de Forbes, Charlie reçoit un email glacial du Developer Relations d’Apple : “La prĂ©sente lettre constitue une notification de rĂ©siliation du Contrat de licence du programme pour dĂ©veloppeurs iOS entre vous et Apple, avec effet immĂ©diat. Vous ne pourrez plus soumettre de nouvelles applications ou mises Ă  jour Ă  l’App Store.”

Banni. VirĂ©. BlacklistĂ©. Persona non grata. Apple vient de kicker celui qui les a aidĂ©s Ă  corriger des dizaines de failles critiques au fil des ans. L’ironie est mordante.

“Je suis en colĂšre. Je leur signale tout le temps des bogues. Le fait de faire partie du programme des dĂ©veloppeurs m’aide Ă  le faire. Ils se font du mal Ă  eux-mĂȘmes et me rendent la vie plus difficile”, rage Charlie dans une sĂ©rie de tweets vengeurs. Mais Apple s’en contrefiche. Pour eux, Miller a franchi la ligne rouge en publiant dĂ©libĂ©rĂ©ment une app malveillante et en l’exploitant publiquement. C’est une violation flagrante des conditions d’utilisation, peu importe qu’il l’ait fait pour dĂ©montrer une faille de sĂ©curitĂ© critique.

La communautĂ© de la sĂ©curitĂ© est outrĂ©e. Comment Apple peut-il bannir quelqu’un qui les aide gratuitement Ă  sĂ©curiser leurs produits ? Mais Cupertino reste inflexible. Charlie Miller est dĂ©sormais persona non grata dans l’écosystĂšme iOS.

Logo Apple

Apple a banni Charlie Miller de son programme dĂ©veloppeur aprĂšs l’incident InstaStock

Mais malgrĂ© cela, Charlie ne chĂŽme pas. Avec Collin Mulliner, un chercheur allemand spĂ©cialisĂ© dans la sĂ©curitĂ© mobile qu’il a rencontrĂ© aux confĂ©rences, il s’attaque Ă  un nouveau dĂ©fi titanesque : la sĂ©curitĂ© des SMS sur iPhone. Les SMS, c’est le talon d’Achille de tous les tĂ©lĂ©phones. Un protocole ancien, mal sĂ©curisĂ©, qui traite des donnĂ©es non fiables venant du rĂ©seau.

Le duo dĂ©veloppe alors un outil de fuzzing sophistiquĂ© capable de bombarder les tĂ©lĂ©phones de centaines de milliers de SMS malformĂ©s pour trouver des crashs exploitables. L’outil, qu’ils baptisent “SMS Fuzzer”, s’insĂšre entre le processeur et le modem du tĂ©lĂ©phone, simulant la rĂ©ception de SMS sans avoir Ă  les envoyer rĂ©ellement sur le rĂ©seau (ce qui coĂ»terait une fortune et alerterait les opĂ©rateurs).

AprĂšs des mois de fuzzing intensif, bingo ! Ils dĂ©couvrent une faille absolument terrifiante dans l’iPhone. Un bug dans le dĂ©codage des SMS PDU (Protocol Data Unit) qui provoque une corruption mĂ©moire exploitable. Le bug est dans CommCenter, le daemon qui gĂšre toutes les communications de l’iPhone. Game over une nouvelle fois pour Apple.

Et le potentiel est cauchemardesque puisqu’en envoyant une sĂ©rie de 512 SMS spĂ©cialement forgĂ© (dont un seul apparaĂźt Ă  l’écran sous forme d’un simple carrĂ©), ils peuvent prendre le contrĂŽle total de n’importe quel iPhone Ă  distance. Pas besoin que la victime clique sur quoi que ce soit. Pas besoin qu’elle ouvre le message. Il suffit que son tĂ©lĂ©phone reçoive les SMS. C’est l’attaque parfaite : invisible, indĂ©tectable, imparable. Un vĂ©ritable missile guidĂ© numĂ©rique.

“Les SMS constituent un incroyable vecteur d’attaque pour les tĂ©lĂ©phones mobiles. Tout ce dont j’ai besoin, c’est de votre numĂ©ro de tĂ©lĂ©phone. Je n’ai pas besoin que vous cliquiez sur un lien, que vous visitiez un site web ou que vous fassiez quoi que ce soit.”, explique Charlie. C’est le hack ultime : totalement passif pour la victime, totalement actif pour l’attaquant. Avec cette faille, on peut espionner n’importe qui sur la planĂšte du moment qu’on a son numĂ©ro. Chefs d’État, PDG, journalistes, activistes
 Personne n’est Ă  l’abri.

Juillet 2009, Las Vegas. Black Hat, la plus grande confĂ©rence de sĂ©curitĂ© au monde. Le Mandalay Bay Convention Center grouille de hackers, de fĂ©dĂ©raux et de vendeurs de solutions de sĂ©curitĂ©. Charlie et Collin montent sur la scĂšne principale pour prĂ©senter leur dĂ©couverte. Il y a 3000 personnes dans la salle. “Fuzzing the Phone in Your Pocket”, annonce le titre sobre de leur prĂ©sentation. Dans le public, Elinor Mills, une journaliste respectĂ©e de CNET, sert courageusement de cobaye. Elle a donnĂ© son numĂ©ro de tĂ©lĂ©phone et attend, iPhone 3GS Ă  la main.

Black Hat, oĂč Charlie et Collin ont dĂ©montrĂ© le hack SMS dĂ©vastateur de l’iPhone

Charlie lance alors l’attaque depuis son laptop. 512 SMS partent vers le tĂ©lĂ©phone d’Elinor. Sur scĂšne, un Ă©cran gĂ©ant montre les logs en temps rĂ©el. Le public voit les paquets partir, le rĂ©seau les acheminer. Soudain, l’iPhone d’Elinor se fige. L’écran devient noir. Puis il redĂ©marre. Quand il revient Ă  la vie, Charlie a le contrĂŽle total. Il fait vibrer le tĂ©lĂ©phone Ă  distance. Ouvre l’appareil photo. Lit les contacts. La salle est mĂ©dusĂ©e. Certains filment avec leur propre iPhone, rĂ©alisant soudain la vulnĂ©rabilitĂ© de leur appareil.

“Un instant, je parle Ă  Miller et l’instant d’aprĂšs, mon tĂ©lĂ©phone est mort.”, raconte Mills, encore sous le choc. “Ensuite, il se rallume mais je ne peux pas passer d’appels. Il est complĂštement sous leur contrĂŽle. C’était terrifiant.”

La dĂ©mo est un triomphe total. Le public est en standing ovation. Twitter s’enflamme. La nouvelle fait le tour du monde en quelques heures et Apple, qui avait Ă©tĂ© prĂ©venu un mois plus tĂŽt mais n’avait rien fait (classique), se rĂ©veille enfin. Le lendemain matin, coup de théùtre : Apple sort iOS 3.0.1 en urgence absolue qui corrige la faille. Un patch d’urgence un samedi matin, du jamais vu chez Apple. La pression mĂ©diatique a payĂ©.

Cette histoire SMS est typique de l’approche Charlie Miller. Il ne se contente pas de trouver des bugs mineurs. Il trouve des bugs critiques, architecturaux, qui remettent en question la sĂ©curitĂ© fondamentale des systĂšmes. Il dĂ©montre leur dangerositĂ© de maniĂšre spectaculaire et indĂ©niable et il force les vendeurs Ă  rĂ©agir en rendant ses recherches publiques. C’est du “responsible disclosure” version commando : on prĂ©vient discrĂštement, mais si rien ne bouge, on sort l’artillerie lourde.

En 2012, Twitter cherche dĂ©sespĂ©rĂ©ment Ă  renforcer sa sĂ©curitĂ©. La plateforme a Ă©tĂ© hackĂ©e plusieurs fois, des comptes de cĂ©lĂ©britĂ©s compromis, des donnĂ©es volĂ©es. Ils ont besoin du meilleur. Dick Costolo, le CEO, donne alors carte blanche pour recruter. Ils appellent Charlie. L’ironie est dĂ©licieuse : banni par Apple pour avoir trop bien fait son travail, il est recrutĂ© par Twitter pour exactement les mĂȘmes raisons. Charlie rejoint donc l’équipe de sĂ©curitĂ© produit comme chercheur principal et pentester. Son boulot : casser Twitter avant que les mĂ©chants ne le fassent. Trouver les failles, dĂ©velopper les exploits, proposer les corrections.

Logo Twitter

Twitter a recrutĂ© Charlie Miller aprĂšs qu’Apple l’ait banni

Pendant trois ans, Charlie va bosser dans les bureaux de Twitter Ă  San Francisco, au cƓur de SoMa. Il trouve des dizaines de vulnĂ©rabilitĂ©s critiques, amĂ©liore l’architecture de sĂ©curitĂ©, forme les dĂ©veloppeurs. Mais en 2015, un nouveau dĂ©fi titanesque l’attend. Un dĂ©fi qui va rĂ©volutionner non pas l’industrie tech, mais l’industrie automobile et changer Ă  jamais notre perception de la sĂ©curitĂ© des voitures modernes.

Charlie rencontre Chris Valasek Ă  une confĂ©rence de sĂ©curitĂ©. Chris, c’est son alter ego. Un autre gĂ©nie de la sĂ©curitĂ©, spĂ©cialisĂ© dans les systĂšmes embarquĂ©s et l’IoT. Directeur de recherche chez IOActive, il a le mĂȘme Ă©tat d’esprit que Charlie : casser les trucs pour les rendre plus sĂ»rs. Les deux compĂšres se dĂ©couvrent une passion commune complĂštement folle : et si on hackait des voitures ? Pas des vieilles caisses avec des systĂšmes simples, non, non, des voitures modernes, connectĂ©es, bourrĂ©es d’électronique et d’ordinateurs. Des data centers sur roues.

Ils commencent alors modestement en 2013. Avec une bourse de 80 000 dollars de la DARPA (l’agence de recherche du Pentagone), ils s’attaquent Ă  une Ford Escape et une Toyota Prius de 2010. Ils achĂštent les voitures d’occasion, les dĂ©montent, analysent les systĂšmes. Avec des cĂąbles OBD-II branchĂ©s directement sur le bus CAN (Controller Area Network), le rĂ©seau qui connecte tous les calculateurs de la voiture, ils arrivent Ă  tout contrĂŽler : direction, freins, accĂ©lĂ©ration, tableau de bord
 C’est flippant, mais il faut ĂȘtre physiquement dans la voiture avec un laptop et des cĂąbles partout. Pas trĂšs pratique pour une attaque rĂ©elle. Leur paper “Adventures in Automotive Networks and Control Units” fait sensation Ă  DEF CON, mais l’industrie automobile balaie leurs inquiĂ©tudes d’un revers de main. “Il faut un accĂšs physique, ce n’est pas rĂ©aliste”, disent les constructeurs.

Charlie et Chris veulent alors aller plus loin. Beaucoup plus loin. Ils veulent prouver qu’on peut hacker une voiture Ă  distance, sans fil, comme dans les films. Une attaque vraiment dangereuse. Ils passent des mois Ă  Ă©tudier les voitures connectĂ©es du marchĂ© et leur choix se porte sur la Jeep Cherokee de 2014. Pourquoi ? Parce qu’elle a Uconnect, un systĂšme d’infodivertissement ultra-moderne connectĂ© Ă  Internet via le rĂ©seau cellulaire Sprint. GPS, streaming audio, hotspot Wi-Fi, diagnostics Ă  distance
 Bref, une voiture avec une adresse IP publique. Le rĂȘve absolu de tout hacker. Ou le cauchemar de tout conducteur, selon le point de vue.

La Jeep Cherokee 2014, premiÚre voiture hackée à distance par Miller et Valasek

Pendant des mois, dans le garage de Chris, Charlie et lui dissĂšquent mĂ©thodiquement le systĂšme Uconnect. Ils dumpent le firmware, analysent les binaires, tracent les communications rĂ©seau. C’est un travail de titan car le systĂšme est complexe, avec plusieurs processeurs, des OS diffĂ©rents (QNX pour l’unitĂ© principale, ThreadX pour le modem), des protocoles propriĂ©taires. Mais petit Ă  petit, ils remontent la chaĂźne. Ils trouvent des ports ouverts (6667, 4321, 51966), des services mal configurĂ©s, des mots de passe par dĂ©faut, l’absence de signature sur les mises Ă  jour firmware. Une vraie passoire. Harman, le fabricant du systĂšme, a fait du beau hardware mais a complĂštement nĂ©gligĂ© la sĂ©curitĂ© logicielle.

D’abord, ils obtiennent l’accĂšs au systĂšme d’infodivertissement et de lĂ , ils dĂ©couvrent qu’ils peuvent reflasher le firmware du chip V850 qui fait le pont avec le bus CAN. Une fois ce firmware modifiĂ©, ils ont accĂšs en Ă©criture au bus CAN de la voiture. Game over ! Ils peuvent envoyer n’importe quelle commande CAN, se faisant passer pour n’importe quel calculateur. Cela veut dire que si le calculateur de frein pense recevoir des ordres du calculateur central, et bien il obĂ©it aveuglĂ©ment. Pas d’authentification, pas de chiffrement, rien. Les voitures sont conçues en supposant que le bus CAN est de confiance. Grosse erreur !!

ÉtĂ© 2015. AprĂšs presque deux ans de recherche, ils sont enfin prĂȘts pour la dĂ©mo de leur vie. Ils contactent Andy Greenberg de Wired (oui, encore lui, c’est devenu leur journaliste attitrĂ©) et leur plan est simple mais terrifiant : Greenberg conduira une Jeep Cherokee sur l’autoroute pendant que Charlie et Chris la hackeront depuis le canapĂ© de Charlie, Ă  10 miles de distance. Une attaque 100% remote, sans aucun accĂšs physique prĂ©alable Ă  la voiture. Du jamais vu.

Le jour J, Greenberg prend le volant. Il est nerveux, et on le comprend. Il roule sur l’Interstate 64 prĂšs de St. Louis, une autoroute Ă  4 voies oĂč les camions foncent Ă  70 mph. Charlie et Chris sont dans le sous-sol de Charlie, devant leurs laptops. Ils se connectent Ă  la Jeep via le rĂ©seau Sprint. D’abord, ils s’amusent. La clim se met Ă  fond. La radio passe du hip-hop de Skee-lo Ă  volume maximum. Les essuie-glaces s’activent, aspergeant le pare-brise de liquide lave-glace. Greenberg garde son calme. Il sait que c’est Charlie et Chris. Pour l’instant, c’est juste agaçant, pas dangereux.

Puis ça devient trĂšs, trĂšs sĂ©rieux. Sans prĂ©venir, le moteur coupe. En pleine autoroute. À 70 mph. Greenberg appuie sur l’accĂ©lĂ©rateur. Rien. La Jeep de 2 tonnes commence Ă  ralentir rapidement. Dans le rĂ©troviseur, il voit un semi-remorque Mack qui arrive Ă  toute vitesse. La panique monte. Il sue Ă  grosses gouttes. Les mains crispĂ©es sur le volant, il se dĂ©porte sur la voie de droite, Ă©vitant de justesse de se faire emboutir. La Jeep continue de ralentir. 60 mph, 50, 40
 Les voitures le doublent en klaxonnant furieusement. Certains conducteurs lui font des doigts d’honneur, pensant qu’il est saoul ou qu’il textote.

“Je vais m’arrĂȘter !”, crie Greenberg dans son tĂ©lĂ©phone. “NON ! NON ! Continue de conduire !”, rĂ©pondent Charlie et Chris. Ils veulent que la dĂ©mo soit rĂ©aliste. Pas de complaisance. Finalement, aprĂšs 30 secondes d’angoisse pure (qui ont dĂ» paraĂźtre des heures), ils relancent le moteur. Greenberg peut Ă  nouveau accĂ©lĂ©rer. Il tremble encore. “J’ai besoin d’une biĂšre”, dira-t-il plus tard. On le comprend.

Mais Charlie et Chris ne sont pas sadiques. “Nous aurions pu ĂȘtre beaucoup plus mĂ©chants.”, confiera Charlie plus tard avec son sourire malicieux. “Nous aurions pu tourner le volant ou dĂ©sactiver les freins Ă  110 km/h. Mais nous n’essayons pas de tuer quelqu’un, nous voulons juste prouver quelque chose.” Et quel preuve ! Ils viennent de dĂ©montrer qu’on peut assassiner quelqu’un Ă  distance via Internet. Plus besoin de scier les cĂąbles de frein ou de trafiquer la direction. Une connexion 3G suffit.

L’article de Wired, publiĂ© le 21 juillet 2015, fait alors l’effet d’une bombe atomique dans l’industrie automobile. “Hackers Remotely Kill a Jeep on the Highway - With Me in It”. Les mĂ©dias du monde entier reprennent l’histoire. CNN, BBC, Fox News, Le Monde, Der Spiegel
 Charlie et Chris sont partout. Les images de la Jeep incontrĂŽlable sur l’autoroute font le tour du monde, et Ă©videmment, les actions de Fiat Chrysler chutent. Les politiques s’en mĂȘlent Ă©galement. Les sĂ©nateurs Ed Markey et Richard Blumenthal dĂ©posent un projet de loi sur la cybersĂ©curitĂ© automobile. Bref, c’est la panique totale Ă  Detroit.

Wired Magazine a publiĂ© l’article explosif sur le hack de la Jeep qui a changĂ© l’industrie

Fiat Chrysler rĂ©agit en mode crise absolue. Le 24 juillet 2015, trois jours aprĂšs l’article, ils annoncent le rappel immĂ©diat de 1,4 million de vĂ©hicules. 1,4 MILLION ! C’est le premier rappel de masse de l’histoire automobile pour un problĂšme de cybersĂ©curitĂ©. Pas de piĂšce dĂ©fectueuse, pas de problĂšme mĂ©canique. Juste du code buguĂ©. Ils envoient des clĂ©s USB Ă  tous les propriĂ©taires pour patcher le systĂšme Uconnect. Ils coupent aussi l’accĂšs Sprint aux ports vulnĂ©rables cĂŽtĂ© rĂ©seau. Le coĂ»t total ? Plus de 500 millions de dollars entre le rappel, les patchs, les amendes et les procĂšs. Sans compter les dĂ©gĂąts Ă  leur rĂ©putation.

“C’est la premiĂšre fois qu’un produit fabriquĂ© en sĂ©rie fait l’objet d’un rappel physique en raison d’un problĂšme de sĂ©curitĂ© logiciel.”, note Charlie avec une pointe de fiertĂ©. Il a raison. C’est historique. Un moment charniĂšre dans l’industrie automobile, qui se croyait Ă  l’abri dans son monde de mĂ©canique et d’ingĂ©nierie traditionnelle, et qui vient de rĂ©aliser brutalement qu’elle fait maintenant partie du monde numĂ©rique. Les voitures ne sont plus des objets mĂ©caniques avec un peu d’électronique. Ce sont des ordinateurs sur roues, avec tous les risques que cela implique. Et comme tous les ordinateurs, elles peuvent ĂȘtre hackĂ©es. Par des ados dans leur chambre. Par des criminels. Par des services de renseignement. Par des terroristes.

La NHTSA (National Highway Traffic Safety Administration) inflige alors une amende record de 105 millions de dollars Ă  Fiat Chrysler pour avoir mis en danger la vie des conducteurs. C’est d’ailleurs la plus grosse amende de l’histoire de l’agence et le message est clair : la cybersĂ©curitĂ© automobile n’est plus optionnelle. C’est une question de vie ou de mort. LittĂ©ralement.

L’avis de rappel historique de 1,4 million de vĂ©hicules suite au hack de Miller et Valasek

Charlie et Chris deviennent instantanĂ©ment les rock stars de la cybersĂ©curitĂ© automobile. Tout le monde veut les recruter. Les constructeurs, terrifiĂ©s, rĂ©alisent qu’ils ont besoin de vrais experts en sĂ©curitĂ©, pas juste des ingĂ©nieurs qui bricolent. Alors en aoĂ»t 2015, un mois aprĂšs le hack de la Jeep, Uber les embauche tous les deux. La boĂźte de VTC mise gros sur les voitures autonomes avec son programme Advanced Technologies Group Ă  Pittsburgh et ils ont besoin des meilleurs pour sĂ©curiser leur future flotte de robotaxis. Alors qui de mieux que les deux mecs qui ont rĂ©veillĂ© toute l’industrie ?

Chez Uber, Charlie et Chris deviennent les architectes de la sĂ©curitĂ© des vĂ©hicules autonomes. Un dĂ©fi colossal car si hacker une Jeep Cherokee est dangereux, imaginez hacker une flotte entiĂšre de voitures sans conducteur. C’est Terminator puissance 1000. Ils mettent en place des processus de sĂ©curitĂ© drastiques : revue de code systĂ©matique, tests d’intrusion continus, architecture sĂ©curisĂ©e by design, chiffrement de bout en bout, authentification mutuelle entre composants
 Fini l’amateurisme de l’industrie automobile traditionnelle.

Mais le duo mythique ne reste pas longtemps ensemble. En mars 2017, aprĂšs 18 mois chez Uber, Charlie reçoit une offre impossible Ă  refuser. Didi Chuxing, le “Uber chinois” qui a rachetĂ© les opĂ©rations d’Uber en Chine, veut crĂ©er un lab de sĂ©curitĂ© automobile aux États-Unis et ils lui proposent de le diriger, avec un salaire mirobolant et une Ă©quipe Ă  rassembler. Charlie accepte et pour la premiĂšre fois depuis le hack de la Jeep, les deux compĂšres sont sĂ©parĂ©s. Chris, lui, reste chez Uber comme responsable de la sĂ©curitĂ© vĂ©hicule.

Malheureusement, l’aventure Didi est courte. TrĂšs courte. Quatre mois seulement pour que Charlie rĂ©alise vite que bosser pour une boĂźte chinoise depuis la Californie, c’est mission impossible. Les diffĂ©rences culturelles sont Ă©normes sans parler des rĂ©unions Ă  2h du matin pour s’aligner avec Beijing ou encore de la barriĂšre de la langue (Charlie ne parle pas mandarin). Et surtout, les objectifs business sont flous. C’est une bureaucratie kafkaĂŻenne alors en juillet 2017, il jette l’éponge. “Ce fut une expĂ©rience intĂ©ressante, mais qui ne me convenait finalement pas.”, dira-t-il diplomatiquement. Traduction : c’était l’enfer.

Mais Chris a un plan. Pendant que Charlie galĂ©rait chez Didi, il a nĂ©gociĂ© en secret avec Cruise Automation, la filiale de General Motors spĂ©cialisĂ©e dans les voitures autonomes. RachetĂ©e pour plus d’un milliard de dollars en 2016, Cruise est le concurrent direct de Waymo (Google) et d’Uber dans la course aux robotaxis. Ils veulent construire l’équipe de sĂ©curitĂ© la plus solide du secteur alorrs Chris leur dit : “Je viens, mais seulement si vous prenez Charlie aussi.” Deal. Et en juillet 2017, juste aprĂšs que Charlie ait quittĂ© Didi, ils annoncent rejoindre Cruise ensemble. Les “Jeep hackers” sont rĂ©unis. L’équipe de choc est reformĂ©e.

Chez Cruise, Charlie devient alors Principal Autonomous Vehicle Security Architect, et Chris Team Lead of Security et leur mission est de s’assurer que personne ne puisse faire aux voitures autonomes de GM ce qu’ils ont fait Ă  la Jeep Cherokee. C’est un dĂ©fi titanesque puisqu’un voiture autonome Cruise, c’est +40 calculateurs, des millions de lignes de code, des dizaines de capteurs (LiDAR, camĂ©ras, radars, ultrasons), des connexions permanentes au cloud pour les mises Ă  jour et la tĂ©lĂ©mĂ©trie, de l’IA qui prend des dĂ©cisions critiques 10 fois par seconde. Chaque composant est une porte d’entrĂ©e potentielle et chaque ligne de code est une vulnĂ©rabilitĂ© possible.

“Une fois que j’ai Ă©crit un exploit capable de contrĂŽler une automobile, j’ai compris que les choses devenaient sĂ©rieuses”, confie Charlie dans une rare interview. “Il ne s’agit plus de voler des cartes de crĂ©dit ou de dĂ©facer des sites web. Il s’agit de missiles de deux tonnes qui se dĂ©placent tout seuls dans les villes.”

Et il a raison d’ĂȘtre inquiet car si quelqu’un hacke une flotte de robotaxis, c’est potentiellement un massacre. Imaginez 100 voitures autonomes qui accĂ©lĂšrent en mĂȘme temps dans une foule. C’est le scĂ©nario cauchemardesque que Charlie et Chris doivent empĂȘcher.

Le travail chez Cruise est fascinant mais ultra-confidentiel et Charlie ne peut plus faire de dĂ©mos spectaculaires ou publier ses recherches. Il est redevenu, d’une certaine maniĂšre, l’agent secret qu’il Ă©tait Ă  la NSA. La diffĂ©rence ? Cette fois, il protĂšge des vies humaines directement alors chaque faille qu’il trouve et corrige, c’est potentiellement un accident Ă©vitĂ©, des morts empĂȘchĂ©es.

Le Cruise Origin, vĂ©hicule autonome sans volant ni pĂ©dales, sĂ©curisĂ© par l’équipe de Charlie Miller

Aujourd’hui, fin 2025, Charlie Miller continue de bosser chez Cruise. À 52 ans, il est une lĂ©gende vivante de la cybersĂ©curitĂ©. Le gamin solitaire d’Affton qui avait perdu sa mĂšre trop tĂŽt est devenu l’un des hackers les plus respectĂ©s et influents de la planĂšte. Pas Ă©tonnant quand on voit son palmarĂšs absolument hallucinant. Premier Ă  hacker publiquement l’iPhone (2007). Premier Ă  hacker Android - il a dĂ©foncĂ© le T-Mobile G1 le jour mĂȘme de sa sortie (2008). Quatre fois champion de Pwn2Own (2008, 2009, 2010, 2011) - un record encore inĂ©galĂ©. Des dizaines de failles critiques dĂ©couvertes dans Safari, iOS, Mac OS X. Le hack SMS de l’iPhone qui a forcĂ© Apple Ă  patcher en urgence (2009). L’affaire InstaStock qui lui a valu son bannissement d’Apple (2011). Et bien sĂ»r, LE hack de la Jeep Cherokee (2015) qui a changĂ© pour toujours l’industrie automobile et créé le domaine de la cybersĂ©curitĂ© automobile. Sans oublier ses contributions continues Ă  la sĂ©curitĂ© de Twitter, Uber, Didi et maintenant Cruise.

Mais ce qui frappe le plus chez Charlie, au-delĂ  de ses exploits techniques, c’est sa philosophie. Il ne hacke pas pour la gloire, l’argent ou le chaos (mĂȘme s’il ne crache pas sur les 10 000 dollars de Pwn2Own). Il hacke pour rendre le monde numĂ©rique plus sĂ»r car chaque faille qu’il trouve et rapporte, c’est une faille que les vrais mĂ©chants (criminels, espions, terroristes
) ne pourront pas exploiter. Charlie est un white hat dans l’ñme.

“J’ai essentiellement appris sur le tas, ce qui est une excellente façon de faire si vous le pouvez”, dit-il de ses dĂ©buts Ă  la NSA. Cette humilitĂ©, c’est sa marque de fabrique car malgrĂ© son CV stratosphĂ©rique, Charlie reste accessible, drĂŽle, humble. Sur Twitter (@0xcharlie), il partage ses rĂ©flexions sur la sĂ©curitĂ©, plaisante avec la communautĂ©, donne des conseils aux jeunes hackers. Pas de condescendance, pas d’élitisme.

@0xcharlie reste actif sur les réseaux sociaux pour partager ses connaissances avec la communauté

L’histoire de Charlie Miller, c’est aussi l’histoire de l’évolution du hacking et de la cybersĂ©curitĂ©. Dans les annĂ©es 2000, c’était encore un truc de geeks dans leur garage, un hobby pour Ă©tudiants en informatique et aujourd’hui, c’est un enjeu de sĂ©curitĂ© nationale, un secteur qui pĂšse des milliards, une arme de guerre. Les voitures, les tĂ©lĂ©phones, les infrastructures critiques, les implants mĂ©dicaux, les centrales nuclĂ©aires
 tout est connectĂ©, tout est hackable. Le monde physique et le monde numĂ©rique ont fusionnĂ©, avec toutes les opportunitĂ©s et tous les dangers que cela implique.

Et Charlie a Ă©tĂ© pionnier dans cette transformation. Il a montrĂ© que le hacking n’était pas qu’une affaire de serveurs web et de bases de donnĂ©es SQL. Il a prouvĂ© qu’on pouvait hacker des objets du quotidien (tĂ©lĂ©phones, voitures
etc) avec des consĂ©quences potentiellement mortelles. Il a aussi forcĂ© des industries entiĂšres Ă  repenser leur approche de la sĂ©curitĂ©. Avant lui, Apple pensait que l’obscuritĂ© Ă©tait une dĂ©fense suffisante. Avant lui, l’industrie automobile pensait que le bus CAN Ă©tait un dĂ©tail technique interne sans importance.

Il leur a prouvĂ© qu’ils avaient tort. Brutalement.

Bref, la prochaine fois que vous dĂ©verrouillez votre iPhone d’un glissement de doigt, que vous montez dans votre voiture connectĂ©e, ou que vous installez une mise Ă  jour de sĂ©curitĂ© critique, pensez Ă  Charlie Miller.

Et si vous croisez une Jeep Cherokee sur l’autoroute, gardez vos distances, on ne sait jamais
 Charlie et Chris ont peut-ĂȘtre gardĂ© quelques exploits dans leur manche, aprĂšs tout, les meilleurs hackers ne rĂ©vĂšlent jamais tous leurs secrets. 😉

Sources : Wikipedia - Charlie Miller, Wired - Hackers Remotely Kill a Jeep on the Highway, St. Louis Magazine - A Hacker’s Life, InfoSecurity Magazine - Interview Charlie Miller, Network World - Apple bans Charlie Miller, Kaspersky - Jeep Cherokee hack explained, CNBC - Miller and Valasek join Cruise, TechCrunch - Miller and Valasek at TC Sessions 2022

UnMarker - L'outil qui ridiculise les watermarks des images IA

Par : Korben
27 juillet 2025 Ă  00:50

Des chercheurs de l’UniversitĂ© de Waterloo ont créé UnMarker, un outil qui efface les watermarks des images IA comme si c’était du Tipp-Ex numĂ©rique. Et ça marche sur absolument tous les systĂšmes de watermarking existants.

Ces fameux watermarks invisibles que Google, Meta et compagnie nous vendent comme LA solution miracle contre les deepfakes viennent de se prendre une grosse claque. Andre Kassis et Urs Hengartner, deux chercheurs canadiens, ont dĂ©veloppĂ© cet outil qui peut supprimer n’importe quelle marque de provenance en quelques minutes seulement, avec juste une carte graphique Nvidia A100 de 40 GB. Leur recherche dĂ©taillĂ©e a Ă©tĂ© prĂ©sentĂ©e au symposium IEEE sur la sĂ©curitĂ© et la confidentialitĂ© et le principe est assez malin.

Au lieu d’essayer de comprendre comment fonctionne chaque systĂšme de watermarking (ce qui serait un cauchemar), UnMarker cherche simplement les variations spectrales inhabituelles dans les images. Comme si vous cherchiez les endroits oĂč quelqu’un a Ă©crit Ă  l’encre invisible sur une feuille
 Pas besoin de savoir ce qui est Ă©crit, juste de trouver oĂč c’est Ă©crit et de l’effacer.

D’ailleurs, les rĂ©sultats sont Ă©difiants puisque quand ils ont testĂ© leur outil sur diffĂ©rents systĂšmes comme Stable Signature de Meta ou StegaStamp, le taux de dĂ©tection des watermarks est tombĂ© sous les 50%. Et sur SynthID de Google ? Il est passĂ© de 100% Ă  seulement 21% de dĂ©tection. Autant dire que c’est mort.

L’outil fonctionne en deux Ă©tapes selon le type de watermarking. Je vous explique
 Pour les mĂ©thodes qui modifient les dĂ©tails fins de l’image, il applique des ajustements ciblĂ©s sur les hautes frĂ©quences autour des bords et des textures. Et pour celles qui altĂšrent la structure globale, il introduit des perturbations subtiles sur des motifs de pixels plus larges. Tout ça sans que l’image ne change visuellement d’un poil.

Le code est mĂȘme disponible sur GitHub pour ceux qui veulent tester. Ça prend littĂ©ralement deux minutes max pour traiter une image, et ça tourne offline sur votre machine. Pas besoin d’API, pas besoin de connaĂźtre les paramĂštres internes du watermark, rien. Bref, c’est universel.

En gros, avec cet outil, toute la stratĂ©gie de l’industrie tech pour lutter contre les deepfakes vient de prendre un sacrĂ© coup. La Maison Blanche avait obtenu des engagements de sept gĂ©ants de la tech pour investir massivement dans ces technologies de watermarking et lĂ  on peut dire que ce sont des millions de dollars partis en fumĂ©e.

Andre Kassis l’explique trĂšs bien dans l’interview qu’il a donnĂ©e au Register. Le problĂšme, c’est qu’on a mis la charrue avant les bƓufs. On s’est excitĂ©s sur cette technologie sans vraiment rĂ©flĂ©chir Ă  sa sĂ©curitĂ©. Et ce n’est pas la premiĂšre fois que des chercheurs tirent la sonnette d’alarme. En 2023, des universitaires du Maryland avaient dĂ©jĂ  prĂ©venu que les techniques de watermarking ne fonctionneraient pas. Plus rĂ©cemment, en fĂ©vrier, des chercheurs affiliĂ©s Ă  Google DeepMind et l’UniversitĂ© du Wisconsin-Madison ont conclu qu’aucun systĂšme existant ne combinait robustesse, infalsifiabilitĂ© et dĂ©tectabilitĂ© publique.

Alors oui, c’est inquiĂ©tant surtout qu’on ne peut plus vraiment faire confiance Ă  ce qu’on voit
 Alors maintenant qu’on dĂ©couvre que la principale dĂ©fense qu’on nous proposait est aussi efficace qu’un chĂąteau de cartes face Ă  un ouragan, y’a de quoi dĂ©primer


Les deepfakes restent aussi une menace Ă©norme, et on n’a toujours pas de solution fiable pour les dĂ©tecter. D’ailleurs, si vous cherchez des outils de dĂ©tection de deepfakes, sachez qu’ils existent mais restent limitĂ©s face Ă  l’évolution constante des techniques de falsification. Bref, on continue Ă  investir des millions dans ces technologies alors qu’on sait pertinemment qu’elles sont cassables, mais comme c’est devenu une industrie Ă©norme, c’est dur de remettre le gĂ©nie dans sa bouteille


Pour finir sur une note un peu moins dĂ©primante, cette recherche nous rappelle une leçon importante : la sĂ©curitĂ© doit toujours passer en premier. Alors avant de s’emballer sur une nouvelle technologie “rĂ©volutionnaire”, il faudrait peut-ĂȘtre d’abord se demander comment elle pourrait ĂȘtre dĂ©tournĂ©e
 En attendant, continuez Ă  vous mĂ©fier de tout ce que vous voyez en ligne car Watermark ou pas, la prudence reste votre meilleure dĂ©fense contre fausses images / vidĂ©o.

Source

Vos casques Bluetooth peuvent vous espionner ! Sony, JBL et Bose touchés par une faille majeure

Par : Korben
27 juillet 2025 Ă  00:20

Bon, si vous ĂȘtes du genre Ă  balader votre casque Sony WH-1000XM6 partout en ville, j’ai une mauvaise nouvelle. Des chercheurs viennent de dĂ©couvrir que n’importe qui Ă  10 mĂštres de vous peut transformer vos Ă©couteurs en dispositif d’écoute. Et ça concerne aussi JBL, Bose, Marshall et plein d’autres marques populaires.

La sociĂ©tĂ© de cybersĂ©curitĂ© allemande ERNW a mis le doigt sur des vulnĂ©rabilitĂ©s critiques dans les puces Bluetooth fabriquĂ©es par Airoha, un fournisseur taĂŻwanais dont les composants Ă©quipent une tonne de casques et Ă©couteurs qu’on adore tous. Le problĂšme c’est que ces puces ont un protocole propriĂ©taire qui permet d’accĂ©der directement Ă  la mĂ©moire RAM et flash des appareils, sans authentification, sans appairage, sans rien du tout.

ConcrĂštement, un pirate qui se trouve dans votre pĂ©rimĂštre Bluetooth peut donc activer discrĂštement le micro de votre casque mĂȘme quand il est inactif (mais allumĂ©), Ă©couter vos conversations, rĂ©cupĂ©rer votre numĂ©ro de tĂ©lĂ©phone, votre historique d’appels et mĂȘme voir ce que vous Ă©coutez. Le plus flippant dans l’histoire, c’est que les chercheurs ont dĂ©montrĂ© qu’on pouvait crĂ©er un malware capable de se propager automatiquement d’un appareil Ă  l’autre, façon virus zombie pour casques audio.

Les vulnĂ©rabilitĂ©s en question portent les doux noms de CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravitĂ© allant jusqu’à 9.6/10 pour la plus critique, autant dire que c’est du sĂ©rieux. Pour vous donner une idĂ©e de l’ampleur du dĂ©sastre, voici la liste des appareils confirmĂ©s comme vulnĂ©rables : les Sony WH-1000XM4, XM5 et XM6, les WF-1000XM3, XM4 et XM5, les Link Buds S, les Bose QuietComfort Earbuds, les Jabra Elite 8 Active, plusieurs modĂšles JBL et Marshall
 Bref, probablement ce que vous avez sur les oreilles en ce moment.

Alors avant que vous ne jetiez vos Ă©couteurs par la fenĂȘtre, respirez un coup. Pour exploiter ces failles, il faut quand mĂȘme un bon niveau technique et ĂȘtre physiquement proche de la cible. On n’est pas dans un scĂ©nario oĂč le premier script kiddie venu peut pirater tous les casques du mĂ©tro. Mais les chercheurs d’ERNW prĂ©cisent que ça reste une menace sĂ©rieuse surtout pour des cibles de choix comme des journalistes, des diplomates ou des dirigeants d’entreprise.

Ce qui est particuliĂšrement agaçant dans cette affaire, c’est qu’ERNW a signalĂ© les vulnĂ©rabilitĂ©s Ă  Airoha le 25 mars 2025, mais la boĂźte n’a rĂ©pondu que le 27 mai. Un SDK corrigĂ© a Ă©tĂ© envoyĂ© aux fabricants dĂ©but juin, mais maintenant c’est Ă  chaque marque de crĂ©er et distribuer des mises Ă  jour firmware pour chaque modĂšle concernĂ©. Et connaissant la vitesse Ă  laquelle ces gĂ©ants de l’électronique dĂ©ploient leurs updates
 on n’est pas sortis de l’auberge.

Alors en attendant que Sony, Bose et compagnie se bougent les fesses, qu’est-ce qu’on peut faire ?

DĂ©jĂ , si vous ĂȘtes une personnalitĂ© publique ou si vous bossez sur des trucs sensibles, Ă©vitez d’utiliser vos casques Bluetooth dans les lieux publics. Et pour le commun des mortels, restez vigilants et guettez les mises Ă  jour firmware de vos appareils. Vous pouvez aussi dĂ©sactiver le Bluetooth quand vous ne l’utilisez pas, mĂȘme si je sais que c’est chiant avec des Ă©couteurs sans fil.

Pour ceux qui veulent vraiment ĂȘtre tranquilles, il reste toujours la bonne vieille solution du casque filaire. C’est has-been, mais au moins personne ne peut transformer vos Sennheiser IE 200 en micro-espion Ă  distance. Parfois les vieilles solutions restent les plus sĂ»res


Encore une fois, nos gadgets connectĂ©s prĂ©fĂ©rĂ©s peuvent se retourner contre nous. Entre les failles dans les routeurs, les camĂ©ras de surveillance hackables et maintenant nos casques audio qui peuvent nous espionner, on n’est pas sorti de l’auberge
 Mais bon, on va pas revenir au baladeur cassette non plus donc restez juste prudents et mettez Ă  jour vos appareils dĂšs que possible.

Source

Microsoft avoue l'inavouable - Nos données françaises sont à la merci des Américains

Par : Korben
26 juillet 2025 Ă  23:55

Mais bordel, on attend quoi pour se réveiller en France ?

Microsoft vient littĂ©ralement d’avouer devant le SĂ©nat français qu’ils ne pouvaient PAS garantir que nos donnĂ©es restent bien chez nous. Et cela sous serment devant nos sĂ©nateurs probablement en pleine digestion.

Et on fait quoi ? Et bah RIEN.

C’était le 18 juin dernier, qu’Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a Ă©tĂ© auditionnĂ© par la commission d’enquĂȘte sĂ©natoriale sur la commande publique. La question Ă©tait simple : “Pouvez-vous nous garantir, sous serment, que les donnĂ©es des citoyens français ne peuvent pas ĂȘtre transmises au gouvernement amĂ©ricain sans l’accord explicite du gouvernement français ?”

Sa réponse ?

“Non, je ne peux pas le garantir.” BOUM. VoilĂ . C’est dit. Mais bon, apparemment Ă  par moi, ça ne dĂ©range personne.

Le Cloud Act, cette loi amĂ©ricaine de 2018, donne en effet le pouvoir au gouvernement US de rĂ©cupĂ©rer TOUTES les donnĂ©es stockĂ©es par des entreprises amĂ©ricaines. Peu importe oĂč elles sont physiquement.

Vos donnĂ©es mĂ©dicales chez Microsoft Azure en France ? Les AmĂ©ricains peuvent les demander. Vos documents administratifs sensibles ? C’est pareil. Vos secrets industriels ? Allez, cadeau ! Et le pire dans tout ça c’est qu’on le sait depuis des annĂ©es. Le Cloud Act est incompatible avec le RGPD europĂ©en puisque l’article 48 du RGPD dit clairement qu’aucune dĂ©cision d’une juridiction Ă©trangĂšre ne peut forcer le transfert de donnĂ©es sans accord international. Mais le Cloud Act s’en tape royalement.

Et pendant ce temps, qu’est-ce qu’on fait en France ? Et bien on signe des contrats Ă  74 millions d’euros avec Microsoft pour l’Éducation nationale. On leur confie les donnĂ©es de santĂ© des Français via le Health Data Hub. On migre nos administrations sur Microsoft 365. C’est du suicide de nos donnĂ©es personnelles, purement et simplement.

Et les excuses de Microsoft sont pathĂ©tiques : “On rĂ©siste aux demandes infondĂ©es”, “On demande Ă  rediriger vers le client”
etc. Mais Ă  la fin, s’ils reçoivent une injonction lĂ©gale amĂ©ricaine, ils DOIVENT obĂ©ir. Point final.

Et ne me sortez pas l’argument du “ça n’est jamais arrivĂ©â€ car c’est exactement ce qu’on disait avant Snowden, avant PRISM, bref, avant qu’on dĂ©couvre l’ampleur de la surveillance amĂ©ricaine ou encore de l’existence des tribunaux secrets. Donc le fait que ça ne soit pas encore arrivĂ© ne veut pas dire que ça n’arrivera pas. Surtout avec Trump au pouvoir.

La solution existe pourtant
 Des hĂ©bergeurs français, des clouds europĂ©ens : OVH, Scaleway, et des dizaines d’alternatives qui ne sont PAS soumises au Cloud Act. Mais non, on prĂ©fĂšre donner nos millions Ă  Microsoft parce que c’est “plus pratique” ou que parce que “tout le monde fait ça”.

Alors c’est quoi la prochaine Ă©tape du coup ? On va attendre qu’un scandale Ă©clate ? Que les donnĂ©es mĂ©dicales de millions de Français se retrouvent entre les mains de la NSA ? Que des secrets industriels français soient “mystĂ©rieusement” rĂ©cupĂ©rĂ©s par des concurrents amĂ©ricains ? AWS et Google font exactement la mĂȘme chose d’ailleurs. Ils tentent de nous rassurer avec leurs “clouds souverains” mais c’est du pipeau car tant qu’ils sont amĂ©ricains, ils sont soumis au Cloud Act, c’est aussi simple que ça.

Ce qui me rend dingue, c’est qu’on a TOUTES les cartes en main. L’Europe est un marchĂ© Ă©norme et on pourrait imposer nos conditions, exiger de vraies garanties, dĂ©velopper nos propres solutions
etc
 Mais non, on prĂ©fĂšre se coucher devant les GAFAM et devant les Etats-Unis.

Il est temps je pense de dire STOP et d’arrĂȘter ces contrats dĂ©biles avec des entreprises qui ne peuvent mĂȘme pas garantir la protection de nos donnĂ©es. Ce serait bien de soutenir les acteurs europĂ©ens du cloud, de respecter l’article 48 du RGPD et de commencer Ă  construire notre souverainetĂ© numĂ©rique au lieu de la brader. Parce que lĂ , on est en train de donner les clĂ©s de la maison Ă  des gens qui nous disent en face qu’ils pourront les filer Ă  leur gouvernement quand il le demandera.

C’est complùtement con, non ?

Source : The Register

L'Internet Archive devient une bibliothÚque fédérale américaine

Par : Korben
26 juillet 2025 Ă  23:13

L’Internet Archive vient de dĂ©crocher le statut de Federal Depository Library. HĂ© oui, cette institution qui archive le web depuis presque 30 ans fait maintenant partie du programme officiel des bibliothĂšques fĂ©dĂ©rales amĂ©ricaines. Le Government Publishing Office (GPO) leur a remis la mĂ©daille, et franchement, il Ă©tait temps.

Il faut savoir que le programme Federal Depository Library existe depuis 1813 et Ă  l’époque, c’était pour distribuer des documents papier aux bibliothĂšques Ă  travers les États-Unis. Et comme maintenant, en 2025, ce ne sont quasiment plus que des archives numĂ©riques, c’est normal que l’Internet Archive devienne la premiĂšre organisation 100% numĂ©rique Ă  rejoindre ce club trĂšs select.

Pour ceux qui ne connaissent pas (vraiment ?), l’Internet Archive c’est cette organisation Ă  but non lucratif qui fait tourner la Wayback Machine. Vous savez, ce truc magique qui vous permet de retrouver Ă  quoi ressemblait n’importe quel site web en 2007. Mais c’est bien plus que ça puisqu’ils archivaient dĂ©jĂ  des documents gouvernementaux depuis des annĂ©es
 et maintenant c’est officiel !

Le timing est assez dingue quand on y pense car en octobre dernier, l’Internet Archive s’est fait dĂ©foncer par des cyberattaques massives. Ils ont perdu 31 millions de comptes utilisateurs dans la nature et quelques mois plus tard, paf, reconnaissance fĂ©dĂ©rale. Brewster Kahle, le fondateur, n’a d’ailleurs pas cachĂ© sa joie en dĂ©clarant que ça reconnaissait leur rĂŽle crucial dans la prĂ©servation de l’information publique. Le mec archive le web depuis 1996, il peut bien savourer un peu.

Et sinon, qu’est-ce que ça change ??? Et bien d’abord, l’Internet Archive devient une source reconnue par l’Etat pour les documents gouvernementaux. Les chercheurs, les journalistes, et tous ceux qui ont besoin d’accĂ©der Ă  l’info publique ont maintenant un point d’accĂšs reconnu par l’État. C’est Ă©norme pour la transparence dĂ©mocratique. Et puis il y a le cĂŽtĂ© prĂ©servation. Avec ce statut, l’Internet Archive peut dĂ©sormais recevoir et archiver directement les publications gouvernementales sans avoir besoin de passer par des circuits compliquĂ©s ou de se demander si c’est lĂ©gal. Ils font partie du systĂšme maintenant !

Le gouvernement amĂ©ricain reconnaĂźt enfin ce que tout le monde savait dĂ©jĂ  : l’Internet Archive fait un boulot indispensable. Combien de fois vous avez utilisĂ© la Wayback Machine pour retrouver un article disparu ou vĂ©rifier une info ? Moi, c’est au moins une fois par semaine.

Cette reconnaissance arrive Ă  un moment crucial Ă  une Ă©poque oĂč l’information disparaĂźt Ă  la vitesse de la lumiĂšre. Des sites ferment, des articles sont supprimĂ©s, des gouvernements changent et effacent leurs traces (coucou Trump !)
 Alors avoir une institution qui prĂ©serve tout ça, c’est vital. Et pour l’équipe de l’Internet Archive, c’est aussi une forme de protection.

Bref, au final, je trouve que c’est une excellente nouvelle pour tous ceux qui croient en la libertĂ© d’information et la prĂ©servation du patrimoine numĂ©rique. L’Internet Archive continue sa mission, mais avec la bĂ©nĂ©diction de l’Oncle Sam. Et vu comment les choses Ă©voluent sur le net, on va avoir besoin d’eux plus que jamais.

Source

Windows Recall fait flipper les apps - Signal, Brave et AdGuard contre-attaquent

Par : Korben
26 juillet 2025 Ă  19:33

J’sais pas si vous avez vu, mais Microsoft vient de dĂ©voiler quelque chose d’absolument incroyable. Non je dĂ©conne, c’est encore de la merde et ça s’appelle Windows Recall.

Windows Recall, pour ceux qui auraient ratĂ© le dĂ©but du film, c’est cette fonctionnalitĂ© qui prend des screenshots de tout ce que vous faites sur votre PC toutes les quelques secondes. Microsoft nous vend ça comme un outil de productivitĂ© pour “retrouver vos pas numĂ©riques”. Perso, j’appelle ça Big Brother qui s’installe direct dans votre bĂ©cane.

Face Ă  ce dĂ©lire orwellien, les dĂ©veloppeurs des apps qu’on utilise pour justement protĂ©ger notre vie privĂ©e ont dĂ©cidĂ© de ne pas se laisser faire. Signal a ouvert le bal en mai dernier, et maintenant Brave et AdGuard viennent grossir les rangs de la rĂ©sistance.

AdGuard ne mĂąche pas ses mots et qualifie carrĂ©ment la fonctionnalitĂ© de “dĂ©rangeante”. Ils expliquent que mĂȘme avec les soit-disant garde-fous de Microsoft (authentification Windows Hello, chiffrement, et tout le tralala), il reste des failles bĂ©antes. Vous pouvez par exemple accĂ©der Ă  Recall avec juste votre code PIN aprĂšs la config initiale
 Pas de biomĂ©trie requise, et les filtres censĂ©s protĂ©ger vos donnĂ©es sensibles ratent rĂ©guliĂšrement des trucs importants comme vos infos bancaires.

Le truc vraiment naze, c’est que Recall capture aussi les messages Ă©phĂ©mĂšres de Signal, Telegram ou WhatsApp. Comme ça, quand vous envoyez un message qui doit disparaĂźtre, et bien si votre correspondant a Recall activĂ©, hop, c’est stockĂ© pour l’éternitĂ© sur son PC. Sympa pour la confidentialitĂ© des messages “secrets”, non ?

Heureusement, Microsoft a quand mĂȘme prĂ©vu des moyens pour que les dĂ©veloppeurs puissent bloquer cette surveillance. Il y a donc deux mĂ©thodes principales : l’API SetInputScope et un flag DRM.

Signal a choisi l’option nuclĂ©aire avec le flag DRM. En gros, ils font croire Ă  Windows que leur fenĂȘtre diffuse du contenu protĂ©gĂ© par copyright, ce qui empĂȘche toute capture d’écran. C’est radical et ça a l’inconvĂ©nient que mĂȘme les outils lĂ©gitimes comme les lecteurs d’écran pour l’accessibilitĂ© ne peuvent plus fonctionner.

Brave a optĂ© pour une approche plus fine avec l’API SetInputScope. Ils marquent toutes leurs fenĂȘtres avec le flag IS_PRIVATE, ce qui dit Ă  Windows “pas touche, c’est privĂ©â€. Comme ça, les captures d’écran normales continuent de marcher, et seul Recall est bloquĂ©. La version 1.81 de Brave avec cette protection sortira le 5 aoĂ»t prochain.

AdGuard pousse le bouchon encore plus loin avec leur version 7.21. Quand vous activez la protection contre le tracking, ça bloque carrĂ©ment Recall au niveau systĂšme. Le truc ne peut mĂȘme plus se lancer, point barre.

Ce qui me fait marrer (jaune), c’est que les trois apps laissent quand mĂȘme aux utilisateurs la possibilitĂ© de rĂ©activer Recall s’ils le veulent vraiment. Genre “si vous tenez absolument Ă  vous faire surveiller, libre Ă  vous”. Mais bon, qui voudrait faire ça sĂ©rieux ?

Cette fronde des dĂ©veloppeurs montre bien que les inquiĂ©tudes autour de Recall sont lĂ©gitimes et Microsoft a beau promettre monts et merveilles niveau sĂ©curitĂ©, je pense que personne n’est dupe.

Bref, y’a vraiment un sĂ©rieux problĂšme avec ce truc


Source : TechSpot

Les physiciens du CERN créent le premier qubit d'antimatiÚre et ça change tout

Par : Korben
26 juillet 2025 Ă  17:28

Les scientifiques du CERN ont encore frappĂ© fort car aprĂšs nous avoir fait flipper les complotistes avec leur collisionneur de particules qui devait crĂ©er des trous noirs miniatures qui nous avaleraient tout rond, ils viennent de fabriquer un truc encore plus chelou : un qubit d’antimatiĂšre.

Pour ceux qui ont sĂ©chĂ© les cours de physique, l’antimatiĂšre c’est comme la matiĂšre normale, mais en version “miroir malĂ©fique”. Quand une particule de matiĂšre rencontre son Ă©quivalent en antimatiĂšre, pouf, elles s’annihilent mutuellement en libĂ©rant une quantitĂ© d’énergie monstrueuse. C’est pour ça que dans Star Trek, ils utilisent ça pour faire avancer l’Enterprise.

Cette bonne nouvelle nous vient de l’équipe de Barbara Latacz qui a rĂ©ussi Ă  maintenir un antiproton (l’équivalent antimatiĂ©riel du proton) dans un Ă©tat quantique stable pendant 50 secondes. 50 secondes, ça peut paraĂźtre court, mais dans le monde de l’antimatiĂšre, c’est comme si vous aviez rĂ©ussi Ă  garder une bulle de savon intacte pendant une semaine.

Pour y arriver, ils ont utilisĂ© une technique appelĂ©e “spectroscopie de transition quantique cohĂ©rente” (ouais, je sais, ça fait nom de sortilĂšge dans Harry Potter). En gros, ils ont piĂ©gĂ© l’antiproton dans un champ Ă©lectromagnĂ©tique super sophistiquĂ© appelĂ© piĂšge de Penning, et ils ont rĂ©ussi Ă  le faire osciller entre deux Ă©tats quantiques, comme un pendule qui balance entre “haut” et “bas”.

La physicienne Barbara Latacz raconte d’ailleurs qu’elle a immĂ©diatement ouvert une bouteille de champagne quand ils ont rĂ©ussi, et aprĂšs 5 ans de boulot acharnĂ© sur ce projet, elle l’avait bien mĂ©ritĂ©.

Mais alors pourquoi c’est si important ??? Eh bien figurez-vous que l’un des plus grands mystĂšres de la physique, c’est de comprendre pourquoi notre univers est fait principalement de matiĂšre alors que thĂ©oriquement, il devrait y avoir autant de matiĂšre que d’antimatiĂšre. C’est comme si vous lanciez un million de piĂšces de 1 euros en l’air et qu’elles tombaient toutes sur face
 statistiquement, c’est louche.

Cette expĂ©rience nommĂ©e BASE (Baryon Antibaryon Symmetry Experiment, pour ceux qui aiment les acronymes) permet justement d’étudier les propriĂ©tĂ©s de l’antimatiĂšre avec une prĂ©cision jamais atteinte. En comparant le comportement des antiprotons avec celui des protons normaux, les scientifiques espĂšrent trouver une petite diffĂ©rence, un truc qui cloche, et qui expliquerait pourquoi on est lĂ  au lieu d’avoir Ă©tĂ© annihilĂ©s il y a 13,8 milliards d’annĂ©es.

Stefan Ulmer, le porte-parole du projet BASE, explique que cette premiĂšre mondiale ouvre la voie Ă  l’application de toute une panoplie de mĂ©thodes de spectroscopie cohĂ©rente sur des systĂšmes de matiĂšre et d’antimatiĂšre. En gros, ils viennent de dĂ©bloquer un nouveau niveau dans le jeu de la physique des particules.

Toutefois, avant que vous ne commenciez Ă  fantasmer sur des ordinateurs quantiques Ă  base d’antimatiĂšre (avouez, vous y avez pensĂ© bande de coquins !), sachez que pour l’instant, c’est complĂštement irrĂ©aliste car produire et stocker de l’antimatiĂšre, c’est tellement compliquĂ© et coĂ»teux que ça n’a aucun sens pour faire de l’informatique quantique. Les qubits normaux font trĂšs bien le job, merci.

Par contre, ce qui est vraiment excitant, c’est le futur upgrade prĂ©vu : BASE-STEP. Cette nouvelle version permettra de transporter les antiprotons par camion (oui oui !) vers des environnements magnĂ©tiques plus calmes que l’usine Ă  antimatiĂšre du CERN. L’équipe espĂšre ainsi pouvoir maintenir la cohĂ©rence quantique pendant 10 fois plus longtemps, ce qui pourrait rĂ©volutionner notre comprĂ©hension de l’antimatiĂšre.

Bref, pendant que certains s’écharpent sur X pour savoir si les pĂątes se cuisent avec ou sans couvercle, d’autres crĂ©ent des qubits d’antimatiĂšre et percent les mystĂšres de l’univers. Et ça, ça me redonne (un peu) foi en l’humanitĂ©.

Source

À partir d’avant-hierKorben

Ashley Madison - Le hack qui a détruit des vies

Par : Korben
26 juillet 2025 Ă  13:37

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Je vais enfin vous raconter dans les moindres dĂ©tails l’histoire du hack le plus dĂ©vastateur de l’ùre numĂ©rique. Pas en termes techniques, non, non
 Mais plutĂŽt en termes humains.

Ashley Madison, le site qui promettait des aventures extraconjugales discrĂštes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets Ă©taient en sĂ©curitĂ© derriĂšre leur mot de passe.

GrossiĂšre erreur.

Car en juillet 2015, un groupe mystĂ©rieux appelĂ© Impact Team a dĂ©cidĂ© de faire tomber ce chĂąteau de cartes. Et les consĂ©quences ont Ă©tĂ© violentes. Des suicides documentĂ©s, des divorces par milliers, des carriĂšres pulvĂ©risĂ©es, et la rĂ©vĂ©lation que le PDG lui-mĂȘme, Noel Biderman, celui qui paradait dans les mĂ©dias comme un mari fidĂšle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complĂšte du hack qui a prouvĂ© que sur Internet, il n’y a aucun secret qui tienne.

Ashley Madison - Le site qui a appris au monde entier que la discrĂ©tion absolue n’existait pas

L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idĂ©e de crĂ©er un site de rencontres pour personnes mariĂ©es. Le nom “Ashley Madison” combine alors simplement les deux prĂ©noms fĂ©minins les plus populaires de l’époque. Le concept est rĂ©volutionnaire et controversĂ© : un site assumant complĂštement l’adultĂšre.

Mais c’est Noel Biderman qui va transformer cette idĂ©e en empire. NĂ© le 24 novembre 1971 Ă  Toronto, petit-fils de survivants de l’Holocauste, diplĂŽmĂ© d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.

En 2007, Morgenstern vend Ashley Madison Ă  Avid Life Media, et Biderman en devient le PDG. C’est lĂ  que l’histoire devient vraiment intĂ©ressante. Car Biderman, qui gĂ©rait les affaires sentimentales compliquĂ©es de ses clients athlĂštes, jonglant entre Ă©pouses et maĂźtresses, comprend parfaitement tout le potentiel du site.

Le concept est rĂ©volutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complĂštement son cĂŽtĂ© sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous ĂȘtes mariĂ© et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrĂ©tion absolue (spoiler : c’était du flanc), les profils peuvent ĂȘtre anonymes, les photos floutĂ©es, les paiements discrets sur les relevĂ©s bancaires.

Noel Biderman : le PDG “fidùle” qui cachait bien son jeu

Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratĂ©gie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont Ă©tĂ© refusĂ©es), des panneaux d’affichage gĂ©ants, des campagnes provocantes. Biderman lui-mĂȘme devient le visage du site, paradant dans les mĂ©dias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.

Et c’est lĂ  que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. MariĂ© depuis 2003, pĂšre de deux enfants, il rĂ©pĂšte partout : “Je suis fidĂšle Ă  ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversĂ©. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.

Puis le site explose littĂ©ralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dĂ©passe les 100 millions de dollars, avec des projections Ă  150 millions pour 2015. ALM possĂšde aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, gĂ©nĂ©rant 90% des revenus.

La particularitĂ© d’Ashley Madison, c’est surtout son modĂšle Ă©conomique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crĂ©dits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” Ă  19 dollars.

Pour ce prix, Ashley Madison promet d’effacer complĂštement votre profil et toutes vos donnĂ©es. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapportĂ© 1,7 million de dollars en 2014.

Et c’est ce mensonge Ă©hontĂ© qui va tout dĂ©clencher.

Car en coulisses, la sĂ©curitĂ© d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire dĂ©jĂ  la sonnette d’alarme. Dans un email interne, il prĂ©dit une “crise de sĂ©curitĂ© Ă©ventuelle” qui pourrait â€œĂ©corcher vive” la compagnie. ProphĂ©tique, le mec.

Et en mai 2015, Mark Steele, directeur de la sĂ©curitĂ©, enfonce le clou. Dans un email Ă  Biderman, il explique que leur code est “criblĂ©e” de vulnĂ©rabilitĂ©s XSS et CSRF, faciles Ă  exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de donnĂ©es “beaucoup plus dommageables”. Les mots de passe Ă©taient bien hachĂ©s avec bcrypt, mais tellement mal implĂ©mentĂ©s que 11 millions d’entre eux seront crackĂ©s en Ă  peine 10 jours.

Mais Biderman et ALM s’en foutent royalement. La prioritĂ©, c’est la croissance et les profits, pas la sĂ©curitĂ©. Cette nĂ©gligence criminelle va leur coĂ»ter trĂšs, trĂšs cher


Le 12 juillet 2015, les employĂ©s d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs Ă©crans, un message menaçant : La musique “Thunderstruck” d’AC/DC rĂ©sonne dans les bureaux et le message est signĂ© “Impact Team”. Ce dernier menace de publier toutes les donnĂ©es de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immĂ©diatement.

Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer dĂ©finitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les donnĂ©es clients divulguĂ©es, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crĂ©dit, les noms et adresses rĂ©els, ainsi que les documents et e-mails des employĂ©s.”

Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, mĂȘme aprĂšs avoir payĂ© 19 dollars, les vraies informations des utilisateurs restent dans les bases de donnĂ©es.

Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours Ă  ALM pour fermer les sites. Brian Krebs, le cĂ©lĂšbre journaliste spĂ©cialisĂ© en cybersĂ©curitĂ©, rĂ©vĂšle alors l’affaire le mĂȘme jour. C’est la panique totale chez ALM.

Le 20 juillet, Ashley Madison publie trois communiquĂ©s minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisĂ©e d’accĂ©der Ă  nos systĂšmes” et annoncent une enquĂȘte avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.

Pour prouver leur sĂ©rieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils rĂ©vĂšlent l’identitĂ© complĂšte de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hĂ©sitera pas.

Les thĂ©ories fusent alors sur l’identitĂ© d’Impact Team. La plus crĂ©dible : un inside job. Noel Biderman lui-mĂȘme dĂ©clare peu aprĂšs : “Nous sommes sur le point de confirmer l’identitĂ© du coupable
 J’ai son profil sous les yeux, avec toutes ses rĂ©fĂ©rences professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employĂ©e ici, mais qui a certainement eu accĂšs Ă  nos services techniques.” Un contractuel ? Un ancien employĂ© virĂ© ? Le mystĂšre reste entier.

John McAfee, le fondateur controversĂ© de l’antivirus Ă©ponyme, y va Ă©galement de sa thĂ©orie. Selon lui, c’est “la seule employĂ©e femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une thĂ©orie jamais confirmĂ©e, vous vous en doutez, mais qui fait jaser.

Screenshot

Le plus troublant c’est qu’Impact Team semblerait ĂȘtre une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existĂ© avant et disparaissent aprĂšs
 Tout suggĂšre un individu avec une rancune spĂ©cifique. En 2023, Brian Krebs rĂ©vĂšle mĂȘme que le principal suspect se serait suicidĂ© en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifiĂ© l’attaque, attendu plus d’un an, puis publiĂ© les donnĂ©es. Un niveau de patience dingue.

Puis le dĂ©lai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors Ă  l’exĂ©cution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signĂ© avec une clĂ© PGP pour prouver son authenticitĂ©. À l’intĂ©rieur : les infos d’environ 37 millions d’utilisateurs.

Et ces donnĂ©es sont dĂ©vastatrices. Noms, emails, adresses, prĂ©fĂ©rences sexuelles, fantasmes secrets, messages privĂ©s, transactions par carte de crĂ©dit. MĂȘme les utilisateurs qui avaient payĂ© pour le “Full Delete” sont lĂ . Impact Team avait donc raison : le service Ă©tait une arnaque totale.

Full Delete - L’option de confidentialitĂ© qui n’en Ă©tait pas une.

Internet s’enflamme et des dizaines de sites se montent, permettant de vĂ©rifier si votre email est dans la fuite. Les journalistes fouillent frĂ©nĂ©tiquement. Des milliers d’adresses .gov et .mil sont dĂ©couvertes. Politiciens, militaires, religieux, personnalitĂ©s publiques
 Tout le monde y passe.

Le 20 aoĂ»t, Impact Team frappe encore plus fort avec un deuxiĂšme dump de 20 gigaoctets. Cette fois, c’est l’intĂ©rieur d’ALM qui est exposĂ© : emails internes, code source, et surtout
 300 emails personnels de Noel Biderman.

Les rĂ©vĂ©lations sont explosives puisque Biderman, Monsieur “Je suis super fidĂšle”, entretenait une liaison de trois ans avec une escort de Toronto nommĂ©e Melisa. Rendez-vous payants de juillet 2012 Ă  mai 2015. D’autres femmes aussi. Les emails dĂ©taillent tout : les rencontres, les paiements, les mensonges Ă  Amanda.

Un email particuliĂšrement crade montre Biderman investissant dans une idĂ©e d’app appelĂ©e “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monĂ©taire aux femmes selon leur attractivitĂ©. MĂȘme pour le PDG d’un site d’adultĂšre, c’est too much.

L’email envoyĂ© par le hacker d’Ashley Madison

Le 21 aoĂ»t, dans une interview avec Vice, Impact Team lĂąche alors une bombe sur la sĂ©curitĂ© d’ALM : “Personne ne surveillait. Aucune sĂ©curitĂ©. Nous avons travaillĂ© dur pour rendre l’attaque totalement indĂ©tectable, puis nous sommes entrĂ©s et n’avons rien trouvĂ© Ă  contourner. Vous pouviez utiliser un MotDePasse1234 trouvĂ© sur Internet pour vous connecter au VPN et accĂ©der Ă  tous les serveurs.” Hey oui, la sĂ©curitĂ© chez Ashley Madison Ă©tait tellement nulle qu’il n’y avait rien Ă  contourner.

Malheureusement, les consĂ©quences humaines commencent Ă  se faire sentir. Le 24 aoĂ»t, la police de Toronto annonce deux suicides non confirmĂ©s liĂ©s Ă  la fuite. Des “crimes de haine” sont rapportĂ©s. Chantage, harcĂšlement, violence domestique
 Les victimes du hack deviennent victimes dans la vraie vie.

L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours aprĂšs la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dĂ©pression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprĂšs de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.

Sam Rader, YouTubeur chrĂ©tien populaire avec sa chaĂźne “Sam and Nia”, est aussi exposĂ©. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.

Le 28 aoĂ»t 2015, Biderman dĂ©missionne. Un communiquĂ© laconique indique que c’est “dans le meilleur intĂ©rĂȘt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quittĂ© et le couple semble toujours mariĂ© aujourd’hui. L’amour ou le fric ? MystĂšre.

Les consĂ©quences lĂ©gales sont Ă©galement massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour rĂ©gler les procĂšs collectifs. La Federal Trade Commission impose Ă©galement 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultĂ©s financiĂšres.

Mais le plus dingue c’est quand mĂȘme qu’Ashley Madison a survĂ©cu. AprĂšs le hack, tout le monde prĂ©disait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sĂ©curitĂ© renforcĂ©e (authentification Ă  deux facteurs, navigation chiffrĂ©e, conformitĂ© PCI), le site renaĂźt. En 2017, ils revendiquaient mĂȘme 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultĂšre en ligne n’a pas disparu.

Le site Ashley Madison en 2025

Impact Team disparaĂźt complĂštement aprĂšs les fuites. Aucune revendication ultĂ©rieure, aucune autre action et malgrĂ© les enquĂȘtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrĂȘtĂ©. L’identitĂ© d’Impact Team reste le plus grand mystĂšre non rĂ©solu de toute cette histoire.

Et pour la premiĂšre fois, des millions de personnes rĂ©alisent que leur vie numĂ©rique secrĂšte peut devenir publique du jour au lendemain. La notion de vie privĂ©e en ligne est redĂ©finie. Les entreprises comprennent Ă©galement que la sĂ©curitĂ© n’est plus optionnelle et les rĂ©gulateurs durcissent les lois. Le RGPD europĂ©en de 2018 cite mĂȘme explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.

Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent rĂ©guliĂšrement l’histoire sur le devant de la scĂšne.

Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights Ă  Toronto et conseiller stratĂ©gique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets â€œĂ©thiques” et sur LinkedIn, son profil reste trĂšs vague sur la pĂ©riode 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.

Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers rĂ©sultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersĂ©curitĂ©, Ă©thique numĂ©rique, psychologie sociale mais pour les millions de personnes exposĂ©es, c’est une blessure qui ne guĂ©rira jamais car les donnĂ©es sont toujours lĂ , sur le dark web, prĂȘtes Ă  ressurgir telles une Ă©pĂ©e de DamoclĂšs Ă©ternelle.

Alors la prochaine fois que vous crĂ©ez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en premiĂšre page des mĂ©dias car a question n’est pas “si” vos donnĂ©es seront diffusĂ©es mais “quand” et par “qui”.

Sources : Wikipedia - Ashley Madison data breach, Krebs on Security - Ashley Madison Hacked, Tripwire - Ashley Madison Timeline, Vice - Impact Team Interview, Washington Post - John Gibson, Screen Rant - Noel Biderman, Auburn University - Ashley Madison Case Study

TEA app hack - 72 000 permis de conduire balancés sur 4chan à cause de Firebase

Par : Korben
26 juillet 2025 Ă  00:35

Alors lĂ , c’est le pompon. Une app de rencontre censĂ©e protĂ©ger les femmes vient de se retrouver avec 72 000 photos perso sur 4chan. Selfies, permis de conduire, messages privĂ©s
 tout ça parce que les devs ont laissĂ© leur Firebase grand ouvert comme une porte de saloon. Force donc aux femmes qui vont subir le harcĂšlement des trolls Ă  cause de cette incompĂ©tence monumentale.

TEA, c’est cette app qui cartonne en ce moment. NumĂ©ro 1 sur l’App Store cette semaine, elle revendique plus de 1,6 million d’utilisatrices et des dizaines de milliers d’avis.

Le concept ? Les femmes peuvent Ă©changer des infos sur les mecs qu’elles rencontrent, vĂ©rifier s’ils sont clean, pas des catfish, et pas dĂ©jĂ  en couple. Pour s’inscrire, faut donc prouver qu’on est une femme avec un selfie et une piĂšce d’identitĂ©. Logique pour Ă©viter les infiltrations. Sauf que


Les gĂ©nies derriĂšre l’app ont stockĂ© TOUTES ces donnĂ©es de vĂ©rification dans un bucket Firebase sans aucune authentification. Genre vraiment aucune. MĂȘme pas un mot de passe basique. Les mecs de 4chan ont juste eu Ă  trouver l’URL et hop, open bar pour le scrapping. “DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN!” qu’ils criaient sur leur forum de dĂ©gĂ©nĂ©rĂ©s. Comme des vautours qui ont trouvĂ© une carcasse.

Le truc qui me tue, c’est que Firebase, c’est pas sĂ©curisĂ© par dĂ©faut. Amazon S3 verrouille tout, et faut vraiment le vouloir pour rendre public. Firebase, eux, non, c’est porte grande ouverte direct. Les devs qui l’utilisent peuvent choisir entre “Locked mode” (tout fermĂ©) ou “Test mode” (tout ouvert) et devinez ce qu’ont choisi les champions de TEA ?

Et les trolls de 4chan ? Ils n’ont pas perdu une seconde. Ils ont créé des scripts Python pour automatiser le tĂ©lĂ©chargement de milliers de photos aspirĂ©es avant que Google ferme enfin le robinet. 13 000 selfies et permis de conduire. 59 000 images de posts et messages privĂ©s. Et des femmes qui pensaient ĂȘtre en sĂ©curitĂ© et qui se retrouvent exposĂ©es aux pires raclures d’internet.

TEA essaie bien sĂ»r de minimiser en disant que les donnĂ©es ont plus de 2 ans. Ah bah ça va alors, c’est des vieux permis de conduire ! Genre ça change quoi ? Les permis de conduire, ils n’expirent pas en 2 ans. Les adresses non plus. Et puis franchement, mĂȘme si c’était des donnĂ©es d’hier ou d’il y a 10 ans, c’est inacceptable. Ces femmes ont fait confiance Ă  une app qui promettait de les protĂ©ger, et rĂ©sultat, elles sont servies sur un plateau aux harceleurs.

Mais le pire dans tout ça, c’est que c’est pas un cas isolĂ©. En mars 2024, trois chercheurs en sĂ©curitĂ© ont trouvĂ© prĂšs de 20 millions de mots de passe en clair sur des Firebase mal configurĂ©s ainsi que 125 millions de dossiers utilisateurs exposĂ©s sur 916 sites web. Firebase, c’est donc devenu le paradis des fuites de donnĂ©es.

Et pourquoi ? Parce que les devs copient-collent des tutos Stack Overflow sans comprendre ce qu’ils font. “Tiens, ça marche en mode test, on ship !” Non mais allo quoi.

Bref, arrĂȘtez avec Firebase si vous ne savez pas ce que vous faites. Prenez Supabase, c’est open source et sĂ©curisĂ© par dĂ©faut. Ou Appwrite qui a des SDK pour tout et qui prend la sĂ©curitĂ© au sĂ©rieux. MĂȘme PocketBase, qui tient dans un seul fichier exĂ©cutable, est plus sĂ»r que votre Firebase mal configurĂ©. Ces alternatives ont d’ailleurs toutes un point commun : elles vous forcent Ă  rĂ©flĂ©chir Ă  la sĂ©curitĂ© au lieu de vous laisser tout grand ouvert.

Pour les utilisatrices de TEA, je sais que ça craint. VĂ©rifiez vos comptes bancaires, changez vos mots de passe partout, et surveillez toute activitĂ© suspecte. Pensez aussi Ă  utiliser un numĂ©ro virtuel pour les apps de rencontre Ă  l’avenir. Et si vous recevez des messages chelous, bloquez et signalez. Puis si vous avez des preuves de harcĂšlement suite Ă  cette fuite, portez plainte.

Bref, force Ă  toutes celles qui vont devoir gĂ©rer les retombĂ©es de ce dĂ©sastre. J’espĂšre que TEA va prendre ses responsabilitĂ©s, dĂ©dommager les victimes, et virer les incompĂ©tents.

Source

Google va tuer goo.gl - 3,6 milliards de liens bientĂŽt morts

Par : Korben
26 juillet 2025 Ă  00:16

Bon, Google va tuer goo.gl dans un mois et ce sont moins de 4 milliards de liens vont partir en fumée. Snif


Vous le savez, ça fait des annĂ©es que je dis qu’il ne faut JAMAIS utiliser ces services pour du long terme. J’ai mĂȘme eu des discussions houleuses avec des internautes qui me trouvaient parano. “Mais nooooon, Google va pas fermer ça, tout le monde l’utilise !” Bah voilĂ , on y est. C’est d’ailleurs exactement pour ça que j’ai pris mon propre domaine kbn.im car au moins, je contrĂŽle mes liens raccourcis.

Donc Ă  partir du 25 aoĂ»t 2025, tous les liens créés avec le raccourcisseur de Google vont renvoyer une erreur 404. Cela reprĂ©sente 3,6 milliards de liens actifs rĂ©partis sur 3,2 millions de sites web. Des annĂ©es d’archives, de QR codes, de campagnes marketing
etc
 tout va disparaĂźtre d’un coup.

Alors pour comprendre comment on en est arrivé là, petit flashback


Google avait fermĂ© son service de raccourcissement d’URL en 2019. À l’époque, ils avaient citĂ© des “changements dans la façon dont les gens trouvent du contenu sur internet” ce qui veut dire en langue Google que ça ne rapportait pas assez. Mais les liens existants ont continuĂ© Ă  fonctionner, donc tout le monde s’est dit “ouf, on est sauvĂ©s”. Mais que nenni car depuis juillet 2024, Google affiche un message d’avertissement quand on clique sur un lien goo.gl. Genre “ce lien ne fonctionnera bientĂŽt plus, bande de tocards”. Les gens ont bien sĂ»r commencĂ© Ă  flipper, mais beaucoup se sont dit “bah on verra bien”. Et maintenant, c’est la sentence finale : extinction totale dans un mois.

Les raccourcisseurs d’URL, c’est vraiment la plaie du web moderne. D’abord, niveau sĂ©curitĂ©, c’est une catastrophe. Par exemple, des chercheurs ont dĂ©couvert que certaines URL raccourcies ne sont pas gĂ©nĂ©rĂ©es alĂ©atoirement comme on pourrait le croire. RĂ©sultat ? On peut les deviner par force brute. Sur OneDrive, ils ont scannĂ© 100 millions de liens courts et ont eu accĂšs Ă  1,1 million de fichiers. Vos photos de vacances, vos factures, vos documents perso
 tout ça accessible Ă  n’importe qui avec un peu de patience. Sympa pour la confidentialitĂ©.

Et puis y’a le phishing. Quand vous cliquez sur un lien raccourci, vous ne savez pas oĂč vous allez atterrir. C’est l’outil parfait pour les arnaqueurs. Sans compter que ces services peuvent ĂȘtre hackĂ©s. C’est arrivĂ© Ă  urlmin.com : un pirate a pris le contrĂŽle du serveur et pouf, tous les liens raccourcis ont Ă©tĂ© dĂ©tournĂ©s.

Du coup, qu’est-ce qu’on fait maintenant ? Et bien si vous avez des liens goo.gl, vous avez plusieurs options. Les alternatives classiques comme Bitly, TinyURL ou Rebrandly existent toujours. Mais franchement, vous allez refaire la mĂȘme erreur ? Dans 5 ans, on aura le mĂȘme problĂšme quand l’un d’eux fermera boutique. Sinon, il y a aussi Shlink, une alternative moderne Ă  YOURLS que j’aime bien.

L’avantage, c’est qu’avec ce genre d’outils, vous contrĂŽlez tout. Les stats, les redirections, les personnalisations
 Vous pouvez mĂȘme faire des trucs marrants, genre des liens qui changent selon l’heure de la journĂ©e et surtout, si un jour vous arrĂȘtez, vous pouvez toujours garder le domaine et faire des redirections manuelles pour les liens importants. Bref, un domaine court, ça coĂ»te entre 10 et 50 euros par an selon l’extension. C’est le prix de quelques kebabs et franchement c’est rien comparĂ© au bordel que ça Ă©vite.

En tout cas, Google, c’est le champion toutes catĂ©gories pour tuer ses services. Vous vous souvenez de Google Reader ? Google Wave ? Google+ ? Stadia ? Code Jam ? La liste est longue. Le site “Killed by Google” recense 297 produits morts. C’est leur spĂ©cialité  Ils lancent un truc, tout le monde devient accro, et paf ! “DĂ©solĂ©, ça correspond plus Ă  notre stratĂ©gie”.

Bref, retenez cette leçon. Je sais que je radote avec mon “contrĂŽlez vos donnĂ©es” mais lĂ , on a la preuve en direct que moi et bien d’autres avons raison. Ne confiez jamais vos donnĂ©es critiques Ă  un service que vous ne contrĂŽlez pas. Que ce soit pour les raccourcisseurs d’URL, ou n’importe quoi d’autre. Le jour oĂč le service ferme, vous ĂȘtes dans la merde. Prenez les devants, faites des backups et investissez dans votre propre infrastructure.

Un nom de domaine et un petit hĂ©bergement, c’est pas la mer Ă  boire, et au moins vous dormez tranquille


Source

Google AI Overviews - Comment l'IA tue le web et notre cerveau

Par : Korben
25 juillet 2025 Ă  23:35

Ce matin, j’ai rĂ©alisĂ© un truc de dingue. Je ne clique presque plus sur aucun lien quand je fais une recherche Google. L’IA me donne un rĂ©sumĂ©, et hop, je passe Ă  autre chose. Et apparemment, je ne suis pas le seul dans ce cas.

D’ailleurs, une Ă©tude du Pew Research Center vient de sortir et les chiffres sont carrĂ©ment dĂ©primants. Sur 900 utilisateurs amĂ©ricains Ă©tudiĂ©s, seulement 1% (!!) cliquent encore sur les liens sources dans le rĂ©sumĂ© IA. C’est la mort du web tel qu’on le connaĂźt, ni plus ni moins.

Le truc marrant c’est que Google prĂ©tend que tout va bien dans le meilleur des mondes. Pourtant, comme je l’expliquais rĂ©cemment, les Ă©diteurs web subissent dĂ©jĂ  les consĂ©quences. Sundar Pichai, le CEO, nous sort que l’IA â€œĂ©tend la façon dont les gens recherchent et accĂšdent Ă  l’information”. Ouais, elle Ă©tend surtout le temps que les gens passent sur Google sans jamais aller voir ailleurs. Avec 2 milliards d’utilisateurs mensuels pour leurs AI Overviews, ils ont rĂ©ussi leur coup : Transformer le web ouvert en jardin fermĂ©.

Mais attendez, c’est pas fini. Vous vous souvenez quand Google AI a conseillĂ© de mettre de la colle dans la pizza pour que le fromage tienne mieux ? Ou quand il a recommandĂ© de manger “au moins une petite pierre par jour” pour la santĂ© ? Ces erreurs dataient de mai 2024, mais l’IA continue ses bourdes. Elle a mĂȘme conseillĂ© que “les mĂ©decins recommandent de fumer 2-3 cigarettes par jour pendant la grossesse”. Google prĂ©tend que certaines captures d’écran Ă©taient fausses, mais admet que son IA peut halluciner Ă  cause des fameux “data voids”, des trous dans les donnĂ©es. En gros, quand l’IA ne sait pas, elle invente n’importe quoi avec la mĂȘme assurance qu’un enfant.

Et surtout, ça nous rend littĂ©ralement plus cons. Une Ă©tude de Microsoft et Carnegie Mellon publiĂ©e cette annĂ©e montre que l’utilisation intensive d’outils IA comme Copilot ou ChatGPT “atrophie” notre pensĂ©e critique. Les chercheurs parlent d’une “ironie de l’automatisation” car en confiant les tĂąches routiniĂšres Ă  l’IA, on perd l’occasion de pratiquer notre jugement.

Et les chiffres parlent d’eux-mĂȘme car selon BrightEdge, les impressions Google ont augmentĂ© de 49% sur un an, mais les clics ont chutĂ© de 30%. Pour les mots-clĂ©s informationnels avec AI Overview, le CTR (taux de clics) est passĂ© de 7,3% en mars 2024 Ă  2,6% en mars 2025. Et quand une AI Overview apparaĂźt, seulement 8% des utilisateurs cliquent sur un lien, contre 15% sans rĂ©sumĂ© IA. Traduction, Google montre plus de pages mais envoie moins de trafic vers les sites.

Ah et j’oubliais un dĂ©tail important. Vous savez qui sont les grands gagnants dans cette histoire ? Wikipedia, Reddit et YouTube. L’IA pompe principalement sur ces trois sources maintenant. Les petits blogs indĂ©pendants, les sites spĂ©cialisĂ©s, 
etc, tout ça est en train de crever. Google ne cite mĂȘme plus les sources originales, il prĂ©fĂšre les agrĂ©gateurs. Un problĂšme qu’ils commence Ă  reconnaĂźtre, mĂȘme si c’est un peu tard.

Le pire dans tout ça, c’est que 18% des recherches Google gĂ©nĂšrent maintenant un rĂ©sumĂ© IA selon Pew Research, mais ce chiffre grimpe Ă  prĂšs de 90% pour les requĂȘtes dans la santĂ© et l’éducation d’aprĂšs BrightEdge. Des domaines oĂč les erreurs peuvent avoir des consĂ©quences graves. Google Gemini a beau avoir un taux d’hallucination rĂ©duit Ă  0,7% selon les derniĂšres donnĂ©es, quand on parle de santĂ©, mĂȘme 0,7% c’est trop.

MĂȘme les utilisateurs commencent Ă  s’en rendre compte car d’aprĂšs l’étude, les gens qui voient un rĂ©sumĂ© IA sont plus susceptibles de quitter Google complĂštement que de cliquer sur un lien. En gros, soit l’IA leur donne ce qu’ils veulent et ils s’arrĂȘtent lĂ , soit elle raconte n’importe quoi et ils vont voir ailleurs.

Sam Altman d’OpenAI l’a mĂȘme dit en fĂ©vrier dernier : “Je ne fais plus de recherches Google”, il prĂ©fĂšre ChatGPT qui est devenu son “Oracle”. Mais paradoxalement, mĂȘme lui admet que ChatGPT ne dĂ©trĂŽnera “probablement pas” Google, qu’il qualifie de “concurrent fĂ©roce”. Le problĂšme, c’est que Google est en train de se tirer une balle dans le pied car en voulant garder les utilisateurs sur ses pages, il tue l’écosystĂšme qui a fait sa richesse.

D’aprĂšs l’étude Pew, les recherches avec 10 mots ou plus gĂ©nĂšrent un rĂ©sumĂ© IA dans 53% des cas, contre seulement 8% pour les recherches d’un ou deux mots. Pour les requĂȘtes informatives type “comment”, “quand”, “oĂč”, les sites dans le top 4 ont vu leur CTR sur desktop chuter de 7,31 points. Et c’est logique car pourquoi cliquer quand l’IA te donne dĂ©jĂ  la rĂ©ponse (mĂȘme si elle est potentiellement fausse) ?

Bon, je vous laisse mĂ©diter lĂ -dessus. Perso, je vais essayer de forcer mes vieux rĂ©flexes et cliquer sur les liens au lieu de me contenter des rĂ©sumĂ©s IA. Parce que si on continue comme ça, dans quelques annĂ©es, il restera plus grand-chose du web qu’on aime tant
 Mais juste des IA qui nous racontent ce qu’elles croient savoir, avec 2-3 gros sites en source.

Sympa l’avenir, non ?

Source

1 milliard de dollars de puces Nvidia "tombées du camion" se retrouvent en Chine

Par : Korben
25 juillet 2025 Ă  15:50

Bon, apparemment il suffit que des puces Nvidia soient “tombĂ©es du camion” pour qu’un milliard de dollars de GPU ultra puissants se retrouvent sur le marchĂ© noir chinois. Le Financial Times a enquĂȘtĂ© et ce qu’ils ont dĂ©couvert est assez dingue.

Alors que les États-Unis font tout pour empĂȘcher la Chine d’accĂ©der aux derniĂšres technologies d’IA, des B200, H100 et H200 de Nvidia circulent tranquillement sur les rĂ©seaux sociaux chinois. Leur prix ? 50% au-dessus du tarif normal, mais visiblement ça ne freine personne. Les vendeurs proposent mĂȘme des racks prĂ©-assemblĂ©s avec 8 puces B200, prĂȘts Ă  brancher dans un datacenter. Genre tu commandes sur WeChat et hop, tu reçois ton rack de 150 kilos Ă  560 000 dollars.

D’aprĂšs l’enquĂȘte du FT, rien qu’entre avril et juin 2025, c’est plus d’un milliard de dollars de matos qui aurait transitĂ©. Les puces passent par la ThaĂŻlande, la Malaisie, et d’autres pays d’Asie du Sud-Est oĂč les contrĂŽles sont
 disons plus souples. La Malaisie a d’ailleurs vu ses importations de GPU avancĂ©s exploser de 3400% dĂ©but 2025. CoĂŻncidence ? Je ne crois pas


Le plus ironique dans l’histoire, c’est que ces restrictions viennent juste d’ĂȘtre assouplies pour les puces moins puissantes comme la H20. Mais bon, pourquoi se contenter d’une 2CV quand on peut avoir une Ferrari, mĂȘme au marchĂ© noir ?

Une boĂźte chinoise basĂ©e Ă  Shanghai, “Gate of the Era” (ça ne s’invente pas), créée en fĂ©vrier juste avant que les restrictions ne tombent (le timing est parfait), aurait Ă  elle seule Ă©coulĂ© pour 400 millions de dollars de systĂšmes B200. Ils vendent mĂȘme des racks complets entre 3,9 et 3,95 millions de yuans piĂšce.

Un rack de B200

Et Nvidia, de son cĂŽtĂ©, fait la sourde oreille. Leur rĂ©ponse officielle ? “Nous ne fournissons support et service qu’aux produits Nvidia autorisĂ©s”. Traduction : dĂ©merdez-vous avec vos GPU de contrebande. Mais bon, avec une valorisation de 4000 milliards de dollars, ils vont pas trop pleurer sur quelques puces qui s’égarent.

Ce qui est fascinant, c’est comment les Chinois ont industrialisĂ© le contournement. Les vendeurs testent mĂȘme les puces avant de les vendre pour garantir qu’elles fonctionnent. Service aprĂšs-vente inclus apparemment. Un opĂ©rateur de datacenter chinois l’a dit cash au FT : “Les contrĂŽles Ă  l’export n’empĂȘcheront pas les produits les plus avancĂ©s de Nvidia d’entrer en Chine. Ça ajoute juste de l’inefficacitĂ© et crĂ©e d’énormes profits pour les intermĂ©diaires prĂȘts Ă  prendre des risques.”

Pendant ce temps, DeepSeek et d’autres boĂźtes d’IA chinoises prĂ©tendent faire aussi bien que les modĂšles amĂ©ricains avec beaucoup moins de ressources, mais visiblement, ça ne les empĂȘche pas de quand mĂȘme vouloir mettre la main sur les derniers joujoux de Nvidia.

Jensen Huang, le CEO de Nvidia nĂ© Ă  Taiwan, voit toujours la Chine comme une opportunitĂ© Ă©norme. C’est d’ailleurs lui qui aurait nĂ©gociĂ© avec Trump pour assouplir certaines restrictions. Mais pour les B200 et H100, c’est toujours un niet officiel !

Le gouvernement amĂ©ricain essaie surtout pendant ce temps de boucher les trous. Le Department of Commerce envisage par exemple d’imposer des contrĂŽles plus stricts sur des pays comme la ThaĂŻlande dĂšs septembre. Mais franchement, quand y’a autant d’argent en jeu, croyez-moi, les contrebandiers trouveront toujours un moyen.

Au final, cette histoire montre bien les limites d’une guerre commerciale technologique. C’est un peu comme la drogue
 Tu peux interdire, restreindre, sanctionner, mais quand la demande est lĂ  et que les profits sont juteux, le marchĂ© trouve toujours un chemin oĂč les seuls qui s’enrichissent vraiment, ce sont les intermĂ©diaires qui prennent leur commission de 50% au passage.

Source

Des réacteurs à fusion qui transforment le mercure en or - Le Bitcoin va-t-il remplacer le métal jaune ?

Par : Korben
25 juillet 2025 Ă  15:16

Alors ça, c’est le genre de news qui pourrait foutre en l’air le marchĂ© de l’or. En effet, une startup amĂ©ricaine, Marathon Fusion, vient de publier un papier scientifique oĂč ils expliquent tranquillement comment transformer du mercure en or dans leurs rĂ©acteurs Ă  fusion nuclĂ©aire. Et attention, je ne vous parle pas de trois grammes pour faire joli, mais bien de 5 tonnes d’or par gigawatt d’électricitĂ© produit par an.

C’est le rĂȘve des alchimistes du Moyen Âge qui devient rĂ©alitĂ© grĂące Ă  la physique nuclĂ©aire. C’est un truc de fou, surtout que le principe est relativement simple (enfin, sur le papier). Vous prenez du mercure-198, un isotope assez commun du mercure. Vous le bombardez avec des neutrons rapides de 14 MeV gĂ©nĂ©rĂ©s par la fusion deutĂ©rium-tritium dans un tokamak. Le mercure-198 perd alors un neutron et devient du mercure-197, qui est instable. Et en 64 heures environ, pouf, il se transforme naturellement en or-197, le seul isotope stable de l’or.

Le cƓur d’un rĂ©acteur Tokamak

D’aprĂšs leurs calculs, un rĂ©acteur Ă  fusion d’un gigawatt pourrait ainsi produire 5000 kilos d’or par an. Au cours actuel de l’or (environ 3400 dollars l’once), ça reprĂ©sente plus de 544 millions de dollars. De quoi donc largement rentabiliser l’exploitation du rĂ©acteur et avoir de quoi s’offrir un yacht ou deux.

Mais attendez, avant de vous emballer et de vendre tous vos lingots, y’a quelques dĂ©tails importants Ă  connaitre avant. D’abord, Marathon Fusion n’a pas encore construit de rĂ©acteur. Leur papier, intitulĂ© “Scalable Chrysopoeia via (n, 2n) Reactions Driven by Deuterium-Tritium Fusion Neutrons” (la chrysopoeia, c’est le nom savant pour la transmutation en or), est encore en attente de validation par les pairs mĂȘme si l’équipe a l’air solide avec des anciens de SpaceX, Helion Energy, TAE Technologies et une dizaine de PhD en physique et chimie.

Le physicien Ahmed Diallo du Department of Energy amĂ©ricain, qui a passĂ© en revue l’étude, dĂ©clare : “Sur le papier, ça a l’air gĂ©nial et tous ceux Ă  qui j’en ai parlĂ© jusqu’à prĂ©sent restent intriguĂ©s et excitĂ©s”. C’est plutĂŽt bon signe quand mĂȘme.

Ce qui est vraiment malin dans leur approche, c’est que la production d’or ne compromet pas la gĂ©nĂ©ration d’électricitĂ© du rĂ©acteur. En fait, les rĂ©actions (n, 2n) du mercure-198 participent Ă  la multiplication des neutrons nĂ©cessaire au fonctionnement du rĂ©acteur. C’est du win-win car vous produisez de l’énergie propre ET de l’or en mĂȘme temps.

Alors Ă©videmment, si cette technologie devient rĂ©alitĂ© et se dĂ©ploie Ă  grande Ă©chelle, qu’est-ce que ça veut dire pour la valeur de l’or ? Et surtout, est-ce que le Bitcoin va enfin pouvoir prendre sa place comme “l’or numĂ©rique” ? Parce que bon, si on peut fabriquer de l’or Ă  la chaĂźne dans des rĂ©acteurs, l’argument de la raretĂ© du mĂ©tal jaune prend un sacrĂ© coup.

Les experts en crypto sont dĂ©jĂ  sur le coup. Standard Chartered prĂ©dit que le Bitcoin pourrait atteindre 200 000 dollars d’ici fin 2025, avec une trajectoire vers 500 000 dollars en 2028. VanEck table sur 180 000 dollars pour 2025. Et certains analystes plus optimistes parlent mĂȘme de 220 000 dollars comme objectif “raisonnable”.

Le truc, c’est que le Bitcoin a cet avantage indĂ©niable, Ă  savoir que sa quantitĂ© est limitĂ©e Ă  21 millions d’unitĂ©s, point barre. Pas moyen d’en crĂ©er plus avec un rĂ©acteur nuclĂ©aire ou d’aller en chercher dans l’espace. Cette raretĂ© programmĂ©e pourrait devenir son principal atout face Ă  un or qui deviendrait soudainement beaucoup moins rare.

Mais bon, restons rĂ©alistes deux secondes. MĂȘme si Marathon Fusion arrive Ă  faire fonctionner leur truc, on parle de combien de rĂ©acteurs dans le monde ? Une centaine ? Deux cents dans le meilleur des cas ? À 5 tonnes par rĂ©acteur par an, ça fait maximum 1000 tonnes d’or supplĂ©mentaires par an. C’est beaucoup, mais la production miniĂšre actuelle est dĂ©jĂ  d’environ 3000 tonnes par an. Donc on augmenterait la production de 33%, ce qui est significatif mais pas non plus apocalyptique pour le marchĂ© de l’or.

Et puis y’a la question du mercure. Pour produire tout cet or, il faut du mercure-198 enrichi Ă  90%. Le processus d’enrichissement n’est pas gratuit et le mercure n’est pas exactement un matĂ©riau super sympa Ă  manipuler (coucou les problĂšmes environnementaux). N’empĂȘche, l’idĂ©e qu’on puisse crĂ©er de l’or comme sous-produit de la production d’énergie propre, c’est quand mĂȘme bluffant. Les alchimistes cherchaient la pierre philosophale, on a trouvĂ© le tokamak. Et au passage, comme je vous le disais, ça pourrait bien donner un coup de boost au Bitcoin comme alternative Ă  l’or physique.

Donc en attendant que Marathon Fusion construise son premier rĂ©acteur (ils n’ont pas donnĂ© de date, mais vu la complexitĂ© de la fusion, on peut tabler sur 10-15 ans minimum). Bref, on verra bien !

Source

L'histoire de deux ados britanniques qui ont failli déclencher la 3e Guerre mondiale en cherchant des OVNIS

Par : Korben
25 juillet 2025 Ă  13:37

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Aujourd’hui dans ma sĂ©rie “les ados qui ont failli dĂ©clencher la TroisiĂšme Guerre mondiale”, je vous prĂ©sente l’histoire complĂštement dingue de Mathew et Richard, respectivement 21 ans de Cardiff et 16 ans de la banlieue londonienne, qui ont rĂ©ussi l’exploit de faire trembler le Pentagone armĂ©s d’un simple modem 56k et d’une obsession maladive pour les petits hommes verts.

Le Pentagone, cette forteresse imprenable
 sauf pour deux ados obsédés par X-Files

Si comme moi, vous ĂȘtes fans de X-Files, vous allez kiffer cette histoire. Mathew Bevan, alias “Kuji”, et Richard Pryce, surnommĂ© “Datastream Cowboy” (dĂ©jĂ  rien que les pseudos, c’est tout un programme) ont piratĂ© pendant des mois les systĂšmes les plus secrets de l’armĂ©e amĂ©ricaine. Et leur but Ă©taint encore plus fou : Prouver que le gouvernement amĂ©ricain cache l’existence des extraterrestres. Cheh !

Et ils ont effectivement rĂ©ussi Ă  s’introduire dans ces systĂšmes ultra-sensibles. Pire encore, ils ont failli crĂ©er un incident diplomatique majeur. Un agent du Pentagone a mĂȘme qualifiĂ© Kuji de “plus grande menace pour la paix mondiale depuis Adolf Hitler”. Rien que ça ! C’est beau, j’en suis Ă©mu.

L’histoire commence donc dans les bureaux du Rome Laboratory Ă  Griffiss Air Force Base, dans l’État de New York. Les administrateurs systĂšme dĂ©couvrent qu’un programme espion, un “sniffer”, a Ă©tĂ© installĂ© clandestinement sur leur rĂ©seau et le machin avait collectĂ© tellement de mots de passe et d’informations qu’il avait saturĂ© le disque dur et fait crasher le systĂšme. Breeeef, imaginez la tronche des admins : le laboratoire de recherche le plus secret de l’US Air Force, celui qui dĂ©veloppe l’intelligence artificielle militaire et les systĂšmes de guidage radar, venait de se faire trouer comme un emmental.

Rome Laboratory, le cerveau technologique de l’US Air Force
 infiltrĂ© par deux ados

Le 28 mars 1994, Jim Christy, chef des investigations cybercriminelles de l’Air Force Office of Special Investigations (AFOSI) de l’époque, reçoit l’appel qui va bouleverser sa vie.

“On a un problĂšme”, lui annonce son Ă©quipe. Ancien de la NSA reconverti dans la lutte contre la cybercriminalitĂ© militaire, Christy comprend immĂ©diatement l’ampleur du dĂ©sastre. Rome Lab, c’est pas n’importe quoi, c’est l’endroit oĂč se dĂ©veloppent les armes du futur de l’armĂ©e amĂ©ricaine.

L’équipe de Christy dĂ©couvre alors rapidement que les intrus utilisent deux pseudonymes : “Datastream” et “Kuji”. Deux hackers fantĂŽmes qui se baladent dans les systĂšmes militaires amĂ©ricains comme dans leur salon mais le pire reste Ă  venir puisqu’ils utilisent les serveurs compromis de Rome Lab comme tremplin pour attaquer d’autres cibles : La NASA, Wright-Patterson Air Force Base (vous savez, lĂ  oĂč sont censĂ©s ĂȘtre planquĂ©s les aliens), Hanscom Air Force Base, et mĂȘme des contractants de dĂ©fense en Californie et au Texas.

Pendant 26 jours, Christy et ses Ă©quipes surveillent les deux pirates sans intervenir. Ils veulent comprendre l’ampleur de l’attaque et remonter jusqu’aux coupables. Ce qu’ils dĂ©couvrent les fait flipper grave : plus de 150 intrusions sur Rome Lab, des tĂ©raoctets de donnĂ©es sensibles copiĂ©es, des emails d’officiers lus et effacĂ©s, et des programmes de simulation de champ de bataille tĂ©lĂ©chargĂ©s. HĂ© oui, c’est qu’ont dĂ©couvert les enquĂȘteurs.

Jim Christy quelques années avant la traque des cyber-intrus

Mais le vĂ©ritable moment de panique arrive quand les agents voient Datastream tenter d’accĂ©der Ă  un ordinateur dans un laboratoire nuclĂ©aire en CorĂ©e.

“Holy shit”, se dit Christy. On est en 1994, les États-Unis sont en pleine nĂ©gociation tendue avec la CorĂ©e du Nord sur son programme nuclĂ©aire alors si les Nord-CorĂ©ens dĂ©tectent une attaque sur leur installation nuclĂ©aire venant d’une base aĂ©rienne amĂ©ricaine, ils vont croire Ă  un acte de guerre.

Les agents retiennent leur souffle. Heureusement, ils dĂ©couvrent par la suite que la cible Ă©tait en CorĂ©e du Sud, pas au Nord. Mais Datastream a quand mĂȘme tĂ©lĂ©chargĂ© les donnĂ©es du Korean Atomic Energy Research Institute et les a transfĂ©rĂ©es sur les serveurs de l’US Air Force. Et si les Sud-CorĂ©ens dĂ©couvrent ce transfert, c’est l’incident diplomatique assurĂ©. Elle est pas belle la vie ?

Mais alors qui est ce mystĂ©rieux Kuji qui fait trembler le Pentagone ? Et bien c’est Mathew Bevan, nĂ© le 10 juin 1974 Ă  Cardiff, au Pays de Galles. Un gamin qui vit un calvaire Ă  l’école, harcelĂ© par ses camarades, en difficultĂ© scolaire, alors la nuit, pendant que ses parents dorment, il trouve refuge dans les bulletin boards (BBS) et les premiers forums Internet.

L’univers de Mathew Bevan : une chambre, un ordinateur, et des rĂȘves d’extraterrestres

C’est lĂ  qu’il dĂ©couvre le phone phreaking, l’art de manipuler les systĂšmes tĂ©lĂ©phoniques pour passer des appels gratuits n’importe oĂč dans le monde. Cette compĂ©tence devient son passeport pour le monde du hacking et un jour, quelqu’un lui donne accĂšs Ă  Sin City, un bulletin board belge, repaire de hackers bien connu de l’époque. En Ă©change de ses techniques de phone phreaking, les habitants de Sin City lui offrent alors documents et mĂ©thodes pour pirater des ordinateurs.

Mais le vĂ©ritable dĂ©clic arrive quand Bevan tombe sur Destiny Stone, un bulletin board gĂ©rĂ© par un phone phreaker australien surnommĂ© Ripmax. “Ce que j’ai trouvĂ© sur son systĂšme, c’étaient des centaines de documents sur les OVNIs, les dissimulations gouvernementales et les thĂ©ories du complot”, se souvient Bevan. Il y dĂ©couvre notamment l’histoire de 40 hackers qui auraient disparu mystĂ©rieusement aprĂšs avoir ciblĂ© des systĂšmes militaires pour dĂ©couvrir la vĂ©ritĂ© sur les OVNIs.

X-Files - La série qui a inspiré toute une génération de hackers conspirationnistes

Et lĂ , c’est le moment “eureka” de Bevan car si ces 40 hackers ont disparu en cherchant la vĂ©ritĂ© sur les OVNIs, c’est qu’il y a forcĂ©ment quelque chose Ă  cacher. Sa mission est donc toute trouvĂ©e : reprendre lĂ  oĂč les disparus se sont arrĂȘtĂ©s, pirater chacune des bases militaires citĂ©es par le magazine underground PHRACK, et prouver une bonne fois pour toutes que le gouvernement amĂ©ricain cache l’existence des extraterrestres.

En 1994, Bevan entre alors en contact via IRC avec Richard Pryce, un gamin de 16 ans passionnĂ© de musique et d’informatique. Pryce, qui se fait appeler “Datastream Cowboy”, partage la mĂȘme fascination pour les thĂ©ories du complot. Il admire les compĂ©tences techniques de son aĂźnĂ© et accepte de devenir son “apprenti” dans cette quĂȘte de vĂ©ritĂ©.

IRC : le terrain de jeu des hackers des années 90

C’est Pryce qui dĂ©couvre Rome Laboratory par hasard, en scannant les adresses IP du rĂ©seau militaire amĂ©ricain. “Regarde ce que j’ai trouvĂ©â€, Ă©crit-il Ă  Kuji. “Un labo de recherche de l’Air Force avec des sĂ©curitĂ©s ridiculement faibles.” Bevan comprend immĂ©diatement l’opportunitĂ©. Rome Lab est un nƓud central du rĂ©seau militaire amĂ©ricain, une porte d’entrĂ©e vers des dizaines d’autres installations.

Mais contrairement aux espions professionnels, les deux compĂšres ne cherchent pas Ă  passer inaperçus. Ils laissent des traces partout, copient des gigaoctets de donnĂ©es sans discrimination, et communiquent entre eux sans prĂ©caution particuliĂšre. C’est cette nĂ©gligence va permettre Ă  Christy de les traquer.

Pour traquer les deux fantĂŽmes, l’AFOSI fait appel Ă  son rĂ©seau d’informateurs sur Internet. Un de ces informateurs parvient Ă  entrer en contact avec Datastream Cowboy sur Cyberspace, un fournisseur d’accĂšs Ă  Seattle. Le gamin, naĂŻf et impatient de communiquer avec d’autres hackers, tombe alors directement dans le piĂšge et donne son numĂ©ro de tĂ©lĂ©phone personnel Ă  l’informateur.

Le 12 mai 1994, Scotland Yard arrĂȘte Richard Pryce Ă  son domicile de Colindale. Le gosse est terrorisĂ© et il avoue tout : les intrusions dans Rome Lab, les attaques contre la NASA, le transfert des donnĂ©es corĂ©ennes. Mais surtout, il balance son complice Kuji, mĂȘme s’il ne connaĂźt pas sa vĂ©ritable identitĂ©.

Pryce comparaĂźt devant la Woolwich Crown Court en mars 1996. Il plaide coupable pour 12 infractions au Computer Misuse Act britannique et Ă©cope d’une amende dĂ©risoire de 1 200 livres sterling. Pas de prison, pas de casier judiciaire lourd.

Pendant ce temps, Christy continue sa traque obsessionnelle de Kuji et l’AFOSI met des moyens considĂ©rables sur l’enquĂȘte. Les experts en profilage psychologique dressent un portrait-robot : homme, entre 25 et 35 ans, trĂšs intelligent, formation scientifique, probablement financĂ© par une organisation Ă©tatique. Le Senate Permanent Subcommittee on Investigations va mĂȘme jusqu’à qualifier Kuji “d’agent Ă©tranger, possiblement d’origine est-europĂ©enne”.

Ils se plantent complĂštement puisque Kuji n’est qu’un jeune employĂ© informatique de Cardiff, obsĂ©dĂ© par X-Files et financĂ© par son maigre salaire dans une petite boĂźte galloise. Breeeef, les profileurs du FBI peuvent aller se rhabiller.

Le matos de Mathew Bevan Ă  l’époque

Le 21 juin 1996, Ă  l’aube, une escouade de Scotland Yard dĂ©barque chez Mathew Bevan. Ils s’attendent Ă  tomber sur un espion professionnel, un agent dormant est-europĂ©en et ils dĂ©couvrent un geek de 21 ans vivant chez ses parents dont la chambre est tapissĂ©e d’affiches d’X-Files et de science-fiction. “Les agents ont finalement dĂ©couvert que l’identitĂ© de Kuji Ă©tait Mathew Bevan, 21 ans, un informaticien avec une fascination pour la science-fiction”, rapporte le dossier d’enquĂȘte.

Bevan est arrĂȘtĂ© et inculpĂ©, mais contrairement Ă  son jeune complice, il refuse de coopĂ©rer. Son pĂšre Ă©tant policier, il connaĂźt ses droits et prend un avocat. S’ensuit un bras de fer judiciaire de 20 audiences. En novembre 1997, coup de théùtre : le Crown Prosecution Service abandonne toutes les charges. “DĂ©cision commerciale”, justifie le procureur. Traduction : ça coĂ»te trop cher et l’opinion publique s’en fout.

Bevan sort libre mais marquĂ© Ă  vie. “Je ne peux plus faire de mal Ă  une mouche maintenant”, confie-t-il. Il se reconvertit dans la sĂ©curitĂ© informatique Ă©thique, rejoint Tiger Computer Security, devient dĂ©veloppeur chez Nintendo, et finit par fonder sa propre entreprise, Kuji Media Corporation. L’ironie de l’histoire veut que l’ancien pirate du Pentagone soit aujourd’hui payĂ© pour empĂȘcher d’autres de faire ce qu’il a fait.

De hacker à protecteur : la reconversion réussie de Mathew Bevan

Quant Ă  Pryce, traumatisĂ© par son arrestation, il disparaĂźt complĂštement des radars. AprĂšs la confiscation de son ordinateur, il n’en rachĂšte mĂȘme pas un nouveau. Certains disent qu’il a repris ses Ă©tudes de musique, d’autres qu’il s’est reconverti totalement. Une chose est sĂ»re : l’expĂ©rience l’a vaccinĂ© Ă  vie contre le hacking.

Le rapport d’évaluation des dĂ©gĂąts, publiĂ© le 31 octobre 1994, chiffre les pertes directes de l’US Air Force Ă  211 722 dollars, sans compter les coĂ»ts de l’enquĂȘte et du nettoyage des systĂšmes. Mais les enquĂȘteurs admettent n’avoir dĂ©couvert que la partie Ă©mergĂ©e de l’iceberg. Combien d’autres Kuji et Datastream Cowboy se baladent dans les systĂšmes militaires amĂ©ricains ? On verra bien


Avant 1994, les militaires amĂ©ricains considĂ©raient leurs rĂ©seaux comme protĂ©gĂ©s par leur complexitĂ© technique mais aprĂšs Kuji et Datastream Cowboy, ils comprennent qu’Internet a aboli les frontiĂšres et que n’importe quel ado avec un modem peut devenir une menace nationale. Cette prise de conscience va dĂ©clencher une rĂ©volution dans la cybersĂ©curitĂ© militaire, avec des milliards de dollars investis pour sĂ©curiser ce que deux gamins britanniques avaient dĂ©montrĂ© ĂȘtre un gruyĂšre numĂ©rique.

Et la mauvaise nouvelle, c’est que malgrĂ© des mois d’intrusions dans les systĂšmes les plus secrets de l’US Air Force et de la NASA, Bevan n’a jamais trouvĂ© la moindre preuve de l’existence d’extraterrestres. Pas de dĂ©bris de Roswell, pas de documents sur la Zone 51, pas de technologies aliens. “J’ai fouillĂ© partout”, confiera-t-il. “Wright-Patterson, la NASA, tous les endroits oĂč Ă©taient supposĂ©s ĂȘtre cachĂ©s les secrets sur les OVNIs. Rien, nada, que dalle.”

Cette conclusion aurait dĂ» clore le dĂ©bat, mais les thĂ©oriciens du complot ont retournĂ© l’argument : si Kuji n’a rien trouvĂ©, c’est justement la preuve que la conspiration existe et qu’elle est plus complexe et secrĂšte que ce qu’on pourrait imaginer. The truth is ‘still’ out there, comme dirait Mulder
 Mais elle n’est pas dans les serveurs du Pentagone visiblement


Sources : Security in Cyberspace - Rome Laboratory Case Study, Wikipedia - Mathew Bevan, Kuji Media - Confessions of a hacker, InformIT - The Rome Labs Case, ISC2 - 30 Years After Two Kids Broke into the Air Force, Cryptologic Foundation - 1994: Griffiss Air Force Base finds malware

Wayback - La bouée de sauvetage des vieux environnements X11

Par : Korben
25 juillet 2025 Ă  00:25

Ça vous dirait de pouvoir faire tourner vos vieux window managers X11 prĂ©fĂ©rĂ©s sur du Wayland moderne. Impossible ??? C’est ce que je pensais aussi avant de dĂ©couvrir Wayback !

Pour ceux qui ne suivent pas trop l’actualitĂ© Linux, on est actuellement en pleine transition entre X11 (le vieux systĂšme d’affichage qui date de 1987) et Wayland (le nouveau qui est censĂ© tout rĂ©volutionner). Le problĂšme c’est que ça fait 35 ans qu’on dĂ©veloppe des environnements de bureau pour X11, et avec Wayland, tout ça risquait de partir Ă  la poubelle. Aux chiottes WindowMaker, Enlightenment, FVWM, et tous ces environnements qu’on adorait bidouiller.

Mais voilĂ  qu’Ariadne Conill, une dev d’Alpine Linux, a eu une idĂ©e de gĂ©nie. Au lieu de tout réécrire from scratch (ce qui prendrait des plombes), pourquoi ne pas crĂ©er une couche de compatibilitĂ© ? Et c’est exactement ce qu’est Wayback : un compositeur Wayland minimaliste qui sert juste Ă  faire tourner Xwayland en mode “rootful”. En gros, ça fait croire Ă  vos vieux environnements X11 qu’ils tournent sur un vrai serveur X, alors qu’en fait c’est du Wayland derriĂšre.

Le truc vraiment smart, c’est que Wayback ne fait QUE le strict minimum. C’est pas un compositeur Wayland complet avec tous les effets 3D et compagnie. Non, c’est juste ce qu’il faut pour que Xwayland puisse faire son boulot. Du coup c’est lĂ©ger, ça marche bien, et ça permet de garder tous nos vieux environnements de bureau vivants.

Alors attention, on est encore en version 0.1, donc c’est de l’alpha. Y’a pas le multi-Ă©crans qui marche, pas de contrĂŽle DPMS, et le verrouillage de souris ne fonctionne pas (donc oubliez les FPS pour l’instant). Mais franchement, pour un truc qui vient juste de sortir, c’est dĂ©jĂ  super impressionnant.

D’ailleurs, le projet a Ă©tĂ© intĂ©grĂ© dans l’écosystĂšme FreeDesktop.org, ce qui est plutĂŽt bon signe pour l’avenir. Ils ont mĂȘme un canal IRC (#wayback sur Libera.Chat) avec un bridge Matrix si vous prĂ©fĂ©rez. Et niveau packaging, c’est dĂ©jĂ  dispo sur Alpine Linux (forcĂ©ment), Arch AUR, Fedora, et mĂȘme dans Nix.

Pour l’installer, c’est pas sorcier. Vous clonez le dĂ©pĂŽt GitLab, vous compilez avec Meson, et hop. Les dĂ©pendances c’est du classique : Wayland, wlroots 0.19, et Xwayland 24.1 minimum. Une fois installĂ©, au lieu de lancer startx, vous faites wayback-session et magie, votre vieil environnement X11 se lance via Wayland.

Ce qui est cool aussi, c’est l’architecture du truc. Ils ont dĂ©coupĂ© ça en trois composants : wayback-compositor (le compositeur Wayland minimal), Xwayback (qui remplace le binaire Xorg), et wayback-session (qui remplace startx). Du coup c’est super modulaire et ça s’intĂšgre nickel dans un systĂšme existant. Bon par contre, faut pas se mentir, c’est pas encore prĂȘt pour monsieur tout le monde. Mais si vous ĂȘtes du genre Ă  avoir encore un vieux WindowMaker qui traĂźne quelque part ou si vous voulez prĂ©server votre config FVWM de 2003 ou un vieux Enlightenment E16, c’est clairement un projet Ă  suivre de prĂšs.

Quoiqu’il en soit, ça pourrait vraiment devenir LE moyen de transition entre X11 et Wayland, comme ça au lieu de forcer tout le monde Ă  tout réécrire, on garde la compatibilitĂ© et on migre en douceur. Alpine Linux compte d’ailleurs dĂ©jĂ  s’en servir pour rĂ©duire la maintenance du serveur X.org classique, et je parie que d’autres distros vont suivre.

VoilĂ , si vous voulez tester, toutes les infos sont sur le site officiel et le code source est sur GitLab.

WhoFi - Votre corps a une empreinte Wi-Fi unique

Par : Korben
24 juillet 2025 Ă  15:42

Ce matin au petit dĂ©j, je suis tombĂ© sur un doc de recherche qui m’a fait recracher mon cafĂ© soluble tout dĂ©geu des vacances : des scientifiques italiens peuvent maintenant vous reconnaĂźtre Ă  95,5% juste en analysant comment votre corps dĂ©forme les signaux Wi-Fi. Et le pire, c’est que ça marche mĂȘme Ă  travers les murs.

Les chercheurs de l’UniversitĂ© La Sapienza de Rome (Danilo Avola, Daniele Pannone, Dario Montagnini et Emad Emam) ont baptisĂ© leur bĂ©bĂ© “WhoFi”, et celui-ci utilise ce qu’on appelle le CSI (Channel State Information) pour crĂ©er une sorte d’empreinte biomĂ©trique basĂ©e sur la façon dont votre corps interfĂšre avec les ondes Wi-Fi.

En gros, quand une onde Wi-Fi traverse votre corps, elle est modifiĂ©e de maniĂšre unique par vos os, vos organes, votre composition corporelle. C’est comme si votre squelette et vos entrailles crĂ©aient une signature radio personnelle. Les chercheurs ont donc entraĂźnĂ© un rĂ©seau de neurones profonds avec une architecture Transformer (oui, comme pour ChatGPT) pour reconnaĂźtre ces patterns uniques.

Le plus flippant dans tout ça, c’est que contrairement aux camĂ©ras qui ne voient que votre surface, le Wi-Fi pĂ©nĂštre littĂ©ralement Ă  l’intĂ©rieur de vous. Votre densitĂ© osseuse, la forme de vos organes
etc tout ça crĂ©e des distorsions spĂ©cifiques dans le signal. C’est comme si on pouvait vous scanner en permanence sans que vous le sachiez.

Pour tester leur systĂšme, l’équipe a utilisĂ© le dataset NTU-Fi, une rĂ©fĂ©rence dans le domaine du sensing Wi-Fi. Et lĂ , bam ! 95,5% de prĂ©cision pour identifier les personnes. C’est Ă©norme. Pour vous donner une idĂ©e, EyeFi, un systĂšme similaire dĂ©veloppĂ© en 2020, plafonnait Ă  75%. On parle donc d’une amĂ©lioration de 20 points, ce qui est colossal dans ce domaine.

Mais attendez, c’est pas fini car le truc vraiment balĂšze avec WhoFi, c’est qu’il n’a pas besoin d’ĂȘtre rĂ©entraĂźnĂ© pour chaque nouveau point d’accĂšs. Le modĂšle Transformer peut gĂ©nĂ©raliser et s’adapter Ă  de nouvelles conditions sans avoir besoin d’apprendre spĂ©cifiquement chaque environnement. En clair, une fois que le systĂšme vous connaĂźt, il peut vous reconnaĂźtre partout oĂč il y a du Wi-Fi. Et s’il y a plus du tout de Wi-Fi c’est que c’est moi qui suis dans le coin parce que je bloque tout Ă  cause des moules frites Ă  volontĂ© d’hier soir ^^.

Imaginez les implications d’une telle techno. Vous entrez dans un cafĂ©, un magasin, un aĂ©roport, et hop, vous ĂȘtes identifiĂ© sans mĂȘme vous connecter au Wi-Fi. Pas besoin de sortir votre tĂ©lĂ©phone, pas besoin de badge, votre corps fait office de carte d’identitĂ© ambulante. C’est Ă  la fois trĂšs cool et terrifiant. Les chercheurs se dĂ©fendent en disant que leur systĂšme est plus “privacy-preserving” que les camĂ©ras traditionnelles parce qu’il ne capture pas d’images
. Mouais, permettez-moi d’ĂȘtre sceptique. Certes, on ne voit pas votre tĂȘte, mais on peut vous traquer partout oĂč il y a du Wi-Fi, et ça, c’est partout de nos jours.

Le CSI, pour ceux qui se demanderaient, c’est en fait l’information sur l’état du canal Wi-Fi. Chaque fois qu’un signal Wi-Fi est transmis, il contient des donnĂ©es sur comment le signal a Ă©tĂ© affectĂ© pendant son voyage. C’est normalement utilisĂ© pour optimiser la transmission, mais les chercheurs ont dĂ©tournĂ© ça pour en faire un outil d’identification.

Voilà donc pour les bonnes nouvelles


Bien sĂ»r, ce n’est pas nouveau que les chercheurs s’intĂ©ressent au Wi-Fi pour dĂ©tecter des trucs. On a dĂ©jĂ  vu des systĂšmes capables de dĂ©tecter des chutes, de reconnaĂźtre des gestes, ou mĂȘme de voir Ă  travers les murs, mais lĂ , on franchit un cap avec l’identification prĂ©cise des individus.

Pour ĂȘtre honnĂȘte, la technologie en elle-mĂȘme est bluffante. Utiliser des variations d’amplitude et de phase dans les signaux Wi-Fi pour crĂ©er une signature biomĂ©trique unique, c’est trĂšs malin je trouve surtout que les chercheurs ont mĂȘme implĂ©mentĂ© des techniques de data augmentation pour rendre le systĂšme plus robuste au bruit et aux variations mineures du signal.

Le problĂšme c’est si cette technologie devient omniprĂ©sente sans que personne ne s’en rende compte car contrairement aux camĂ©ras qui sont visibles ou aux lecteurs d’empreintes qui nĂ©cessitent votre coopĂ©ration, le Wi-Fi est invisible et dispo partout. Vous pourriez donc ĂȘtre trackĂ© du moment oĂč vous entrez dans un bĂątiment jusqu’à votre sortie, avec une prĂ©cision chirurgicale. Et si c’est couplĂ© Ă  d’autre techno, ce sera encore pire : reconnaissance faciale + tracking Wi-Fi + gĂ©olocalisation GPS
 On arrivera alors Ă  un niveau de surveillance qui ferait passer “1984” d’Orwell pour un conte de fĂ©es.

Les chercheurs affirment que pour l’instant, c’est purement acadĂ©mique et qu’il n’y a pas d’applications commerciales ou gouvernementales prĂ©vues, mais soyons rĂ©alistes deux secondes. Une technologie capable d’identifier les gens Ă  quasi 100% sans aucun Ă©quipement spĂ©cial autre que des routeurs Wi-Fi standards, les agences de renseignement et les entreprises de marketing doivent dĂ©jĂ  se frotter les mains.

Et pour se protĂ©ger de ça, ça devient compliquĂ©. Porter une armure en plomb ? Pas trĂšs pratique. Brouiller les signaux Wi-Fi autour de vous ? IllĂ©gal dans la plupart des pays. Non, en vrai on n’a pas vraiment de solution pour l’instant.

Heureusement, certains chercheurs travaillent dĂ©jĂ  sur des contre-mesures. Des techniques comme le “CSI fuzzing” ou la randomisation CSI sont explorĂ©es pour protĂ©ger la vie privĂ©e. L’idĂ©e est de modifier les signaux pilotes pour corrompre les informations CSI tout en prĂ©servant la communication normale.

Bref, pour conclure, WhoFi est une prouesse technologique indĂ©niable mais comme souvent avec ce genre d’innovation, la question n’est pas “peut-on le faire ?” mais “devrait-on le faire ?” car dans notre monde oĂč la vie privĂ©e est dĂ©jĂ  bien bien mise Ă  mal, rajouter une couche de surveillance invisible et omniprĂ©sente me semble ĂȘtre un peu too much


Source : WhoFi: Deep Person Re-Identification via Wi-Fi Channel Signal Encoding

APT29 / Cozy Bear - L'histoire du groupe d'espionnage russe qui a hacké la Maison Blanche

Par : Korben
24 juillet 2025 Ă  13:37

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Aujourd’hui les amis, je vais vous raconter l’histoire du groupe de hackers le plus patient et le plus sophistiquĂ© au monde. APT29, aussi connu sous les doux noms de Cozy Bear, The Dukes ou maintenant Midnight Blizzard, c’est l’élite absolue du cyber-espionnage russe. Ce sont des espions qui peuvent squatter vos systĂšmes pendant des annĂ©es, qui matent vos emails les plus confidentiels, qui observent chacun de vos mouvements numĂ©riques, et tout ça dans la plus grande discrĂ©tion.

Ces types ont piratĂ© la Maison Blanche, le Pentagone, le DĂ©partement d’État amĂ©ricain, et j’en passe. Mais en 2014, les services secrets nĂ©erlandais ont rĂ©ussi l’impensable : ils ont piratĂ© ces pirates ! Je vous raconte tout ça !!

SiĂšge du SVR Ă  Moscou, d’oĂč sont orchestrĂ©es les opĂ©rations d’APT29

L’histoire d’APT29 commence bien avant que le monde ne connaisse leur nom. Les premiers signes de leur activitĂ© remontent Ă  2008, et certains experts pensent mĂȘme qu’ils opĂ©raient dĂ©jĂ  dĂšs 2004. À l’époque, personne ne savait vraiment qui ils Ă©taient. On voyait juste des attaques ultra-sophistiquĂ©es contre des gouvernements occidentaux, des think tanks, des organisations internationales.

Ce qui distinguait dĂ©jĂ  ces attaques des autres, c’était leur patience lĂ©gendaire. LĂ  oĂč d’autres groupes de hackers font du “smash and grab”, ils entrent, ils volent, ils sortent, APT29 s’installait pour des mois, voire des annĂ©es. Ils observaient, ils apprenaient, ils attendaient. C’était de l’espionnage Ă  l’ancienne, mais avec des moyens modernes. Du coup, c’est pas pour rien qu’on les appelle “Cozy Bear”, l’ours douillet qui hiberne tranquillement dans vos systĂšmes.

Le nom “Cozy Bear” leur a Ă©tĂ© donnĂ© par CrowdStrike, une sociĂ©tĂ© de cybersĂ©curitĂ© amĂ©ricaine car dans leur systĂšme de nomenclature, tous les groupes russes sont des “ours”. Et y’a du monde au zoo : Fancy Bear (APT28, liĂ© au GRU, le renseignement militaire), Venomous Bear, Primitive Bear
 Mais Cozy Bear, c’est ceux qui s’installe pĂ©pĂšre dans vos systĂšmes en attendant le bon moment.

Les autres noms liĂ©s Ă  ce groupe sont tout aussi Ă©vocateurs. “The Dukes” fait rĂ©fĂ©rence Ă  leur famille de malwares : MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, GeminiDuke
 Chaque “Duke” a sa spĂ©cialitĂ©, ses capacitĂ©s uniques. C’est l’équivalent d’une boĂźte Ă  outils mais pour faire du cyber espionnage ultra-sophistiquĂ©.

Maintenant, parlons technique deux secondes. Le cƓur de MiniDuke, dĂ©couvert en 2013, Ă©tait Ă©crit entiĂšrement en assembleur ce qui est un choix assez insolite mais qui montre l’excellent niveau des dĂ©veloppeurs. Le malware pesait seulement 20KB, pouvait tĂ©lĂ©charger des modules additionnels selon les besoins et Ă©viter la dĂ©tection par les antivirus traditionnels. CozyDuke, lui, utilisait des certificats volĂ©s pour signer ses composants et se faire passer pour du code lĂ©gitime.

Mais revenons Ă  cette incroyable histoire nĂ©erlandaise. En 2014, les cyber-espions du Joint Sigint Cyber Unit (JSCU), l’unitĂ© cyber conjointe des services de renseignement nĂ©erlandais (AIVD et MIVD), bossent sur une piste. Cette unitĂ© d’élite de 80-100 personnes a pour mission de rĂ©pĂ©rer des activitĂ©s cheloues et de remonter leurs traces. Ce qu’ils dĂ©couvrent alors dĂ©passe leurs espĂ©rances les plus folles.

Non seulement ils parviennent Ă  infiltrer le rĂ©seau utilisĂ© par APT29, mais ils dĂ©couvrent aussi quelque chose d’extraordinaire : le groupe opĂšre depuis un bĂątiment universitaire prĂšs de la Place Rouge Ă  Moscou. Et cerise sur le gĂąteau, y’a des camĂ©ras de surveillance partout dans le bĂątiment. Les NĂ©erlandais prennent le contrĂŽle de ces camĂ©ras, et hop, c’est l’arroseur arrosĂ© !

Vue de la Place Rouge Ă  Moscou

La Place Rouge à Moscou, tout prùs du QG secret d’APT29

Pendant au moins un an, voire jusqu’à deux ans et demi selon les sources, c’est l’opĂ©ration de contre-espionnage du siĂšcle. Les NĂ©erlandais regardent littĂ©ralement par-dessus l’épaule des hackers russes. Ils voient qui entre et sort du bureau. Ils identifient des agents du SVR grĂące aux images. Ils observent les hackers lancer leurs attaques en temps rĂ©el. C’est comme me regarder bosser en live Twitch, mais avec des vrais espions russes !

Et lĂ , ça part en sucette car l’AIVD voit APT29 attaquer le DĂ©partement d’État amĂ©ricain en novembre 2014. Ils alertent alors immĂ©diatement leurs homologues amĂ©ricains : “HĂ© les gars, vos systĂšmes sont en train de se faire dĂ©foncer, voici exactement ce que font les Russes.” Les AmĂ©ricains sont sur le cul. C’est du renseignement en temps rĂ©el d’une qualitĂ© exceptionnelle.

Le DĂ©partement d’État amĂ©ricain, premiĂšre cible majeure observĂ©e par les NĂ©erlandais

Quand APT29 s’attaque ensuite Ă  la Maison Blanche fin 2014, les NĂ©erlandais sont encore lĂ , Ă  observer. Les Russes accĂšdent aux notes confidentielles non classifiĂ©es du prĂ©sident Obama et Ă  son agenda et les AmĂ©ricains sont tellement reconnaissants de l’aide nĂ©erlandaise qu’ils Ă©tablissent des canaux de communication ultra-sĂ©curisĂ©s entre les deux agences. Du jamais vu dans l’histoire du renseignement.

L’attaque contre le Pentagone en aoĂ»t 2015 est un autre exemple de la sophistication d’APT29. Ils utilisent une technique de spear-phishing c’est Ă  dire des emails ciblĂ©s qui semblent lĂ©gitimes. L’email contient un lien vers ce qui semble ĂȘtre un article d’actualitĂ© sur les tensions en Ukraine mais quand la victime clique, c’est le dĂ©but de l’infiltration.

Le Pentagone paralysé pendant deux semaines par APT29

Et le malware utilisĂ© est une merveille d’ingĂ©nierie. Il vĂ©rifie d’abord si la machine est intĂ©ressante. Si c’est juste un PC lambda, il reste dormant par contre, si c’est une machine avec des accĂšs privilĂ©giĂ©s, il s’active et commence Ă  explorer le rĂ©seau. Il communique alors avec ses serveurs de commande en utilisant des techniques de stĂ©ganographie cachant des donnĂ©es dans des images innocentes postĂ©es sur des sites web lĂ©gitimes. Ces mecs sont des artistes !

L’attaque paralyse le systĂšme mail non classifiĂ© de l’état-major des armĂ©es pendant deux semaines. 4000 militaires et civils travaillant pour l’état-major amĂ©ricain sont affectĂ©s. C’est trĂšs embarrassant pour la premiĂšre puissance militaire mondiale, mais c’est surtout inquiĂ©tant car si APT29 peut faire subir ça au Pentagone, que peuvent-ils faire d’autre ?

Mais c’est l’attaque contre le Democratic National Committee (DNC) en 2015-2016 qui va vraiment faire connaĂźtre APT29 au grand public. Ils infiltrent le rĂ©seau du DNC dĂšs l’étĂ© 2015, presque un an avant l’élection prĂ©sidentielle et pendant des mois, ils lisent tranquillement les emails, ils tĂ©lĂ©chargent des documents, ils observent.

Bureaux du DNC Ă  Washington

Et lĂ , c’est le bordel complet ! APT29 n’est pas seul sur ce coup. APT28 (Fancy Bear), l’autre groupe de hackers russes liĂ© au GRU, dĂ©barque sur le rĂ©seau du DNC dĂ©but 2016. Les deux groupes ne semblent pas coordonner leurs actions. C’est mĂȘme le contraire : ils se marchent sur les pieds, ils utilisent des techniques diffĂ©rentes, ils ont des objectifs diffĂ©rents.

APT29, fidĂšle Ă  sa rĂ©putation, est discret. Ils collectent du renseignement, point barre. APT28, c’est l’inverse. Ils sont bruyants, agressifs. Ce sont eux qui vont leaker les documents du DNC via WikiLeaks et DCLeaks. Deux services de renseignement russes, deux approches complĂštement diffĂ©rentes. C’est comme si la DGSE et la DGSI se marchaient dessus pendant une opĂ©ration. Bref, du grand n’importe quoi !

APT28 et APT29, deux façons de procéder bien différentes

Les NĂ©erlandais observent tout ça en temps rĂ©el. Ils voient APT29 opĂ©rer, ils comprennent que c’est grave. D’ailleurs, leur renseignements servent de base Ă  l’enquĂȘte du FBI sur l’ingĂ©rence russe dans l’élection de 2016 et sans les NĂ©erlandais, on n’aurait peut-ĂȘtre jamais su Ă  quel point l’opĂ©ration Ă©tait sophistiquĂ©e.

Malheureusement, l’accĂšs nĂ©erlandais Ă  APT29 se tarit entre 2016 et 2017. Des journalistes nĂ©erlandais de Volkskrant et Nieuwsuur rĂ©vĂšlent l’histoire en janvier 2018, et suggĂšrent que des dĂ©clarations indiscrĂštes de hauts responsables amĂ©ricains ont grillĂ© l’opĂ©ration. Les Russes ont compris qu’ils Ă©taient surveillĂ©s et ont changĂ© leurs mĂ©thodes. L’AIVD Ă©tait furieux !! Des annĂ©es de travail ruinĂ©es par des grandes gueules !

Le QG de l’AIVD Ă  Zoetermeer, d’oĂč fut menĂ©e l’opĂ©ration contre APT29

Mais APT29 ne disparaĂźt pas pour autant. Au contraire, ils Ă©voluent, ils s’adaptent. En 2018, on les voit utiliser de nouveaux malwares comme WellMess et WellMail. En 2020, pendant la pandĂ©mie, ces enfoirĂ©s s’attaquent aux centres de recherche travaillant sur les vaccins COVID-19 aux États-Unis, au Royaume-Uni et au Canada. Leur objectif c’est de voler les formules, les donnĂ©es des essais cliniques et les informations sur la chaĂźne d’approvisionnement.

C’est cynique au possible, mais c’est logique du point de vue du renseignement russe car pourquoi dĂ©penser des milliards en R&D quand on peut simplement voler le travail des autres ? Les pays occidentaux dĂ©noncent, mais APT29 continue puisqu’ils sont protĂ©gĂ©s par l’État russe et qu’ils sont intouchables.

Les laboratoires de recherche COVID-19, nouvelles cibles d’APT29 en 2020

Et puis arrive l’attaque SolarWinds fin 2020. LĂ , c’est le chef-d’Ɠuvre absolu d’APT29, leur opĂ©ration la plus ambitieuse et la plus rĂ©ussie. L’idĂ©e est gĂ©niale et diabolique car au lieu d’attaquer directement des milliers de cibles, pourquoi ne pas simplement compromettre un fournisseur que tout le monde utilise ?

Du coup, ils ciblent SolarWinds, dont le logiciel Orion est utilisĂ© pour la gestion de rĂ©seau par des milliers d’entreprises et d’agences gouvernementales. Entre septembre 2019 et fĂ©vrier 2020, APT29 infiltre alors l’environnement de dĂ©veloppement de SolarWinds et y injectent leur malware, SUNBURST (aussi appelĂ© Solorigate), directement dans les mises Ă  jour lĂ©gitimes du logiciel. Malin l’ourson !!

SolarWinds, la supply chain compromise qui a secoué le monde

Entre mars et juin 2020, environ 18 000 clients SolarWinds tĂ©lĂ©chargent et installent la mise Ă  jour compromise. Le malware SUNBURST s’active aprĂšs une pĂ©riode de dormance de 12 Ă  14 jours, histoire d’éviter la dĂ©tection par les sandboxes de sĂ©curitĂ© et il contacte ses serveurs de commande en imitant parfaitement le trafic lĂ©gitime de SolarWinds. Il est donc pratiquement invisible.

Mais attendez, APT29 ne s’intĂ©resse pas aux 18 000 victimes. Non non, ils font le tri comme des chefs car environ 1% des infectĂ©s seulement sont sĂ©lectionnĂ©s pour la phase deux de l’opĂ©ration. Ce sont les cibles de haute valeur telles que des agences gouvernementales amĂ©ricaines, des entreprises technologiques majeures, des think tanks influents
etc. Et pour les autres, SUNBURST reste dormant ou s’autodĂ©truit.

La liste des victimes confirmĂ©es est impressionnante. Le DĂ©partement du TrĂ©sor, le DĂ©partement du Commerce, le DĂ©partement de l’Énergie (y compris la National Nuclear Security Administration
 oui, ceux qui gĂšrent l’arsenal nuclĂ©aire !), le DĂ©partement de la Justice
 Microsoft, Cisco, Intel, Deloitte, et mĂȘme FireEye, l’entreprise de cybersĂ©curitĂ© qui dĂ©couvrira l’attaque.

C’est l’ironie du sort car c’est justement FireEye qui tire la sonnette d’alarme le 8 dĂ©cembre 2020. Ils dĂ©tectent que leurs propres outils de red team (des outils utilisĂ©s pour tester la sĂ©curitĂ©) ont Ă©tĂ© volĂ©s. En enquĂȘtant, ils dĂ©couvrent alors SUNBURST. Kevin Mandia, le CEO de FireEye, dĂ©clare que c’est l’attaque la plus sophistiquĂ©e qu’il ait jamais vue en 25 ans de carriĂšre, et croyez-moi, le mec en a vu des vertes et des pas mĂ»res !

FireEye, la sociĂ©tĂ© de cybersĂ©curitĂ© qui a dĂ©couvert l’attaque SolarWinds

Ce qui impressionne les experts, c’est surtout la patience et la sophistication d’APT29 car ils ont passĂ© des mois, peut-ĂȘtre des annĂ©es, Ă  planifier cette opĂ©;ration. Ils ont Ă©tudiĂ© l’architecture de SolarWinds, ils ont trouvĂ© le moyen d’insĂ©rer leur code sans dĂ©clencher d’alarmes, ils ont créé une infrastructure de commande et contrĂŽle qui imite parfaitement le trafic lĂ©gitime.

Et une fois dans les rĂ©seaux des victimes, APT29 ne se prĂ©cipite pas. Non, ils explorent mĂ©thodiquement, ils identifient les systĂšmes critiques, ils volent les identifiants administrateurs, et ils installent d’autres backdoors comme TEARDROP et RAINDROP pour garder l’accĂšs mĂȘme si SUNBURST est dĂ©couvert.

En janvier 2024, Microsoft annonce une nouvelle intrusion ! Cette fois, APT29 a utilisĂ© une technique vieille comme le monde mais toujours efficace : le password spraying. Ils ont testĂ© des mots de passe communs contre des milliers de comptes jusqu’à trouver un compte de test sans authentification multi-facteurs. Une erreur basique qui a coĂ»tĂ© trĂšs cher !

Microsoft appelle maintenant APT29 “Midnight Blizzard” ou “NOBELIUM”. C’est poĂ©tique, je trouve
 le blizzard de minuit, c’est l’attaque qui arrive sans un bruit dans l’obscuritĂ© et qui paralyse tout. Ce nouveau nom reflĂšte aussi l’évolution du groupe car ils ne sont plus juste “Cozy Bear”, l’ours douillet. Ils sont devenus une force de la nature, imprĂ©visible et dĂ©vastatrice.

Mais le pire, c’est ce que Microsoft rĂ©vĂšle en mars 2024
 APT29 a eu accĂšs Ă  certains de leurs dĂ©pĂŽts de code source pendant l’attaque SolarWinds et le code source de Microsoft, c’est les plans de l’Etoile de la Mort ! Avec ça, APT29 peut chercher des vulnĂ©rabilitĂ©s, comprendre comment fonctionnent les systĂšmes de sĂ©curitĂ©, et peut-ĂȘtre mĂȘme planifier de futures attaques.

Microsoft, victime rĂ©currente et observateur privilĂ©giĂ© d’APT29

Les attaques continuent et se diversifient. En octobre 2024, Microsoft dĂ©tecte une campagne de spear-phishing massive. APT29 envoie des milliers d’emails Ă  des cibles dans plus de 100 organisations. Les emails contiennent des fichiers RDP (Remote Desktop Protocol) qui, une fois ouverts, connectent la machine de la victime Ă  un serveur contrĂŽlĂ© par APT29. C’est super efficace !

Ce qui est nouveau et assez fou, c’est l’utilisation de Microsoft Teams pour le phishing. APT29 se fait passer pour le support technique et contactent les employĂ©s directement via Teams. “Bonjour, on a dĂ©tectĂ© un problĂšme avec votre compte, pouvez-vous confirmer votre mot de passe ?” Simple, mais terriblement efficace quand c’est bien fait.

Bon, parlons un peu de leur arsenal technique, parce que c’est du lourd. HAMMERTOSS, dĂ©couvert en 2015, est particuliĂšrement crĂ©atif puisqu’il utilise Twitter pour recevoir ses commandes ! Les opĂ©rateurs d’APT29 crĂ©ent des comptes Twitter avec des noms gĂ©nĂ©rĂ©s algorithmiquement (genre “234Bob234” ou “1abMike52b”) et ils postent des tweets qui semblent innocents mais qui contiennent des instructions encodĂ©es et des URLs vers des images contenant des commandes cachĂ©es par stĂ©ganographie.

En 2023-2024, on voit Ă©galement apparaĂźtre de nouveaux outils comme WINELOADER et SNOWYAMBER. WINELOADER utilise des leurres sur le thĂšme du vin (d’oĂč le nom) pour cibler les diplomates. SNOWYAMBER intĂšgre des routines anti-dĂ©tection super avancĂ©es et peut dĂ©sactiver les solutions de sĂ©curitĂ© avant de s’exĂ©cuter. Ces mecs ne s’arrĂȘtent jamais d’innover !

Les techniques de persistence d’APT29 sont aussi impressionnantes. Ils utilisent le DLL Side-Loading, crĂ©ent des tĂąches planifiĂ©es Windows lĂ©gitimes, modifient les clĂ©s de registre de dĂ©marrage, et exploitent mĂȘme les mĂ©canismes de signature de code de Windows. Bref, une fois qu’ils sont dans votre systĂšme, c’est comme essayer d’enlever de la super glue sur vos doigts
 bon courage !

Les cibles d’APT29 rĂ©vĂšlent leurs prioritĂ©s stratĂ©giques. Gouvernements occidentaux, particuliĂšrement les ministĂšres des affaires Ă©trangĂšres et de la dĂ©fense. Cercles de rĂ©flexion qui influencent les politiques. Entreprises technologiques qui dĂ©veloppent des innovations critiques. Organisations internationales comme l’ONU, l’OTAN ou l’UE. Bref, tout ce qui peut donner Ă  la Russie un avantage stratĂ©gique est dans leur viseur.

Mais APT29 ne s’intĂ©resse pas qu’à l’Occident. Ils espionnent aussi les pays de l’ex-URSS, les gouvernements asiatiques, africains et du Moyen-Orient. Ils surveillent mĂȘme les groupes d’opposition russes et les oligarques qui pourraient poser problĂšme. Le SVR veut tout savoir, tout contrĂŽler. C’est Big Brother version cyber !

L’ONU, une des nombreuses organisations internationales ciblĂ©es

Comme je vous le disais, la patience d’APT29 est vraiment lĂ©gendaire car dans certains cas documentĂ©s, ils sont restĂ©s dans des rĂ©seaux pendant plus de cinq ans sans ĂȘtre dĂ©tectĂ©s. Cinq ans ! Ils observent, ils apprennent les habitudes, ils comprennent l’organisation et quand ils frappent enfin, ils savent exactement oĂč chercher et quoi prendre.

Cette approche “low and slow” (basse et lente) est typique du SVR. Contrairement au GRU qui fait dans le spectaculaire et le perturbateur (coucou NotPetya !), le SVR privilĂ©gie le renseignement Ă  long terme car ils veulent comprendre les intentions, anticiper les dĂ©cisions, influencer subtilement plutĂŽt que dĂ©truire brutalement.

C’est pourquoi les experts en cybersĂ©curitĂ© ont un respect mĂȘlĂ© de crainte pour APT29. John Hultquist de Mandiant les dĂ©crit comme “les meilleurs dans le domaine”. Dmitri Alperovitch de CrowdStrike dit qu’ils sont “extrĂȘmement disciplinĂ©s et professionnels”. Ce ne sont pas des script kiddies ou des hacktivistes. Ce sont des professionnels du renseignement avec des moyens illimitĂ©s et 20 ans d’expĂ©rience.

Notez quand mĂȘme que le coĂ»t humain et financier des opĂ©rations d’APT29 est astronomique. Les dommages directs se chiffrent en milliards, notamment avec le coĂ»t de la remĂ©diation aprĂšs SolarWinds qui dĂ©passe les 100 milliards de dollars selon certaines estimations. Mais le vrai coĂ»t, c’est la perte de confiance, les secrets volĂ©s, l’avantage stratĂ©gique donnĂ© Ă  la Russie. Et comment chiffrer ça ?

Et le pire dans tout ça, c’est qu’on ne sait probablement pas tout car APT29 est si douĂ© pour rester invisible qu’il y a certainement des intrusions non dĂ©couvertes. Combien de rĂ©seaux sont encore compromis ? Quels secrets ont Ă©tĂ© volĂ©s sans que personne ne s’en aperçoive ? C’est ça le vrai cauchemar qui empĂȘche les RSSI du monde entier de dormir.

Mais l’attribution d’APT29 au SVR est maintenant officielle. En avril 2021, les États-Unis, le Royaume-Uni, l’Australie, le Canada, la Nouvelle-ZĂ©lande, l’OTAN et l’UE l’ont mĂȘme confirmĂ© publiquement, mais bon, ça change quoi concrĂštement ? Les membres d’APT29 ne seront jamais extradĂ©s, jamais jugĂ©s et ils continueront leur travail, protĂ©gĂ©s par l’État russe.

Le SVR a surtout une longue histoire d’espionnage derriĂšre lui
 C’est l’hĂ©ritier de la PremiĂšre Direction principale du KGB, responsable du renseignement extĂ©rieur. Des lĂ©gendes comme Kim Philby, Guy Burgess et Donald Maclean (les fameux espions de Cambridge) travaillaient pour les prĂ©dĂ©cesseurs du SVR. APT29 est donc la continuation de cette tradition avec des moyens modernes. Les mĂ©thodes changent mais les objectifs restent les mĂȘmes.

Le SVR, hĂ©ritier du KGB et commanditaire d’APT29

Ce qui est dingue, je trouve, c’est la normalisation de ces attaques car il y a 20 ans, pirater la Maison Blanche aurait Ă©tĂ© considĂ©rĂ© comme un acte de guerre. Aujourd’hui, c’est juste un mardi comme les autres. Les pays occidentaux dĂ©noncent, imposent des sanctions, expulsent des diplomates, mais les attaques continuent. C’est une nouvelle normalitĂ© de la guerre froide numĂ©rique.

Cependant, les leçons Ă  tirer de l’affaire APT29 sont multiples et cruciales. D’abord, la cybersĂ©curitĂ© n’est jamais acquise. MĂȘme les organisations les plus sophistiquĂ©es peuvent ĂȘtre compromises. Ensuite, la supply chain est le maillon faible. SolarWinds l’a montrĂ© de maniĂšre spectaculaire : compromettre un fournisseur, c’est potentiellement compromettre des milliers de clients.

L’importance du renseignement humain reste Ă©galement Ă©vidente car sans les NĂ©erlandais et leurs camĂ©ras, on n’aurait jamais eu cette vision unique des opĂ©rations d’APT29. Sans oublier la coopĂ©ration internationale qui est absolument cruciale dans ce genre de cas. Les NĂ©erlandais ont aidĂ© les AmĂ©ricains, qui ont aidĂ© les Britanniques, qui ont aidĂ© tout le monde
 Face Ă  des adversaires Ă©tatiques avec des ressources illimitĂ©es, les dĂ©mocraties doivent s’entraider, mais cette coopĂ©ration est fragile, comme l’a montrĂ© la fin prĂ©maturĂ©e de l’accĂšs nĂ©erlandais.

Et pour les entreprises et les organisations, le message est clair : Vous ĂȘtes peut-ĂȘtre dĂ©jĂ  compromis car APT29 est patient, trĂšs patient
 et ils peuvent dĂ©jĂ  ĂȘtre dans vos systĂšmes depuis des annĂ©es. Une approche “assume breach” (supposez que vous ĂȘtes compromis) est donc plus rĂ©aliste qu’une approche “empĂȘcher toute intrusion”.

L’authentification multi-facteurs, le principe du moindre privilĂšge, la segmentation rĂ©seau, la surveillance comportementale, les EDR/XDR
 Toutes ces mesures sont essentielles, mais mĂȘme avec tout ça, APT29 peut trouver un moyen d’accĂ©der Ă  vos systĂšmes.

Sans oublier que APT29 continue inexorablement de s’adapter, d’apprendre de leurs erreurs, et d’intĂ©grer de nouvelles techniques Ă  leurs process. L’intelligence artificielle, le machine learning, l’informatique quantique
 Toutes ces technologies seront probablement dans leur arsenal dans les annĂ©es Ă  venir et ce futur s’annonce aussi passionnant que terrifiant ^^.

Certains experts prĂ©disent que la prochaine grande vague d’attaques d’APT29 visera massivement l’infrastructure cloud car avec de plus en plus d’organisations qui migrent sur AWS, Azure ou Google Cloud, c’est la cible logique. Imaginez APT29 avec un accĂšs root aux infrastructures cloud de milliers d’entreprises. Le potentiel de chaos serait vertigineux !

D’autres s’inquiĂštent Ă©galement des deepfakes et de la dĂ©sinformation assistĂ©e par IA. APT29 a les compĂ©tences techniques et les ressources pour crĂ©er des deepfakes ultra-convaincants alors imaginez de fausses vidĂ©os de leaders mondiaux dĂ©clarant la guerre, de PDG annonçant des faillites, ou de responsables politiques dans des situations compromettantes. Encore un potentiel Ă©norme de chaos.

Et surtout, comment rĂ©pondre efficacement Ă  APT29 ??? Car les sanctions Ă©conomiques et les dĂ©nonciations publiques n’ont visiblement aucun effet sur eux. Certains proposent des cyber-ripostes offensives, mais ce serait l’escalade assurĂ©e avec un adversaire qui a l’arme nuclĂ©aire. D’autres voudraient aussi nĂ©gocier des “rĂšgles du jeu” dans le cyberespace, mais la Russie n’est clairement pas intĂ©ressĂ©e.

Quoiqu’il en soit, APT29 est Ă  la fois un problĂšme de sĂ©curitĂ© nationale et un problĂšme de sĂ©curitĂ© individuelle car leurs opĂ©rations affectent la gĂ©opolitique mondiale, les Ă©lections, les relations internationales, mais aussi la vie privĂ©e de millions de personnes lambda. Les emails dans le hack du DNC, les donnĂ©es mĂ©dicales dans le hack de SolarWinds, vos infos perso dans celui de Microsoft
 Nous sommes tous des victimes collatĂ©rales potentielles.

Surtout que l’histoire d’APT29 est loin d’ĂȘtre finie car tant que le SVR existera et tant que la Russie verra l’Occident comme un adversaire existentiel, les opĂ©rations continueront


Bref, dormez tranquilles braves gens, APT29 veille sur vos donnĂ©es ! 😅

Sources : Wikipedia - Cozy Bear, MITRE ATT&CK - APT29, CISA - APT29 Advisory, Microsoft - NOBELIUM Analysis, FireEye - SUNBURST Analysis, Volkskrant - Dutch Intelligence Operation, Kaspersky - CozyDuke Analysis, Mandiant - UNC2452/APT29 Merge

IndieWeb - Le mouvement qui construit le vrai futur d'Internet (sans blockchain)

Par : Korben
24 juillet 2025 Ă  09:50

Pendant que tout le monde s’excite sur le Web3 et les cryptos, un mouvement bien plus intĂ©ressant construit tranquillement le futur d’Internet depuis 2010. Et devinez quoi, y’a pas besoin de blockchain pour reprendre le contrĂŽle de vos donnĂ©es.

Ce mouvement, c’est l’IndieWeb, et l’idĂ©e de base c’est de refaire du web comme dans les annĂ©es 90 oĂč au lieu de publier vos contenus sur Facebook, Twitter ou Instagram, vous les publiez d’abord sur VOTRE site, puis vous les partagez ailleurs si vous voulez.

Alors oui, je sais ce que vous allez me dire : “Mais c’est exactement ce que tu fais depuis des annĂ©es avec ton site !”. Et vous avez raison, je pratique les principes de l’IndieWeb depuis le dĂ©but car mon site, c’est mon espace Ă  moi, oĂč je contrĂŽle tout, et oĂč personne ne peut me censurer ou supprimer mes articles parce qu’un algorithme a dĂ©cidĂ© que ça ne collait pas avec la politique du moment. D’ailleurs, si vous fouillez dans mes archives, vous verrez que les articles qui datent de plus de 20 ans sont toujours accessibles.

L’IndieWeb repose donc sur 3 principes fondamentaux qui vont vous parler. D’abord, votre contenu vous appartient. Ça paraĂźt con dit comme ça, mais quand vous publiez sur Facebook, lĂ©galement, ils peuvent faire ce qu’ils veulent avec. Ils peuvent le supprimer, le monĂ©tiser, l’utiliser pour entraĂźner leurs IA
 Ensuite, vous ĂȘtes connectĂ©. GrĂące Ă  des protocoles comme les Webmentions (l’équivalent moderne des trackbacks pour les vieux comme moi), votre site peut recevoir des rĂ©actions d’autres sites, crĂ©ant un vrai rĂ©seau dĂ©centralisĂ©. Et enfin, vous avez le contrĂŽle total : design, format, longueur
 Vous n’ĂȘtes plus limitĂ© par les 280 caractĂšres de Twitter ou le format carrĂ© d’Instagram.

Le truc vraiment cool avec l’IndieWeb, c’est qu’ils ont pensĂ© Ă  tout. Ils ont par exemple créé le concept de POSSE : Publish on your Own Site, Syndicate Elsewhere. En gros, vous publiez sur votre site, puis des outils comme Bridgy vous permettent de partager automatiquement sur les rĂ©seaux sociaux. Et les rĂ©actions sur ces rĂ©seaux peuvent ensuite ĂȘtre rapatriĂ©es sur votre site. C’est le meilleur des deux mondes.

Et ce mouvement fait une distinction intĂ©ressante entre le “Big Web” et le “Small Web”. Le Big Web, c’est ce qu’on connaĂźt tous : les GAFAM qui vous transforment en produit, qui surveillent vos moindres faits et gestes, qui dĂ©cident de ce que vous devez voir. Aral Balkan, un des penseurs du mouvement, compare mĂȘme ça Ă  de “l’élevage industriel d’humains”. Glauque


Et le Small Web, c’est l’opposĂ©. C’est votre serveur, votre domaine, vos rĂšgles. Pas de concept “d’utilisateurs”, on parle de “personnes”. Chaque site est unique, reflĂšte la personnalitĂ© de son propriĂ©taire. Bref, c’est le retour du web crĂ©atif des annĂ©es 90/2000, mais avec les technologies modernes.

Pour cela, l’IndieWeb utilise des technologies simples et Ă©prouvĂ©es. Les microformats pour structurer vos donnĂ©es, les Webmentions pour les interactions, Micropub pour publier depuis n’importe quelle app
 Tout est basĂ© sur des standards ouverts que n’importe qui peut implĂ©menter.

Ce qui est marrant, c’est que la communautĂ© IndieWeb a une position assez cash sur le Web3. Pour eux, c’est juste du marketing pour faire passer la pilule blockchain et ils rappellent Ă  qui veut bien les Ă©couter que le web est DÉJÀ dĂ©centralisĂ© par nature, et que si on a perdu cette dĂ©centralisation, c’est pas un problĂšme technique mais socio-Ă©conomique. Pas besoin donc de rĂ©inventer la roue avec des tokens et des smart contracts.

En 2025, le mouvement commence vraiment Ă  prendre de l’ampleur notamment avec l’explosion du Fediverse (Mastodon, Pixelfed, etc.). De plus en plus de gens comprennent l’intĂ©rĂȘt de possĂ©der leurs donnĂ©es et des outils comme Bridgy Fed permettent maintenant Ă  votre site IndieWeb de communiquer directement avec Mastodon via ActivityPub. D’ailleurs, Bridgy Fed vient tout juste de devenir une organisation Ă  but non lucratif pour pĂ©renniser le projet. Votre blog devient littĂ©ralement une instance Mastodon Ă  lui tout seul !

Maintenant, c’est sĂ»r que l’IndieWeb, c’est pas pour Grand-Mamie Ginette qui veut juste voir les photos de ses petits-enfants. Ça demande un minimum de compĂ©tences techniques comme avoir son domaine, installer un CMS ou coder son site, comprendre les bases du HTML
 Mais pour tous ceux qui ont dĂ©jĂ  ces compĂ©tences ou ceux qui veulent en apprendre de nouvelles, c’est vraiment la voie Ă  suivre.

Pour ma part, avec Korben.info, si demain Twitter disparaĂźt (pardon, X), tous mes articles seront toujours lĂ . Par contre, je dois avouer que je n’ai pas encore implĂ©mentĂ© les Webmentions ou la syndication automatique mais ce sera peut-ĂȘtre un projet pour mes prochaines vacances ? LĂ , je suis trop occupĂ© Ă  rĂ©diger mes articles sur les hackers pour le moment, mais c’est hyper inspirant.

Bref, l’IndieWeb, c’est Ă  mon sens un vrai mouvement de rĂ©sistance du web. Pendant que les corporations essaient de tout centraliser, que les gouvernements veulent tout surveiller, et que les cryptobros veulent tout financiariser, l’IndieWeb propose simplement de revenir aux fondamentaux : un web de personnes qui partagent leurs passions sur leurs propres espaces.

Donc si vous voulez vous lancer, commencez simple. Prenez un nom de domaine, installez un WordPress ou un Ghost, et commencez Ă  publier. Rejoignez les discussions sur IndieWeb.org, participez aux IndieWebCamps
 Et surtout, amusez-vous ! Parce que c’est ça l’essence du web : crĂ©er, partager, s’exprimer librement.

Alors oui, on sera toujours loin du million d’utilisateurs de TikTok ou d’Insta, mais franchement, est-ce que c’est vraiment ça l’objectif ? Moi je prĂ©fĂšre mille fois avoir mon petit espace sur le web oĂč je fais ce que je veux plutĂŽt que d’ĂȘtre un numĂ©ro de plus dans la ferme de donnĂ©es de Meta.

Alors, prĂȘts Ă  reprendre le contrĂŽle de votre prĂ©sence en ligne ?

YouTube vs ad-blockers - Chronique d’un bras de fer sans fin

Par : Korben
24 juillet 2025 Ă  08:00

– Article en partenariat avec Surfshark –

Depuis ses dĂ©buts, YouTube a Ă©tĂ© le terrain de jeu favori des crĂ©ateurs, des viewers
 et des publicitaires. Mais Ă  mesure que les pubs se sont multipliĂ©es, les internautes ont sorti la boĂźte Ă  outils : bloqueurs de pubs, scripts maison, applis alternatives. Rien de trĂšs grave pendant des annĂ©es, mais depuis 2023, la plateforme vidĂ©o a dĂ©cidĂ© de sortir l’artillerie lourde. Ce qui n’était qu’une escarmouche est devenu une vraie guerre de tranchĂ©es, avec des offensives, des contre-attaques, et des dĂ©gĂąts collatĂ©raux.

2023 : les premiers coups de semonce

Fin 2023, YouTube passe Ă  l’offensive et commence Ă  afficher des avertissements aux utilisateurs d’ad-blockers. Un message s’incruste sur la vidĂ©o : “Ad blockers violate YouTube’s Terms of Service.” Pour continuer, il faut dĂ©sactiver le bloqueur ou passer Ă  YouTube Premium. Au dĂ©but, la mesure ne touche qu’une poignĂ©e d’utilisateurs, mais la riposte s’organise cĂŽtĂ© adblockers, qui adaptent leurs filtres pour masquer ce message.

En novembre, YouTube Ă©largit la portĂ©e de sa campagne anti-adblockers Ă  l’échelle mondiale. Les utilisateurs se retrouvent face Ă  des vidĂ©os qui refusent de se lancer, des pop-ups persistants, et des ralentissements artificiels du site. Les forums et rĂ©seaux sociaux s’enflamment, chacun cherchant la parade du moment.

2024 : La guerre totale

DĂ©but 2024, YouTube affine sa stratĂ©gie et use la lenteur comme arme psychologique. PlutĂŽt que de bloquer frontalement, la plateforme introduit des ralentissements ciblĂ©s. Les vidĂ©os mettent des plombes Ă  charger, les miniatures refusent de s’afficher, le site devient “malade” dĂšs qu’un adblocker est dĂ©tectĂ©. Officiellement, il s’agit d’une “expĂ©rience de visionnage sous-optimale”. Les utilisateurs, excĂ©dĂ©s, commencent Ă  dĂ©sinstaller leurs bloqueurs pubs par centaines de milliers, mais d’autres cherchent des alternatives ou migrent vers des navigateurs moins exposĂ©s.

Au printemps, YouTube s’attaque aux applications mobiles tierces qui intĂšgrent un bloqueur de pubs. Les apps comme Vanced, NewPipe ou les fork alternatifs voient leur accĂšs restreint, voire bloquĂ©. Si l’appli ne respecte pas les conditions d’utilisation de l’API, c’est rideau : “The following content is not available on this app”. La manƓuvre vise Ă  couper l’herbe sous le pied des solutions qui permettaient encore de regarder YouTube sans pub sur mobile.

Comme toujours, les dĂ©veloppeurs d’adblockers ne restent pas inactifs. Chaque nouvelle parade de YouTube est contournĂ©e par une mise Ă  jour de filtre, un script, ou une astuce communautaire. Mais la fenĂȘtre de rĂ©pit se rĂ©duit Ă  chaque fois : les correctifs ne tiennent parfois que quelques jours avant d’ĂȘtre Ă  nouveau contournĂ©s par Google. Les utilisateurs s’adaptent, jonglent entre navigateurs, extensions, et mĂ©thodes alternatives.

2025 : YouTube sort le bazooka

En juin 2025, YouTube dĂ©ploie une nouvelle salve technique. Les principaux anti-pubs voient leurs astuces neutralisĂ©es. Le site dĂ©tecte dĂ©sormais toute tentative de blocage d’annonces, que ce soit via extension ou application tierce, et rĂ©agit par diffĂ©rents moyens : parfois la vidĂ©o ne dĂ©marre pas, parfois elle met cinq secondes Ă  charger, parfois un message d’avertissement s’affiche. Ce n’est donc plus un blocage pur et simple, mais une expĂ©rience volontairement dĂ©gradĂ©e, avec des ralentissements ou des dĂ©lais avant le lancement de la vidĂ©o.

Les exceptions qui confirment la rĂšgle

Mais dans ce chaos, deux solutions tirent leur Ă©pingle du jeu. D’abord, la solution CleanWeb de Surfshark : malgrĂ© tous les efforts de Google, CleanWeb continue de bloquer efficacement les pubs sur YouTube, aussi bien sur navigateur que sur mobile, lĂ  oĂč la plupart des autres bloqueurs sont mis en Ă©chec. Les tests menĂ©s en 2025 confirment que CleanWeb reste opĂ©rationnel pour filtrer les pubs Google et offrir une expĂ©rience fluide, sans ralentissement ni pop-up d’avertissement.

Autre survivant de la purge : le navigateur Brave. GrĂące Ă  son bloqueur de pubs intĂ©grĂ© et Ă  des mises Ă  jour rĂ©guliĂšres, Brave parvient encore Ă  bloquer les pubs sur YouTube, sans dĂ©clencher systĂ©matiquement les messages d’erreur ou les ralentissements imposĂ©s par Google.

Les conséquences : désinstallations massives et migration

Face Ă  l’impasse, de nombreux utilisateurs abandonnent leurs adblockers. Les statistiques explosent : AdGuard, Ghostery, et consorts enregistrent des pics de dĂ©sinstallations jamais vus, parfois plus de 50 000 en une seule journĂ©e. D’autres, lassĂ©s, finissent par cĂ©der Ă  YouTube Premium, tandis qu’une minoritĂ© continue la rĂ©sistance en cherchant des solutions temporaires ou en changeant de plateforme.

Les arguments de chaque camp

YouTube : “La pub, c’est la vie (de la plateforme)”. Pour Google, la justification est simple : la pub finance la plateforme et rĂ©munĂšre les crĂ©ateurs. Pas de pub, pas de YouTube gratuit. L’entreprise martĂšle que les bloqueurs de pubs mettent en pĂ©ril l’écosystĂšme, et que l’alternative existe : payer pour YouTube Premium.

Les utilisateurs : “Trop, c’est trop”. De l’autre cĂŽtĂ©, la grogne monte. Les pubs sont jugĂ©es trop longues, trop intrusives, parfois mĂȘme dangereuses (scams, malwares, etc.). Beaucoup dĂ©noncent une expĂ©rience dĂ©gradĂ©e, l’impression d’ĂȘtre pris en otage, et le sentiment que la plateforme pousse Ă  l’abonnement Premium par la contrainte plus que par la qualitĂ© du service.

Un bras de fer sans vainqueur ?

La guerre entre YouTube et les adblockers ressemble Ă  une partie d’échecs sans fin. Chaque offensive de Google est suivie d’une contre-attaque des dĂ©veloppeurs d’adblockers, mais la plateforme semble dĂ©sormais avoir l’avantage technologique, surtout grĂące Ă  l’intĂ©gration des pubs cĂŽtĂ© serveur et Ă  la fermeture des API tierces. La rĂ©sistance continue, mais les fenĂȘtres de tir se rĂ©duisent. Les utilisateurs doivent choisir : accepter les pubs, payer l’abonnement, migrer vers des alternatives
 ou s’équiper d’outils comme CleanWeb ou Brave qui, Ă  ce jour, restent les solutions les plus efficaces pour retrouver un YouTube sans pubs. Pour combien de temps, cela reste Ă  voir.

Et maintenant ?

YouTube a remportĂ© une manche, mais la guerre n’est jamais vraiment finie sur Internet. Les utilisateurs continueront de chercher des moyens de reprendre la main sur leur expĂ©rience, que ce soit via de nouveaux outils, des alternatives ou des changements d’habitude. Mais la question de fond demeure : jusqu’oĂč une plateforme peut-elle aller pour imposer la pub, et Ă  quel prix pour la libertĂ© de ses utilisateurs ?

Pour celles et ceux qui veulent la tranquillitĂ© numĂ©rique sans multiplier les abonnements et les extensions, Surfshark propose donc une formule complĂšte qui va bien au-delĂ  du simple VPN. Avec un seul abonnement, vous bĂ©nĂ©ficiez non seulement d’un VPN rapide et fiable pour sĂ©curiser vos connexions et contourner les censures, mais aussi de CleanWeb, ainsi que d’Alternative ID, un outil malin pour gĂ©nĂ©rer des identitĂ©s virtuelles et Ă©viter que vos vraies infos ne se baladent dans les bases de donnĂ©es des marketeurs ou des hackers. Tout cela Ă  partir de 2.38€/mois TTC (abonnement 2 ans + 3 mois offert).

En rĂ©sumĂ©, un seul abonnement Surfshark, et vous profitez d’une navigation privĂ©e, sans pubs, sans tracking, sans censure et avec une couche supplĂ©mentaire d’anonymat pour toutes vos inscriptions en ligne. Le tout, sur un nombre illimitĂ© d’appareils, pour protĂ©ger toute la famille sans prise de tĂȘte. De quoi prĂ©parer la fin des vacances et la rentrĂ©e scolaire en toute dĂ©contraction du slip.

❌
❌