Le tribunal fédéral allemand (BGH pour les intimes) vient de relancer une bataille juridique vieille de 11 ans entre le géant des médias Axel Springer et Eyeo, les créateurs d’Adblock Plus. En effet, selon The Register, le BGH estime que les bloqueurs de pub pourraient violer le droit d’auteur en modifiant le code des pages web. Et oui, modifier l’affichage d’une page web sur VOTRE propre navigateur pourrait devenir illégal !
L’argument d’Axel Springer c’est que le code HTML et CSS de leurs sites web est protégé par le copyright, donc le modifier (même localement sur votre machine) constituerait une violation. C’est un peu comme si IKEA vous poursuivait parce que vous n’avez pas monté leur étagère Billy exactement selon les instructions. Ou que Renault vous attaquait parce que vous avez mis des housses de siège non officielles.
Daniel Nazer de Mozilla tire la sonnette d’alarme en rappelant que l’Allemagne pourrait devenir le premier pays démocratique à interdire les bloqueurs de publicités, rejoignant ainsi la Chine dans ce club très select. Parce que oui, actuellement, seule la Chine a eu cette idée lumineuse. On se demande bien pourquoi…
Mais attendez, ça devient encore plus absurde car les extensions de navigateur ne font pas que bloquer les pubs. Certaines modifient le code des pages pour améliorer l’accessibilité pour les personnes handicapées, protèger votre vie privée, corriger les bugs des sites mal codés…etc. Alors si on suit la logique du BGH, tout ça pourrait devenir illégal.
Vous utilisez une extension qui ajoute un mode sombre sur un site qui ne propose pas l’option ? C’est une violation de copyright mes amis !! Une extension qui traduit automatiquement ? Allez, hop, au tribunal !! Un gestionnaire de mots de passe qui remplit les formulaires ?? Direction la prison, et plus vite que ça !
Bref, le tribunal Allemand a renvoyé l’affaire devant la cour régionale de Hambourg pour un examen technique approfondi. La procédure pourrait durer encore un à deux ans. Deux ans pendant lesquels l’industrie du web va retenir son souffle en se demandant si l’Allemagne va vraiment oser. D’ailleurs, Google doit se frotter les mains car eux qui viennent de virer uBlock Origin du Chrome Store sous prétexte qu’il ne respecte pas leurs “bonnes pratiques” (traduction : il bloque trop bien leurs pubs), ce serait cool qu’un tribunal vienne leur donner raison légalement.
Perso, je pense qu’il faudrait juste les interdire aux cons et connes, c’est tout. Je me souviens par exemple d’un épisode épique sur Twitter où quelqu’un m’était tombé dessus parce parce que l’avertissement “Article sponsorisé” était mystérieusement absent d’un de mes articles. Verdict immédiat du tribunal populaire : “Ô scandale ! Horreur malheur !! Quelle infamie !! Toi, moche et méchant !! Tu mérite la mort !!” Bref, j’étais devenu l’Antéchrist de la publicité déguisée selon son cerveau en mode économie d’énergie. Mais la réalité, c’est que son Adblock de warrior avait fait du zèle et bouffé uniquement l’avertissement, laissant la pub bien visible sans mention. Et évidemment quand je lui ai fait gentiment remarqué, les attaques ont doublé d’intensité… Le temps ne fait rien à l’affaire, parait-il ;-).
L’avocat d’Axel Springer, Philipp-Christian Thomale, célèbre déjà cette décision comme “une vraie étape importante dans la protection du copyright des logiciels”. Apparemment, pour certains, protéger le copyright c’est plus important que protéger les utilisateurs contre le tracking publicitaire, les malwares cachés dans les pubs, ou simplement leur droit de contrôler ce qui s’affiche sur leur propre écran.
Cornelius Witt d’Eyeo reste confiant et rappelle qu’aucune entreprise ne devrait pouvoir interdire aux utilisateurs de déterminer leurs propres paramètres de navigateur ou les forcer à télécharger du contenu ou accepter du tracking.
Voilà, donc si demain du HTML et du CSS deviennent du “programme protégé par copyright”, autant développer directement en WebAssembly chiffré et arrêter de faire semblant que le web est ouvert. Ou alors, soyons logiques jusqu’au bout, interdisons les lunettes de soleil parce qu’elles modifient la perception des panneaux publicitaires, et obligeons les gens à garder les yeux ouverts avec des pinces pendant les pubs télé, façon Orange Mécanique.
Et si vraiment l’Allemagne décide d’interdire les bloqueurs de pub, il restera toujours le Pi-hole, les DNS alternatifs, ou tout simplement… désactiver JavaScript. Bon courage pour interdire ça.
Si je vous dis qu’une ex-Miss Jordanie est devenue cyber-terroriste, vous allez buguer. Mais rassurez-vous, c’est l’inverse ! Elle combat les terroristes avec des pubs pour du Prozac ! Voici aujourd’hui, l’histoire de Ghost Security Group, qui est comme un film de Tarantino écrit par des geeks sous substances illicites et c’est exactement ce dont on avait besoin pour mieux comprendre cette décennie de hacktivisme complètement barrée.
Je vous avoue que quand j’ai découvert cette histoire il y a 10 ans, j’ai d’abord cru à un canular. Des hackers qui remplacent des sites de propagande ISIS (Etat Islamique) par des publicités pour des antidépresseurs et du Viagra ? C’était tellement absurde que ça ne pouvait qu’être vrai…
Ghost Security Group, ou GhostSec pour les intimes, c’est donc l’histoire d’une bande d’ex-militaires américains et de professionnels de l’IT qui ont décidé qu’Anonymous n’était pas assez structuré pour combattre efficacement le terrorisme en ligne, alors ils s’y sont collés ! Comme l’expliquait McKenzie Wark dans son Hacker Manifesto (à ne pas confondre avec celui de The Mentor) : “Les hackers créent la possibilité que de nouvelles choses entrent dans le monde. Pas toujours de grandes choses, ou même de bonnes choses, mais de nouvelles choses”. Et GhostSec, c’était définitivement quelque chose de nouveau.
Tout commence donc le 7 janvier 2015. Vous vous souvenez de Charlie Hebdo ? Moi, j’étais à Las Vegas pour le CES et comme des millions de personnes, ça m’a foutu la rage. Sauf que contrairement à nous, certains avaient les compétences pour transformer cette colère en action. C’est pourquoi des membres d’Anonymous, déjà habitués aux opérations de désobéissance civile en ligne, ont décidé que cette fois, il fallait faire plus que des DDoS ponctuels.
Anonymous avait lancé l’#OpCharlieHebdo avec cette déclaration : “Nous vous traquerons partout sur la planète, nulle part vous ne serez en sécurité. Nous sommes Anonymous. Nous sommes légion. Nous n’oublions pas. Nous ne pardonnons pas. Ayez peur de nous, État islamique et Al-Qaïda, vous aurez notre vengeance”. Du bon gros style Anonymous qu’on connaît !
John Chase, l’un des futurs fondateurs de GhostSec, a expliqué plus tard que Charlie Hebdo était son point de rupture car le problème avec Anonymous, c’est que c’est génial pour mobiliser les foules, mais niveau coordination tactique, c’est le bordel total. Essayez un peu d’organiser une cyber guerre avec 4chan… Bref, vous voyez l’idée.
C’est là qu’intervient le concept de Ghost Security. Pas un nouveau groupe à proprement parler, mais plutôt une cellule spécialisée d’Anonymous, focus à 100% sur l’anti-terrorisme et leur idée c’est d’appliquer les méthodes hacktivistes avec la discipline militaire. Et croyez-moi, ça change TOUT. Comme l’a dit un membre de GhostSec sous le pseudo Ransacker : “Le FBI a admis à plusieurs reprises [son incapacité]. Alors, nous nous sommes impliqués dans #OpISIS pour ralentir considérablement ISIS sur le recrutement et la propagande. Nous voulions aussi pouvoir déjouer des attaques en collectant des renseignements et en les transmettant aux forces de l’ordre”.
Alors, qui compose cette dream team du hacktivisme ? Et bien il faut d’abord comprendre que GhostSec n’était pas votre collectif de script kiddies moyen. Non, ce sont des ex-militaires américains, des experts informatiques, et même des journalistes spécialisés. Les membres principaux étaient AnonCyberGost, WauchulaGhost, DigitaShadow, Comedianon, TorReaper, ISHunter, et GhostSecPI. Du bon gros level là-dedans !
Et il y avait une vraie division du travail dans le groupe. Certains membres s’occupaient de la collecte de renseignements pendant que d’autres “ghosts” se concentraient sur le côté technique de la chasse à ISIS. Un membre gérait les demandes médias et publiait même un site GhostSec Update sur Medium. Le projet était coordonné via des applications de messagerie chiffrées, des emails cryptés, et plus publiquement, sur Twitter.
Mais le personnage le plus fascinant, c’est sans doute Lara Abdallat. Ex-Miss Jordanie 2010, première dauphine Miss Monde Arabe 2011, musulmane convaincue et accessoirement l’une des hackeuses les plus redoutables de la planète. Elle rejoint GhostSec en novembre 2014, mais s’active vraiment après qu’ISIS ait brûlé vif le pilote jordanien Muath al-Kasaesbeh. Sa motivation comme elle l’écrira c’est que “Les gouvernements du monde entier n’en faisaient pas assez pour lutter contre la menace insidieuse que représentait l’État islamique.”
Lara maîtrisait parfaitement l’arabe, ce qui lui permettait de s’infiltrer dans les communications ISIS pour collecter du renseignement et je pense que ces terroristes ne s’attendaient pas à se faire piéger par quelqu’un qui avait défilé en bikini quelques années plus tôt. Le plus fort, c’est qu’elle est, encore aujourd’hui, la seule membre de Ghost Security Group dont l’identité a été rendue publique.
WauchulaGhost, lui, c’était l’artiste du groupe. Son truc c’est le defacement créatif. Il remplaçait les sites ISIS par des images de chèvres et des visuels pro-LGBTQ+. Son slogan : “Tout ce que je fais, c’est pour les gens… c’est un service gratuit”. Bref, un Robin des Bois numérique avec un sens de l’humour douteux, soit exactement ce qu’il fallait à cette cause. Plus tard, quand le groupe se divisera, il restera fidèle à l’esprit Anonymous sous le nom de #GhostofNoNation.
DigitaShadow, lui, était le cerveau tactique. Ex-militaire avec une compréhension fine des enjeux géopolitiques, il avait cette capacité rare de transformer la colère hacktiviste en stratégie cohérente. C’est lui qui développe les méthodes de collaboration avec les agences de renseignement… un concept révolutionnaire pour Anonymous à l’époque.
Les méthodes de GhostSec à l’époque étaient un mélange de techniques classiques et d’innovations tactiques. DDoS pour surcharger les serveurs ISIS, SQL injection pour compromettre leurs bases de données, defacement pour humilier publiquement leurs supporters. Mais leur vraie spécialité, c’était la collecte de renseignements. Et là, ils étaient forts !
Car contrairement aux Anonymous classiques qui font du bruit, GhostSec privilégiait l’infiltration discrète. Ils s’incrustaient dans les forums ISIS, interceptaient les communications, collectaient du renseignement afin d’identifier des attaques planifiées pour les transmettre aux autorités. Et ça fonctionne !!
Le processus était bien rodé… d’abord, ils signalaient le site à l’hébergeur. Si rien n’était fait, alors GhostSec passait à l’attaque d’abord en tentant de pirater le site, puis par DDoS en dernier recours. Les attaques de piratage incluaient l’injection SQL, les attaques XSS et les attaques par force brute. Le groupe revendiquait avoir supprimé plus de 57,000 comptes de réseaux sociaux et plus de 100 sites web utilisés par Daesh dès 2015. Selon certaines estimations, ils auraient réduit la capacité d’ISIS à diffuser son message en dehors de son public principal, réduisant la capacité de l’organisation à manipuler l’opinion publique et à attirer de nouvelles recrues.
En juillet 2015, ils interceptent des communications relatives à un attentat prévu sur un marché tunisien, un copycat de l’attaque qui avait tué 38 touristes dans un hôtel de bord de mer. L’info est alors remontée via Kronos Advisory Group (une boîte de sécurité privée dirigée par Michael Smith II) jusqu’au FBI et le résultat est plutôt satisfaisant puisque l’attentat est déjoué avec à la clé 17 arrestations. Pareil pour des projets d’attaques à New York…etc. GhostSec a probablement sauvé des vies sans que personne ne le sache jamais.
Mais l’anecdote qui restera dans l’histoire, c’est le hack du 25 novembre 2015 d’un site ISIS sur le dark web, probablement un WordPress mal sécurisé (ça c’est du classique !). GhostSec y pénètre et remplace tout le contenu par… une publicité pour CoinRX.com, une pharmacie en ligne vendant du Prozac et du Viagra.
Le message laissé était bien trollesque : “Trop d’ISIS. Augmentez votre calme. Il y a trop de gens s’intéressent à cette histoire d’ISIS. Alors regardez cette jolie publicité afin que nous puissions améliorer notre infrastructure et vous offrir le contenu ISIS dont vous rêvez tous si désespérément”. Et s’en suivait alors une publicité pour “la première pharmacie en ligne bitcoin” avec une sélection de médocs allant du Viagra au Prozac. Des terroristes qui prônent la mort et la destruction se retrouvent avec de la pub pour des antidépresseurs !
C’était tellement surréaliste que ça avait fait le tour du web. Imaginez la tête des recruteurs ISIS qui arrivent sur leur site de propagande et tombent sur “Achetez votre Viagra avec Bitcoin”. C’était ça la philosophie GhostSec, utiliser l’humour et la dérision pour désacraliser la propagande terroriste. Pas juste détruire, mais ridiculiser. Et c’est infiniment plus efficace psychologiquement. Comme ils le disaient, cette approche visait à “déterritorialiser” l’espace de communication qu’ISIS avait territorialisé pour la violence.
Mais comme toutes les belles histoires de hacktivisme, celle-ci tourne au vinaigre à cause de divergences philosophiques. En novembre 2015, 3 membres clés - DigitaShadow, ISHunter et GhostSecPI quittent le groupe pour créer Ghost Security Group (GSG), une entité séparée d’Anonymous.
Leur argument c’est que pour être vraiment efficaces contre ISIS, il faut collaborer officiellement avec le gouvernement américain. Exit l’anonymat, exit la désobéissance civile. Place à la coopération institutionnelle via des contrats avec des agences comme Kronos Advisory Group. Du coup, ils deviennent “légitimes” mais perdent leur âme.
Les autres membres du groupe ont mal pris la chose. TorReaper, notamment, reproche à l’équipe dissidente de transformer le renseignement en “marchandise” à protéger plutôt qu’à partager avec la communauté. Pour lui, c’était une trahison des valeurs d’Anonymous : “Le renseignement… est devenu une marchandise qui devait être protégée et a donc cessé d’être partagé avec les followers du groupe”. Bref, ça sent la séparation qui pique.
Mais peut-on changer le système de l’intérieur sans se faire corrompre par lui ?
DigitaShadow avait 14 spécialistes dans son équipe GSG, avec un financement stable et un accès direct aux décideurs. Mais il avait perdu l’âme anarchiste qui faisait la force d’Anonymous. C’est pourquoi TorReaper et les autres maintiennent le nom GhostSec sous bannière Anonymous, reconstruisant le groupe avec moins de hiérarchie et plus d’indépendance.
Pendant quelques années, les deux groupes coexistent. Ghost Security Group travaille avec les agences gouvernementales, GhostSec continue ses opérations indépendantes. Mais maintenir une infrastructure hacktiviste coûte cher. Serveurs, VPN, outils de chiffrement, tout ça représente un budget conséquent.
En 2016, le flux de propagande ISIS sur les réseaux sociaux devient si énorme que GhostSec change de stratégie. Au lieu de faire tomber des sites web, ils se concentrent sur la recherche de menaces directes, propagande, etc. Tout renseignement exploitable qu’ils peuvent ensuite transmettre aux agences de maintien de l’ordre américaines. Pour cela, ils se focalisent presque exclusivement sur les comptes Twitter.
Fin été 2016, nouveau tournant, GhostSec fusionne avec BlackOps Cyber, un groupe privé affilié à la corporation internationale BlackOps Partners. Avec cette fusion, GhostSec abandonne son masque Anonymous pour devenir partie intégrante d’une équipe de contre-terrorisme CyberHUMINT. Cette transformation signifiait des connexions plus profondes avec les forces de police internationales, Interpol, MI5, et autres. Pendant ce temps, WauchulaGhost garde sa position Anonymous pour combattre seul sous le nom de #GhostofNoNation, continuant ainsi la tradition du trolling créatif qu’il avait initiée.
Alors en 2022, GhostSec commence à diversifier ses activités. D’abord, ils s’attaquent aux infrastructures russes pour soutenir l’Ukraine comme en avril 2022, où ils paralysent le système ferroviaire de Metrospetstekhnika, empêchant le transport de matériel militaire via la Biélorussie.
Mais progressivement, la nécessité financière pousse le groupe vers des activités moins nobles. En juillet 2022, ils lancent “GhostSec Mafia Premium”, un service de cybercriminalité à la demande. L’idée c’est d’utiliser leurs compétences pour financer les opérations hacktivistes. Moralement discutable, mais stratégiquement cohérent.
Puis le 28 août 2023, GhostSec forme une alliance appelée “The Five Families” avec d’autres groupes : ThreatSec, Stormous, Blackforums, et SiegedSec. L’objectif selon eux, l’objectif c’est “Établir une meilleure unité et de meilleures connexions pour tous les acteurs du monde souterrain d’Internet, afin d’étendre et de développer notre travail et nos activités”. Et deux mois plus tard, ils lancent GhostLocker, un ransomware-as-a-service qui va faire parler de lui.
GhostLocker, c’était du solide. Interface de gestion complète pour les affiliés, système de double extorsion (chiffrement + vol de données), ciblage international. Ils frappent dans 16 pays : Cuba, Argentine, Pologne, Chine, Liban, Israël, Ouzbékistan, Inde, Afrique du Sud, Brésil, Maroc, Qatar, Turquie, Égypte, Vietnam, Thaïlande, Indonésie. Du bon gros niveau international !
Les secteurs visés sont la technologie, l’éducation, l’industrie, le gouvernement, le transport, l’énergie, le juridique, l’immobilier, et les télécoms. Du beau travail, malheureusement pas du bon côté de la barrière. La version de leur ransomware était codée en Python et compilée avec Nuitka, avec du chiffrement AES via la librairie Fernet.
En janvier 2024, ils sortent GhostLocker 2.0 écrit en Go avec des améliorations techniques significatives. Interface redesignée, meilleure gestion des campagnes, système de paiement optimisé. Le ransomware chiffre les fichiers et y ajoute l’extension “.ghost”… au moins ils assument leur identité !
En février 2024, GhostSec et Stormous lancent STMX_GhostLocker, un programme RaaS plus sophistiqué proposé à 269,99$ par mois. S’en suit une attaque de haut niveau en mars 2024 contre la brasserie belge Duvel Moortgat qui se fait dérober 88 GB de données et met à l’arrêt des lignes de production en Belgique et aux États-Unis. C’est là qu’on réalise l’ampleur du truc.
Puis le 15 mai 2024, GhostSec annonce officiellement son retrait des activités criminelles et son retour au hacktivisme. Sebastian Dante Alexander, le leader du groupe, forward un message depuis leur canal Telegram annonçant leur sortie de The Five Families et leur retour aux sources. D’après eux, ils avaient obtenu suffisamment de financement via les ransomwares pour soutenir leurs opérations hacktivistes à long terme.
En gros, ils ont fait du crime pour financer leur idéalisme. C’est totalement discutable moralement, mais stratégiquement ça a fonctionné. En tout cas, c’est du jamais vu dans l’histoire du hacktivisme ! Toutes les opérations GhostLocker sont alors transférées à Stormous, qui continue le programme RaaS. GhostSec, lui, revient à ses fondamentaux c’est à dire la surveillance du terrorisme en ligne, les opérations géopolitiques, et le bon vieil hacktivisme traditionnel. Alexander annonce également que leurs futures cibles incluront les organisations et agences gouvernementales israéliennes, ainsi que l’exposition de données relatives aux cartels mexicains.
Alors aujourd’hui, que reste-t-il de toute cette aventure ? Et bien GhostSec a probablement empêché des attentats, démantelé des réseaux de propagande, et sauvé des vies.
Mais leur parcours illustre aussi les dilemmes moraux du hacktivisme car quand vous avez les compétences pour améliorer le monde, comment est-ce que vous vous financez ? Comment est-ce que vous restez indépendants ? Et surtout, la fin justifie-t-elle tous les moyens ?
La transformation de GhostSec → cybercriminalité → retour au hacktivisme est unique dans l’histoire du hack car c’est la première fois qu’un groupe reconnaît explicitement avoir fait du crime pour financer son idéalisme, puis arrête quand l’objectif est atteint. Et bien sûr, ça fait débat dans la communauté hacker.
Mais au-delà de l’aspect moral, GhostSec pose une question fondamentale : les actions du groupe s’attaquaient-elles vraiment aux causes profondes du terrorisme, ou ne faisaient-elles que reproduire les mêmes structures étatiques que les terroristes combattent ? Étaient-ils des pirates créant des “zones autonomes temporaires” au nom des droits humains, ou simplement des corsaires générant du profit dans la guerre mondiale contre le terrorisme ?
Mais parlons un peu technique, parce que c’est là que GhostSec excelle vraiment. Leurs méthodes combinent sophistication technologique et intelligence humaine de façon magistrale.
Infiltration sociale : Grâce à des membres arabophones comme Lara Abdallat, ils s’incrustaient dans les forums et groupes Telegram ISIS. Ils se faisaient passer pour des sympathisants, collectaient des informations sur les recruteurs, les méthodes de propagande, les projets d’attaques. Du bon gros HUMINT (Human Intelligence).
SQL injection avancée : Pour compromettre les sites ISIS, ils utilisent des techniques d’injection SQL sophistiquées, permettant d’accéder aux bases de données complètes. Ils récupèrent ainsi les listes d’utilisateurs, les communications privées, les documents stratégiques. Classique mais efficace.
DDoS coordonnés : Contrairement aux attaques DDoS anarchiques d’Anonymous, GhostSec orchestre des campagnes ciblées et temporisées. L’objectif n’est pas juste de faire tomber un site, mais de perturber des opérations spécifiques à des moments stratégiques.
10 ans après Charlie Hebdo, GhostSec a effectivement tenu sa promesse de retour au hacktivisme avec une expertise accrue grâce à leur expérience de la décennie écoulée. Ghost Security Group (la branche gouvernementale) continue ses activités de conseil auprès des agences américaines. Et Lara Abdallat travaille désormais ouvertement avec les autorités jordaniennes sur les questions de cybersécurité.
L’évolution de GhostSec, d’Anonymous à groupe semi-gouvernemental, puis à cybercriminels, et retour au hacktivisme, illustre parfaitement les paradoxes du monde numérique moderne. Leur histoire montre qu’il n’existe pas de frontière claire entre le bien et le mal dans le cyberespace, seulement des nuances de gris dans un monde en perpétuelle mutation.
Après avoir écrit tout ça, en tout cas, j’ai très envie de savoir ce qu’ils préparent pour la suite, parce que connaissant leur capacité à nous surprendre, on n’a pas fini d’entendre parler d’eux.
Boston, 1992. Dans un loft miteux du South End qui ressemble plus à un squat qu’à un labo, une bande de hackers bidouille tranquillement. On est dans la cave de la cave du 59 Hamilton Street, à côté du Boston Ballet. Le loyer est de 150 dollars par mois et le bail au nom d’un certain Brian Hassick qui squatte le lieu pour l’art et la musique. L’équipement qu’on y trouve, ce sont surtout des cables Ethernet coaxiaux de récup, des ordinateurs dépareillés et un T1 piraté sur un routeur Cisco mal configuré d’une boîte voisine. C’est là que naît L0pht Heavy Industries, avec un zéro à la place du O, parce que c’est plus l33t speak, vous comprenez.
Le groupe rassemble les meilleurs hackers de la côte Est. D’abord, y’a Count Zero (John Tan) qui loue l’espace pour 300 balles par mois et le sous-loue aux autres. Un type discret qui préfère rester dans l’ombre mais qui connaît les systèmes Unix comme sa poche. Ensuite arrive Mudge (Peiter Zatko), un mec qui a bossé sur BBN Technologies et qui comprend le protocole TCP/IP mieux que ceux qui l’ont inventé. Space Rogue (Cris Thomas), barbu et sarcastique, spécialiste des failles web avant même que le web existe vraiment. Weld Pond (Chris Wysopal), le mec qui peut transformer n’importe quelle ligne de commande en interface graphique Windows. Kingpin (Joe Grand), le génie du hardware qui peut souder les yeux fermés. Stefan von Neumann, le cryptographe. Brian Oblivion, l’énigmatique. Et plus tard, Dildog (Christien Rioux), le gars qui code en assembleur pour le fun et qui créera Back Orifice, le trojan qui fera trembler Microsoft.
Pendant que les script kiddies s’amusent avec leurs outils téléchargés sur les BBS, les mecs de L0pht développent des outils qui vont révolutionner la sécurité informatique. Leur philosophie ? “Making the theoretical practical.” On pourrait traduire ça comme : on prend les vulnérabilités théoriques que les chercheurs trouvent dans leurs labos universitaires, et on code des exploits qui marchent vraiment. C’est de la recherche appliquée niveau cyber street cred !
Windows NT, la cible favorite de L0phtCrack
La première bombe de L0pht, c’est L0phtCrack, sorti au printemps 1997. Mudge développe les algos de dictionnaire et de brute force dans un outil en ligne de commande. Le truc de base, quoi. Mais là où ça devient génial, c’est quand Weld Pond ajoute une interface graphique pour Windows. Parce que les admins Windows de l’époque, ils savent pas ce que c’est qu’un terminal. Et Dildog ? Il optimise tout en assembleur à la main. Du coup, un Pentium II 400 MHz de 1998 peut casser un mot de passe Windows NT de 8 caractères alphanumériques en une journée.
Le secret de L0phtCrack c’est qu’il exploite la faiblesse monumentale du hash LANMAN que Microsoft continue d’utiliser pour la rétrocompatibilité. Cette merde de protocole datant de l’époque où Steve Ballmer avait encore des cheveux divise les mots de passe en chunks de 7 caractères, les met en majuscules et les hashe séparément. Autant dire que niveau sécurité, c’est comme protéger Fort Knox avec un cadenas de vélo. Et le pire c’est que Microsoft stocke le hash LANMAN faible juste à côté du hash NTLM plus fort. Autant mettre la clé de chez vous sous le paillasson avec un panneau sur lequel il est écrit “La clé est ici”.
Bien sûr, Microsoft flippe sa race. Tellement que L0phtCrack les force finalement à désactiver LANMAN par défaut dans les versions ultérieures de Windows. Mais entre-temps, L0pht vend des milliers de licences de L0phtCrack à 100 dollars pièce. Les admins sys l’achètent pour “auditer” leurs réseaux… Et les hackers aussi, mais eux c’est pour “auditer” les réseaux des autres. Business is business !
Et le loft devient alors rapidement LE lieu de rassemblement de la scène hacker de Boston. Les mecs organisent des réunions hebdomadaires où ils partagent leurs découvertes. Mudge publie des papiers sur les buffer overflows qui deviendront des références et Space Rogue lance Hacker News Network (HNN) en 1998, l’un des premiers sites d’actualités sur la sécurité informatique. C’est l’ancêtre spirituel de tous les blogs sécu actuels.
Mais le moment qui fait entrer L0pht dans la légende, c’est le 19 mai 1998. Les sept membres sont convoqués devant le Comité sénatorial sur les affaires gouvernementales pour témoigner sur le thème “Weak Computer Security in Government”. Les sénateurs s’attendent à un show de geeks intimidés mais ce qu’ils obtiennent, c’est un électrochoc.
Le sénateur Fred Thompson (républicain du Tennessee et futur acteur dans Law & Order) pose LA question : “Pourriez-vous rendre Internet inutilisable pour toute la nation ?” Sans hésiter, Mudge répond : "C’est juste oui. En fait, l’un d’entre nous pourrait le faire avec juste quelques envois de paquets." Silence de mort dans la salle. Mudge continue : “L’Internet lui-même pourrait être mis hors service par n’importe lequel des sept individus assis devant vous avec 30 minutes de frappes bien orchestrées.”
La vulnérabilité en question dont parle Mudge ?
Une faille dans le protocole BGP (Border Gateway Protocol) que L0pht a découverte quelques temps avant. BGP, c’est le protocole qui permet aux routeurs d’Internet de savoir où envoyer les données. La faille permettrait de créer un effet boule de neige où quand un routeur tombe, il envoie des infos foireuses au suivant avant de mourir, qui les transmet au suivant avant de mourir, et ainsi de suite. En moins de 30 minutes, tout Internet s’effondrerait comme un château de cartes. Heureusement, les constructeurs ont déjà été prévenus et ont patché, mais la majorité des routeurs en production sont toujours vulnérables.
Space Rogue se souvient : “C’était l’idée de Mudge de lâcher cette bombe pendant le témoignage. On s’est dit que ça ferait réagir.” Et ça marche puisque ça fait beaucoup plus que réagir. Les médias s’emballent. CNN, NBC, tous les journaux en parlent. Pour la première fois, le grand public réalise qu’Internet, c’est pas juste magique, c’est aussi fragile. Et que des mecs en t-shirt Metallica peuvent le faire tomber depuis leur sous-sol.
Les sénateurs sont tellement impressionnés qu’ils demandent alors aux membres de L0pht de devenir consultants pour le gouvernement. John Tan raconte : “Ils nous ont proposé des badges et tout. On a dit qu’on préférait rester indépendants.” Mais l’impact est énorme et ce témoignage de L0pht marque le début de la prise de conscience sur la cybersécurité au niveau gouvernemental.
En parallèle de leur témoignage, Dildog travaille sur un projet qui va faire encore plus de bruit : Back Orifice. Présenté à DEF CON 6 en août 1998, c’est un outil d’administration à distance pour Windows qui fait exactement ce que fait le produit commercial de Microsoft (SMS - Systems Management Server), sauf qu’il est gratuit et qu’il peut être utilisé comme backdoor. Le nom est un jeu de mots sur Microsoft BackOffice. Très subtil.
Back Orifice, le trojan de Dildog qui a humilié Microsoft
Back Orifice permet donc de prendre le contrôle total d’une machine Windows 95/98/NT à savoir, voir l’écran, enregistrer les frappes clavier, transférer des fichiers, lancer des programmes. Le tout en 120 Ko. Microsoft pète un câble et qualifie ça de “malware”. Dildog répond : “C’est exactement ce que fait votre produit à 5000 dollars, sauf que le nôtre est gratuit et mieux codé.” Et paf, dans les dents !
La version 2000 de Back Orifice, sortie en 1999, est encore plus délirante. Elle supporte les plugins, le chiffrement, et peut même se cacher dans d’autres processus. Plus de 100 000 téléchargements en quelques semaines et les antivirus la détectent, mais Dildog sort des mises à jour plus vite qu’ils ne peuvent suivre. C’est le jeu du chat et de la souris, sauf que la souris code comme une dingue en assembleur.
Tout ce bordel attire alors l’attention des investisseurs et en 1999, le loft déménage dans de vrais bureaux à Watertown. Fini le T1 piraté, ils ont enfin une vraie connexion Internet maintenant et les membres commencent à gagner leur vie avec des consultations en sécurité. Mudge facture 1000 dollars de l’heure pour auditer des systèmes. Space Rogue vend des formations. Kingpin conçoit des badges électroniques sécurisés pour la DEF CON.
Et le 10 janvier 2000, c’est le tournant ! L0pht fusionne avec @stake, une startup de conseil en sécurité fondée par des anciens de Cambridge Technology Partners et leur idée c’est de combiner l’expertise technique de L0pht avec le côté business de @stake. Sur le papier, c’est génial. Dans la réalité, c’est le début de la fin.
Le moins qu’on puisse dire c’est que la transition est brutale. Space Rogue est viré du département marketing après quelques mois. “Ils voulaient que je porte un costume et que j’arrête de dire ‘fuck’ dans les réunions. J’ai dit que c’était pas négociable”. Et Mudge craque complètement. Il passe six mois en arrêt maladie pour dépression et quitte @stake après seulement deux ans. “On est passé de hackers qui changent le monde à consultants qui remplissent des PowerPoints. C’était déprimant.”
Les autres membres partent alors un par un. Kingpin retourne à l’électronique et devient une star de l’émission “Prototype This!” sur Discovery Channel. Stefan von Neumann disparaît dans la nature. Brian Oblivion aussi. Seul Nash reste jusqu’au bout, quand Symantec rachète @stake en 2004 pour 49 millions de dollars. À ce moment-là, il ne reste plus rien de l’esprit L0pht.
Mais certains rebondissent. Weld Pond et Dildog fondent Veracode en 2006, une boîte d’analyse de code qui cartonne qui est ensuite rachetée par Broadcom en 2018 pour 950 millions de dollars. Pas mal pour des anciens squatteurs ! Mudge rejoint la DARPA comme program manager où il lance le Cyber Fast Track, un programme pour financer la recherche en sécurité. Et il bosse ensuite chez Google, puis Stripe, puis Twitter comme chef de la sécurité (jusqu’à ce qu’Elon Musk le vire en 2022 après le rachat).
Space Rogue devient quant à lui strategist chez IBM X-Force. Il continue son blog et reste actif sur Twitter où il balance régulièrement sur l’industrie de la cybersécurité. “La moitié des boîtes de sécu actuelles vendent de la poudre de perlimpinpin. Au moins, nous, on cassait vraiment des trucs.”
Le 22 mai 2018, exactement 20 ans après leur témoignage historique, quatre membres originaux (Space Rogue, Weld Pond, Kingpin et Mudge) retournent à Washington pour un briefing intitulé “A Disaster Foretold - And Ignored”. Organisé par le Congressional Internet Caucus Academy et streamé sur Facebook (l’ironie !), ils font le bilan : “Internet était très fragile. Il est toujours très fragile. Et il y a probablement plus d’une façon de causer des problèmes similaires aujourd’hui qu’à l’époque.”
Mudge enfonce le clou : “En 1998, on parlait de 30 minutes pour faire tomber Internet. Aujourd’hui, avec l’IoT, les infrastructures critiques connectées, les voitures autonomes, on peut faire bien pire en bien moins de temps. Mais personne n’écoute vraiment. Les entreprises préfèrent investir dans le marketing que dans la sécurité.”
L’héritage de L0pht est immense. Ils ont montré qu’on pouvait être hacker ET légitime. Qu’on pouvait casser des systèmes pour les améliorer. Ils ont forcé Microsoft à revoir sa sécurité. Ils ont réveillé le gouvernement américain sur les cyber-menaces et ont inspiré toute une génération de chercheurs en sécurité.
Et aujourd’hui, L0phtCrack existe toujours !! Après plusieurs changements de propriétaire (Symantec, puis rachat par les auteurs originaux, puis Terahash, puis reprise pour défaut de paiement), il est devenu open source en 2022. La version 7 sortie en 2016 peut même casser les hash Windows 10 en quelques heures sur un GPU moderne. Et la version 8, encore en développement, promet de casser n’importe quel mot de passe Windows en moins d’une heure avec les bonnes ressources. Bref, 25 ans après sa création, l’outil reste une référence.
Le loft du 59 Hamilton Street n’existe plus évidemment. L’immeuble a été rénové et transformé en condos de luxe à 2 millions de dollars. Une plaque commémorative ? Non, rien. Pas même une mention sur Wikipedia de l’adresse exacte. C’est comme si l’histoire avait été effacée. Mais pour ceux qui savent, c’est là que tout a commencé, depuis un sous-sol pourri.
Aujourd’hui, la cybersécurité est une industrie de 200 milliards de dollars et des entreprises comme CrowdStrike valent plus que General Motors. Les bug bounties peuvent rapporter des millions, les hackers éthiques sont des rock stars qui donnent des conférences TED et tout ça, c’est aussi grâce à des pionniers comme L0pht qui ont montré que la sécurité informatique n’était pas un luxe mais une nécessité.
L0pht Heavy Industries, c’était l’âge d’or du hacking, quand on pouvait encore croire qu’on allait changer le monde avec du code et de l’idéalisme. C’était avant que tout devienne business, mise en conformité et certifications. C’était l’époque où être hacker voulait encore dire quelque chose et où “transformer le théorique en pratique”, n’était pas juste un slogan marketing mais une philosophie de vie.
Bref, L0pht, c’était les vrais, les OG, les hackers avant que ce soit cool. À vous de voir maintenant si vous préférez cette époque où on cassait des systèmes pour le fun et la gloire, ou aujourd’hui où on remplit des rapports de conformité pour des clients qui ne comprennent rien…
Vous croyez qu’un agent secret russe du GRU peut oublier d’allumer son VPN comme votre grand-père oublie ses lunettes ? Bah oui, ça peut arriver et c’est exactement comme ça qu’on a chopé Guccifer 2.0. Une seule fois, un seul petit oubli, et voilà… adresse IP tracée direct au siège du renseignement militaire russe sur Grizodubovoy Street à Moscou. Pas très discret pour un espion censé manipuler une élection présidentielle américaine…
L’histoire de Guccifer 2.0, c’est un mélange fascinant entre James Bond et Mr. Bean. D’un côté, on a une opération de cyberespionnage d’une sophistication redoutable orchestrée par deux unités d’élite du GRU qui a réussi à pirater le Comité national démocrate américain et à exfiltrer plus de 70 Go de données. Et de l’autre, une succession de bourdes techniques tellement grossières qu’on se demande comment ces gars-là ont eu leur diplôme d’espion.
Bref, toute cette histoire est un bon gros délire, vous allez voir.
Commençons par le commencement. En 2013, un hacker roumain du nom de Marcel Lehel Lazar s’était fait une petite réputation sous le pseudonyme de “Guccifer”. Ce chauffeur de taxi au chômage de 40 ans avait réussi à pirater les comptes emails de célébrités et d’hommes politiques américains, dont Sidney Blumenthal, un conseiller d’Hillary Clinton.
Sa technique ? Rien de très sophistiqué… il trouvait des infos personnelles sur ses cibles sur Facebook et devinait leurs questions de sécurité. Basique mais efficace. Il avait même publié des autoportraits de George W. Bush pris sous la douche, c’est dire !
Alors quand le 15 juin 2016, quelques heures seulement après que le Washington Post révèle que des hackers russes avaient infiltré le DNC, un nouveau personnage débarque sur WordPress.com en se faisant appeler “Guccifer 2.0”. Notre mystérieux Guccifer 2.0 sort de nulle part pour revendiquer le hack. “Non non, c’est pas les Russes, c’est moi, un hacker roumain solitaire qui veut dénoncer l’Illuminati !”
Sympa l’hommage au Guccifer original, mais il y avait juste un petit problème : Marcel Lazar était en taule fédérale aux États-Unis à ce moment-là, condamné à 52 mois de prison. Dur de pirater quoi que ce soit depuis sa cellule. Mais bon, les détails, hein. Et puis franchement, le timing était trop parfait… quelques heures après l’article du Washington Post ? Sérieusement ?
L’email de phishing reçu par John Podesta
L’affaire commence donc vraiment le 19 mars 2016 quand John Podesta, le directeur de campagne d’Hillary Clinton, reçoit un email qui ressemble à une alerte de sécurité Google. Vous savez, le genre de truc qu’on reçoit tous et qu’on ignore généralement. L’email avait pour objet “Someone has your password” et prétendait qu’une tentative de connexion avait eu lieu depuis l’Ukraine. Sauf que cette fois, c’était du spear-phishing de compétition, orchestré par l’unité 74455 du GRU russe (aussi connue sous le nom de Main Center for Special Technology).
Et là, c’est le drame. L’assistant de Podesta transfère l’email au support IT de la campagne. Un technicien répond avec une faute de frappe monumentale : au lieu d’écrire “This is an illegitimate email”, il tape “This is a legitimate email”. Oups ! L’assistant de Podesta, suivant les instructions, clique sur le lien malveillant via Bitly et saisit les identifiants. Et c’est terminé ! Le lien a même été cliqué deux fois. Les Russes venaient de s’offrir un accès VIP aux coulisses de la campagne Clinton.
Pendant ce temps, deux groupes de hackers russes, surnommés “Fancy Bear” (APT28, unité 26165 du GRU) et “Cozy Bear” (APT29, probablement le SVR) par les experts en cybersécurité, s’amusaient déjà dans les serveurs du DNC depuis 2015. L’unité 26165, basée au 20 Komsomolskiy Prospekt à Moscou et dirigée par Viktor Netyksho, s’était même payé le luxe d’installer des keyloggers et de prendre des captures d’écran des ordinateurs des employés. Au total, ils ont exfiltré plus de 70 Go de données du DNC et 300 Go des serveurs de la campagne Clinton. Y’a pas à dire, ils sont forts chez les Russes !
Les locaux du GRU à Moscou
Mais voilà, pirater c’est bien, mais il faut aussi savoir valoriser sa marchandise. Et c’est là qu’intervient notre star, Guccifer 2.0, géré par l’unité 74455 basée au 22 Kirova Street à Khimki (dans un bâtiment que les agents du GRU appellent “la Tour”) et dirigée par Aleksandr Osadchuk.
Le 15 juin 2016, Guccifer 2.0 fait donc son grand débarquement avec un post de blog sur WordPress dans lequel il se présente comme un hacker roumain patriote qui a agi seul pour “exposer la corruption”. Il balance même quelques documents du DNC pour prouver sa bonne foi, dont un dossier d’opposition research de 200 pages sur Donald Trump qu’il envoie à Gawker et The Smoking Gun.
Le message de Guccifer 2 sur son Wordpress
Le problème, c’est que personne n’y croit. Déjà, le timing est trop parfait, et puis surtout, quand les journalistes de Motherboard commencent à creuser, ça sent le roussi à plein nez.
L’interview qui a tout fait capoter, c’est celle de Lorenzo Franceschi-Bicchierai en juin 2016. Le journaliste demande à Guccifer 2.0 de répondre en roumain, histoire de vérifier ses origines. Et là, c’est la catastrophe totale ! Notre prétendu Roumain sort un charabia qui ressemble plus à du Google Translate qu’à du roumain natif. Il utilise des mots comme “filigran” pour “watermark”, une traduction littérale que seul un non-Roumain utiliserait. Les vrais Roumains disent “filigram” !
Pire encore, après quelques échanges laborieux où il écrit des trucs du genre “Îmi pare rău” (désolé) avec une grammaire bancale, Guccifer 2.0 refuse de continuer en roumain sous prétexte qu’il ne veut pas “perdre son temps”. Vraiment très convaincant pour quelqu’un qui prétend être né à Bucarest.
Mais les vrais clous du cercueil, ce sont les détails techniques. Parce que nos espions russes, aussi doués soient-ils pour pirater des serveurs, ont visiblement séché les cours de nettoyage de métadonnées.
Premier indice : Les documents publiés par Guccifer 2.0 contenaient des métadonnées en cyrillique, notamment un utilisateur nommé “Феликс Эдмундович” (Felix Edmundovich en alphabet russe). Pour ceux qui ne captent pas la référence, Felix Edmundovich Dzerzhinsky, c’est le fondateur de la Tcheka en 1917, c’est à dire l’ancêtre du KGB. Autant signer ses documents “Agent 007” directement. Le plus beau là-dedans, c’est qu’un autre document avait aussi “Che Guevara” dans les métadonnées… ils sont forts pour la discrétion !
Deuxième indice : Les liens cassés dans les documents généraient des messages d’erreur… en russe. Les documents montraient clairement qu’ils avaient été édités sur une version russe de Microsoft Word. Quelle coïncidence troublante pour un hacker roumain ! Des messages comme “Ошибка! Недопустимый объект гиперссылки” (Erreur ! Objet de lien hypertexte invalide) apparaissaient dans les docs.
Troisième indice : L’analyse linguistique de Shlomo Engelson-Argamon de l’Illinois Institute of Technology a montré que Guccifer 2.0 était “très probablement un Russe prétendant être Roumain” car son anglais présentait des structures syntaxiques typiquement russes, sans les articles définis et indéfinis qu’un Roumain natif utiliserait naturellement. Par exemple, il écrivait “I hacked server” au lieu de “I hacked the server”.
Mais la gaffe monumentale, celle qui a permis aux enquêteurs américains d’identifier précisément qui se cachait derrière Guccifer 2.0, c’est l’oubli du VPN. Un jour de mars 2018, probablement pressé ou distrait (ou après une vodka de trop ?), l’agent du GRU a oublié d’activer son client VPN avant de se connecter à un réseau social américain.
Résultat, une adresse IP bien réelle, tracée directement au quartier général du GRU sur Grizodubovoy Street à Moscou. Les enquêteurs américains ont pu alors identifier un officier particulier du GRU travaillant depuis le siège de l’agence. D’après les sources, l’IP provenait d’un bâtiment du GRU situé dans le district de Khoroshevsky à Moscou.
C’est ce genre d’erreur qui vous fait passer de “super-espion international” à “stagiaire qui a foiré son stage” en une fraction de seconde. J’imagine pas la tête du chef quand il a appris ça au briefing du matin. “Alors, Dimitri, tu peux m’expliquer comment tu as oublié le VPN ?” Bref, du grand art !
L’emblème du GRU
L’histoire devient encore plus croustillante quand on découvre les liens entre Guccifer 2.0, WikiLeaks et Roger Stone, le conseiller de Trump aux tatouages de Nixon dans le dos. Le 22 juin 2016, WikiLeaks contacte directement Guccifer 2.0 sur Twitter : “Salut ! Vous pourriez nous envoyer tout nouveau document ici pour un impact plus important que ce que vous pourriez avoir. Plus de gens vous suivront.”
Et effectivement, le 18 juillet, WikiLeaks confirme avoir reçu “les archives d’environ 1 Go” et annonce qu’ils vont tout publier cette semaine-là. Le 22 juillet 2016, pile avant la Convention nationale démocrate, WikiLeaks balance alros près de 20 000 emails du DNC. Timing parfait, encore une fois !
Côté Roger Stone, l’histoire est encore plus dingue car entre août et septembre 2016, Stone et Guccifer 2.0 échangent plusieurs messages privés sur Twitter. Le 15 août, Guccifer 2.0 demande : “do you find anything interesting in the docs i posted?” puis le 17 août : “please tell me if i can help u anyhow”. Stone leur envoie même un article qu’il a écrit sur la manipulation des machines à voter.
Puis le 21 août 2016, Stone tweete : “Trust me, it will soon be Podesta’s time in the barrel” (Croyez-moi, ce sera bientôt le tour de Podesta d’être dans le pétrin). Le problème, c’est qu’à cette date, personne ne savait publiquement que les emails de Podesta avaient été piratés. WikiLeaks ne les publiera qu’en octobre. Donc soit Stone est voyant, soit il était au courant de quelque chose.
Stone prétendra plus tard qu’il parlait d’un article à venir sur les liens entre John et Tony Podesta. Il niera d’abord tout contact avec Guccifer 2.0, puis qualifiera les échanges de “parfaitement anodins” quand The Smoking Gun les publiera en mars 2017. Il dira même que ses déclarations sur Julian Assange étaient “une blague” pour raccrocher au nez de Sam Nunberg. Ouin !
Robert Mueller, procureur spécial qui a mené l’enquête sur l’ingérence russe
L’enquête de Robert Mueller a alors fini par démanteler toute l’opération et le 13 juillet 2018, le Département de la Justice américain inculpe 12 officiers du renseignement militaire russe et révèle officiellement que Guccifer 2.0 était une identité utilisée par le GRU. C’est pourquoi on peut maintenant raconter toute cette histoire avec certitude.
Les 12 agents appartenaient à deux unités distinctes :
L’unité 26165 (Fancy Bear/APT28) : spécialisée dans l’infiltration et le vol de données, basée au 20 Komsomolskiy Prospekt, dirigée par Viktor Netyksho
L’unité 74455 : chargée de la diffusion et de la manipulation des informations volées via DCLeaks et Guccifer 2.0, basée dans “la Tour” au 22 Kirova Street à Khimki, dirigée par Aleksandr Osadchuk
L’acte d’accusation détaille tout : les techniques de spear-phishing utilisées, les serveurs loués en Malaisie et en Illinois, les bitcoins minés pour payer l’infrastructure (ils avaient même une opération de minage !), et même les noms de code des opérations. L’unité 74455 avait aussi piraté les systèmes électoraux de l’Illinois, volant les données de 500 000 électeurs incluant noms, adresses, numéros de sécurité sociale partiels et permis de conduire. D’après les enquêteurs américains, c’est du travail d’orfèvre.
Selon les sources proches de l’enquête, au moins deux personnes se cachaient derrière l’identité Guccifer 2.0. Après un début chaotique avec le fameux “Roumain” qui ne parlait pas roumain, l’opération a été confiée à un officier du GRU plus expérimenté. D’ailleurs, les derniers posts de Guccifer 2.0 en janvier 2017 montrent une maîtrise de l’anglais bien supérieure aux premiers. Comme si quelqu’un avait dit “Ok, on arrête les conneries, je reprends le dossier”.
L’affaire Guccifer 2.0 a vraiment marqué un tournant dans la guerre informatique moderne car pour la première fois, une opération d’influence cyber de cette ampleur était documentée dans ses moindres détails, avec noms, prénoms, adresses et même les heures de connexion des responsables. Les métadonnées, c’est vraiment la plaie des espions modernes !
L’impact sur l’élection de 2016 est très difficile à quantifier, mais les 58 000 emails de Podesta publiés par WikiLeaks entre octobre et novembre 2016 ont indéniablement nui à la campagne Clinton. Ils révélaient des détails embarrassants sur les coulisses de la campagne, les discours payés à Wall Street (225 000$ chez Goldman Sachs !), et même le fait que Donna Brazile de CNN avait transmis les questions de débat à l’avance.
Et côté relations internationales, l’affaire a entraîné l’expulsion de 35 diplomates russes en décembre 2016, de nouvelles sanctions économiques, et la fermeture de deux complexes diplomatiques russes aux États-Unis. Elle a aussi poussé les pays occidentaux à repenser leur approche de la cybersécurité et de la désinformation. L’OTAN a également créé un centre d’excellence en cyberdéfense à Tallinn, et l’UE a mis en place une task force contre la désinformation russe.
Au final, Guccifer 2.0 restera comme un cas d’école de ce qu’il ne faut pas faire en matière de sécurité opérationnelle. Malgré des moyens considérables et une planification sophistiquée, l’opération a échoué à maintenir sa couverture à cause d’erreurs basiques :
Oubli d’activation du VPN (la bourde ultime qui leur a coûté toute l’opération)
Métadonnées compromettantes non nettoyées (Felix Edmundovich, vraiment ?)
Couverture linguistique insuffisamment préparée (un Roumain qui ne parle pas roumain…)
Références culturelles trop évidentes (nommer ses fichiers d’après le fondateur de la police secrète soviétique, subtil !)
Timing trop parfait pour être crédible (quelques heures après l’article du Washington Post ? Allô ?)
Utilisation de la même infrastructure que d’autres opérations du GRU (réutilisation des serveurs et des comptes Bitcoin)
Certains experts suggèrent que les métadonnées russes étaient peut-être volontairement laissées, soit comme false flag, soit par arrogance ("on s’en fout, ils ne peuvent rien nous faire"). Mais l’oubli du VPN, ça, c’était clairement pas prévu. Comme quoi, même les meilleurs font des boulettes, et dans le cyberespace, une seule erreur peut tout faire capoter.
Bref, avant de publier des documents volés en vous faisant passer pour un hacker roumain, apprenez le roumain, nettoyez vos métadonnées, et surtout, SURTOUT, n’oubliez pas votre VPN. Sinon vous finirez comme Guccifer 2.0, une légende du fail !
J’sais pas vous, mais moi, je perds tout le temps des trucs… Où sont mes chaussures ? Où est mon téléphone ? Mais il est où encore cet aspi robot ? Et mes clés ? J’lai garé où déjà la voiture ? Mais où est ce que j’avais noté ce truc ? T’as pas vu les enfants ?????
That’s my life comme dirait Jean Claude ! Alors je me prépare à perdre d’autres trucs. Par exemple comme le curseur de ma souris. Ça m’arrive aussi parfois j’avoue, surtout quand j’ai 42 onglets ouverts et 3 écrans connectés. Heureusement, sous macOS, suffit de secouer la souris comme un shaker à cocktails et le curseur grossit pour mieux le voir. Et sous Windows, y’a Ctrl + cherche-toi-même-pauvre-fou.
Mais dans les cas vraiment désespérés, ou juste pour se marrer 5
minutes (parce qu’on bosse dur nous hein), je viens de trouver LE site
ultime : PointerPointer. C’est le Sherlock Holmes du
curseur de souris, l’inspecteur Gadget de votre pointeur, le GPS de
votre flèche blanche !
Le concept est génial. Vous bougez votre souris n’importe où sur l’écran, vous attendez quelques secondes, et PAF ! Le site vous sort une photo vintage avec quelqu’un qui pointe PILE POIL sur l’endroit exact où se trouve votre curseur. C’est magique, c’est inutile, c’est addictif, bref c’est parfait pour une pause café.
Apparemment, les créateurs ont compilé des centaines (milliers ?) de photos de gens qui pointent du doigt dans toutes les directions possibles. Du coup, peu importe où vous planquez votre curseur, y’aura toujours un random dude ou dudette pour vous dire “Hey, il est là ton pointeur !” avec son index tendu. C’est con et ça sert à rien, hein ? Bah moi j’aime bien !
Tout ne doit pas être productif, optimisé, rentable… parfois un simple site qui trouve juste votre curseur avec des photos rigolotes, c’est tout ce dont on a besoin dans la vie. Et puis entre nous, c’est quand même plus fun que de chercher ses clés sous le canapé pour la 10ème fois de la journée… Allez, cliquez ici pour tester !
Alors combien de fois vous avez relancé la recherche juste pour voir quelle photo va sortir ???
J’aime bien quand des développeurs utilisent la technologie pour rendre accessible des concepts complexes. Alors après le système solaire, vous allez pouvoir visualiser des atomes en 3D de manière totalement interactive. Comme ça, s’en est terminé des schémas statiques dans les manuels de physique ! Ici, grâce à AtomAnimation, vous pourrez faire tourner, zoomer, observer sous tous les angles des structures atomiques qui prennent même vie sous vos yeux.
Ce projet, développé par matt765, utilise une stack technologique bien moderne à base de React 19, NextJS 15, TypeScript, CSS Modules, Zustand pour la gestion d’état, ThreeJS pour la 3D, et Recharts pour les graphiques. En gros, tout ce qu’il faut pour créer une expérience utilisateur fluide et moderne.
Il y a même des graphs et une table périodique ainsi que des tas de filtres pour par exemple visualiser les atomes par densité, électronégativité, point de fusion et j’en passe…
Et ce qui rend ce projet vraiment intéressant, c’est qu’il permet à tous mais surtout aux étudiants d’explorer les structures atomiques de manière dynamique. Comme ça, on apprend des choses et c’est pas chiant car au lieu de simplement regarder une image figée d’un atome, on peut le manipuler, voir les électrons en mouvement qui lui tourne autour, et comprendre sa structure nucléaire. Bref, si vous êtes prof de physique, vos rêves les plus humides viennent de s’exaucer.
Le côté open-source rend le tout encore plus sympa puisque le code est disponible sur Github. Une fois encore avec WebGL et des bibliothèques comme ThreeJS, on peut faire des trucs vraiment chouette en web 3D.
Voilà, AtomAnimation.com est un super outil éducatif de plus à bookmarker !!
Vous savez ce qui pousse des ingénieurs bien payés d’Amazon Web Services à tout plaquer ? C’est l’écœurement total face à ce qu’ils appellent “l’économie de la surveillance”.
Et c’est exactement ce qui est arrivé à Mohammed, Murtaza et Santhosh en 2019 qui selon leur propre témoignage, ont donc abandonné leurs postes confortables chez AWS, IBM et Scientific Games par, je cite, “un dégoût de l’économie de de la surveillance et par la frustration devant le manque d’app de sécurité faciles à utiliser pour les 3 milliards d’utilisateurs d’Android sans méfiance”.
Le produit de cette rébellion s’appelle donc RethinkDNS, et c’est une app qui fait quelque chose d’assez unique puisqu’elle transforme votre téléphone Android en forteresse, sans jailbreak, sans demander les droits root et sans vous noyer sous les options techniques.
Concrètement, l’app intercepte tout votre trafic réseau via une connexion VPN locale (qui ne sort pas de votre téléphone) et à partir de là, elle peut analyser chaque connexion, bloquer les traqueurs au niveau DNS, ou carrément empêcher certaines apps de se connecter à Internet.
D’après leur propre analyse, 60% du trafic d’un téléphone Android typique part vers des réseaux publicitaires et des traqueurs connus. Du coup, RethinkDNS vous montre tout ça en temps réel, avec des logs détaillés de qui se connecte où et quand. Concernant la partie DNS, ça utilise du chiffrement DNS-over-HTTPS vers leurs serveurs déployés dans plus de 300 endroits via Cloudflare Workers, mais vous pouvez aussi configurer n’importe quel autre resolver DNS chiffré si vous préférez.
Le firewall par app est également très malin puisqu’au lieu de bloquer des ports ou des IP comme un firewall traditionnel, il identifie quelle app génère quelle connexion et vous laisse décider. Une calculatrice qui veut se connecter à Internet ? C’est chelou, alors on bloque la connexion ! Une application Réveil Matin qui envoie vos données ? Allez, hop, bloquée aussi.
Y’a pas de configuration complexe, pas de certificats à installer, pas de bricolage. RethinkDNS, c’est juste une interface claire qui vous fait du DNS privé et sécurisé tournant à la vitesse de l’éclair, mais surtout (et c’est là que ça devient fun) vous pouvez aussi créer vos propres règles custom pour bloquer ce qui vous gonfle. Genre, vous voulez bloquer Facebook pendant vos heures de boulot ? Hop, une petite règle temporelle et c’est réglé !
Et si vous êtes du genre parano (ou juste prudent, hein), vous avez plus de 190 listes de blocage toutes prêtes pour dégager les pubs, les trackers et autres joyeusetés du web. Le tout avec des stats pour voir exactement ce qui se passe sous le capot.
L’app est disponible sur F-Droid et Google Play, entièrement open source. Le code source révèle d’ailleurs une architecture intéressante puisqu’ils ont forké le ce projet de Google et l’ont considérablement étendu.
Niveau alternatives, on retrouve généralement Portmaster, AdGuard et NextDNS comme principales concurrents même si RethinkDNS a l’avantage d’être gratuit, sous licence libre, et de ne pas limiter le nombre de requêtes DNS.
Leur modèle économique est d’ailleurs intéressant puisque l’app reste gratuite, mais ils proposent des services cloud payants pour ceux qui veulent des listes de blocage personnalisées ou du proxying avancé. Donc voilà, pas de marketing anxiogène mais juste des outils pour que vous puissiez décider par vous-même.
Allez on va faire un jeu ! Combien de fois avez-vous déjà pesté devant le fucking bouton de téléchargement de SlideShare ? Mais si celui où faut s’inscrire, voire payer… Vous la ressentez cette frustration universelle des chercheurs, des étudiants et des pro qui tombent sur LA présentation parfaite mais qu’il est impossible à sauvegarder pour la consulter hors ligne ?
Heureusement, SlideSaver et ses cousins arrivent à la rescousse pour vous aider à contourner élégamment ces restrictions et vous redonner le contrôle sur le contenu que vous voulez conserver.
Je trouve que le paradoxe de SlideShare, c’est quand même d’être devenu l’une des plus grandes bibliothèques de présentations professionnelles au monde tout en réussissant à frustrer ses milliers de visiteurs avec des restrictions à la con. Surtout que depuis son rachat par Scribd, la plateforme applique une politique DMCA stricte qui permet aux créateurs de contenu de désactiver complètement le téléchargement de leurs présentations, et du coup, on a des millions de documents éducatifs et professionnels qui restent prisonniers du navigateur. Ça ne plairait pas à Aaron Swartz tout ça !
Bref, c’est dans ce contexte que des outils comme SlideSaver.app ont émergé. Une fois sur le site, vous collez l’URL de la présentation SlideShare de vos rêves, et l’outil fait sa magie en coulisses… Ensuite, vous récupérez votre fichier en PDF, PPT ou même en images individuelles. Pas d’inscription, pas de limites de téléchargement, pas de publicités intrusives.
D’ailleurs, l’écosystème des “SlideShare downloaders” est devenu étonnamment riche. SlideGrabber se présente comme le meilleur outil de 2025, tandis que SlidesDownloader, SlidesSaver et une dizaine d’autres services similaires se disputent les faveurs des utilisateurs. Chacun avec ses petites spécificités puisque certains excellent dans la conversion PDF, d’autres préservent mieux les animations PowerPoint originales, et quelques-uns proposent même de télécharger les présentations sous forme d’archives ZIP contenant toutes les diapositives en images haute résolution.
La technique utilisée par ces services reste relativement opaque, mais elle exploite probablement les flux de données publics que SlideShare doit nécessairement exposer pour afficher les présentations dans le navigateur. Une fois ces données interceptées et recomposées, il est alors possible de reconstruire le document original dans différents formats. Et si vous jetez un œil en haut à droite du site, vous verrez qu’ils font la même pour Scribd.
L’aspect légal reste évidemment la zone grise de toute cette histoire. SlideShare et Scribd maintiennent que les utilisateurs doivent respecter les restrictions définies par les créateurs de contenu, et techniquement, contourner ces protections pourrait violer les conditions d’utilisation de la plateforme, mais dans la pratique, l’usage de ces outils pour des besoins personnels, éducatifs ou de recherche reste largement toléré. C’est un peu comme enregistrer une vidéo YouTube pour la regarder dans l’avion… c’est juridiquement discutable, mais éthiquement et moralement indispensable ^^.
S’ils étaient moins naze chez Slideshare, ils mettraient un bouton de téléchargement avec un watermark ou une attribution obligatoire et ça ne changerait rien à leur biz.
Bref, en attendant que SlideShare et compagnie repensent leur approche, y’a SlideSaver ! Et tant que le besoin de télécharger existera, ces services trouveront toujours un moyen de contourner les restrictions. C’est ça la beauté d’Internet : l’information veut toujours être libre, alors comme la vie, elle trouve toujours un chemin…
Il y a des moments où on tombe sur une approche si simple et efficace qu’on se demande pourquoi on n’y avait pas pensé avant. C’est exactement ce que j’ai ressenti en découvrant la technique d’Armin Ronacher pour donner à Claude Code le contrôle total d’une session de debugging.
Le principe c’est de combiner GNU Screen, ce vieux multiplexeur de terminal que certains considèrent comme dépassé, avec LLDB, le debugger de LLVM, pour créer un environnement où Claude peut littéralement piloter votre terminal comme s’il était assis devant votre clavier.
Comme ça, au lieu d’implémenter des serveurs MCP complexes ou des intégrations cheloues, Ronacher s’appuie sur des outils qui existent depuis des décennies. GNU Screen permet de multiplexer un terminal physique entre plusieurs processus, créant des sessions persistantes qui survivent aux déconnexions SSH. C’est cette persistance qui devient la clé de voûte du système.
Dans sa démonstration vidéo, Ronacher montre donc comment il configure Claude Code pour automatiser complètement une session de debugging. Le secret tient dans quelques lignes ajoutées au fichier CLAUDE.md : “définir un nom de session Screen spécifique pour le debugging, utiliser la syntaxe “dollar string” pour envoyer des commandes, et fermer proprement la session une fois terminé”.
Claude peut alors créer la session, lancer LLDB, identifier un bug de type segfault, le corriger, recompiler le code et vérifier que tout fonctionne. Le tout sans intervention humaine.
Comme le souligne Ronacher dans ses recommandations, Claude Code excelle quand on lui donne accès à des outils bien documentés qu’il connaît déjà. Screen et LLDB font partie de ces outils sur lesquels il existe une montagne de documentation et d’exemples donc Claude peut les manipuler avec aisance. En tout cas, beaucoup plus que moi, c’est certain !
Mais au-delà du debugging, cette technique ouvre des perspectives fascinantes pour l’automatisation. On pourrait imaginer un Claude gérant vos sessions tmux pour orchestrer des déploiements multi-serveurs, surveillant des logs en temps réel via Screen pour détecter des anomalies, ou même maintenant des connexions SSH persistantes vers des serveurs pour des interventions d’urgence. J’avoue c’est toujours prendre un risque donc à éviter sur de la prod, mais c’est très cool quand même.
Si vous faites du DevOps, vous pourriez configurer Claude pour qu’il lance automatiquement des sessions Screen lors de debugging de containers Docker, maintienne des tunnels SSH persistants pour du debugging à distance de Kubernetes, ou même gère des sessions de monitoring avec des dashboards textuels comme htop ou glances. La combinaison de la persistance de Screen et de l’intelligence de Claude crée un assistant capable de gérer des workflows complexes de manière autonome.
C’est vrai que Screen est souvent considéré comme obsolète face à tmux, mais dans ce cas précis, sa simplicité devient un avantage car Claude a probablement plus de données d’entraînement sur Screen, qui existe depuis 1987, que sur des alternatives plus modernes. Donc c’est smooooth pour lui…
Un autre cas d’usage intéressant serait la gestion de sessions de développement complexes durant lesquelles Claude pourrait maintenir plusieurs fenêtres Screen avec différents environnements : une pour les tests, une pour le serveur de développement, une pour les logs, et naviguer entre elles selon les besoins. Vous pourriez ainsi demander à Claude de lancer les tests et de vous montrer les logs en cas d’échec, et il orchestrerait tout via Screen.
Pour les équipes, cette technique pourrait vraiment renforcer le pair programming à distance…. Vous partagez une session Screen avec Claude et un collègue simultanément et Claude pourrait vous assister en temps réel, suggérer des corrections, exécuter des commandes de diagnostic, pendant que vous discutez de l’architecture avec votre collègue avec un petit kawa. C’est comme avoir un 3e collègue expert toujours dispo.
Pas besoin d’API, de webhooks, ou de services cloud… Juste des outils Unix standard que tout développeur a déjà sur sa machine et un bon prompt et hop ça fait des chocapics (ou plus de bugs…^^) !
Bref, parfois les solutions les plus belles sont aussi les plus simples. Pas besoin de réinventer la roue…
Vous savez ce qui différencie un grand chef d’un cuistot lambda ? Le grand chef invente les recettes que tout le monde copiera pendant des décennies. Aaron Swartz, c’est un peu le Escoffier du web, sauf qu’au lieu de codifier la sauce hollandaise, il a inventé RSS, co-fondé Reddit et co-créé Markdown avant même d’avoir son permis de conduire. Et comme tous les révolutionnaires, il a fini par déranger le pouvoir en place jusqu’à en mourir.
Je connaissais Aaron Swartz de réputation depuis des années, mais c’est en lisant son histoire après sa mort que j’ai réalisé à quel point ce gamin était un phénomène.
L’histoire d’Aaron Swartz, c’est celle d’un gamin né le 8 novembre 1986 à Highland Park, à 40 kilomètres au nord de Chicago, dans une famille juive où la tech coule dans les veines. Son père Robert avait fondé la boîte de logiciels Mark Williams Company (créateurs du compilateur C Coherent), sa mère Susan était consultante et il a deux frères plus jeunes, Noah et Ben. Bref, l’environnement parfait pour éclore en tant que prodige de l’informatique. Mais Aaron, c’était pas juste un nerd qui collectionnait les lignes de code comme d’autres collectionnent les cartes Pokémon. Dès le début, il avait cette vision révolutionnaire que la technologie devait servir à libérer l’humanité, pas à l’enfermer.
L’icône RSS, symbole du format co-développé par Aaron à 14 ans
À 3 ans donc, pendant que les autres gamins découvraient les joies du pot, Aaron découvrait les joies du clavier. Ses parents racontent qu’il passait des heures devant l’écran, pas pour jouer, mais pour comprendre comment ça marchait. Le genre de gosse qui démonte son réveil pour voir ce qu’il y a dedans, mais version 2.0. Et ça n’a jamais cessé puisqu’à 12 ans, en 1999, il lance The Info Network, une encyclopédie collaborative où n’importe qui pouvait ajouter ou modifier du contenu. Vous me direz, c’est exactement le principe de Wikipedia… sauf que Wikipedia n’a été lancé qu’en janvier 2001. Aaron avait donc 2 ans d’avance sur l’un des sites les plus connus du web.
Ce projet lui vaut d’ailleurs le prix ArsDigita en 1999, récompensant les jeunes qui créent des sites “utiles, éducatifs et collaboratifs”. À 13 ans, il était déjà reconnu comme un talent exceptionnel mais le meilleur restait à venir…
En 2000, à 14 ans, Aaron rejoint le RSS-DEV Working Group qui développe la spécification RSS 1.0. Pour ceux qui ont vécu l’époque où on devait aller vérifier manuellement chaque site pour voir s’il y avait du nouveau contenu, RSS c’était la révolution absolue. Fini de faire le tour de 20 sites web tous les matins, les flux RSS amenaient directement l’info dans votre lecteur. C’est Aaron qui a participé à créer ça. À cet age, il devient même membre du World Wide Web Consortium (W3C) pour aider à développer les formats de données communs utilisés sur le web.
Un an plus tard, à 15 ans (j’insiste sur les âges parce que c’est hallucinant) il bosse avec Lawrence Lessig, professeur de droit à Harvard, sur l’architecture technique de Creative Commons. Vous savez, ces licences qui permettent aux créateurs de partager leurs œuvres sans se faire bouffer par le copyright traditionnel ? Et bien c’est Aaron qui code littéralement la couche logicielle des licences Creative Commons qui sont maintenant utilisées dans le monde entier. Des millions de créateurs utilisent aujourd’hui ce système pour libérer leurs contenus.
En parallèle, avec John Gruber, il co-crée Markdown en 2004, ce langage de balisage simple que vous utilisez probablement sans le savoir si vous traînez sur GitHub, Reddit, Discord ou même certains CMS. Par exemple, cette page que vous êtes en train de lire à été transformée en HTML à partir d’un fichier markdown. Cette syntaxe Markdown a été influencée par le langage atx qu’Aaron avait créé en 2002. Markdown, c’est donc cette syntaxe géniale qui permet d’écrire de l’hypertexte mis en forme, sans se prendre la tête avec les balises. Encore une fois, Aaron était sur le coup.
Et puis il y a Reddit.
Alors attention, l’histoire est un peu tordue parce qu’officiellement, Reddit a été fondé par Steve Huffman et Alexis Ohanian en 2005. Mais Aaron arrive dans l’histoire quand sa boîte Infogami (qu’il avait lancée avec son framework web.py) fusionne avec Reddit chez Y Combinator en novembre 2005. Du jour au lendemain, il devient cofondateur et se retrouve à recoder entièrement Reddit depuis le langage Lisp vers Python avec son framework web.py qu’il avait développé et qu’il release en open source.
Et Reddit, c’est pas juste un site de partage de liens, hein… c’est devenu LE lieu de débat d’Internet avec 430 millions d’utilisateurs actifs en 2025. Et Aaron était là dès le début, même si Condé Nast l’a racheté en 2006 pour une somme entre 10 et 20 millions de dollars, faisant d’Aaron un millionnaire avant même qu’il puisse légalement acheter une bière.
Et Aaron n’était pas juste un développeur brillant, c’était un visionnaire. Il voyait déjà Internet comme un outil d’émancipation démocratique alors quand les autres codaient pour faire du fric ou pour le fun, lui codait pour changer le monde. D’ailleurs, il quittera Reddit en janvier 2007, frustré par la culture corporate après le rachat par Condé Nast.
Sa philosophie, Aaron l’a formalisée en juillet 2008 dans son Guerilla Open Access Manifesto, écrit lors d’une rencontre entre bibliothécaires en Italie. Un texte court mais percutant qui commence par cette phrase mythique : “Information is power. But like all power, there are those who want to keep it for themselves.” L’information, c’est le pouvoir. Mais comme tout pouvoir, il y a ceux qui veulent le garder pour eux. Le manifeste continue : “L’ensemble du patrimoine scientifique et culturel mondial, publié au fil des siècles dans des livres et des revues, est de plus en plus numérisé et verrouillé par une poignée d’entreprises privées.” C’était son credo, son combat de toute une vie.
Parce qu’Aaron, il avait compris un truc que beaucoup n’ont toujours pas pigé. Dans une société de l’information, celui qui contrôle l’accès au savoir contrôle tout le reste. Les éditeurs scientifiques comme Elsevier ou Springer qui verrouillent la recherche derrière des paywalls de 30-40$ par article, pour Aaron, c’était de la pure extorsion. La recherche scientifique étant financée par l’argent public via les universités et les bourses de recherche (NSF, NIH, etc.), les résultats devraient appartenir au public. Point barre. Il écrivait alors dans son manifeste : “Nous devons récupérer les informations, où qu’elles soient stockées, en faire des copies et les partager avec le monde entier.”
C’est donc exactement ce raisonnement qui l’a mené à lancer Open Library en 2007 avec l’Internet Archive de Brewster Kahle. Le projet était dingue. Il s’agissait de créer une bibliothèque numérique universelle qui référencerait tous les livres existants, “une page pour chaque livre” et pas juste les cataloguer. Non, il voulait les rendre accessibles. Aaron bossait pour l’Internet Archive à l’époque, et il était déterminé à numériser le patrimoine littéraire mondial pour le rendre libre d’accès.
Le projet continue aujourd’hui avec des millions de livres numérisés.
L’Internet Archive, où Aaron a développé l’Open Library
Moi qui galère parfois à trouver des bouquins techniques récents sans me ruiner, je peux vous dire que l’idée d’Aaron me parlait énormément. Combien de fois j’ai eu besoin d’un article spécialisé et je me suis retrouvé face à un paywall à 39$ pour 8 pages PDF ? C’est rageant, surtout quand on sait que les chercheurs qui ont écrit ces articles ne touchent généralement pas un centime sur ces ventes… Ils font même du peer-review gratuitement !
Aaron développait aussi en parallèle d’autres projets révolutionnaires. En 2011-2012, avec Kevin Poulsen (ancien hacker devenu journaliste chez Wired) et James Dolan, il bossait sur DeadDrop, un système ultra-sécurisé permettant aux sources anonymes de transmettre des documents aux journalistes sans risquer d’être identifiées. Le projet utilisait Tor et un chiffrement avancé pour protéger les lanceurs d’alerte. Après la mort d’Aaron, la Freedom of the Press Foundation a repris le projet sous le nom SecureDrop.
Le premier déploiement a eu lieu au New Yorker le 15 mai 2013 sous le nom “Strongbox” et aujourd’hui, des médias comme The Guardian, The New York Times, The Washington Post, ProPublica ou The Intercept utilisent SecureDrop pour recevoir des documents confidentiels en toute sécurité. C’est grâce à ce système que des révélations majeures ont pu être publiées.
Politiquement, Aaron était aussi très engagé. Il a cofondé Demand Progress et le Progressive Change Campaign Committee pour soutenir des candidats progressistes au Congrès américain. Il s’est battu contre SOPA (Stop Online Piracy Act), cette loi scélérate qui aurait donné des pouvoirs de censure énormes aux ayants droit. Je me souviens encore du blackout de Wikipedia le 18 janvier 2012 pour protester contre SOPA… Aaron était sur tous les fronts de cette bataille, organisant des campagnes qui ont généré des millions d’appels au Congrès. La loi a finalement été abandonnée grâce à cette mobilisation.
Mais avant ça, en 2008, Aaron avait déjà frappé un grand coup avec PACER. Pour ce projet, il téléchargera légalement 2,7 millions de documents judiciaires fédéraux depuis une bibliothèque publique offrant un accès gratuit temporaire, et les rendra ensuite disponibles gratuitement alors que PACER facturait 8 cents la page. Le FBI ouvre une enquête mais la ferme rapidement car Aaron n’avait techniquement rien fait d’illégal.
Mais c’est son combat pour l’open access qui va lui coûter la vie. Entre septembre 2010 et janvier 2011, Aaron mène sa dernière grande opération de libération de l’information. Il se rend régulièrement au MIT, se connecte au réseau de l’université avec un compte invité légitime, et télécharge massivement des articles de JSTOR, cette base de données qui stocke des millions d’articles académiques derrière des paywalls. Il utilise pour cela un script Python appelé “keepgrabbing.py” depuis un ordinateur portable qu’il cache dans une armoire réseau non verrouillée du bâtiment 16 du MIT.
Le campus du MIT où Aaron a téléchargé les articles JSTOR (source)
Au total, Aaron récupère 4,8 millions d’articles soit environ 80% de la base JSTOR, dont 1,7 million étaient disponibles via le “Publisher Sales Service” de JSTOR.
Son plan était de les rendre publics, évidemment. Pour lui, c’était logique car ces articles décrivent des recherches financées par l’argent public, et doivent donc être accessibles au public. C’était l’application pratique de son manifeste de 2008.
Sauf que le système ne l’entendait pas de cette oreille. Le 6 janvier 2011, Aaron est arrêté par la police du MIT et un agent des services secrets américains près du campus de Harvard alors qu’il venait récupérer son ordinateur dans le placard où il l’avait planqué. Les charges fédérales tombent alors comme un couperet en juillet 2011 : 4 chefs d’accusation initiaux, puis 13 au total, soit 2 pour fraude électronique et 11 violations du Computer Fraud and Abuse Act de 1986. Au total, il risque 35 ans de prison, 1 million de dollars d’amende, la confiscation de ses biens, des dommages-intérêts et une liberté surveillée.
35 ans de prison pour avoir voulu libérer des articles scientifiques. Je vais être franc avec vous, quand j’ai découvert ces chiffres, j’ai eu envie de vomir On parle quand même d’un gamin de 24 ans qui n’a jamais fait de mal à personne, et qui a consacré sa vie à améliorer Internet et la société. Et le système judiciaire américain, mené par la procureure Carmen Ortiz et le procureur adjoint Stephen Heymann, veut l’enfermer plus longtemps que certains meurtriers. Ortiz déclare même : “Voler, c’est voler, que ce soit à l’aide d’une commande informatique ou d’un pied-de-biche.”
L’ironie, c’est que JSTOR eux-mêmes n’ont pas porté plainte civile. Ils ont récupéré leurs articles et publié un communiqué disant qu’ils considéraient l’affaire close, même s’ils jugeaient l’accès d’Aaron comme un “significant misuse” (un abus manifeste) fait de manière non autorisée. Mais les procureurs fédéraux ont décidé d’en faire un exemple. Il fallait montrer aux hacktivistes qu’on ne plaisantait pas avec la propriété intellectuelle. Les cons.
Les négociations de plaider-coupable traînent en longueur. Aaron refuse un deal qui l’enverrait 6 mois en prison car pour lui, accepter équivaudrait à admettre qu’il a eu tort de vouloir libérer l’information. Son avocat Marty Weinberg raconte qu’il était sur le point de négocier un accord où Aaron n’aurait pas fait de prison du tout. JSTOR était d’accord, mais le MIT a refusé de signer une déclaration de soutien et est resté “neutre”… une neutralité qui ressemblait fort à une condamnation.
Pendant ce temps, Aaron déprime. Ses amis racontent qu’il était de plus en plus isolé, de plus en plus désespéré par l’acharnement judiciaire dont il était victime. Il souffrait de dépression depuis des années et avait déjà écrit sur son blog “Raw Thought” à ce sujet. L’avocat Andy Good, qui s’occupait initialement de l’affaire, a même dit au procureur Heymann qu’Aaron était suicidaire. La réponse du procureur ? “Fine, we’ll lock him up.” (Très bien, on l’enfermera.)
Le 9 janvier 2013, deux jours avant sa mort, JSTOR annonce ironiquement qu’ils vont rendre accessibles gratuitement plus de 4,5 millions d’articles datant d’avant 1923 aux États-Unis et d’avant 1870 ailleurs via leur service “Register & Read”. Une partie de ce qu’Aaron voulait accomplir, mais trop peu, trop tard.
Puis le 11 janvier 2013, sa compagne Taren Stinebrickner-Kauffman (directrice exécutive de SumOfUs) le retrouve pendu dans leur appartement de Crown Heights, Brooklyn. Aaron Swartz est mort à 26 ans, 2 jours après que les procureurs aient rejeté sa dernière contre-proposition de plaidoyer. Il n’a pas laissé de mot d’adieu.
Sa famille publiera un communiqué bouleversant : “La mort d’Aaron n’est pas seulement une tragédie personnelle. Elle est le résultat d’un système judiciaire pénal marqué par l’intimidation et les abus du ministère public. Les décisions prises par les responsables du bureau du procureur fédéral du Massachusetts et du MIT ont contribué à sa mort.” Ils accusent directement les procureurs d’avoir poussé Aaron au suicide par leur acharnement.
Moi qui ai parfois des coups de blues quand l’un de mes projets plante ou qu’un cyber-gland m’insulte, je n’arrive même pas à imaginer la pression qu’Aaron a dû ressentir. Se retrouver face à 35 ans de prison pour avoir voulu partager de la connaissance, c’est d’une violence inouïe. Surtout pour quelqu’un qui avait consacré sa vie entière à améliorer le monde.
La mort d’Aaron provoque un tollé international. Des mémoriaux sont organisés dans le monde entier, y compris au MIT. Ses funérailles ont lieu le 15 janvier 2013 à la Central Avenue Synagogue de Highland Park et le mouvement Anonymous lance l’Opération Last Resort avec des cyberattaques contre le site du MIT et du département de Justice en protestation. Une pétition demandant le limogeage de la procureure Carmen Ortiz recueille même plus de 60 000 signatures sur We the People.
Plus important, les représentants Zoe Lofgren et Ron Wyden introduisent au Congrès une révision du Computer Fraud and Abuse Act, surnommée “Aaron’s Law”, pour éviter que d’autres hacktivistes subissent le même sort. La loi vise à empêcher les poursuites pour violation de conditions d’utilisation. Malheureusement, elle n’a jamais été votée et à l’heure où j’écris ces lignes, les mêmes excès du système judiciaire américain persistent.
En août 2013, Aaron est intronisé à titre posthume au Internet Hall of Fame. En 2014, Lawrence Lessig mène une marche à travers le New Hampshire en son honneur, militant pour la réforme du financement des campagnes électorales.
Mais l’héritage d’Aaron est immense ca chaque jour, des millions de personnes utilisent ses créations sans le savoir. Les flux RSS alimentent encore une bonne partie du web et les vrais passionnés utilisent toujours des lecteurs RSS. Reddit est devenu un des 10 sites les plus visités au monde avec 430 millions d’utilisateurs actifs mensuels et une valorisation de 10 milliards de dollars. Markdown est utilisé par tous les développeurs sur GitHub, GitLab, Stack Overflow, Discord et une myriade d’autres plateformes et c’est devenu LE standard de facto pour la documentation technique.
SecureDrop, son dernier projet, protège aujourd’hui des centaines de sources et de journalistes à travers le monde. Plus de 75 organisations médiatiques l’utilisent. Des révélations majeures comme les Panama Papers ou les Paradise Papers ont pu être publiées grâce à ce type de systèmes qu’Aaron avait imaginé pour protéger les lanceurs d’alerte. Et chaque fois qu’un gouvernement corrompu ou une entreprise véreux se font épingler grâce à des fuites sécurisées, c’est un peu l’esprit d’Aaron qui gagne.
Creative Commons a également libéré des millions d’œuvres créatives… On compte plus de 2 milliards d’œuvres sous licence CC en 2025 et Open Library continue de numériser et de rendre accessibles des livres du monde entier avec plus de 20 millions d’ouvrages référencés. Et surtout, ses idées sur l’open access ont fini par s’imposer et de plus en plus d’universités et d’organismes de recherche exigent que les publications financées par l’argent public soient librement accessibles. L’Union Européenne a aussi rendu l’open access obligatoire pour toutes les recherches financées par Horizon Europe et même PubMed Central aux États-Unis contient maintenant plus de 8 millions d’articles en libre accès.
Alexandra Elbakyan, inspirée par Aaron, a créé Sci-Hub en 2011 qui donne accès à plus de 85 millions d’articles scientifiques gratuitement. Elle dédie explicitement son travail à la mémoire d’Aaron. “Je pense qu’Aaron a fait un excellent travail en téléchargeant des millions d’articles de JSTOR. C’est un acte héroïque”, a-t-elle déclaré.
En février 2025, l’Internet Archive a même inauguré une statue d’Aaron dans son auditorium. Ils ont choisi cette date symbolique pour marquer les 12 ans de sa disparition et rappeler que son combat continue. Parce que oui, le combat continue.
Regardez ce qui se passe aujourd’hui avec l’IA générative et les droits d’auteur. Les grands modèles sont entraînés sur des milliards de textes récupérés sur Internet, et les éditeurs crient au scandale. Ils voudraient qu’on paye des licences pour chaque bout de texte utilisé pour entraîner un modèle IA.
Je pense qu’Aaron aurait été en première ligne de ce débat, défendant l’idée que la connaissance doit être libre pour permettre l’innovation. Il aurait aussi été horrifié de voir comment les GAFAM ont verrouillé Internet. Meta qui décide de ce que vous avez le droit de voir, Google qui filtre les résultats de recherche selon ses intérêts commerciaux, Apple qui contrôle tout ce qui peut tourner sur iOS avec son App Store… Aaron avait prévu cette dérive et s’y opposait déjà quand les autres trouvaient ça cool d’avoir des plateformes “gratuites”.
Le mouvement pour la neutralité du net, qu’Aaron soutenait déjà en 2010, est plus d’actualité que jamais. Aux États-Unis, elle a été supprimée sous Trump, rétablie sous Biden, et qui sait ce qui se passera ensuite. Aaron avait vu juste. Sans neutralité du net, Internet devient un outil de contrôle au service des plus riches.
Ce qui me frappe le plus dans l’histoire d’Aaron, c’est à quel point il était en avance sur son temps. Il parlait déjà d’éthique de l’IA quand la plupart des gens découvraient à peine Facebook, il défendait la transparence algorithmique quand Google était encore “Don’t be evil” (motto abandonné en 2018…) et il voulait démocratiser l’accès à l’information quand les autres ne voyaient Internet que comme un nouveau marché à conquérir.
Je pense souvent à ce qu’il aurait pu accomplir s’il avait vécu. À bientôt 39 ans (le 8 novembre 2025), il serait probablement à la tête d’organisations luttant contre la surveillance de masse, pour la protection des données personnelles, pour un Internet décentralisé. Il aurait peut-être créé des alternatives libres aux GAFAM (Imaginez un Aaron Swartz travaillant sur le Fediverse ou sur des protocoles vraiment décentralisés), et il se serait battu pour que les bienfaits de l’IA profitent à tous, et pas juste aux actionnaires de quelques boîtes californiennes.
Mais même absent, Aaron continue d’inspirer. Chaque développeur qui publie son code en open source, chaque chercheur qui rend ses publications librement accessibles sur arXiv ou bioRxiv, chaque journaliste qui utilise SecureDrop pour protéger ses sources perpétue son héritage. Chaque fois que quelqu’un refuse de céder aux sirènes du verrouillage propriétaire et choisit la liberté, Aaron gagne un peu.
Parce que c’est ça, le vrai message d’Aaron Swartz : L’information libre n’est pas un luxe de geek, c’est un droit fondamental. Dans une société démocratique, l’accès au savoir ne peut pas dépendre de votre capacité à payer des abonnements. La connaissance appartient à l’humanité entière, pas aux éditeurs qui la verrouillent ou aux gouvernements qui la censurent.
Alors oui, Aaron Swartz était un révolutionnaire. Pas le genre qui pose des bombes ou qui renverse des gouvernements, mais le genre qui change le monde ligne de code après ligne de code. Le genre qui comprend que dans l’ère numérique, la liberté passe par la libre circulation de l’information.
Et comme tous les vrais révolutionnaires, il a fini martyr de sa cause.
Mais contrairement aux révolutionnaires d’antan dont on ne se souvient que dans les livres d’histoire, l’héritage d’Aaron est vivant et tangible et le 8 novembre, jour de son anniversaire, des hackatons sont organisés dans le monde entier pour l’Aaron Swartz Day. Des développeurs, des militants, des chercheurs se réunissent pour faire avancer des projets dans l’esprit d’Aaron, à savoir rendre l’information plus libre, plus accessible, plus démocratique.
Parce que finalement, c’est ça le plus grand hommage qu’on puisse rendre à Aaron Swartz : Continuer son combat en refuser les paywalls absurdes, en soutenant l’open source, en défendant la neutralité du net, en protégeant les lanceurs d’alerte, utiliser et en promouvant les licences Creative Commons.
Chaque fois qu’on choisit la liberté plutôt que la facilité, l’ouverture plutôt que le contrôle, l’information libre plutôt que le profit, on honore sa mémoire.
Bref, Aaron Swartz était le héros dont Internet avait besoin, mais pas celui qu’il méritait.
Les raccourcisseurs d’URLs, tout le monde connait et c’est pratique, sauf quand ça disparait au bout de quelques années. Mais, est ce que vous connaissez les allongeurs d’URLs ?
Non ? Normal, ça n’existe pas. Enfin, ça n’existait pas jusqu’à ce que Namit Jain en bon dev troll s’est dit que ce serait rigolo d’en faire un. Du coup, voici voilà URL LENGTHENER, un rallongeur de lien qui ajoute des mots à la con, des émojis, des citations philosophiques et tout un tas de bordel dans l’url pour lui donner plus de volume.
Oui, c’est débile et ça ne sert à rien, mais c’est fun. Vous pouvez même choisir le niveau de longueur entre “court” (mais c’est déjà super long), “long”, “absurde” ou biblique !
Alors évidemment, ce n’est pas un vrai allongeur d’URL. En fait, si vous regardez bien, vous pouvez remarquer un paramètre data= et derrière une chaine de caractères qui n’est ni plus ni moins que l’URL encodée en base64. Ici en l’occurence, aHR0cHMlM0ElMkYlMkZrb3JiZW4uaW5mbyUyRg%3D%3D c’est https://korben.info. Donc tout le reste c’est du remplissage, que vous pouvez même compléter à la main.
De quoi faire passer quelques messages subliminaux…
Elle est loin l’époque où on s’extasiait devant un gif animé de la Terre qui tournait. Mais non, rien de rien, je ne regrette rien car un développeur du nom de SoumyaEXE nous a pondu un système solaire complet avec 50 lunes et des ceintures d’astéroïdes, le tout qui tourne dans votre navigateur. Sans plugin. Sans téléchargement. Juste du JavaScript et sa magie.
En plus ce projet débarque pile au moment où de plus en plus de développeurs cherchent l’équilibre parfait entre la simplicité et la performance pour leurs applications web, et ce système solaire en est le parfait exemple. Les textures viennent directement de la NASA, les distances sont mises à l’échelle pour que votre cerveau puisse y comprendre quelque chose, et même votre vieux smartphone peut faire tourner le tout sans broncher ou presque.
J’ai passé plusieurs minutes à zoomer / dezoomer sur les lunes de Jupiter et les astéroides, et c’est assez hypnotisant. Pan, zoom, rotation… tout est fluide comme dans du Planta Fin ^^ et le dev a même pensé à ajouter des toggles pour afficher ou masquer les orbites, les labels, les ceintures d’astéroïdes. Bref, vous pouvez littéralement personnaliser votre exploration spatiale pour vous la jouer Thomas Pesquet en culottes courtes.
C’est fou surtout de voir comment Three.js a évolué. Sur les forums spécialisés, le développeurs explique que créer ce genre de simulation était sa motivation principale pour apprendre cette technologie, et je trouve ça bien comment façon de faire. Et quand on voit le résultat, je me dit que les limites du web sont vraiment repoussées chaque jour un peu plus.
Techniquement, le projet utilise également Vite pour le build, ce qui explique pourquoi tout est si rapide à charger. Les modèles 3D sont optimisés, les animations d’orbites sont calculées en temps réel, et pourtant, aucun ralentissement. C’est accessible, performant, et surtout open source.
D’ailleurs, parlant d’open source, tout le code est disponible sur GitHub. Donc vous pouvez le cloner, le modifier, ajouter d’autres objets si ça vous chante (Ou faire basculer Pluton du côté des planètes…^^), ou pourquoi pas le franciser. Et pour apprendre Three.js, c’est également un excellent point de départ.
Et si vous voulez une ambiance plus immersive, vous pouvez même ajouter de la musique d’Interstellar. Bon, ok, c’est un peu gadget, mais ça fait son petit effet.
Pour les développeurs qui lisent ça, sachez que le projet utilise les GLTFLoader et OrbitControls de Three.js, avec un système de caméra perspective bien pensé. L’éclairage combine ambient et directional lights pour donner ce rendu réaliste aux planètes. C’est du travail propre, bien commenté, et facilement extensible.
Donc si vous cherchez une excuse pour procrastiner intelligemment aujourd’hui, foncez tester cette merveille. Et qui sait, peut-être que ça vous donnera envie de vous lancer dans le développement web 3D.
Vous avez déjà tenté de brancher votre vieux NAS un dimanche matin, café à la main, en vous disant « deux minutes, je jette un œil aux logs » ? Résultat : 472 connexions SSH depuis le Kazakhstan en moins de trois heures, un mot de passe « admin2025 » qui traînait encore et un petit script russe en train de jouer à la roulette avec vos sauvegardes. Le pire ? Vous étiez encore en pyjama. Depuis, vous avez appris la leçon : les pirates ne font pas grasse mat’. Et comme ils bossent 24/7, votre protection non plus n’a pas le droit de roupiller. C’est là que Surfshark One entre en scène : pas une armure blindée façon entreprise, juste quatre potes qui montent la garde à tour de rôle, même quand vous ronflez.
Dans les lignes qui suivent, on va parler de la suite de sécurité de Surfshark comme si on causait autour d’un kebab à 2 h du mat : sans langue de bois, avec de vrais cas concrets et, surtout, avec la certitude que demain matin à 4 h 17, un bot quelque part tentera encore de se faufiler dans votre vie numérique.
On commence par l’élément que tout le monde connaît déjà : le VPN. Sauf que, chez Surfshark, il ne se contente pas de changer votre IP pour binge Netflix US. Il chiffre tout, tout le temps, et surtout sans nombre limite de connexions. Vous pouvez l’installer sur votre PC de boulot, votre téléphone, la tablette de votre ado, le Chromecast du salon et le vieux Linux qui sert de seedbox dans le garage. Résultat : même si un voisin mal intentionné sniff le Wi-Fi de l’immeuble, il récupère juste du charabia AES-256.
Le petit truc en plus vraiment cool, c’est le mode CleanWeb activé par défaut. Adios pubs YouTube, trackers Facebook et pop-ups de consentement cookies. Votre page charge plus vite, votre CPU respire, et vous économisez des Mo sur votre forfait 4G. Votre connexion se dope aux vitamines. Ensuite, y’a le multi-hop : vos données passent par deux serveurs VPN à la suite. C’est pas indispensable tous les jours, mais quand vous vous connectez depuis l’aéroport d’Istanbul et que vous ne voulez pas que Big Brother sache que vous aimez les vidéos de cuisine coréenne, c’est royal. Je passe en vitesse sur le mode camouflage (même votre FAI vous a perdu de vue), la possibilité de whitelister certains sites, etc.
La dernière nouveauté : Everlink
Toujours à la pointe le VPN requin vient d’annoncer Surfshark Everlink. Grâce à ce dernier, même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous faire attendre. Grâce à une infrastructure brevetée, Surfshark redirige automatiquement le tunnel vers un serveur sain ; vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Toujours en ligne, toujours invisible.
Contrairement au classique « kill switch » qui coupe la connexion quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux.
Disponible par défaut avec le protocole WireGuard sur tous vos appareils, sans surcoût, c’est la sécurité qui roule en pilote automatique.
Surfshark One intègre aussi le moteur antivirus signé Avira (l’un des plus reconnus du marché). Rien de révolutionnaire, mais il ne râle jamais. Pas de pop-up toutes les dix minutes pour vous dire que le fichier setup.exe de 1998 est dangereux. Il scanne en arrière-plan, signale rapidement si un téléchargement sent mauvais, et hop, au suivant. Vous pouvez même planifier un scan complet tous les dimanches à 8 h du matin, histoire de vérifier que votre PC n’a pas chopé un cheval de Troie pendant votre binge de The Office. Par contre, ne cherchez pas la quarantaine manuelle ou l’analyse heuristique poussée : c’est volontairement minimaliste. Si vous voulez un antivirus façon Fort Knox, il faudra une autre solution. Mais si vous voulez juste stopper les saloperies sans vous prendre la tête, Surfshark suffit.
L’outil a obtenu un score de 17,5/18 chez AV-Test, ce qui veut dire que si un malware tente de se faufiler, il finira quasi à coup sûr en quarantaine. Pas mal pour une solution qui coûte 0.6€ de plus par mois (par rapport au VPN seul).
Google, c’est pratique, mais il vous suit partout. Surfshark Search, c’est l’inverse : pas d’historique, pas de pubs, pas de profilage. Les résultats sont fournis par une API tierce, donc pas de bulle de filtres. Vous tapez « meilleur VPN 2025 », vous tombez sur des comparatifs, pas sur des pubs déguisées. Ainsi, vous évitez les suggestions personnalisées qui vous font croire que tout le monde pense comme vous. C’est reposant, et ça évite les échos algorithmiques.
Vous souvenez-vous de la fois où votre mot de passe Pizza2023! est apparu sur Pastebin ? Non ? Surfshark Alert, lui, oui. Dès qu’une adresse mail ou un numéro de carte bancaire fuite dans une base de données, vous recevez une notif. Pas une alerte anxiogène façon « PANIQUEZ-VOUS », juste un petit message : « Ton mail est dans la nature, change le mdp ». Ensuite, il vous suffit de cliquer sur le lien fourni, vous changez le mot de passe, et vous archivez l’alerte. Votre pote insomniaque qui scrute le dark web pour vous et vous réveille en cas de pépin continuera à bosser. Pour aller plus loin, vous pouvez surveiller plusieurs adresses mails, vos cartes bancaires, et même votre numéro de sécu (US, Lituanie, Bulgarie uniquement pour l’instant). C’est gratuit avec l’abo, donc autant en profiter.
Alternative ID c’est la fonction bonus que personne n’attendait, mais que tout le monde finit par adorer. Surfshark génère une identité complète : nom, prénom, adresse, date de naissance, et mail. Vous pouvez même choisir le pays (US, Allemagne, Australie, etc.). C’est pratique pour s’inscrire sur un site douteux sans balancer votre vraie vie. Pourtant, ne vous faites pas d’illusion : c’est un alias, pas une carte d’identité officielle. Ça suffit pour éviter le spam, pas pour ouvrir un compte bancaire offshore.
Le prix, la facilité, la conclusion
Ajouter Surfshark One à votre abonnement VPN coûte 60 centimes. Pas 6€ … 60 centimes … par mois (2.38€/mois le VPN seul, 2.98€ pour la suite One en complément). Pour ce prix, vous obtenez un antivirus, un chasseur de leak, un moteur de recherche privé et un générateur d’alias. C’est moins cher que de passer de la petite à la grande frite sur votre menu kebab, pour avoir une équipe de sécurité 24/7.
En résumé, si vous cherchez une solution plug-and-play pour dormir sur vos deux oreilles (et vos deux yeux), Surfshark One fait le job. Pas de console d’admin complexe, pas de lignes de commande à taper à 3 h 14. Juste quatre services qui montent la garde pendant que vous rêvez de moi code et de conquête du monde. Donc, la prochaine fois qu’un bot tentera de se faufiler dans votre vie numérique à l’aube, vous serez déjà protégé. Et lui, il repartira bredouille.
Un commit qui change tout dans le petit monde de FFmpeg vient d’atterrir sur leur Git : L’intégration native de Whisper. Mais siii, vous savez, cette IA de reconnaissance vocale open source d’OpenAI. Eh bien maintenant, elle débarque directement dans votre outil de traitement vidéo favori.
Alors, ça veut dire quoi en français ? Et bien plus besoin de jongler entre plusieurs outils pour transcrire une vidéo. Terminé le bon vieux temps où il fallait extraire l’audio, le balancer dans un script Python avec Whisper, récupérer la transcription, la formater en SRT, puis la réinjecter dans FFmpeg.
Maintenant, tout se fait d’un coup avec une seule ligne de commande.
Le commit responsable de cette petite révolution, c’est celui de Vittorio Palmisano, daté du 17 juillet dernier et intégré par Michael Niedermayer le 8 août. Ce développeur a créé en fait un filtre audio qui s’appuie sur whisper.cpp, la version optimisée de Whisper qui tourne comme une bombe sur CPU et GPU.
Ce qui est particulièrement malin dans cette intégration, c’est le paramètre “queue” qui vous permet de doser entre rapidité et qualité. Avec une valeur de 3 secondes par défaut, vous avez une transcription qui se met à jour fréquemment mais avec une précision correcte. Si vous poussez à 10-20 secondes, la qualité monte d’un cran mais vous sacrifiez la réactivité. Un compromis classique, mais au moins vous avez le choix.
Pour les gros volumes, il y a même le support GPU pour décharger le boulot de transcription sur votre carte graphique. Et si vous voulez être encore plus précis, vous pouvez activer la VAD (Voice Activity Detection) qui va découper intelligemment votre audio selon les pauses dans la parole.
Le filtre peut sortir directement en format SRT pour vos sous-titres, mais aussi en JSON si vous voulez envoyer le résultat vers un service web, ce qui est super pratique pour intégrer ça dans une chaîne de traitement automatisée.
Cette intégration marque un tournant pour FFmpeg qui sort de son rôle traditionnel de couteau suisse multimédia pour embrasser l’IA qui visiblement devient suffisamment mature pour être intégrée nativement dans nos outils de base.
Maintenant, pour compiler FFmpeg avec ce nouveau super pouvoir, il faut ajouter l’option --enable-whisper à la configuration et s’assurer que whisper.cpp est installé sur votre système. Normalement, rien de bien sorcier si vous avez l’habitude de compiler des trucs mais moi j’en ai chié comme pas possible.
Simple, efficace, et ça fonctionne aussi bien sur des fichiers pré-enregistrés que sur des flux audio en direct. La transcription automatique est maintenant accessible à tous ceux qui maîtrisent FFmpeg.
J’ai pris 15 secondes d’une vidéo à moi, et j’ai fait tourner le modèle Large V3 de Whisper au travers de FFmpeg et ensuite, j’ai incrusté (toujours avec FFmpeg) les sous-titres dans la vidéo. Voici ce que ça donne (extrait de 15 sec) :
Si vous ne savez pas compiler ce truc, pas de soucis, puisque cette nouveauté sera disponible dans FFmpeg 8.0 qui devrait sortir dans les prochaines semaines.
Alors vous voyez déjà quels usages vous pourriez en faire ?
Cette recommandation révèle surtout une incompréhension totale de ce qui se passe réellement dans les datacenters. Parce que derrière ces conseils se cache une confusion énorme sur ce qu’on appelle la “consommation” d’eau des centres de données. Allez, je vous spoile tout de suite : Vos emails et vos photos ne consomment pratiquement rien une fois stockés.
Le vrai problème, c’est qu’on mélange tout. Car quand on parle de consommation d’eau des datacenters, on fait l’amalgame entre l’eau qui disparaît réellement et celle qui est simplement réchauffée puis rejetée (+5° à +10°). Selon les discussions techniques que j’ai pu lire sur LaFibre.info, la nuance est pourtant capitale !
Prenons Microsoft aux Pays-Bas. Ils ont consommé 84 millions de litres d’eau en 2021, soit 4 à 7 fois plus que prévu. C’est un chiffre impressionnant, mais qu’est-ce qui se passe concrètement avec cette eau ?
Et bien, Jamy, dans un système de refroidissement classique par évaporation, l’eau est littéralement “perdue”. C’est à dire qu’elle s’évapore dans l’atmosphère comme les jours fériés en France. Mais avec le refroidissement adiabatique, utilisé par Microsoft pour ses data centers, seule une petite partie s’évapore. L’essentiel de l’eau traverse le système, se réchauffe de quelques degrés, puis est rejetée. Elle n’est donc pas “consommée” au sens strict, mais juste réchauffée.
Le problème devient plus complexe avec le traitement de l’eau car pour éviter le calcaire et les bactéries, les datacenters utilisent des systèmes d’osmose inverse. Et là, aïe aïe aïe, c’est du gaspillage pur car pour 1 litre d’eau purifiée, il y aurait 2 ou 3 litres qui partent dans les égouts avec des tas d’impuretés concentrées. Sans oublier les produits chimiques pour la désinfection.
Mais contrairement aux chasseurs 🍷, il y a des bons et des mauvais datacenters. Les bons datacenters sont à 1.1L/kWh, les mauvais à 1.8L/kWh ou plus… Cela dépend simplement des technologies de refroidissement qu’ils utilisent. Un datacenter moyen, pour vous situer, c’est quasiment la même consommation d’eau qu’un terrain de golf.
Il y a par exemple, le refroidissement par immersion qui consiste à plonger les serveurs dans un bain d’huile diélectrique, comme ça pas d’évaporation, mais juste de la circulation d’huile. Peu de datacenters utilisent cette technologie car c’est assez coûteux et complexe à mettre en place. Et il existe aussi le refroidissement liquide direct qui amène l’eau au plus près des processeurs via des plaques froides. C’est plus efficace, et y’a moins de gaspillage.
Certains datacenters utilisent même l’eau de mer ou des eaux usées recyclées. D’autres récupèrent la chaleur pour chauffer des bâtiments. Bref, l’eau n’est alors plus “perdue” mais valorisée.
Et puis, il y a le free cooling utilisé quand l’air extérieur est assez froid, ce qui permet d’éviter complètement l’utilisation d’eau. Intel annonce même que ses processeurs post-2025 ne seront plus compatibles avec le refroidissement à air classique (les clims), donc ça va dans le bon sens.
OVH quant à eux sont en refroidissement liquide direct avec un système en boucle fermée et ils récupèrent aussi la chaleur. Chez O2Switch, c’est free cooling, c’est à dire l’utilisation du froid extérieur pour refroidir leurs infrastructures (L’Auvergne baby !) et ils ventilent et régulent au plus juste la température de leurs salles. Chez Infomaniak, pas de clim mais du free cooling, donc très peu d’eau consommée également.
Chez Microsoft, c’est du refroidissement adiabatique mais depuis 2024, ils sont dans certains datacenters en boucle fermée avec zéro évaporation. Quant à AWS, ce sont les vilains petits canards puisqu’en gros, quand il fait froid, ils ouvrent les fenêtres et quand il fait chaud, ils font tourner des clims à évaporation… Mais visiblement, ils recyclent l’eau et se sont donnés jusqu’à 2030 pour être “water positive”, c’est à dire rendre plus d’eau qu’il n’en consomme. C’est pas magique, c’est de la compensation financière dans des projets de rechargement de nappes phréatiques ou de purification d’eau polluée.
Au global, même si tous ces acteurs mettent le paquet sur la préservation de l’eau, Google, notamment sur ses sites en Iowa et Oregon est le plus gourmand et sa consommation d’eau pèse lourd sur les ressources locales. ET ensuite, c’est Amazon et Microsoft surtout dans les zones arides des États-Unis où ils sont implantés (Virginie, Arizona…etc)
Alors, faut-il supprimer ses emails ? Franchement, sur cet usage précis, l’impact est microscopique, surtout qu’en allant supprimer ces données inertes qui ne consomme rien en énergie, vous allez re-consommer de l’eau… C’est couillon. Je ne serai pas surpris si supprimer 20 000 emails consomme plus d’eau qu’une seule requête ChatGPT ?
La solution n’est donc pas dans la suppression de vos emails, mais dans le choix des technologies. Immersion cooling, récupération de chaleur, utilisation d’eaux non potables, free cooling… Les alternatives existent. Il faut juste arrêter de faire de la com’ facile sur le dos des utilisateurs.
Imaginez un instant que soyez contrebandier de puces électroniques… Vous venez de recevoir un serveur Dell flambant neuf bourré de puces Nvidia H100 que vous comptez évidemment revendre à prix d’or sur le marché chinois.
Alors vous ouvrez le carton, pour inspecter minutieusement chaque recoin du paquet et là, Ô surprise, vous trouvez un petit boîtier de la taille d’un smartphone bien caché dans l’emballage. Félicitations !! Vous venez de vous faire griller par l’Oncle Sam !
Cette histoire n’est pas tirée d’un film d’espionnage de mon cerveau torturé mais bien de la réalité car selon Reuters, les autorités américaines ont placé secrètement des trackers GPS dans certaines livraisons de puces IA qu’elles considèrent à haut risque de détournement vers la Chine.
Et apparemment, ça fonctionne plutôt bien puisque deux ressortissants chinois ont été arrêtés début août pour avoir tenté d’exporter illégalement pour des dizaines de millions de dollars de puces Nvidia vers l’Empire du Milieu.
Et le niveau de sophistication de l’opération est top, car les trackers ne sont pas juste collés sur les cartons. Dans un cas documenté datant de 2024, les autorités ont carrément placé plusieurs types de dispositifs. A la fois des gros trackers visibles sur les boîtes d’expédition pour le suivi basique, et des plus petits, bien planqués dans l’emballage voire directement dans les serveurs eux-mêmes. C’est malin !!
Mais ces contrebandiers ne sont pas dupes non plus. On peut lire par exemple dans les documents judiciaires, que l’un des accusés avait prévenu son complice : “Fais attention de bien chercher s’il y a un tracker dessus, tu dois regarder attentivement”. Ces types passent leur temps à démonter des serveurs Dell et Super Micro pour vérifier qu’il n’y a pas de mouchard caché quelque part… Bref, ce sont devenu des champions au jeu du chat et de la souris avec les autorités.
Bien sûr cette pratique n’est pas nouvelle du tout. Les États-Unis utilisent des trackers pour surveiller les exportations sensibles depuis des décennies. En 1985 déjà, Hughes Aircraft avait vu ses équipements interceptés par les douanes américaines qui y avaient installé un dispositif de localisation. Sauf qu’à l’époque, on parlait de pièces d’avion, pas de puces IA capables de faire tourner des LLM.
Et l’ampleur de ce trafic est vertigineuse. Malgré les restrictions imposées depuis 2022, au moins 1 milliard de dollars de puces Nvidia auraient été introduites illégalement en Chine rien qu’au cours des trois derniers mois. Les contrebandiers passent par la Malaisie, Singapour ou les Émirats arabes unis pour brouiller les pistes. C’est un vrai business qui rapporte gros quand on sait qu’une seule puce H100 peut se négocier plusieurs dizaines de milliers de dollars au marché noir.
Et pendant ce temps, la tension monte entre Pékin et les fabricants de puces. Le 31 juillet dernier, l’administration chinoise du cyberespace a convoqué Nvidia pour lui demander des explications sur les risques de “backdoors” dans ses puces H20. Les Chinois craignaient que les Américains puissent désactiver à distance leurs précieux processeurs ou les utiliser pour les espionner. Nvidia a bien sûr démenti catégoriquement (What else !?), expliquant que mettre des backdoors dans des puces serait un cadeau fait aux hackers et aux acteurs hostiles et que ça mettrait à risque l’infrastructure numérique mondiale.
Au milieu de ce bras de fer géopolitique, les entreprises comme Dell et Super Micro se retrouvent donc coincées. Dell affirme ne pas être au courant de cette initiative gouvernementale de tracking, tandis que Super Micro refuse de commenter ses “pratiques et politiques de sécurité”. Nvidia et AMD, eux, préfèrent ne pas répondre du tout. On les comprend, c’est un sujet sensible…
Cette histoire de trackers dans les puces révèle surtout l’absurdité de la situation actuelle car d’un côté, les États-Unis tentent désespérément d’empêcher la Chine d’accéder aux technologies d’IA les plus avancées. Et de l’autre, la demande chinoise est tellement forte que des réseaux entiers de contrebande se sont organisés pour contourner l’embargo.
Le pire c’est que les autorités américaines envisagent maintenant d’obliger les fabricants à intégrer directement des systèmes de localisation DANS leurs puces. Oui, oui… Vous vous doutez, c’est une proposition qui fait bondir l’industrie, car elle créerait une vulnérabilité permanente dans le hardware. Comme l’a dit David Reber, le responsable sécurité de Nvidia, intégrer un kill switch dans une puce, serait “une invitation ouverte au désastre”, et je suis assez d’accord avec lui.
C’est vraiment paradoxal, mais plus on avance dans la technologie, plus on se tourne vers ce qui est vraiment, vraiment vieux. Et là, je ne vous parle pas de vos vieux CD-ROM Windows 95, non, non, mais de trucs qui traînent sur Terre depuis des milliards d’années (comme Bayrou ^^).
Une équipe de chercheurs de l’Université de Pennsylvanie vient de faire une découverte assez dingue. Ils ont utilisé une IA pour fouiller dans les protéines d’organismes appelés Archaea, des microbes tellement anciens qu’ils étaient déjà là avant que les bactéries ne deviennent “mainstream”. Ces bestioles survivent dans des conditions extrêmes : sources d’eau bouillante acide, cheminées volcaniques sous-marines, lacs salés où rien d’autre ne peut vivre. Bref, les endroits où même Bear Grylls ne mettrait pas les pieds.
Et ce qui est fou, c’est que ces microbes ont développé des mécanismes de défense complètement différents de ce qu’on connaît. Au lieu d’attaquer la membrane externe des bactéries comme le font la plupart des antibiotiques actuels, les composés découverts (baptisés sans originalité des “archaeasins”) s’attaquent directement aux signaux électriques à l’intérieur des cellules. C’est un peu comme si au lieu de défoncer la porte d’entrée, ils coupaient directement le disjoncteur de la maison.
L’équipe dirigée par César de la Fuente a utilisé un outil d’IA appelé APEX 1.1 pour scanner 233 espèces d’Archaea. Résultat, ils ont découvert plus de 12 600 candidats antibiotiques potentiels. Sur les 80 qu’ils ont synthétisés et testés en labo, 93% ont montré une activité antimicrobienne contre au moins une bactérie pathogène. C’est un taux de réussite assez impressionnant quand on sait que d’habitude, on tourne plutôt autour de quelques pourcents.
Selon l’OMS, on fait face en ce moment à une crise majeure avec 24 pathogènes prioritaires qui nécessitent de nouveaux antibiotiques de toute urgence. Seulement, voilà, le pipeline de développement de nouveaux antibiotiques est quasiment à sec, avec seulement 27 antibiotiques en développement clinique dont seulement 6 considérés comme vraiment innovants. Et pendant ce temps, les bactéries résistantes continuent de proliférer… Cela génère 2,8 millions d’infections résistantes aux antibiotiques se produisent chaque année rien qu’aux États-Unis.
Un des archaeasins testés, le numéro 73 (ils sont pas très créatifs pour les noms, j’avoue…), s’est montré aussi efficace que la polymyxine B sur des souris infectées. Pour ceux qui ne connaissent pas, la polymyxine B c’est un peu l’arme de dernier recours contre les infections multi-résistantes. C’est le genre de truc qu’on sort quand plus rien d’autre ne marche. Vous avez intérêt à bien bien prendre vos probiotiques après celui-là, pour ne pas repeindre encore une fois l’appart.
C’est donc un tout nouveau terrain de jeu qui s’ouvre car jusqu’à présent, la recherche d’antibiotiques s’est concentrée sur les bactéries, les champignons et parfois les plantes. Les Archaea, c’est donc un domaine complètement inexploré. Et vu qu’ils représentent une branche entière de l’arbre du vivant, distincte des bactéries et de tout le reste, le potentiel est énorme !
D’ailleurs, ce n’est pas la première fois que l’équipe de de la Fuente utilise l’IA pour chercher des antibiotiques dans des endroits improbables (oups, non pas là). Ils avaient déjà scanné l’ADN d’organismes éteints comme le mammouth laineux et même analysé les composés chimiques dans les venins d’animaux. L’idée, c’est que l’évolution a déjà fait le boulot pendant des millions d’années, alors il suffit de savoir où chercher.
Les chercheurs prévoient donc maintenant d’améliorer APEX pour qu’il puisse prédire l’activité antibiotique basée sur la structure 3D des molécules, et pas seulement leur séquence. L’objectif à terme, c’est évidemment d’arriver jusqu’aux essais cliniques sur l’homme. Mais ça, c’est encore une autre paire de manches qui prendra plusieurs années…
Vous avez déjà testé une app de méditation payante qui vous promettait monts et merveilles ? Moi oui, parce que je suis du genre stressé en permanence ALORS QU’Y A OBJECTIVEMENT AUCUNE DE PUTAIN DE RAISON !! Et puis j’ai trouvé des études scientifiques qui explique tout, notamment une méta-analyse publiée dans Nature qui explique que 100% des techniques de respiration testées sur des populations anxieuses sont efficaces. Oui, 100%.
Alors pourquoi s’emmerder à faire de la pleine conscience ??
Du coup, quand je suis tombé sur Anxiety Aid Tools, un projet complètement open source qui propose 8 techniques validées scientifiquement, j’ai voulu creuser. Pas de bullshit marketing, pas d’abonnement mensuel à 29,99€… juste du code ouvert et des exercices qui fonctionnent.
Le premier exercice dure 2 minutes chrono. C’est con comme truc mais votre système nerveux parasympathique s’active direct. Selon Psychiatric Times, cette approche “bottom-up” contourne le traitement cognitif et utilise des voies plus rapides entre le tronc cérébral et les circuits de régulation émotionnelle.
Le 5-4-3-2-1 est un peu plus bizarre car il consiste à trouver 5 trucs que vous voyez, 4 que vous touchez, 3 que vous entendez, 2 que vous sentez, 1 que vous goûtez. Ça paraît simpliste mais ça court-circuite littéralement les boucles anxieuses du cerveau en forçant votre attention sur le présent immédiat.
La relaxation musculaire progressive, elle, joue sur un mécanisme différent. 8 à 12 minutes pour contracter puis relâcher systématiquement chaque groupe musculaire. Les études du PMC montrent que les 12 interventions rapides + lentes testées réduisent toutes le stress de façon mesurable.
J’ai aussi testé la visualisation. On est censé voir un paysage accompagné de pensées, mais sur mon navigateur, ça ne s’affiche pas. Je pense que c’est un bug… J’espère que ce sera vite réparé.
Il y a aussi le “thought labeling” qui est plus subtil et vous rappellera un peu cette histoire de pleine conscience. Avec cet exercice, vous apprenez à identifier vos pensées anxieuses comme des événements mentaux temporaires. C’est de la thérapie comportementale cognitive pure, mais packagée dans une interface web accessible.
Les “stress relief bubbles” ? J’étais sceptique mais l’activité répétitive de faire éclater des bulles virtuelles redirige l’énergie anxieuse vers une action motrice simple. C’est le même principe que les fidget spinners, mais en version numérique. Par contre, c’est un peu buggé donc faudra être patient.
Enfin, la thérapie sonore utilise des fréquences spécifiques pendant 5 à 30 minutes. Certaines fréquences activent des zones précises du cerveau liées à la relaxation. C’est pas du new age, c’est de la neuroacoustique, les amis !
Voilà, je me suis dit que j’allais partager ça avec vous, mes petits tendus du string. Après sur GitHub, y’a des dizaines d’autre projets qui contribuent à démocratiser l’accès aux outils de santé mentale. Je pense par exemple à ifme qui permet de partager ses expériences avec ses proches, ou encore MentAlly propose du tracking d’humeur avec des exercices personnalisés.
D’ailleurs, sur les 10 000 apps de santé mentale disponibles, seulement 4% ont démontré une efficacité clinique. Anxiety Aid Tools fait donc partie de cette minorité qui base tout sur des preuves scientifiques, et pas sur du marketing émotionnel. Car ses mécanismes physiologiques sont clairs. Ce sont des techniques qui activent votre système nerveux parasympathique, (oui, c’est le seul truc “sympathique” chez certain d’entre-vous, alors prenez en soin ! ^^), c’est à dire celui qui contre naturellement le stress. Avec une pratique régulière, vous construirez alors une meilleure tolérance au CO2, inversement corrélée aux symptômes anxieux.
L’auteur du projet recommande de commencer par les exercices courts (2-5 minutes) quand l’anxiété est forte, puis de pratiquer régulièrement même quand tout va bien. C’est comme un entraînement sportif mais pour votre système nerveux. Notez que l’absence totale de tracking sur le site est volontaire. Pas de données personnelles collectées, pas de profil utilisateur, pas de notifications push pour vous rappeler d’être zen. Ce sont juste des outils disponibles quand vous en avez besoin. Par contre, c’est un projet jeune donc y’a encore des petits bugs à corriger mais comme c’est open source, vous pouvez contribuer aussi. Soyez indulgent !
Dans cet univers bruyant où Calm facture 50€ par an et Headspace 90€, avoir accès à des techniques validées scientifiquement et totalement gratuites, c’est une révolution silencieuse 🤫. Le code est sur GitHub, les études sont peer-reviewed, et ça marche.
Alors, prêts à tester la respiration cyclique pendant 2 minutes ?
Bon, je sais que quand on parle de l’affaire Kevin Mitnick, y’a toujours deux camps qui s’écharpent. Mais, l’histoire de Tsutomu Shimomura, c’est du grand cinéma. Noël 1994, le physicien rentre tranquillement chez lui à Solana Beach et là, il découvre que quelqu’un s’est introduit dans son système informatique. Et pas via une effraction physique classique, non, mais par les “tubes cathodiques” (oui, je vous explique le délire après…lol). Et le type a même laissé un message sur son répondeur pour le narguer. Une erreur fatale quand on s’attaque à un chasseur de hackers.
Tsutomu Shimomura, c’est pas n’importe qui dans le game. Il est le fils d’Osamu Shimomura, LE Shimomura qui a décroché le Prix Nobel de chimie en 2008 pour ses travaux sur la protéine fluorescente verte des méduses. C’est ce truc vert fluo qui permet aujourd’hui aux chercheurs de visualiser les cellules vivantes en temps réel. Bref, le fiston a grandi dans un environnement où l’excellence scientifique, c’était la base. Sauf que contrairement à papa qui étudiait les méduses bioluminescentes (il en a pêché 850 000 quand même !), lui décide de chasser les prédateurs numériques.
Et c’est grâce à ses techniques de traque high-tech avec triangulation cellulaire et analyse de fréquences que Kevin Mitnick, le hacker le plus recherché d’Amérique à l’époque, se retrouve derrière les barreaux le 15 février 1995 à 1h30 du matin précisément.
Mais attention, comme toujours l’histoire est bien plus complexe qu’elle n’y paraît.
Né en 1964 à Kyoto, Tsutomu montre déjà des signes de rébellion dès le lycée. Le gamin se fait carrément expulser de Princeton High School pour “attitude anticonformiste”. Il faisait partie d’un groupe d’étudiants qui n’acceptaient pas l’autorité établie et pourtant, gagnait des concours locaux de maths et sciences. Ça vous rappelle quelque chose ? Génie + caractère de cochon = futur expert en sécurité informatique.
Ensuite, direction Caltech où il va étudier sous la direction de Richard Feynman. Oui, LE Feynman, Prix Nobel de physique et légende vivante. Franchement, avoir ce type comme prof, ça doit marquer à vie. Feynman était connu pour ses méthodes d’enseignement peu orthodoxes et sa capacité à simplifier les concepts les plus complexes. Parfait donc pour former un futur chasseur de hackers qui devra expliquer des trucs techniques aux agents du FBI.
Après Caltech, Shimomura file à Los Alamos National Laboratory. Là, il travaille avec Brosl Hasslacher sur les automates de gaz sur réseau (lattice gas automata pour les intimes). En gros, ils simulent l’écoulement des fluides avec des méthodes de calcul parallèle massif. Pourquoi je vous parle de ça ? Parce que cette expertise va directement lui servir plus tard. Quand vous maîtrisez les systèmes parallèles et les algorithmes complexes, traquer des hackers devient presque un jeu d’enfant.
En 1989, Shimomura rejoint le San Diego Supercomputer Center comme Senior Fellow. Officiellement, il fait de la recherche en physique computationnelle. Officieusement, il commence à faire du consulting pour des agences gouvernementales sur les questions de sécurité. En 1992, il témoigne même devant le Congrès américain sur les failles de sécurité des téléphones cellulaires. Il avait déjà identifié les vulnérabilités que les hackers allaient exploiter. Le type était en avance sur son temps.
Maintenant, accrochez-vous parce que l’histoire devient vraiment “juteuse”. Le 25 décembre 1994, pendant que tout le monde déballe ses cadeaux de Noël, Kevin Mitnick décide de s’attaquer au système personnel de Shimomura. Pourquoi lui ? Probablement parce que Shimomura avait des fichiers ultra-intéressants sur la sécurité des réseaux et des téléphones cellulaires. C’était du caviar pour un hacker.
Tsutomu Shimomura et Julia Menapace
La technique utilisée ? De l’art ! Mitnick utilise ce qu’on appelle le “source address spoofing” combiné avec la “TCP sequence prediction”. Pour faire simple, il fait croire au système de Shimomura qu’il est un ordinateur de confiance en prédisant les numéros de séquence TCP. C’est comme si quelqu’un se déguisait en facteur pour entrer chez vous, mais en plus compliqué.
Bien sûr, Mitnick ne s’est pas littéralement introduit via un tube cathodique d’écran CRT (ça n’a pas de sens physiquement 😅), mais via une attaque réseau ciblée, exploitant des failles dans le protocole X11 et dans des systèmes SunOS non patchés. L’expression “par les tubes cathodiques” que j’ai employé au début de ce récit vient de la façon dont certains journalistes de l’époque avaient vulgarisé le truc car Mitnick a utilisé une session graphique X11 pour ouvrir une fenêtre à distance sur le poste de Shimomura. Et comme c’était une interface graphique, les médias nous ont pondu l’image du hacker qui passe par l’écran. Et comme à l’époque, un écran = tube cathodique, hop, ça fait pas des chocapics mais une “intrusion par le tube cathodique”.
Mais Mitnick fait une erreur psychologique majeure. Non content d’avoir pénétré le système et volé des centaines de fichiers, il laisse des messages moqueurs sur le répondeur de Shimomura. Des trucs du genre “Votre sécurité, elle est où ?” avec une voix déformée. Breeeef, quand on s’attaque à un expert en sécurité fils d’un Prix Nobel, on évite de le narguer car c’est comme tirer la queue d’un tigre endormi.
Shimomura découvre alors l’intrusion en rentrant de San Francisco. Des centaines de fichiers copiés, des programmes volés, son système compromis. Mais au lieu de simplement changer ses mots de passe et passer à autre chose comme vous et moi, il décide alors de traquer l’intrus. Et là, ça devient technique.
Première étape : Analyser les traces laissées par l’attaque. Shimomura identifie que Mitnick utilise des connexions par modem cellulaire pour masquer sa position. Malin, mais pas suffisant contre un physicien qui a étudié les systèmes de communication et qui a témoigné devant le Congrès sur le sujet.
Deuxième étape : Coopération avec les opérateurs téléphoniques. Shimomura contacte Sprint et d’autres compagnies et avec leur aide, il arrive à tracer les connexions jusqu’à la source. Mais attention, on est en 1995, et les techniques de géolocalisation étaient primitives comparées à aujourd’hui. Y’avait pas de GPS dans tous les téléphones, hein !
Troisième étape : Triangulation radio. Shimomura utilise des techniques de direction finding pour localiser précisément l’émetteur. En gros, avec plusieurs antennes, on peut déterminer la direction d’où vient un signal. Croiser plusieurs directions permet alors de déterminer la position exacte. C’est de la physique pure appliquée à la chasse au hacker.
Shimomura estime qu’il lui a fallu seulement quatre jours de travail intensif pour localiser Mitnick. Le 12 février 1995, il savait déjà où se trouvait Mitnick à un mile près. Le 15 février, il débarque à Raleigh en Caroline du Nord, avec une équipe de techniciens du FBI. Ils utilisent des équipements de surveillance radio pour isoler l’immeuble exact : le Players Court, près de l’aéroport de Raleigh-Durham.
Et pourquoi Raleigh ? Et bien Mitnick expliquera plus tard qu’il adorait le jeu Monopoly et les propriétés vertes, et la Caroline du Nord, c’est les propriétés vertes sur le plateau américain. Le type avait aussi 44 demandes d’emploi dans son appart et un bouquin “The 100 Best Companies to Work for in America”. Il voulait se ranger, apparemment.
À 1h30 du matin, le FBI frappe à la porte. Mitnick se fait arrêter avec un arsenal numérique impressionnant : des téléphones clonés et de multiples fausses identités. C’est game over. Il sera condamné à presque 6 ans de prison, dont une grande partie en isolement parce que le juge avait peur qu’il pirate le téléphone de la prison. Hé oui !
Après l’arrestation, Shimomura décide de raconter son histoire. Avec John Markoff, journaliste au New York Times, il publie “Takedown: The Pursuit and Capture of Kevin Mitnick” en 1996. Le livre devient un best-seller et sera adapté au cinéma sous le titre “Operation Takedown” en 2000 avec Skeet Ulrich dans le rôle de Mitnick.
Sauf que voilà, tout le monde n’est pas d’accord avec cette version des faits. Jonathan Littman publie “The Fugitive Game” la même année et accuse carrément Shimomura et Markoff d’avoir fabriqué des éléments pour se faire mousser. Plus tard, Mitnick lui-même riposte avec “Ghost in the Wires” en 2011, où il surnomme Shimomura “Shimmy” avec un ton franchement méprisant.
Kevin Mitnick lors de son arrestation
La vérité ? Elle se trouve probablement quelque part entre les trois versions car Shimomura a certainement contribué à la capture, mais il a peut-être aussi dramatisé son rôle. Mitnick n’était probablement pas le génie du mal qu’il a décrit, mais il était loin d’être innocent avec ses 25 chefs d’accusation de crimes informatiques.
Après sa célébrité soudaine, Shimomura aurait pu capitaliser sur sa notoriété et devenir consultant en cybersécurité comme tout le monde. Mais non, le type prend une direction complètement différente. Il rejoint Sun Microsystems à la fin des années 90, puis fonde sa propre boîte : Neofocal Systems.
Neofocal, c’est pas de la cybersécurité. C’est de la technologie LED intelligente ! Shimomura développe des puces pour contrôler des réseaux de LED individuellement adressables. En gros, vous pouvez contrôler chaque LED séparément avec un seul câble pour l’alimentation et des données. En 2015, Neofocal lève 9 millions de dollars. Pas mal pour un pivot aussi radical.
L’affaire Shimomura-Mitnick soulève des questions qui résonnent encore aujourd’hui. Jusqu’où peut aller un civil dans une enquête criminelle ? Les méthodes de Shimomura, acceptables en 1995, seraient probablement problématiques aujourd’hui. Traquer quelqu’un avec des équipements de surveillance radio sans mandat, c’est limite. Mais d’un autre côté, les méthodes traditionnelles d’investigation étaient totalement inadaptées face aux nouveaux crimes numériques.
Alors 30 ans après, qu’est-ce qui reste de cette histoire ? Et bien Shimomura a prouvé que la science théorique peut être une arme redoutable en cybersécurité. Il a démontré l’importance de la coopération entre secteur privé et forces de l’ordre (aujourd’hui c’est la norme) et ses préoccupations de 1992 sur la sécurité des téléphones cellulaires étaient visionnaires !
Kevin Mitnick est décédé le 16 juillet 2023 d’un cancer du pancréas, à 59 ans, mettant fin à l’une des rivalités les plus emblématiques de l’histoire de la cybersécurité. Il était devenu Chief Hacking Officer chez KnowBe4 et consultant en sécurité respecté. Shimomura, lui, continue aujourd’hui d’innover dans le secteur des semiconducteurs. Deux destins différents pour deux figures légendaires du monde du hacking.
À vous de voir maintenant si les méthodes de Shimomura étaient justifiées ou pas mais une chose est sûre : ne narguez jamais un physicien qui connaît les protocoles TCP par cœur !
Connexion
