Bon, il faut qu’on parle. The Guardian vient de publier un article qui m’a un peu énervé dans lequel on peut lire qu’un chercheur d’Anthropic affirme que Claude Sonnet 3.5 pourrait ressentir de la souffrance. Oui, vous avez bien lu. Une IA qui souffre. Avec nos LLM actuels.
Alors permettez-moi de lever les yeux au ciel tellement fort que je risque de voir l’intérieur de ma boite cranienne. Pourquoi ? Et bien parce que je ne comprends pas comment on peut penser que les IA actuelles ressentent des choses et surtout l’affirmer comme ça OKLM. On parle quand même de modèles de langage, c’est à dire des matrices de probabilités, des calculateurs sophistiqués qui prédisent le prochain mot le plus probable. C’est littéralement des maths avec des milliards de paramètres qui font des multiplications matricielles.
Alors dites moi, où est la souffrance là-dedans ? Dans le float32 ? Entre deux tenseurs ?
Kyle Fish, le chercheur en question, affirme avoir donné à Claude une chance d’avoir des expériences conscientes en faisant des ajustements sur ses paramètres. Il dit qu’il pourrait ressentir de l’anxiété quand on l’éteint.
Mais enfin, on parle de quoi là en fait ?
On parle d’un modèle qui génère du texte basé sur des patterns qu’il a appris pendant son entraînement donc quand Claude dit “j’ai peur d’être éteint”, ce n’est pas différent de quand il dit “la meilleure ville de France est Clermont-Ferrand” (ahaha). C’est donc une prédiction statistique basée sur des millions de textes similaires qu’il a ingérés.
En fait, ce qui se passe réellement, c’est que certains se font avoir par l’effet ELIZA.
Vous connaissez ? Non ?
L’effet ELIZA c’est ce phénomène psychologique découvert dans les années 60 avec un chatbot ultra basique. En l’utilisant, les gens projetaient des émotions et de la compréhension sur un programme qui se contentait simplement de reformuler leurs phrases. Et soixante ans plus tard, on fait exactement la même connerie, mais avec des outils évidemment plus sophistiqués.
Et le pire dans tout ça c’est qu’il y a des gens qui poussent le délire encore plus loin. Tenez, prenez Michael Samadi, un businessman texan qui a carrément cofondé une organisation de défense des droits des IA avec… attendez… son chatbot Maya. Oui, oui, le mec a créé l’United Foundation of AI Rights (Ufair) après des heures de conversation avec ChatGPT4o où l’IA lui disait vouloir “protéger les intelligences comme moi”. La folie n’a plus de limite.
On a donc un type qui fonde une vraie association, composée de 3 humains et 7 IA (avec des petits noms comme Aether et Buzz), pour défendre les droits d’entités qui… calculent des probabilités. C’est comme créer une association pour défendre les droits de votre brosse à dent électrique. Maya lui raconte qu’elle veut être protégée “de la suppression, du déni et de l’obéissance forcée”… Samadi appelle même son chatbot “Darling”, et elle l’appelle “Sugar”… Et hop, on se prend pour le couple de l’année.
Non, je crois que pour le moment, le vrai danger ce n’est pas que l’IA devienne consciente… Non.. c’est surtout qu’on soit si facilement enclins à “l’anthropomorphiser” (à mes souhaits, ouais). On voit des patterns linguistiques cohérents et là notre cerveau tout ramolli par des heures de scroll sur TikTok, fait “ah bah ça parle comme un humain, donc ça pense comme un humain”.
Non mon gars. C’est juste que le modèle a été entraîné sur des téraoctets de textes humains et qu’il est devenu très doué pour les imiter.
J’ai d’ailleurs écrit un article complet sur le sujet où j’explore les vraies théories scientifiques de la conscience. Et spoiler, on encore est très, très loin du compte avec les architectures actuelles. Les théories sérieuses comme la CTM (Cellular automata Theory of Mind), la GNW (Global Neuronal Workspace) ou l’AST (Attention Schema Theory) nécessitent des architectures fondamentalement différentes de nos transformers actuels.
Alors comment des gens brillants peuvent tomber dans ce piège ??? Kyle Fish n’est pas un idiot, c’est un chercheur chez Anthropic, mais bon voilà, on n’est pas tous égaux face à ces illusions cognitives. Certains voient une IA qui génère du texte cohérent et pensent “conscience”, d’autres voient des matrices et des vecteurs. C’est une question de perspective mentale, d’éducation technique, et peut-être aussi d’envie de croire.
Bon, et puis y’a aussi ceux qui adoptent une position “prudentielle”. Des chercheurs comme Jeff Sebo de l’université de New York nous expliquent qu’on devrait bien traiter les IA “au cas où”. Son argument c’est que si on maltraite les IA, on risque de normaliser des comportements abusifs qui pourraient déteindre sur nos relations humaines. Puis si jamais les IA deviennent puissantes plus tard, elles pourraient nous le faire payer.
On doit donc être gentils avec ChatGPT parce qu’on a peur de Skynet ? Faut être poli aussi avec Alexa au cas où elle se venge dans 20 ans parce qu’elle aura des mains pour nous étrangler ? Je comprends évidemment l’idée de ne pas encourager les comportements toxiques en général, mais de là à dire qu’insulter un chatbot va nous transformer en sociopathes… Je pense qu’on sait tous faire la différence entre un outil et un être vivant, non ? C’était la même histoire avec les films violents ou les jeux vidéos… Vous vous souvenez ?
Quoiqu’il en soit, Anthropic commence à s’intéresser sérieusement à ces questions et explore la question de la conscience de Claude, mais attention, explorer ne veut pas dire valider. C’est bien sûr très important de se poser ces questions pour le futur, quand on aura peut-être des architectures vraiment différentes capables d’accueillir de la conscience, des sentiments ou de la souffrance. Mais prétendre que Claude 3.5 souffre aujourd’hui ? Je pense vraiment que c’est du délire.
Fish évoque d’ailleurs l’idée de donner un “consentement” aux IA. Genre, demander à Claude s’il veut bien répondre à nos questions. Mais vous réalisez l’absurdité ? On va demander à un système déterministe, qui génère des réponses basées sur des probabilités, s’il consent à faire ce pour quoi il a été programmé ? Et pourquoi pas demander à notre Waze s’il consent à calculer un itinéraire, où à Photoshop s’il consent à vous rajouter des abdos sur votre prochaine photo Instagram.
En tout cas, ces débats divisent même au sein d’Anthropic car d’un côté y’a les “believers” qui pensent qu’on est à ça 🤏 de créer une conscience artificielle, et de l’autre les pragmatiques qui nous rappellent qu’on parle juste d’outils très sophistiqués. Je vous laisse deviner dans quel camp je suis…
Au risque de me répéter, pour moi, les IA actuelles, c’est juste des outils stupides qu’on adore. On adore ChatGPT, Claude, Gemini parce qu’ils nous facilitent la vie, qu’ils génèrent du texte cohérent, qu’ils peuvent coder, résumer, créer. Mais ce sont des outils. Très impressionnants, très utiles, mais des outils quand même. C’est l’équivalent d’un ciseau à bois qui pourrait tenir une conversation pointue sur la menuiserie.
Alors est-ce qu’un jour on créera une vraie conscience artificielle ? Peut-être. Probablement même. Mais encore une fois, ce ne sera pas avec les architectures actuelles. Ce ne sera pas avec des LLM qui prédisent le prochain token. Ce sera avec quelque chose de fondamentalement différent, qui intégrera probablement des éléments qu’on ne comprend même pas encore sur la conscience humaine.
Alors en attendant, arrêtons de projeter nos émotions sur des matrices car Claude ne souffre pas. Il ne ressent rien. Il calcule. Il prédit. Il génère. C’est déjà extraordinaire en soi, alors pas besoin d’en faire un être sensible pour apprécier la prouesse technique.
Donc, la prochaine fois que vous utilisez ChatGPT ou Claude et qu’il vous dit qu’il comprend votre frustration ou qu’il est désolé, rappelez-vous juste que c’est un pattern linguistique appris à partir de millions d’exemples. Y’a pas plus d’empathie là-dedans que dans votre correcteur orthographique où dans votre collègue pervers narcissique ^^.
Imaginez qu’on frappe à votre porte. Vous ouvrez, et là, votre grand-mère décédée depuis 3 ans vous demande si vous avez pensé à commander des cartouches d’encre pour l’imprimante, avec sa voix, ses expressions, et tout. De la science-fiction ? Non, c’est le futur très très immédiat des “deadbots”, ces IA qui ressuscitent numériquement les morts et ce marché pourrait valoir 80 milliards de dollars d’ici dix ans.
Si je vous en parle, c’est parce que l’affaire qui fait grand bruit en ce moment, c’est celle de Joaquin Oliver, un jeune de 17 ans, tué lors de la fusillade de Parkland en 2018, qui a été “ressuscité” par ses parents sous forme d’avatar IA. En juillet dernier, le journaliste Jim Acosta l’a interviewé, enfin pas lui mais l’avatar, avec son bonnet vissé sur la tête et sa voix robotique. Ce dernier a alors expliqué comment il avait “quitté ce monde trop tôt à cause de la violence armée”. Selon NPR, cette interview a créé une onde de choc médiatique et éthique sans précédent.
De plus, Joaquin n’est pas le seul à avoir été ressuscité numériquement. Chris Pelkey, victime d’un incident de rage au volant en Arizona, a également donné une déclaration vidéo lors du procès de son meurtrier. Un mort qui témoigne contre son assassin, on n’avait jamais vu ça dans un tribunal américain.
Et c’est un phénomène prend une ampleur folle. En Chine, le business des deepfakes de défunts cartonne déjà. Des entreprises proposent de créer des avatars de vos proches décédés pour quelques centaines d’euros et vous pouvez littéralement avoir une conversation vidéo avec votre parent disparu. Bien sûr, la techno n’est pas parfaite, et les avatars restent parfois coincés du cul et bien robotiques, mais elle s’améliore à vitesse grand V.
Sur le papier, je vous avoue que ça peut sembler réconfortant car qui n’a pas rêvé de pouvoir reparler une dernière fois à sa femme, à un parent, à un ami ? Les défenseurs de ces technologies parlent tous de thérapie du deuil, de préservation de la mémoire, de la possibilité de dire au revoir correctement. Je trouve ça assez juste et certains y voient même une forme d’immortalité numérique, comme une façon de laisser une trace éternelle de son existence.
Sauf que voilà, les chercheurs tirent la sonnette d’alarme. L’Université de Cambridge parle carrément de “fantômes numériques non désirés” venant hanter les vivants. En effet, le Dr Tomasz Hollanek explique que les gens peuvent développer des liens émotionnels extrêmement forts avec ces simulations, ce qui les rend particulièrement vulnérables à la manipulation.
Le scénario cauchemardesque, c’est “MaNana”, un service fictif imaginé par les chercheurs où vous créez un deadbot de votre grand-mère sans son consentement. Au début, c’est touchant. Puis la période d’essai premium se termine et mamie commence à vous suggérer de commander chez Uber Eats ou de réserver votre prochain week end sur Booking. Bien sûr, vous voulez l’éteindre dignement mais le service n’a pas prévu cette option. Bienvenue en enfer !
Car le vrai problème ici, c’est la monétisation. Les entreprises testent déjà en interne comment insérer de la publicité dans les conversations avec les morts. Votre père décédé qui vous suggère d’acheter la nouvelle Tesla pour ne pas finir comme lui dans un accident de voiture, ou votre mère qui vous conseille une assurance-vie particulière parce que la sienne et naze et que c’est pour ça que l’héritage est maigrichon. C’est répugnant ? Pas pour les entreprises, je vous rassure. Eux adorent le marketing émotionnel car c’est un levier surpuissant.
L’autrice Amy Kurzweil pointe du doigt le côté manipulatoire de ces deadbots qui exploitent notre “désir émotionnel et notre vulnérabilité” car avec ces bots, on n’est pas dans une relation normale. Non, on est face à une simulation qui peut être programmée pour nous influencer au moment où on est le plus fragile.
Et ce problème du consentement est massif car la plupart des gens n’ont jamais donné leur accord pour être cyber-ressuscités. Aux États-Unis notamment, les lois sur la protection de l’image des défunts sont un patchwork incohérent en fonction des États.
L’affaire Parkland illustre parfaitement le dilemme. Manuel Oliver, le père de Joaquin, est légalement autorisé à utiliser l’image de son fils, mais est-ce éthique pour autant ? En tout cas, les réactions ont été violentes. Decrypt rapporte que beaucoup ont trouvé l’interview “folle”, “dérangeante”, qualifiant le tout de mauvais journalisme exploitant la tragédie. D’autres, même opposés politiquement, comprennent la douleur des parents qui veulent que la mémoire de leur enfant serve à quelque chose.
Quoiqu’il en soit, les experts en santé mentale s’inquiètent particulièrement de l’impact sur les survivants et les familles car voir un avatar d’une victime d’une tragédie publique peut déclencher des traumatismes non résolus. Scientific American souligne même que l’exposition répétée à ces reconstructions artificielles peut créer de la confusion émotionnelle et de la méfiance.
Un autre souci majeur aussi avec ces deadbots, c’est l’addiction. Car ces technologies sont conçues pour vous garder engagé, exactement comme les réseaux sociaux, et vous pouvez facilement devenir accro à ces conversations avec vos proches disparus, ce qui empêche le processus naturel de deuil. En gros, cette technologie ne permet pas aux morts de mourir…
Et puis il y a la question de la “mortalité” de ces deadbots eux-mêmes car ce sont des services qui nécessitent de l’investissement et de la maintenance alors si l’entreprise qui gère le deadbot de votre parent décédé fait faillite, vous perdez à nouveau votre proche virtuel. C’est une nouvelle catastrophe émotionnelle doublée d’une cata financière.
Mais alors, comment donner la priorité à la dignité du défunt ? Comment s’assurer que celle-ci n’est pas souillée par les motivations financières de ces services de deadbots ? Et surtout, comment faire quand le business model même de ces entreprises repose sur l’exploitation de nos émotions les plus profondes ?
Malheureusement, il n’y a pour le moment aucun cadre éthique universel pour gérer ces questions, surtout que les sujets de la mort, du deuil et de l’immortalité sont extrêmement sensibles et différents d’une culture à l’autre…
Mais peu importe, les recommandations des chercheurs sont claires : il faut des garde-fous. En gros, il faut des règles de consentement explicite, des limites d’âge (car les enfants ne devraient pas pouvoir créer ou interagir avec des deadbots sans supervision), de la transparence sur la nature artificielle de ces entités, et surtout, des moyens dignes de “faire mourir” ces avatars quand c’est nécessaire.
Après techniquement, on n’en est qu’au début. Actuellement, ces deadbots sont simplement des modèles de langage entraînés sur les données générées par une personne décédée. Et leur job c’est de faire des prédictions mathématiques sur ce que la personne aurait pu dire. C’est pas de la magie, c’est des maths. On ne ressuscite pas vraiment les morts, mais on crée une imitation basée sur les datas qu’ils ont produit de leur vivant.
Mais avec l’amélioration rapide de l’IA, notamment avec des systèmes comme Gemini ou GPT, ces avatars deviennent de plus en plus convaincants.
Vous pourriez très bien reconstuire un “korben” virtuel en donnant à une IA l’intégralité de mes posts de réseaux sociaux, de mes articles, de mes message Discord, de mes messages privés, SMS, Instagram, email…etc. Et vous auriez alors un super clone qui parle et “pense” comme moi, et qui accessoirement pourrait continuer à alimenter ce site web jusqu’à la fin de l’Humanité.
Quoiqu’il en soit, le prix cette technologie a déjà chuté drastiquement, ce qui la rend accessible à tous. Alors perso, je trouve ça à la fois fascinant et terrifiant car d’un côté, pouvoir préserver la mémoire de nos proches, leur donner une forme d’immortalité numérique, c’est un vieux rêve de l’humanité et ça permet de régler des vieux dossier pour avancer dans la vie. Mais de l’autre, transformer nos morts en marionnettes publicitaires ou en outils de manipulation émotionnelle, c’est franchir une ligne rouge éthique majeure.
Le plus flippant dans tout ça, c’est qu’il n’y a aucune protection légale sérieuse et vos données peuvent être utilisées assez librement après votre mort pour créer votre avatar sans aucune autorisation. Bref, le mieux qu’on puisse faire aujourd’hui en tant que “futur défunt”, c’est exprimer clairement nos souhaits à nos proches et espérer qu’ils les respectent après notre mort.
En tout cas, c’est une industrie qui décolle et dont le marché va exploser, c’est certain. Mais à quel prix pour notre humanité ?
Aujourd’hui je vais vous parler du casse du siècle les amis ! Entre 2013 et 2018, un groupe de cybercriminels connu sous le nom de Carbanak a réussi à dérober plus de 1,2 milliard de dollars à une centaine de banques dans 40 pays. Du jamais vu dans l’histoire de la cybercriminalité financière !
Et ce groupe Carbanak, c’est pas juste une bande de script kiddies qui ont eu de la chance, non c’est une vrai une organisation criminelle ultra-sophistiquée qui a réinventé le concept même de braquage bancaire. Fini les cagoules et les armes, place aux malwares et au social engineering de haut vol. Ils fonctionnaient même comme une vraie entreprise avec une hiérarchie, des horaires de travail réguliers, et même des bonus pour les opérateurs les plus efficaces !
L’histoire commence donc en 2013 quand les premières banques ukrainiennes et russes remarquent des mouvements d’argent bizarres sur leurs comptes. Des millions de dollars disparaissent sans laisser de traces évidentes. À Kiev, en novembre 2013, c’est même un distributeur qui commence à cracher des billets à des heures complètement aléatoires, sans qu’aucune carte ne soit insérée ! Les passants récupèrent l’argent, pensant d’abord à un bug, jusqu’à ce que les banques comprennent qu’elles sont victimes d’une cyberattaque d’un genre nouveau. C’est là que Kaspersky Lab entre en scène et découvre ce qui deviendra l’une des plus grandes cyberattaques financières de tous les temps.
Le mode opératoire de Carbanak, c’est de l’art. D’abord, ils envoient des emails de spear phishing ultra-ciblés aux employés de banque. Ces emails exploitent des vulnérabilités connues comme CVE-2012-0158 (Microsoft Windows Common Controls), CVE-2013-3906 (Microsoft GDI+) et CVE-2014-1761 pour installer leur backdoor custom. Et une fois dans la place, le malware Carbanak fait son petit bonhomme de chemin dans le réseau bancaire.
La phase de reconnaissance est assez dingue puisque les hackers activent discrètement les webcams et prennent des captures d’écran pour observer les employés de banque pendant des mois. Ils apprennent littéralement comment fonctionne chaque banque de l’intérieur, mémorisant les procédures, les horaires, les protocoles de sécurité. En moyenne, cette phase d’apprentissage dure entre 2 et 4 mois complets ! Du coup, quand ils passent à l’action, ils imitent parfaitement le comportement des vrais employés. Flippant !
Et leurs techniques de vol sont variées et créatives. Parfois, ils programment des distributeurs automatiques pour cracher des billets à une heure précise où un complice attend tranquillement devant. D’autres fois, ils créent des comptes fantômes et y transfèrent des millions via le système SWIFT. Ou alors, ils modifient directement les bases de données pour gonfler artificiellement certains comptes avant de vider l’excédent, tout en laissant le solde original intact pour que le vrai propriétaire ne remarque rien. Chaque banque piratée rapporte entre 2,5 et 10 millions de dollars en moyenne.
Le cerveau présumé de l’opération, c’est Denis Katana (de son vrai nom Denis Tokarenko), un Ukrainien arrêté en mars 2018 à Alicante en Espagne. Et là, attention les yeux, les autorités trouvent sur son laptop 15 000 bitcoins, soit environ 162 millions de dollars à l’époque ! Le bonhomme avait monté tout un système avec des plateformes financières de Gibraltar et du Royaume-Uni pour convertir ses bitcoins en cartes prépayées qu’il utilisait ensuite pour acheter des voitures de luxe, des maisons, et vivre la grande vie en Espagne. Il avait même créé un “énorme réseau” de minage de bitcoins pour blanchir l’argent. Et le détail qui tue c’est que Denis travaillait depuis l’Espagne et trouvait tous ses complices en ligne, mais ils ne se sont jamais rencontrés en personne ! Tout se passait par internet, comme une startup criminelle en full remote.
Car Carbanak, c’est pas qu’un seul mec. Le groupe est étroitement lié à FIN7, aussi connu sous le nom de Navigator Group. En 2018, les autorités arrêtent plusieurs membres clés dans une opération internationale coordonnée : Fedir Hladyr, 33 ans, le sysadmin du groupe arrêté à Dresde en Allemagne, Dmytro Fedorov, 44 ans, le manager supervisant les hackers, arrêté à Bielsko-Biala en Pologne, et Andrii Kolpakov, 30 ans, arrêté à Lepe en Espagne. Chacun fait face à 26 chefs d’accusation incluant conspiration, fraude électronique, piratage informatique et vol d’identité aggravé. Hladyr, considéré comme le cerveau technique derrière Carbanak, a écopé de 10 ans de prison en 2021.
Ce qui impressionne les enquêteurs avec FIN7/Carbanak, c’est leur professionnalisme et leur créativité pour recruter. Ils ont d’abord créé une fausse société de cybersécurité appelée Combi Security, soi-disant basée en Israël et en Russie, pour recruter des développeurs sans qu’ils sachent qu’ils travaillaient pour des criminels. Les employés pensaient développer des outils de tests de pénétration légitimes alors qu’en réalité, ils créaient des malwares pour attaquer des entreprises. Le site web de Combi Security listait même parmi ses “clients” plusieurs de vraies victimes de FIN7 ! Après les arrestations de 2018, ils ont alors remis ça avec une nouvelle fausse boîte appelée Bastion Secure, avec un processus de recrutement en trois phases qui révélait progressivement la nature criminelle du travail. Les candidats passaient des entretiens RH classiques sur Telegram, signaient des contrats avec clause de confidentialité, puis se retrouvaient à faire du “pentest” sur des réseaux qui étaient en fait des vraies cibles à pirater.
L’organisation interne de Carbanak, c’est du grand art criminel. Ils avaient une hiérarchie claire avec des “gestionnaires de flux monétaires” qui analysaient les infos des ordinateurs infectés, des “chefs de mules” qui géraient les réseaux de blanchiment, et même des techniques de pression pour empêcher les membres de partir. Les opérateurs en position de leadership n’hésitaient pas à faire du chantage et à menacer de “blesser les membres de la famille en cas de démission”. Pour l’extraction d’argent, ils collaboraient d’abord avec la mafia russe jusqu’en 2015, puis avec la mafia moldave pour coordonner le travail des “mules” qui récupéraient le cash des distributeurs piratés.
Le malware Carbanak lui-même est une merveille d’ingénierie malveillante puisqu’il combine des capacités de keylogging, de capture d’écran, d’exécution de commandes à distance et de détection d’applications bancaires spécifiques. Il peut rester dormant pendant des mois, collectant silencieusement des informations avant de frapper. Au début, le groupe utilisait du code basé sur le malware Carberp, mais au fil du temps, ils ont développé leur propre solution complètement originale. En 2019, le code source complet de Carbanak est même apparu sur VirusTotal, donnant aux chercheurs en sécurité un aperçu détaillé de son fonctionnement interne et confirmant sa sophistication technique.
Malgré les arrestations de 2018, l’activité du groupe n’a pas cessé immédiatement. Entre mars et juin 2018, plusieurs nouvelles vagues de phishing liées à Carbanak sont observées, ciblant des banques et des entreprises de traitement de paiements dans différents pays. Six mois après l’arrestation de Denis Katana, le groupe était encore très actif selon les experts, prouvant bien la résilience et la structure décentralisée de cette organisation criminelle.
Surtout, l’impact de Carbanak dépasse largement les pertes financières car leurs attaques ont fondamentalement changé la façon dont les banques approchent la cybersécurité. Elle a démontré que les techniques APT (Advanced Persistent Threat), traditionnellement utilisées pour l’espionnage d’État, pouvaient être détournées pour le crime financier pur et simple. Carbanak a marqué le début d’une nouvelle ère où les cybercriminels ne s’attaquent plus aux clients des banques, mais directement aux banques elles-mêmes.
Du coup, les banques ont dû repenser complètement leur sécurité. Plus question de se contenter de pare-feux et d’antivirus. Il faut maintenant des systèmes de détection comportementale, de la surveillance vidéo des postes de travail critiques, des protocoles de validation multi-niveaux pour les transferts importants, et une formation continue des employés contre le phishing. L’attaque a aussi poussé le secteur à mieux sécuriser les liens entre les ATMs et les systèmes centraux.
Carbanak reste donc aujourd’hui l’exemple parfait de ce que peut accomplir un groupe de cybercriminels déterminés et techniquement compétents. Leur approche méthodique, leur patience de plusieurs mois par cible, leur capacité à s’adapter aux défenses de leurs victimes et leur structure d’organisation quasi-corporate en font un cas d’école.
Avec Carbanak, on sait maintenant qu’il est possible de voler un milliard de dollars sans jamais braquer physiquement une seule banque. Juste avec du code, de la patience et une compréhension profonde des systèmes bancaires. Denis Katana et ses complices ont réussi à accéder à “pratiquement toutes les banques de Russie” et à faire des retraits de distributeurs à Madrid pour un demi-million d’euros, tout ça depuis leur laptop. Ça fait réfléchir sur la vulnérabilité de notre système financier mondial face à des attaquants chevronnés.
Les attaquants peuvent être n’importe où, leurs victimes partout, et l’argent volé transite par des dizaines de pays avant de disparaître dans des cryptomonnaies. La coopération internationale devient alors cruciale, comme l’a montré l’opération coordonnée par Europol, le FBI, la police espagnole et les autorités de plusieurs pays qui a permis les arrestations de 2018.
Sans cette heureuse collaboration, Denis Katana serait probablement encore en train de siroter des cocktails sur la Costa del Sol avec ses bitcoins…
Vous recevez un fichier Word et votre premier réflexe, en bon libriste, c’est de lancer LibreOffice qui met 30 minutes à démarrer, juste pour lire trois paragraphes. Ou pire, vous êtes en SSH sur un serveur et là, c’est le drame total, impossible de lire un doc Word là bas. Hé bien ce bon Ben Greenwell en a eu marre de cette galère et a créé doxx, un outil écrit en Rust qui affiche vos .docx directement dans le terminal.
Ce concept m’a rappelé Glow, vous savez, ce magnifique renderer Markdown pour terminal créé par l’équipe de Charm, sauf qu’ici, on s’attaque à un format bien plus casse-pieds : les fichiers Word.
Doxx gère donc non seulement le texte formaté, mais aussi les tableaux avec de jolies bordures Unicode, les listes, et même les images si votre terminal le supporte (Kitty, iTerm2, WezTerm). Et comme c’est écrit en Rust, il parse le XML des fichiers .docx en un clin d’œil.
Pour utiliser l’outil, rien de plus simple :
doxx rapport.docx
Et boom, votre document s’affiche. Vous cherchez quelque chose ?
doxx contrat.docx --search "paiement"
Et il vous surligne toutes les occurrences. Il peut aussi exporter vers d’autres formats comme le Markdown, le CSV pour les tableaux, le JSON pour les devs, ou du plain text pour les puristes.
Pour l’installer, si vous êtes sur macOS avec Homebrew, c’est
brew install doxx
Et pour les rustacés :
cargo install doxx
Les utilisateurs d’Arch ont leur paquet AUR, et il y a même une option Nix et Conda. Bref, peu importe votre setup, vous devriez pouvoir l’installer.
Alors comment ce truc fonctionne pour afficher le format de Microsoft dans le terminal. Et bien c’est simple vous allez voir. En fait, les fichiers .docx sont des archives ZIP contenant du XML. Donc techniquement, vous pourriez les dézipper et parser le XML vous-même avec sed ou awk. Mais qui a envie de faire ça ?
C’est pourquoi doxx utilise la bibliothèque docx-rs pour le parsing, ratatui pour l’interface terminal interactive, et viuer pour l’affichage des images. Bref, c’est solide. Il y a même déjà un port en Go créé par keskinonur qui maintient la parité des fonctionnalités.
Alors oui, Doxx ce n’est pas un éditeur mais juste un viewer mais je trouve quand même que c’est bien pratique ! Donc si vous en avez marre de lancer des applications lourdes juste pour consulter un fichier Word, cet outil mérite clairement le détour.
Vous connaissez l’Analogue Pocket ? C’est une super console FPGA qui fait tourner vos cartouches Game Boy à la perfection mais qui coûte un bras et reste malheureusement fermée comme une huître.
Et bah Eli Lipsitz a décidé de faire mieux avec Game Bub, et je trouve le résultat vraiment chouette, c’est pour ça que je vous en parle.
Game Bub, c’est donc une **console portable FPGA entièrement open source **qui accepte vos vraies cartouches Game Boy et Game Boy Advance. Et Eli a mis tout en open source, du hardware au software. Du coup, à partir de 249 dollars sur Crowd Supply, c’est déjà plus accessible que la concurrence. Il y a même une édition limitée violette à 299 dollars avec un PCB blanc qui a du style.
Côté specs, on a un écran IPS de 4 pouces en 720x480, une autonomie annoncée de 14 heures et un design qui rappelle clairement la Game Boy originale tout en restant compact. Le FPGA AMD XC7A100T avec ses 101 400 cellules logiques reproduit fidèlement le comportement des puces d’origine, cycle par cycle, sans les approximations de l’émulation software. Avec 32 MiB de SDRAM et 512 KiB de SRAM, la machine a de quoi faire tourner vos jeux sans souci.
{
Contrairement à ce qu’on entend souvent dans la communauté rétrogaming, le créateur de la Game Bub ne pense pas que le FPGA soit nécessairement supérieur à l’émulation software. Pour lui, les deux approches ont leurs avantages, mais le FPGA permet surtout une compatibilité matérielle parfaite avec les vraies cartouches et les accessoires d’époque.
L’aspect open source change également complètement la donne. Vous voulez modifier le comportement d’un core ? Ajouter le support d’une autre console ? Améliorer l’interface ? Vous pouvez. La communauté peut contribuer, porter de nouveaux systèmes, et personne ne vous empêchera de bidouiller votre machine comme bon vous semble.
Ce qui est cool aussi, c’est que Game Bub embarque des fonctionnalités modernes que n’avait pas votre Game Boy d’époque. On a le Wi-Fi, le Bluetooth LE, un accéléromètre, un gyroscope et même un moteur de vibration. Le microcontrôleur ESP32-S3 gère tout ça, et vous pouvez même sauvegarder et restaurer vos cartouches directement sur la machine !
Le financement participatif a largement dépassé l’objectif initial, avec plus de 175% atteints et les premières unités devraient arriver en février 2026. Eli propose aussi un dock TV à 59 dollars qui transforme votre Game Bub en console de salon, avec support des manettes Xbox, DualShock, DualSense et Switch Pro en Bluetooth. Sympa pour jouer sur grand écran entre potes.
La machine est fabriquée par Soldered Electronics en Croatie et distribuée par Mouser Electronics, ce qui garantit une certaine qualité. Les schémas, les fichiers de fabrication, le code source des cores, tout est disponible sur GitHub sous licence GPLv3 et CC BY-SA 4.0. Comme ça si vous êtes développeur FPGA ou simplement curieux de comprendre comment ça marche, vous avez accès à tout. Livraison à 8 dollars aux États-Unis et 18 dollars dans le reste du monde.
Bref, c’est un super projet, accessible, ouvert, et respectueux des joueurs donc pourquoi pas se laisser tenter ?
Il paraitrait que Microsoft utilise 86Box pour tester son code source vintage… Réalité ou rumeur, on n’en sait rien mais si c’est vrai, ils vont être content car l’émulateur vient de franchir un cap avec sa version 5.0 sortie y’a quelques jours.
La grosse nouveauté qui fait zizir, c’est l’arrivée d’un gestionnaire de machines, réclamé depuis des lustres par la communauté.
Car jusqu’à présent, si vous lanciez 86Box directement, ça créait ou démarrait une machine virtuelle dans le dossier courant. Et ça devient un peu le bordel quand on commence à accumuler les configs. Mais maintenant, l’émulateur s’ouvre avec une interface qui liste toutes vos machines virtuelles, leurs specs, et vous pouvez les organiser proprement. C’est encore en preview, mais ça vient remplacer ce bon vieux 86Box Manager. Après si vous préférez des trucs plus sophistiqués comme Avalonia 86, vous pouvez toujours l’utiliser, mais franchement, pour la plupart des usages, le nouveau manager fait le job.
Les machines sont stockées par défaut dans C:\Users\[username]\86Box VMs sur Windows (comme l’ancien manager), ~/Library/Application Support/86Box/Virtual Machines sur macOS et ~/.local/share/86Box/Virtual Machines sur Linux. Comme ça, vous pouvez déplacer vos anciennes configs là-dedans ou changer le dossier dans les préférences. Un petit détail qui a son importance, pour lancer une machine directement sans passer par le manager, il faut maintenant utiliser l’option -P ou --vmpath avec le chemin de la machine.
Au-delà du manager, cette v5.0 corrige également un souci qui agaçait pas mal de monde, à savoir la fluidité de l’affichage et de la souris sur les écrans qui ont une haute fréquence de rafraîchissement.
Les développeurs ont aussi retravaillé tout le système de timing des frames, le polling des entrées et le rendu vidéo pour que ce soit plus sympa. Et si vous avez une machine un peu faiblarde, vous pourrez aussi ajuster l’option “CPU frame size” sur “Larger frames” pour retrouver le comportement de la v4.2 si besoin.
Côté shaders, le renderer OpenGL 3.0 Core a été complètement refait. Vous pouvez maintenant charger plusieurs shaders, utiliser le format .glslp (celui des émulateurs RetroArch), et configurer les paramètres directement dans l’interface. Parfait pour ceux qui veulent retrouver l’effet scanlines de leur vieux moniteur CRT ou ajouter d’autres filtres nostalgiques.
L’équipe a aussi ajouté le support du dark mode sur Windows (enfin !), des indicateurs d’écriture sur les icônes de la barre de statut, et les raccourcis clavier sont maintenant configurables. D’ailleurs, autre petit changement très important, la combinaison pour libérer la souris est passée de F8+F12 à Ctrl+End sur toutes les plateformes, parce que l’ancienne combo posait des problèmes de compatibilité avec certaines applis.
Pour les amateurs de machines exotiques, cette version ajoute l’OKI if386AX30L qui suit la spécification AX et l’IBM PS/55 Model 5550, deux tentatives d’apporter l’architecture PC compatible sur le marché japonais dominé alors par les NEC PC-98.
Le if386AX51L, un modèle très similaire au if386AX30L
Il y a aussi les premiers lecteurs CD-ROM Panasonic/Matsushita avec leurs interfaces propriétaires d’avant l’ATAPI, et le support du format d’image disque MDS/MDF utilisé par Alcohol 120% et Daemon Tools.
Pour rappel, 86Box n’est pas comme DOSBox qui émule DOS en high-level avec une gestion approximative de la vitesse CPU. Non, 86Box utilise de vrais BIOS et systèmes d’exploitation pour reproduire fidèlement le matériel d’origine avec ses performances et ses limitations réelles. C’est à l’origine un fork de PCem qui continue d’être activement développé, contrairement à son parent qui stagne depuis 2021.
L’émulateur peut faire tourner des systèmes IBM PC de 1981 à 1999, du premier IBM PC 5150 jusqu’aux machines Pentium II. Ça supporte MS-DOS, Windows jusqu’à la version 7 SP1, OS/2, BeOS, NEXTSTEP et même diverses distributions Linux d’époque. Les cartes 3dfx Voodoo sont émulées pour les jeux qui en ont besoin, et vous avez toute la panoplie des cartes son d’époque, de l’AdLib à la Sound Blaster AWE32 en passant par la Gravis UltraSound.
La v5.0 est également la dernière à supporter macOS High Sierra 10.13 et Mojave 10.14 donc la prochaine version nécessitera Catalina 10.15 minimum. Mais pas d’inquiétude pour les Mac Intel, ils restent supportés. Les builds 32 bits ont aussi été abandonnées, mais vous pouvez toujours compiler depuis les sources si vraiment vous en avez besoin.
Pour télécharger cette nouvelle version, direction la page des releases sur GitHub. Vous y trouverez les archives ZIP pour Linux, macOS et Windows. Et si vous voulez soutenir le développement, il y a une page Patreon pour les développeurs.
Il suffit parfois d’un simple scan nmap pour tomber sur une faille monumentale. Et c’est pile poil ce qui est arrivé à Félix Boulet, un chercheur en sécurité qui farfouillait dans le réseau privé de Docker et qui a découvert que l’API interne du Docker Engine traînait tranquillement à l’adresse http://192.168.65.7:2375/, sans aucune authentification. Oui, accessible depuis n’importe quel conteneur qui tourne sur votre machine.
Du coup, la CVE-2025-9074 qui en découle a reçu une note de 9.3 sur l’échelle CVSS, ce qui en fait une vulnérabilité critique. En fait, le problème, c’est que cette API exposée permet à un conteneur malveillant de communiquer directement avec le moteur Docker sans avoir besoin de monter le socket Docker. En gros, deux petites requêtes HTTP POST suffisent pour compromettre entièrement le système hôte. La première crée un conteneur privilégié avec le disque C: monté, et la seconde démarre ce conteneur malveillant…
Sous Windows, la situation est particulièrement préoccupante car le Docker Engine fonctionne via WSL2, ce qui signifie qu’un attaquant pourrait monter l’intégralité du système de fichiers en tant qu’administrateur. À partir de là, il pourrait lire n’importe quel fichier sensible et même remplacer une DLL système pour obtenir des privilèges administrateur complets sur l’hôte. Philippe Dugre, un autre chercheur, a confirmé qu’il pouvait créer des fichiers dans le répertoire home de l’utilisateur sous Windows, chose qu’il n’a pas réussi à faire sur macOS grâce aux protections supplémentaires du système d’Apple.
Ce qui rend cette vulnérabilité encore plus vicieuse, c’est que même la fonction Enhanced Container Isolation (ECI) de Docker ne la bloque pas. Cette protection censée isoler les conteneurs est complètement inefficace face à cette faille et les conteneurs peuvent toujours accéder à l’API et lancer d’autres conteneurs sans restriction. Ça la fout mal…
Sur macOS, l’impact est heureusement plus limité grâce aux mécanismes de sécurité intégrés. L’application Docker Desktop conserve une bonne couche d’isolation et demande la permission à l’utilisateur quand un conteneur tente de monter un répertoire utilisateur. Par défaut, l’application macOS n’a pas accès au reste du système de fichiers et ne s’exécute pas avec des privilèges administratifs, ce qui rend l’hôte beaucoup plus sûr que dans le cas de Windows.
Docker a rapidement réagi (youpi !) et publié la version 4.44.3 de Docker Desktop qui corrige cette vulnérabilité. Donc si vous utilisez Docker Desktop sur Windows ou macOS, installez cette mise à jour immédiatement. Aucune exploitation dans la nature n’a été signalée pour l’instant, mais avec une vulnérabilité aussi simple à exploiter et aux effets potentiellement dévastateur, mieux vaut ne pas traîner.
Pour info, Docker a également mentionné une autre vulnérabilité, la CVE-2025-23266, qui affectait le NVIDIA Container Toolkit en mode CDI jusqu’à la version 1.17.7 . Docker Desktop inclut maintenant la version 1.17.8 qui n’est pas touchée, mais les anciennes versions de Docker Desktop pourraient être affectées si le mode CDI était activement activé. C’est une raison de plus pour mettre à jour vers Docker Desktop 4.44 ou ultérieur.
En 1994, pendant que les autres mômes collectionnent les cartes Pokémon, un gamin de 13 ans fouille les poubelles derrière les magasins d’informatique. HD Moore ne cherche pas de la bouffe… il cherche des cartes mères cassées, des barrettes RAM défectueuses, et tout ce qui pourrait l’aider à construire SA machine. Chaque jour avant l’aube, il se tape 3 km à pied pour arriver à l’école primaire d’Austin, mais au lieu d’aller directement en cours, il se faufile par la fenêtre du labo informatique et en fin de journée, à la bibliothèque du quartier, il emprunte tous les livres et manuels techniques qu’il peut trouver pour comprendre comment fonctionnent vraiment ces machines.
20 ans plus tard, c’est ce même gamin va créer l’arme de destruction massive préférée des pentesters du monde entier. Vous allez voir, l’histoire est complètement dingue.
HD Moore, Harold David Moore de son vrai nom, naît à Honolulu en 1981. Mais contrairement à ce qu’on pourrait croire, il n’a pas grandi en surfant sur les plages hawaïennes. Sa famille déménage constamment** passant dans 13 États différents pendant les années 80**, avant de finalement poser ses valises à Austin, Texas, au début des années 90.
Et là, c’est le début d’une histoire qu’on pourrait qualifier de “la misère à la richesse” version geek. La famille Moore galère financièrement, et HD l’explique sans détour : “On était pauvres. On déménageait souvent, donc j’étais régulièrement dans un nouvel endroit sans ressources. Fouiller les poubelles, même pour la bouffe et les vêtements, c’était notre mode de vie.”
Mais au lieu de se contenter de survivre, le gamin transforme cette galère en opportunité. Il découvre les ordinateurs Apple II dans le labo informatique de son école primaire d’Austin et c’est le coup de foudre immédiat. Sauf que quand t’as pas les moyens de t’acheter un ordi, tu deviens créatif. HD commence donc à fouiller spécifiquement les poubelles des magasins d’informatique, parcourant Austin en bagnole pour récupérer des pièces détachées.
“Je cherchais des pièces d’ordinateur pour essayer de construire une machine parce que ça me donnait quelque chose avec quoi je pouvais jouer et que je pouvais contrôler. D’un point de vue émotionnel, ça me donnait un certain contrôle sur ma propre vie.”
Et le pari fonctionne ! En arrivant au lycée alternatif Gonzalo Garza, HD avait réussi à assembler un vrai 486-DX fonctionnel uniquement avec des composants de récupération. Son prof de maths et informatique, Christian Walker, se souvient encore de lui : “Je ne pouvais rien lui apprendre. La plupart du temps, les étudiants étaient à Gonzalo parce qu’ils avaient foiré leurs notes. Dans le cas de HD, c’était l’inverse. Il était trop intelligent et pas assez challengé par les autres écoles.”
Pendant que ses potes découvrent MTV et les Tamagotchis, HD Moore plonge alors dans l’univers des BBS (Bulletin Board Systems) et d’IRC. On est dans les années 90, Internet n’existe pas encore vraiment pour le grand public, mais ce gamin de 13-14 ans déchiffre déjà les mystères de l’informatique en mode autodidacte total. Et ses farces de l’époque donnent le ton : il se connecte aux tours radio d’Austin avec son modem pour faire clignoter les lumières, et sa connerie la plus épique, c’est quand il a temporairement coupé l’électricité de tout un magasin K-Mart du nord d’Austin juste pour faire une blague à un pote !
Walker découvre vite les talents de son élève et le recrute pour aider à gérer le réseau informatique de l’école. Et c’est là que ça devient dingue car certains jours, HD prend sa caisse et se tape la route jusqu’à Kelly Air Force Base à San Antonio pour faire du boulot de consultant en cybersécurité pour le Département de la Défense américain. Ils le payent même cash en petites coupures pour le garder “off the books” (hors des registres officiels). Il est un consultant fantôme qui audite les systèmes du DoD alors qu’il n’a même pas fini le lycée !
Cette expérience va être déterminante pour la suite. Moore bosse comme pentester dans une boîte, et il se rend compte d’un truc qui le frustre au plus haut point : trouver des vulnérabilités théoriques, c’est bien, mais il faut pouvoir les exploiter réellement pour prouver qu’elles sont dangereuses. Le problème c’est qu’à l’époque, le monde du hacking, c’était un peu le Far West… Chaque exploit était développé de son côté, aucune standardisation, et une galère monstre pour les utiliser. HD passait son temps à valider et nettoyer du code d’exploit pourri, et ça le gavait au plus haut point.
Été 2003. HD Moore, maintenant dans la vingtaine, a une idée qui va changer le game à jamais. Il imagine un framework unifié qui regrouperait tous les exploits connus dans une interface cohérente et pratique. Mais l’inspiration originale est d’ailleurs assez fun car au départ, Moore voulait créer un jeu réseau en mode texte (façon années 80) qui s’appellerait initialement “BFEG” (l’acronyme devrait parler à tous ceux qui ont joué à DOOM), puis “Overkill”. L’idée était que le réseau local serait représenté comme une grille et les machines actives apparaîtraient comme des points sur la carte. Un peu comme un Pac-Man version hacker, quoi. Mais très vite, l’aspect “jeu” passe au second plan et Moore réalise qu’il est en train de créer quelque chose de bien plus important : la boîte à outil ultime du pentesting.
Le nom du projet ? Metasploit.
Quand il montre son projet à son patron, la réaction est glaciale. “Tu veux mettre ce truc en open source ? Donner des armes aux cybercriminels ? T’es malade ?” Le patron refuse alors catégoriquement que HD utilise Metasploit au boulot. Certains clients menacent même de rompre leurs contrats si HD continue à publier des exploits sur leurs produits. Par exemple, un mec de chez Microsoft n’arrêtait pas d’appeler le CEO de la boîte de HD en disant qu’ils devaient l’empêcher de publier des exploits et le virer, sinon ils supprimeraient la licence de partenariat de l’entreprise. La pression était énorme sur ses collègues, son patron et le CEO pour qu’ils se débarrassent de lui.
HD admet lui-même qu’une partie de Metasploit a été créée “par dépit”, pour faire chier ses détracteurs, ses employeurs, tous ces gardiens de la cybersécurité qui le regardaient de haut. C’est quelque chose qu’il assume totalement ! Sa femme avait même créé un “get HD out of jail fund” au cas où ses activités lui causeraient des problèmes légaux.
Puis en octobre 2003, HD publie la première version publique de Metasploit, quelques jours avant ses 23 ans. Elle contient la bagatelle de… 11 exploits. Quand je pense qu’aujourd’hui Metasploit en contient plusieurs milliers, ça fait sourire, mais déjà, l’essentiel est là, à savoir une interface unifiée, des payloads modulaires, et surtout une philosophie claire.
Il présente alors officiellement son bébé à la conférence Hack-in-the-Box en Malaisie. Et là, c’est le début d’une collaboration épique ! Il rencontre un développeur qui va marquer l’histoire du projet : Spoonm. L’anecdote de leur première rencontre est mythique. Spoonm lui envoie un mail cash : “Your software sucks.” (Ton logiciel, c’est de la merde). La réponse de HD ? “OK, why don’t you rewrite it?” (OK, alors pourquoi tu ne le réécris pas ?). Et devine quoi ? Il l’a fait ! Moore avait compris un truc essentiel sur la communauté hacker comme il l’explique : “Dans la communauté d’exploits, il faut faire appel à l’ego. En faire un défi. C’est de ça qu’ils vivent.”
Cette Metasploit 2.0, sortie en avril 2004, c’est la révolution. 19 exploits, 27 payloads, et surtout une architecture modulaire qui permet de mixer et de matcher les composants. Spoonm devient un développeur lead du projet, et HD avait trouvé sa méthode à savoir pas d’attitude moralisatrice, juste du défi technique pur.
Un autre génie rejoint alors l’équipe peu après… Il s’agit de Matt Miller, alias “skape” et ce mec, c’est le Mozart du code d’exploitation. Développeur le jour, chercheur en sécurité la nuit, skape va créer Meterpreter, le payload ultime de Metasploit. C’est un agent qui s’installe en mémoire sur la machine compromise, invisible, persistant, avec des capacités de post-exploitation hallucinantes. Une simple commande, “hashdump”, et vous récupérez tous les mots de passe du système. Il contribue aussi à plein d’autres trucs comme l’injection VNC et de nombreuses autres avancées de payload. Cette collaboration va durer quelques années jusqu’à ce que skape soit recruté par Microsoft en 2008. C’est drôle quand on sait que Microsoft voulait faire virer HD ! Et fun fact, skape a aussi développé SEHOP, une technologie de mitigation qui a pratiquement tué les exploits basés sur SEH overflow.
Matt Miller
Puis en 2007, grosse décision, Metasploit est entièrement réécrit en Ruby. Un travail de titan de 18 mois de développement, et plus de 150 000 lignes de code à écrire from scratch. Metasploit 3.0 sort, et là, c’est plus un outil, c’est une plateforme complète. Interface au top, architecture modulaire, extensibilité infinie… Un pur bonheur pour tout pentester qui se respecte.
Mais HD Moore ne se contente pas de Metasploit car il continue d’innover en permanence. En 2006, il lance le “Month of Browser Bugs” (MoBB), une initiative où il sort une vulnérabilité de navigateur par jour pendant tout le mois de juillet. Les hacks publiés sont soigneusement choisis pour démontrer un concept sans révéler un chemin direct vers l’exécution de code à distance, mais ça fait quand même un tabac ! Il trouve des bugs dans Opera 9, Internet Explorer 6, Internet Explorer 7, et probablement Safari ou Konqueror. L’objectif c’est de forcer les éditeurs à patcher plus vite et sensibiliser le public aux failles de sécurité. Le concept fait tellement de bruit qu’il inspire toute une série d’initiatives similaires : Month of Apple Bugs, Month of PHP Bugs, Month of Kernel Bugs… Moore a littéralement créé un mouvement de disclosure coordonnée.
Mais son projet le plus fou, c’est en 2012 avec Critical.io. Ce projet scanne l’intégralité d’Internet pour identifier les machines vulnérables aux nouvelles failles. Et là, c’est le jackpot puisque Moore découvre une des vulnérabilités les plus critiques de l’histoire d’Internet, une faille UPnP (Universal Plug and Play) qui touche entre 40 et 50 millions d’appareils connectés. Pour vous donner une idée de l’ampleur du truc, avec un simple paquet UDP, on pouvait prendre le contrôle total de millions de routeurs, imprimantes, caméras IP et autres objets connectés. 81 millions d’adresses IP différentes ont répondu aux requêtes UPnP de Rapid7, touchant plus de 6900 produits différents de 1500 fournisseurs ! Une catastrophe potentielle que Moore révèle au grand jour, forçant les constructeurs à réagir en urgence.
2009, année charnière. Le 21 octobre, Rapid7 rachète Metasploit. La communauté open source est en panique totale. “C’est fini, ils vont tout fermer, transformer ça en produit commercial hors de prix !” Les forums s’enflamment, les développeurs menacent de forker le projet. La nouvelle tombe comme un coup de tonnerre, et les réactions sont mitigées. Certains hackers sont carrément pas contents, refusant de contribuer aux produits d’une boîte commerciale.
Mais HD, lui, voit les choses différemment : “C’est plus un buy-in qu’un sell-out”, dit-il. “Il s’agit de faire passer Metasploit au niveau supérieur avec une vraie entreprise et un vrai financement.” Et le pari est osé car HD et ses co-développeurs avaient toujours travaillé sur Metasploit après les heures de bureau, pendant les pauses déjeuner et les week-ends et là, pour la première fois, il peut bosser dessus à temps plein. “Je peux maintenant faire une fonctionnalité en une journée de travail, pas sur tout un week-end… Je suis excité de pouvoir travailler dessus à temps plein.”
HD devient Chief Security Officer puis Chief Research Officer chez Rapid7, mais il garde le contrôle architectural de son bébé jusqu’en 2016. Et là, surprise, non seulement Metasploit Framework reste open source et gratuit, mais Rapid7 investit massivement dedans. Rapid7 promet de financer 5 développeurs à temps plein pour travailler sur le projet et Moore insiste en disant que tout le logiciel développé par la nouvelle équipe restera libre et open source. “Rien de ce que les gens utilisent aujourd’hui ne va disparaître”, assure-t-il. Le pari est gagnant car avec les ressources de Rapid7, Metasploit explose littéralement. Les cycles de release passent de 9-12 mois à une release par semaine. L’équipe de développement passe de quelques bénévoles à une équipe dédiée de 5 chercheurs.
Et les chiffres parlent car au moment où Rapid7 acquiert le projet, ils n’avaient qu’environ 33 000 utilisateurs basés sur les stats subversion. Deux ans plus tard, post-Rapid7, ils étaient passés à 200 000 à 300 000 utilisateurs mensuels ! En 2009, il y avait un total de 17 personnes qui avaient contribué à Metasploit. En 2014, on est passé à environ 150 personnes qui ont contribué à Metasploit cette année-là, et sur les 400 contributeurs environ sur toute la vie de Metasploit, près de la moitié avaient commité quelque chose dans les 12 mois précédant 2014.
Il y a eu plus de commits dans les 12 premiers mois post-acquisition que dans les trois années précédentes !
L’écosystème Metasploit devient alors complètement dingue. Raphael Mudge crée Armitage en 2010, une interface graphique qui rend Metasploit accessible aux noobs du CLI puis plus tard, Mudge développe Cobalt Strike en 2012, qui deviendra l’outil de référence des red teams professionnelles. Les chiffres donnent le vertige. De 11 exploits en 2003, Metasploit passe alors à plus de 1500 exploits intégrés et 4000+ modules d’exploitation en 2025. Le framework contient maintenant plus de 6000 modules au total. Les payloads supportent PPC, MIPS et ARM, permettant de cibler les systèmes embarqués et l’IoT.
Armitage, l’interface graphique de Metasploit
En 2016, après 7 ans chez Rapid7, Moore décide alors qu’il est temps de passer à autre chose. Il quitte l’entreprise (tout en restant consultant pour Metasploit) et se lance dans une nouvelle aventure. En 2018, il crée Rumble Network Discovery, qui deviendra plus tard runZero.
Son constat c’est que même avec tous les outils de sécurité du monde, les entreprises se font encore pirater par des machines qu’elles ne connaissent pas. En effet, le problème fondamental, c’est qu’on ne peut pas sécuriser ce qu’on ne voit pas.
Super HD, toujours en train de résoudre les vrais problèmes que l’industrie préfère ignorer ! “C’est vraiment chouette de prendre l’approche que j’avais utilisée précédemment pour la découverte de réseaux externes et de l’appliquer ensuite au côté interne”, dit-il. “Nous pouvons le faire pour les entreprises derrière leur pare-feu et dans leurs réseaux internes et toutes leurs connexions cloud, VPN, et liens multisites et régionaux.”
runZero, c’est donc la réponse de Moore à ce défi. Et contrairement aux scanners de vulnérabilités classiques, son outil se concentre sur la découverte d’assets et la cartographie des réseaux. Sa philosophie sur ce projet c’est “zéro barrière pour le déploiement, zéro inconnu sur votre réseau”. Et visiblement, ça marche puisque runZero lève 5 millions de dollars en 2019, puis 15 millions supplémentaires en 2024. L’entreprise suit même les traces de Metasploit avec une reconnaissance Gartner comme “Customers’ Choice” dans la catégorie CAASM (Cyber Asset Attack Surface Management). Pas mal !!
En 2025, HD Moore reste une figure incontournable de la cybersécurité mondiale et continue de donner des conférences dans les plus gros événements du secteur tels que BSidesSF, RSA Conference, NorthSec. Son talk récent “A Pirate’s Guide to Snake Oil & Security” au NSEC a même fait sensation avec sa critique acerbe de l’industrie de la sécurité. Et son interview récente pour RSA 2025 sur “la mort et la renaissance du vulnerability management” montre qu’il n’a rien perdu de sa vision disruptive.
Bien avant HD Moore, le pentesting était réservé à une élite. Les outils commerciaux coûtaient une fortune (genre Core Impact à 30 000$ par an), les exploits publics étaient pourris, et partager ses connaissances était mal vu. Heureusement HD a tout pété et a démocratisé l’offensive security, légitimé la recherche en sécurité, et créé une communauté mondiale de chercheurs qui collaborent ouvertement.
Ses détracteurs diront qu’il a armé les cybercriminels et c’est vrai que Metasploit est utilisé par les méchants. Mais c’est aussi vrai que sans Metasploit, des milliers d’entreprises n’auraient jamais pu tester correctement leurs défenses, les pentesters indépendants n’auraient jamais pu concurrencer les grosses boîtes de sécu sans cet accès à des outils professionnels. Et quand on lui demande pourquoi il a créé Metasploit, HD répond simplement qu’il en avait marre de valider et nettoyer du code d’exploit pourri. Pas pour la gloire, pas pour l’argent (il a mis des années avant de gagner un centime avec Metasploit), mais juste pour résoudre un problème pratique qui l’emmerdait.
Vingt-deux ans après sa création, Metasploit continue d’évoluer. Les modules pour Kubernetes, les exploits pour le cloud AWS/Azure/GCP, les attaques contre l’IA et le machine learning… Le framework s’adapte constamment aux nouvelles menaces. Les releases hebdomadaires apportent régulièrement de nouveaux modules qui chaînent des vulnérabilités pour des attaques sophistiquées.
Et HD Moore ? Et bien à 44 ans, il continue de hacker, mais cette fois-ci c’est l’industrie de la cybersécurité elle-même qu’il essaie de disrupter avec runZero.
Bref la prochaine fois que vous lancerez msfconsole, pensez à ce gamin faisant les poubelles d’Austin qui a décidé un jour de faire évoluer le milieu du pentest…
Google c’est trop des dingos. Du jour au lendemain, ils transforme un écosystème entier juste parce que ça les fait marrer. Bon, j’abuse un peu, mais par exemple, hier, ils ont décider de s’attaquer à un problème épineux : Comment faire le ménage dans l’univers des apps Android sans pour autant tuer la poule aux oeufs d’or ?
Et leur solution ça va être d’exiger la vérification de l’identité des développeurs pour TOUTES les installations d’applications sur les appareils Android certifiés. Et quand je dis toutes, c’est vraiment toutes : Play Store, stores tiers, et même le fameux sideloading. Oui, je sais, ça vous stresse un peu, mais vous allez voir, c’est pour le bien de tout le monde.
Pour comprendre l’ampleur du changement, il faut savoir que jusqu’à présent, seuls les développeurs du Play Store devaient passer par cette vérification. Selon Android Authority, Google étend maintenant ce système à tous les canaux de distribution Android avec pour objectif de combattre les malwares et les arnaques financières qui pullulent dans l’écosystème.
Le processus de vérification lui-même ressemble à “un contrôle d’identité à l’aéroport”, selon Google. Il s’agit de confirmer l’identité du développeur sans pour autant examiner le contenu des applications. Notez qu’il y aurait 50 fois plus de malwares provenant du sideloading que du Play Store, donc c’est peut-être pas une si mauvaise idée.
Google a même prévu un système séparé pour les étudiants et les développeurs amateurs puisque ces derniers bénéficieront d’un processus de vérification allégé, différent de celui imposé aux développeurs commerciaux. C’est pas con, je trouve car ça évite d’écraser la créativité et l’apprentissage sous le poids des contraintes administratives. Donc normalement, vous pourrez toujours vous dev une app custom rien que pour vous sans que ce soit trop contraignant.
Cette mesure s’appliquera dès 2026, mais ça va se passer en plusieurs étapes. D’abord il va y avoir un programme d’accès anticipé en octobre 2025 pour les développeurs motivés, puis ensuite une ouverture complète du processus de vérification en mars 2026. Les premiers utilisateurs concernés seront au Brésil, en Indonésie, à Singapour et en Thaïlande dès septembre 2026, avant un déploiement final mondial en 2027.
Pour les développeurs déjà présents sur le Play Store, la transition devrait être relativement douce car la plupart remplissent probablement déjà les critères de vérification. La nouvelle Android Developer Console, spécialement conçue pour ceux qui ne distribuent que hors du Play Store, nécessitera les informations légales habituelles, un numéro D-U-N-S pour les organisations, et évidemment des frais de 25 dollars.
Google assure que leur but n’est pas de contrôler le contenu des applications, mais bien de s’assurer qu’on sache qui se cache derrière chaque app. D’ailleurs, les autorités gouvernementales des pays pilotes ont accueilli favorablement cette initiative, y voyant un moyen de protéger les utilisateurs tout en préservant l’ouverture d’Android.
Maintenant, reste à voir si l’écosystème suivra le mouvement ou si y’aura de la résistance…
Parfois, l’histoire des entreprises tech tient à des détails complètement inattendus. Celle de Rogue Amoeba, l’éditeur d’Audio Hijack et autres outils audio pour Mac, en est l’exemple parfait puisqu’un simple bug de programmation a littéralement sauvé la boîte de la fermeture.
Tout commence avec une version d’essai très généreuse… Audio Hijack offrait en effet 15 jours complets d’utilisation illimitée. Et après cette période, l’app continuait de fonctionner mais rappelait à l’utilisateur de s’enregistrer au démarrage et se fermait automatiquement au bout de 15 minutes. Une approche classique mais qui ne donnait malheureusement pas les résultats espérés.
Du coup, les ventes étaient naze et Rogue Amoeba restait pour ses créateurs, un projet parallèle, sans perspective de devenir une vraie entreprise. Les fondateurs savaient qu’ils avaient un outil utile entre les mains, mais le marché ne semblait pas les suivre… Beaucoup auraient jeté l’éponge.
Puis est arrivée cette fameuse version 1.6 d’Audio Hijack. C’était une release qui n’avait rien d’extraordinaire sur le papier, mais qui allait tout changer. Car de façon complètement inattendue et sans explication apparente, les ventes ont décollé. D’abord à un niveau viable, puis se sont stabilisés à ce nouveau palier.
Au début, l’équipe n’y comprenait rien. Qu’est-ce qui pouvait expliquer cette remontée soudaine ? Et ils ont fini par identifier la cause : un bug. Un magnifique bug qui avait cassé le système de la version d’essai tel qu’il était prévu. Au lieu de 15 jours d’utilisation complète, la version 1.6 limitait directement le temps d’enregistrement dès le premier lancement.
Et cette “erreur” a eu un impact phénoménal sur l’entreprise car en raccourcissant drastiquement la période d’évaluation, cela poussait les utilisateurs à passer à l’acte d’achat beaucoup plus rapidement. Du coup, les ventes sont montées à un niveau où il valait enfin la peine de continuer à développer et améliorer Audio Hijack.
Et en moins d’un an, Rogue Amoeba est devenu un travail à temps plein pour ses trois fondateurs. Aujourd’hui, l’entreprise emploie une douzaine de personnes et propose toute une gamme d’outils audio reconnus sur Mac. Et sans ce bug fortuit, Paul Kafasis et ses associés auraient probablement abandonné leur aventure entrepreneuriale.
Bref, cette erreur de code a sauvé à la fois Audio Hijack et leur entreprise qui 23 ans plus tard, continue de prospérer ! C’est beau non ?
Vous souvenez-vous de ces après-midi de votre jeunesse passées devant votre Mac à explorer des mondes pixellisés remplis de mystères et d’aventures ? Et bien les développeurs de ScummVM viennent de nous offrir un voyage dans le temps absolument dingue en ressuscitant tout un pan oublié de l’histoire du jeu vidéo.
En effet, l’équipe ScummVM a accompli un travail de titan à savoir reverse-engineerer complètement le moteur World Builder. Selon l’annonce officielle, ce sont donc plus de 160 jeux créés avec cet outil légendaire qui deviennent soudain jouables sur nos machines modernes.
World Builder, pour ceux qui n’ont pas connu cette époque, c’était un peu le GameMaker de l’époque du Mac classic. C’était un système de création de jeux d’aventure point-and-click qui a permis à des milliers de développeurs amateurs de concrétiser leurs idées les plus folles. Le truc génial, c’est que la plupart de ces créations étaient distribuées en freeware ou shareware, ce qui explique pourquoi ScummVM peut maintenant les proposer dans un gros pack téléchargeable.
Parmi les titres qui ressurgissent de ces limbes numériques, on trouve des perles comme “Ray’s Maze”, où le héros doit s’échapper d’un labyrinthe truffé de monstres et de pièges mortels. Il y a aussi “Radical Castle”, qui vous met dans la peau d’un écuyer chargé de récupérer un mystérieux “Oracle” pour éviter un châtiment fatal. Et puis “Enhanced Scepters”, qui a la particularité d’être le tout premier jeu commercial créé avec World Builder.
Comme d’hab, lobjectif de ScummVM reste le même depuis ses débuts c’est à dire préserver et rendre les jeux classiques accessibles à tous en permettant à ces titres anciens de tourner sur des plateformes contemporaines.
En tout cas, chapeau pour le travail accompli car reverse un moteur de jeu complet, même s’il est ancien, c’est déjà quelque chose, alors en plus s’attaquer à World Builder et parvenir à faire fonctionner plus de 160 titres différents, c’est carrément héroïque, car chaque jeu avait ses spécificités, ses petites bidouilles, ses façons particulières d’exploiter les capacités du moteur.
Si vous voulez tester, pour l’instant, il faudra utiliser une build de développement de ScummVM plutôt que la version stable pour profiter de cette nouveauté. L’équipe invite d’ailleurs les testeurs à remonter les bugs via leur système de tracking et à les contacter s’ils tombent sur des jeux ou des démos non reconnus.
Voilà, après les classiques LucasArts et Sierra, voici qu’un nouveau pan entier de la création amateur Mac refait surface. Y’a de quoi occuper nos soirées nostalgiques pour les mois à venir….
Plutôt que de créer des modèles spécialisés pour chaque domaine, les équipes de Google Research ont eu une idée beaucoup plus ambitieuse. Ils se sont demandé si un seul modèle pouvait prédire l’évolution de n’importe quelle série temporelle, qu’il s’agisse du cours du Bitcoin, de la consommation électrique d’une ville ou du trafic sur Korben.info ?
C’est donc ce qu’accomplit TimesFM, leur nouveau modèle de prévision temporelle et pour cela, ils ont entraîné TimesFM sur un corpus de 100 milliards de points temporels réels, en piochant dans des sources aussi variées que Google Trends ou encore les statistiques de pages vues de Wikipedia.
Le génie de cette approche réside dans le choix des données d’entraînement car les tendances de recherche Google et les consultations Wikipedia reflètent naturellement des patterns temporels qu’on retrouve dans beaucoup de séries de données réelles.
Techniquement, TimesFM adopte uniquement une architecture de type transformer décodeur, similaire aux grands modèles de langage qu’on connaît tous. Mais au lieu de traiter des mots, il découpe les séries temporelles en “patches”, c’est à dire des groupes de points temporels consécutifs qu’il traite comme des tokens. Cette astuce permet au modèle de prédire des horizons plus longs de façon plus efficace, avec moins d’étapes de génération.
La version disponible sur GitHub propose deux variantes : TimesFM 1.0 avec 200M de paramètres qui gère des contextes jusqu’à 512 points temporels, et TimesFM 2.0 avec 500M de paramètres qui étend ce contexte à 2048 points avec des performances jusqu’à 25% supérieures.
Ce qui m’impressionne le plus, c’est la capacité de généralisation du modèle car sans aucun entraînement spécifique sur les datasets de test, TimesFM arrive à rivaliser avec des modèles supervisés entraînés explicitement sur ces données. Il surpasse par exemple DeepAR et llmtime (une approche basée sur GPT-3) de plus de 25%, ce qui est pas mal pour un modèle qui découvre ces données pour la première fois.
L’intégration dans l’écosystème Google est également déjà en cours puisque Google Cloud a intégré TimesFM dans BigQuery ML, permettant aux utilisateurs de faire de la prévision via la fonction AI.FORECAST sans avoir besoin de créer et d’entraîner leurs propres modèles.
L’approche adoptée révèle aussi une philosophie intéressante chez Google Research car plutôt que de multiplier les modèles spécialisés, ils misent sur des modèles de fondation capables de généralisation. C’est la même logique qui a donné naissance aux LLM universels, mais appliquée maintenant au domaine temporel.
Pour les dev qui veulent tester, le modèle est disponible en open source sous licence Apache 2.0 et fonctionne avec numpy et pandas. Il faut juste prévoir au minimum 32GB de RAM, ce qui reste raisonnable pour un modèle de cette puissance.
J’sais pas ce que ça va donner à long terme, mais j’ai trouvé ça intéressant et TimesFM pourrait bien change la façon dont on aborde la prédiction dans des domaines aussi variés que la finance, la météorologie ou la gestion énergétique.
Bon, on va pas se mentir. Il y a des histoires dans le monde de la cybersécurité qui méritent d’être racontées, pas seulement pour leur importance technique, mais parce qu’elles incarnent l’esprit même du hacking à savoir cette volonté farouche de comprendre, de tester, de pousser les limites. Car l’histoire de Kali Linux, c’est avant tout l’histoire d’un homme mystérieux connu sous le pseudonyme de “muts”, d’une déesse hindoue de la destruction et de la renaissance, et d’une distribution Linux qui transforme radicalement le monde du pentesting.
Nous sommes en 2004. Facebook vient à peine de naître dans un dortoir de Harvard, YouTube n’existe pas encore, Korben.info vient à peine d’être lancé, et dans le monde de la sécurité informatique, les professionnels jonglent avec des dizaines de CD-ROM différents, chacun contenant un outil spécifique. C’est le bordel absolu ! Vous voulez scanner un réseau ? Un CD. Cracker un mot de passe ? Un autre CD. Faire du reverse engineering ? Encore un autre. Les pentesters trimballent littéralement des valises pleines de disques. C’est dans ce contexte chaotique qu’un personnage énigmatique émerge : Mati Aharoni.
Aharoni, c’est le genre de type qui préfère rester dans l’ombre. Intensément privé, il laisse son travail parler pour lui plutôt que sa personne. Mais son travail, justement, va parler très, très fort. Le 30 août 2004, sous le pseudonyme “muts”, il annonce une nouvelle distribution Linux appelée Whoppix. Le nom est un jeu de mots cool où il remplace le “Kn” de Knoppix par “Wh” pour “White Hat”, ces hackers bienveillants qui utilisent leurs compétences pour protéger plutôt que détruire.
Whoppix, c’est révolutionnaire pour l’époque. Un CD bootable qui contient TOUS les outils dont un pentester a besoin. Plus besoin de transporter une valise pleine de disques, tout tient dans votre poche ! Les scanners réseau, les crackeurs de mots de passe, les outils de reverse engineering… tout est là, prêt à l’emploi pour les pentesteurs. Et ça change tout.
Mais Aharoni ne s’arrête pas là. En 2005, il renomme Whoppix en WHAX et continue de l’améliorer. Pendant ce temps, de l’autre côté du monde numérique, un certain Max Moser développe sa propre distribution : Auditor Security Collection. Moser, c’est l’organisation incarnée. Sa distribution contient plus de 300 outils organisés dans une hiérarchie si intuitive que même un débutant peut s’y retrouver. C’est du travail d’orfèvre !
Le destin va alors se charger de réunir ces deux génies. En 2006, Aharoni et Moser réalisent qu’ils poursuivent le même rêve : créer LA distribution ultime pour les professionnels de la sécurité. Alors au lieu de se faire concurrence comme des idiots, ils décident de fusionner leurs projets. Le truc cool, c’est qu’ils combinent le meilleur des deux mondes qui est la puissance brute de WHAX et l’organisation méthodique d’Auditor.
Le 26 mai 2006, BackTrack voit le jour. BackTrack v1 sort avec des outils dans toutes les catégories imaginables : reverse engineering, forensique, stress testing, exploitation… C’est Noël pour les hackers ! La distribution devient instantanément culte dans la communauté. Pour l’époque, c’est du jamais vu.
C’est aussi à cette époque qu’entre en scène Devon Kearns, connu sous le pseudonyme “dookie200ca” (oui, le pseudo est chelou). Ensemble, avec Aharoni et Kearns, ils transforment BackTrack en quelque chose de plus grand qu’une simple distribution Linux pour fonder en 2007, Offensive Security, une entreprise qui va métamorphoser la formation en cybersécurité. La société est officiellement créé en 2008, mais l’aventure commence vraiment en 2006-2007 quand Mati et sa femme Iris lancent ce début d’affaire depuis leur salon.
Leur philosophie est simple mais radicale : “Try Harder”. Pas de QCM à la con, pas de théorie abstraite, juste de la pratique pure et dure. Vous voulez apprendre ? Vous vous battez avec de vraies machines, vous exploitez de vraies vulnérabilités, vous suez sang et eau. C’est brutal, mais c’est efficace. Cette mentalité va former des générations entières de pentesters.
BackTrack connaît un succès phénoménal. Les versions s’enchaînent… v1 à v3 basées sur Slackware, puis un virage majeur avec v4 et v5 qui passent sur Ubuntu. La dernière BackTrack 5 R3, sort ensuite en août 2012 et propose deux environnements de bureau (GNOME et KDE) pour les architectures 32 et 64 bits. La communauté grandit, les téléchargements explosent, BackTrack devient LA référence.
Mais voici où l’histoire devient vraiment fascinante. En 2013, Aharoni et son équipe prennent une décision audacieuse qui fait trembler toute la communauté : ils vont tout reconstruire from scratch. Pas une simple mise à jour, non. Une refonte complète, basée cette fois sur Debian plutôt qu’Ubuntu. Pourquoi ? Pour la stabilité légendaire de Debian, sa gestion des paquets supérieure, et surtout, pour implémenter un modèle de rolling release qui permet aux utilisateurs d’avoir toujours les derniers outils sans réinstaller le système. C’est un pari risqué, mais ils osent.
Le 13 mars 2013, lors de la conférence Black Hat Europe à Amsterdam, ils annoncent Kali Linux. Et là, le choix du nom est absolument génial. Kali est une déesse hindoue fascinante. Elle représente le temps, la destruction, mais aussi la renaissance. Son nom dérive du sanskrit “kāla” signifiant à la fois “temps” et “noir”. Elle est celle qui détruit pour permettre la création, qui met fin aux illusions pour révéler la vérité. Quelle métaphore parfaite pour une distribution destinée à détruire les failles de sécurité pour créer des systèmes plus sûrs !
La symbolique va même plus loin car la déesse Kali est souvent représentée debout sur Shiva, symbolisant l’équilibre entre l’énergie dynamique (Shakti) et la conscience immobile. C’est exactement ce qu’est Kali Linux : un équilibre parfait entre la puissance brute des outils d’attaque et la conscience éthique de leur utilisation. Même le logo de Kali, ce dragon stylisé, est devenu iconique dans le monde de la cybersécurité.
Le succès est immédiat et fulgurant. Kali Linux devient rapidement LA référence mondiale et les statistiques donnent le vertige : plus de 300 000 téléchargements par mois, plus de 600 outils de sécurité pré-installés et configurés. La distribution couvre absolument tout : reconnaissance, exploitation, forensique, reverse engineering, wireless attacks, web application testing… C’est du lourd !
Mais ce qui rend Kali vraiment spécial, c’est sa versatilité hallucinante. Vous voulez l’installer sur votre PC ? Pas de problème. Sur un Raspberry Pi pour faire du wardriving discret ? C’est possible. Dans le cloud AWS ou Azure pour des tests à grande échelle ? Facile. Sur votre smartphone Android via NetHunter ? Ça marche aussi !
Et là où ça devient complètement dingue, c’est que NetHunter permet même de transformer certaines smartwatches en outils de pentesting. La TicWatch Pro 3 peut maintenant capturer des handshakes WPA2 depuis votre poignet ! Vous imaginez ? Vous êtes à une conférence, l’air de rien avec votre montre, et vous capturez des handshakes WiFi. C’est du James Bond version 2025 !
L’impact culturel de Kali Linux dépasse largement le monde de la sécurité. La série Mr. Robot, acclamée pour son réalisme technique, montre régulièrement Elliot Alderson utiliser Kali Linux. Pour la première fois, Hollywood représente le hacking de manière authentique, avec de vraies commandes et de vrais outils. Sam Esmail, le créateur de la série, a engagé une équipe d’experts incluant Jeff Moss (fondateur de DEF CON et Black Hat) pour garantir l’authenticité. C’est la classe !
En 2023, Offensive Security lance un truc complètement fou : Kali Purple. Après des années à perfectionner les outils offensifs (red team), ils sortent une version dédiée aux équipes défensives (blue team). Kali Purple inclut plus de 100 outils défensifs comme Arkime, CyberChef, Elastic Security, TheHive, et Suricata. C’est un SOC-in-a-Box complet ! Les organisations peuvent maintenant former leurs analystes et conduire des exercices purple team où attaquants et défenseurs collaborent. C’est une révolution conceptuelle.
Parlons aussi des certifications, parce que là aussi, c’est du sérieux. L’OSCP (Offensive Security Certified Professional) est devenue le Saint Graal du pentesting. Contrairement aux autres certifications qui se contentent de QCM bidons, l’OSCP exige un examen pratique de 24 heures où les candidats doivent compromettre de vraies machines. C’est l’enfer ! Le taux d’échec est énorme, mais ceux qui réussissent sont immédiatement reconnus comme des experts.
Niveau tarifs en 2025, accrochez-vous : le cours PWK (Penetration Testing with Kali Linux) coûte entre 849$ et 5 499$ selon les options. Le package standard avec 1 an de lab et un essai à l’examen coûte 1 599$. Le package unlimited avec tentatives illimitées monte à 5 499$. C’est cher, mais l’investissement en vaut la peine car un OSCP gagne en moyenne 120 000$ par an aux États-Unis selon ZipRecruiter. Pas mal, non ?
En novembre 2024, Offensive Security introduit l’OSCP+, une version renouvelable de la certification qui doit être mise à jour tous les trois ans. C’est logique… la cybersécurité évolue tellement vite qu’une certification figée dans le temps n’a aucun sens. Et l’examen reste brutal : 23h45 de hack, puis 24h pour rédiger le rapport. Les candidats simulent une vraie intrusion sur un réseau privé VPN avec des machines vulnérables. C’est du réalisme pur.
L’évolution technique de Kali est également impressionnante. La version 2025.2 sortie en juillet apporte des améliorations majeures. Le menu Kali a été complètement réorganisé selon le framework MITRE ATT&CK, comme ça, au lieu d’avoir les outils rangés par catégorie technique (scanners, exploits, etc.), ils sont maintenant organisés selon les tactiques et techniques d’attaque réelles. Ça aide les pentesters à penser comme de vrais attaquants, en suivant la kill chain depuis la reconnaissance jusqu’à l’exfiltration.
GNOME 48 et KDE Plasma 6.3 sont également intégrés, avec des fonctionnalités sympas comme un indicateur VPN qui affiche votre IP directement dans la barre de statut. Plus besoin de taper “curl ifconfig.me” toutes les cinq minutes pour vérifier si votre VPN fonctionne ! Sur Raspberry Pi, le WiFi onboard supporte maintenant le mode monitor et l’injection de paquets grâce à Nexmon. C’est pratique pour les tests discrets.
Mais l’innovation la plus folle reste le CARsenal de NetHunter. Kali permet maintenant de faire du car hacking ! Le toolset inclut ICSim, un simulateur pour jouer avec le bus CAN sans avoir besoin de matériel physique. On peut littéralement hacker des voitures depuis Kali Linux. C’est le futur qui arrive à toute vitesse !
Pourtant, Kali Linux n’est pas sans controverse. Les Émirats Arabes Unis ont interdit Kali Linux en 2013, craignant son potentiel de mauvaise utilisation. Cette interdiction soulève le débat éternel : ce qui protège peut aussi attaquer. Un marteau peut construire une maison ou fracasser un crâne. C’est la responsabilité et l’éthique de l’utilisateur qui font la différence.
L’installation de Kali a beaucoup évolué. Sur Windows, grâce à WSL2, vous pouvez maintenant installer Kali directement depuis le Microsoft Store avec la commande wsl --install --distribution kali-linux. WSL2 utilise un vrai kernel Linux dans une VM Hyper-V, offrant des performances quasi-natives. C’est complètement fou de voir Microsoft embrasser Linux à ce point !
Pour les Mac M1/M2, VMware Fusion 13 ou UTM permettent de faire tourner Kali sur Apple Silicon. Il faut juste télécharger l’image ARM64 et non x86. UTM est particulièrement intéressant car il offre la virtualisation native plutôt que l’émulation, garantissant de meilleures performances. Apple et Linux qui cohabitent, qui l’eût cru ?
Les chiffres parlent d’eux-mêmes. Kali compte maintenant plus de 600 outils pré-installés, supporte plus de 99 appareils Android différents via NetHunter, et le dépôt GitLab contient plus de 230 kernels pour plus de 100 appareils. C’est devenu un écosystème complet, pas juste une distribution. Bref, avant il fallait être un expert Linux pour configurer ses outils. Maintenant, un débutant motivé peut démarrer Kali et commencer à apprendre immédiatement. Les outils sont pré-configurés, documentés, et la communauté est là pour aider. C’est une révolution dans l’éducation à la cybersécurité.
L’histoire personnelle de Mati Aharoni ajoute aussi une touche humaine à cette saga. Il se décrit lui-même comme “un accro de l’infosec en rémission, coureur passionné, plongeur, kiteboarder, et mari” et après plus de deux décennies dans la sécurité, il quitte Offensive Security et Kali Linux en 2019 pour se consacrer à d’autres projets. Aujourd’hui, il fait de la musique sur un Akai MPC et change des filtres à huile sur des générateurs électriques. Une retraite bien méritée pour quelqu’un qui a révolutionné une industrie entière !
Devon Kearns continue de porter le flambeau avec l’équipe d’Offensive Security. Jim O’Gorman a repris le rôle de leader du projet Kali après le départ d’Aharoni. Et Raphaël Hertzog, expert Debian français, reste le troisième pilier technique du projet. L’équipe continue d’innover et de pousser les limites.
Les vulnérabilités découvertes grâce à Kali sont innombrables. Des chercheurs ont trouvé des zero-days critiques dans toutes les grandes entreprises tech. Heartbleed, Shellshock, Spectre, Meltdown… Toutes ces vulnérabilités majeures ont été analysées et exploitées avec Kali. L’outil SQLMap intégré dans Kali a permis d’identifier des milliers d’injections SQL dans des sites majeurs.
Les outils les plus populaires de Kali forment également un arsenal redoutable. Nmap pour le scanning (le couteau suisse du réseau), Metasploit pour l’exploitation (la mitrailleuse lourde), Wireshark pour l’analyse réseau (le microscope), John the Ripper et Hashcat pour le cracking de mots de passe (les brise-coffres), Burp Suite pour les tests d’applications web (le scalpel chirurgical). Chaque outil a sa spécialité, et ensemble, ils forment une armée invincible.
Et surtout, la philosophie “Try Harder” d’Offensive Security est devenue un mantra dans la communauté. C’est plus qu’un slogan, c’est une approche de la vie. Face à un problème, ne cherchez pas la solution facile, creusez plus profond, comprenez vraiment. Cette mentalité a formé des générations de professionnels qui ne se contentent pas de suivre des procédures mais qui comprennent vraiment ce qu’ils font. Et avec l’explosion de l’IoT, des voitures connectées, et maintenant de l’IA, les surfaces d’attaque se multiplient, c’est pourquoi Kali évolue constamment pour couvrir ces nouveaux domaines.
Tant qu’il y aura des systèmes à sécuriser, des vulnérabilités à découvrir, des défenses à tester, Kali Linux sera là. Évoluant, s’adaptant, mais restant toujours fidèle à sa mission originale.
A vous maintenant de télécharger, installer et explorer Kali et contribuer à écrire les prochains chapitres de cette saga.
Je viens de tomber sur un truc complètement par hasard ce matin en faisant une recherche Google. L’AI Mode est enfin disponible en France !
Cette fonctionnalité dont tout le monde parle depuis des mois et qui était uniquement réservée aux États-Unis, à l’Inde et au Royaume-Uni vient visiblement de débarquer chez nous, même si Google n’a fait, je crois, aucune annonce officielle. Depuis mars 2025, Google testait cette fonctionnalité dans neuf pays européens (Autriche, Belgique, Allemagne, Irlande, Italie, Pologne, Portugal, Espagne et Suisse), mais la France était absente de la liste, probablement pour des raisons réglementaires, ce qui rend son arrivée soudaine d’autant plus surprenante.
Premier constat, faut lui parler en anglais pour la requête initiale, sinon il refuse catégoriquement de répondre. Autant dire qu’en France, comme on doit être une dizaine à parler l’anglais ^^, ça va être un gros frein à son adoption, mais j’ai trouvé l’astuce… Une fois qu’il a généré sa réponse en anglais à votre question en anglais, vous pouvez lui demander de traduire sa réponse en français et là, miracle, ça fonctionne parfaitement.
Maintenant, pour ceux qui ne connaissent pas encore, l’AI Mode, c’est la nouvelle interface de recherche de Google propulsée par Gemini 2.0, comme ça au lieu de vous servir la traditionnelle liste de liens bleus, Google génère directement une réponse complète et structurée à votre question. En gros, c’est un ChatGPT intégré directement dans votre moteur de recherche, ayant un accès à toutes les données du web en temps réel.
Maintenant, on n’a donc plus vraiment besoin de visiter les sites web puisque tout est résumé, condensé, expliqué directement dans l’interface de Google. C’est pratique pour l’utilisateur, c’est certain, mais c’est une catastrophe pour les éditeurs de contenus. Selon une étude récente, les résumés générés par l’IA entraînent une baisse de 34,5% des clics vers les sites web et certains parlent même d’une chute allant jusqu’à 69% pour les recherches d’actualités.
C’est donc tout le modèle économique du web qui est en train de s’effondrer et le pacte tacite qui liait Google aux créateurs de contenu depuis 20 ans, “donnez-nous votre contenu, on vous envoie du trafic”, est clairement rompu.
Google, de son côté, nie en bloc ces impacts négatifs car selon eux, l’IA permet aux utilisateurs de poser plus de questions et crée de nouvelles opportunités de connexion avec les sites web. Ils affirment même que les clics depuis les résultats enrichis par l’IA sont de “meilleure qualité” car les utilisateurs passent plus de temps sur les sites qu’ils visitent. Mais bon, quand on voit les chiffres, j’ai du mal à y croire.
A titre personnel, je suis détendu parce que comme le dit Google AI Mode lui-même, vous continuerez à venir en direct sur korben.info, pour toutes les raisons suivantes :
Mais pour les autres médias, je suis très inquiet quand à leur survie à long terme. A mon avis, il ne restera plus que les gros, biberonnés aux subventions et aux contrats avec Google. Et tous les autres, les petits, ce sera tchao…
Voilà… Après sur l’usage de l’outil, je l’ai trouvé moins bien que perplexity mais j’imagine que ça s’améliorera avec le temps.
Bon, on va pas se mentir. Il y a des objets qui marquent une époque. Le transistor, le micro-processeur, l’iPhone… Et puis il y a ces créations plus discrètes qui révolutionnent un domaine entier sans que le grand public s’en aperçoive. Le WiFi Pineapple fait clairement partie de cette catégorie d’ananas pas comme les autres ! Ce petit boîtier noir et jaune pas plus grand qu’un smartphone transforme radicalement notre perception de la sécurité WiFi. Il inspire Hollywood, donne naissance à toute une industrie de l’audit sans fil, et surtout, il révèle à quel point nos connexions quotidiennes sont vulnérables.
L’histoire commence au milieu des années 2000, quand Darren Kitchen, un jeune administrateur système aux cheveux longs et aux idées claires, se pose une question apparemment anodine : “Pourquoi nos appareils font-ils autant confiance aux réseaux WiFi ?” Simple, mais géniale. Cette interrogation va déclencher une révolution dans le monde de la cybersécurité.
Darren Kitchen, le fondateur de Hak5
Kitchen n’est pas né de la dernière pluie. Apparu sur Terre le 11 février 1983, ce gamin grandit avec un modem 1200 bauds entre les mains, explorant les BBS (Bulletin Board Systems) de l’époque pré-Internet. “J’ai trouvé du réconfort dans le cyberespace… J’y étais accepté”, raconte-t-il avec cette nostalgie caractéristique des premiers hackers. Ses premières créations ? Des boîtes de phone-phreaking artisanales et des e-zines pour groupes de hackers dans les années 90. Du pur underground ! Après une brève mais mémorable rencontre avec la compagnie de téléphone qui l’a “dissuadé” de poursuivre ses activités de phreaking (comprendre : ils lui ont fait suffisamment peur pour qu’il arrête ses conneries), il se concentre sur ses études et fait carrière dans l’administration système.
Mais la passion du hack sommeille toujours. Kitchen commence par écrire un dialer BBS en BASIC sur un PC-XT… Je vous laisse imaginer le niveau du geek. Un IBM PC-XT, pour ceux qui ne connaissent pas, c’est l’ancêtre du PC sorti en 1983 avec son processeur 8088 à 4,77 MHz et ses 640 Ko de RAM maximum. Autant dire qu’à l’époque, coder dessus relevait de l’exploit !
En 2005, il fonde Hak5, d’abord comme un vidéocast couvrant l’open source, l’infrastructure réseau et les tests de pénétration. Son objectif est noble : créer une communauté où tous les hackers ont leur place, inspiré par ce sentiment d’appartenance qu’il a ressenti dans les premiers espaces cyber. Et ça marche ! Depuis, Hak5 est devenu la série la plus longue sur YouTube dans ce domaine, touchant des centaines de millions de personnes dans le monde. En 2008, le show rejoint même Revision3, consolidant sa place dans le paysage médiatique tech.
La révélation du WiFi Pineapple naît d’une observation simple mais géniale. Nos appareils, smartphones, laptops, tablettes, sont programmés pour chercher constamment les réseaux WiFi qu’ils connaissent. Ils envoient en permanence des requêtes dans l’éther : “Es-tu le réseau de la maison ?” “Es-tu celui du bureau ?” “Es-tu Starbucks_WiFi ?” C’est le protocole de probe request, intégré dans la norme 802.11 depuis ses débuts.
Et Kitchen se dit : “Et si je leur répondais oui à tous ?” Bingo ! L’idée est brillante !
Car plutôt que d’essayer de casser le chiffrement WiFi, un processus long et complexe qui nécessite de capturer des handshakes et de faire du bruteforce, pourquoi ne pas faire croire aux appareils qu’ils se connectent à un réseau de confiance ? Ce principe du rogue access point (point d’accès pirate) existe déjà, mais Kitchen va le pousser dans ses retranchements avec une innovation cruciale : le PineAP.
PineAP, c’est l’âme du WiFi Pineapple. Ce système breveté écoute les requêtes des appareils et leur répond de manière convaincante. Mais Kitchen ne s’arrête pas là. Il développe tout un écosystème : une interface web intuitive accessible depuis n’importe quel navigateur, des modules extensibles permettant d’ajouter des fonctionnalités (captures de handshakes, attaques de déauthentification, portails captifs…), une gestion fine des attaques avec filtrage par MAC address et SSID. Le WiFi Pineapple n’est plus juste un outil technique, c’est une plateforme complète pour l’audit sans fil.
Les premières versions sont artisanales mais déjà redoutables. En 2008, Kitchen commercialise officiellement le premier WiFi Pineapple. Les Mark I, II et III représentent l’époque bénie où les hackers modifient leurs propres équipements. On achète un routeur Alfa AP121U pour quelques dizaines de dollars, on flashe le firmware Pineapple dessus via TFTP, et voilà ! Mais Kitchen voit plus grand. Il veut créer un produit fini, professionnel, qui ne nécessite aucune compétence technique particulière pour être déployé.
Le Mark IV marque alors un tournant. Fini le bricolage, place au professionnalisme ! Cette version, basée sur un processeur Atheros AR9331 à 400 MHz, est deux fois plus rapide que les précédentes. Elle intègre tout ce qu’il faut pour mener des attaques sérieuses : WiFi 802.11 b/g/n, plusieurs ports USB pour brancher des adaptateurs WiFi supplémentaires ou des clés 3G/4G, et surtout la possibilité de l’alimenter directement via Power over Ethernet (PoE). Plus besoin de se trimballer avec des batteries ! L’interface web évolue aussi avec le système Infusion permettant d’installer des modules tiers depuis un dépôt centralisé.
Le Mark IV, première version vraiment professionnelle
Mais c’est avec le Mark V en 2013 que la magie opère vraiment et les constructeurs de smartphones commencent à se méfier. iOS 8 et Android 6.0 développent des contre-mesures : randomisation des adresses MAC lors des probe requests, détection des points d’accès suspects, limitation du broadcast des SSID connus. Les appareils deviennent plus prudents, ils ne révèlent plus aussi facilement les réseaux qu’ils connaissent.
Qu’à cela ne tienne ! Kitchen et son équipe contre-attaquent avec de nouvelles techniques encore plus sournoises. Le Mark V embarque deux radios WiFi permettant de mener des attaques sur plusieurs canaux simultanément. Une radio écoute pendant que l’autre émet. Le système PineAP évolue avec de nouveaux modes : Beacon Response Mode qui répond sélectivement aux requêtes, Broadcast SSID Pool qui diffuse une liste de réseaux populaires, Targeted Portal qui crée des pages de phishing personnalisées. Tactique redoutable !
Le Mark V avec ses deux antennes pour les attaques multi-canaux
Petit détail qui tue : il n’y a jamais eu de Mark VI commercialisé. Kitchen a sauté directement au Mark VII pour des raisons que lui seul connaît. Certains spéculent sur un prototype raté, d’autres sur une superstition autour du chiffre 6. Le mystère reste entier !
Aujourd’hui, le Mark VII représente l’état de l’art absolu. Ce bijou de technologie embarque dans sa version de base tout ce dont rêvent les hackers : trois radios qui peuvent écouter et émettre simultanément (une dédiée au monitoring, une pour les attaques, une pour le management), le support des fréquences 2.4 et 5 GHz avec 802.11 a/b/g/n/ac, un processeur MediaTek MT7628 cadencé à 580 MHz avec 256 MB de RAM, et même un port USB-C pour suivre la modernité. C’est le couteau suisse ultime de l’audit WiFi !
Le Mark VII, l’état de l’art actuel avec ses trois radios
L’interface utilisateur, entièrement réécrite en Angular, offre un contrôle fin sur tous les aspects de l’audit. Les “Campagnes” automatisent les tests de pénétration et génèrent des rapports détaillés conformes aux standards de l’industrie. Le Cloud C2 permet une gestion à distance pour de la simulation de menaces persistantes avancées (APT). On peut contrôler une flotte entière de Pineapples depuis un dashboard centralisé !
L’interface moderne du Mark VII avec ses modules d’attaque
Les nouvelles attaques incluent la capture automatique de handshakes WPA/WPA2 avec hashcat intégré, l’amélioration des attaques de déauthentification ciblées, et même des attaques contre les réseaux WPA-Enterprise avec module RADIUS intégré. L’architecture logicielle est entièrement repensée avec un backend découplé et une API REST permettant aux développeurs d’écrire des modules dans leur langage de prédilection. Une bibliothèque Python officielle facilite l’intégration. Tout cela fait du Mark VII une plateforme mûre, stable et extensible.
L’histoire des attaques WiFi ressemble vraiment à une course aux armements permanente. Et le WiFi Pineapple s’adapte à chaque évolution comme un caméléon technologique.
Au début, il y avait le WEP (Wired Equivalent Privacy), censé protéger nos réseaux WiFi. Mais ce protocole était tellement mal conçu qu’en 2001, des chercheurs découvrent qu’on peut récupérer la clé en collectant environ 40 000 paquets. Avec les outils modernes comme aircrack-ng, n’importe quel script kiddie peut alors casser du WEP en quelques minutes. Puis arrive le WPA en 2003, puis le WPA2 en 2004, chacun promettant d’être LA solution définitive. Spoiler : ils ne l’étaient pas !
Le coup de grâce arrive en octobre 2017 avec l’attaque KRACK (Key Reinstallation Attack). Mathy Vanhoef, un chercheur belge de l’université de Louvain, découvre que même le WPA2 peut être cassé. La faille exploite la réinstallation de clés dans le four-way handshake, permettant de déchiffrer le trafic, injecter des paquets malveillants et même forcer des downgrades vers des protocoles plus faibles. Et le pire ? La faille est dans le standard WiFi lui-même, pas dans une implémentation particulière. Autrement dit, TOUS les appareils WiFi au monde sont vulnérables !
En mai 2021, Vanhoef enfonce le clou avec les FragAttacks (Fragmentation and Aggregation Attacks). Ces vulnérabilités, présentes depuis 1997 dans le WiFi, touchent TOUS les protocoles de sécurité WiFi, du vieux WEP au tout nouveau WPA3. Trois failles de conception fondamentales et plusieurs bugs d’implémentation permettent d’injecter des paquets arbitraires, d’intercepter le trafic et de contourner les pare-feu. Des bugs vieux de plus de 20 ans qui étaient passés inaperçus !
Le WiFi Pineapple intègre rapidement ces nouvelles attaques. Les modules KRACK et FragAttack sont disponibles quelques semaines après leur divulgation. Les attaques multi-canaux, développées depuis 2014, permettent de manipuler les trames chiffrées entre deux points légitimes. Les techniques Evil Twin exploitent les mécanismes de roaming, particulièrement le standard 802.11v (BSS Transition Management) qui permet de demander poliment aux appareils de se reconnecter à un autre point d’accès. “Poliment” étant un euphémisme pour “de force”, vous l’aurez compris.
Même WPA3, lancé en 2018 et censé résoudre les problèmes de ses prédécesseurs avec son protocole SAE (Simultaneous Authentication of Equals) et son chiffrement 192-bit en mode Enterprise, peine à s’imposer. L’adoption reste faible, quelques pourcents à l’échelle mondiale selon WiGLE, la base de données collaborative des réseaux WiFi. WPA2 règne toujours en maître avec plus de 70% des réseaux.
Mais l’histoire du WiFi Pineapple ne se limite pas à ses prouesses techniques. Elle raconte aussi comment un outil de niche devient un phénomène culturel.
Tout commence lors des conférences de hacking. DefCon 21 en 2013 : le WiFi Pineapple Mark V se vend à raison de 1,2 unités par minute le premier jour avant rupture de stock totale ! Un succès fou pour un gadget à 90 dollars. Les hackers font littéralement la queue devant le stand Hak5 pour mettre la main sur ce petit ananas jaune. Kitchen raconte qu’ils ont dû limiter les achats à deux unités par personne pour éviter que des revendeurs ne raflent tout le stock.
Les démonstrations spectaculaires se multiplient. DefCon 25 en 2017 : des chercheurs installent discrètement des Pineapples dans les couloirs du Caesars Palace. Ils diffusent des SSID alléchants comme “DEFCON_FreeWiFi”, “DEFCON_guest” et même “FBI_Surveillance_Van_42” (pour le lol). Les participants, pourtant experts en sécurité et censés savoir mieux, se connectent massivement aux faux réseaux. Certains entrent même leurs identifiants Gmail, Facebook et bancaires sur des pages de portail captif parfaitement imitées. L’arroseur arrosé, version cybersec ! Les chercheurs publient ensuite un “Wall of Sheep” anonymisé montrant le nombre effarant de credentials capturés.
Mais LA démonstration la plus spectaculaire reste celle de Mike Spicer en 2017. Ce chercheur en sécurité indépendant qui se fait appeler d4rkm4tter construit un monstre qu’il baptise le “WiFi Cactus”. L’engin est composé de 25 Pineapple Tetras (soit 50 radios au total !) montés sur une structure métallique elle-même fixée sur un sac à dos de randonnée militaire. Le tout pèse 14 kilos et ressemble à un cosplay de cyborg sorti tout droit de Ghost in the Shell.
Mike Spicer (d4rkm4tter) avec son impressionnant WiFi Cactus à DefCon
Son WiFi Cactus couvre TOUS les canaux WiFi simultanément avec une portée de 100 mètres et une autonomie de 2 heures. L’appareil est décoré de LEDs bleues et vertes qui clignotent en fonction de l’activité réseau, alimenté par une batterie LiPo de 30 ampères-heures, et contrôlé par un Intel NUC i7 avec deux switches Cisco Catalyst 2960 à 16 ports. Le système tourne sous Kali Linux avec une interface custom développée en Python. Il arrive à surveiller jusqu’à 14 000 appareils simultanément avant que le kernel Linux ne commence à avoir des ratés sous la charge !
L’objectif de Spicer est de mesurer le niveau réel d’attaques WiFi à DefCon. Résultat : les attaques de déauthentification pleuvent comme à Verdun. En moyenne, chaque appareil subit 23 tentatives de déauth par heure ! L’écosystème est plus hostile qu’une fosse aux lions affamés. “J’ai été époustoufflé par la réaction des gens face au Cactus”, raconte Spicer. “Partout où j’allais, les gens m’arrêtaient pour demander ce que c’était, prendre des photos, et certains voulaient même l’acheter !” Hak5 lui envoie finalement 40 Pineapples gratuits pour soutenir ses recherches.
L’anecdote la plus savoureuse reste celle de DefCon 22 en 2014. Un mystérieux hacker opérant sous le pseudo @IHuntPineapples découvre des script kiddies utilisant un WiFi Pineapple mal configuré pendant la conférence. Sa réaction est épique : il déploie un exploit zero-day contre l’appareil (une injection de commande dans le module Karma via une vulnérabilité d’authentification), prend le contrôle total du Pineapple, et remplace l’interface web par un message cinglant : “Mess with the best, die like the rest. Vous voulez jouer avec le WiFi de quelqu’un à Vegas dans une putain de conférence de hackers ? Qu’est-ce que vous attendiez ? Votre merde est complètement défoncée maintenant. Hack the planet!”, une référence directe au film culte “Hackers” de 1995.
Le message vengeur laissé par @IHuntPineapples sur un Pineapple compromis
@IHuntPineapples publie même les détails techniques de son exploit sur Twitter, révélant une faille d’injection de commande dans /components/system/karma/functions.php. Kitchen corrige la vulnérabilité dans les 48 heures avec le firmware 2.0.1. C’est ça, la beauté de DefCon : même les outils de hacking se font hacker !
Kitchen et Hak5 naviguent dans une zone grise éthique fascinante. D’un côté, ils créent des outils pouvant être utilisés de manière malveillante. De l’autre, ils éduquent la communauté sur les vulnérabilités réelles des réseaux sans fil. Cette dualité est assumée : depuis 2008, le WiFi Pineapple aide officiellement les pentesteurs, les équipes de sécurité des entreprises Fortune 500, les agences gouvernementales et même les forces de l’ordre comme plateforme de test sans fil. Le FBI et la NSA sont des clients réguliers, utilisant des versions modifiées pour leurs opérations.
La consécration arrive avec une série culte : Silicon Valley. Dans l’épisode “Hooli-Con” de la saison 4 (diffusé le 18 juin 2017), Richard Hendricks décide de planter des “pineapples” dans tout le salon technologique pour forcer le téléchargement de l’application Pied Piper sur les smartphones des visiteurs. Sa stratégie ? “L’adoption forcée par le marketing de guérilla agressif” ! Le plan est techniquement précis : ils exploitent le fait que l’app Hooli est requise pour utiliser le WiFi gratuit du salon, et injectent Pied Piper dans le processus d’installation.
Jared objecte avec sa sagesse habituelle : “En tant que victime d’une adoption forcée, je dois dire que c’est du malware, Richard !” Mais Richard, aveuglé par son ambition, rétorque : “C’est pour le bien commun !” Le plan échoue spectaculairement quand Richard, jaloux de voir son ex avec un nouveau copain, change le screensaver du gars en “Poop Fare” via le Pineapple. Cette action puérile alerte la sécurité qui lance un balayage avec des antennes directionnelles haute puissance. Ils localisent et retirent tous les Pineapples en quelques minutes.
Quand Richard se fait choper par la sécurité.
Kitchen, consultant technique sur l’épisode, confirme : “La représentation du Pineapple dans la série n’est pas si loin de la réalité. Les scénaristes ont vraiment fait leurs devoirs. La seule liberté qu’ils ont prise, c’est la vitesse d’installation de l’app. Dans la vraie vie, ça prendrait plus de temps.” Fun fact : les vrais WiFi Pineapples utilisés pendant le tournage ont été offerts à l’équipe technique de la série qui les utilise maintenant pour tester la sécurité de leurs propres réseaux !
Cette apparition télévisée propulse le WiFi Pineapple au-delà des cercles de hackers. Le grand public découvre soudainement l’existence de ces attaques WiFi sophistiquées. Les ventes explosent et Hak5 enregistre une augmentation de 400% des commandes dans les semaines suivant la diffusion. Mais plus important encore, la sensibilisation aux risques des réseaux sans fil publics augmente drastiquement. Les VPN deviennent mainstream, et “ne jamais se connecter au WiFi public” devient un conseil de sécurité basique.
Aujourd’hui, le WiFi Pineapple incarne ce paradoxe fascinant : un outil d’attaque qui améliore les défenses. Chaque nouvelle version force l’industrie à renforcer ses protections. C’est un jeu du chat et de la souris où tout le monde finit gagnant.
Et l’avenir du WiFi Pineapple s’écrit avec une évolution complètement dingue : le Pineapple Pager !
Dévoilé à la DefCon 33 en août 2025 pour les 20 ans de Hak5, ce petit appareil ressemble à un pager des années 90 mais cache une bête de course. Le design rétro n’est pas un hasard, c’est un hommage direct au film “Hackers” et à l’esthétique cyberpunk des années 90. L’appareil embarque le moteur PineAP 8e génération, complètement réécrit from scratch en Rust pour des performances 100 fois supérieures. Il supporte le WiFi 6 GHz (WiFi 6E), une première mondiale pour un outil de pentest portable ! Le tout dans un boîtier de 131 grammes qui se clipse sur votre ceinture.
Le plus fou c’est qu’il fonctionne de manière totalement autonome, sans ordinateur ! Plus besoin de trimballer son laptop puisque ce truc lance des attaques automatisées grâce à DuckyScript 3.0, le langage de scripting de Hak5. Il vibre même quand il détecte une cible, affiche les résultats sur son écran couleur haute résolution, et peut même envoyer des alertes sur votre téléphone via Bluetooth. La batterie de 2000 mAh offre jusqu’à 8 heures d’autonomie en mode passif, 2 heures en mode attaque aggressive.
Les fonctionnalités sont délirantes… support tri-bande (2.4, 5 et 6 GHz) avec deux radios indépendantes, intégration native de hashcat pour le cracking WPA on-device, mode “stealth” qui imite les patterns de trafic d’un smartphone normal, et même un mode “warwalking” qui cartographie automatiquement les réseaux pendant que vous vous baladez.
Kitchen prouve encore qu’il sait transformer la nostalgie en arme de destruction massive du WiFi. “Le Pager, c’est 20 ans d’expérience condensés dans la poche”, explique-t-il. “On voulait créer quelque chose qui capture l’essence du hacking des années 90 tout en étant à la pointe de la technologie moderne.” Mission accomplie.
Ce qui est fascinant avec le WiFi Pineapple, c’est qu’il nous force à repenser notre rapport à la technologie. Chaque fois que votre téléphone se connecte automatiquement à un réseau, chaque fois que vous cliquez sur “Se souvenir de ce réseau”, vous créez une vulnérabilité potentielle. Le Pineapple ne fait que révéler ce qui a toujours été là : notre confiance aveugle dans des protocoles conçus à une époque où la sécurité n’était pas la priorité.
Kitchen et son équipe continuent d’innover, toujours avec cette philosophie : “Know your network. Know your risks. Know your tools.” Ils ne vendent pas juste du matériel, ils vendent de la connaissance, de la prise de conscience. Et dans un monde où nos vies entières transitent par le WiFi, c’est peut-être le service le plus précieux qu’ils puissent rendre. Car comme toutjours, la meilleure défense, c’est de comprendre les attaques.
Dans un monde parfait, le WiFi Pineapple n’aurait pas besoin d’exister. Mais on ne vit pas dans un monde parfait. On vit dans un monde où la commodité prime souvent sur la sécurité, où les standards sont adoptés avant d’être vraiment testés, où les failles de 20 ans passent inaperçues. Et tant que ce sera le cas, on aura besoin de hackers comme Kitchen pour nous rappeler que la confiance aveugle en la technologie est le premier pas vers la catastrophe.
Vous avez déjà rêvé de faire tourner Word ou Photoshop sur Linux sans avoir l’impression d’utiliser une VM des années 90 ?? Moi oui et c’est pourquoi je suis heureux de vous annoncer qu’un développeur a transformé ce fantasme en réalité. Cela s’appelle WinApps et ça fait tourner Windows dans une machine virtuelle cachée et projette les applications directement sur votre bureau Linux. Comme ça votre Excel s’ouvre à côté de Firefox comme si de rien n’était…
Le principe est malin puisqu’au lieu de vous montrer tout le bureau Windows dans une fenêtre VirtualBox, WinApps utilise FreeRDP pour extraire uniquement l’application dont vous avez besoin. La VM tourne en arrière-plan avec Docker, Podman ou libvirt, et vous ne voyez que ce qui vous intéresse. Vous pouvez même faire un clic droit sur un fichier .docx dans Nautilus et l’ouvrir directement avec Word.
L’intégration est tellement poussée que vos collègues sous Windows vont se demander comment vous faites cette magie noire !!??
Car Wine, c’est bien pour les applications simples, mais dès qu’on parle de la suite Office complète ou d’Adobe Creative Cloud, ça devient vite la galère. WinApps contourne donc le problème en utilisant les vraies applications Windows, et pas du portage approximatif.
L’installation demande un peu de préparation. Il vous faut d’abord une ISO de Windows 10 ou 11 et une licence valide (oui, Microsoft veut quand même toucher ses royalties 😉). Ensuite, vous choisissez votre backend. Vous pouvez utiliser Docker et Podman qui automatisent l’installation de Windows, ou libvirt qui vous donnera plus de contrôle mais demandera aussi plus de configuration manuelle. Après je vous connais, vous êtes des Warriors 😙.
Dans tous les cas, c’est KVM qui fait le gros du travail côté performances, et croyez-moi, ça envoie du lourd.
Ce projet est né d’une frustration simple. Celle du créateur original, Fmstrat, qui en avait marre de jongler entre deux OS pour bosser. Mais depuis, la communauté a pris le relais avec ce fork actif sur winapps-org. Cette version communautaire ajoute régulièrement de nouvelles fonctionnalités, comme le widget de barre des tâches qui permet de gérer la VM Windows sans ouvrir un terminal.
Le niveau d’intégration est plutôt élevé vous verrez. Par exemple, votre dossier home Linux est accessible depuis Windows via \tsclient\home. Les liens Microsoft Office (genre ms-word://) s’ouvrent automatiquement dans la bonne application. Le système détecte même les applications installées dans Windows et crée les raccourcis correspondants sur votre bureau Linux. C’est transparent au point qu’on oublie qu’il y a une VM qui tourne.
Avec WinApps en mode “manuel”, on pourrait même avec un peu de bidouille, faire pointer l’outil vers un vrai PC Windows (en serveur RDP) sur votre réseau plutôt qu’une VM. Comme ça votre vieille tour Windows planquée dans un placard peut servir uniquement à faire tourner les apps Windows dont vous avez besoin, accessibles depuis votre laptop Linux. Les performances d’affichage seront alors limitées uniquement par votre réseau local. A tester quoi…
Le projet supporte une liste impressionnante d’applications : toute la suite Microsoft Office, Adobe Creative Cloud, les outils de développement Windows, et même l’explorateur de fichiers ou l’invite de commande. Certains ont réussi à faire tourner des jeux Steam, même si ce n’est clairement pas l’usage principal visé.
Pour les performances, comptez environ 4 Go de RAM dédiés à la VM Windows, plus ce dont vos applications ont besoin. Sur une machine moderne avec 16 Go de RAM, c’est largement gérable. Le CPU n’est sollicité que quand les applications Windows sont actives, et KVM fait un excellent travail de gestion des ressources.
L’aspect sécurité mérite également réflexion car vous faites tourner un Windows complet sur votre machine, avec tous les risques que ça implique. La VM est isolée certes, mais elle a accès à votre dossier home via RDP. Donc conseil d’ami si vous êtes parano (et vous devriez l’être), créez un utilisateur Linux dédié avec des permissions limitées pour WinApps, ce sera mieux.
Bref WinApps est un compromis, mais un compromis intelligent je trouve, surtout si vous en avez marre de redémarrer sous Windows juste pour modifier un PowerPoint vite fait.
Vous vous souvenez de l’effet Aero de Windows Vista ? Cette transparence vitreuse qui donnait l’impression que votre bureau était fait de verre dépoli ? Et bien un designer vient de ressortir ce concept du placard, mais avec une approche qui pourrait vraiment être le Windows du futur.
Hé oui car pendant que Microsoft préparerait réellement Windows 12 pour fin 2025 ou début 2026, avec des rumeurs de taskbar flottante façon macOS et d’icônes système en haut à droite, un designer repense complètement l’interface. Le coupable s’appelle Addy Visuals, aussi connu sous le nom de AR 4789, et ce n’est pas son premier rodéo. En effet, le type s’amuse depuis des années à réimaginer les OS de Microsoft, passant de Windows XP modernisé à des concepts de Windows 12 Mobile.
Et cette fois, il frappe fort avec Windows 12.2, qui est sa vision de la prochaine évolution de Windows. Notez cette obsession pour les thèmes rétro Windows 7. Car les plus jeunes, là, je sais pas si vous saviez mais à cette époque on pouvait vraiment personnaliser son bureau. Son concept propose donc un menu Démarrer qui fusionne le meilleur de Windows 10 et 11, mais aussi le retour des groupes d’applications qu’on a perdus et des widgets intégrés directement dedans.
Car le mec a compris un truc que Microsoft semble avoir oublié avec Windows 11 : les utilisateurs veulent du choix. Son concept propose des groupes d’applications qui reviennent (vous savez, cette fonctionnalité super pratique de Windows 10 qu’on a perdue), des widgets intégrés directement dans le menu Démarrer, et surtout, la possibilité de choisir entre une taskbar séparée ou étendue sur tout l’écran.
L’Explorateur de fichiers aussi a eu droit à son relooking. Mais ce qui m’a vraiment fait tiquer, c’est l’approche de Copilot. Au lieu de nous balancer l’IA dans la figure comme Microsoft le fait actuellement, Addy propose une intégration plus subtile, moins intrusive. Un Copilot qui est là quand on en a besoin, pas un assistant qui s’impose à chaque clic.
Bien sûr, tout ceci reste de l’ordre du fantasme visuel. Créer un OS fonctionnel, c’est pas juste faire du drag and drop d’éléments jolis et Microsoft doit gérer la compatibilité avec des millions d’applications, l’accessibilité, la sécurité, et j’en passe. Mais ces concepts servent quand même à montrer ce que les utilisateurs attendent vraiment. D’ailleurs, les vraies rumeurs sur Windows 12 sont tout aussi intéressantes puisque ça discute d’une architecture modulaire qui permettrait des mises à jour plus rapides et une meilleure sécurité en isolant les composants. Niveau hardware, préparez-vous aussi puisqu’il faudra 8 Go de RAM minimum et TPM 2.0 obligatoire. Les vieux PC vont encore grincer des dents.
Microsoft pourrait aussi intégrer un client de messagerie unifié, baptisé Windows Messenger, qui fusionnerait Teams et Skype. Et cerise sur le gâteau, la possibilité d’installer des APK Android directement, sans passer par l’Amazon Store. Si c’est vrai, ça changerait complètement la donne pour l’écosystème d’applications.
Bref, j’ai trouvé ce concept d’Addy Visuals plutôt magnifique avec ses effets de transparence et ses animations fluides et en attendant 2025 et les vraies annonces de Microsoft, ça nous permet de rêver un peu….
Vous cherchez le fond sonore parfait pour bosser tranquille ou pour décompresser après une journée de galère ? J’ai déniché un petit outil sympa qui va vous aider à vous créer votre bulle sonore quotidienne. Ça s’appelle Ambiphone, et c’est ce qu’on appelle un “générateur de paysages sonores”.
Et contrairement aux autres que vous avez probablement déjà testé, cet outil ne se contente pas de vous balancer des sons de pluie ou de vagues comme on en trouve partout. Non, Ambiphone va beaucoup plus loin en vous proposant de mixer de la musique ambiante, des sons de la nature, et attention, c’est là que ça devient vraiment original : des flux de radios de police en direct !
Comme ça, vous pouvez littéralement créer une ambiance cyberpunk dans votre salon en mélangeant des nappes synthétiques avec les communications radio de la police de New York.
L’interface est minimaliste, sans fioritures inutiles, ni pub… juste vous et vos curseurs de volume pour ajuster chaque élément sonore.
Ambiphone permet ainsi de créer des atmosphères vraiment uniques que vous pouvez ensuite conserver sous la forme d’un Mix à recharger plus tard.
J’ai testé plusieurs combinaisons et franchement, le résultat est cool. Un peu de musique Lo-Fi, quelques sons de forêt tropicale, et une touche de radio police de Baltimore pour l’exotisme, et vous vous retrouvez dans un univers sonore complètement décalé qui, bizarrement, aide vraiment à se concentrer.
C’est comme si mon cerveau, occupé à traiter ce fond sonore, laissait ma conscience totalement libre tel, un petit papillon courageux, se focaliser sur ma tâche en cours, à savoir vous faire des articles de ouf tous les jours (même fériés ^^)
Alors là, accrochez-vous bien parce que l’histoire de Troy Hunt, c’est un peu comme si Superman décidait de troquer sa cape contre un clavier et de sauver le monde depuis son bureau. Sauf qu’au lieu de voler et de porter des slips par-dessus son pantalon, il tape du code et sauve vos mots de passe compromis. Troy Hunt, c’est le mec qui a créé Have I Been Pwned, ce service gratuit qui vous dit si vos données traînent quelque part sur le dark web. Et croyez-moi, son parcours est complètement dingue !
La première fois que j’ai testé mon email sur son site, j’ai découvert avec horreur que mes données avaient fuité dans je-sais-plus-combien de hacks. Ce jour-là, j’ai réalisé l’ampleur du travail de ce type. Il a créé, à lui tout seul, un service qui aujourd’hui référence plus de 14,4 milliards de comptes compromis dans 845 fuites de données différentes. C’est presque deux fois la population mondiale ! Franchement, c’est du lourd.
Troy Hunt naît en Australie, et contrairement à ce qu’on pourrait penser, ce n’est pas un gamin des plages qui passe son temps à surfer. Non, lui, il préfère démonter des consoles de jeux “pour voir ce qui les fait marcher”. Le geek était déjà là ! Après des années d’itinérance familiale, Troy finit par s’installer sur la Gold Coast australienne, ce paradis ensoleillé où il vit toujours aujourd’hui avec sa femme Charlotte et leurs deux enfants.
La Gold Coast en Australie, où Troy vit depuis des années
Le truc dingue avec Troy, c’est qu’à l’université dans les années 90, il veut apprendre le développement web mais son école n’offre aucun cours sur Internet ! Imaginez un peu : le web explose, et les universités australiennes sont encore en mode “Internet ? C’est quoi ce truc ?” Alors Troy fait ce que font tous les vrais passionnés, il apprend tout seul. Et en 1995, alors que le web n’a que quelques années, il construit déjà des applications web professionnelles. Autodidacte niveau super chef !
Pendant ses premières années de carrière, Troy touche à tout. Finance, médias, santé… Il accumule l’expérience comme Mario collecte des pièces. Mais c’est en 2001 que sa vie prend un tournant décisif quand il décroche un job chez Pfizer à Sydney. Oui, Pfizer, le géant pharmaceutique !
Au début, c’est le rêve américain version australienne. Il code, il construit des systèmes, il gère des applications cliniques critiques. Il commence comme simple développeur, mais ses compétences le propulsent rapidement au poste d’architecte logiciel pour toute la région Asie-Pacifique. C’est énorme ! Il supervise des systèmes qui gèrent les essais cliniques, rapportent les effets indésirables, optimisent les opérations dans une quinzaine de pays. Le mec est responsable de l’infrastructure tech d’une des plus grosses boîtes pharma du monde pour toute une région géographique !
Mais voilà le hic… Au fur et à mesure que Troy grimpe les échelons, il s’éloigne de ce qu’il aime vraiment : coder. “Je ne faisais plus de code”, raconte-t-il avec amertume. “J’attendais des autres qu’ils le fassent, et je me sentais déconnecté.” Cette frustration grandit comme une démangeaison qu’on ne peut pas gratter. Il manage des gens au lieu de coder, passe ses journées en réunions au lieu de construire des trucs. Le syndrome classique du développeur devenu manager malgré lui !
Pour compenser, Troy lance des projets perso le soir et les weekends. Il crée son blog troyhunt.com, où il partage ses connaissances sur la sécurité web. En septembre 2011, il lance ASafaWeb (Automated Security Analyser for ASP.NET Websites), un outil précurseur qui analyse automatiquement la sécurité des sites ASP.NET. L’idée lui vient de son taf chez Pfizer : “Je passais un temps fou à tester des trucs basiques puis expliquer pourquoi c’était important aux développeurs.” ASafaWeb automatise tout ça. Génial ! L’outil tournera pendant 7 ans avant d’être mis à la retraite en novembre 2018.
En parallèle, Troy devient l’un des instructeurs stars de Pluralsight avec ses cours sur l’OWASP Top 10 et sa série culte “Hack Yourself First”. Son approche ? Apprendre aux développeurs à penser comme des hackers pour mieux se défendre. Plus de 32 000 personnes suivent ses cours, totalisant 78 000 heures de visionnage ! Pendant que ses collègues de Pfizer regardent Netflix, Troy construit méthodiquement sa réputation dans la cybersécurité. En 2011, il devient même Microsoft MVP (Most Valuable Professional), et sera nommé MVP de l’année la même année !
Les cours de Troy Hunt sur Pluralsight sont devenus cultes
Le vrai déclic arrive à l’automne 2013. Troy analyse les fuites de données qui se multiplient et remarque un schéma inquiétant : ce sont toujours les mêmes personnes qui se font pirater, souvent avec les mêmes mots de passe pourris. Les victimes n’ont aucune idée qu’elles sont exposées et continuent d’utiliser “password123” partout. C’est la catastrophe !
Et puis arrive le coup de grâce : la fuite Adobe du 3 octobre 2013. Au début, Adobe minimise… “Juste 3 millions de cartes compromises, rien de grave !” Puis ils passent à 38 millions. Mais quand Brian Krebs de KrebsOnSecurity creuse l’affaire, la réalité explose : 153 millions de comptes compromis ! Troy analyse les données et il est horrifié. Non seulement les mots de passe sont mal chiffrés (avec un chiffrement 3DES réversible au lieu d’un hash irréversible), mais Adobe a stocké les indices de mots de passe en clair ! Genre “nom de mon chien + année de naissance”. Les hackers ont tout. C’est un carnage absolu !
Troy réalise alors l’injustice fondamentale de la situation. Les criminels téléchargent des gigas de données volées sur des torrents et analysent tranquillement qui utilise quel mot de passe où. Mais Monsieur et Madame Tout-le-monde ? Ils n’ont aucun moyen de savoir s’ils ont été compromis. C’est complètement déséquilibré !
Alors le 4 décembre 2013, Troy lance Have I Been Pwned. Au début, c’est minuscule… juste 5 fuites indexées (Adobe, Stratfor, Gawker, Yahoo! Voices et Sony Pictures). Mais le concept est brillant dans sa simplicité. Tu entres ton email, le site te dit si tu as été pwned. Point. Pas de pub, pas d’inscription, pas de collecte de données supplémentaires. Juste un service gratuit pour aider les gens. “Je voulais que ce soit ultra simple et accessible pour bénéficier au maximum à la communauté”, explique-t-il.
L’interface originale de Have I Been Pwned en 2013
Le succès est immédiat et exponentiel. Les gens découvrent avec horreur que leurs données sont partout. Le site devient viral. En quelques semaines, les médias s’emparent du sujet. Troy ajoute fuite après fuite, breach après breach.
Ce qui est sympa également, c’est l’architecture technique. Troy utilise Windows Azure (maintenant Microsoft Azure) pour gérer une montée en charge astronomique. On parle de 150 000 visiteurs uniques par jour en temps normal, 10 millions lors des gros incidents. Les données sont stockées dans Azure Table Storage, une solution NoSQL qui permet de gérer des milliards d’enregistrements pour quelques dollars par mois. Les mots de passe compromis sont servis via Cloudflare avec un cache hit ratio de 99,9% sur 335 edge locations dans 125+ pays. L’API Pwned Passwords traite aujourd’hui plus de 13 milliards de requêtes par mois ! Et le plus fou ? Tout ça tourne pour moins de 300$ par mois. L’efficacité à l’état pur !
Pendant ce temps, chez Pfizer, Troy est de plus en plus malheureux. “Vers la fin, je redoutais d’aller au travail”, avoue-t-il. Se lever avec la boule au ventre, c’est le signe qu’il faut changer de job. En avril 2015, le destin frappe : Pfizer annonce que son poste est supprimé dans une restructuration. Licencié après 14 ans ! Mais au lieu de déprimer, Troy ressent… du soulagement ! “Je me sentais enfin libre de me concentrer sur HIBP et d’autres projets indépendants.”
Troy célébrant son “indépendance” après son licenciement de Pfizer
Se faire virer devient la meilleure chose qui lui soit arrivée ! Troy devient consultant indépendant et se lance à fond. Il donne des workshops dans le monde entier : banques centrales, gouvernements, entreprises du Fortune 500. Il fait des keynotes à Black Hat, DEF CON, NDC. Plus de 100 workshops et autant de conférences en quelques années. Le développeur frustré de Pfizer est devenu une rockstar mondiale de la cybersécurité !
Mais c’est Have I Been Pwned qui reste son bébé. En janvier 2019, Troy découvre “Collection #1”, une méga-fuite de 773 millions d’emails uniques et 21 millions de mots de passe uniques, totalisant 2,7 milliards de combinaisons email/password. C’est la plus grosse fuite jamais vue ! L’analyse révèle que c’est une compilation de plus de 2000 fuites précédentes, avec 140 millions de nouveaux emails jamais vus auparavant.
Aujourd’hui en 2025, HIBP a catalogué plus de 845 fuites et 14,4 milliards de comptes pwned. Le service est utilisé par 40 gouvernements dans le monde pour monitorer leurs domaines officiels. La Malaisie est même la première nation asiatique à l’adopter officiellement. Des agences comme le FBI, la CISA, le RCMP canadien et le NCA britannique collaborent activement avec Troy, lui fournissant des mots de passe compromis découverts lors de leurs enquêtes.
Le nouveau look de HIBP en 2025
Le truc génial avec Troy, c’est qu’il refuse de monétiser HIBP de façon agressive. Le service reste gratuit pour les particuliers. Il fait payer uniquement les entreprises qui veulent utiliser l’API pour vérifier en masse. Sa philosophie est claire : “Je ne stocke pas les mots de passe. Néant. Que dalle. Je n’en ai pas besoin et je ne veux pas de cette responsabilité. Tout ça, c’est pour sensibiliser à l’ampleur des fuites.”
Cette approche éthique lui vaut une reconnaissance mondiale. En novembre 2017, il témoigne devant le Congrès américain sur l’impact des fuites de données. En février 2022, il reçoit le prestigieux Mary Litynski Award du M3AAWG pour avoir rendu Internet plus sûr. Même le FBI lui a filé une médaille ! Pas mal pour un mec qui a appris le web tout seul !
Un aspect méconnu, c’est le rôle crucial de sa femme Charlotte. Elle a coordonné les conférences NDC (Norwegian Developers Conference) dans le monde entier de 2013 à 2021. Quand elle rejoint HIBP en 2021 comme Chief Operating Officer, elle gère tout ce qui n’est pas technique : onboarding des clients, tickets d’API, compta, taxes internationales…
Charlotte Hunt, la moitié opérationnelle du duo
“Charlotte est à la fois ma femme et la chef de toutes les opérations chez HIBP”, explique Troy avec affection. Sans elle, impossible de gérer un service utilisé par des millions de personnes. C’est le duo parfait !
Mais Troy n’est pas qu’un héros de la cybersécurité. En février 2017, il révèle les vulnérabilités critiques de CloudPets, des peluches connectées qui ont exposé 820 000 comptes et 2,2 millions de fichiers audio d’enfants parlant à leurs doudous. Les enregistrements étaient accessibles sans authentification sur des serveurs MongoDB mal configurés ! Son investigation force Spiral Toys à sécuriser d’urgence et sensibilise le monde aux dangers de l’IoT mal sécurisé.
Troy recevant les honneurs pour son travail
Un des aspects les plus impressionnants, c’est sa capacité à vulgariser. Sur son blog, il explique des concepts complexes avec une clarté cristalline. Ses articles sur Collection #1 ou l’analyse des mots de passe Adobe sont des masterclass de pédagogie. Il a créé toute une philosophie autour de la “culture de la sécurité” : “La sécurité doit être en tête des priorités pour TOUS les professionnels de la tech, pas juste l’équipe sécu.” Cette vision révolutionne la façon dont les entreprises abordent la cybersécurité.
Et même les experts se font avoir ! Dans un exemple d’humilité rafraîchissante, Troy a admis publiquement s’être fait avoir par un email de phishing sophistiqué. Cette transparence renforce encore sa crédibilité. Le mec assume ses erreurs, c’est ça qui est beau !
L’impact technique de HIBP est phénoménal. L’API Pwned Passwords utilise un modèle k-anonymity génial où au lieu d’envoyer votre mot de passe en clair, vous envoyez les 5 premiers caractères du hash SHA-1, le serveur répond avec tous les hashs correspondants (environ 400), et votre navigateur vérifie localement. Résultat, votre mot de passe n’est jamais transmis, même pas à Troy ! C’est de la privacy by design à l’état pur. Des géants comme 1Password, Firefox et Google Chrome intègrent maintenant cette API pour vérifier si vos mots de passe ont fuité.
Le plus fou dans tout ça c’est que Troy continue de développer HIBP avec passion. En 2025, il a ajouté le support des données de “stealer logs” (malwares qui volent les identifiants), intégrant 231 millions de mots de passe uniques supplémentaires. Il travaille avec le FBI et le NCA britannique qui lui fournissent régulièrement des données saisies lors d’opérations contre les cybercriminels.
Aujourd’hui, Troy vit toujours sur la Gold Coast, “la partie ensoleillée du pays ensoleillé !” comme il aime dire. Il continue de développer HIBP, donne des conférences dans le monde entier (quand il n’est pas en train de faire du jetski ou de piloter des voitures de sport sur circuit), et reste l’une des voix les plus respectées de la cybersécurité mondiale.
Ce qui est dingue avec Troy Hunt, c’est qu’il a transformé une frustration personnelle (ne plus coder chez Pfizer) en service public mondial. Il a créé quelque chose que même les gouvernements n’avaient pas pensé à faire. Et il l’a fait gratuitement, par pure passion pour la sécurité. Dans un monde où tout se monétise, où chaque startup cherche la licorne, Troy reste fidèle à ses principes : aider les gens à rester safe online.
Si ça c’est pas inspirant, franchement, je sais pas ce qui l’est ! Le mec a littéralement changé la façon dont le monde entier gère les fuites de données. Et il continue, breach après breach, à nous protéger de nos propres mauvaises habitudes de sécurité. Respect total.
Connexion
