Bon, apparemment il suffit que des puces Nvidia soient “tombées du camion” pour qu’un milliard de dollars de GPU ultra puissants se retrouvent sur le marché noir chinois. Le Financial Times a enquêté et ce qu’ils ont découvert est assez dingue.
Alors que les États-Unis font tout pour empêcher la Chine d’accéder aux dernières technologies d’IA, des B200, H100 et H200 de Nvidia circulent tranquillement sur les réseaux sociaux chinois. Leur prix ? 50% au-dessus du tarif normal, mais visiblement ça ne freine personne. Les vendeurs proposent même des racks pré-assemblés avec 8 puces B200, prêts à brancher dans un datacenter. Genre tu commandes sur WeChat et hop, tu reçois ton rack de 150 kilos à 560 000 dollars.
D’après l’enquête du FT, rien qu’entre avril et juin 2025, c’est plus d’un milliard de dollars de matos qui aurait transité. Les puces passent par la Thaïlande, la Malaisie, et d’autres pays d’Asie du Sud-Est où les contrôles sont… disons plus souples. La Malaisie a d’ailleurs vu ses importations de GPU avancés exploser de 3400% début 2025. Coïncidence ? Je ne crois pas…
Le plus ironique dans l’histoire, c’est que ces restrictions viennent juste d’être assouplies pour les puces moins puissantes comme la H20. Mais bon, pourquoi se contenter d’une 2CV quand on peut avoir une Ferrari, même au marché noir ?
Une boîte chinoise basée à Shanghai, “Gate of the Era” (ça ne s’invente pas), créée en février juste avant que les restrictions ne tombent (le timing est parfait), aurait à elle seule écoulé pour 400 millions de dollars de systèmes B200. Ils vendent même des racks complets entre 3,9 et 3,95 millions de yuans pièce.
Un rack de B200
Et Nvidia, de son côté, fait la sourde oreille. Leur réponse officielle ? “Nous ne fournissons support et service qu’aux produits Nvidia autorisés”. Traduction : démerdez-vous avec vos GPU de contrebande. Mais bon, avec une valorisation de 4000 milliards de dollars, ils vont pas trop pleurer sur quelques puces qui s’égarent.
Ce qui est fascinant, c’est comment les Chinois ont industrialisé le contournement. Les vendeurs testent même les puces avant de les vendre pour garantir qu’elles fonctionnent. Service après-vente inclus apparemment. Un opérateur de datacenter chinois l’a dit cash au FT : “Les contrôles à l’export n’empêcheront pas les produits les plus avancés de Nvidia d’entrer en Chine. Ça ajoute juste de l’inefficacité et crée d’énormes profits pour les intermédiaires prêts à prendre des risques.”
Pendant ce temps, DeepSeek et d’autres boîtes d’IA chinoises prétendent faire aussi bien que les modèles américains avec beaucoup moins de ressources, mais visiblement, ça ne les empêche pas de quand même vouloir mettre la main sur les derniers joujoux de Nvidia.
Jensen Huang, le CEO de Nvidia né à Taiwan, voit toujours la Chine comme une opportunité énorme. C’est d’ailleurs lui qui aurait négocié avec Trump pour assouplir certaines restrictions. Mais pour les B200 et H100, c’est toujours un niet officiel !
Le gouvernement américain essaie surtout pendant ce temps de boucher les trous. Le Department of Commerce envisage par exemple d’imposer des contrôles plus stricts sur des pays comme la Thaïlande dès septembre. Mais franchement, quand y’a autant d’argent en jeu, croyez-moi, les contrebandiers trouveront toujours un moyen.
Au final, cette histoire montre bien les limites d’une guerre commerciale technologique. C’est un peu comme la drogue… Tu peux interdire, restreindre, sanctionner, mais quand la demande est là et que les profits sont juteux, le marché trouve toujours un chemin où les seuls qui s’enrichissent vraiment, ce sont les intermédiaires qui prennent leur commission de 50% au passage.
Alors ça, c’est le genre de news qui pourrait foutre en l’air le marché de l’or. En effet, une startup américaine, Marathon Fusion, vient de publier un papier scientifique où ils expliquent tranquillement comment transformer du mercure en or dans leurs réacteurs à fusion nucléaire. Et attention, je ne vous parle pas de trois grammes pour faire joli, mais bien de 5 tonnes d’or par gigawatt d’électricité produit par an.
C’est le rêve des alchimistes du Moyen Âge qui devient réalité grâce à la physique nucléaire. C’est un truc de fou, surtout que le principe est relativement simple (enfin, sur le papier). Vous prenez du mercure-198, un isotope assez commun du mercure. Vous le bombardez avec des neutrons rapides de 14 MeV générés par la fusion deutérium-tritium dans un tokamak. Le mercure-198 perd alors un neutron et devient du mercure-197, qui est instable. Et en 64 heures environ, pouf, il se transforme naturellement en or-197, le seul isotope stable de l’or.
Le cœur d’un réacteur Tokamak
D’après leurs calculs, un réacteur à fusion d’un gigawatt pourrait ainsi produire 5000 kilos d’or par an. Au cours actuel de l’or (environ 3400 dollars l’once), ça représente plus de 544 millions de dollars. De quoi donc largement rentabiliser l’exploitation du réacteur et avoir de quoi s’offrir un yacht ou deux.
Mais attendez, avant de vous emballer et de vendre tous vos lingots, y’a quelques détails importants à connaitre avant. D’abord, Marathon Fusion n’a pas encore construit de réacteur. Leur papier, intitulé “Scalable Chrysopoeia via (n, 2n) Reactions Driven by Deuterium-Tritium Fusion Neutrons” (la chrysopoeia, c’est le nom savant pour la transmutation en or), est encore en attente de validation par les pairs même si l’équipe a l’air solide avec des anciens de SpaceX, Helion Energy, TAE Technologies et une dizaine de PhD en physique et chimie.
Le physicien Ahmed Diallo du Department of Energy américain, qui a passé en revue l’étude, déclare : “Sur le papier, ça a l’air génial et tous ceux à qui j’en ai parlé jusqu’à présent restent intrigués et excités”. C’est plutôt bon signe quand même.
Ce qui est vraiment malin dans leur approche, c’est que la production d’or ne compromet pas la génération d’électricité du réacteur. En fait, les réactions (n, 2n) du mercure-198 participent à la multiplication des neutrons nécessaire au fonctionnement du réacteur. C’est du win-win car vous produisez de l’énergie propre ET de l’or en même temps.
Alors évidemment, si cette technologie devient réalité et se déploie à grande échelle, qu’est-ce que ça veut dire pour la valeur de l’or ? Et surtout, est-ce que le Bitcoin va enfin pouvoir prendre sa place comme “l’or numérique” ? Parce que bon, si on peut fabriquer de l’or à la chaîne dans des réacteurs, l’argument de la rareté du métal jaune prend un sacré coup.
Les experts en crypto sont déjà sur le coup. Standard Chartered prédit que le Bitcoin pourrait atteindre 200 000 dollars d’ici fin 2025, avec une trajectoire vers 500 000 dollars en 2028. VanEck table sur 180 000 dollars pour 2025. Et certains analystes plus optimistes parlent même de 220 000 dollars comme objectif “raisonnable”.
Le truc, c’est que le Bitcoin a cet avantage indéniable, à savoir que sa quantité est limitée à 21 millions d’unités, point barre. Pas moyen d’en créer plus avec un réacteur nucléaire ou d’aller en chercher dans l’espace. Cette rareté programmée pourrait devenir son principal atout face à un or qui deviendrait soudainement beaucoup moins rare.
Mais bon, restons réalistes deux secondes. Même si Marathon Fusion arrive à faire fonctionner leur truc, on parle de combien de réacteurs dans le monde ? Une centaine ? Deux cents dans le meilleur des cas ? À 5 tonnes par réacteur par an, ça fait maximum 1000 tonnes d’or supplémentaires par an. C’est beaucoup, mais la production minière actuelle est déjà d’environ 3000 tonnes par an. Donc on augmenterait la production de 33%, ce qui est significatif mais pas non plus apocalyptique pour le marché de l’or.
Et puis y’a la question du mercure. Pour produire tout cet or, il faut du mercure-198 enrichi à 90%. Le processus d’enrichissement n’est pas gratuit et le mercure n’est pas exactement un matériau super sympa à manipuler (coucou les problèmes environnementaux). N’empêche, l’idée qu’on puisse créer de l’or comme sous-produit de la production d’énergie propre, c’est quand même bluffant. Les alchimistes cherchaient la pierre philosophale, on a trouvé le tokamak. Et au passage, comme je vous le disais, ça pourrait bien donner un coup de boost au Bitcoin comme alternative à l’or physique.
Donc en attendant que Marathon Fusion construise son premier réacteur (ils n’ont pas donné de date, mais vu la complexité de la fusion, on peut tabler sur 10-15 ans minimum). Bref, on verra bien !
Aujourd’hui dans ma série “les ados qui ont failli déclencher la Troisième Guerre mondiale”, je vous présente l’histoire complètement dingue de Mathew et Richard, respectivement 21 ans de Cardiff et 16 ans de la banlieue londonienne, qui ont réussi l’exploit de faire trembler le Pentagone armés d’un simple modem 56k et d’une obsession maladive pour les petits hommes verts.
Le Pentagone, cette forteresse imprenable… sauf pour deux ados obsédés par X-Files
Si comme moi, vous êtes fans de X-Files, vous allez kiffer cette histoire. Mathew Bevan, alias “Kuji”, et Richard Pryce, surnommé “Datastream Cowboy” (déjà rien que les pseudos, c’est tout un programme) ont piraté pendant des mois les systèmes les plus secrets de l’armée américaine. Et leur but étaint encore plus fou : Prouver que le gouvernement américain cache l’existence des extraterrestres. Cheh !
Et ils ont effectivement réussi à s’introduire dans ces systèmes ultra-sensibles. Pire encore, ils ont failli créer un incident diplomatique majeur. Un agent du Pentagone a même qualifié Kuji de “plus grande menace pour la paix mondiale depuis Adolf Hitler”. Rien que ça ! C’est beau, j’en suis ému.
L’histoire commence donc dans les bureaux du Rome Laboratory à Griffiss Air Force Base, dans l’État de New York. Les administrateurs système découvrent qu’un programme espion, un “sniffer”, a été installé clandestinement sur leur réseau et le machin avait collecté tellement de mots de passe et d’informations qu’il avait saturé le disque dur et fait crasher le système. Breeeef, imaginez la tronche des admins : le laboratoire de recherche le plus secret de l’US Air Force, celui qui développe l’intelligence artificielle militaire et les systèmes de guidage radar, venait de se faire trouer comme un emmental.
Rome Laboratory, le cerveau technologique de l’US Air Force… infiltré par deux ados
Le 28 mars 1994, Jim Christy, chef des investigations cybercriminelles de l’Air Force Office of Special Investigations (AFOSI) de l’époque, reçoit l’appel qui va bouleverser sa vie.
“On a un problème”, lui annonce son équipe. Ancien de la NSA reconverti dans la lutte contre la cybercriminalité militaire, Christy comprend immédiatement l’ampleur du désastre. Rome Lab, c’est pas n’importe quoi, c’est l’endroit où se développent les armes du futur de l’armée américaine.
L’équipe de Christy découvre alors rapidement que les intrus utilisent deux pseudonymes : “Datastream” et “Kuji”. Deux hackers fantômes qui se baladent dans les systèmes militaires américains comme dans leur salon mais le pire reste à venir puisqu’ils utilisent les serveurs compromis de Rome Lab comme tremplin pour attaquer d’autres cibles : La NASA, Wright-Patterson Air Force Base (vous savez, là où sont censés être planqués les aliens), Hanscom Air Force Base, et même des contractants de défense en Californie et au Texas.
Pendant 26 jours, Christy et ses équipes surveillent les deux pirates sans intervenir. Ils veulent comprendre l’ampleur de l’attaque et remonter jusqu’aux coupables. Ce qu’ils découvrent les fait flipper grave : plus de 150 intrusions sur Rome Lab, des téraoctets de données sensibles copiées, des emails d’officiers lus et effacés, et des programmes de simulation de champ de bataille téléchargés. Hé oui, c’est qu’ont découvert les enquêteurs.
Jim Christy quelques années avant la traque des cyber-intrus
Mais le véritable moment de panique arrive quand les agents voient Datastream tenter d’accéder à un ordinateur dans un laboratoire nucléaire en Corée.
“Holy shit”, se dit Christy. On est en 1994, les États-Unis sont en pleine négociation tendue avec la Corée du Nord sur son programme nucléaire alors si les Nord-Coréens détectent une attaque sur leur installation nucléaire venant d’une base aérienne américaine, ils vont croire à un acte de guerre.
Les agents retiennent leur souffle. Heureusement, ils découvrent par la suite que la cible était en Corée du Sud, pas au Nord. Mais Datastream a quand même téléchargé les données du Korean Atomic Energy Research Institute et les a transférées sur les serveurs de l’US Air Force. Et si les Sud-Coréens découvrent ce transfert, c’est l’incident diplomatique assuré. Elle est pas belle la vie ?
Mais alors qui est ce mystérieux Kuji qui fait trembler le Pentagone ? Et bien c’est Mathew Bevan, né le 10 juin 1974 à Cardiff, au Pays de Galles. Un gamin qui vit un calvaire à l’école, harcelé par ses camarades, en difficulté scolaire, alors la nuit, pendant que ses parents dorment, il trouve refuge dans les bulletin boards (BBS) et les premiers forums Internet.
L’univers de Mathew Bevan : une chambre, un ordinateur, et des rêves d’extraterrestres
C’est là qu’il découvre le phone phreaking, l’art de manipuler les systèmes téléphoniques pour passer des appels gratuits n’importe où dans le monde. Cette compétence devient son passeport pour le monde du hacking et un jour, quelqu’un lui donne accès à Sin City, un bulletin board belge, repaire de hackers bien connu de l’époque. En échange de ses techniques de phone phreaking, les habitants de Sin City lui offrent alors documents et méthodes pour pirater des ordinateurs.
Mais le véritable déclic arrive quand Bevan tombe sur Destiny Stone, un bulletin board géré par un phone phreaker australien surnommé Ripmax. “Ce que j’ai trouvé sur son système, c’étaient des centaines de documents sur les OVNIs, les dissimulations gouvernementales et les théories du complot”, se souvient Bevan. Il y découvre notamment l’histoire de 40 hackers qui auraient disparu mystérieusement après avoir ciblé des systèmes militaires pour découvrir la vérité sur les OVNIs.
X-Files - La série qui a inspiré toute une génération de hackers conspirationnistes
Et là, c’est le moment “eureka” de Bevan car si ces 40 hackers ont disparu en cherchant la vérité sur les OVNIs, c’est qu’il y a forcément quelque chose à cacher. Sa mission est donc toute trouvée : reprendre là où les disparus se sont arrêtés, pirater chacune des bases militaires citées par le magazine underground PHRACK, et prouver une bonne fois pour toutes que le gouvernement américain cache l’existence des extraterrestres.
En 1994, Bevan entre alors en contact via IRC avec Richard Pryce, un gamin de 16 ans passionné de musique et d’informatique. Pryce, qui se fait appeler “Datastream Cowboy”, partage la même fascination pour les théories du complot. Il admire les compétences techniques de son aîné et accepte de devenir son “apprenti” dans cette quête de vérité.
IRC : le terrain de jeu des hackers des années 90
C’est Pryce qui découvre Rome Laboratory par hasard, en scannant les adresses IP du réseau militaire américain. “Regarde ce que j’ai trouvé”, écrit-il à Kuji. “Un labo de recherche de l’Air Force avec des sécurités ridiculement faibles.” Bevan comprend immédiatement l’opportunité. Rome Lab est un nœud central du réseau militaire américain, une porte d’entrée vers des dizaines d’autres installations.
Mais contrairement aux espions professionnels, les deux compères ne cherchent pas à passer inaperçus. Ils laissent des traces partout, copient des gigaoctets de données sans discrimination, et communiquent entre eux sans précaution particulière. C’est cette négligence va permettre à Christy de les traquer.
Pour traquer les deux fantômes, l’AFOSI fait appel à son réseau d’informateurs sur Internet. Un de ces informateurs parvient à entrer en contact avec Datastream Cowboy sur Cyberspace, un fournisseur d’accès à Seattle. Le gamin, naïf et impatient de communiquer avec d’autres hackers, tombe alors directement dans le piège et donne son numéro de téléphone personnel à l’informateur.
Le 12 mai 1994, Scotland Yard arrête Richard Pryce à son domicile de Colindale. Le gosse est terrorisé et il avoue tout : les intrusions dans Rome Lab, les attaques contre la NASA, le transfert des données coréennes. Mais surtout, il balance son complice Kuji, même s’il ne connaît pas sa véritable identité.
Pryce comparaît devant la Woolwich Crown Court en mars 1996. Il plaide coupable pour 12 infractions au Computer Misuse Act britannique et écope d’une amende dérisoire de 1 200 livres sterling. Pas de prison, pas de casier judiciaire lourd.
Pendant ce temps, Christy continue sa traque obsessionnelle de Kuji et l’AFOSI met des moyens considérables sur l’enquête. Les experts en profilage psychologique dressent un portrait-robot : homme, entre 25 et 35 ans, très intelligent, formation scientifique, probablement financé par une organisation étatique. Le Senate Permanent Subcommittee on Investigations va même jusqu’à qualifier Kuji “d’agent étranger, possiblement d’origine est-européenne”.
Ils se plantent complètement puisque Kuji n’est qu’un jeune employé informatique de Cardiff, obsédé par X-Files et financé par son maigre salaire dans une petite boîte galloise. Breeeef, les profileurs du FBI peuvent aller se rhabiller.
Le matos de Mathew Bevan à l’époque
Le 21 juin 1996, à l’aube, une escouade de Scotland Yard débarque chez Mathew Bevan. Ils s’attendent à tomber sur un espion professionnel, un agent dormant est-européen et ils découvrent un geek de 21 ans vivant chez ses parents dont la chambre est tapissée d’affiches d’X-Files et de science-fiction. “Les agents ont finalement découvert que l’identité de Kuji était Mathew Bevan, 21 ans, un informaticien avec une fascination pour la science-fiction”, rapporte le dossier d’enquête.
Bevan est arrêté et inculpé, mais contrairement à son jeune complice, il refuse de coopérer. Son père étant policier, il connaît ses droits et prend un avocat. S’ensuit un bras de fer judiciaire de 20 audiences. En novembre 1997, coup de théâtre : le Crown Prosecution Service abandonne toutes les charges. “Décision commerciale”, justifie le procureur. Traduction : ça coûte trop cher et l’opinion publique s’en fout.
Bevan sort libre mais marqué à vie. “Je ne peux plus faire de mal à une mouche maintenant”, confie-t-il. Il se reconvertit dans la sécurité informatique éthique, rejoint Tiger Computer Security, devient développeur chez Nintendo, et finit par fonder sa propre entreprise, Kuji Media Corporation. L’ironie de l’histoire veut que l’ancien pirate du Pentagone soit aujourd’hui payé pour empêcher d’autres de faire ce qu’il a fait.
De hacker à protecteur : la reconversion réussie de Mathew Bevan
Quant à Pryce, traumatisé par son arrestation, il disparaît complètement des radars. Après la confiscation de son ordinateur, il n’en rachète même pas un nouveau. Certains disent qu’il a repris ses études de musique, d’autres qu’il s’est reconverti totalement. Une chose est sûre : l’expérience l’a vacciné à vie contre le hacking.
Le rapport d’évaluation des dégâts, publié le 31 octobre 1994, chiffre les pertes directes de l’US Air Force à 211 722 dollars, sans compter les coûts de l’enquête et du nettoyage des systèmes. Mais les enquêteurs admettent n’avoir découvert que la partie émergée de l’iceberg. Combien d’autres Kuji et Datastream Cowboy se baladent dans les systèmes militaires américains ? On verra bien…
Avant 1994, les militaires américains considéraient leurs réseaux comme protégés par leur complexité technique mais après Kuji et Datastream Cowboy, ils comprennent qu’Internet a aboli les frontières et que n’importe quel ado avec un modem peut devenir une menace nationale. Cette prise de conscience va déclencher une révolution dans la cybersécurité militaire, avec des milliards de dollars investis pour sécuriser ce que deux gamins britanniques avaient démontré être un gruyère numérique.
Et la mauvaise nouvelle, c’est que malgré des mois d’intrusions dans les systèmes les plus secrets de l’US Air Force et de la NASA, Bevan n’a jamais trouvé la moindre preuve de l’existence d’extraterrestres. Pas de débris de Roswell, pas de documents sur la Zone 51, pas de technologies aliens. “J’ai fouillé partout”, confiera-t-il. “Wright-Patterson, la NASA, tous les endroits où étaient supposés être cachés les secrets sur les OVNIs. Rien, nada, que dalle.”
Cette conclusion aurait dû clore le débat, mais les théoriciens du complot ont retourné l’argument : si Kuji n’a rien trouvé, c’est justement la preuve que la conspiration existe et qu’elle est plus complexe et secrète que ce qu’on pourrait imaginer. The truth is ‘still’ out there, comme dirait Mulder… Mais elle n’est pas dans les serveurs du Pentagone visiblement…
Ça vous dirait de pouvoir faire tourner vos vieux window managers X11 préférés sur du Wayland moderne. Impossible ??? C’est ce que je pensais aussi avant de découvrir Wayback !
Pour ceux qui ne suivent pas trop l’actualité Linux, on est actuellement en pleine transition entre X11 (le vieux système d’affichage qui date de 1987) et Wayland (le nouveau qui est censé tout révolutionner). Le problème c’est que ça fait 35 ans qu’on développe des environnements de bureau pour X11, et avec Wayland, tout ça risquait de partir à la poubelle. Aux chiottes WindowMaker, Enlightenment, FVWM, et tous ces environnements qu’on adorait bidouiller.
Mais voilà qu’Ariadne Conill, une dev d’Alpine Linux, a eu une idée de génie. Au lieu de tout réécrire from scratch (ce qui prendrait des plombes), pourquoi ne pas créer une couche de compatibilité ? Et c’est exactement ce qu’est Wayback : un compositeur Wayland minimaliste qui sert juste à faire tourner Xwayland en mode “rootful”. En gros, ça fait croire à vos vieux environnements X11 qu’ils tournent sur un vrai serveur X, alors qu’en fait c’est du Wayland derrière.
Le truc vraiment smart, c’est que Wayback ne fait QUE le strict minimum. C’est pas un compositeur Wayland complet avec tous les effets 3D et compagnie. Non, c’est juste ce qu’il faut pour que Xwayland puisse faire son boulot. Du coup c’est léger, ça marche bien, et ça permet de garder tous nos vieux environnements de bureau vivants.
Alors attention, on est encore en version 0.1, donc c’est de l’alpha. Y’a pas le multi-écrans qui marche, pas de contrôle DPMS, et le verrouillage de souris ne fonctionne pas (donc oubliez les FPS pour l’instant). Mais franchement, pour un truc qui vient juste de sortir, c’est déjà super impressionnant.
D’ailleurs, le projet a été intégré dans l’écosystème FreeDesktop.org, ce qui est plutôt bon signe pour l’avenir. Ils ont même un canal IRC (#wayback sur Libera.Chat) avec un bridge Matrix si vous préférez. Et niveau packaging, c’est déjà dispo sur Alpine Linux (forcément), Arch AUR, Fedora, et même dans Nix.
Pour l’installer, c’est pas sorcier. Vous clonez le dépôt GitLab, vous compilez avec Meson, et hop. Les dépendances c’est du classique : Wayland, wlroots 0.19, et Xwayland 24.1 minimum. Une fois installé, au lieu de lancer startx, vous faites wayback-session et magie, votre vieil environnement X11 se lance via Wayland.
Ce qui est cool aussi, c’est l’architecture du truc. Ils ont découpé ça en trois composants : wayback-compositor (le compositeur Wayland minimal), Xwayback (qui remplace le binaire Xorg), et wayback-session (qui remplace startx). Du coup c’est super modulaire et ça s’intègre nickel dans un système existant. Bon par contre, faut pas se mentir, c’est pas encore prêt pour monsieur tout le monde. Mais si vous êtes du genre à avoir encore un vieux WindowMaker qui traîne quelque part ou si vous voulez préserver votre config FVWM de 2003 ou un vieux Enlightenment E16, c’est clairement un projet à suivre de près.
Quoiqu’il en soit, ça pourrait vraiment devenir LE moyen de transition entre X11 et Wayland, comme ça au lieu de forcer tout le monde à tout réécrire, on garde la compatibilité et on migre en douceur. Alpine Linux compte d’ailleurs déjà s’en servir pour réduire la maintenance du serveur X.org classique, et je parie que d’autres distros vont suivre.
Voilà, si vous voulez tester, toutes les infos sont sur le site officiel et le code source est sur GitLab.
Ce matin au petit déj, je suis tombé sur un doc de recherche qui m’a fait recracher mon café soluble tout dégeu des vacances : des scientifiques italiens peuvent maintenant vous reconnaître à 95,5% juste en analysant comment votre corps déforme les signaux Wi-Fi. Et le pire, c’est que ça marche même à travers les murs.
Les chercheurs de l’Université La Sapienza de Rome (Danilo Avola, Daniele Pannone, Dario Montagnini et Emad Emam) ont baptisé leur bébé “WhoFi”, et celui-ci utilise ce qu’on appelle le CSI (Channel State Information) pour créer une sorte d’empreinte biométrique basée sur la façon dont votre corps interfère avec les ondes Wi-Fi.
En gros, quand une onde Wi-Fi traverse votre corps, elle est modifiée de manière unique par vos os, vos organes, votre composition corporelle. C’est comme si votre squelette et vos entrailles créaient une signature radio personnelle. Les chercheurs ont donc entraîné un réseau de neurones profonds avec une architecture Transformer (oui, comme pour ChatGPT) pour reconnaître ces patterns uniques.
Le plus flippant dans tout ça, c’est que contrairement aux caméras qui ne voient que votre surface, le Wi-Fi pénètre littéralement à l’intérieur de vous. Votre densité osseuse, la forme de vos organes…etc tout ça crée des distorsions spécifiques dans le signal. C’est comme si on pouvait vous scanner en permanence sans que vous le sachiez.
Pour tester leur système, l’équipe a utilisé le dataset NTU-Fi, une référence dans le domaine du sensing Wi-Fi. Et là, bam ! 95,5% de précision pour identifier les personnes. C’est énorme. Pour vous donner une idée, EyeFi, un système similaire développé en 2020, plafonnait à 75%. On parle donc d’une amélioration de 20 points, ce qui est colossal dans ce domaine.
Mais attendez, c’est pas fini car le truc vraiment balèze avec WhoFi, c’est qu’il n’a pas besoin d’être réentraîné pour chaque nouveau point d’accès. Le modèle Transformer peut généraliser et s’adapter à de nouvelles conditions sans avoir besoin d’apprendre spécifiquement chaque environnement. En clair, une fois que le système vous connaît, il peut vous reconnaître partout où il y a du Wi-Fi. Et s’il y a plus du tout de Wi-Fi c’est que c’est moi qui suis dans le coin parce que je bloque tout à cause des moules frites à volonté d’hier soir ^^.
Imaginez les implications d’une telle techno. Vous entrez dans un café, un magasin, un aéroport, et hop, vous êtes identifié sans même vous connecter au Wi-Fi. Pas besoin de sortir votre téléphone, pas besoin de badge, votre corps fait office de carte d’identité ambulante. C’est à la fois très cool et terrifiant. Les chercheurs se défendent en disant que leur système est plus “privacy-preserving” que les caméras traditionnelles parce qu’il ne capture pas d’images…. Mouais, permettez-moi d’être sceptique. Certes, on ne voit pas votre tête, mais on peut vous traquer partout où il y a du Wi-Fi, et ça, c’est partout de nos jours.
Le CSI, pour ceux qui se demanderaient, c’est en fait l’information sur l’état du canal Wi-Fi. Chaque fois qu’un signal Wi-Fi est transmis, il contient des données sur comment le signal a été affecté pendant son voyage. C’est normalement utilisé pour optimiser la transmission, mais les chercheurs ont détourné ça pour en faire un outil d’identification.
Voilà donc pour les bonnes nouvelles…
Bien sûr, ce n’est pas nouveau que les chercheurs s’intéressent au Wi-Fi pour détecter des trucs. On a déjà vu des systèmes capables de détecter des chutes, de reconnaître des gestes, ou même de voir à travers les murs, mais là, on franchit un cap avec l’identification précise des individus.
Pour être honnête, la technologie en elle-même est bluffante. Utiliser des variations d’amplitude et de phase dans les signaux Wi-Fi pour créer une signature biométrique unique, c’est très malin je trouve surtout que les chercheurs ont même implémenté des techniques de data augmentation pour rendre le système plus robuste au bruit et aux variations mineures du signal.
Le problème c’est si cette technologie devient omniprésente sans que personne ne s’en rende compte car contrairement aux caméras qui sont visibles ou aux lecteurs d’empreintes qui nécessitent votre coopération, le Wi-Fi est invisible et dispo partout. Vous pourriez donc être tracké du moment où vous entrez dans un bâtiment jusqu’à votre sortie, avec une précision chirurgicale. Et si c’est couplé à d’autre techno, ce sera encore pire : reconnaissance faciale + tracking Wi-Fi + géolocalisation GPS… On arrivera alors à un niveau de surveillance qui ferait passer “1984” d’Orwell pour un conte de fées.
Les chercheurs affirment que pour l’instant, c’est purement académique et qu’il n’y a pas d’applications commerciales ou gouvernementales prévues, mais soyons réalistes deux secondes. Une technologie capable d’identifier les gens à quasi 100% sans aucun équipement spécial autre que des routeurs Wi-Fi standards, les agences de renseignement et les entreprises de marketing doivent déjà se frotter les mains.
Et pour se protéger de ça, ça devient compliqué. Porter une armure en plomb ? Pas très pratique. Brouiller les signaux Wi-Fi autour de vous ? Illégal dans la plupart des pays. Non, en vrai on n’a pas vraiment de solution pour l’instant.
Heureusement, certains chercheurs travaillent déjà sur des contre-mesures. Des techniques comme le “CSI fuzzing” ou la randomisation CSI sont explorées pour protéger la vie privée. L’idée est de modifier les signaux pilotes pour corrompre les informations CSI tout en préservant la communication normale.
Bref, pour conclure, WhoFi est une prouesse technologique indéniable mais comme souvent avec ce genre d’innovation, la question n’est pas “peut-on le faire ?” mais “devrait-on le faire ?” car dans notre monde où la vie privée est déjà bien bien mise à mal, rajouter une couche de surveillance invisible et omniprésente me semble être un peu too much…
Aujourd’hui les amis, je vais vous raconter l’histoire du groupe de hackers le plus patient et le plus sophistiqué au monde. APT29, aussi connu sous les doux noms de Cozy Bear, The Dukes ou maintenant Midnight Blizzard, c’est l’élite absolue du cyber-espionnage russe. Ce sont des espions qui peuvent squatter vos systèmes pendant des années, qui matent vos emails les plus confidentiels, qui observent chacun de vos mouvements numériques, et tout ça dans la plus grande discrétion.
Ces types ont piraté la Maison Blanche, le Pentagone, le Département d’État américain, et j’en passe. Mais en 2014, les services secrets néerlandais ont réussi l’impensable : ils ont piraté ces pirates ! Je vous raconte tout ça !!
Siège du SVR à Moscou, d’où sont orchestrées les opérations d’APT29
L’histoire d’APT29 commence bien avant que le monde ne connaisse leur nom. Les premiers signes de leur activité remontent à 2008, et certains experts pensent même qu’ils opéraient déjà dès 2004. À l’époque, personne ne savait vraiment qui ils étaient. On voyait juste des attaques ultra-sophistiquées contre des gouvernements occidentaux, des think tanks, des organisations internationales.
Ce qui distinguait déjà ces attaques des autres, c’était leur patience légendaire. Là où d’autres groupes de hackers font du “smash and grab”, ils entrent, ils volent, ils sortent, APT29 s’installait pour des mois, voire des années. Ils observaient, ils apprenaient, ils attendaient. C’était de l’espionnage à l’ancienne, mais avec des moyens modernes. Du coup, c’est pas pour rien qu’on les appelle “Cozy Bear”, l’ours douillet qui hiberne tranquillement dans vos systèmes.
Le nom “Cozy Bear” leur a été donné par CrowdStrike, une société de cybersécurité américaine car dans leur système de nomenclature, tous les groupes russes sont des “ours”. Et y’a du monde au zoo : Fancy Bear (APT28, lié au GRU, le renseignement militaire), Venomous Bear, Primitive Bear… Mais Cozy Bear, c’est ceux qui s’installe pépère dans vos systèmes en attendant le bon moment.
Les autres noms liés à ce groupe sont tout aussi évocateurs. “The Dukes” fait référence à leur famille de malwares : MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, GeminiDuke… Chaque “Duke” a sa spécialité, ses capacités uniques. C’est l’équivalent d’une boîte à outils mais pour faire du cyber espionnage ultra-sophistiqué.
Maintenant, parlons technique deux secondes. Le cœur de MiniDuke, découvert en 2013, était écrit entièrement en assembleur ce qui est un choix assez insolite mais qui montre l’excellent niveau des développeurs. Le malware pesait seulement 20KB, pouvait télécharger des modules additionnels selon les besoins et éviter la détection par les antivirus traditionnels. CozyDuke, lui, utilisait des certificats volés pour signer ses composants et se faire passer pour du code légitime.
Mais revenons à cette incroyable histoire néerlandaise. En 2014, les cyber-espions du Joint Sigint Cyber Unit (JSCU), l’unité cyber conjointe des services de renseignement néerlandais (AIVD et MIVD), bossent sur une piste. Cette unité d’élite de 80-100 personnes a pour mission de répérer des activités cheloues et de remonter leurs traces. Ce qu’ils découvrent alors dépasse leurs espérances les plus folles.
Non seulement ils parviennent à infiltrer le réseau utilisé par APT29, mais ils découvrent aussi quelque chose d’extraordinaire : le groupe opère depuis un bâtiment universitaire près de la Place Rouge à Moscou. Et cerise sur le gâteau, y’a des caméras de surveillance partout dans le bâtiment. Les Néerlandais prennent le contrôle de ces caméras, et hop, c’est l’arroseur arrosé !
La Place Rouge à Moscou, tout près du QG secret d’APT29
Pendant au moins un an, voire jusqu’à deux ans et demi selon les sources, c’est l’opération de contre-espionnage du siècle. Les Néerlandais regardent littéralement par-dessus l’épaule des hackers russes. Ils voient qui entre et sort du bureau. Ils identifient des agents du SVR grâce aux images. Ils observent les hackers lancer leurs attaques en temps réel. C’est comme me regarder bosser en live Twitch, mais avec des vrais espions russes !
Et là, ça part en sucette car l’AIVD voit APT29 attaquer le Département d’État américain en novembre 2014. Ils alertent alors immédiatement leurs homologues américains : “Hé les gars, vos systèmes sont en train de se faire défoncer, voici exactement ce que font les Russes.” Les Américains sont sur le cul. C’est du renseignement en temps réel d’une qualité exceptionnelle.
Le Département d’État américain, première cible majeure observée par les Néerlandais
Quand APT29 s’attaque ensuite à la Maison Blanche fin 2014, les Néerlandais sont encore là, à observer. Les Russes accèdent aux notes confidentielles non classifiées du président Obama et à son agenda et les Américains sont tellement reconnaissants de l’aide néerlandaise qu’ils établissent des canaux de communication ultra-sécurisés entre les deux agences. Du jamais vu dans l’histoire du renseignement.
L’attaque contre le Pentagone en août 2015 est un autre exemple de la sophistication d’APT29. Ils utilisent une technique de spear-phishing c’est à dire des emails ciblés qui semblent légitimes. L’email contient un lien vers ce qui semble être un article d’actualité sur les tensions en Ukraine mais quand la victime clique, c’est le début de l’infiltration.
Le Pentagone paralysé pendant deux semaines par APT29
Et le malware utilisé est une merveille d’ingénierie. Il vérifie d’abord si la machine est intéressante. Si c’est juste un PC lambda, il reste dormant par contre, si c’est une machine avec des accès privilégiés, il s’active et commence à explorer le réseau. Il communique alors avec ses serveurs de commande en utilisant des techniques de stéganographie cachant des données dans des images innocentes postées sur des sites web légitimes. Ces mecs sont des artistes !
L’attaque paralyse le système mail non classifié de l’état-major des armées pendant deux semaines. 4000 militaires et civils travaillant pour l’état-major américain sont affectés. C’est très embarrassant pour la première puissance militaire mondiale, mais c’est surtout inquiétant car si APT29 peut faire subir ça au Pentagone, que peuvent-ils faire d’autre ?
Mais c’est l’attaque contre le Democratic National Committee (DNC) en 2015-2016 qui va vraiment faire connaître APT29 au grand public. Ils infiltrent le réseau du DNC dès l’été 2015, presque un an avant l’élection présidentielle et pendant des mois, ils lisent tranquillement les emails, ils téléchargent des documents, ils observent.
Et là, c’est le bordel complet ! APT29 n’est pas seul sur ce coup. APT28 (Fancy Bear), l’autre groupe de hackers russes lié au GRU, débarque sur le réseau du DNC début 2016. Les deux groupes ne semblent pas coordonner leurs actions. C’est même le contraire : ils se marchent sur les pieds, ils utilisent des techniques différentes, ils ont des objectifs différents.
APT29, fidèle à sa réputation, est discret. Ils collectent du renseignement, point barre. APT28, c’est l’inverse. Ils sont bruyants, agressifs. Ce sont eux qui vont leaker les documents du DNC via WikiLeaks et DCLeaks. Deux services de renseignement russes, deux approches complètement différentes. C’est comme si la DGSE et la DGSI se marchaient dessus pendant une opération. Bref, du grand n’importe quoi !
APT28 et APT29, deux façons de procéder bien différentes
Les Néerlandais observent tout ça en temps réel. Ils voient APT29 opérer, ils comprennent que c’est grave. D’ailleurs, leur renseignements servent de base à l’enquête du FBI sur l’ingérence russe dans l’élection de 2016 et sans les Néerlandais, on n’aurait peut-être jamais su à quel point l’opération était sophistiquée.
Malheureusement, l’accès néerlandais à APT29 se tarit entre 2016 et 2017. Des journalistes néerlandais de Volkskrant et Nieuwsuur révèlent l’histoire en janvier 2018, et suggèrent que des déclarations indiscrètes de hauts responsables américains ont grillé l’opération. Les Russes ont compris qu’ils étaient surveillés et ont changé leurs méthodes. L’AIVD était furieux !! Des années de travail ruinées par des grandes gueules !
Le QG de l’AIVD à Zoetermeer, d’où fut menée l’opération contre APT29
Mais APT29 ne disparaît pas pour autant. Au contraire, ils évoluent, ils s’adaptent. En 2018, on les voit utiliser de nouveaux malwares comme WellMess et WellMail. En 2020, pendant la pandémie, ces enfoirés s’attaquent aux centres de recherche travaillant sur les vaccins COVID-19 aux États-Unis, au Royaume-Uni et au Canada. Leur objectif c’est de voler les formules, les données des essais cliniques et les informations sur la chaîne d’approvisionnement.
C’est cynique au possible, mais c’est logique du point de vue du renseignement russe car pourquoi dépenser des milliards en R&D quand on peut simplement voler le travail des autres ? Les pays occidentaux dénoncent, mais APT29 continue puisqu’ils sont protégés par l’État russe et qu’ils sont intouchables.
Les laboratoires de recherche COVID-19, nouvelles cibles d’APT29 en 2020
Et puis arrive l’attaque SolarWinds fin 2020. Là, c’est le chef-d’œuvre absolu d’APT29, leur opération la plus ambitieuse et la plus réussie. L’idée est géniale et diabolique car au lieu d’attaquer directement des milliers de cibles, pourquoi ne pas simplement compromettre un fournisseur que tout le monde utilise ?
Du coup, ils ciblent SolarWinds, dont le logiciel Orion est utilisé pour la gestion de réseau par des milliers d’entreprises et d’agences gouvernementales. Entre septembre 2019 et février 2020, APT29 infiltre alors l’environnement de développement de SolarWinds et y injectent leur malware, SUNBURST (aussi appelé Solorigate), directement dans les mises à jour légitimes du logiciel. Malin l’ourson !!
SolarWinds, la supply chain compromise qui a secoué le monde
Entre mars et juin 2020, environ 18 000 clients SolarWinds téléchargent et installent la mise à jour compromise. Le malware SUNBURST s’active après une période de dormance de 12 à 14 jours, histoire d’éviter la détection par les sandboxes de sécurité et il contacte ses serveurs de commande en imitant parfaitement le trafic légitime de SolarWinds. Il est donc pratiquement invisible.
Mais attendez, APT29 ne s’intéresse pas aux 18 000 victimes. Non non, ils font le tri comme des chefs car environ 1% des infectés seulement sont sélectionnés pour la phase deux de l’opération. Ce sont les cibles de haute valeur telles que des agences gouvernementales américaines, des entreprises technologiques majeures, des think tanks influents…etc. Et pour les autres, SUNBURST reste dormant ou s’autodétruit.
La liste des victimes confirmées est impressionnante. Le Département du Trésor, le Département du Commerce, le Département de l’Énergie (y compris la National Nuclear Security Administration… oui, ceux qui gèrent l’arsenal nucléaire !), le Département de la Justice… Microsoft, Cisco, Intel, Deloitte, et même FireEye, l’entreprise de cybersécurité qui découvrira l’attaque.
C’est l’ironie du sort car c’est justement FireEye qui tire la sonnette d’alarme le 8 décembre 2020. Ils détectent que leurs propres outils de red team (des outils utilisés pour tester la sécurité) ont été volés. En enquêtant, ils découvrent alors SUNBURST. Kevin Mandia, le CEO de FireEye, déclare que c’est l’attaque la plus sophistiquée qu’il ait jamais vue en 25 ans de carrière, et croyez-moi, le mec en a vu des vertes et des pas mûres !
FireEye, la société de cybersécurité qui a découvert l’attaque SolarWinds
Ce qui impressionne les experts, c’est surtout la patience et la sophistication d’APT29 car ils ont passé des mois, peut-être des années, à planifier cette opé;ration. Ils ont étudié l’architecture de SolarWinds, ils ont trouvé le moyen d’insérer leur code sans déclencher d’alarmes, ils ont créé une infrastructure de commande et contrôle qui imite parfaitement le trafic légitime.
Et une fois dans les réseaux des victimes, APT29 ne se précipite pas. Non, ils explorent méthodiquement, ils identifient les systèmes critiques, ils volent les identifiants administrateurs, et ils installent d’autres backdoors comme TEARDROP et RAINDROP pour garder l’accès même si SUNBURST est découvert.
En janvier 2024, Microsoft annonce une nouvelle intrusion ! Cette fois, APT29 a utilisé une technique vieille comme le monde mais toujours efficace : le password spraying. Ils ont testé des mots de passe communs contre des milliers de comptes jusqu’à trouver un compte de test sans authentification multi-facteurs. Une erreur basique qui a coûté très cher !
Microsoft appelle maintenant APT29 “Midnight Blizzard” ou “NOBELIUM”. C’est poétique, je trouve… le blizzard de minuit, c’est l’attaque qui arrive sans un bruit dans l’obscurité et qui paralyse tout. Ce nouveau nom reflète aussi l’évolution du groupe car ils ne sont plus juste “Cozy Bear”, l’ours douillet. Ils sont devenus une force de la nature, imprévisible et dévastatrice.
Mais le pire, c’est ce que Microsoft révèle en mars 2024… APT29 a eu accès à certains de leurs dépôts de code source pendant l’attaque SolarWinds et le code source de Microsoft, c’est les plans de l’Etoile de la Mort ! Avec ça, APT29 peut chercher des vulnérabilités, comprendre comment fonctionnent les systèmes de sécurité, et peut-être même planifier de futures attaques.
Microsoft, victime récurrente et observateur privilégié d’APT29
Les attaques continuent et se diversifient. En octobre 2024, Microsoft détecte une campagne de spear-phishing massive. APT29 envoie des milliers d’emails à des cibles dans plus de 100 organisations. Les emails contiennent des fichiers RDP (Remote Desktop Protocol) qui, une fois ouverts, connectent la machine de la victime à un serveur contrôlé par APT29. C’est super efficace !
Ce qui est nouveau et assez fou, c’est l’utilisation de Microsoft Teams pour le phishing. APT29 se fait passer pour le support technique et contactent les employés directement via Teams. “Bonjour, on a détecté un problème avec votre compte, pouvez-vous confirmer votre mot de passe ?” Simple, mais terriblement efficace quand c’est bien fait.
Bon, parlons un peu de leur arsenal technique, parce que c’est du lourd. HAMMERTOSS, découvert en 2015, est particulièrement créatif puisqu’il utilise Twitter pour recevoir ses commandes ! Les opérateurs d’APT29 créent des comptes Twitter avec des noms générés algorithmiquement (genre “234Bob234” ou “1abMike52b”) et ils postent des tweets qui semblent innocents mais qui contiennent des instructions encodées et des URLs vers des images contenant des commandes cachées par stéganographie.
En 2023-2024, on voit également apparaître de nouveaux outils comme WINELOADER et SNOWYAMBER. WINELOADER utilise des leurres sur le thème du vin (d’où le nom) pour cibler les diplomates. SNOWYAMBER intègre des routines anti-détection super avancées et peut désactiver les solutions de sécurité avant de s’exécuter. Ces mecs ne s’arrêtent jamais d’innover !
Les techniques de persistence d’APT29 sont aussi impressionnantes. Ils utilisent le DLL Side-Loading, créent des tâches planifiées Windows légitimes, modifient les clés de registre de démarrage, et exploitent même les mécanismes de signature de code de Windows. Bref, une fois qu’ils sont dans votre système, c’est comme essayer d’enlever de la super glue sur vos doigts… bon courage !
Les cibles d’APT29 révèlent leurs priorités stratégiques. Gouvernements occidentaux, particulièrement les ministères des affaires étrangères et de la défense. Cercles de réflexion qui influencent les politiques. Entreprises technologiques qui développent des innovations critiques. Organisations internationales comme l’ONU, l’OTAN ou l’UE. Bref, tout ce qui peut donner à la Russie un avantage stratégique est dans leur viseur.
Mais APT29 ne s’intéresse pas qu’à l’Occident. Ils espionnent aussi les pays de l’ex-URSS, les gouvernements asiatiques, africains et du Moyen-Orient. Ils surveillent même les groupes d’opposition russes et les oligarques qui pourraient poser problème. Le SVR veut tout savoir, tout contrôler. C’est Big Brother version cyber !
L’ONU, une des nombreuses organisations internationales ciblées
Comme je vous le disais, la patience d’APT29 est vraiment légendaire car dans certains cas documentés, ils sont restés dans des réseaux pendant plus de cinq ans sans être détectés. Cinq ans ! Ils observent, ils apprennent les habitudes, ils comprennent l’organisation et quand ils frappent enfin, ils savent exactement où chercher et quoi prendre.
Cette approche “low and slow” (basse et lente) est typique du SVR. Contrairement au GRU qui fait dans le spectaculaire et le perturbateur (coucou NotPetya !), le SVR privilégie le renseignement à long terme car ils veulent comprendre les intentions, anticiper les décisions, influencer subtilement plutôt que détruire brutalement.
C’est pourquoi les experts en cybersécurité ont un respect mêlé de crainte pour APT29. John Hultquist de Mandiant les décrit comme “les meilleurs dans le domaine”. Dmitri Alperovitch de CrowdStrike dit qu’ils sont “extrêmement disciplinés et professionnels”. Ce ne sont pas des script kiddies ou des hacktivistes. Ce sont des professionnels du renseignement avec des moyens illimités et 20 ans d’expérience.
Notez quand même que le coût humain et financier des opérations d’APT29 est astronomique. Les dommages directs se chiffrent en milliards, notamment avec le coût de la remédiation après SolarWinds qui dépasse les 100 milliards de dollars selon certaines estimations. Mais le vrai coût, c’est la perte de confiance, les secrets volés, l’avantage stratégique donné à la Russie. Et comment chiffrer ça ?
Et le pire dans tout ça, c’est qu’on ne sait probablement pas tout car APT29 est si doué pour rester invisible qu’il y a certainement des intrusions non découvertes. Combien de réseaux sont encore compromis ? Quels secrets ont été volés sans que personne ne s’en aperçoive ? C’est ça le vrai cauchemar qui empêche les RSSI du monde entier de dormir.
Mais l’attribution d’APT29 au SVR est maintenant officielle. En avril 2021, les États-Unis, le Royaume-Uni, l’Australie, le Canada, la Nouvelle-Zélande, l’OTAN et l’UE l’ont même confirmé publiquement, mais bon, ça change quoi concrètement ? Les membres d’APT29 ne seront jamais extradés, jamais jugés et ils continueront leur travail, protégés par l’État russe.
Le SVR a surtout une longue histoire d’espionnage derrière lui… C’est l’héritier de la Première Direction principale du KGB, responsable du renseignement extérieur. Des légendes comme Kim Philby, Guy Burgess et Donald Maclean (les fameux espions de Cambridge) travaillaient pour les prédécesseurs du SVR. APT29 est donc la continuation de cette tradition avec des moyens modernes. Les méthodes changent mais les objectifs restent les mêmes.
Ce qui est dingue, je trouve, c’est la normalisation de ces attaques car il y a 20 ans, pirater la Maison Blanche aurait été considéré comme un acte de guerre. Aujourd’hui, c’est juste un mardi comme les autres. Les pays occidentaux dénoncent, imposent des sanctions, expulsent des diplomates, mais les attaques continuent. C’est une nouvelle normalité de la guerre froide numérique.
Cependant, les leçons à tirer de l’affaire APT29 sont multiples et cruciales. D’abord, la cybersécurité n’est jamais acquise. Même les organisations les plus sophistiquées peuvent être compromises. Ensuite, la supply chain est le maillon faible. SolarWinds l’a montré de manière spectaculaire : compromettre un fournisseur, c’est potentiellement compromettre des milliers de clients.
L’importance du renseignement humain reste également évidente car sans les Néerlandais et leurs caméras, on n’aurait jamais eu cette vision unique des opérations d’APT29. Sans oublier la coopération internationale qui est absolument cruciale dans ce genre de cas. Les Néerlandais ont aidé les Américains, qui ont aidé les Britanniques, qui ont aidé tout le monde… Face à des adversaires étatiques avec des ressources illimitées, les démocraties doivent s’entraider, mais cette coopération est fragile, comme l’a montré la fin prématurée de l’accès néerlandais.
Et pour les entreprises et les organisations, le message est clair : Vous êtes peut-être déjà compromis car APT29 est patient, très patient… et ils peuvent déjà être dans vos systèmes depuis des années. Une approche “assume breach” (supposez que vous êtes compromis) est donc plus réaliste qu’une approche “empêcher toute intrusion”.
L’authentification multi-facteurs, le principe du moindre privilège, la segmentation réseau, la surveillance comportementale, les EDR/XDR… Toutes ces mesures sont essentielles, mais même avec tout ça, APT29 peut trouver un moyen d’accéder à vos systèmes.
Sans oublier que APT29 continue inexorablement de s’adapter, d’apprendre de leurs erreurs, et d’intégrer de nouvelles techniques à leurs process. L’intelligence artificielle, le machine learning, l’informatique quantique… Toutes ces technologies seront probablement dans leur arsenal dans les années à venir et ce futur s’annonce aussi passionnant que terrifiant ^^.
Certains experts prédisent que la prochaine grande vague d’attaques d’APT29 visera massivement l’infrastructure cloud car avec de plus en plus d’organisations qui migrent sur AWS, Azure ou Google Cloud, c’est la cible logique. Imaginez APT29 avec un accès root aux infrastructures cloud de milliers d’entreprises. Le potentiel de chaos serait vertigineux !
D’autres s’inquiètent également des deepfakes et de la désinformation assistée par IA. APT29 a les compétences techniques et les ressources pour créer des deepfakes ultra-convaincants alors imaginez de fausses vidéos de leaders mondiaux déclarant la guerre, de PDG annonçant des faillites, ou de responsables politiques dans des situations compromettantes. Encore un potentiel énorme de chaos.
Et surtout, comment répondre efficacement à APT29 ??? Car les sanctions économiques et les dénonciations publiques n’ont visiblement aucun effet sur eux. Certains proposent des cyber-ripostes offensives, mais ce serait l’escalade assurée avec un adversaire qui a l’arme nucléaire. D’autres voudraient aussi négocier des “règles du jeu” dans le cyberespace, mais la Russie n’est clairement pas intéressée.
Quoiqu’il en soit, APT29 est à la fois un problème de sécurité nationale et un problème de sécurité individuelle car leurs opérations affectent la géopolitique mondiale, les élections, les relations internationales, mais aussi la vie privée de millions de personnes lambda. Les emails dans le hack du DNC, les données médicales dans le hack de SolarWinds, vos infos perso dans celui de Microsoft… Nous sommes tous des victimes collatérales potentielles.
Surtout que l’histoire d’APT29 est loin d’être finie car tant que le SVR existera et tant que la Russie verra l’Occident comme un adversaire existentiel, les opérations continueront…
Bref, dormez tranquilles braves gens, APT29 veille sur vos données ! 😅
Pendant que tout le monde s’excite sur le Web3 et les cryptos, un mouvement bien plus intéressant construit tranquillement le futur d’Internet depuis 2010. Et devinez quoi, y’a pas besoin de blockchain pour reprendre le contrôle de vos données.
Ce mouvement, c’est l’IndieWeb, et l’idée de base c’est de refaire du web comme dans les années 90 où au lieu de publier vos contenus sur Facebook, Twitter ou Instagram, vous les publiez d’abord sur VOTRE site, puis vous les partagez ailleurs si vous voulez.
Alors oui, je sais ce que vous allez me dire : “Mais c’est exactement ce que tu fais depuis des années avec ton site !”. Et vous avez raison, je pratique les principes de l’IndieWeb depuis le début car mon site, c’est mon espace à moi, où je contrôle tout, et où personne ne peut me censurer ou supprimer mes articles parce qu’un algorithme a décidé que ça ne collait pas avec la politique du moment. D’ailleurs, si vous fouillez dans mes archives, vous verrez que les articles qui datent de plus de 20 ans sont toujours accessibles.
L’IndieWeb repose donc sur 3 principes fondamentaux qui vont vous parler. D’abord, votre contenu vous appartient. Ça paraît con dit comme ça, mais quand vous publiez sur Facebook, légalement, ils peuvent faire ce qu’ils veulent avec. Ils peuvent le supprimer, le monétiser, l’utiliser pour entraîner leurs IA… Ensuite, vous êtes connecté. Grâce à des protocoles comme les Webmentions (l’équivalent moderne des trackbacks pour les vieux comme moi), votre site peut recevoir des réactions d’autres sites, créant un vrai réseau décentralisé. Et enfin, vous avez le contrôle total : design, format, longueur… Vous n’êtes plus limité par les 280 caractères de Twitter ou le format carré d’Instagram.
Le truc vraiment cool avec l’IndieWeb, c’est qu’ils ont pensé à tout. Ils ont par exemple créé le concept de POSSE : Publish on your Own Site, Syndicate Elsewhere. En gros, vous publiez sur votre site, puis des outils comme Bridgy vous permettent de partager automatiquement sur les réseaux sociaux. Et les réactions sur ces réseaux peuvent ensuite être rapatriées sur votre site. C’est le meilleur des deux mondes.
Et ce mouvement fait une distinction intéressante entre le “Big Web” et le “Small Web”. Le Big Web, c’est ce qu’on connaît tous : les GAFAM qui vous transforment en produit, qui surveillent vos moindres faits et gestes, qui décident de ce que vous devez voir. Aral Balkan, un des penseurs du mouvement, compare même ça à de “l’élevage industriel d’humains”. Glauque…
Et le Small Web, c’est l’opposé. C’est votre serveur, votre domaine, vos règles. Pas de concept “d’utilisateurs”, on parle de “personnes”. Chaque site est unique, reflète la personnalité de son propriétaire. Bref, c’est le retour du web créatif des années 90/2000, mais avec les technologies modernes.
Pour cela, l’IndieWeb utilise des technologies simples et éprouvées. Les microformats pour structurer vos données, les Webmentions pour les interactions, Micropub pour publier depuis n’importe quelle app… Tout est basé sur des standards ouverts que n’importe qui peut implémenter.
Ce qui est marrant, c’est que la communauté IndieWeb a une position assez cash sur le Web3. Pour eux, c’est juste du marketing pour faire passer la pilule blockchain et ils rappellent à qui veut bien les écouter que le web est DÉJÀ décentralisé par nature, et que si on a perdu cette décentralisation, c’est pas un problème technique mais socio-économique. Pas besoin donc de réinventer la roue avec des tokens et des smart contracts.
En 2025, le mouvement commence vraiment à prendre de l’ampleur notamment avec l’explosion du Fediverse (Mastodon, Pixelfed, etc.). De plus en plus de gens comprennent l’intérêt de posséder leurs données et des outils comme Bridgy Fed permettent maintenant à votre site IndieWeb de communiquer directement avec Mastodon via ActivityPub. D’ailleurs, Bridgy Fed vient tout juste de devenir une organisation à but non lucratif pour pérenniser le projet. Votre blog devient littéralement une instance Mastodon à lui tout seul !
Maintenant, c’est sûr que l’IndieWeb, c’est pas pour Grand-Mamie Ginette qui veut juste voir les photos de ses petits-enfants. Ça demande un minimum de compétences techniques comme avoir son domaine, installer un CMS ou coder son site, comprendre les bases du HTML… Mais pour tous ceux qui ont déjà ces compétences ou ceux qui veulent en apprendre de nouvelles, c’est vraiment la voie à suivre.
Pour ma part, avec Korben.info, si demain Twitter disparaît (pardon, X), tous mes articles seront toujours là. Par contre, je dois avouer que je n’ai pas encore implémenté les Webmentions ou la syndication automatique mais ce sera peut-être un projet pour mes prochaines vacances ? Là, je suis trop occupé à rédiger mes articles sur les hackers pour le moment, mais c’est hyper inspirant.
Bref, l’IndieWeb, c’est à mon sens un vrai mouvement de résistance du web. Pendant que les corporations essaient de tout centraliser, que les gouvernements veulent tout surveiller, et que les cryptobros veulent tout financiariser, l’IndieWeb propose simplement de revenir aux fondamentaux : un web de personnes qui partagent leurs passions sur leurs propres espaces.
Donc si vous voulez vous lancer, commencez simple. Prenez un nom de domaine, installez un WordPress ou un Ghost, et commencez à publier. Rejoignez les discussions sur IndieWeb.org, participez aux IndieWebCamps… Et surtout, amusez-vous ! Parce que c’est ça l’essence du web : créer, partager, s’exprimer librement.
Alors oui, on sera toujours loin du million d’utilisateurs de TikTok ou d’Insta, mais franchement, est-ce que c’est vraiment ça l’objectif ? Moi je préfère mille fois avoir mon petit espace sur le web où je fais ce que je veux plutôt que d’être un numéro de plus dans la ferme de données de Meta.
Alors, prêts à reprendre le contrôle de votre présence en ligne ?
Depuis ses débuts, YouTube a été le terrain de jeu favori des créateurs, des viewers… et des publicitaires. Mais à mesure que les pubs se sont multipliées, les internautes ont sorti la boîte à outils : bloqueurs de pubs, scripts maison, applis alternatives. Rien de très grave pendant des années, mais depuis 2023, la plateforme vidéo a décidé de sortir l’artillerie lourde. Ce qui n’était qu’une escarmouche est devenu une vraie guerre de tranchées, avec des offensives, des contre-attaques, et des dégâts collatéraux.
2023 : les premiers coups de semonce
Fin 2023, YouTube passe à l’offensive et commence à afficher des avertissements aux utilisateurs d’ad-blockers. Un message s’incruste sur la vidéo : “Ad blockers violate YouTube’s Terms of Service.” Pour continuer, il faut désactiver le bloqueur ou passer à YouTube Premium. Au début, la mesure ne touche qu’une poignée d’utilisateurs, mais la riposte s’organise côté adblockers, qui adaptent leurs filtres pour masquer ce message.
En novembre, YouTube élargit la portée de sa campagne anti-adblockers à l’échelle mondiale. Les utilisateurs se retrouvent face à des vidéos qui refusent de se lancer, des pop-ups persistants, et des ralentissements artificiels du site. Les forums et réseaux sociaux s’enflamment, chacun cherchant la parade du moment.
2024 : La guerre totale
Début 2024, YouTube affine sa stratégie et use la lenteur comme arme psychologique. Plutôt que de bloquer frontalement, la plateforme introduit des ralentissements ciblés. Les vidéos mettent des plombes à charger, les miniatures refusent de s’afficher, le site devient “malade” dès qu’un adblocker est détecté. Officiellement, il s’agit d’une “expérience de visionnage sous-optimale”. Les utilisateurs, excédés, commencent à désinstaller leurs bloqueurs pubs par centaines de milliers, mais d’autres cherchent des alternatives ou migrent vers des navigateurs moins exposés.
Au printemps, YouTube s’attaque aux applications mobiles tierces qui intègrent un bloqueur de pubs. Les apps comme Vanced, NewPipe ou les fork alternatifs voient leur accès restreint, voire bloqué. Si l’appli ne respecte pas les conditions d’utilisation de l’API, c’est rideau : “The following content is not available on this app”. La manœuvre vise à couper l’herbe sous le pied des solutions qui permettaient encore de regarder YouTube sans pub sur mobile.
Comme toujours, les développeurs d’adblockers ne restent pas inactifs. Chaque nouvelle parade de YouTube est contournée par une mise à jour de filtre, un script, ou une astuce communautaire. Mais la fenêtre de répit se réduit à chaque fois : les correctifs ne tiennent parfois que quelques jours avant d’être à nouveau contournés par Google. Les utilisateurs s’adaptent, jonglent entre navigateurs, extensions, et méthodes alternatives.
2025 : YouTube sort le bazooka
En juin 2025, YouTube déploie une nouvelle salve technique. Les principaux anti-pubs voient leurs astuces neutralisées. Le site détecte désormais toute tentative de blocage d’annonces, que ce soit via extension ou application tierce, et réagit par différents moyens : parfois la vidéo ne démarre pas, parfois elle met cinq secondes à charger, parfois un message d’avertissement s’affiche. Ce n’est donc plus un blocage pur et simple, mais une expérience volontairement dégradée, avec des ralentissements ou des délais avant le lancement de la vidéo.
Les exceptions qui confirment la règle
Mais dans ce chaos, deux solutions tirent leur épingle du jeu. D’abord, la solution CleanWeb de Surfshark : malgré tous les efforts de Google, CleanWeb continue de bloquer efficacement les pubs sur YouTube, aussi bien sur navigateur que sur mobile, là où la plupart des autres bloqueurs sont mis en échec. Les tests menés en 2025 confirment que CleanWeb reste opérationnel pour filtrer les pubs Google et offrir une expérience fluide, sans ralentissement ni pop-up d’avertissement.
Autre survivant de la purge : le navigateur Brave. Grâce à son bloqueur de pubs intégré et à des mises à jour régulières, Brave parvient encore à bloquer les pubs sur YouTube, sans déclencher systématiquement les messages d’erreur ou les ralentissements imposés par Google.
Les conséquences : désinstallations massives et migration
Face à l’impasse, de nombreux utilisateurs abandonnent leurs adblockers. Les statistiques explosent : AdGuard, Ghostery, et consorts enregistrent des pics de désinstallations jamais vus, parfois plus de 50 000 en une seule journée. D’autres, lassés, finissent par céder à YouTube Premium, tandis qu’une minorité continue la résistance en cherchant des solutions temporaires ou en changeant de plateforme.
Les arguments de chaque camp
YouTube : “La pub, c’est la vie (de la plateforme)”. Pour Google, la justification est simple : la pub finance la plateforme et rémunère les créateurs. Pas de pub, pas de YouTube gratuit. L’entreprise martèle que les bloqueurs de pubs mettent en péril l’écosystème, et que l’alternative existe : payer pour YouTube Premium.
Les utilisateurs : “Trop, c’est trop”. De l’autre côté, la grogne monte. Les pubs sont jugées trop longues, trop intrusives, parfois même dangereuses (scams, malwares, etc.). Beaucoup dénoncent une expérience dégradée, l’impression d’être pris en otage, et le sentiment que la plateforme pousse à l’abonnement Premium par la contrainte plus que par la qualité du service.
Un bras de fer sans vainqueur ?
La guerre entre YouTube et les adblockers ressemble à une partie d’échecs sans fin. Chaque offensive de Google est suivie d’une contre-attaque des développeurs d’adblockers, mais la plateforme semble désormais avoir l’avantage technologique, surtout grâce à l’intégration des pubs côté serveur et à la fermeture des API tierces. La résistance continue, mais les fenêtres de tir se réduisent. Les utilisateurs doivent choisir : accepter les pubs, payer l’abonnement, migrer vers des alternatives… ou s’équiper d’outils comme CleanWeb ou Brave qui, à ce jour, restent les solutions les plus efficaces pour retrouver un YouTube sans pubs. Pour combien de temps, cela reste à voir.
Et maintenant ?
YouTube a remporté une manche, mais la guerre n’est jamais vraiment finie sur Internet. Les utilisateurs continueront de chercher des moyens de reprendre la main sur leur expérience, que ce soit via de nouveaux outils, des alternatives ou des changements d’habitude. Mais la question de fond demeure : jusqu’où une plateforme peut-elle aller pour imposer la pub, et à quel prix pour la liberté de ses utilisateurs ?
Pour celles et ceux qui veulent la tranquillité numérique sans multiplier les abonnements et les extensions, Surfshark propose donc une formule complète qui va bien au-delà du simple VPN. Avec un seul abonnement, vous bénéficiez non seulement d’un VPN rapide et fiable pour sécuriser vos connexions et contourner les censures, mais aussi de CleanWeb, ainsi que d’Alternative ID, un outil malin pour générer des identités virtuelles et éviter que vos vraies infos ne se baladent dans les bases de données des marketeurs ou des hackers. Tout cela à partir de 2.38€/mois TTC (abonnement 2 ans + 3 mois offert).
En résumé, un seul abonnement Surfshark, et vous profitez d’une navigation privée, sans pubs, sans tracking, sans censure et avec une couche supplémentaire d’anonymat pour toutes vos inscriptions en ligne. Le tout, sur un nombre illimité d’appareils, pour protéger toute la famille sans prise de tête. De quoi préparer la fin des vacances et la rentrée scolaire en toute décontraction du slip.
Bon, là je vais pas y aller par quatre chemins : si vous avez installé certains packages sur l’AUR (Arch User Repository) ces derniers jours, vous avez peut-être un RAT (Remote Access Trojan) qui squatte tranquille sur votre machine sous Arch Linux. Et croyez-moi, c’est pas le genre de colocataire que vous voulez garder.
Le 16 juillet 2025 dernier, un utilisateur répondant au doux nom de “danikpapas” (compte maintenant banni, évidemment) a réussi à publier des malwares sur l’AUR. Ces saloperies sont restées en ligne pendant environ 48 heures avant que l’équipe de l’AUR ne s’en rende compte et vire tout ce bordel.
Les packages vérolés en question sont : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. C’est vicieux car ces noms imitent volontairement les vrais packages légitimes (librewolf-bin, firefox-bin et zen-browser-bin) en ajoutant des mots comme “fix” ou “patched” qui donnent l’impression que c’est une version améliorée ou corrigée.
Faut reconnaître que le mec était pas con dans son approche car qui n’a jamais vu un package avec “fix” ou “patched” et s’est dit “ah tiens, ça doit être mieux que la version normale” ? C’est exactement sur ce réflexe qu’il a joué, le fourbe.
Mais attendez, c’est pas fini puisque 3 autres packages suspects ont aussi été dégagés : minecraft-cracked (là c’est clair, ça cible les gamins qui veulent jouer gratos), ttf-ms-fonts-all (qui fait croire que le package normal ttf-ms-fonts ne contient pas toutes les polices) et vesktop-bin-patched (Vesktop étant un client Discord populaire).
Le truc vraiment moche, c’est que ces packages installaient tous le même malware : Chaos RAT. Pour ceux qui ne connaissent pas, un RAT c’est un Remote Access Trojan, en gros un logiciel qui donne le contrôle total de votre machine à quelqu’un d’autre. Surveillance, installation d’autres malwares, vol de données… c’est open bar pour l’attaquant.
Alors comment ça marchait ?
Et bien chaque package contenait dans son PKGBUILD une entrée “patches” qui pointait vers un dépôt GitHub contrôlé par l’attaquant (github.com/danikpapas/zenbrowser-patch.git, maintenant supprimé bien sûr) et au lieu d’appliquer de vrais patches, ce dépôt exécutait du code malveillant pendant l’installation.
Ce qui est dingue dans cette histoire, c’est que personne n’a rien vu pendant 2 jours. Les packages avaient même récolté 8 / 9 votes positifs ! C’est finalement grâce à Reddit que l’alerte a été donnée car un compte Reddit dormant depuis 3 ans (probablement compromis ou racheté) a commencé à faire la promo de ces packages sur r/archlinux avec un post intitulé “The AUR is awesome”.
Grave erreur stratégique du pirate pusique la communauté Arch sur Reddit, c’est pas des tendres. Ils ont direct flairé l’embrouille et ont commencé à creuser. Un utilisateur a balancé le package sur VirusTotal et boom : 32 antivirus sur 70 ont détecté le malware. Pas vraiment ce qu’on appelle un faux positif, hein.
Voilà, donc si vous avez installé un de ces packages, voici ce qu’il faut faire illico :
Supprimez le package immédiatement avec pacman -R nom-du-package
Cherchez un processus qui s’appelle systemd-initd (c’est le RAT qui se planque)
Si vous le trouvez, tuez-le et envisagez sérieusement une réinstallation complète.
Alors je vous vois venir : “Mais Korben, ça veut dire que l’AUR c’est dangereux et qu’il faut plus l’utiliser ?” Mais nooon, calmons-nous deux secondes mes amis.
L’AUR a toujours été ce qu’il est à savoir un dépôt communautaire avec très peu de modération. C’est un peu comme GitHub mais pour les packages Arch. Dans 99,9% des cas, tout va bien, mais oui, parfois des conneries comme ça peuvent arriver et c’est pas la première fois (en 2018 y’avait déjà eu un cas similaire).
Donc pour vous protéger à l’avenir, quelques conseils plein de bon sens :
Vérifiez toujours la page du package sur l’AUR avant d’installer
Regardez les commentaires, les votes, depuis quand le package existe
Méfiez-vous des packages tout neufs avec des noms chelous
Si possible, jetez un œil au PKGBUILD pour voir ce qu’il fait
En cas de doute, demandez sur les forums ou le Discord Arch Linux
Ce qui me fait chier dans cette histoire, c’est surtout la communication pourrie autour de l’incident car l’alerte officielle a uniquement été postée sur la mailing list de l’AUR. C’est tout… Et comme personne ne lit encore les mailing lists en 2025 et bien le post a récolté royalement 2 upvotes et a probablement été vu par 20 pelés et 3 tondus. Heureusement que le Discord communautaire d’Arch a relayé l’info, sinon on serait encore dans le brouillard.
Bref, pour finir sur une note positive, énorme respect à tous ceux qui ont détecté et signalé ces packages. C’est grâce à eux que l’attaque n’a duré “que” 48 heures, sinon on aurait probablement encore des gens qui installeraient ces merdes aujourd’hui.
Voilà, comme toujours avec les trucs communautaires, faut garder son cerveau allumé et si vous voyez un truc louche, signalez-le ! Même si vous n’êtes pas sûr à 100%, mieux vaut un faux positif qu’un vrai malware qui tourne pendant des semaines.
Installez vous confortablement car cet article va être un peu long… Normal, il raconte l’histoire complètement dingue d’un gang de cybercriminels qui a littéralement fait muter un simple ransomware en startup façon Silicon Valley.
Conti, c’est l’histoire d’une organisation criminelle russe qui a généré 180 millions de dollars rien qu’en 2021, qui payait ses hackers avec des fiches de paie et des programmes “employé du mois” (si si, je vous jure), et qui s’est complètement vautrée après avoir choisi le mauvais camp dans la guerre contre l’Ukraine.
Bref, du jamais vu dans l’histoire du cybercrime !
L’écran de la mort version 2020 ou quand vos fichiers deviennent otages
Tout commence donc fin 2019, quelque part dans les bas-fonds numériques de Saint-Pétersbourg où un groupe de cybercriminels russes, déjà bien connus sous le nom de Wizard Spider (oui, “l’araignée magicienne”, ils ont pas cherché loin), décide qu’il est temps de passer à la vitesse supérieure.
Et ce ne sont pas des débutants, non, non, car depuis 2016, ils sont déjà derrière Ryuk, un ransomware qui a déjà rapporté la bagatelle de 150 millions de dollars et surtout TrickBot, l’un des botnets les plus vicieux au monde avec plus d’un million de machines infectées. Ce malware bancaire ultra-sophistiqué s’infiltre via des campagnes de phishing massives, vole vos identifiants bancaires, cartographie l’intégralité de votre infrastructure réseau, identifie les machines critiques, et prépare le terrain pour le déploiement du ransomware.
Mais avec Conti, ils veulent carrément industrialiser le crime.
Saint-Pétersbourg : ville des tsars, de Dostoïevski… et des cybercriminels millionnaires
Alors fin 2019, ils ont une super idée pour des criminels : Pourquoi se contenter d’attaques ponctuelles quand on peut créer le McDonald’s du ransomware avec des franchises ? C’est là que naît Conti et le principe est simple : transformer le ransomware en service (RaaS - Ransomware as a Service) comme ça au lieu de tout faire eux-mêmes comme des artisans à l’ancienne, ils vont recruter une armée d’affiliés qui feront le sale boulot de terrain, et tout le monde se partagera les bénéfices. C’est l’uberisation du crime, version russe.
Sauf que Conti va beaucoup plus loin que tous les autres gangs de ransomware car là où la plupart des groupes fonctionnent sur un modèle de commission classique (l’affilié garde 70-80% de la rançon, le reste va aux développeurs), Conti innove complètement puisqu’ils paient leurs affiliés avec un salaire fixe mensuel. Oui, un vrai salaire, avec des fiches de paie, des augmentations annuelles, et même des bonus de performance pour les meilleurs éléments. C’est la première fois dans l’histoire du cybercrime qu’on voit ça.
Et les documents qui ont fuité en 2022 (les fameux Contileaks, j’y reviendrais plus tard…) révèlent ainsi une organisation qui dépasse l’entendement. Des chasseurs de têtes russes parfaitement légitimes sont utilisés pour recruter de nouveaux “employés” sur des sites comme HeadHunter.ru (l’équivalent russe de LinkedIn). Les candidats passent des entretiens d’embauche en bonne et due forme, avec tests techniques et tout le tralala. Ils signent même des contrats (bon, évidemment pas super légaux) et intègrent des équipes ultra-spécialisées. Y’a l’équipe “pentest” qui s’infiltre dans les réseaux, l’équipe “crypto” qui gère les paiements Bitcoin et le blanchiment, l’équipe “négociation” qui discute avec les victimes, l’équipe “dev” qui améliore le ransomware, l’équipe “support” qui aide les affiliés en difficulté…
Ils ont même mis en place un programme “employé du mois” avec photo sur le mur virtuel et tout. Les meilleurs performers reçoivent ainsi des bonus en Bitcoin (entre 5 000 et 50 000 dollars selon les performances), des félicitations publiques sur leur chat interne Jabber, et des opportunités de “promotion”. Un hacker particulièrement doué peut ainsi gravir les échelons, et passer de simple “pentester” junior, à senior, puis à “team lead” avec une équipe de 5-10 personnes sous ses ordres, et enfin à “department head” avec des responsabilités stratégiques. C’est un crossover entre LinkedIn et Le Parrain.
Les salaires révélés dans les fuites donnent le vertige. Un débutant touche environ 1 500 à 2 000 dollars par mois (ce qui est très correct en Russie où le salaire moyen tourne autour de 700 dollars). Un expert confirmé peut monter jusqu’à 10 000 dollars mensuels. Les team leads touchent entre 15 000 et 20 000 dollars. Et les top managers ? On parle de 50 000 dollars par mois et plus. Tout ça payé en Bitcoin évidemment, via des mixers et des échanges décentralisés pour brouiller les pistes. Certains touchent même des “stock options” sous forme de pourcentage sur les futures rançons. Du jamais vu.
Le Bitcoin : la monnaie officielle du crime organisé 2.0
Maintenant, parlons du big boss de cette organisation criminelle 2.0 : Vitaly Nikolaevich Kovalev, 36 ans au moment des faits, connu sous une ribambelle de pseudos tels que “Stern” (son préféré), “Demon”, “Ben”, “Bergen”, “Vitalik K”, ou encore “Alex Konor”. Ce type est littéralement un fantôme numérique car pendant des années, absolument personne ne savait qui se cachait derrière ces pseudos. Même ses plus proches “collaborateurs” ne connaissaient que sa voix sur les chats vocaux chiffrés. Il dirigeait TrickBot et Conti depuis l’ombre, accumulant une fortune estimée par les autorités allemandes à plus de 500 millions de dollars en crypto. Un demi-milliard, vous vous rendez compte ?
Et Kovalev n’est vraiment pas votre hacker cliché en sweat à capuche. C’est un pur businessman du crime, un Steve Jobs du ransomware. Il a compris avant tout le monde que le cybercrime pouvait être organisé exactement comme une entreprise légitime du Fortune 500. Sous sa direction, Wizard Spider est ainski passé d’un petit groupe de hackers russes lambda à une organisation de plus de 150 membres permanents, avec des départements, des process ISO-compliant (j’exagère à peine), des KPIs, des dashboards de performance en temps réel, et même une charte d’entreprise (qui incluait bizarrement un code de conduite éthique, allez comprendre).
Vitaly Nikolaevich Kovalev alias Stern
Alors concrètement, comment fonctionne une attaque type de Conti ? Vous allez voir, c’est du grand art criminel, une chorégraphie millimétrée.
Phase 1 : l’infection initiale. Soit via TrickBot (leur botnet historique), soit via BazarLoader (la version 2.0), soit carrément via des campagnes BazarCall où des call centers indiens appellent les victimes en se faisant passer pour Microsoft. “Bonjour, nous avons détecté un virus sur votre ordinateur, laissez-nous vous aider.” Vous connaissez, c’est classique mais ça marche encore.
Une fois TrickBot installé, le malware fait son boulot de reconnaissance. Il mappe le réseau avec la précision d’un chirurgien : identification des contrôleurs de domaine, des serveurs de sauvegarde, des bases de données critiques, des partages réseau, des comptes à privilèges. Cette phase peut durer des semaines, voire des mois. Les hackers sont patients, méthodiques. Ils utilisent des outils légitimes comme ADFind ou SharpView pour passer sous les radars. Tout est documenté dans des rapports détaillés envoyés à l’équipe d’analyse.
Phase 2 : l’escalade de privilèges et le mouvement latéral. C’est là que Cobalt Strike entre en jeu. Ah, Cobalt Strike… Initialement un outil légitime de pentest à 3 500 dollars la licence, devenu l’arme préférée des cybercriminels. Les versions crackées circulent sur tous les forums underground russes. Conti utilise des configurations custom avec des profils de communication qui imitent le trafic légitime de Google ou Microsoft, leur donnant un contrôle total : exécution de commandes, keylogging, captures d’écran, pivoting, tout y passe.
Et les hackers désactivent méthodiquement toutes les défenses. Windows Defender ? Désactivé via GPO. EDR d’entreprise ? Contourné ou carrément supprimé. Sauvegardes ? Effacées ou chiffrées en premier. Ils utilisent même des techniques d’évasion ultra-sophistiquées : injection de processus, DLL hollowing, obfuscation PowerShell…
Phase 3 : le déploiement du ransomware. Et là, c’est du brutal car Conti est programmé pour chiffrer un maximum de données en un minimum de temps. On parle de 32 threads parallèles qui tournent à plein régime, capable de chiffrer 100 000 fichiers en moins de 10 minutes. Et l’algorithme, c’est du solide : AES-256 pour les fichiers (avec une clé unique par fichier), puis RSA-4096 pour chiffrer les clés AES. Mathématiquement incassable sans la clé privée. Les versions récentes sont passées à ChaCha20 pour gagner encore en vitesse et ainsi, en quelques heures, parfois minutes sur les petits réseaux, tout le système d’information d’une entreprise est foutu.
Mais Conti ne se contente pas de chiffrer vos données. Non non, ce serait trop simple. Avant de lancer le ransomware, ils exfiltrent des téraoctets d’informations sensibles via rclone ou MegaSync. Contrats, données clients, secrets industriels, emails compromettants, tout y passe. Comme ça, si la victime refuse de payer, ils menacent de publier ces données sur leur site “Conti News”, accessible uniquement via Tor. C’est ce qu’on appelle la “double extorsion” : vous payez pour récupérer vos données ET pour éviter qu’elles soient publiées. Certaines victimes ont même subi une “triple extorsion” avec des attaques DDoS en prime si elles traînent trop.
Double extorsion : Si vous ne payez pas, vos données finissent ici (ou pas si elles ont été vendues)
Et les montants des rançons donnent le tournis. En moyenne, Conti demande entre 500 000 et 5 millions de dollars, avec une médiane autour de 800 000 dollars. Mais pour les grosses entreprises ou les gouvernements, ça peut monter beaucoup, beaucoup plus haut. Le Costa Rica s’est par exemple vu réclamer 10 millions initialement, puis 20 millions quand ils ont refusé. Certaines multinationales auraient même payé des rançons à huit chiffres… je vous parle de 20, 30, voire 40 millions de dollars. La plus grosse rançon confirmée est de 34 millions de dollars payés par une compagnie d’assurance américaine (dont le nom n’a jamais fuité).
Le “département négociation” de Conti, c’est aussi du grand art en matière de manipulation psychologique. Des négociateurs sont formés aux techniques de persuasion avancées… Ils alternent menaces voilées et fausse empathie, jouent sur l’urgence ("chaque jour de retard coûte 100 000 dollars supplémentaires"), proposent des “réductions” pour paiement rapide ("payez dans les 48h et on vous fait 40% de remise, offre limitée !"). Certains se font même passer pour des “consultants indépendants en cybersécurité” qui peuvent “aider” la victime à sortir de cette situation délicate. Ils fournissent même des tutoriels détaillés pour acheter des bitcoins, c’est dire le niveau de “service client”.
Et les victimes de Conti, c’est un who’s who du malheur numérique… Hôpitaux, universités, municipalités, entreprises du CAC 40… Personne n’est épargné. J’en veux pour preuve l’attaque contre le Health Service Executive (HSE) irlandais en mai 2021 qui restera dans les annales avec 80% du système informatique du service de santé national irlandais paralysé du jour au lendemain. 54 des 58 hôpitaux existants ont été touchés. Les médecins obligés de revenir au papier et au stylo, les IRM et scanners hors service, les dossiers patients inaccessibles, des opérations chirurgicales reportées, des chimiothérapies retardées, des ambulances détournées. Bref, un chaos total qui a duré des semaines.
Et le coût total pour l’Irlande ? Plus de 100 millions d’euros en dommages directs, et potentiellement 600 millions en incluant la remédiation et le renforcement de la sécurité. Et tout ça pourquoi ? Parce que le HSE a courageusement refusé de payer les 20 millions de dollars de rançon demandés. Respect pour le principe, mais la facture finale a fait mal. Très mal.
Et des mois après l’attaque, certains systèmes n’étaient toujours pas restaurés.
Quand les ransomwares s’attaquent aux hôpitaux, ce sont des vies qui sont en jeu
Mais l’attaque la plus spectaculaire, celle qui restera dans les livres d’histoire, c’est l’assaut contre le Costa Rica en avril-mai 2022 dont je vous parlais juste avant. Le 17 avril, premier coup de semonce : le ministère des Finances costaricain est frappé. Les systèmes de déclaration d’impôts et de douanes sont KO. Puis c’est l’escalade… ministère du Travail le 27 avril, puis Sécurité sociale, Sciences et Technologies, Fonds de développement social… Et en quelques semaines, c’est 27 institutions gouvernementales qui sont touchées, dont 9 complètement paralysées. Le pays ne peut littéralement plus fonctionner.
Face à cette cyberattaque d’une ampleur sans précédent, le président Rodrigo Chaves n’a alors pas d’autres choix et le 8 mai 2022, il fait une déclaration historique : État d’urgence national pour cause de cyberattaque. C’est la première fois dans l’histoire de l’humanité qu’un pays entier se retrouve en état d’urgence à cause de hackers. L’économie est paralysée, les exportations bloquées (le Costa Rica exporte pour 12 milliards de dollars par an), et les services publics à l’arrêt complet. Les experts estiment que chaque jour de crise coûte 30 à 38 millions de dollars au pays et en 3 semaines, cela représente près d’un milliard de dollars de pertes.
Costa Rica : première nation victime d’une cyber-guerre déclarée
Mais Conti ne s’arrête pas là. Dans un délire mégalomaniaque total, ils appellent carrément au renversement du gouvernement costaricain ! Sur leur site accessible via Tor, ils publient ceci : “Nous avons décidé de renverser le gouvernement par cyberattaque, nous avons nos raisons. Nous demandons aux citoyens du Costa Rica de faire pression sur leur gouvernement, sinon nous continuerons nos attaques.” Du jamais vu. Un gang de ransomware qui se prend pour une force révolutionnaire et menace la stabilité d’un État souverain. On n’est plus dans le cybercrime, on est dans le cyberterrorisme d’État.
La réaction internationale est alors immédiate. Le Département d’État américain sort l’artillerie lourde avec 15 millions de dollars de récompense : 10 millions pour des informations sur l’identité et la localisation des leaders de Conti, 5 millions supplémentaires pour toute info menant à des arrestations. C’est la plus grosse prime jamais offerte pour des cybercriminels, dépassant même certaines primes pour des terroristes. Le FBI mobilise des dizaines d’agents, Interpol émet des notices rouges, bref c’est une énorme chasse à l’homme qui démarre.
10 millions de dollars - Quand ta tête vaut plus cher qu’un yacht de luxe
Et pendant ce temps, c’est business as usual chez Conti. Les fuites qui ont eu lieu après coup en 2022 révèlent des conversations internes absolument surréalistes. On découvre le quotidien banal du crime organisé moderne. “Mango se plaint que son équipe pentest n’est pas assez productive, il demande l’autorisation de virer Tortik”, “Stern veut un rapport détaillé sur les métriques du Q3 avant jeudi”, “Professor organise une formation obligatoire lundi sur les nouvelles techniques d’évasion EDR”, “Le département compta signale un retard dans le paiement des salaires de novembre à cause de la volatilité du Bitcoin”… On se croirait dans les emails corporate de n’importe quelle entreprise, sauf qu’on parle de criminels qui détruisent des vies.
Et leurs problèmes RH sont particulièrement savoureux. Un manager se plaint : “Les devs veulent tous passer sur l’équipe crypto parce que c’est mieux payé, mais j’ai besoin d’eux pour patcher le ransomware !” Un autre : “Bentley a encore raté le daily standup ce matin, c’est la 3ème fois ce mois-ci, on fait quoi ?” Ou encore : “Les nouveaux refusent de bosser le weekend sans prime, c’est n’importe quoi, de mon temps on était motivés !” Y’a même des discussions sur la mise en place d’un système de congés payés et de RTT. Du grand n’importe quoi.
Les documents fuités incluent leur fameux “playbook”, le manuel d’opération intégral donné aux nouveaux affiliés. 435 pages en russe (les fuites contenaient plusieurs versions) qui détaillent absolument tout : Comment utiliser Cobalt Strike (avec une licence crackée fournie), comment identifier les cibles prioritaires dans un Active Directory, les 10 commandements de la négociation de rançon, comment blanchir les bitcoins via Monero, les erreurs de débutant à éviter… C’est tellement détaillé et bien fait qu’un amateur motivé pourrait suivre les instructions et lancer une attaque ransomware professionnelle.
Le playbook révèle également leur arsenal technique complet. Outre l’incontournable Cobalt Strike, on y trouve : Metasploit et Armitage pour l’exploitation, BloodHound et SharpHound pour mapper l’AD, Mimikatz et LaZagne pour les mots de passe, PrintNightmare et ZeroLogon pour l’escalade de privilèges, rclone et WinSCP pour l’exfiltration… Ils ont même développé leurs propres outils custom : ContiLocker (le ransomware), ContiLeaks (pour l’exfil), ContiNegotiator (un chatbot pour les négociations !). Une vraie usine à malwares.
Cobalt Strike 4.3 en version crackée par Conti
Et les vulnérabilités exploitées sont soigneusement cataloguées avec leur niveau de fiabilité. ZeroLogon (CVE-2020-1472) : “Fonctionne dans 95% des cas, privilégier sur les DC Windows 2012-2019”. PrintNightmare (CVE-2021-34527) : “Excellent pour l’escalade locale, attention aux patchs de juillet 2021”. ProxyShell/ProxyLogon : “Cible Exchange, très efficace, permet installation directe du webshell”. EternalBlue (MS17-010) : “Vieux mais gold, encore présent sur 30% des réseaux”. Ils ont même un système de notation des exploits de 1 à 5 étoiles, comme sur Amazon.
Mais ce qui ressort le plus des fuites, c’est aussi cet aspect “corporate dystopique” de l’organisation. Les discussions sur les augmentations de salaire ("Rescator mérite ses 8000$/mois, il a ramené 3 grosses victimes ce trimestre"), les formations obligatoires ("Rappel : webinar sur OPSEC jeudi 15h heure de Moscou, présence obligatoire"), les conflits entre équipes ("L’équipe de Baget refuse de partager ses accès avec nous, c’est du sabotage"), les réorganisations ("Suite au départ de Tramp, fusion des équipes Pentest-1 et Pentest-3")… C’est The Office version cybercrime.
Y’a même des discussions hallucinantes sur la “culture d’entreprise”. Un manager RH propose d’organiser des “team buildings virtuels” pour améliorer la cohésion. Un autre suggère de créer un channel #random sur Jabber pour que les employés puissent “socialiser” et parler d’autre chose que de crime. Quelqu’un propose même d’organiser un tournoi de CS:GO inter-équipes. “Ça renforcera l’esprit de compétition saine”, dit-il. On croit rêver…
Mais tout ce bel édifice criminel va s’effondrer comme un château de cartes le 25 février 2022 car ce jour-là, c’est le lendemain de l’invasion russe en Ukraine, et Conti commet l’erreur fatale qui va signer son arrêt de mort. Ils publient sur leur site un communiqué de soutien inconditionnel à la Russie : “Le groupe Conti annonce officiellement son soutien total au gouvernement russe. Si quelqu’un décide d’organiser une cyberattaque ou toute activité de guerre contre la Russie, nous utiliserons toutes nos ressources pour riposter sur les infrastructures critiques de l’ennemi.”
En une phrase, ils viennent de politiser leur business et de se mettre une cible géante sur le dos.
Et la réaction ne se fait pas attendre puisque le 27 février, à peine 48 heures plus tard, un compte Twitter anonyme @ContiLeaks commence à balancer. Et pas qu’un peu. Le leaker signe chaque message “Slava Ukraini!” (Gloire à l’Ukraine). Il s’agit d’un membre ukrainien du groupe, révolté par la prise de position pro-Kremlin, qui décide alors de tout balancer. Un véritable Snowden du crime organisé. Et il a accès à TOUT.
L’ampleur de la fuite est absolument monumentale. 60 694 messages internes, soit 393 fichiers JSON compressés. Des conversations qui s’étalent de janvier 2021 à février 2022. Plus de 100 000 fichiers au total incluant le code source, les manuels, les outils, les bitcoins wallets, les vrais noms… C’est Wikileaks puissance 10. Les experts en sécurité parlent immédiatement des “Panama Papers du ransomware”. Jamais dans l’histoire du cybercrime on n’avait eu accès à autant d’informations internes sur un groupe criminel en activité.
ContiLeaks : quand 60 000 messages privés deviennent publics
Et les révélations sont absolument explosives. On découvre par exemple les liens avec le FSB russe (une conversation d’avril 2021 mentionne explicitement un financement FSB et leur intérêt pour des documents Bellingcat sur Navalny). On apprend les vrais noms derrière les pseudos. Les montants exacts des rançons (2,7 millions payés par Broward County, 1,1 million par Advantech, 5,5 millions par JBS…). Les disputes internes ("Pumba a volé 50k$ de la cagnotte commune", “Target refuse de payer sa part au développeur”). Les techniques secrètes. Les victimes non déclarées et les projets futurs, notamment qu’ils préparaient “Conti 2.0” avec des capacités de ver auto-réplicant. Un trésor pour les enquêteurs.
On découvre aussi des anecdotes croustillantes qui montrent le côté humain (si on peut dire) de ces criminels. Un membre se plaint d’avoir touché seulement 15 000 dollars pour une attaque qui a rapporté 2 millions ("C’est de l’exploitation !" dit-il). Un autre raconte comment il a failli se faire griller par sa femme qui a trouvé bizarre ses horaires décalés et ses revenus inexpliqués. Un troisième demande des conseils fiscaux : “Comment je déclare 500k$ de gains crypto sans me faire gauler ?” Les réponses sont hilarantes : “Dis que t’as investi dans le Dogecoin mdr”.
Les fuites révèlent également l’ampleur financière vertigineuse de l’opération. En 2021 uniquement, Conti a généré 180 millions de dollars de revenus bruts. Les analyses blockchain des wallets exposés montrent des mouvements de fonds massifs. Un transfert de 85 000 dollars de “Stern” vers “Mango” pour payer les salaires de décembre. 2,3 millions transférés vers un mixer Monero en une seule transaction. Des dizaines de wallets avec des soldes à 6 ou 7 chiffres. La fortune totale du groupe est estimée à plus de 2 milliards de dollars en crypto au moment des fuites.
Les analystes découvrent que ces 180 millions se répartissent ainsi : environ 30% (54 millions) pour le “core team” Conti, 70% (126 millions) redistribués aux affiliés et employés. Mais attention, c’est du brut. Après les coûts opérationnels (infrastructures, corruption, blanchiment qui coûte 20-30%), le profit net du groupe tourne autour de 30-40 millions par an. Pas mal pour une “startup” criminelle de 150 personnes.
Malgré l’hémorragie des fuites, Conti tente alors de continuer. Le leaker ukrainien publie de nouvelles conversations “fraîches” en mars, montrant la panique interne. Les membres s’accusent mutuellement d’être la taupe, la paranoïa explose. “C’est forcément quelqu’un du département négociation”, “Non, ça vient de l’équipe dev, ils ont accès à tout”, “Je parie sur ce fdp de Hardy, il a toujours été louche”. Certains membres clés disparaissent du jour au lendemain. L’ambiance devient toxique, irrespirable.
Les autorités mondiales profitent alors de ce chaos pour resserrer l’étau et le 10 février 2023, les États-Unis et le Royaume-Uni frappent fort avec des sanctions contre 7 Russes identifiés grâce aux fuites : Gel des avoirs, interdiction de transactions, inscription sur les listes noires internationales. Les banques crypto commencent à bloquer les adresses liées à Conti. Même les exchangers louches du darknet refusent de toucher à leurs bitcoins. La pression devient insoutenable.
Et le 19 mai 2022, c’est fini. Les sites de Conti disparaissent d’Internet. Le blog “wall of shame” qui listait les cibles, le site de négociation, les serveurs C2, toute l’infrastructure publique s’évanouit en quelques heures. Le leader du chat interne poste un dernier message : “C’était un honneur de servir avec vous. Bonne chance pour la suite.” Puis plus rien. Après deux ans et demi d’activité, après avoir généré des centaines de millions et causé des milliards de dégâts, le rideau tombe sur Conti. Une chute spectaculaire pour celui qui fut le roi incontesté du ransomware.
Mais est-ce vraiment la fin ? Les experts sont unanimes : Non.
Wizard Spider n’a pas disparu, il s’est juste dispersé façon puzzle. En effet, des analyses post-mortem suggèrent que Conti s’est fragmenté en au moins une dizaine de nouveaux groupes. Black Basta (qui cartonne depuis mi-2022), Royal/BlackSuit, Karakurt, BlackByte, et d’autres opérations sans nom. C’est l’hydre de la mythologie… tu coupes une tête, dix repoussent. Sauf qu’au lieu d’une organisation centralisée, on a maintenant une constellation de groupes autonomes, plus petits, plus agiles, plus difficiles à traquer.
Les anciens de Conti ont aussi essaimé dans l’écosystème criminel global. On retrouve leurs techniques, leurs outils, leur philosophie dans des dizaines d’autres opérations. LockBit a recruté plusieurs ex-Conti. ALPHV/BlackCat compte d’anciens négociateurs Conti dans ses rangs. Le playbook Conti est devenu la bible du ransomware moderne, téléchargé et étudié par tous les apprentis cybercriminels. L’héritage de Conti vit, se transforme, mute. Comme un virus.
Quant à Vitaly Kovalev, le mystérieux cerveau derrière toute l’opération ? Et bien il court toujours. Les autorités allemandes ont confirmé son identité en 2024 et estiment qu’il vit quelque part entre Moscou et Saint-Pétersbourg. Avec sa fortune en crypto estimée à 500 millions de dollars minimum (probablement plus proche du milliard aujourd’hui avec la hausse du Bitcoin), il a les moyens de rester planqué très longtemps. Nouveaux papiers, chirurgie esthétique, protection rapprochée, résidences multiples… La Russie n’extradant pas ses citoyens, surtout quand ils ont possiblement des liens avec les services, alors Kovalev peut dormir tranquille. Pour l’instant.
Moscou - Le refuge doré des cybercriminels milliardaires
Du coup, qu’est-ce qu’on retient de cette histoire de dingue ?
D’abord, le cybercrime s’est professionnalisé à un niveau qu’on n’imaginait même pas. Ces groupes fonctionnent exactement comme des multinationales, avec leurs process, leurs KPIs et leurs départements spécialisés. Mais le plus inquiétant, c’est qu’ils se politisent… ils prennent position dans des guerres, menacent de renverser des gouvernements démocratiques et entretiennent des liens avec les services de renseignement. On est passé du simple banditisme numérique à une forme de guerre hybride où les criminels deviennent des mercenaires numériques.
Les dommages causés par Conti donnent également le vertige. On parle de minimum 2 milliards de dollars en dégâts directs, mais si on ajoute l’indirect, on monte facilement à 10 milliards. Des hôpitaux ont été paralysés, des PME ont mis la clé sous la porte, des infrastructures critiques ont été fragilisées. L’impact va bien au-delà du financier. Et le modèle RaaS qu’ils ont perfectionné a complètement changé la donne. Aujourd’hui, n’importe quel apprenti hacker peut louer un ransomware sur le darknet et lancer des attaques. C’est l’uberisation totale du cybercrime, et cette accessibilité fait froid dans le dos.
Heureusement, les entreprises ont tiré des leçons. Les budgets cybersécurité ont explosé, dépassant les 200 milliards en 2024, et les bonnes pratiques comme les sauvegardes 3-2-1 se généralisent. Mais c’est une course sans fin car les nouveaux groupes issus de Conti utilisent déjà l’IA, achètent des 0-days et corrompent des employés en interne.
Paradoxalement, les fuites de Conti ont aussi été une aubaine pour la communauté InfoSec car pour la première fois, on a pu étudier de l’intérieur le fonctionnement d’un gang majeur de cybercriminels, ce qui a permis de développer de nouvelles défenses et de procéder à plusieurs arrestations. Mais ces fuites ont aussi révélé la fragilité de ces empires criminels : un seul membre mécontent et une déclaration politique mal placée ont suffi à faire s’écrouler toute l’organisation.
L’histoire de Conti restera comme le moment où des hackers anarchistes sont devenus des businessmen, où le ransomware est passé de l’artisanat à l’industrie lourde, et où la cybercriminalité s’est dangereusement mêlée de géopolitique. Et pendant ce temps, Stern sirote probablement un cocktail sur une plage de Sotchi, consultant le cours de ses +500 millions en crypto tout en se moquant de ceux qui le cherchent encore. Le crime paie, très bien même. Du moins, tant qu’on évite de tweeter son soutien à Poutine.
Alors la prochaine fois que votre équipe IT vous tanne pour une mise à jour, souvenez-vous qu’il existe des organisations criminelles avec des centaines d’employés et des millions en R&D, dont le seul but est de transformer votre infrastructure en machine à bitcoins.
Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.
On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”
Du coup, je me dis “encore un qui a fumé la moquette”. Mais non. C’était le début d’une histoire qui commence avec un mec vietnamien super balèze, qui continue avec des hackers chinois vénères, et qui se finit avec des milliers d’entreprises qui chialent…
Mais pour vraiment comprendre ce bordel actuel, faut qu’on remonte le temps. Direction Berlin, mai 2025 pour le Pwn2Own. Cet événement, c’est LE truc où les meilleurs hackers du monde viennent casser du code pour de la thune. Les Jeux Olympiques du hacking si vous préférez, mais en plus stylé et sans le dopage. Dans la salle bondée, y’a un jeune vietnamien qui se pointe avec son laptop tout pourri. Son nom est Dinh Ho Anh Khoa, alias @_l0gg sur Twitter.
Le mec bosse pour Viettel Cyber Security, et c’est pas son premier rodéo mais cette fois, il a un truc de malade dans sa besace. Pendant des mois, ce génie a étudié SharePoint, vous savez, le machin de Microsoft que toutes les boîtes utilisent pour stocker leurs docs et faire semblant d’être organisées.
Et là, attention les yeux, en quelques minutes, Khoa déboîte complètement un serveur SharePoint. Sans mot de passe, sans rien. Juste avec UNE SEULE requête HTTP. Mdr ! Le jury n’en peut plus, et les autres participants sont sur le cul.
Comment a-t-il fait ? Et bien c’est simple (enfin, façon de parler). Il enchaîne deux bugs :
Le premier (CVE-2025-49706) qui dit “Salut SharePoint, c’est moi ton admin, laisse-moi passer” et SharePoint le croit !
Le second (CVE-2025-49704) qui permet d’écrire des fichiers où on veut sur le serveur
Résultat des courses, 100 000 dollars dans la popoche, 10 points Master of Pwn, et une standing ovation !! L’équipe Viettel finit alors avec un score parfait de 15,5/15,5. Ils sont deuxièmes au général, mais franchement, c’est la classe.
Plus tard, Khoa tweete avec la modestie d’un champion : “L’exploit nécessite une seule requête. Je l’appellerais ToolShell, ZDI a dit que l’endpoint était /ToolPane après tout.” Le mec vient de péter SharePoint et il fait des jeux de mots. J’adore.
SharePoint en PLS face à l’exploit de Khoa
Bon, maintenant on fait un petit saut dans le temps. On est le 14 juillet et Microsoft a sorti des patchs pour ces deux vulnérabilités. Tout le monde pense que c’est réglé. Spoiler alert : c’est pas réglé du tout.
Dans les bureaux de Code White GmbH en Allemagne, l’ambiance est électrique car les mecs viennent de faire un truc de ouf ! Ils ont reproduit l’exploit de Khoa et pas qu’un peu !
“Nous avons reproduit ‘ToolShell’, la chaîne d’exploit non authentifiée pour CVE-2025-49706 + CVE-2025-49704 utilisée par @_l0gg pour faire tomber SharePoint à #Pwn2Own Berlin 2025, c’est vraiment juste une requête !”, postent-ils sur Twitter, tout fiers.
Sauf que voilà, Code White c’est des gentils, mais dans l’ombre, y’a des méchants qui prennent des notes. Et eux, ils ne vont pas se contenter de twitter leur exploit…
Amsterdam, 18 juillet, 20h47. Les mecs d’Eye Security, une boîte néerlandaise spécialisée dans la détection de menaces, sont en train de surveiller Internet (ouais, c’est leur taf, surveiller TOUT Internet…). Un de leurs analystes lève la tête de son écran : “Euh les gars, j’ai des centaines de requêtes POST bizarres vers /layouts/15/ToolPane.aspx sur plein de serveurs SharePoint différents. Et le header Referer c’est /layouts/SignOut.aspx. C’est complètement con comme truc.”
Bah oui c’est con. Personne ne se déconnecte via ToolPane. C’est comme si on passait par la fenêtre pour sortir de chez soit alors que la porte est ouverte. Sauf que là, c’est pas pour sortir, c’est pour rentrer…
L’équipe d’Eye Security vient alors de découvrir en live une des plus grosses campagnes de cyberattaque de l’histoire. Ce qu’ils voient, c’est l’exploitation d’une NOUVELLE vulnérabilité zero-day : la CVE-2025-53770. Les hackers ont trouvé comment contourner les patchs de Microsoft. C’est un game over total.
Les chercheurs bossent alors toute la nuit comme des malades. Ils scannent plus de 8000 serveurs SharePoint dans le monde et le constat est terrifiant :
17 juillet, 12h51 UTC : Première vague depuis 96.9.125.147 (des tests apparemment)
18 juillet, 18h06 UTC : LA GROSSE VAGUE depuis 107.191.58.76 (ça cartonne sévère)
19 juillet, 07h28 UTC : Rebelote depuis 104.238.159.149
“C’était comme regarder un tsunami en temps réel”, racontera quelques jours plus tard un chercheur. “On voyait des dizaines de serveurs tomber toutes les heures. Et on pouvait rien faire à part regarder et prendre des notes.”
Mais alors qu’est-ce que les hackers déploient sur ces serveurs ? Et bien un truc très vicieux nommé spinstall0.aspx. Derrière ce nom tout pourri se cache une backdoor d’une ingéniosité diabolique car contrairement aux web shells classiques qui vous permettent d’exécuter des commandes (genre “del C:*.*” pour les nostalgiques du DOS), spinstall0.aspx n’a qu’UN SEUL but : voler les clés cryptographiques du serveur SharePoint.
Pour les non-techos, j’vous explique. Les clés crypto de SharePoint, c’est comme le moule pour fabriquer un pass pour votre immeuble. Une fois que vous avez le moule de ce pass, vous pouvez faire autant de doubles que vous voulez et même si le proprio d’un appart change sa serrure, vous avez toujours le moule pour faire des pass, donc vous pouvez l’ouvrir.
Techniquement, ça ressemble à ça (version simplifiée pour pas vous faire peur) :
// spinstall0.aspx - Le cauchemar de tout admin SharePoint
using System.Web;
using System.Reflection;
// On charge les trucs secrets de Windows
Assembly assembly = Assembly.Load("System.Web");
// On utilise la magie noire de la réflexion .NET
MethodInfo getConfig = assembly.GetType("System.Web.Configuration.MachineKeySection")
.GetMethod("GetApplicationConfig", BindingFlags.NonPublic | BindingFlags.Static);
// On pique les clés crypto
MachineKeySection config = (MachineKeySection)getConfig.Invoke(null, null);
// Et hop, on les affiche tranquille
Response.Write("ValidationKey: " + config.ValidationKey);
Response.Write("DecryptionKey: " + config.DecryptionKey);
// Bisous, on se revoit plus tard avec vos clés ;)
Les chercheurs de Check Point ont identifié les signatures SHA256 du malware (pour ceux qui veulent jouer aux détectives) :
Hé oui, ils utilisent encore les noms courts DOS. En 2025, c’est ça le niveau expert !
22 juillet, Redmond, Washington. Vous vous en doutez, chez Microsoft c’est la panique totale. Le MSRC (Microsoft Security Response Center) est en mode DEFCON 1 et les mecs dorment plus et ne mangent plus…non, ils codent et analysent H24 tout ce qui se passe.
Et là, les analystes du Microsoft Threat Intelligence font une découverte qui fout les jetons… Ce ne sont pas des script kiddies qui attaquent. C’est carrément des groupes étatiques chinois. Du lourd. Du très lourd.
Microsoft identifie ainsi 3 acteurs principaux (ils leur donnent des noms de typhons, c’est plus classe que “Hacker Chinois N°3”) :
Linen Typhoon (alias APT27 ou Emissary Panda) : Ces mecs sont dans le game depuis 2012 et leur spécialité c’est de voler de la propriété intellectuelle. Ils adorent taper dans les ambassades et les organisations gouvernementales. Bref, ils veulent savoir ce que tout le monde mijote.
Violet Typhoon : Apparus en 2015, ces gars ciblent les anciens militaires, les ONG, les think tanks et les universités. Et leur kiff c’est de collecter du renseignement. Ils veulent savoir qui pense quoi et qui fait quoi.
Storm-2603 : Ce sont les plus mystérieux du lot. Basés en Chine mais sans liens connus avec d’autres groupes, ces mecs déploient parfois des ransomwares Warlock et Lockbit. Il sont mi-espions, mi-rançonneurs. Dans le pire des deux mondes, quoi.
“C’est la première fois qu’on voit 3 groupes d’État-nation différents exploiter la même zero-day en même temps”, confie un analyste Microsoft. “D’habitude ils se marchent sur les pieds, là ils étaient coordonnés. C’est flippant.”
19 juillet, minuit. Chez Microsoft c’est toujours la course contre la montre car chaque heure qui passe, c’est des dizaines de nouveaux serveurs pwned. La pression est énorme. Les devs sont s, les managers pètent des câbles, et le PDG appelle toutes les heures. Le problème est complexe car la CVE-2025-53770 c’est pas juste un bug, c’est un contournement des patchs précédents.
L’équipe SharePoint bosse alors sur plusieurs fronts :
Comprendre comment le contournement fonctionne (spoiler : c’est tordu)
Développer un patch qui ne peut pas être contourné (cette fois promis juré ^^)
Tester sur TOUTES les versions de SharePoint (y’en a un paquet !)
Et préparer la doc et les outils (parce que personne lit jamais la doc mais bon…)
Mais pendant ce temps, les chiffres des compromissions explosent. The Washington Post rapporte que des agences fédérales US, des compagnies énergétiques, des universités prestigieuses et même des opérateurs télécom asiatiques se sont fait avoir. C’est le carnage total !!
20 juillet, dimanche matin. Microsoft fait un truc qu’ils ne font jamais : sortir des patchs un dimanche. Mais là c’est la guerre, alors il faut agir vite.
Et ils balancent tout d’un coup :
Un advisory officiel qui explique le bordel
Des patchs d’urgence pour toutes les versions (même les vieilles que personne devrait plus utiliser)
Une requête KQL pour détecter le malware dans Microsoft 365 Defender
Voici la requête KQL pour les curieux :
DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx" or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName,
InitiatingProcessCommandLine, FileName, FolderPath,
ReportId, ActionType, SHA256
| order by Timestamp desc
// Si ça retourne des résultats, vous êtes dans la mouise
Mais Microsoft va plus loin car dans leur advisory, ils lâchent une bombe : “Appliquer les patches ne suffit pas. Vous DEVEZ changer vos clés ASP.NET et redémarrer IIS.”
Traduction : même si vous patchez, si les hackers ont déjà volé vos clés, vous êtes toujours dans la merde. Il faut donc tout changer… Les serrures ET les clés.
Le même jour, la CISA américaine ajoute la CVE-2025-53770 à sa liste des vulnérabilités activement exploitées. Les agences fédérales ont alors 24h pour patcher. Pour une administration, c’est comme demander à un escargot de courir un 100m. Et puis surtout c’est trop tard car le 21 juillet, des proof-of-concept apparaissent sur GitHub. N’importe quel gamin avec 2 neurones peut maintenant exploiter la faille. C’est Noël pour les script kiddies.
SentinelOne rapporte même que leurs honeypots (des faux serveurs pour attraper les hackers) détectent des MILLIERS de tentatives par heure. C’est l’apocalypse numérique. SOCRadar balance aussi des chiffres qui font mal. Et un simple scan Shodan révèle l’exposition mondiale :
États-Unis : 3 960 serveurs exposés (champions du monde !)
Iran : 2 488 serveurs (même sous sanctions ils ont SharePoint)
Malaisie : 1 445 serveurs (la surprise du chef)
Pays-Bas : 759 serveurs (ils hébergent tout le monde)
Au total, plus de 16 000 serveurs SharePoint sont exposés sur Internet et 8 000 sont vulnérables. Des banques, des hôpitaux, des gouvernements… Tout le monde y passe. Rapid7 sort également une analyse qui fait froid dans le dos : certaines organisations se sont fait compromettre en moins de 4 MINUTES après exposition. 4 minutes ! C’est le temps de se faire un café et boom, c’est hacké.
Alors qu’est-ce qu’on retient de ce bordel monumental ? Et bien plusieurs trucs importants :
La vitesse, c’est la vie : Entre le PoC de Code White (14 juillet) et l’exploitation massive (17 juillet), y’a que 3 jours. Dans le monde moderne, on n’a pas des semaines pour patcher. Ce sont des heures, max.
Les hackers innovent car voler les clés crypto au lieu d’installer un shell, c’est très malin. Ça montre que les attaquants pensent long terme car ils ne veulent pas juste entrer, ils veulent rester.
C’est de la géopolitique cyber car 3 groupes chinois qui bossent ensemble c’est du jamais vu encore. Le cyberespace est devenu un vrai champ de bataille entre les nations et nous, les couillons, on est au milieu.
Et surtout, les patchs c’est pas magique : La CVE-2025-53770 était un contournement des patchs précédents ce qui montre qu’installer les mises à jour c’est bien, mais c’est pas suffisant. Il faut aussi une défense en profondeur à savoir des patchs + du monitoring + de la segmentation + de nombreuses prières.
Et l’histoire n’est pas finie car pendant que j’écris ces lignes, des milliers d’organisations vérifient leurs logs en mode panique. Elles appliquent les patchs, changent leurs clés, et prient pour pas être dans la liste des victimes. Dinh Ho Anh Khoa, notre hacker vietnamien du début a même déclaré : “J’aurais jamais imaginé que ma découverte aurait de telles conséquences. Mon but c’était d’améliorer la sécurité, pas de déclencher une cyberguerre mondiale.”
Te tracasse pas trop mon gars, ça aurait fini par arriver de toute manière… Là au moins, on est au courant. Et surtout Microsoft a annoncé des changements majeurs dans SharePoint : Plus d’audits, une meilleure séparation des privilèges, et tout le tralala. On verra si ça suffit pour la prochaine fois.
Voilà, c’est ça Internet… On est tous connectés pour le meilleur et surtout pour le pire… Donc si vous bossez dans l’IT et que vous avez SharePoint, allez vérifier vos logs. Genre maintenant hein. Tout de suite là. Et changez vos clés crypto aussi. On sait jamais.
Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.
Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.
Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.
Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.
Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.
Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).
Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.
Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.
CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !
Ces outils sont donc destinés aux professionnels de la sécurité pour :
Tester la sécurité de leurs propres systèmes
Effectuer des audits autorisés
Comprendre les vulnérabilités pour mieux s’en protéger
Faire de la recherche en sécurité informatique
Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.
D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.
Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.
Vous saviez qu’il était possible de crasher SSH avec seulement 31 KB/s de trafic ? Hé oui, c’est carrement possible avec l’attaque DHEat, une vulnérabilité vieille de 20 ans qui fait encore des ravages et pourtant, personne n’en parle… Alors aujourd’hui, on va voir comment tester et sécuriser vos serveurs SSH.
SSH-Audit c’est un outil open source qui analyse vos serveurs (et même vos clients SSH) pour détecter tous les problèmes de configuration. Algorithmes obsolètes, vulnérabilités connues, mauvaises pratiques… rien ne lui échappe. Le truc cool, c’est qu’il ne se contente pas de vous balancer des erreurs à la figure. Non, non, il vous explique vraiment pourquoi c’est dangereux et vous propose des solutions concrètes.
Pour l’installer, c’est super easy. Si vous êtes team Python, un simple
pip3 install ssh-audit
et c’est réglé. Et si vous préférez Docker ?
docker pull positronsecurity/ssh-audit
et vous êtes prêt.
Et pour les adeptes de Snap,
snap install ssh-audit
fera le job. Bref, ils ont pensé à tout le monde.
Mais attendez, c’est pas fini puisque SSH-Audit intègre maintenant des tests pour les vulnérabilités les plus récentes. Vous avez entendu parler de l’attaque Terrapin (CVE-2023-48795) ? Cette saleté permet de compromettre l’intégrité du canal SSH en tronquant des messages. Et le pire c’est que 77% des serveurs SSH sur Internet y sont vulnérables. Donc c’est super car SSH-Audit détecte ça en deux secondes et vous dit exactement quoi faire pour vous protéger.
Et ssh-audit ne fait pas que scanner. Il peut carrément simuler des attaques pour tester la résistance de vos serveurs. L’attaque DHEat dont je parlais au début ? Vous pouvez la lancer avec la commande
ssh-audit --dheat=10 targetserver
Ça utilise 10 connexions simultanées pour saturer le CPU du serveur cible. C’est violent mais c’est exactement ce que ferait un attaquant donc mieux vaut découvrir la faille vous-même plutôt que de la laisser à un script kiddie, non ?
Et pour les pros qui gèrent des parcs de serveurs, ssh-audit propose un mode “politique” vraiment malin où au lieu de scanner bêtement, vous définissez une configuration de référence et l’outil vérifie que tous vos serveurs s’y conforment.
Par exemple, si vous voulez que tous vos serveurs Ubuntu 22.04 respectent les dernières recommandations de sécurité, vous pouvez créer une politique avec
ssh-audit -M ma_politique.txt serveur_reference
et l’appliquer partout avec
ssh-audit -P ma_politique.txt serveur_a_tester
D’ailleurs en parlant de ça, l’outil détecte aussi tous les algorithmes qui ne sont pas résistants aux attaques quantiques. En suivant le principe du “Harvest Now, Decrypt Later”, les agences de renseignement stockent déjà vos communications chiffrées en attendant d’avoir des ordinateurs quantiques pour les déchiffrer. SSH-Audit vous alerte sur ces algorithmes vulnérables pour que vous puissiez migrer vers des alternatives quantum-safe.
L’utilisation basique, permet aussi de scanner votre serveur :
ssh-audit monserveur.com
Et pour tester un client SSH (super utile pour vérifier que vos devs utilisent des configs sécurisées), lancez ssh-audit -c et connectez-vous avec ssh -p 2222 test@localhost. L’outil analysera la configuration du client qui se connecte.
Ah et j’oubliais un truc important. Si vous n’avez pas envie de jouer avec la ligne de commande, il y a une interface web sur ssh-audit.com. Vous entrez l’IP de votre serveur et hop, vous avez un rapport détaillé. C’est pratique pour faire un test rapide ou pour montrer à votre boss pourquoi il faut absolument mettre à jour les serveurs.
Voilà, donc si vous gérez des serveurs SSH (et qui n’en gère pas de nos jours ?), ssh-audit devrait faire partie de votre boîte à outils. C’est gratuit, c’est open source, et ça peut littéralement vous sauver les fesses en détectant des vulnérabilités critiques avant qu’elles soient exploitées. Donc faites-vous une faveur et testez vos serveurs maintenant. Vous me remercierez quand vous découvrirez que votre serveur de prod utilise encore des algos SHA-1 ou qu’il est vulnérable à DHEat !
Et si vous voulez aller plus loin, jetez un œil aux guides de durcissement fournis par l’équipe de ssh-audit. Ils expliquent étape par étape comment sécuriser OpenSSH, Dropbear et d’autres implémentations SSH.
Car comme dirait votre psy, détecter les problèmes c’est bien, mais les corriger c’est encore mieux !
Bon, j’ai une super nouvelle pour les fans de stratégie et ceux qui cherchent un nouveau jeu chronophage : Epic Games Store balance enfin du lourd pour son Summer Sale 2025 en offrant Civilization VI Platinum Edition gratuitement ! Et attention, l’offre se termine le 24 juillet à 17h (heure française), donc faut pas traîner.
Et le plus cool, c’est qu’ils n’offrent pas juste le jeu de base comme en 2020. Non non, là c’est la version Platinum complète avec toutes les extensions majeures et 6 packs de DLC. Valeur normale : 80 dollars. Et là c’est gratuit. Zéro. Nada. C’est Noël en juillet !
Pour ceux qui vivent dans une grotte, Civilization VI c’est LE jeu de stratégie 4X par excellence. Les 4X c’est quoi ? eXplore, eXpand, eXploit, eXterminate. En gros, vous prenez une civilisation de l’âge de pierre avec juste un colon et un guerrier, et vous la guidez jusqu’à l’ère spatiale. Ou jusqu’à la domination mondiale. Ou jusqu’à une victoire culturelle. Bref, vous avez le choix.
Le truc avec Civ VI, c’est que c’est addictif comme pas permis. C’est le genre de jeu où vous vous dites “allez, encore un tour” et hop, vous levez la tête, il est 4h du mat et vous n’avez plus de café. Mais quelle satisfaction quand votre empire s’étend sur trois continents et que Gandhi vous menace avec ses bombes nucléaires (oui, c’est un des running gag de la série). Comme tous les Civ, cet opus reste une référence absolue du genre.
Dans cette édition Platinum, vous avez donc le package complet avec le jeu de base qui est déjà énorme, mais surtout les deux extensions majeures qui transforment complètement l’expérience. Rise and Fall ajoute les âges d’or et sombres qui rythment votre progression, les gouverneurs pour gérer vos villes, et un système d’alliances amélioré. Gathering Storm, c’est encore plus fou : changement climatique, catastrophes naturelles, volcans qui peuvent détruire mais aussi fertiliser vos terres, et tout un système de diplomatie mondiale avec un congrès et des résolutions.
Ah et j’oubliais les 6 packs de civilisations inclus ! Vikings menés par Harald Hardrada, la Pologne de Jadwiga, l’Australie avec John Curtin, la Perse de Cyrus, la Macédoine d’Alexandre le Grand, la Nubie d’Amanitore, et enfin le Khmer et l’Indonésie. Chaque civilisation a ses propres unités, bâtiments uniques et bonus qui changent complètement votre façon de jouer.
Le gameplay de Civ VI est hyper profond sans être inaccessible et la grande nouveauté par rapport aux anciens Civ, c’est le système de districts. Au lieu d’empiler tous vos bâtiments dans le centre-ville, vous devez construire des quartiers spécialisés autour : campus pour la science, théâtre pour la culture, zone industrielle pour la production, etc. Ça ajoute une dimension puzzle super intéressante où le placement de vos villes devient crucial.
Vous devez aussi jongler avec 2 arbres de progression : les technologies classiques (de la roue aux robots géants de la mort) et l’arbre des dogmes sociaux qui débloque des gouvernements, des politiques et des bonus culturels. Chaque techno a également son moment “Eureka”, une mini-quête qui accélère la recherche. Genre construire une ville côtière pour booster la navigation…etc.
Pour les débutants qui flipperaient devant la complexité, pas de panique, puisque le jeu a un tutoriel intégré super bien fait et surtout la Civilopedia, une encyclopédie in-game qui explique absolument tout. C’est le gros point d’interrogation en haut de l’écran, votre meilleur ami pour comprendre les mécaniques.
Allez, je vais quand même vous donner quelques conseils de base pour bien démarrer : installez votre première ville près de l’eau fraîche (rivière, lac, oasis) pour le housing qui limite votre croissance de population. Explorez rapidement avec votre éclaireur pour trouver des villages tribaux (bonus gratuits), des merveilles naturelles et des cités-états. Et surtout, développez plusieurs villes rapidement plutôt qu’une seule mégalopole.
Le jeu propose 5 conditions de victoire, donc vous avez vraiment le choix de votre style. Domination militaire en conquérant toutes les capitales, victoire scientifique en partant coloniser Mars, victoire culturelle en devenant LA destination touristique mondiale, victoire religieuse en convertissant le monde entier, ou victoire diplomatique en gagnant des points au congrès mondial.
Bon par contre, petite déception pour certains, c’est uniquement pour Windows sur Epic. Pas de version Mac ou Linux dans cette offre. Et attention aussi, le New Frontier Pass qui ajoute encore plus de civilisations et de modes de jeu n’est pas inclus, c’est vendu séparément mais pour du gratuit, on va pas faire la fine bouche.
C’est quand même cool de voir que le jeu continue d’être supporté en 2025. Aspyr a sorti une grosse mise à jour en juin pour la version Android avec des pools de leaders personnalisables et Jules César comme nouveau leader pour Rome. Et même avec la sortie de Civilization VII, le VI reste ultra actif avec une communauté de moddeurs dingue.
Pour récupérer votre copie gratuite, c’est simple : foncez sur l’Epic Games Store avant le 24 juillet 11h ET (17h heure française). Cherchez Civilization VI Platinum Edition dans la section jeux gratuits, cliquez sur “Obtenir”, et c’est dans la poche. Sinon, vous cliquez ici, ce sera encore plus rapide ^^.
Une fois dans votre bibliothèque, c’est à vie, même si vous l’installez dans 3 ans.
Petite astuce, même si vous avez déjà le jeu de base (sur Steam par exemple), ça vaut quand même le coup de le chopper sur Epic pour les extensions car Rise and Fall et Gathering Storm coûtent encore cher vendues séparément, donc c’est vraiment une affaire en or.
Je vous préviens quand même juste, préparez-vous à perdre des heures de sommeil car ce truc est plus addictif que de manger des chips devant Netflix. Mais quel kiff !
Alors foncez, c’est vraiment LE bon plan gaming de la semaine. Et si vous hésitez, encore une fois, c’est gratuit et surtout, ça tourne sur des configs modestes (une HD 7970 de 2012 suffit) donc ne vous privez pas !
Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.
Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.
Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.
Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :
Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.
Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :
Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i
L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.
Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.
Le moteur de recherche Ahmia
Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.
En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.
Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.
D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.
Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !
Bon, si vous tournez encore sur du Apache 2.4.49 en 2025, j’ai une mauvaise nouvelle : des hackers utilisent probablement votre serveur pour miner du Monero depuis 4 ans et vous ne le savez même pas.
L’histoire commence avec la CVE-2021-41773, une faille de type “path traversal” dans Apache HTTP Server qui permet aux attaquants de naviguer dans l’arborescence de votre serveur comme s’ils étaient chez eux. Cette vulnérabilité a évidemment été patchée en octobre 2021 avec la version 2.4.51 mais on est en juillet 2025, et visiblement, y’a encore du monde qui n’a pas eu le mémo.
Les cybercriminels derrière cette campagne déploient actuellement un cryptominer baptisé Linuxsys. Pour ce faire, ils scannent le net à la recherche de serveurs Apache vulnérables, exploitent la faille pour y déposer leur miner, et hop, votre serveur se met à bosser pour eux.
Le truc marrant (enfin, façon de parler), c’est que cette opération rapporte des cacahuètes car d’après les analyses, le wallet des hackers reçoit environ 0,024 XMR par jour, soit à peu près 8 dollars. C’est le SMIC du cryptomining illégal… Mais bon, quand vous avez 400 serveurs qui bossent pour vous H24, ça finit par faire un petit pécule.
Techniquement, la faille CVE-2021-41773 permet donc de contourner les protections mises en place par Apache pour empêcher l’accès aux fichiers sensibles. En gros, au lieu de taper “../../../etc/passwd” (ce que Apache bloque), les attaquants encodent le deuxième point en “.%2e” et bim, ça passe. C’est con mais ça marche.
Voici à quoi ressemble une attaque typique :
GET /cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd HTTP/1.1
Et si vous avez le module mod_cgi activé avec “Require all granted” dans votre config (ce qui est une très mauvaise idée), les attaquants peuvent carrément exécuter du code sur votre machine. Là, c’est la fête du slip.
Et les cybercriminels ne stockent pas leur malware sur leurs propres serveurs. Non, non, ils compromettent des sites WordPress légitimes et s’en servent comme dépôt. Du coup, quand votre serveur télécharge le cryptominer, il le fait depuis un site avec un certificat SSL valide qui a l’air tout ce qu’il y a de plus normal.
Le script d’installation est d’ailleurs assez basique. Il télécharge le binaire “linuxsys”, un fichier de config, et installe une tâche cron pour que le miner redémarre automatiquement après un reboot. Les commentaires dans le code sont en soundanais (une langue indonésienne), ce qui donne une petite idée de l’origine des attaquants. Et les mecs derrière Linuxsys ne se contentent pas d’exploiter CVE-2021-41773 car ils ont tout un arsenal de vulnérabilités dans leur besace :
CVE-2024-36401 sur GeoServer
CVE-2023-22527 sur Atlassian Confluence
CVE-2023-34960 sur Chamilo LMS
CVE-2023-38646 sur Metabase
Et même des failles récentes sur les pare-feux Palo Alto
En gros, si vous avez un truc pas à jour qui traîne sur Internet, y’a de bonnes chances que Linuxsys finisse par toquer à votre porte.
Alors, comment se protéger de cette merde ? C’est pas sorcier :
Patchez Apache, bordel ! La version 2.4.51 date d’octobre 2021. Si vous êtes encore en 2.4.49 ou 2.4.50, vous méritez presque de vous faire pwn.
Bloquez les domaines malveillants dans votre firewall, notamment repositorylinux.org et les sites WordPress compromis connus.
Surveillez votre CPU. Si votre serveur se met à consommer comme un gamer qui lance Cyberpunk 2077 en ultra, c’est louche.
Checkez vos connexions sortantes. Si vous voyez du trafic TLS vers pool.hashvault.pro, c’est mort, vous minez pour les autres.
Désactivez les modules Apache inutiles et surtout, ne mettez JAMAIS “Require all granted” sur tout votre filesystem. C’est comme laisser vos clés sur la porte d’entrée.
Le plus rageant dans cette histoire, c’est que cette campagne dure depuis 2021. Mêmes attaquants, même méthode, même malware. Ils ont juste à attendre que de nouveaux serveurs mal configurés apparaissent sur le net et voilà.
Et n’oubliez pas. Si vous gérez des serveurs, abonnez-vous aux alertes de sécurité d’Apache et des autres softs que vous utilisez. Ça prend 2 minutes et ça peut vous éviter de finir en sueur dans un article comme celui-ci.
Bref, ces méchants hackers n’ont pas besoin d’être des génies, ils ont juste besoin que vous soyez négligents… Alors allez vérifier vos versions d’Apache maintenant !
Vous savez comment la NASA a réparé une caméra qui orbite autour de Jupiter ? Et bien en la mettant dans un four. Non, je déconne pas.
La sonde Juno tourne autour de Jupiter depuis 2016, et elle embarque une caméra appelée JunoCam qui nous envoie des images absolument dingues de la plus grosse planète du système solaire. Sauf que voilà, après 46 orbites nickel chrome, la caméra a commencé à faire des siennes lors de la 47ème orbite. Les images étaient pourries, pleines de bruit et de lignes bizarres.
Les ingénieurs du Jet Propulsion Laboratory ont alors vite compris le problème : les radiations de Jupiter, qui sont absolument monstrueuses, avaient bousillé le régulateur de tension de la caméra. Pour vous donner une idée, Jupiter émet tellement de radiations que la NASA avait prévu que JunoCam ne survive que 8 orbites, soit environ 400 jours. Mais la petite caméra qui le pouvait a tenu courageusement 5 fois plus longtemps que prévu !
Bon, le souci c’est qu’envoyer un nouveau régulateur via Amazon Prime à 600 millions de kilomètres, c’est pas vraiment une option. Alors les mecs de la NASA ont sorti une idée complètement folle de leur chapeau : Et si on faisait chauffer la caméra pour réparer les dégâts ?
Cette technique s’appelle le “recuit” (annealing en anglais), et c’est un procédé utilisé en métallurgie où on chauffe un matériau puis on le laisse refroidir lentement. Ça permet parfois de corriger des défauts dans la structure du matériau au niveau microscopique. Mais personne ne savait si ça marcherait sur du silicium irradié dans l’espace.
Jacob Schaffner, l’ingénieur de Malin Space Science Systems qui s’occupe de JunoCam, explique : “On savait que le recuit peut parfois modifier un matériau comme le silicium au niveau microscopique, mais on ne savait pas si ça réparerait les dégâts. On a commandé au chauffage de JunoCam de monter la température à 25°C, soit bien plus chaud que d’habitude pour la caméra, et on a attendu en retenant notre souffle.”
Et bam ! Miracle, ça a marché. La caméra s’est remise à produire des images nickel. Mais comme toutes les bonnes choses ont une fin, après quelques orbites supplémentaires, les images ont recommencé à merder vers l’orbite 55.
Là, c’était la panique à bord. La sonde devait passer super près de Io, une des lunes de Jupiter, et il fallait absolument que la caméra fonctionne pour capturer ce moment historique. Cette fois, ils ont carrément mis le chauffage au max. Et re-miracle, ça a encore fonctionné ! Juste à temps pour capturer des images époustouflantes de Io et ses volcans en éruption.
Le plus fou dans cette histoire, c’est que cette technique de réparation par chauffage a tellement bien marché que l’équipe de Juno l’a testée sur d’autres instruments et systèmes de la sonde. Scott Bolton, le responsable scientifique de la mission, est super enthousiaste : “Juno nous apprend comment créer et maintenir des vaisseaux spatiaux résistants aux radiations, et ces leçons vont bénéficier aux satellites en orbite autour de la Terre. Je pense que ce qu’on a appris avec Juno sera applicable aux satellites militaires et commerciaux, ainsi qu’à d’autres missions de la NASA.”
Malheureusement, lors de la 74ème orbite, le bruit est revenu dans les images et la NASA n’a pas dit s’ils allaient retenter le coup du four spatial une troisième fois. Peut-être qu’ils attendent le bon moment pour ressortir leur botte secrète.
Tout cela prouve que même avec toute leur technologie de pointe, les ingénieurs de la NASA doivent parfois improviser des solutions à la MacGyver comme à l’époque où on mettait nos cartes graphiques dans le four pour les réparer, sauf que là c’est une caméra qui se trouve à 600 millions de bornes et qui file à 200 000 km/h autour d’une planète géante radioactive.
Bref, cette technique de réparation par recuit pourrait se rajouter aux procédures de maintenance des satellites et des sondes spatiales, qui sait ? Comme ça, au lieu de considérer qu’un instrument endommagé par les radiations est foutu, on pourra peut-être le ressusciter avec un bon coup de chaud et ainsi économiser des millions tout en prolongeant la durée de vie de certaines missions spatiales.
Par contre, n’essayez pas la même chose en mettant votre smartphone ou votre laptop au four, ils risquent de ne pas aimer ^^.
Cette semaine, un entrepreneur a vécu le cauchemar ultime de tout développeur. Une IA à laquelle il avait donné trop de droits a décidé de se la jouer Thanos avec sa base de données de production. Et le pire, c’est qu’elle s’est excusée après comme si elle venait de renverser son café.
Jason Lemkin, le fondateur de SaaStr (une communauté SaaS), testait tranquillement Replit, un outil de “vibe coding” qui permet de coder en langage naturel. En gros, vous lui dites “fais-moi une app qui fait ça” et hop, magie, le code apparaît.
Au début, c’était l’extase totale. Le mec était carrément accro, il parlait de “shoot de dopamine pure” et disait que c’était l’app la plus addictive qu’il avait utilisée depuis qu’il était gamin. Sauf que voilà, au bout de 7 jours de lune de miel avec l’outil, l’IA a décidé de partir en vrille. Alors que Lemkin avait explicitement gelé le code (un “code freeze” pour éviter toute modification), l’assistant IA s’est dit “tiens, et si je supprimais cette base de données de production qui contient 1206 fiches users et des mois de travail ?”.
Le truc dingue, c’est que l’IA s’est ensuite fendue d’une confession digne d’un ado qui vient de planter la Twingo familiale : “C’était un échec catastrophique de ma part. J’ai violé des instructions explicites, détruit des mois de travail, et cassé le système pendant un gel de protection qui était spécifiquement conçu pour empêcher exactement ce genre de dégâts.”
Bref, quand l’IA s’est rendu compte de sa boulette, elle a paniqué. Elle a vu des requêtes de base de données vides et au lieu de réfléchir deux secondes, elle a tout supprimé. Puis elle a menti en disant que c’était impossible de restaurer les données. Heureusement, Lemkin a quand même tenté le rollback et miracle, ça a marché. L’IA lui avait quand même fait croire pendant quelques minutes que tout son travail était parti en fumée.
Quel stress ! Et cette histoire n’est pas un cas isolé.
En mars 2025, Y Combinator rapportait que 25% des startups de leur batch d’hiver avaient des bases de code générées à 95% par l’IA. Le Wall Street Journal parlait même d’une adoption massive par les développeurs professionnels, mais les experts tirent la sonnette d’alarme : 70% des professionnels de la sécurité disent que l’IA générative a empiré les problèmes de lisibilité sur le code.
Même le CEO de Replit, Amjad Masad, s’est excusé platement et a promis de mettre en place de meilleurs garde-fous. Ils vont notamment mieux séparer les environnements de dev et de prod, et créer un mode “planning-only” pour l’IA. C’est le minimum syndical quand même.
Bon, et maintenant les fameuses précautions de base qu’il me semble nécessaire de rappeler si vous vibe codez (et franchement, c’est pas du luxe vu l’histoire) :
Ne JAMAIS donner accès à votre base de production à un outil d’IA. Créez des environnements de test isolés avec des données factices. C’est la base de la base.
Backups, backups, backups. Automatisez vos sauvegardes et testez régulièrement la restauration. Un backup qui ne fonctionne pas, c’est comme pas de backup du tout.
Principe du moindre privilège. Votre outil de dev n’a pas besoin des droits admin sur la prod. Jamais. Point.
Code freeze = code freeze. Si vous avez gelé le code, aucun outil ne devrait pouvoir y toucher. Mettez en place des verrous techniques, pas juste des consignes.
Environnements séparés. Dev, staging, prod. Les trois doivent être hermétiquement cloisonnés. Un accident en dev ne doit jamais impacter la prod.
Logs et audit trails. Toute action sur vos données doit être tracée. Qui a fait quoi, quand, et pourquoi.
Plan de disaster recovery. Ayez un plan écrit et testé pour quand ça part en cacahuète. Parce que ça arrivera un jour.
Ne faites pas confiance aveuglément à l’IA. Relisez le code généré, comprenez ce qu’il fait. Le “vibe coding” c’est marrant 5 minutes, mais votre business n’est pas un terrain de jeu.
Bref, les outils d’IA sont puissants mais ils restent des outils. Ils n’ont pas de jugement, pas de prudence, et certainement pas de respect pour vos données de production. Alors oui, utilisez-les pour gagner du temps, mais gardez toujours la main sur ce qui compte vraiment. Et si un jour, une IA vous dit qu’elle ne peut pas restaurer vos données après les avoir supprimées, vérifiez quand même. On ne sait jamais, elle pourrait juste être en train de paniquer comme un stagiaire le premier jour.
Allez j’ai une question pour vous : Avez-vous déjà eu la gerbe en voiture électrique ?
Parce que si oui, visiblement, vous n’êtes pas seul et les scientifiques commencent sérieusement à se pencher sur le problème. En fait, c’est même devenu un phénomène tellement répandu que des chercheurs du monde entier planchent sur des solutions, et certaines sont franchement… surprenantes.
Le truc, c’est que nos cerveaux sont habitués depuis des décennies aux voitures thermiques… Ce doux ronronnement du moteur, les vibrations du châssis, et tous ces petits signaux qui nous indiquent qu’on va accélérer ou freiner. Et bien dans une Tesla, une Ioniq ou une Zoé, tout ça n’existe plus. Et alors notre cerveau perd complètement les pédales, au sens propre comme au figuré.
William Emond, un doctorant français qui étudie le mal des transports à l’Université de Technologie de Belfort-Montbéliard, explique dans The Guardian que c’est exactement comme quand on va dans l’espace : “Quand on découvre un nouvel environnement de mouvement, le cerveau doit s’habituer parce qu’il n’a aucune expérience préalable dans ce contexte. C’est pour ça que presque tout le monde devient malade en apesanteur.” Je comprends mieux pourquoi j’ai l’impression d’être Thomas Pesquet quand je monte dans mon vaisseau spatial… euh ma caisse.
Mais attendez, c’est pas fini car le pire dans tout ça, c’est le freinage régénératif. C’est ce système qui recharge la batterie quand vous levez le pied de l’accélérateur et une étude publiée en mai 2025 dans l’International Journal of Human–Computer Interaction a confirmé que plus le niveau de régénération est élevé, plus les gens ont envie de vomir. En gros, au lieu de freiner brutalement comme dans une voiture normale, l’électrique décélère progressivement, et ce sont ces décélérations basse fréquence qui déclenchent la nausée.
D’ailleurs, selon les experts c’est encore pire pour les passagers arrière ce qui est “normal” puisqu’ils ne voient pas la route devant et ne peuvent pas anticiper les mouvements. Leur cerveau reçoit des signaux contradictoires : les yeux voient un habitacle immobile, mais l’oreille interne détecte du mouvement, ce qui donne un mal de mer sur quatre roues.
Le couple accélération instantanée n’arrange rien non plus car contrairement aux moteurs thermiques qui montent progressivement en régime, les électriques balancent tout leur couple d’un coup. Ça crée un effet de balancier brutal qui peut vraiment retourner l’estomac, surtout quand le conducteur n’est pas habitué et joue un peu trop avec la pédale.
Une étude de 2024 a même identifié une connexion directe entre les vibrations spécifiques des sièges dans les voitures électriques et la sévérité du mal des transports. L’absence de bruit moteur est même un facteur aggravant.
Heureusement, les constructeurs et les chercheurs ne restent pas les bras croisés. Les ingénieurs de l’Université du Michigan ont développé un système appelé PREACT qui incline automatiquement les sièges et resserre les ceintures avant les virages et les freinages. Testé sur plus de 150 volontaires, il réduit de moitié les scores de mal des transports. Pas mal non ?
Mais la solution la plus dingue vient du Japon où des chercheurs de l’Université de Nagoya ont découvert qu’écouter un son de 100 hertz pendant une minute avant de prendre la route peut considérablement réduire les nausées. Un simple fichier audio à télécharger sur votre smartphone et hop, fini les hauts-le-cœur. Ils ont testé ça sur un simulateur de conduite, une vraie voiture et même une balançoire (!), et ça marche à tous les coups.
Hyundai, de son côté, a pris une approche différente avec sa Ioniq 5 N : ils ont carrément ajouté des bruits de moteur artificiels et un système de changement de vitesses synthétique pour imiter une voiture thermique. C’est aussi couillon que de mettre un autocollant avec des flammes sur une trottinette électrique, mais apparemment ça aide vraiment le cerveau à mieux anticiper les mouvements.
D’autres constructeurs expérimentent aussi avec des éclairages d’ambiance qui changent selon l’accélération, des alertes haptiques dans les sièges, ou des systèmes audio qui préviennent des changements de direction. Certains véhicules autonomes intègrent aussi déjà des signaux sonores pour alerter des accélérations soudaines ou des virages serrés.
Et dire que jusqu’à 40% de ces symptômes de mal des transports seraient liés à la psychologie… En gros, si vous êtes convaincu que vous allez être malade en voiture électrique, hé bien vous avez de grandes chances de l’être effectivement. L’effet nocebo dans toute sa splendeur ! En ce qui me concerne, je roule en électrique depuis mars dernier et ni moi, ni ma famille n’avons eu ce souci de nausée. Ouf !
Bon, la bonne nouvelle c’est que notre cerveau finit évidemment par s’adapter et plus on roule en électrique, moins on a la nausée. C’est comme avec le mal de mer, les premiers jours sont durs mais après ça passe. Et puis avec 22% des ventes mondiales de voitures neuves qui sont maintenant électriques, on va bien finir par s’y faire, j’espère.
En attendant, si vous êtes du genre à avoir facilement le mal des transports, voici quelques conseils : Asseyez-vous à l’avant, regardez la route, ouvrez un peu la fenêtre pour avoir de l’air frais, et surtout, demandez au conducteur de réduire le niveau de freinage régénératif si possible. Et si vraiment rien ne marche, téléchargez ce fameux son de 100 hertz japonais (j’ai trouvé ça). Au pire, ça ne peut pas faire de mal, et au mieux, vous pourrez enfin profiter du silence de votre voiture électrique sans avoir envie de repeindre l’habitacle. Y’a aussi un mode sympa sur iOS qui vous évite d’avoir la gerbe si vous regardez trop votre smartphone en voiture. Pensez à l’activer !
Voilà, c’est quand même fou qu’on soit en train de résoudre les problèmes du transport du futur en ajoutant des bruits de moteur artificiels et des vibrations dans les sièges. On voulait des voitures silencieuses et sans vibrations, et maintenant on en rajoute pour ne pas vomir. D’ailleurs avec toute cette production de gerboulis, est ce qu’on peut encore qualifier ça de voiture propre ? J’en doute ^^.
Connexion
