Google vient de sortir un truc super sympa hier et personne n’en parle encore, alors je me mets au boulot. Cela s’appelle Gemini Storybooks, et ça va faire mal aux concurrents qui facturent 20 balles par mois pour faire la même chose. En gros, vous balancez une idée, quelques photos de vos vacances ou même les gribouillis de votre gosse, et paf, l’IA vous pond un livre illustré de 10 pages avec narration audio en moins de 2 minutes chrono.
Le truc vraiment cool avec ce nouveau joujou de Google, c’est qu’ils ont pensé à tout. Vous pouvez choisir parmi 8 styles d’illustration différents, du pixel art façon rétro gaming au style comics Marvel, en passant par de la pâte à modeler animée ou même du crochet. Et surtout c’est gratuit. Totalement gratuit.
Pour l’utiliser, vous ouvrez Gemini sur votre ordi ou votre téléphone, vous décrivez votre histoire en quelques phrases du genre “Crée-moi une histoire où mon fils combat des pirates de l’espace avec son doudou rhinocéros appelé Bayrou” et l’IA se met au boulot. L’interface se divise en deux colonnes façon Canvas, avec le chat à gauche et votre livre qui se construit page par page à droite.
Ce qui est cool c’est la possibilité d’uploader vos propres images pour personnaliser l’histoire. Comme ça, vous prenez les photos de vos dernières vacances en Bretagne, vous les balancez dans Gemini avec un prompt du style “Transforme nos vacances en quête épique pour trouver le trésor perdu de Merlin”, et hop, vous avez un livre unique que vos enfants vont adorer.
Côté technique, Google a mis le paquet puisqu’ils utilisent trois IA différentes qui bossent ensemble : Gemini pour générer le texte de l’histoire, probablement Veo 2 (leur nouveau modèle vidéo) pour créer les illustrations, et Gemini 2.5 Pro TTS pour la narration vocale. D’ailleurs pour la voix, vous pouvez choisir entre une voix grave façon Morgan Freeman ou plus aiguë style conte de fées. Le tout fonctionne dans plus de 45 langues, même si la narration audio n’est pas encore dispo partout. Les français peuvent dormir tranquilles, on a droit à la totale. Par contre, je trouve la voix un poil trop rapide à la lecture, c’est dommage…
Google débarque donc comme un éléphant dans un magasin de porcelaine sur ce marché. Des startups comme CreateBookAI ou Scarlett Panda se sont battues pendant des mois pour construire leur business model autour de la génération de livres pour enfants, et là Google arrive et dit “Tiens, c’est gratuit maintenant”. C’est violent et ça me rappelle la façon de faire d’Apple.
Mais pour les parents geeks qui galèrent à trouver des histoires du soir originales, c’est une vraie révolution. Plus besoin de relire pour la 150ème fois “Tchoupi va sur le pot” (même si c’est un classique indémodable). Vous pouvez créer une histoire sur mesure qui explique pourquoi il faut se brosser les dents en mettant en scène les animaux préférés de votre enfant. Ou expliquer le système solaire avec une aventure de son grand-père dans l’espace. Les possibilités sont infinies.
Les premiers retours parlent de quelques bugs visuels assez marrants, des personnages avec des membres en trop, des perspectives un peu wtf, ou des cohérences douteuses entre les pages. Mais honnêtement, ça fait partie du charme. Et puis Google va sûrement améliorer ça dans les prochaines semaines. Comme vous le savez, ils ont l’habitude de sortir des trucs en beta et de les peaufiner au fur et à mesure.
La vraie question maintenant, c’est de savoir ce que ça va donner pour l’industrie du livre jeunesse. Est-ce que les éditeurs traditionnels vont flipper ? Probablement. Est-ce que ça va tuer la créativité humaine ? Je n’y crois pas un seul instant. Pour moi c’est plutôt un outil de plus dans la boîte à outils des parents créatifs. Et puis entre nous, si ça peut éviter à certains parents de devoir inventer des histoires pourries à 22h quand ils sont crevés, c’est déjà une victoire.
Si vous voulez tester, c’est super simple. Allez sur gemini.google.com, connectez-vous avec votre compte Google, et cherchez l’option Storybook. Vous pourrez alors créer autant de livres que vous voulez, les partager via un lien public, les imprimer directement depuis votre navigateur, ou juste les écouter en mode podcast pendant que junior s’endort.
Ah et petit conseil d’ami, évitez de demander des histoires avec des célébrités ou des personnages sous copyright car l’IA refuse gentiment mais vous propose de créer des “personnages inspirés” à la place. “Henry Potier, l’apprenti boulanger magique”, c’est même mieux que le vrai Harry Potter je trouve.
Des chercheurs de l’Université du Zhejiang en Chine viennent de sortir un truc de malade. Ils ont construit Darwin Monkey, un ordinateur neuromorphique qui simule littéralement le cerveau d’un macaque. Et quand je dis simuler, je veux dire que le truc embarque quand même 2 milliards de neurones artificiels et plus de 100 milliards de synapses. C’est donc officiellement le plus grand ordinateur neuromorphique au monde !
Et ce qui est fou avec Darwin Monkey, c’est qu’il ne fonctionne pas comme un ordinateur classique puisqu’au lieu d’utiliser des valeurs continues comme les réseaux de neurones artificiels traditionnels, il utilise des réseaux de neurones à impulsions (SNN pour les intimes). En gros, ça envoie des impulsions électriques discrètes pour traiter et transmettre les données, exactement comme le font les vrais neurones dans votre cerveau. C’est donc beaucoup plus proche de la biologie et potentiellement bien plus économe en énergie.
Le système est équipé de 960 puces Darwin 3, c’est à dire des processeurs neuromorphiques de troisième génération développés début 2023 par le laboratoire et chaque puce peut gérer plus de 2,35 millions de neurones à impulsions et des centaines de millions de synapses. Le tout est organisé en 15 serveurs neuromorphiques en forme de lame. Et tout ça ne consomme que 2000 watts en fonctionnement normal. A titre de comparaison, votre grille-pain consomme à peu près la même chose !
Mais là où ça devient encore plus intéressant c’est que Darwin Monkey peut faire tourner le modèle DeepSeek, l’IA chinoise dont tout le monde parle en ce moment. Ça lui permet ainsi de faire du raisonnement logique, de générer du contenu et même de résoudre des problèmes mathématiques. C’est donc le premier ordinateur neuromorphique au monde qui combine des capacités de réflexion avancées avec la vision, l’audition, le langage et l’apprentissage. En fait, c’est comme si on avait mis un cerveau de singe dans une boîte et qu’on lui avait appris à coder.
Pour mettre ça en perspective, Intel a sorti son Hala Point en avril 2024 avec 1,15 milliard de neurones soit l’équivalent d’un cerveau de chouette. Darwin Monkey, lui, c’est presque le double. Et Sandia National Laboratory utilise déjà Hala Point pour de la recherche avancée allant du commercial à la défense en passant par la science fondamentale. Imaginez tout ce que les Chinois vont pouvoir faire avec leur bête de course.
Les chercheurs peuvent simuler également d’autres cerveaux entiers d’animaux, des vers Caenorhabditis elegans aux poissons-zèbres, en passant par les souris. Pour les neuroscientifiques, c’est donc une révolution car ils peuvent explorer les mécanismes du cerveau sans avoir besoin de faire autant d’expériences sur de vrais animaux. C’est donc à la fois plus éthique et plus pratique.
La Darwin Mouse en 2020 simulait “seulement” 120 millions de neurones et en cinq ans, ils ont multiplié le nombre de neurones par 16 et ont fait des percées majeures dans l’interconnectivité des puces, le développement d’OS neuromorphiques et les mécanismes d’apprentissage en ligne non supervisé. À ce rythme, on pourrait bientôt voir arriver une simulation complète d’un cerveau humain d’ici quelques années.
Pour l’IA, c’est potentiellement un game changer car au lieu de faire tourner des modèles qui consomment des quantités astronomiques d’énergie, on pourrait avoir des systèmes qui fonctionnent avec l’efficacité énergétique d’un cerveau biologique. Les chercheurs parlent même d’apporter des “avancées révolutionnaires à l’IA” avec leur mécanisme d’apprentissage en ligne non supervisé. Imaginez ChatGPT qui tourne avec la consommation d’une ampoule LED au lieu d’une centrale électrique et qui serait capable d’apprendre par lui-même.
Évidemment, tout ça soulève des questions tout aussi fascinantes sur la conscience, l’intelligence et ce qui nous rend humains. Car si on peut simuler parfaitement un cerveau de singe, qu’est-ce qui nous empêche de simuler un cerveau humain ? Et si on y arrive, est-ce que cette simulation serait consciente ?
Je vous laisse méditer là-dessus pendant que je vais faire dodo, parce que j’ai besoin d’un petit repos pour mon propre cerveau biologique qui doit encaisser cette nouvelle !
Vous saviez qu’Animal Crossing sur GameCube cache 21 jeux NES complets dans ses fichiers ? Perso, j’en avais AUCUNE IDÉE et visiblement, ce ne sont pas des versions au rabais ou de démos, mais bien des jeux complets ! Animal Crossing était vraiment un jeu en avance sur son temps et l’une des fonctionnalités les plus adorées des joueurs, c’était ces petits meubles NES que vous pouviez collectionner et qui lançaient de vrais jeux quand vous interagissiez avec.
Balloon Fight, Super Mario Bros, The Legend of Zelda, Punch-Out !!… Nintendo avait carrément inclus un émulateur NES complet et les ROMs sur le disque GameCube. Le truc fou, c’est que cet émulateur est souvent cité comme étant plus précis que celui de la NES Classic ou même celui de la Switch.
Selon les versions du jeu (Doubutsu no Mori, Animal Crossing, etc.), il ya entre 19 et 21 jeux disponibles. La version américaine par exemple en contient 19, et certains jeux comme Donkey Kong Jr. Math valent aujourd’hui 151 dollars en seconde main. D’autres comme Clu Clu Land D ou Gomoku Narabe Renju étaient également des exclusivités Famicom Disk System introuvables plus tard sur Nintendo Switch Online.
Mais bon, passons au vif du sujet. Comment extraire ces ROMs ?
Et bien le passionné Seth Larson a développé une méthode géniale qui exploite la compression Yaz0 utilisée par Nintendo. Cette compression, reconnaissable par son header “Yaz0” en ASCII, est utilisée partout dans les jeux Nintendo depuis les années 2000. The Wind Waker, Mario Kart Wii, Super Mario Sunshine… tous utilisent Yaz0 pour compresser leurs assets.
D’abord, il vous faut une copie de votre ISO Animal Crossing que vous pouvez extraire légalement avec CleanRip sur votre Wii ou avec le nouvel outil FlippyDrive qui permet de sauvegarder vos jeux GameCube directement depuis la console. Une fois que vous avez votre ISO, le script Python de Seth fera tout le boulot.
Comme je vous le disais, le script parcourt toute l’ISO à la recherche des headers “Yaz0”, décompresse chaque blob trouvé, puis cherche les signatures des ROMs NES (qui commencent par “NES\x1a”) ou Famicom Disk System (avec leur signature spécifique). Une fois trouvées, les ROMs sont extraites et comparées à une base de données de checksums MD5 pour identifier exactement quel jeu c’est.
Et hop, vous vous retrouvez avec tous les jeux NES dans votre dossier. Ces ROMs fonctionnent avec n’importe quel émulateur NES, par exemple sur PC, vous pouvez utiliser Pinky (un émulateur WASM qui tourne dans le navigateur), sur mobile je vous recommande Delta qui est aussi excellent.
Un petit détail technique sympa au passage, le jeu Clu Clu Land D est stocké au format .qd (QuickDisk). Il faudra donc le convertir en .fds pour l’utiliser avec un émulateur. Un script Python existe également sur le GitHub pour faire cette conversion facilement.
Ce qui est vraiment dingue dans cette histoire, c’est qu’après deux ans et demi de travail, la communauté a presque complètement décompilé cette version d’Animal Crossing. Ça ouvre la porte à des mods incroyables et ils ont même réussi à faire tourner Linux dans l’émulateur NES d’Animal Crossing en patchant la mémoire. Bon, ça tourne à 1/64ème de la vitesse normale, mais techniquement ça marche !
D’ailleurs, l’émulateur NES générique du jeu peut lire n’importe quelle ROM depuis la carte mémoire si elle est formatée correctement. Il cherche des fichiers avec la string “GAFE01” (le nom interne d’Animal Crossing) et le préfixe “DobutsunomoriPF”. Et un outil appelé ACNESCreator permet ensuite de créer ces fichiers .gci automatiquement pour charger vos propres ROMs.
Si vous cherchez d’autres méthodes légales pour récupérer des ROMs, consultez le RED Project sur GitHub, qui contient une documentation complète de méthodes d’extraction similaires depuis des collections officielles et autres mini-consoles. Parce que oui, extraire des ROMs de jeux que vous possédez légalement, c’est parfaitement légal pour un usage personnel.
Je trouve quand même que jouer à Wario’s Woods extrait de votre propre copie d’Animal Crossing sur votre iPhone avec Delta, ça a quand même quelque chose de magique. Maintenant, si vous avez une vieille copie d’Animal Crossing qui traîne, vous savez maintenant qu’elle vaut bien plus que ce que vous pensez !
OpenAI vient de lâcher dans la nature ses premiers modèles open-weight depuis GPT-2, et apparemment, c’est du lourd. Après 5 longues années à garder jalousement ses modèles bien au chaud derrière des API payantes, Sam Altman et sa bande balancent donc gpt-oss-120b et gpt-oss-20b, deux modèles que vous pouvez télécharger gratuitement sur Hugging Face et faire tourner chez vous.
Ils ont claqué des milliards de dollars en recherche pour créer ces modèles, et maintenant ils les offrent au monde entier sous licence Apache 2.0. C’est beau !
Pour ceux qui se demandent ce que ça change, un modèle open-weight c’est comme avoir accès au moteur d’une voiture avec le capot grand ouvert. Vous pouvez voir comment ça fonctionne, bidouiller les paramètres internes, et surtout, le faire tourner en local sans connexion internet. Greg Brockman, le cofondateur d’OpenAI, explique que c’est complémentaire à leurs services payants comme ChatGPT et l’avantage, c’est que vos données ne partent pas dans le cloud.
Les deux nouveaux modèles utilisent l’approche chain-of-thought qu’OpenAI a introduite avec son modèle o1 l’automne dernier. Cela veut dire que au lieu de balancer une réponse directe, l’IA passe par plusieurs étapes de raisonnement pour répondre à vos questions. Ces modèles text-only ne sont pas multimodaux (donc pas d’images ou de sons), mais ils peuvent naviguer sur le web, appeler d’autres modèles cloud pour certaines tâches, exécuter du code et même agir comme des agents IA autonomes.
Le plus petit des deux, gpt-oss-20b avec ses 21 milliards de paramètres (dont 3,6 milliards actifs), est suffisamment compact pour tourner sur une machine avec 16 Go de RAM. Le gros calibre, gpt-oss-120b avec ses 117 milliards de paramètres (5,1 milliards actifs), nécessite 80 Go de mémoire et tourne idéalement sur une seule GPU H100. Les deux supportent un contexte de 128 000 tokens, soit l’équivalent de 300-400 pages de roman que vous pouvez balancer d’un coup.
D’après les benchmarks, gpt-oss-120b atteint quasiment les performances d’OpenAI o4-mini sur les tâches de raisonnement, tandis que gpt-oss-20b s’approche d’o3-mini. Sur une RTX 5090, vous pouvez atteindre jusqu’à 256 tokens par seconde, ce qui est franchement impressionnant pour du local. Avec l’architecture Mixture-of-Experts (MoE) et la précision native MXFP4, ces modèles sont optimisés pour tourner efficacement même sur du matériel grand public.
Bon, passons aux choses sérieuses avec le tutoriel Ollama pour faire tourner tout ça chez vous.
Installation d’Ollama
D’abord, installez Ollama si ce n’est pas déjà fait. Sur macOS, ouvrez un terminal et tapez :
brew install ollama
Sur Linux, c’est encore plus simple :
curl -fsSL https://ollama.ai/install.sh | sh
Pour Windows, téléchargez directement l’installateur sur ollama.com et suivez les instructions.
Lancement du serveur Ollama
Une fois installé, démarrez le serveur Ollama :
ollama serve
Le serveur va se lancer sur le port 11434 par défaut. Laissez cette fenêtre de terminal ouverte.
Téléchargement et exécution des modèles gpt-oss
Dans un nouveau terminal, vous pouvez maintenant télécharger et lancer les modèles. Pour le modèle léger gpt-oss-20b (idéal si vous avez 16 Go de RAM minimum) :
ollama pull gpt-oss:20b
ollama run gpt-oss:20b
Pour le modèle plus costaud gpt-oss-120b (nécessite au moins 80 Go de RAM ou un bon GPU) :
ollama pull gpt-oss:120b
ollama run gpt-oss:120b
Configuration du niveau de raisonnement
Une fonctionnalité sympa de ces modèles, c’est que vous pouvez ajuster l’effort de raisonnement selon vos besoins. Dans Ollama, vous pouvez configurer ça avec :
ollama run gpt-oss:20b --reasoning low # Pour des réponses rapides
ollama run gpt-oss:20b --reasoning medium # Équilibré (par défaut)
ollama run gpt-oss:20b --reasoning high # Pour des analyses complexes
Utilisation avec Python
Si vous préférez intégrer ça dans vos scripts Python, installez le package officiel :
pip install ollama
Puis utilisez-le comme ceci :
import ollama
response = ollama.chat(model='gpt-oss:20b', messages=[
{
'role': 'user',
'content': 'Explique-moi la différence entre un modèle open-weight et open-source',
},
])
print(response['message']['content'])
Alternative avec Hugging Face CLI
Si vous voulez télécharger directement depuis Hugging Face pour plus de contrôle :
# Installation de Hugging Face CLIpipinstallhuggingface-hub# Téléchargement de gpt-oss-20bhuggingface-clidownloadopenai/gpt-oss-20b--include"original/*"--local-dirgpt-oss-20b/# Téléchargement de gpt-oss-120bhuggingface-clidownloadopenai/gpt-oss-120b--include"original/*"--local-dirgpt-oss-120b/
Optimisations pour cartes NVIDIA RTX
Si vous avez une carte NVIDIA RTX, vous pouvez bénéficier d’optimisations spécifiques car Ollama détecte automatiquement votre GPU et applique les optimisations. Donc pour vérifier que votre GPU est bien détectée :
nvidia-smi # Pour voir votre GPU
ollama list # Pour voir les modèles disponibles
Quelques commandes utiles
Pour lister tous les modèles installés :
ollama list
Pour supprimer un modèle si vous manquez d’espace :
ollama rm gpt-oss:120b
Pour voir les logs et débugger si ça plante :
ollama logs
Le fait qu’OpenAI ait attendu mars pour annoncer ces modèles puis les ait retardés pour des tests de sécurité supplémentaires montre qu’ils prennent le sujet au sérieux. Eric Wallace, chercheur en sécurité chez OpenAI, explique qu’ils ont même fine-tuné les modèles en interne sur des scénarios à risque pour mesurer jusqu’où un “bad actor” pourrait les pousser. Résultat, les modèles n’ont pas atteint un niveau de risque élevé selon leur framework de préparation.
Pour finir, OpenAI s’est associé avec Azure, vLLM, llama.cpp, LM Studio, AWS, Fireworks, Together AI et plein d’autres plateformes pour rendre ces modèles accessibles partout. Microsoft propose même AI Foundry Local sur Windows où vous pouvez juste taper foundry model run gpt-oss-20b dans un terminal pour commencer.
Voilà, vous avez tout ce qu’il faut pour jouer avec les nouveaux jouets d’OpenAI. C’est quand même fou de voir OpenAI revenir à ses racines open source après toutes ces années à s’enfermer. Avec la licence Apache 2.0, vous pouvez utiliser ces modèles commercialement, les redistribuer, et les intégrer dans vos propres projets.
Pour plus d’infos, consultez le dépôt GitHub officiel ou la page Ollama dédiée. Allez-y, téléchargez, testez, et surtout, amusez-vous bien avec ces nouveaux modèles. Le futur de l’IA locale commence maintenant, et il est entre vos mains.
Microsoft vient de lever le voile sur un truc assez cool : Project IRE !
C’est un agent IA qui analyse et détecte les malwares en parfait autonomie. Plus besoin d’un expert humain pour décortiquer chaque fichier suspect, c’est l’IA qui s’en charge et elle le fait plutôt bien avec 98% de précision et seulement 2% de faux positifs sur un dataset de drivers Windows.
C’est du lourd car au lieu de se contenter d’une simple analyse par signatures comme les antivirus classiques, Project IRE fait de la vraie reverse engineering. L’agent décompile le code, reconstruit le graphe de flux de contrôle (control flow graph pour les intimes), analyse chaque fonction et génère un rapport détaillé expliquant pourquoi le fichier est malveillant ou non.
Pour faire tout ça, Microsoft s’appuie sur Azure AI Foundry et des outils de reverse engineering bien connus comme angr et Ghidra. Le processus commence ainsi par un triage automatique pour identifier le type de fichier et sa structure. Ensuite, l’IA reconstruit comment le programme s’exécute, analyse chaque fonction avec des modèles de langage spécialisés et compile tout dans une “chaîne de preuves” (chain of evidence).
Cette transparence est cruciale car elle permet aux équipes de sécurité de vérifier le raisonnement de l’IA et comprendre comment elle est arrivée à ses conclusions. Et surtout, les tests en conditions réelles sont prometteurs car sur 4000 fichiers que les systèmes automatisés de Microsoft n’arrivaient pas à classifier, Project IRE a correctement identifié 89% des fichiers malveillants avec seulement 4% de faux positifs.
Le seul bémol c’est le taux de détection global qui n’est que de 26%, ce qui signifie que l’IA rate encore pas mal de malwares. Mais comme le soulignent les chercheurs, cette combinaison de haute précision et faible taux d’erreur montre un vrai potentiel pour un déploiement futur.
Mike Walker, Research Manager chez Microsoft, raconte que dans plusieurs cas où l’IA et l’humain n’étaient pas d’accord, c’est l’IA qui avait raison. Ça montre bien que les forces complémentaires de l’humain et de l’IA peuvent vraiment améliorer la protection. Pour valider ses trouvailles, Project IRE utilise un outil de validation qui vérifie les affirmations du rapport contre la chaîne de preuves.
Cet outil s’appuie sur des déclarations d’experts en reverse engineering de l’équipe Project IRE et en combinant ces preuves et son modèle interne, le système produit un rapport final et classe le fichier comme malveillant ou bénin. L’objectif à terme est ambitieux puisqu’il s’agit de détecter automatiquement de nouveaux malwares directement en mémoire, à grande échelle.
Ce serait vraiment cool d’identifier des menaces avancées (APT) sans qu’un humain ait besoin d’intervenir. D’ailleurs, Project IRE a déjà réussi à créer le premier cas de conviction pour un malware APT chez Microsoft, sans aide humaine.
Pour l’instant, ça reste un prototype qui sera intégré plus tard dans Microsoft Defender comme outil d’analyse binaire mais les implications sont déjà énormes car les malwares deviennent de plus en plus sophistiqués et nombreux, et avoir une IA capable de les analyser automatiquement pourrait changer pas mal la lutte contre ces saloperies.
Alors oui, on n’est pas encore au point où l’IA remplace complètement les experts en sécurité mais on s’en rapproche et vu la pénurie de talents en cybersécurité et l’explosion du nombre de menaces, c’est plutôt une bonne nouvelle.
Imaginez pouvoir scanner votre propre installation Odoo comme un hacker éthique pour y débusquer toutes les failles en quelques minutes. Et bien c’est exactement ce que fait OdooMap créé par Mohamed Karrab et dispo sur GitHub. Avec plus de 7 millions d’entreprises qui utilisent Odoo dans le monde, les failles de sécurité peuvent coûter très cher, donc c’est super de s’y intéresser un minimum.
Pour ceux qui ne connaissent pas, Odoo c’est cet ERP open source hyper populaire qui gère tout dans une entreprise : ventes, stocks, comptabilité, RH, site web, et j’en passe. Le problème, c’est que beaucoup d’installations Odoo sont mal configurées ou pas à jour, ce qui les rend vulnérables. Et quand on sait que cet ERP contient littéralement toutes les données sensibles d’une boîte, ça fait froid dans le dos.
C’est là qu’OdooMap entre en jeu. Mohamed Karrab a développé cet outil de reconnaissance et de test de sécurité spécialement pour Odoo. Et c’est du sérieux car l’outil fait tout : détection de version, énumération des bases de données, vérification des permissions CRUD (Create, Read, Update, Delete), extraction de données, et même du brute-force sur les logins et le master password.
Ce qui est vraiment bien pensé, c’est que OdooMap couvre toutes les phases d’un test de sécurité. D’abord la reconnaissance pour identifier la version d’Odoo et récupérer les métadonnées. Ensuite l’énumération pour lister les bases de données accessibles et les modèles exposés. Puis l’authentification et la vérification des permissions pour voir ce qu’un utilisateur peut vraiment faire. Et enfin l’extraction de données depuis des modèles spécifiques si vous avez les droits.
L’installation est super simple. Vous clonez le repo GitHub, vous installez avec pipx (ou pip si vous préférez), et c’est parti. Le développeur recommande d’utiliser pipx pour éviter de polluer votre système Python, ce qui est une bonne pratique :
Les fonctionnalités de brute-force sont particulièrement intéressantes. Par exemple, OdooMap peut tester des credentials par défaut, utiliser vos propres listes de mots de passe, ou même attaquer le master password de la base de données. C’est exactement le genre d’attaques que les vrais hackers utiliseraient, donc autant les tester vous-même avant eux.
Pour un scan de base, c’est aussi simple que :
odoomap -u https://example.com
Mais la vraie puissance se révèle quand vous commencez à combiner les options. Par exemple, pour authentifier et énumérer les modèles :
L’outil a également la capacité d’extraire des données depuis des modèles spécifiques. Si vous avez accès à res.users ou res.partner par exemple, vous pouvez dumper toutes les infos comme ceci :
D’après mes recherches, les vulnérabilités les plus courantes dans Odoo incluent les failles XSS (Cross-Site Scripting), les problèmes de contrôle d’accès, les IDOR (Insecure Direct Object References) et les SSRF (Server-Side Request Forgery). OdooMap permet donc de tester une bonne partie de ces vulnérabilités, notamment les problèmes d’accès et d’authentification.
Ce qui est intéressant aussi, c’est que l’outil peut faire du brute-force sur les noms de modèles internes. Odoo a des centaines de modèles, et parfois certains sont exposés alors qu’ils ne devraient pas l’être. OdooMap peut les découvrir automatiquement :
Bien sûr, comme tout outil de sécurité, OdooMap doit être utilisé de manière responsable. Mohamed Karrab le rappelle clairement : c’est fait pour des tests autorisés uniquement. Utiliser cet outil sans permission, c’est illégal et vous risquez de gros problèmes avec la police (et pas la Municipale, hein ^^) !! Mais si vous gérez une installation Odoo ou si vous êtes mandaté pour faire un audit, c’est un must-have.
L’outil est sous licence Apache 2.0, donc totalement open source et gratuit et le code est en Python 3.9+, donc accessible si vous voulez comprendre comment ça fonctionne ou l’adapter à vos besoins.
Pour aller plus loin dans la sécurisation d’Odoo, je vous conseille de jeter un œil à la page officielle de sécurité d’Odoo. Ils prennent la sécurité au sérieux et encouragent la divulgation responsable des vulnérabilités.
Pour ceux qui cherchent d’autres outils de pentest, il y a évidemment les classiques comme Metasploit, Burp Suite ou Nessus mais l’avantage d’OdooMap, c’est qu’il est spécialisé pour Odoo. Il connaît les spécificités de cet ERP et peut donc aller beaucoup plus loin qu’un scanner générique.
Pour finir, un grand bravo à Mohamed Karrab pour cet outil !
Les bug bounty hunters n’ont qu’à bien se tenir car Google va bientôt tenter de les remplacer (comme ils ont déjà remplacé pas mal de créateurs web) grâce à leur nouvelle IA baptisée Big Sleep. En effet, celle-ci vient de prouver qu’elle peut détecter des failles de sécurité que même les meilleurs hackers humains ont loupées. Et je ne vous parle pas de petites vulnérabilités bidons, mais de véritables failles dans des logiciels critiques.
Vous vous souvenez quand je vous parlais de XBOW, cette IA qui était devenue numéro 1 sur HackerOne ? Eh bien Google vient de rentrer dans la danse avec Big Sleep, et visiblement ils ne sont pas venus pour rigoler. L’approche est différente mais tout aussi impressionnante.
Big Sleep, c’est le fruit d’une collaboration entre Google Project Zero (l’équipe d’élite qui trouve des failles zero-day) et DeepMind (les génies derrière AlphaGo). Ensemble, ils ont créé une IA capable d’analyser du code source et de détecter des vulnérabilités de manière autonome. Le nom “Big Sleep” vient d’ailleurs du roman noir de Raymond Chandler (lien affilié), un clin d’œil au côté détective de l’IA.
La première vraie victoire de Big Sleep, c’est donc d’avoir trouvé une vulnérabilité stack buffer underflow dans SQLite, la base de données la plus utilisée au monde. Cette faille était passée sous le radar de tous les outils de fuzzing traditionnels et des chercheurs humains. L’IA a réussi à l’identifier en analysant les patterns de code et en comprenant la logique profonde du programme.
Ce qui est vraiment fou avec Big Sleep, c’est sa capacité à comprendre le contexte et la sémantique du code car contrairement aux outils de fuzzing classiques qui bombardent le programme avec des données aléatoires pour voir s’il crashe, Big Sleep lit et comprend réellement ce que fait le code.
C’est la différence entre un lecteur de Korben.info qui lit l’un de mes articles et qui est content. Et un lecteur de Korben.info (ou pas d’ailleurs) qui lit l’un de mes articles en diagonale (ou juste le titre…lol), qui ne comprend rien et qui part ensuite m’insulter sur les réseaux sociaux ^^.
Google explique que Big Sleep utilise une approche en plusieurs étapes. D’abord, l’IA analyse le code source pour comprendre sa structure et son fonctionnement. Ensuite, elle identifie les zones potentiellement vulnérables en se basant sur des patterns connus mais aussi sur sa compréhension du flux de données. Enfin, elle génère des cas de test spécifiques pour confirmer l’existence de la vulnérabilité.
Les 20 vulnérabilités découvertes touchent différents types de logiciels, des bibliothèques système aux applications web. Google reste discret sur les détails exacts pour des raisons évidentes de sécurité, mais ils confirment que toutes les failles ont été corrigées avant toute exploitation malveillante. C’est le principe du responsible disclosure : on trouve, on prévient, on corrige, et seulement après on communique.
Ce qui différencie Big Sleep de XBOW, c’est surtout l’approche. Là où XBOW excelle dans les bug bounties publics avec une approche plus agressive, Big Sleep semble plutôt orienté vers l’analyse en profondeur de code complexe. Les deux IA sont donc complémentaires et montrent bien que l’avenir de la cybersécurité passera par ces assistants intelligents.
D’ailleurs, Google ne compte pas garder Big Sleep pour lui et l’équipe travaille sur une version open source qui permettra à la communauté de bénéficier de cette technologie. L’idée c’est de démocratiser la recherche de vulnérabilités pour que même les petites entreprises puissent sécuriser leur code.
Mais attention, tout n’est pas rose non plus car que se passera-t-il si des acteurs malveillants mettent la main sur ce genre d’IA ? La course aux armements entre attaquants et défenseurs risque de fortement s’accélérer drastiquement. Google assure avoir mis en place des garde-fous, mais on sait tous que dans le domaine de la sécurité, rien n’est jamais garanti à 100%.
Selon Google, Big Sleep peut analyser en quelques heures ce qui prendrait des semaines à une équipe humaine et contrairement à vous les vacanciers éternels, l’IA ne se fatigue pas, ne fait pas d’erreur d’inattention, et peut traiter des volumes de code monumentaux. Sur les 20 vulnérabilités trouvées, au moins 5 étaient considérées comme critiques avec un score CVSS supérieur à 8.
Pour voir les dernières découvertes de BigSleep c’est par ici.
L’objectif pour Google à terme c’est de créer une IA capable de comprendre non seulement le code, mais aussi l’intention derrière le code, donc si vous êtes développeur ou responsable sécurité, il est temps de prendre ce sujet au sérieux. Les IA comme Big Sleep et XBOW ne sont pas des gadgets, donc commencez à réfléchir à comment intégrer ces outils dans vos processus de développement et surtout, n’attendez pas que les attaquants s’en servent contre vous.
On le sait tous, utiliser des services de cloud comme OneDrive ou Google Drive nous expose à une violation de notre vie privée par des organismes gouvernementaux mais aussi à de simples piratages, ransomwares et fuites de données qui pourraient rendre publics nos fichiers.
Alors, si vous voulez vraiment utiliser ce genre de services, il n’y a qu’un seul moyen de protéger efficacement ses données : Les chiffrer.
Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers, il existe un soft gratuit et open source baptisé Duplicati pour vous aider.
Duplicati est un outil pour Windows, macOS et Linux qui vous permet de programmer des sauvegardes chiffrées des répertoires de votre choix. La version 2.1 stable apporte une refonte complète avec une interface web moderne accessible depuis votre navigateur et le chiffrement se fait toujours en AES-256 (ou GNU Privacy Guard si vous préférez), garantissant que vos fichiers sont sécurisés localement avant même de quitter votre machine.
Le logiciel supporte une liste impressionnante de destinations : serveurs personnels (via SFTP/FTP/WebDAV), mais aussi Google Drive, Dropbox, OneDrive, Backblaze B2, Amazon S3, MEGA, Box, et bien d’autres. Vous pouvez même sauvegarder sur des disques locaux, clés USB ou partages SMB.
Le système de sauvegarde incrémentale est particulièrement efficace… Après une première sauvegarde complète, seules les modifications sont envoyées. Si vous modifiez un document de 2 Mo dans un dossier de 10 Go, seuls ces 2 Mo seront transférés lors de la prochaine sauvegarde. Économie en bande passante et en espace disque !!
Le planificateur intégré vous permet aussi d’automatiser complètement vos sauvegardes. Plus besoin d’y penser, Duplicati s’occupe de tout aux heures que vous avez définies. Un système de notification vous prévient même des mises à jour disponibles.
Attention cependant, y’a quelques points de vigilance comme la base de données qui peut parfois se corrompre en cas de coupure pendant une sauvegarde, et l’interface qui propose tellement d’options avancées qu’il vaut mieux se documenter avant de toucher aux paramètres complexes. Si vous cherchez des alternatives, Rclone, Restic, Macrium Reflect ou Veeam sont aussi des options solides selon vos besoins.
Pour l’installation, rendez-vous sur le GitHub officiel, téléchargez la version pour votre OS et lancez l’installation. La configuration initiale est simple. Vous créez une nouvelle sauvegarde, sélectionnez vos dossiers, choisissez votre destination cloud, définissez un mot de passe de chiffrement (à conserver précieusement !), et vous programmez la fréquence.
Je vous conseille quand même de commencez avec un petit dossier de test pour vous familiariser avec l’interface et SURTOUT, testez régulièrement la restauration de vos fichiers, car une sauvegarde qu’on ne peut pas restaurer ne sert à rien !
Voilà avec toutes les menaces qui pèsent sur nos données, une solution de sauvegarde chiffrée n’est plus une option. Duplicati reste une excellente solution gratuite et open source pour protéger efficacement vos fichiers dans le cloud.
Article publié initialement le 25/11/2014 et mis à jour le 05/08/2025.
Et voilà encore une histoire à base d’Intelligence Artificielle qui va vous retourner le cerveau. Une équipe de chercheurs a lâché une IA sur des données de plasma poussiéreux, et elle a découvert des trucs que les physiciens avaient loupé pendant des années. Le plus foufou c’est qu’elle a même été capable de corriger des théories établies.
L’équipe de l’université Emory à Atlanta a fait quelque chose de complètement différent de ce qu’on voit habituellement avec l’IA. Au lieu de l’utiliser pour prédire des trucs ou nettoyer des données, ils l’ont entraînée à découvrir de nouvelles lois de la physique.
Pour cela, les chercheurs ont nourri leur réseau de neurones avec des données expérimentales issues d’un état de matière mystérieux appelé plasma poussiéreux. Pour faire simple, c’est un gaz super chaud, chargé électriquement et rempli de minuscules particules de poussière. On trouve ce truc partout dans l’univers, des anneaux de Saturne à la surface de la Lune, en passant par la fumée des incendies de forêt et vos dessous de bras quand vous ne vous lavez pas (non, je déconne).
Le problème avec ce plasma poussiéreux, c’est qu’il se comporte de manière vraiment bizarre. Les forces entre les particules ne suivent pas les règles habituelles. Une particule peut en attirer une autre, mais cette dernière la repousse en retour. C’est ce qu’on appelle des forces non-réciproques, et ça rend les physiciens complètement dingues depuis des années.
Pour réaliser cet exploit, l’équipe a construit un système d’imagerie 3D sophistiqué pour observer comment les particules de plastique se déplaçaient dans une chambre remplie de plasma. Ils ont utilisé une feuille laser et une caméra haute vitesse pour capturer des milliers de mouvements de particules minuscules en trois dimensions au fil du temps.
Ces trajectoires détaillées ont ensuite servi à entraîner un réseau de neurones sur mesure et. contrairement à la plupart des modèles d’IA qui ont besoin d’énormes ensembles de données, le réseau de l’équipe d’Emory a été entraîné sur un petit ensemble de données très riche. Et il a surtout été conçu avec des règles physiques intégrées, comme la prise en compte de la gravité, de la traînée et des forces entre particules.
Ilya Nemenman, co-auteur senior de l’étude et professeur à l’université, précise que “Quand vous explorez quelque chose de nouveau, vous n’avez pas beaucoup de données pour entraîner l’IA. Cela signifiait que nous devions concevoir un réseau de neurones qui pourrait être entraîné avec une petite quantité de données et apprendre quand même quelque chose de nouveau.”
Le réseau de neurones a donc décomposé le mouvement des particules en trois composantes : les effets de vitesse (comme la traînée), les forces environnementales (comme la gravité) et les forces interparticulaires. Cette approche a permis à l’IA d’apprendre des comportements complexes tout en respectant les principes physiques de base.
Et les résultats sont là !! L’IA a découvert des descriptions précises des forces non-réciproques avec une précision de plus de 99%. Elle a ainsi révélé qu’une particule en tête attire celle qui la suit, mais que la particule qui suit repousse celle qui la précède. Ce type d’interaction asymétrique avait été suspecté mais jamais clairement modélisé auparavant.
Je l’avoue, ce schéma est hors de ma portée mais je le trouvais cool alors je l’ai mis dans l’article
Mais attendez, ça devient encore plus intéressant car l’IA a également corrigé certaines hypothèses erronées qui façonnaient la théorie des plasmas depuis des années. Par exemple, on pensait que la charge électrique d’une particule augmentait exactement avec sa taille. Eh bien, c’est faux ! La relation dépend en fait de la densité et de la température du plasma environnant.
Une autre idée fausse était que la force entre les particules diminuait toujours de manière exponentielle avec la distance, quelle que soit leur taille. L’IA a révélé que cette diminution dépend aussi de la taille des particules, un détail que les scientifiques avaient complètement ignoré jusqu’à présent.
Et pour moi, le truc le plus impressionnant c’est que ce modèle d’IA a tourné sur un simple ordinateur de bureau. Pas besoin d’un supercalculateur ou d’une ferme de serveurs. Il a produit un cadre universel qui peut maintenant être appliqué à toutes sortes de systèmes à plusieurs particules, des mélanges de peinture aux cellules migrantes dans les organismes vivants.
Cette recherche démontre que l’IA peut aller bien au-delà du simple traitement de données. Elle peut réellement aider les scientifiques à découvrir les règles cachées qui gouvernent la nature.
L’étude a été publiée dans la revue Proceedings of the National Academy of Sciences (PNAS) et vous pouvez la consulter ici.
Les implications de cette découverte sont énormes car non seulement elle ouvre de nouvelles voies pour comprendre les plasmas poussiéreux, mais elle fournit également une méthode pour étudier d’autres systèmes complexes. Les chercheurs espèrent ainsi que leur approche par IA servira de point de départ pour déduire les lois de la dynamique d’une large gamme de systèmes à plusieurs corps.
L’avenir de la science va être prometteur et passionnant, je le sens !
Vous codez seul la nuit comme un petit lutin tout triste, paria de la société ? Et bien si je vous disais que vos collègues peuvent éditer vos fichiers en temps réel, directement dans votre Neovim ? Ce serait pas le feu ça ?
Ethersync vient de débarquer et c’est exactement ce qu’il propose à savoir transformer n’importe quel éditeur de texte en espace de collaboration instantané. Comme un Google Docs mais en local, peer-to-peer et chiffré.
Le projet a été présenté au FOSDEM 2025 par blinry, et la démo m’a scotché. En gros, vous tapez ethersync share dans votre terminal, un code apparaît du style “5-hamburger-endorse”, et de son côté, votre collègue tape ethersync join 5-hamburger-endorse et boom, vous éditez les mêmes fichiers en temps réel. Pas de serveur, pas de cloud, juste une connexion P2P chiffrée entre vos machines.
Ce qui rend Ethersync génial, c’est qu’il fonctionne avec VOTRE éditeur préféré. Neovim, VS Code, et bientôt Emacs et JetBrains grâce aux plugins communautaires en développement comme ça plus besoin de forcer tout le monde sur le même outil. Chacun garde ses habitudes, ses raccourcis, ses configurations. L’interopérabilité est totale !
Le secret technique derrière cette magie ce sont les CRDT (Conflict-free Replicated Data Types) via Automerge. En gros, c’est une structure de données qui permet à plusieurs personnes de modifier le même document sans créer de conflits. Chaque modification est enregistrée comme une opération, et l’algorithme sait comment les fusionner intelligemment. Même si vous travaillez hors ligne et que vous vous reconnectez plus tard, tout se synchronise nickel.
Mais Ethersync va plus loin qu’Etherpad ou Google Docs car il ne se contente pas d’un seul fichier mais synchronise des projets entiers ! Vous partagez un dossier, et tout ce qui s’y trouve devient collaboratif. Fichiers sources, documentation, configs… tout est synchronisé en temps réel ce qui en fait le complément parfait à Git pour la collaboration instantanée.
L’architecture est d’ailleurs brillante. Il y a un daemon qui tourne en arrière-plan et gère la synchronisation via Iroh (une bibliothèque Rust qui permet d’établir des connexions directes entre pairs via QUIC, avec du hole-punching et des relais de secours) ainsi que Magic Wormhole (que vous connaissez, pour l’établissement de connexion facile avec des codes courts).
Les éditeurs communiquent alors avec le daemon via un protocole JSON-RPC tout simple. Du coup, créer un nouveau plugin est relativement facile si vous voulez supporter votre éditeur exotique préféré.
Et surtout, niveau sécurité, c’est du solide. Comme, je vous le disais, toutes les connexions sont chiffrées de bout en bout, et y’a pas de serveur central qui pourrait être compromis. Comme ça, VOS données restent sur VOS machines et si même internet tombe parce que c’est la fin du monde, vous pourrez continuer à collaborer en local sur le même réseau.
Pour l’installer sous Linux/macOS, vous récupérez le binaire statique depuis GitHub, vous le mettez dans votre PATH, et c’est parti. Les utilisateurs d’Arch ont même un paquet AUR (yay -S ethersync-bin). Pour Android, ça marche dans Termux et pour les amateurs de Nix, il y a un flake officiel.
Ce projet est encore jeune et en développement actif mais l’équipe l’utilise au quotidien donc ça se bonifie avec le temps. D’ailleurs, la bonne nouvelle c’est que ça a été financé par NLNet via leur fonds NGI0 Core pour 2024, et par le Prototype Fund allemand pour 2025. Ça garantit comme ça un développement sérieux et en continu.
Bref, que ce soit pour du pair programming, mais aussi de la prise de notes collaborative, de la rédaction de documentation à plusieurs, de la sessions de debug en équipe…etc, ça devrait bien faire le taf et contrairement aux partages d’écran, chacun garde le contrôle de son environnement.
Si vous voulez tester, c’est le moment car le projet recherche des retours, des testeurs, et des contributeurs pour créer de nouveaux plugins. La documentation est claire, le code est propre et l’équipe est réactive !
De la collaboration fluide et instantanée, directement dans votre environnement de travail habituel, comme on aime !
2,4 milliards de dollars, c’est le montant des dégâts causés par un seul groupe de hackers russes entre 2019 et 2024. Et le truc marrant dans cette histoire c’est qu’en mai 2025, ces mêmes génies de la cybercriminalité se sont fait pirater par des hackers anonymes qui ont balancé tous leurs secrets sur Internet.
C’est vrai que j’ai toujours eu un faible pour les histoires de David contre Goliath, sauf que là, c’est l’inverse. C’est l’histoire de Goliath qui terrorise la planète entière avant de se prendre une pierre dans la gueule, et cette pierre, elle ne vient pas d’où vous croyez.
Le logo menaçant de LockBit qui a fait trembler des milliers d’entreprises
Septembre 2019, Dmitry Yuryevich Khoroshev, 26 ans, est développeur informatique lambda dans la grisaille de Omsk, en Sibérie. Le gars bosse probablement pour 300 euros par mois, galère à payer son appart communiste, et regarde les oligarques russes se goinfrer à la télé. Vous voyez le tableau ? Frustration maximale.
Alors Dmitry, il a une idée. Une idée de génie maléfique, si on peut dire. Au lieu de rester dans son coin à développer des sites web foireux, pourquoi ne pas créer le ransomware le plus puissant de la planète ? Après tout, c’est juste du code, et lui, il sait coder.
Les premières attaques commencent donc discrètement. Son bébé s’appelle encore “virus .abcd”, ouais, naze comme nom, hein ? C’est l’extension qu’il colle aux fichiers chiffrés. Mais bon, même Steve Jobs a commencé avec l’Apple I dans un garage. Dmitry, c’est pareil, sauf que son garage c’est l’internet russe et son Apple I c’est un malware qui va faire trembler Boeing et TSMC.
En janvier 2020, notre futur empereur du crime débarque sur un forum cybercriminel russophone et cette fois, il a trouvé le bon nom : LockBit. Percutant, efficace, ça sonne comme une marque de cadenas allemand. Et c’est exactement ça, un cadenas numérique inviolable sur vos données les plus précieuses.
Mais Dmitry, il est malin. Plus malin que tous ces script kiddies qui piratent 3 serveurs et se prennent pour Anonymous. Lui, il a compris le truc : pourquoi faire le boulot tout seul quand on peut créer une franchise criminelle ?
Vous connaissez le Software-as-a-Service ? Salesforce, Office 365, tout ça ? Et bien Dmitry a inventé le Crime-as-a-Service. Et franchement, côté business model, c’est du génie pur.
L’interface du site de leak de LockBit où les victimes voyaient leurs données exposées
Leur interface d’administrationn, c’est du niveau de ce qu’on fait en entreprise pour des clients légitimes. Interface point-and-click, tableaux de bord avec statistiques en temps réel, générateur automatique de ransomware personnalisé. Même leur FAQ était mieux foutue que celle de la plupart des startups parisiennes.
Mais le coup de génie, c’est le recrutement. LockBit ne prend pas n’importe qui. Non, ils chassent les experts en pentest qui maîtrisent Metasploit et Cobalt Strike. Des gars qui savent réellement s’infiltrer dans un réseau d’entreprise, pas juste télécharger un script sur GitHub. C’est la différence entre un cambrioleur amateur et un perceur de coffres-forts suisse.
Et contrairement aux autres gangs de ransomware qui se payent d’abord et donnent les miettes aux affiliés, LockBit fait l’inverse. Les affiliés touchent leur part directement, puis reversent la commission. C’est psychologiquement très fort car ça donne l’impression d’être un partenaire, pas un employé.
Puis en juin 2021, LockBit 2.0 débarque. Interface encore plus léchée, nouvelles fonctionnalités, vitesse de chiffrement améliorée. Dmitry soigne son produit comme Tim Cook soigne l’iPhone. Et ça marche ! Les affiliés se bousculent au portillon.
Mais parlons peu, parlons chiffres concrets. Selon les rapports du FBI, entre janvier 2020 et mai 2023, il y a eu plus de 1700 attaques rien qu’aux États-Unis et 91 millions de dollars de rançons payées officiellement. Et ça, c’est juste ce qu’on sait. La réalité doit être 5 fois plus importante.
Ce qui m’impressionne le plus, c’est quand même leur professionnalisme. Regardez leurs négociations avec les victimes (et oui, on peut les lire maintenant grâce aux fuites de 2025), c’est du niveau relation client d’Amazon. Ils expliquent le processus, rassurent sur la récupération des données, proposent même des facilités de paiement. Du grand art.
Le système technique de LockBit, c’est également du costaud. Chiffrement AES-256 bits combiné avec RSA-2048 pour les clés. Et surtout double extorsion systématique : on chiffre vos données ET on les exfiltre. Si vous ne payez pas, non seulement vous ne récupérez rien, mais en plus on balance tout sur le net. C’est vicieux mais efficace.
La vitesse de chiffrement ? C’est 100 000 fichiers par minute sur un serveur standard. Avec leur builder, en 3 clics, vous générez un ransomware personnalisé avec votre adresse Bitcoin, votre message de rançon, vos exclusions de fichiers. C’est le McDonald’s du crime, rapide, standardisé, efficace.
Dmitry, pendant ce temps, se paye une vie de milliardaire. 100 millions de dollars personnels. À 29 ans, parti de développeur sibérien à 300 euros par mois il vit son rêve russe, version cybercriminelle.
Sauf que comme tous les empires, LockBit avait ses failles. Et les gentils de ce monde préparaient leur contre-attaque.
Le site de LockBit après sa saisie lors de l’Opération Cronos - “Cette page est maintenant sous le contrôle des forces de l’ordre”
Février 2024 c’est l’Opération Cronos. Le nom fait classe, vous trouvez pas ? Cronos, le titan qui dévore ses enfants dans la mythologie grecque, c’est le symbole parfait pour une opération qui va bouffer LockBit de l’intérieur.
10 pays mobilisés. France, Royaume-Uni, États-Unis, Allemagne, Pays-Bas, Suisse, Japon, Australie, Canada, Suède. Quand vous voyez une coalition pareille, vous savez que ça va saigner. L’ANSSI, la Gendarmerie, le FBI, Europol selon le communiqué officiel… Tout l’alphabet de la lutte anti-cybercrime mobilisé. Et leur plan est chirurgical et impitoyable.
34 serveurs saisis d’un coup, 200 comptes cryptomonnaies gelés, 14 000 comptes en ligne fermés. Et surtout plus de 1000 clés de déchiffrement récupérées pour aider les victimes. C’est du level débarquement de Normandie, version bits et octets et en une nuit, 5 ans d’empire criminel réduits en cendres.
Et les détails personnels révélés sont nombreux… né le 17 avril 1993, passeport russe numéro 2006801524…etc. Le mec qui terrorisait la planète a maintenant sa date d’anniversaire sur Wikipedia. Happy birthday, Dmitry !
Dmitry Khoroshev sur l’affiche du FBI avec 10 millions de dollars de récompense
Bref, la machine de guerre LockBit, construite durant 5 ans, détruite en 48 heures. Game over.
Enfin… c’est ce qu’on croyait.
Parce que évidemment, Dmitry n’allait pas ranger ses affaires et ouvrir un kebab à Omsk. Quelques semaines après Cronos, LockBit refait surface. Sites web recréés, affiliés remobilisés, nouvelles victimes revendiquées. Le gars a même eu les couilles de narguer le FBI publiquement. “Le FBI bluffe, je ne suis pas Dmitry” a-t-il déclaré selon The Record. Bon, c’est pas exactement ce qu’il a dit parce que je ne parle pas russe, mais l’idée est là.
Et là, j’avoue, j’ai respecté. Pas pour le crime, hein. Mais pour la ténacité. Se faire démanteler par une coalition internationale et revenir au combat 3 semaines plus tard, faut avoir des burnes en titanium. Ou être complètement barré. Ou les deux.
LockBit 4.0 est même annoncé pour février 2025. Nouvelle version, nouvelles fonctionnalités, nouveau marketing. Dmitry fait du Steve Jobs version criminelle avec une keynote par an pour présenter les nouvelles features de son ransomware.
Sauf que cette fois, il y avait quelqu’un d’autre qui préparait un coup. Quelqu’un que personne n’avait vu venir.
Le message laissé par les mystérieux hackers de Prague : “Don’t do crime, crime is bad xoxo from Prague”
Mai 2025. Je suis tranquillement en train de checker mes flux RSS quand je tombe sur ça : “LockBit Infrastructure Breached”. Evidemment, je vérifie et là… bordel. Quelqu’un avait vraiment piraté LockBit. Pas les serveurs publics, non. Leur infrastructure interne. Le saint des saints. Leurs bases de données privées.
Le message sur leur site web défiguré est le suivant “Don’t do crime, crime is bad xoxo from Prague.” C’est exactement le même message que celui affiché après le piratage du groupe Everest en avril. C’est une signature, un trolling de niveau galactique.
Mais le meilleur restait à venir, parce que nos pirates anonymes, n’ont pas juste défiguré le site. Ils ont divulgué toute la base de données de LockBit. Absolument tout. 59 975 adresses Bitcoin, plus de 4400 conversations avec les victimes. Les mots de passe des admins stockés en clair. Les détails financiers. L’infrastructure technique. Les pseudos des affiliés. Même leurs querelles internes.
Bref, c’est une mine d’or pour comprendre comment fonctionne vraiment un empire criminel de l’intérieur.
Les mots de passe d’abord. “Weekendlover69”. “MovingBricks69420”. “Lockbitproud231”. Sérieusement ? L’empire cybercriminel le plus sophistiqué de la planète protégé par des mots de passe de collégien travaillé par ses hormones ?
Et puis les conversations internes, c’est bien naze… “I hate that idiot Leo.” “Too many ID chat windows, I will establish communication again later.” Des pirates épuisés, stressés, qui s’engueulent comme dans n’importe quelle boîte. La légende du cybercriminel concentré et froid qui s’effrite en direct…
Les chats internes de LockBit
Mais le plus humiliant, ce sont les statistiques commerciales. Sur 210 négociations de rançon entre décembre 2024 et avril 2025, seulement 15 ont abouti à un paiement. 7,1% de taux de conversion. 615 000 dollars récoltés sur la période, c’est le chiffre d’affaires d’une PME française lambda.
Hé oui, l’empire qui faisait trembler Boeing et TSMC génère moins de thunes qu’un salon de coiffure à Arras. C’est la vérité derrière le rideau de fer et cerise sur le gâteau, on a aussi accès à leurs outils d’attaque, les URLs pour tester les failles XSS, les domaines .onion sur TOR, les infrastructures automatisées…etc. Tout ça divulgué publiquement.
Mais au-delà de l’humiliation, ces fuites révèlent des trucs fascinants sur l’économie souterraine du ransomware. Parce que oui, c’est vraiment une économie, avec ses règles, ses acteurs, ses marges.
Le modèle RaaS de LockBit, c’est du franchising pur où l’affilié paie entre 40 et plusieurs milliers de dollars par mois pour accéder aux outils et en échange, il bénéficie de l’infrastructure, du support technique, et même de formations.
Leur panel d’administration est plus ergonomique que la plupart des outils légitimes que j’utilise au quotidien. Gestion des victimes, génération automatique de variants du ransomware, outils de chiffrement/déchiffrement, même un module de business intelligence pour analyser les performances.
Et leur support client avec les victimes est redoutable d’efficacité. Ils ont des templates, des procédures, des escalades. Comme dans n’importe quel centre d’appels, sauf qu’au lieu de vous vendre un crédit conso ou des panneaux solaires, ils vous expliquent comment payer 50 millions en Bitcoin.
Ce qui me fascine le plus, c’est leur compréhension de la psychologie des victimes. Ils rassurent, promettent la confidentialité, proposent des “tests” de déchiffrement pour prouver qu’ils peuvent vraiment récupérer les données et ils ont même des réductions pour payement rapide. C’est du marketing pur.
L’innovation continue aussi. StealBit, leur logiciel d’exfiltration de données maison, des mises à jour régulières du ransomware, une veille concurrentielle sur les autres gangs… Bref, c’est une vraie startup, qui est juste illégale.
Et surtout derrière les gros titres Boeing et TSMC, il y a des milliers de victimes invisibles. PME françaises, hôpitaux de province, mairies de communes de 2000 habitants. Eux, ils n’ont pas 200 millions en cash pour négocier. LockBit visait méthodiquement les maillons faibles.
Et puis il y a les hôpitaux. Corbeil-Essonnes en août 2022. Dix millions de dollars de rançon pour un hôpital public français. Vous imaginez la gueule du directeur quand il a découvert que tous les dossiers médicaux étaient chiffrés ? Les urgences à l’arrêt, les patients renvoyés dans d’autres établissements. Et Dmitry et sa bande, ils s’en foutent. Business is business.
Puis Cannes en avril 2024. Encore un hôpital français. Dmitry, il a visiblement un kink avec notre système de santé. Peut-être que sa mère a mal été soignée dans un hôpital russe et qu’il se venge sur nous ? Allez savoir la psychologie d’un cyber-psychopathe.
Ce qui me rend dingue, c’est cette asymétrie. On parle quand même d’un mec de 30 ans qui depuis son appart de Omsk, peut paralyser l’hôpital d’une ville de 50 000 habitants en France. 10 lignes de code bien placées et hop, 500 lits d’hôpital hors service.
LockBit avait pourtant promis de ne jamais attaquer les hôpitaux. Une “règle éthique” de leur programme RaaS, mais bon, l’éthique chez les criminels, c’est comme les promesses d’un politique, ça vaut pas tripette. Mais heureusement, il y a aussi les gentils. Et eux, ils ont pas chômé.
Car l’Opération Cronos selon la National Crime Agency, c’est pas juste de la com’. Derrière, il y a des centaines d’enquêteurs qui ont bossé pendant des années. Des types de l’ANSSI qui passent leurs nuits à traquer des serveurs en Ukraine. Des agents du FBI qui apprennent le russe pour infiltrer les forums. Des gendarmes français qui comprennent mieux les cryptomonnaies que 99% des français.
Et puis il y a les anonymes de Prague. Parce que oui, c’est forcément des Tchèques puisque le message le dit (lol). Ces gars-là, ils ont réussi là où 10 gouvernements avaient échoué. Infiltrer complètement LockBit et balancer toutes leurs données.
Ce qui me plaît surtout dans cette histoire, c’est qu’on voit que la tech peut être utilisée dans les deux sens. Dmitry a utilisé son talent pour faire du mal. Les anonymes de Prague ont utilisé le leur pour rétablir l’équilibre. Le code n’est ni bon ni mauvais, tout dépend de qui tape sur le clavier.
Entre juin 2022 et février 2024, plus de 7000 attaques utilisant LockBit ont eu lieu, soit un quart de toutes les attaques ransomware mondiales. Si c’était une entreprise légitime, elle serait dans le Fortune 500.
Alors qu’est-ce qu’on retient de cette saga ?
Et bien d’abord que personne n’est invincible sur internet. Dmitry se croyait intouchable, planqué derrière ses VPN et ses cryptomonnaies, résultat, il a sa photo d’identité publiée par le FBI et 10 millions de récompense sur sa tête.
Ensuite que la collaboration internationale peut fonctionner. Quand 10 pays décident de s’unir contre un ennemi commun, même le plus gros gang de cybercriminels du monde peut tomber. L’Opération Cronos, c’est la preuve que les gentils peuvent gagner quand ils s’y mettent sérieusement.
Et puis il y a cette leçon délicieuse : l’hubris tue toujours. Dmitry et sa bande se croyaient tellement supérieurs qu’ils ont négligé leur propre sécurité. Mots de passe ridicules, serveurs mal protégés, arrogance maximale. Et boom ! Piratés par des anonymes qui les ont ridiculisés publiquement.
Bref, la tech, c’est comme les arts martiaux. Plus tu montes en niveau, plus tu réalises que tu peux te faire battre par n’importe qui. L’humilité, n’est pas optionnelle dans ce métier.
Et maintenant ? Et bien Dmitry court toujours. Où qu’il soit planqué, il doit pas dormir tranquille. Ses 100 millions de dollars sont probablement encore accessibles, mais compliqués à utiliser car c’est difficile de mener la grande vie quand on est l’un des hommes les plus recherchés de la planète. Et puis maintenant, on connaît ses adresses Bitcoin donc chaque transaction est tracée…
Depuis la chute de LockBit, RansomHub a récupérè 41% du marché, BlackBasta se développe, Mora_001 utilise une variante de LockBit 3.0 comme base. Bref, l’empire est mort, mais l’ADN de LockBit survit.
En conclusion, le crime ne paie pas, surtout quand on commet les mêmes erreurs que ceux qu’on attaque…
Un artiste a transformé une cafetière des années 80 en PC gaming. Et ça marche ! Le café est bon aussi, il paraît…. En effet, Doug MacDowell nous prouve que la frontière entre génie et folie est parfois aussi fine qu’un filtre à café. Son Coffeematic PC est une machine qui défie toutes les lois du refroidissement informatique en utilisant du café chaud pour… refroidir son processeur. Pas de panique, je vais tout vous expliquer !!
L’histoire commence dans un magasin d’occasion durant l’hiver 2024. Doug cherchait le châssis parfait pour un ordinateur rétro gaming. Son regard s’est alors posé sur une magnifique cafetière General Electric Coffeematic des années 80. “Boxy yet athletic”, comme il la décrit. Un design qui ne s’embarrasse pas des considérations futures d’internet. Parfaite pour être hackée.
Et son concept est complètement barré car ce PC est entièrement fonctionnel, et la cafetière aussi. Elle percole du java comme n’importe quelle cafetière. Du café très chaud, à environ 90°C. Car là où les ordinateurs utilisent normalement des ventilateurs ou du watercooling pour réduire la chaleur, le Coffeematic PC fait exactement l’inverse. Il utilise le café brûlant qu’il prépare pour… chauffer ? refroidir ? caféiner ? son processeur !
Une pompe prend ce breuvage bouillant et le fait circuler à travers deux radiateurs placés sur le dessus de la machine. Le liquide descend ensuite vers un CPU (AMD Athlon II X4 640) niché dans une carte mère ASUS M2NPV-VM sanglée au dos de la cafetière. Le café continue ensuite son voyage à travers une artère qui le ramène dans la carafe. Et ça recommence, jusqu’à ce que le café soit “intégré à l’utilisateur” ou que la machine soit éteinte.
Normalement, un CPU doit rester froid et le café chaud. Les processeurs fonctionnent idéalement entre 30 et 70°C, et à 90°C on flirte avec la zone dangereuse où le CPU ralentit pour se protéger. Pourtant, malgré la circulation de café à 90°C, le Coffeematic PC ne plante pas.
Doug a écrit du code pour monitorer sa machine toutes les 5 secondes pendant 75 minutes et d’après ses résultats, sa machine est “presque auto-destructrice”. Le CPU, l’ensemble du système et son module circulatoire trouvent finalement leur équilibre à une température de 33°C, ce qui est étonnamment proche de celle du liquide qui circule en vous et moi. Un miracle thermodynamique qui défie toute logique de refroidissement PC.
Cela peut s’expliquer par le fait que ce grand volume de café en circulation dans de looong tuyaux fini par refroidir et dissiper à la fois sa propre chaleur mais aussi celle du processeur, sans oublier qu’il y a mis pas mal de radiateurs qui eux aussi participent à la dissipation thermique. Puis je crois aussi me souvenir pour en avoir eu un équivalent, que les processeurs Athlon AMD de l’époque étaient plutôt solide face à la canicule.
La liste des composants est un voyage temporel : une cafetière de la fin des années 70, une carte mère et un CPU des années 2000 récupérés dans un centre de recyclage, un SSD et du matériel moderne des années 2020.
Le tout tourne sous Linux Mint et la cafetière GE n’a nécessité qu’une réparation mineure à savoir remplacer un petit tube vinyle fissuré. Elle met bien sûr du temps à faire le café, mais une fois prêt… il a le goût d’un café fait dans une cafetière en plastique des années 70. Et ça c’est inimitable comme sensation !
Bref, vous l’aurez compris, on est plus dans un délire artistique que dans un véritable système de water-cooling euh pardon, de coffee-cooling ^^.
Et ce qui rend ce projet encore plus intéressant, c’est surtout qu’il s’inscrit dans une certaine lignée du hack de machines à café… Car Doug n’est pas le premier à fusionner café et informatique, mais il est probablement le premier à utiliser du café chaud comme méthode de refroidissement. L’histoire de cette “mode” commence en 2002 avec Nick Pelis et sa “Caffeine Machine”. Puis… plus rien pendant 15 ans. Un silence radio total dans le monde des ordinateurs-cafetières.
Mais la renaissance arrive en 2018 avec le “Zotac Mekspresso” d’Ali Abbas pour un salon et en 2019, un certain Logarythm crée le “Mr. Coffee PC” (le préféré de Doug pour sa simplicité). Enfin en 2024, la chaîne YouTube NerdForge construit un “PC that makes coffee”.
Et Doug vient donc compléter cette lignée avec son Coffeematic PC.
Mais alors pourquoi ce trou de 15 ans ? Les gens étaient-ils fatigués du café ? Doug ne le pense pas.
Pour comprendre, il a créé un graphique croisant la timeline des ordinateurs-cafetières avec les événements tech majeurs compilés par le Computer History Museum.
Entre 2002 et 2018, le monde a connu guerres, catastrophes naturelles, crises financières, et même l’apocalypse de 2012 selon le calendrier Maya. Mais en se concentrant sur la tech, Doug cherche des indices sur cette disparition de la créativité absurde. Facebook, Twitter, l’iPhone, Android… Est-ce que l’arrivée des réseaux sociaux et des smartphones a tué notre envie de créer des machines inutiles mais géniales ???
Suite à son invention, Doug a alors monté une expo appelée “Sparklines” où il explore ce mystère à travers des visualisations de données dessinées à la main. Il crée des portraits de ce qu’il appelle des “artistes-hackers”, utilisant des outils de dessin technique et un kit de lettrage vintage. C’est une jolie approche analogique pour documenter une créativité numérique.
Pour concevoir et construire son PC qui fait le café, Doug a passé environ un mois et ça lui a coûté dans les 300-400 dollars en pièces neuves (pompe, radiateurs, tuyaux alimentaires) + les composants recyclés.
Ainsi, son build traverse les époques, mélangeant des technologies de trois décennies différentes dans une seule machine totalement absurde.
Voilà, donc la prochaine fois que vous siroterez votre café devant votre PC bien ventilé, pensez au Coffeematic PC car vous pourriez peut-être faire pareil chez vous et voir circuler du café brûlant le long de votre processeur sans tout faire exploser. Car visiblement, on peut.
Vous pensiez que BitLocker était votre ami ? Celui qui protège gentiment vos données avec son chiffrement intégral du disque ?
Eh bien, Fabian Mosch vient de prouver lors de la conférence Troopers 2025 qu’on pouvait le transformer en complice involontaire pour des attaques plutôt vicieuses. Le principe, c’est qu’au lieu d’attaquer BitLocker frontalement (ce qui serait suicidaire vu la robustesse du chiffrement), la technique consiste à détourner ses mécanismes internes pour exécuter du code malveillant.
Comment ?
Et bien en exploitant le fait que BitLocker cherche à charger des objets COM qui n’existent pas. C’est le fameux CLSID A7A63E5C-3877-4840-8727-C1EA9D7A4D50 que le processus BaaUpdate.exe essaie désespérément de trouver à chaque fois qu’il se lance.
L’astuce ici, c’est donc d’utiliser WMI (Windows Management Instrumentation) pour créer à distance cette clé de registre manquante et y glisser le chemin vers une DLL malveillante.
Comme ça, quand BitLocker démarre, il charge gentiment votre code en pensant que c’est un composant légitime. Et le plus magique c’est que tout s’exécute sous l’identité de l’utilisateur connecté.
Alors si c’est un admin du domaine, je vous raconte pas le jackpot ! Pour prouver que ce n’est pas que de la théorie, l’équipe de r-tec Cyber Security a développé BitLockMove, un outil qui automatise toute l’attaque.
Le mode énumération permet d’abord de scanner les sessions actives sur une machine distante grâce aux API non documentées de winsta.dll et une fois qu’on a repéré un utilisateur intéressant (genre DOMAINE\Administrateur), on passe en mode attaque.
La séquence d’attaque est assez cool d’ailleurs :
Activation du service Remote Registry via WMI
Création de la clé de registre piégée
Déclenchement du processus BitLocker via l’interface BDEUILauncher
Exécution du code malveillant dans le contexte de l’utilisateur ciblé
Nettoyage des traces (suppression de la clé et de la DLL) Au fait, .
Ce qui rend cette technique particulièrement sournoise, c’est qu’elle abuse de processus Microsoft signés et légitimes. Par exemple, il y a BdeUISrv.exe, le processus qui finit par exécuter votre code, qui est un binaire officiel de Windows. Pour un EDR lambda, ça ressemble donc à du comportement normal de BitLocker.
Toutefois, ce n’est pas non plus la panacée pour les attaquants car il faut déjà avoir des privilèges d’administrateur local sur la machine cible. Ensuite, toute cette gymnastique laisse des traces exploitables. Le service Remote Registry qui passe de “désactivé” à “actif” puis retourne à “désactivé” en quelques secondes, c’est louche.
Les événements Windows 4657, 4660 et 4663 sur les clés de registre BitLocker, c’est donc un red flag énorme, sans parler des processus baaupdate.exe et BdeUISrv.exe qui apparaissent dans des contextes inhabituels.
Pour les défenseurs qui veulent mater leurs logs, voici les points de surveillance critiques :
Event ID 7040 pour les changements d’état du service Remote Registry
Surveillance des créations/suppressions sous HKEYCURRENTUSER\SOFTWARE\Classes\CLSID{A7A63E5C-3877-4840-8727-C1EA9D7A4D50}
Processus BdeUISrv.exe lancé par svchost.exe (au lieu du comportement normal)
Chargement des DLL winsta.dll ou wtsapi32.dll par des processus non standards
L’article original propose même des règles SIGMA toutes prêtes et des requêtes KQL pour Microsoft Defender for Endpoint. C’est du clé en main pour les équipes SOC qui veulent détecter cette technique.
Comme d’hab, la sécurité Windows reste un casse-tête car chaque fonctionnalité légitime introduit de nouvelles surfaces d’attaque. BitLocker protège vos données au repos, mais ses mécanismes internes deviennent des vecteurs d’attaque pour du “mouvement latéral” (c’est comme ça qu’on dit).
Pour ceux qui veulent creuser le sujet, le code de BitLockMove est disponible sur GitHub. Mais comme toujours avec ce genre d’outils, utilisez-le uniquement dans un cadre légal (tests d’intrusion autorisés, labos de recherche, etc.) sinon, vous allez finir en prison !!
Maintenant, reste à voir combien de temps il faudra à Microsoft pour patcher ce comportement… s’ils considèrent ça comme un bug, hein, et pas juste comme une “fonctionnalité” du système COM. On verra bien…
Vous êtes en train de lire tranquillement un long tuto, et voilà que votre écran s’éteint.
Relou, non ?
Alors si vous en avez marre de devoir toucher votre souris toutes les 30 secondes pour garder votre écran allumé, j’ai déniché un petit outil sympa qui va vous changer la vie : LumoSprite.
Le truc génial avec LumoSprite, c’est que c’est une application web toute simple qui empêche votre écran de s’endormir. Pas besoin d’installer quoi que ce soit, pas de logiciel lourd qui tourne en arrière-plan, juste une page web à garder ouverte.
C’est totalement gratuit et ça utilise la fameuse Wake Lock API pour faire sa magie. Pour ceux qui se demandent comment ça marche techniquement, la Screen Wake Lock API c’est une technologie web qui permet aux sites de demander au système de ne pas éteindre l’écran. Cette API est maintenant supportée par tous les navigateurs majeurs (Chrome, Safari, Firefox), ce qui rend l’outil super compatible.
Il suffit donc que votre navigateur supporte JavaScript et la Wake Lock API, et c’est parti. Vous arrivez sur le site, vous activez la fonction, et voilà, votre écran restera allumé tant que l’onglet est ouvert et au premier plan. L’outil propose même plusieurs langues (anglais, chinois, japonais, coréen… Pas de français encore) et différents thèmes pour personnaliser l’expérience.
C’est vraiment pensé pour être accessible à tous et les cas d’usage sont nombreux. Par exemple, vous lisez un livre numérique ou vous suivez une recette de cuisine sans avoir à toucher votre écran avec vos mains pleines de beurre ? Vous présentez quelque chose à distance ? Ou vous surveillez simplement un process au boulot ? Ça répond à tous ces besoins.
Des alternatives comme nosleep.page ou Keep Screen On proposent des fonctionnalités similaires mais LumoSprite se démarque par sa simplicité et son look sympa. Pas de fioritures inutiles non plus et niveau vie privée, c’est nickel puisque tout fonctionne localement dans votre navigateur, et qu’aucune donnée n’est collectée ou envoyée quelque part.
L’outil consomme d’ailleurs moins de 1% des ressources de votre machine, donc pas de souci pour la batterie ou les performances car c’est du JavaScript léger, qui fait juste ce qu’il faut. Après si vous cherchez une solution plus permanente, il existe aussi des extensions navigateur comme Keep Awake pour Chrome ou des solutions système comme PowerToys Awake pour Windows.
Mais franchement, pour un usage ponctuel, LumoSprite fait largement le job sans encombrer votre navigateur d’extensions supplémentaires.
Le succès de ce type d’outils montre bien qu’il y avait un vrai besoin. D’ailleurs, Betty Crocker (le site de cuisine américain) a vu une augmentation de 300% de l’intention d’achat après avoir implémenté la Wake Lock API sur leur site directement. Comme ça, les gens peuvent enfin suivre leurs recettes sans que l’écran s’éteigne toutes les deux minutes ! Pour un site de tuto, c’est peut-être un move pertinent.
Bref, si vous cherchez un moyen simple et efficace de garder votre écran allumé, foncez tester LumoSprite.
29 heures par semaine. C’est le temps qu’un gamin de 12 ans passe aujourd’hui sur son smartphone. Un mi-temps, quoi ! Et pendant que je tape ces lignes, des milliers de parents flippent en voyant leurs mômes hypnotisés par TikTok. Et je les comprends.
L’OMS vient de lâcher des chiffres qui donnent le vertige : entre 2018 et 2022, l’usage problématique des réseaux sociaux chez les ados est passé de 7% à 11%. Un ado sur dix, c’est énorme. Sans compter les 12% qui sont accros aux jeux vidéo et ne veulent rien faire d’autre. Autant dire qu’on a collectivement un sacré problème sur les bras.
C’est dans ce contexte, qu’un mouvement de résistance prend de l’ampleur. Le Smartphone Free Childhood, lancé par deux parents britanniques début 2024, cartonne méchamment et plus de 140 000 parents ont déjà signé leur pacte pour retarder l’arrivée du smartphone chez leurs gosses. Le truc a tellement pris qu’on retrouve des groupes similaires dans 60 pays, de l’Argentine à l’Ouzbékistan.
Jonathan Haidt, un prof qui a écrit “The Anxious Generation” (lien affilié), pousse le concept avec ses 4 règles simples : pas de smartphone avant 14 ans, pas de réseaux sociaux avant 16 ans, des écoles sans téléphones et surtout, redonner aux gamins une vraie enfance avec des activités dans le monde réel. Simple sur le papier, mais dans la pratique, c’est une autre paire de manches.
Le souci, c’est que quand vous êtes le seul parent à dire non au smartphone, votre gosse devient le paria de la cour de récré. “Mais tous mes copains en ont un !”… on la connaît tous celle-là. C’est pour ça que le mouvement mise sur l’action collective. Si tous les parents d’une classe ou d’une école s’y mettent ensemble, ça change la donne.
Bon, c’est bien beau tout ça, mais là c’est les vacances, on bosse tous en télétravail, et on a en même temps les enfants dans le collimateur. Alors concrètement, on fait quoi pour occuper nos chères têtes blondes sans écrans ? C’est là qu’intervient Offline Kids, un site lancé en 2025 qui propose des activités sans écran pour les 2-10 ans. Le concept est malin car tout est classé par durée (de 15 minutes à 2 heures), par âge, par type d’activité et même par niveau de bordel que ça va mettre dans votre salon.
Le site propose des trucs variés : arts créatifs, jeux, musique, danse, activités d’extérieur… Y’a même une catégorie “life skills” pour apprendre aux gamins des trucs utiles. Et franchement, quand je vois certaines idées, ça me rappelle ma propre enfance. Genre faire des châteaux avec des cartons Amazon (au moins ils servent à quelque chose), organiser des chasses au trésor dans le jardin ou apprendre à faire des crêpes.
Ce qui est cool, c’est qu’ils ont pensé aux parents crevés. Y’a toute une section d’activités que les gosses peuvent faire en autonomie pendant que vous êtes en call ou en train de préparer le dîner. Parce que oui, on a tous déjà autoriser plus d’heures de console ou de télévision pour avoir la paix pendant une conf call importante.
Et en France, on n’est pas en reste notamment avec le Défi Déconnexion 2025 qui mobilise parents, profs et animateurs pour créer des alternatives aux écrans. Car ce n’est pas en fliquant les gamins qu’on va s’en sortir, mais en proposant des activités qui les éclatent vraiment. D’ailleurs, les bénéfices d’une digital detox en famille sont prouvés : meilleure communication, plus de créativité, amélioration de la concentration et des résultats scolaires. Sans parler du sommeil qui revient et de l’anxiété qui diminue. Mais le plus important, c’est peut-être de retrouver du temps ensemble, du vrai temps, pas juste coexister dans la même pièce chacun sur son écran.
Alors oui, c’est pas facile. Les écrans, c’est pratique, ça occupe, ça calme. Mais quand on voit que depuis 2010, le temps que les ados passent avec leurs potes a chuté de 65%, y’a de quoi se poser des questions. On est en train de fabriquer une génération de gosses qui savent swiper avant de savoir lacer leurs chaussures.
D’ailleurs, j’avais déjà parlé des dangers des smartphones avant 13 ans et franchement, toutes ces nouvelles études ne font que le confirmer. Et le mouvement prend de l’ampleur puisque des célébrités comme Benedict Cumberbatch ont signé le pacte. Des écoles entières passent ainsi en mode “smartphone free”.
Maintenant, pour ceux qui veulent tenter l’aventure, le site Offline Kids est un bon point de départ. C’est tout en anglais mais bon, je pense que vous êtes assez malin pour traduire tout ça comme des grands. En plus, les activités sont simples, pas chères et testées par de vrais parents. Et surtout, pas besoin de matériel compliqué… Il faut juste un peu d’imagination et de bonne volonté. Et si ça permet de retrouver des moments de complicité avec vos gamins, ça vaut le coup d’essayer, non ?
Parce qu’au final, nos gosses n’ont qu’une enfance et elle est trop courte pour la passer derrière un écran. (Dis le vieux con qui a passé la sienne devant le Club Dorothée ^^)
Le fait que la plupart des caméras IP qu’on achète sur Amazon ou AliExpress soient potentiellement truffées de backdoors, ça ne vous empêche pas de dormir ? Genre, vous installez une caméra pour surveiller votre maison et au final c’est vous qui êtes surveillé. Sympa, non ? Et bien sur Hackernews, j’ai découvert un projet qui va vous redonner le sourire : OpenIPC.
Il s’agit d’un firmware alternatif open source pour vos caméras IP. En gros, c’est un système d’exploitation créé par la communauté qui remplace le firmware pourri, opaque et souvent abandonné que les fabricants installent par défaut. Et le meilleur dans tout ça c’est que ça fonctionne sur une tonne de puces différentes : ARM, MIPS, et des processeurs de chez Hisilicon, Ingenic, Sigmastar, et j’en passe.
Ça permet de reprendre le contrôle total de vos streams comme ça plus de backdoors, plus de botnets, plus de malware de crypto-mining planqué dans votre caméra. C’est vous le seul maître à bord. Et vu le nombre de scandales qu’on a eus ces dernières années avec des caméras chinoises qui envoient des données on ne sait où, c’est plutôt rassurant.
Le projet utilise Buildroot pour construire sa distribution Linux et propose plusieurs streamers selon vos besoins : Majestic (le plus performant mais pas encore open source), Divinus (totalement open source), Mini ou Venc. Majestic, même s’il n’est pas encore ouvert, offre des performances de malade pour un large éventail de matériel. D’ailleurs, l’auteur cherche à l’open-sourcer dès qu’il aura sécurisé assez de fonds pour continuer le développement.
Ce qui est génial, c’est surtout que ce firmware supporte plein de fonctionnalités sympas comme le stockage cloud IPEYE externe, le streaming vers YouTube et Telegram, les proxys SOCKS5, la configuration de tunnels VPN… Bref, tout ce qu’il faut pour faire de votre caméra un vrai petit serveur multimédia sécurisé.
D’ailleurs, la communauté FPV est complètement fan du projet car des marques comme Runcam, Emax et Eachine ont déjà intégré le firmware dans leurs produits. Pour les pilotes de drones, c’est donc la révolution niveau transmission vidéo et les projets spécialisés fleurissent : caméras pour drones, casques de chantier, outils de surveillance, recherche médicale, pêche sous-marine… Les possibilités sont infinies.
Pour installer Openpic sur vos caméras, il y a deux méthodes principales. La première, c’est d’utiliser Coupler, un projet qui crée des images firmware installables via les mécanismes de mise à jour intégrés dans le firmware d’origine. Super pratique si vous ne voulez pas ouvrir votre caméra.
Et la deuxième méthode, c’est plus hardcore puisqu’il faut ouvrir la caméra, connecter un adaptateur UART sur le port série de debug, et flasher via TFTP. Ça demande de mettre les mains dans le cambouis, mais c’est pas si compliqué. Il faut juste identifier votre SoC (System on Chip), configurer un serveur TFTP, interrompre le bootloader au démarrage, et envoyer le nouveau firmware. Ahaha, je sais dit comme ça, ça fait peur, mais rassurez-vous, le projet fournit des guides détaillés pour chaque étape.
Un point important, avant de flasher, sauvegardez toujours votre firmware d’origine. On ne sait jamais, vous pourriez vouloir revenir en arrière (même si franchement, une fois qu’on a goûté à la liberté d’OpenIPC, difficile de faire marche arrière).
Le projet est distribué sous licence MIT, ce qui signifie que vous pouvez faire à peu près ce que vous voulez avec le code, même l’utiliser dans des projets commerciaux. La seule restriction, c’est l’usage militaire qui n’est pas autorisé.
Et niveau support matériel, c’est impressionnant puisque aujourd’hui, OpenIPC supporte des puces d’Ambarella, Anyka, Fullhan, Goke, GrainMedia, Ingenic, MStar, Novatek, SigmaStar, XiongMai… et la liste continue de s’allonger. Bref, si vous avez une vieille caméra qui traîne et qui n’est plus supportée par le fabricant, il y a de fortes chances qu’OpenIPC puisse lui donner une seconde vie.
Pour les développeurs, il y a même des outils sympas comme un Dashboard multi-plateforme (Linux/Mac/Windows) construit avec Avalonia UI qui permet de gérer et monitorer facilement vos caméras OpenIPC. C’est totalement pensé pour simplifier la vie des utilisateurs.
Voilà, donc au lieu de jeter votre vieille caméra chinoise, vous pouvez la revitaliser avec un firmware moderne et sécurisé. C’est bon pour votre portefeuille et pour la planète et qui sait, peut-être que ça poussera les fabricants traditionnels à être plus transparents sur leurs firmwares.
Le dépôt GitHub du projet est ici et si vous voulez approfondir, la documentation officielle est très complète et accessible même pour les débutants.
Vous connaissez les fortunes ? Mais siii, ce sont petites citations aléatoires qui s’affichent dans le terminal ! Eh bien figurez-vous que Debian a décidé de faire le grand ménage dans les versions “offensantes” de ces paquets. Et forcément, ça fait des vagues.
L’histoire a commencé avec deux bug reports (#1109166 et #1109167) déposés par Andrew M.A. Cater qui a tout simplement demandé la suppression pure et simple des paquets fortunes-es-off (la version espagnole) et fortunes-it-off (la version italienne), arguant que ces blagues n’avaient “aucune place dans Debian”. Et c’est là, que c’est parti en cacahuète.
D’un côté, il y a donc Agustin Martin qui maintient le paquet espagnol depuis des années et qui nous explique qu’il a déjà fait un sacré tri en virant les trucs vraiment violents, et que ce qui reste c’est de l’humour qui peut choquer certaines personnes “avec un seuil de tolérance bas”. Et de l’autre, Salvo Tomaselli qui gère la version italienne et qui n’était vraiment pas content qu’on lui demande de supprimer son paquet en pleine période de freeze.
Alors quand le contributeur NoisyCoil a analysé le contenu du paquet italien et y a trouvé des citations qui appellent explicitement à la violence contre les femmes, du genre, des trucs qui disent que les femmes devraient être battues régulièrement, c’était plus possible !
Là, on n’était clairement plus dans l’humour douteux mais dans quelque chose de beaucoup plus problématique.
Paul Gevers de l’équipe de release Debian a donc tranché en déclarant que “les versions offensantes des paquets fortune n’ont plus leur place dans Debian”. Une décision qui fait écho à ce qui s’était déjà passé avec la version anglaise fortunes-off, supprimée il y a déjà quelques années.
Ce qui est intéressant, je trouve, dans cette histoire, c’est de voir comment une communauté open source gère ce genre de tensions car d’un côté, vous avez cette “tradition” de la liberté totale, et de l’autre, la volonté de créer un environnement inclusif.
Mais bon, au final, Tomaselli a cédé et supprimé les paquets offensants notant avec une pointe d’ironie dans le changelog que c’était dû à des “bug reports bien synchronisés de l’équipe de release pendant la période de freeze”.
Alors est-ce qu’on doit tout accepter au nom de la liberté ? Ou est-ce qu’il y a des limites à ne pas franchir ?
Perso, je pense qu’entre une blague de mauvais goût et un appel à la violence contre les femmes, il y a quand même une sacrée différence. Mais bon visiblement, tout le monde n’est pas d’accord là-dessus… Certes les mentalités évoluent dans le bon sens, mais il y en a qui évoluent moins vite que les autres (voire qui sont encore bloqués dans les années 50…).
Bref, ce qui est sûr, c’est que tant que certains n’auront pas compris que discriminer des gens déjà fortement discriminés, ce n’est pas de l’humour mais de la violence, alors ce genre de débat continuera à agiter le monde du libre !
Perplexity AI s’est fait épingler par Cloudflare, pris la main dans le sac à contourner allègrement les règles du web avec leurs bots masqués. Et le plus fort dans tout ça c’est qu’ils nient tout en bloc.
L’affaire a éclaté quand Cloudflare, qui s’occupe d’un cinquième du trafic internet mondial, a décidé de fouiner un peu dans les pratiques suspectes de certains bots IA. Et le verdict est tombé assez rapidement : Perplexity a recours à des crawlers furtifs qui se font passer pour de véritables navigateurs afin de s’emparer du contenu des sites web, même lorsque les propriétaires ont dit non par le biais du fameux fichier robots.txt.
Ce qui rend cette histoire encore plus énervante, c’est la technique utilisée. Plutôt que d’employer leur user agent officiel “PerplexityBot”, les bots se déguisent en Chrome sur Windows 10.
Cloudflare a mené ses propres expériences pour prouver la manœuvre. Ils ont conçu un site web accessible uniquement aux vrais user agents Chrome et Firefox, tout en bloquant explicitement PerplexityBot via le robots.txt. Les bots officiels de Perplexity sont bien arrêtés, mais étrangement, quand un utilisateur fait une requête sur Perplexity.ai, le contenu est tout de même récupéré.
Comment ? Et bien grâce à des crawlers masqués, utilisant des ASN (Autonomous System Numbers) différents et des user agents trafiqués.
La défense de Perplexity ? Un véritable morceau de bravoure. Leur PDG, Aravind Srinivas, affirme qu’ils ne contournent pas le robots.txt, mais qu’ils recourent à des “fournisseurs tiers” pour le crawling. En gros, “C’est panoupanous, c’est les autres.” Sauf qu’il ne veut pas révéler l’identité de ces mystérieux partenaires, prétextant un accord de confidentialité. Pratique, non ?
Le problème dépasse largement le cadre de Perplexity car Wired et le développeur Robb Knight avaient déjà mené l’enquête en juin 2024 et découvert des indices similaires. Amazon Web Services a même lancé une investigation pour vérifier si Perplexity bafoue leurs conditions d’utilisation. Et en juin 2025, la BBC a menacé de poursuites judiciaires, exigeant que Perplexity cesse de scraper leur contenu et efface toutes les données collectées.
Pour situer l’ampleur du phénomène, Cloudflare a déterminé que les bots IA représentent désormais 5% de tout le trafic bot identifié. OpenAI avec GPTBot est en tête, suivi de… PerplexityBot en neuvième position. Mais ça, c’est uniquement pour ceux qui jouent cartes sur table. Combien passent sous le radar avec des identités truquées ?
La technique de contournement est d’ailleurs assez rusée car quand vous demandez à Perplexity d’explorer une URL spécifique, leur système prétend agir “au nom de l’utilisateur”, comme si vous copiez-collez vous-même le contenu. Sauf qu’en réalité, c’est un bot automatisé qui s’en charge, en utilisant des headless browsers pour paraître plus légitime.
TollBit, une startup spécialisée dans les accords de licence IA, a révélé que plus de 50 sites web choisissent délibérément d’ignorer le protocole robots.txt. Et surprise, selon une enquête de Business Insider, OpenAI et Anthropic (les créateurs de Claude) figureraient parmi eux. Mais au moins, ils ne se cachent pas derrière des user agents falsifiés.
Ce qui m’agace vraiment dans cette histoire, c’est l’hypocrisie ambiante. D’un côté, ces entreprises IA nous vendent du rêve sur l’éthique et la transparence et de l’autre, elles emploient des méthodes dignes de hackers des années 2000 pour aspirer du contenu sans permission. Et pendant ce temps, les créateurs de contenu se retrouvent pillés sans compensation.
Cloudflare propose bien quelques solutions pour se protéger, notamment leur outil AI Bots qui permet de gérer finement l’accès des différents crawlers IA. Ils ont aussi mis au point un “Bot Score” qui évalue la légitimité du trafic sur une échelle de 1 à 99. Plus le score est bas, plus y’a de chances que ce soit un bot. Les crawlers masqués de Perplexity obtiennent généralement un score en dessous de 30.
Donc, si vous gérez un site web, je vous recommande vivement de scruter vos logs. Repérez les schémas suspects du genre une même IP qui enchaîne les requêtes, des user agents identiques mais aux comportements différents, ou des accès à des URLs jamais publiées.
Quoiqu’il en soit, si même les plus grandes entreprises IA ne respectent pas des règles basiques comme le robots.txt, qu’est-ce qui les empêchera demain de franchir d’autres limites ?
Un faux tweet, 3 minutes de chaos, 136,5 milliards de dollars évaporés. Non, c’est pas Elon Musk qui a encore fait des siennes sur Twitter, mais bien une bande de hackers syriens qui a réussi le plus gros market crash de l’histoire en 140 caractères. Bienvenue dans l’univers complètement barré de la Syrian Electronic Army.
Beaucoup ont creusé cette histoire pendant des années sans vraiment comprendre toutes les ramifications politiques, mais avec la chute du régime Assad en décembre 2024, on peut enfin reconstituer le puzzle complet de cette organisation qui a terrorisé les médias occidentaux pendant près d’une décennie.
Bon, pour comprendre comment des mecs dans un bureau à Damas ont pu faire trembler Wall Street, il faut remonter à 1989. À l’époque où on jouait tous à Tetris sur Game Boy, Bassel al-Assad, le frère aîné de Bashar et héritier présomptif du trône syrien, fonde la Syrian Computer Society. L’objectif affiché c’est de démocratiser l’informatique en Syrie, mais en réalité, il s’agit de créer les fondations d’une infrastructure numérique contrôlée par le clan Assad.
Quand Bassel se tue dans un accident de voiture en 1994 (il roulait à 240 km/h sur la route de l’aéroport de Damas dans le brouillard… le mec n’était pas très prudent), Bashar hérite de tout : le destin politique et la présidence de la Syrian Computer Society. Le futur dictateur, qui était ophtalmologue à Londres, se passionne alors pour les nouvelles technologies et supervise personnellement l’introduction d’Internet en Syrie.
Ce qui est fort dans cette histoire, c’est que Assad avait tout de suite compris dès les années 90, tout le potentiel stratégique d’Internet. Pendant que nos dirigeants européens découvraient encore le Minitel, lui posait déjà les bases d’une cyberguerre moderne. Au bout d’un moment, sa femme Asma a alors repris le contrôle de la Syrian Computer Society, transformant progressivement l’organisation en pépinière de cyber-soldats.
En 2000, Bashar devient président et garde un œil attentif sur le développement numérique du pays. La Syrian Computer Society devient le seul registrar de noms de domaine syriens et contrôle l’infrastructure Internet nationale via SCS-NET, son propre FAI. Puis arrive 2011 et les Printemps arabes. Les manifestations éclatent en Syrie, les réseaux sociaux s’embrasent, et Assad comprend qu’il a besoin d’une arme numérique pour contrôler le narratif. Le 5 mai 2011, la Syrian Computer Society enregistre discrètement le domaine syrian-es.com via la Syrian Telecommunications Establishment.
La Syrian Electronic Army vient officiellement de naître.
Le truc génial (enfin, façon de parler), c’est que contrairement aux groupes de hackers anonymes classiques, la SEA opérait presque à visage découvert. Ces mecs étaient tellement protégés par le régime qu’ils se permettaient de défiler dans les rues de Damas avec des gilets aux couleurs du groupe !
Alors, qui sont ces cyber-warriors du régime Assad ? Et bien voici les profils des principaux acteurs, et vous allez voir, c’est un sacré casting.
Ahmad Umar Agha, alias “Th3 Pr0” - Le prodige négligent : Ahmad, 22 ans à l’époque de ses principaux exploits, incarne parfaitement la génération de hackers syriens formés dans l’écosystème Assad. Le FBI l’a ajouté à sa liste des cyber-criminels les plus recherchés avec une récompense de 100 000 dollars. Pourquoi ? Parce que ce génie s’est fait identifié à cause de son compte Gmail [email protected] créé en 2010.
Ahmad Umar Agha
Le mec envoyait ses documents d’identité personnels et des photos de famille par email et bien sûr, il se connectait souvent à ses comptes depuis des adresses IP syriennes non masquées. J’ai vu des script kiddies de 13 ans se protéger mieux que lui…
Ahmad dirigeait la division “opérations spéciales” de la SEA. Selon le FBI, il était spécialisé dans les attaques de spear-phishing ultra-sophistiquées, capable de créer de faux emails tellement convaincants que même des journalistes expérimentés tombaient dans le panneau. Entre 2011 et 2014, il a comme ça compromis des dizaines d’agences gouvernementales américaines, des médias et des organisations privées.
Firas Dardar, alias “The Shadow” - L’homme de l’ombre pas si discret : Firas, 27 ans, était le binôme technique d’Ahmad. Surnommé “The Shadow”, il était censé être l’expert en furtivité du groupe. Raté ! Comme son complice, il a multiplié les erreurs de sécurité qui ont permis au FBI de le traquer.
Dardar était l’expert en ingénierie sociale de l’équipe et sa spécialité c’était de créer des pages de connexion factices tellement bien foutues qu’elles trompaient même les équipes IT des grandes rédactions. Il avait développé un système de phishing multi-étapes où la première page redirige vers une seconde, puis une troisième, pour mieux brouiller les pistes. Du travail d’orfèvre !
Et à partir de 2013, Dardar et un certain Peter Romar ont monté un business parallèle d’extorsion. Ils hackaient des entreprises et menaçaient de détruire leurs données sauf si elles payaient une rançon. L’entrepreneuriat version cyber-terroriste !
Peter Romar - Le blanchisseur d’argent : Ce mec de 36 ans était le troisième larron du groupe d’extorsion. Son job ? Contourner les sanctions internationales pour récupérer l’argent des rançons. Quand les victimes ne pouvaient pas payer directement en Syrie à cause des sanctions, Romar servait d’intermédiaire.
Arrêté en Allemagne et extradé aux États-Unis en mai 2016, il a plaidé coupable en septembre 2016. Il risquait 5 ans de prison. Au moins un qui s’est fait choper !
Haidara Suleiman - Le prince héritier du cyber-empire : Voici le personnage le plus intéressant de toute l’histoire. Haidara n’est pas un hacker lambda, c’est le fils de Bahjat Suleiman, l’un des hommes les plus puissants du régime Assad. Bahjat dirigeait la branche interne de la Direction générale du renseignement et était considéré comme le mentor et confident d’Assad.
Et Haidara cumule les casquettes : rédacteur en chef du journal pro-régime Baladna, membre dirigeant de la Syrian Electronic Army, et surtout… gestionnaire de la page Facebook officielle de Bashar al-Assad ! Le fils d’un chef des services secrets qui gère les réseaux sociaux du dictateur ET coordonne les cyberattaques contre l’opposition, c’est comme si le fils du patron de la DGSE gérait le Twitter de Macron tout en hackant Le Monde !
Yaser al-Sadeq - Le commandant qui aimait les caméras : Yaser se proclamait “commandant” de la Syrian Electronic Army et adorait apparaître dans les médias syriens en tenue militaire. Ce type était l’antithèse du hacker anonyme classique puisqu’il cherchait la reconnaissance publique et revendiquait fièrement chaque attaque.
La période 2013-2014 marque l’apogée de la Syrian Electronic Army. Leurs techniques étaient d’une redoutable efficacité, mélangeant ingénierie sociale, exploitation de vulnérabilités et manipulation psychologique. Certaines de leurs attaques étaient du grand art car les hackers syriens avaient développé une méthode imparable qui fait encore des dégâts aujourd’hui. Voici leur recette secrète (bon, plus si secrète que ça maintenant) :
Étape 1 : La reconnaissance - Ils épluchaient les réseaux sociaux et les organigrammes des rédactions pour identifier les employés ayant accès aux comptes Twitter/Facebook officiels. LinkedIn était leur terrain de jeu favori pour cartographier les équipes. Un peu comme des stalkers professionnels quoi !
Étape 2 : L’email d’hameçonnage - Ils envoyaient des emails ultra-convaincants, souvent en usurpant l’identité d’un collègue ou d’un service IT interne. Le message contenait toujours un prétexte crédible : “urgent, problème de sécurité sur votre compte”, “nouvelle procédure de connexion obligatoire”, “document exclusif sur la Syrie à consulter”. Les journalistes adorent les scoops, et eux le savaient !
Étape 3 : La page piégée - Le lien menait vers une fausse page de connexion, parfaite copie de Google, Facebook ou du système interne de l’entreprise. Ces pages étaient tellement bien faites que n’importe qui aurait pu se faire avoir un jour de fatigue. Une fois les identifiants saisis, hop, les hackers avaient ensuite accès aux comptes.
Étape 4 : L’escalade - Avec un premier compte compromis, ils envoyaient des emails aux contacts de la victime pour étendre leur emprise. “Salut, peux-tu vérifier ce document urgent ?” avec un nouveau lien piégé. C’est comme ça qu’ils ont réussi à compromettre des rédactions entières !
Le hack du siècle se déroule le 23 avril 2013 à 13h07, heure de New York. Le compte Twitter officiel d’Associated Press (@AP), suivi par près de 2 millions de personnes, publie ce tweet : “Breaking: Two Explosions in the White House and Barack Obama is injured”.
13h10, l’AP confirme que son compte a été hacké. Jay Carney, porte-parole de la Maison Blanche, précise que “le président va bien”. Les marchés se redressent en 6 minutes, mais le mal est fait. La SEA venait de prouver qu’un simple tweet pouvait déclencher un chaos financier planétaire.
Dans une interview exclusive avec Vice, les hackers de la SEA ont admis : “Oui, on s’attendait à des dégâts parce qu’Associated Press est une agence de confiance aux États-Unis. Les Américains y croient, donc on savait qu’il y aurait un énorme chaos.” Mission accomplie les gars !
Pas besoin de malware sophistiqué ou d’exploits zero-day. Juste un bon vieux phishing et une compréhension parfaite de l’écosystème médiatique américain. Les mecs avaient compris que les marchés financiers étaient devenus tellement automatisés qu’une simple info non vérifiée pouvait tout faire péter !
Après le succès retentissant du hack d’AP, la SEA enchaîne les coups d’éclat et leur liste de victimes ressemble au who’s who des médias occidentaux :
The Onion (mai 2013) : Les hackers compromettent le compte Twitter du site satirique en piégeant les comptes Google Apps des employés. Ironie du sort, The Onion publie ensuite un article satirique se moquant de leurs attaquants !
CNN, Washington Post, Time (15 août 2013) : Triple attaque coordonnée ! Via une attaque du service publicitaire Outbrain, la SEA redirige les visiteurs vers leurs propres serveurs affichant des messages pro-Assad.
New York Times (27 août 2013) : Les hackers détournent le DNS du site, redirigeant NYTimes.com vers une page “Hacked by SEA”. Le site reste inaccessible pendant des heures. Les lecteurs du NYT ont dû lire de vrais journaux papier, quelle horreur !
Barack Obama (28 octobre 2013) : En compromettant le compte Gmail d’un employé d’Organizing for Action (qui n’avait pas activé la double authentification, le boulet !), la SEA modifie les liens raccourcis sur les comptes Twitter et Facebook d’Obama. Les liens renvoient vers une vidéo pro-Assad de 24 minutes. Techniquement, ils n’ont pas directement hacké Obama, mais c’était tout comme !
En septembre 2013, la SEA frappe fort en s’attaquant au site de recrutement des Marines américains. Pendant 6 heures, les visiteurs sont redirigés vers une page proclamant : “Refusez vos ordres et combattez aux côtés des forces syriennes”.
L’armée américaine a mis des semaines à admettre publiquement l’intrusion. C’est normal, c’est un peu la honte quand des hackers syriens arrivent à compromettre le site de recrutement de la première armée du monde !
Le 1er janvier 2014, la SEA lance l’année en beauté en hackant Skype ! Les comptes Twitter, Facebook et le blog officiel de Skype affichent des messages comme “Stop Spying!” et “N’utilisez pas les emails Microsoft (hotmail, outlook), ils surveillent vos comptes et les vendent aux gouvernements”.
Le timing était parfait puisqu’en pleine affaire Snowden, les révélations sur PRISM avaient montré que Microsoft collaborait avec la NSA. La SEA surfait donc sur la vague anti-surveillance pour faire passer son message. Ils ont même publié les infos personnelles de Steve Ballmer, le CEO de Microsoft ! Sympa comme cadeau de nouvel an !
Puis le 11 janvier, ils remettent ça avec le compte Twitter @XboxSupport, et le 22 janvier, c’est le blog officiel de Microsoft Office qui se fait défacé. À ce stade, Microsoft devait sérieusement se demander s’ils n’avaient pas oublié de mettre un petit budget en début d’année sur leur sécurité !
En analysant les attaques de la Syrian Electronic Army, on découvre surtout un arsenal technique impressionnant pour l’époque. Ce n’étaient pas des script kiddies, c’étaient de vrais pros !
Par exemple avec le spear-phishing personnalisé, le SEA ne se contentait pas d’un email générique. Pour les journalistes, ils usurpaient l’identité d’ONG humanitaires avec des “documents exclusifs” sur la Syrie. Pour les techniciens IT, ils se faisaient passer pour des services de sécurité avec des alertes bidon. Ou encore pour les dirigeants, ils imitaient des partenaires commerciaux avec des “contrats urgents à signer”.
Le niveau de personnalisation était hallucinant. Ils mentionnaient des détails sur la vie privée des victimes, des projets en cours, des collègues spécifiques. Genre “Salut John, comme on en a parlé avec Sarah lors du meeting de mardi dernier…”. Fort !
Sur l’exploitation de CMS obsolètes, la SEA excellait dans l’exploitation de failles dans les systèmes de gestion de contenu mal mis à jour. WordPress, Joomla, Drupal… Dès qu’une vulnérabilité était découverte, ils scannaient automatiquement des milliers de sites pour identifier les versions obsolètes.
C’est comme ça qu’ils ont réussi à défacer tant de sites médiatiques. Les admins sys qui oubliaient de faire leurs mises à jour se retrouvaient alors avec un beau logo SEA en page d’accueil. La base quoi !
Le DNS hijacking était également une de leurs techniques les plus vicieuses. Cela consistait à compromettre les serveurs DNS des hébergeurs. En modifiant les enregistrements DNS, ils pouvaient rediriger le trafic d’un site légitime vers leurs propres serveurs. Les visiteurs tapaient l’adresse habituelle, mais arrivaient sur une page de propagande pro-Assad.
Et puis il y avait BlackWorm RAT : À partir de 2014, la SEA (ou plus précisément la Syrian Malware Team, leur division malware) développe ses propres outils. BlackWorm était un trojan espion distribué via de fausses apps imitant des outils de communication sécurisée.
Le malware existait en deux versions : la v0.3.0 originale et la Dark Edition v2.1. Cela permettait de tuer des processus Windows, redémarrer le système, collecter les infos système, copier sur USB avec autorun, contourner l’UAC, désactiver les firewalls, se propager sur le réseau… Du grand classique mais très efficace !
Une fois installé, BlackWorm collectait contacts, messages, géolocalisation et même les enregistrements audio. Les dissidents syriens qui pensaient utiliser une app sécurisée se retrouvaient alors complètement surveillés. Pas cool !
Puis en 2017, quelque chose change dans la stratégie de la Syrian Electronic Army. Le groupe abandonne progressivement les opérations de hacking pour se concentrer sur la guerre informationnelle et la propagande.
Yaser al-Sadeq l’explique dans une interview : “Avant, on travaillait en secret sur l’axe militaire. Maintenant que le gouvernement a gagné, on veut devenir les auxiliaires médiatiques de l’armée syrienne.”
Cette version 2017 de la SEA n’a plus grand-chose à voir avec le groupe underground des débuts. Al-Sadeq organise des défilés publics dans Damas, ses hackers portent des uniformes avec le logo SEA, ils donnent des interviews à la télé.
Et plutôt que de pirater des sites web, la nouvelle SEA se concentre sur la création de fake news. En 2021, Facebook découvre et supprime un réseau de faux comptes gérés par la SEA ciblant l’opposition syrienne, les Casques blancs et les combattants kurdes avec de la désinformation massive.
Leurs techniques ont donc évolué, mais l’objectif reste le même : contrôler le narratif, sauf qu’au lieu de pirater le compte Twitter d’AP, ils créent des milliers de comptes pour noyer l’info. C’est moins spectaculaire, mais tout aussi efficace !
Puis le 8 décembre 2024, c’est la fin. Le régime Assad s’effondre face à l’offensive des rebelles menés par Hayat Tahrir al-Sham et Bashar fuit vers la Russie avec sa famille, mettant fin à plus de 50 ans de dictature familiale. Avec la chute du régime, la Syrian Electronic Army perd sa raison d’être, Yaser al-Sadeq et ses troupes disparaissent dans la nature, Haidara Suleiman s’exile probablement avec papa et Ahmad Agha et Firas Dardar restent introuvables et sont encore aujourd’hui sur la liste des plus recherchés du FBI avec 100 000 dollars de récompense sur leur tête.
Cette organisation qui se vantait de maîtriser l’information n’a pas vu venir la chute de son propre camp et leurs talents en cyber-guerre n’ont pas suffi à sauver Assad. C’est le karma !
Tchao !
L’attaque contre AP reste LE cas d’école sur la fragilité des marchés face aux fake news et depuis, plusieurs incidents similaires ont eu lieu, la preuve que les gens n’apprennent pas vite et que les algos de trading sont toujours aussi cons.
En ciblant les médias occidentaux, la SEA a normalisé l’idée que l’info était un champ de bataille et aujourd’hui, que ce soit l’Ukraine, Gaza, Taiwan… partout, la guerre de l’info fait rage.
Bref, la Syrie c’est peut-être pas la Silicon Valley, mais ses hackers ont réussi à faire crasher Wall Street donc ça remet un peu les pendules à l’heure sur la prétendue supériorité technologique occidentale !
Connexion
