Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.

Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.

Grossière erreur.

Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.

Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas

L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.

Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.

En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.

Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.

Noel Biderman : le PDG “fidèle” qui cachait bien son jeu

Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.

Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.

Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.

La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.

Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.

Et c’est ce mensonge éhonté qui va tout déclencher.

Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.

Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.

Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…

Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.

Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”

Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.

Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.

Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.

Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.

Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.

John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.

Screenshot

Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.

Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.

Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.

Full Delete - L’option de confidentialité qui n’en était pas une.

Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.

Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.

Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.

Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.

L’email envoyé par le hacker d’Ashley Madison

Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.

Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.

L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.

Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.

Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.

Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.

Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.

Le site Ashley Madison en 2025

Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.

Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.

Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.

Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.

Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.

Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.

Sources : Wikipedia - Ashley Madison data breach, Krebs on Security - Ashley Madison Hacked, Tripwire - Ashley Madison Timeline, Vice - Impact Team Interview, Washington Post - John Gibson, Screen Rant - Noel Biderman, Auburn University - Ashley Madison Case Study

Près d’un salarié français sur deux a déjà été victime d’une cyberattaque réussie : voilà le constat que dresse KnowBe4 dans un rapport publié le 24 juillet 2025. Selon la société de cybersécurité américaine, les Français se sentiraient moins armés que d'autres salariés dans le monde face au cybermenaces.

Près d’un salarié français sur deux a déjà été victime d’une cyberattaque réussie : voilà le constat que dresse KnowBe4 dans un rapport publié le 24 juillet 2025. Selon la société de cybersécurité américaine, les Français se sentiraient moins armés que d'autres salariés dans le monde face au cybermenaces.

Un nouveau logiciel malveillant nommé Koske s'attaque aux machines sous Linux ! Sa particularité ? Il se dissimule dans de banales images de pandas !

The post Koske : quand des images de pandas cachent un malware Linux first appeared on IT-Connect.

France Travail est de nouveau la cible d'une cyberattaque entraînant la fuite potentielle des données personnelles de 340 000 demandeurs d'emploi.

The post Cyberattaque France Travail : les données personnelles de 340 000 personnes exposées ! first appeared on IT-Connect.

Hardening : apprenez à empêcher les utilisateurs d'ajouter des enregistrements DNS dans Active Directory pour renforcer la sécurité de votre infrastructure.

The post Active Directory : pourquoi et comment empêcher les utilisateurs d’ajouter des enregistrements DNS ? first appeared on IT-Connect.

Plus de 400 serveurs SharePoint compromis via deux failles : trois groupes chinois sont à l'origine de ces cyberattaques. Parmi les victimes : la NNSA.

The post Plus de 400 serveurs SharePoint compromis : 3 groupes chinois à l’origine des attaques first appeared on IT-Connect.

CVE-2025-53816 dans 7-Zip : un attaquant peut exploiter cette faille pour provoquer un déni de service (DoS) à l'aide d'une archive RAR5 spécialement conçue.

The post 7-Zip : une nouvelle faille de sécurité liée au traitement des archives RAR5 first appeared on IT-Connect.

Apprenez à utiliser BurpSuite comme proxy web local pour intercepter, analyser et manipuler le trafic HTTP(S) lors de vos audits et sessions de debug.

The post Introduction à BurpSuite : un proxy local pour le debug et le pentest first appeared on IT-Connect.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Cet aprem, je vous propose de retourner en 1990. Fermez les yeux et imaginez alors 3 ados de Queens avec un modem 2400 bauds et l’ego de la taille de Manhattan qui d’un coup décident de clasher des mecs du Texas qui se la pètent grave sur leurs BBSes. Et oui, vous assistez là, à la première vraie cyberguerre de l’Histoire qui aura pour impact 70 millions d’appels téléphoniques dans les choux et le FBI qui débarque chez maman à 6h du mat'.

Vous pensez qu’Anonymous a inventé le hacking moderne ? Vous croyez que les ransomwares russes c’est le summum de la cybercriminalité ? Et bien détrompez-vous, car avant même que le grand public sache comment allumer un PC, une bande de gamins de New York avait déjà pigé que celui qui maîtrise les télécoms contrôle le monde. Leur nom de guerre : les Masters of Deception et leur héritage c’est d’avoir transformé du bidouillage d’ados en véritable industrie de la cybersécurité qui pèse aujourd’hui des centaines de milliards.

Bref, l’histoire démarre en 1989, une époque bénie où Internet c’était de la science-fiction pour 99% de la population et où avoir un modem 2400 bauds faisait de vous un drôle d’extraterrestre. Paul Stira (aka “Scorpion”) et Elias Ladopoulos (alias “Acid Phreak”), deux lycéens de Queens avec vraiment plus de curiosité que de bon sens, s’éclatent à explorer les systèmes téléphoniques de New York. C’est l’âge d’or où AT&T règne en maître absolu sur les télécoms américaines et où chaque central téléphonique planque des trésors numériques que personne, mais alors personne, ne sait protéger correctement.

Nos deux compères tombent alors sur un monde parallèle complètement fascinant : celui des centraux téléphoniques 5ESS et 4ESS, des mainframes IBM qui gèrent littéralement des millions d’appels par jour, des bases de données qui stockent tout et n’importe quoi depuis vos factures de téléphone jusqu’aux numéros directs ultra-secrets de la CIA. Le seul problème de nos ados, c’est qu’ils captent que dalle aux subtilités du phreaking et du protocole SS7. Du coup leur solution c’est de contacter directement le seul mec de leur génération qui maîtrise vraiment ce délire : Mark Abene, plus connu sous le pseudo de Phiber Optik.

Mark Abene alias Phiber Optik

À seulement 17 piges, Phiber Optik c’est déjà le Mozart du phone phreaking. Membre ultra-respecté de la Legion of Doom (LOD), LE groupe de hackers le plus prestigieux de l’époque, ce gamin du Bronx connaît les entrailles du réseau téléphonique américain mieux que les ingénieurs d’AT&T eux-mêmes. Le mec peut vous expliquer dans le détail comment fonctionne un central 4ESS, comment exploiter les failles du protocole SS7, comment générer des tonalités MF (Multi-Frequency) pour router des appels, et accessoirement comment prendre le contrôle de n’importe quelle ligne téléphonique aux States.

Mais voilà le truc, Phiber Optik vient tout juste de se faire virer de Legion of Doom. La raison officielle ? “Incompatibilité d’humeur” avec les anciens, surtout avec Chris Goggans alias “Erik Bloodaxe” et Lloyd Blankenship dit “The Mentor”. En vrai, les vieux de la garde texane trouvaient ce New-Yorkais trop arrogant, trop médiatique, trop… New-Yorkais justement. Grosse erreur tactique de leur part, mais excellente nouvelle pour Paul et Elias qui récupèrent LE meilleur prof de hacking sur le marché underground.

Du coup ensemble, ils fondent leur propre crew qu’ils baptisent avec beaucoup de second degré les Masters of Deception. Le nom n’est pas innocent du tout hein : MOD vs LOD, M contre L, Masters contre Legion, New York contre Texas. C’est leur façon à peine subtile de dire aux vieux croûtons de Legion of Doom qu’ils peuvent aller se rhabiller. Et pour bien enfoncer le clou jusqu’au bout, ils recrutent d’autres exclus et talents marginaux de la scène : John Lee alias “Corrupt”, Julio Fernandez surnommé “Outlaw”, et Allen Wilson dit “Wing”. Une vraie dream team de hackers !

Ce qui différencie vraiment MOD des autres groupes de hackers de l’époque, c’est leur approche carrément industrielle du hacking, car là où Legion of Doom se contentait de techniques artisanales et de coups d’éclat pour impressionner leurs potes sur les BBSes, les Masters of Deception eux automatisent absolument tout. Ils développent des programmes pour scanner et voler les mots de passe en masse, installent des backdoors permanentes sur tous les systèmes qu’ils visitent, et surtout (et ça c’est nouveau) certains membres n’hésitent pas une seconde à monnayer leurs services au black.

Leurs exploits deviennent alors rapidement légendaires dans toute la communauté underground. Ils s’infiltrent dans les systèmes de crédit de TRW (devenu Experian) et Trans Union pour pomper les dossiers financiers de célébrités. Dans leurs fichiers on retrouve les infos de crédit de Julia Roberts, du mafieux John Gotti, et même selon certaines sources non confirmées, des membres de la famille royale britannique. Acid Phreak se vante même d’avoir réussi à appeler directement sur la ligne privée de la Reine Elizabeth II grâce à ses manipulations des centraux téléphoniques internationaux via les réseaux X.25. Vrai ou pas, l’anecdote fait le tour de tous les BBSes de l’époque et contribue encore aujourd’hui à la légende de MOD.

Mais leur coup de maître absolu, celui qui va vraiment faire basculer les choses, c’est l’incident PBS. En exploitant un accès qu’ils avaient établi sur les systèmes de la chaîne de télévision publique, ils prennent le contrôle total des imprimantes du siège social et commencent à faire imprimer des messages de revendication en pleine journée sur toutes les machines. Le délire complet, sauf que là c’est le drame, un autre hacker (jamais identifié) profite de la brèche qu’ils ont ouverte pour carrément wiper l’intégralité des serveurs de PBS. L’incident fait les gros titres de tous les journaux et attire instantanément l’attention du FBI et du Secret Service sur toute la scène hacker.

Pendant ce temps, la tension monte crescendo avec Legion of Doom. Ce que les médias ont appelé plus tard la “Grande Guerre des Hackers” ressemble surtout à une bagarre de cour de récré avec des modems en guise de poings. Les membres de MOD harcèlent téléphoniquement Erik Bloodaxe et les autres membres de LOD : ils modifient leurs services téléphoniques pour faire sonner leur téléphone toutes les 5 minutes, redirigent leurs appels vers des hotlines de téléphone rose, écoutent et enregistrent leurs conversations privées, bref ils leur pourrissent littéralement la vie 24/7. En représailles, LOD tente d’infiltrer les systèmes utilisés par MOD et de saboter leurs opérations, mais force est de constater que techniquement, MOD a clairement l’avantage.

Chris Goggans aurait surtout balancé une phrase qui a mis le feu aux poudres : “MOD is nothing but niggers, spics, and white trash” (MOD c’est que des nègres, des latinos et des white trash). Qu’il l’ait vraiment dit ou que ce soit juste une rumeur importe peu car cette phrase devient alors le casus belli qui transforme une rivalité technique en guerre totale. Les membres de MOD, dont plusieurs sont effectivement issus de minorités, prennent ça très, très mal.

Et cette guéguerre de script kiddies aurait pu durer des années si un événement absolument majeur n’était pas venu tout bouleverser. Le 15 janvier 1990, jour de Martin Luther King (un lundi férié), le réseau longue distance d’AT&T s’effondre complètement. Pendant 9 heures d’affilée, la moitié des appels longue distance aux États-Unis se plantent lamentablement. 70 millions d’américains qui décrochent leur téléphone entendent tous le même message fantomatique : “All circuits are busy now.” C’est la panique totale.

Techniquement parlant, la panne vient d’un bug de merde dans une mise à jour logicielle déployée mi-décembre 1989 sur les 114 centraux 4ESS du réseau AT&T. En gros, quand un central de New York plante et tente de redémarrer, il envoie un signal de “je suis de retour” aux autres centraux. Sauf que ce signal, mal géré par le nouveau code, fait planter les centraux voisins qui tentent de redémarrer et font planter leurs voisins, créant une réaction en chaîne absolument cataclysmique. Un énorme effet domino !

Mais bon, psychologiquement et politiquement, cette panne tombe au pire moment pour la communauté hacker. Pourquoi ? Et bien parce que quelques mois plus tôt, le Secret Service avait coffré un hacker de 16 ans surnommé “Fry Guy” (un gamin qui s’était fait choper après avoir hacké McDonald’s, le niveau zéro du hacking). Et sous interrogatoire, ce génie avait parlé d’un supposé projet de Legion of Doom pour faire tomber le réseau téléphonique national pendant un jour férié. Coïncidence de malade : la panne AT&T a lieu pile poil un jour férié et pour les fédéraux paranoïaques, c’est trop beau pour être une coïncidence.

Du coup, neuf jours après la panne, le 24 janvier 1990 à 6h du matin, c’est le grand débarquement. FBI et Secret Service défoncent simultanément les portes de tous les membres connus de MOD. Phiber Optik se fait réveiller par des agents armés dans sa chambre d’ado, Acid Phreak voit son appart retourné de fond en comble, Scorpion, Corrupt et Outlaw subissent le même traitement. Ordinateurs confisqués, disquettes saisies, même les posters sur les murs sont photographiés. Pour des gamins qui vivaient dans l’ombre et l’anonymat des BBSes, se retrouver face à des fédéraux avec des flingues, c’est le choc de leur vie.

L’enquête qui suit établit plusieurs premières absolues dans l’histoire judiciaire américaine. Pour la première fois, des écoutes téléphoniques sont spécifiquement autorisées contre des hackers. Le procureur Otto Obermaier déclarera plus tard qu’il s’agissait de “la première utilisation d’écoutes autorisées par un tribunal pour obtenir les conversations et transmissions de données de hackers informatiques” sur le sol américain. Les fédéraux ont littéralement enregistré des mois de conversations téléphoniques et de sessions de hacking.

Et en juillet 1992, l’acte d’accusation tombe enfin. 11 chefs d’accusation qui détaillent méticuleusement comment MOD a infiltré les systèmes de Pacific Bell, US West, Southwestern Bell, New York Telephone, et des agences de crédit majeures. Les procureurs parlent de plus de 100 dossiers de crédit volés, d’écoutes illégales, de fraude informatique à grande échelle. Certains membres de MOD monnayaient effectivement leurs services comme Corrupt qui vendait des infos de cartes de crédit à 50$ pièce ou encore Outlaw qui proposait de changer des notes universitaires contre cash. Phiber Optik, lui, a toujours nié catégoriquement avoir fait du business avec ses compétences.

Et ce procès de 1993 est surréaliste. D’un côté, des procureurs qui tentent d’expliquer à un juge septuagénaire ce qu’est un “modem” et pourquoi des “tonalités à 2600 Hz” peuvent être dangereuses pour la sécurité nationale. De l’autre, des ados brillants mais immatures qui réalisent soudain que leurs “jeux” numériques peuvent leur coûter des années de prison. Mark Abene, devenu malgré lui le visage médiatique du groupe (le New York Times l’avait mis en Une), plaide finalement coupable en juillet 1993 pour conspiration et accès illégal à des ordinateurs.

La sentence tombe : un an et un jour de prison fédérale pour Phiber Optik, qu’il purgera au Federal Prison Camp de Schuylkill en Pennsylvanie. Une peine relativement légère vu les charges, mais qui reste traumatisante pour un gamin de 21 ans. Ses co-accusés s’en sortent avec des peines variées : 6 mois de camp supervisé pour Acid Phreak (qui a refusé de témoigner contre ses potes), de la probation pour les autres. John Lee “Corrupt” prend 1 an de prison, Julio Fernandez “Outlaw” écope de 6 mois.

Mais attendez car l’histoire devient encore plus dingue après. En novembre 1994, Phiber Optik sort de taule et découvre qu’il est devenu une putain de rock star. Joshua Quittner du Time Magazine l’a surnommé “le premier héros underground de l’ère de l’information, le Robin des Bois du cyberespace”. En janvier 1995, la communauté hacker organise même un “Phiberphest ‘95”, une fête géante en son honneur à l’Irving Plaza de Manhattan. L’événement attire des centaines de hackers, journalistes tech, et même des recruteurs de la Silicon Valley venus chasser les talents. C’est le Woodstock du hacking.

Photo prise lors du Phiberphest 95

Le plus fascinant dans tout ça, c’est la reconversion de ces anciens “criminels”. Elias Ladopoulos aka Acid Phreak devient ingénieur sécurité senior chez Reuters, crée plusieurs startups innovantes dans le trading algorithmique haute fréquence, et finit par intégrer l’empire financier de Steve Cohen chez Point72 Asset Management. Phiber Optik lance sa propre boîte de cybersécurité, TraceVector, spécialisée dans la détection d’intrusions temps réel, puis devient consultant pour les plus grandes entreprises du Fortune 500. Les autres membres suivent également des trajectoires similaires, transformant leur expertise underground en carrières légitimes à 6 chiffres minimum.

Avec le recul, la fameuse “Grande Guerre des Hackers” apparaît pour ce qu’elle était vraiment, c’est à dire une dispute d’ados surdoués amplifiée par les médias sensationnalistes et instrumentalisée par un système judiciaire complètement largué face aux enjeux technologiques émergents. Lors d’une conférence à HOPE en 2008, Phiber Optik himself a qualifié cette “guerre” de “d’invention complète” du bureau du procureur et de journalistes en quête de scoops juteux. “On était juste des gamins qui s’amusaient avec des ordinateurs”, dira-t-il.

Mais au-delà des anecdotes croustillantes et des légendes urbaines, l’héritage des Masters of Deception reste absolument tangible aujourd’hui. Ils ont été dans les tout premiers à démontrer que la sécurité informatique était un enjeu stratégique majeur, que quelques individus motivés avec des modems à 50 balles pouvaient mettre à genoux des infrastructures critiques nationales, et que la frontière entre curiosité intellectuelle et menace criminelle était infiniment plus floue que ce que les autorités imaginaient.

C’est has-been aujourd’hui avec le SS7 out-of-band, mais le concept d’exploiter les protocoles de signalisation reste d’actualité (hello les failles SS7 modernes) et leurs méthodes d’ingénierie sociale, de reconnaissance passive, de persistence sur les réseaux constituent les fondements de nombreuses pratiques red team actuelles.

Alors oui, les Masters of Deception ont fini derrière les barreaux, mais aujourd’hui, leurs héritiers spirituels s’appellent bug bounty hunters, pentesters ou chercheurs en sécurité, et ils protègent vos données (enfin, on espère). La boucle est bouclée, et l’esprit du hack reste intact.

Sources : “Masters of Deception: The Gang That Ruled Cyberspace” de Michele Slatalla et Joshua Quittner (1995), Wikipedia - Masters of Deception, Wikipedia - Mark Abene, Wikipedia - Great Hacker War, “All Circuits are Busy Now: The 1990 AT&T Long Distance Network Collapse”, United States v. Julio Fernandez et al. - Court Documents

Le 28 mai 2025, des utilisateurs Ring ont vu des connexions inconnues à leurs comptes. D'après la filiale d'Amazon, c'est un bug, mais les utilisateurs doutent.

The post Connexions suspectes chez Ring : ce serait un bug, mais les utilisateurs n’y croient pas ! first appeared on IT-Connect.

Trois paquets malveillants dans l’AUR d’Arch Linux installaient le malware Chaos, un cheval de Troie offrant un accès distant à l’attaquant.

The post Arch Linux : trois paquets AUR malveillants destinés à installer le malware Chaos RAT ! first appeared on IT-Connect.

[Reportage] L’un a vécu deux mois surréalistes dans un data center assiégé. L’autre se réveille la nuit pour combattre les hackers russes. Numerama s’est rendu en Ukraine pour rapporter les histoires de Kostya et Dmytro, haut commandants dans le privé de la cyberdéfence du pays.

[Reportage] L’un a vécu deux mois surréalistes dans un data center assiégé. L’autre se réveille la nuit pour combattre les hackers russes. Numerama s’est rendu en Ukraine pour rapporter les histoires de Kostya et Dmytro, haut commandants dans le privé de la cyberdéfence du pays.

HPE corrige une faille critique dans Aruba Instant On : des identifiants codés en dur permettaient de prendre le contrôle des points d'accès Wi-Fi.

The post HPE Aruba : patchez vos points d’accès Wi-Fi pour éliminer ces identifiants codés en dur ! first appeared on IT-Connect.

Les serveurs SharePoint sont menacés par deux failles zero-day exploitées par les pirates depuis le 18 juillet 2025 : CVE-2025-53770 et CVE-2025-53771.

The post Les serveurs SharePoint menacés par ces deux failles zero-day : 85 serveurs déjà compromis ! first appeared on IT-Connect.

[Reportage] L’un a vécu deux mois surréalistes dans un data center assiégé. L’autre se réveille la nuit pour combattre les hackers russes. Numerama s’est rendu en Ukraine pour rapporter les histoires de Kostya et Dmytro, haut commandants dans le privé de la cyberdéfence du pays.

[Reportage] L’un a vécu deux mois surréalistes dans un data center assiégé. L’autre se réveille la nuit pour combattre les hackers russes. Numerama s’est rendu en Ukraine pour rapporter les histoires de Kostya et Dmytro, haut commandants dans le privé de la cyberdéfence du pays.

Europol démantèle Diskstation, un groupe ransomware roumain ciblant les NAS Synology pour chiffrer les données et demander une rançon aux victimes.

The post Fin de partie pour Diskstation : ce ransomware ciblait les NAS Synology first appeared on IT-Connect.