Dans un rapport publié le 20 août 2025, les chercheurs de Cisco Talos alertent sur l'exploitation active d'une vulnérabilité par un groupe de cyberespions affilié aux services de renseignements russes. Une campagne qui vise principalement des machines en fin de vie et dont les correctifs ont pourtant été publiés en 2018.

Dans un rapport publié le 20 août 2025, les chercheurs de Cisco Talos alertent sur l'exploitation active d'une vulnérabilité par un groupe de cyberespions affilié aux services de renseignements russes. Une campagne qui vise principalement des machines en fin de vie et dont les correctifs ont pourtant été publiés en 2018.

Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.

Et tout ça avec un simple email qui disait “Je t’aime”.

On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.

Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.

Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”

La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?

Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.

L’équipe de GRAMMERSoft

C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.

Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.

Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.

Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.

Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.

Le code de ILOVEYOU

Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.

Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.

Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.

Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.

Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.

Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.

Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…

Onel de Guzman durant sa conférence de presse

Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.

Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.

Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”

Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.

De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”

Onel de Guzman en 2019

L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.

Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.

En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.

Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.

Sources : BBC - Love Bug’s creator tracked down to repair shop in Manila, Computer Weekly - The man behind the first major computer virus pandemic, Geoff White - Crime Dot Com, Wikipedia - ILOVEYOU, CNN - How a badly-coded computer virus caused billions in damage, F-Secure Labs - Email-Worm:VBS/LoveLetter

Ça vous dirait d’en savoir plus sur le gang de ransomware le plus innovant et le plus traître de l’histoire du cybercrime moderne ? BlackCat, aussi connu sous le nom d’ALPHV, c’est le groupe qui a sorti le premier ransomware majeur entièrement écrit en Rust, un langage de programmation que même les hipsters de la Silicon Valley trouvent cool. Mais leur véritable coup de maître ça a été d’avoir arnaqué leurs propres affiliés pour 22 millions de dollars avant de disparaître dans la nature comme des voleurs… de voleurs. Si vous pensiez que l’honneur entre criminels existait encore, et bien BlackCat va vous faire réviser votre jugement de fond en comble.

Pour comprendre l’ampleur de cette trahison, faut s’imaginer la scène. Vous êtes un cybercriminel chevronné, vous avez infiltré la plus grosse plateforme de paiement de santé américaine et vous êtes en train de négocier une rançon de 22 millions de dollars avec des semaines d’efforts, quand au moment de toucher votre part de 80%… pouf magie, magie, votre patron disparaît avec tout le fric et vous bloque de tous ses serveurs. Et bien c’est exactement ce qui est arrivé à l’affilié “Notchy” en mars 2024. Mais bon, je m’avance un peu, laissez-moi reprendre depuis le début de cette saga digne d’un polar cyberpunk.

Tout commence le 21 novembre 2021. À cette époque, le monde du ransomware sort à peine du chaos provoqué par les attaques contre Colonial Pipeline et la fermeture brutale de REvil par les autorités russes. C’est dans ce contexte tendu qu’un nouveau groupe fait son apparition sur les forums du dark web, précisément sur RAMP (Russian Anonymous Marketplace). Leur nom ? BlackCat. Leur proposition ? Un ransomware entièrement codé en Rust, ce langage de programmation moderne que Mozilla a développé pour remplacer le C++ vieillissant. C’est du jamais vu dans l’écosystème criminel !

Alors pourquoi Rust, vous allez me dire ? Bah, c’est simple, d’abord, c’est moderne, rapide comme l’éclair, et sûr au niveau mémoire… Comme ça, pas de plantages foireux comme avec du C++ mal écrit. Ensuite, et c’est là le génie, la plupart des antivirus n’avaient aucune idée de comment analyser du code Rust en 2021. Les signatures de détection étaient Inexistantes et les outils d’analyse statique totalement en galère. Du coup, leur ransomware passe entre les mailles du filet durant des mois.

Post de forum pour faire la promo du Ransomware

Les experts en sécurité sont littéralement bluffés quand ils mettent la main sur les premiers échantillons. Le code est propre, modulaire, optimisé. BlackCat peut tourner sur Windows, Linux, et même VMware ESXi… C’est du cross-platform de qualité industrielle. Et c’est un ransomware, personnalisable via des fichiers JSON. Comme ça, si vous voulez chiffrer seulement certains types de fichiers, ou encore éviter certains pays pour pas se faire taper sur les doigts par les autorités locales ? C’est pas un problème car c’est littéralement du ransomware à la carte, conçu comme un produit SaaS légitime.

Mais qui se cache derrière cette prouesse technique ?

Selon les analyses des chercheurs en cybersécurité, tous les indices pointent vers d’anciens membres de REvil, DarkSide et BlackMatter, c’est à dire la crème de la crème du ransomware russe. Ces mecs ont visiblement appris de leurs erreurs passées… Fini les attaques tape-à-l’œil contre les infrastructures critiques qui font réagir les gouvernements, et place à un profil bas et à une approche business plus subtile. Ils ont compris qu’il faut savoir rester dans l’ombre pour durer.

Leur modèle économique, justement, c’est une révolution dans l’écosystème RaaS (Ransomware-as-a-Service) car là où la concurrence prend 30 à 40% des rançons, comme REvil qui prenait 40%, BlackCat ne prend que 10 à 20% selon le niveau d’expérience de l’affilié. Pour les cybercriminels, c’est carrément Noël en novembre ! Et ce groupe leur fournit tout un écosystème clé en main : le ransomware personnalisable, les outils d’exfiltration de données, l’infrastructure de négociation hébergée sur Tor, un blog de leak pour faire pression sur les victimes, même un service client disponible 24h/24. L’affilié n’a qu’une chose à faire : Trouver une victime et déployer le malware.

L’infrastructure technique développée par BlackCat est très impressionnante, même selon les standards du métier car ils utilisent une architecture décentralisée basée sur Tor et I2P, avec une redondance digne d’AWS. Chaque victime reçoit un site de négociation unique, généré automatiquement et hébergé sur plusieurs serveurs miroirs. Si le FBI ferme un site, dix autres prennent instantanément le relais. Ils ont même développé “Searcher”, un outil custom qui fouille automatiquement dans les téraoctets de données exfiltrées pour identifier les documents les plus compromettants tels que des contrats confidentiels, des données personnelles sensibles, des correspondances avec les avocats…etc. Un moteur de recherche pour le chantage, quoi.

Dès décembre 2021, les premières victimes tombent comme des dominos. Moncler, la marque de luxe italienne qui se retrouve avec ses données étalées sur le dark web. Swissport, qui gère la logistique dans plus de 300 aéroports mondiaux et voit ses opérations paralysées. Des cabinets d’avocats de prestige, des hôpitaux, des universités… BlackCat ne fait pas dans la discrimination sociale, tant que la victime peut payer une rançon substantielle. Les montants varient de quelques centaines de milliers à plusieurs millions de dollars selon la taille et l’impact de l’attaque. Un business en pleine explosion !

Mais c’est en 2023 que BlackCat passe vraiment à la vitesse supérieure en nouant une alliance diabolique avec Scattered Spider, un groupe de jeunes hackers dont certains sont encore des adolescents de 17 à 22 ans, spécialisés dans l’ingénierie sociale. Ces gamins, principalement américains et britanniques, sont issus des communautés de gaming toxiques (Roblox, Minecraft) et ont évolué du SIM swapping vers le ransomware professionnel.

La méthode de Scattered Spider est redoutable mais imparable. D’abord, ils font de l’OSINT (Open Source Intelligence) intensif sur LinkedIn, Instagram, les sites d’entreprise. En gros, ils identifient des employés avec des accès privilégiés, c’est à dire les administrateurs système, les responsables IT, les managers avec des droits élevés. Puis ils les appellent directement, souvent en spoofant le numéro du support IT interne de l’entreprise grâce à des services VoIP. Le script est bienrodé : “Bonjour, ici le help desk de [NomEntreprise], on a détecté une activité suspecte sur votre compte, on doit procéder à un reset de sécurité de votre authentification multi-facteurs.”

Les employés, conditionnés à faire confiance au support IT et souvent sous pression dans leur travail quotidien, donnent alors leurs codes d’accès ou acceptent le reset. Et en 10 minutes chrono, Scattered Spider est dans le système avec des droits d’administrateur sur Active Directory, Okta, ou Azure. Une fois à l’intérieur, ils déploient BlackCat en mode silencieux, exfiltrent les données sensibles, et ne déclenchent le chiffrement qu’une fois certains d’avoir récupéré tout ce qui les intéresse. C’est la combinaison parfaite entre l’ingéniosité sociale des digital natives et la puissance technique du ransomware nouvelle génération.

Le chiffrement des données en action

Le 11 septembre 2023, c’est l’apothéose. MGM Resorts, l’empire des casinos de Las Vegas qui pèse des milliards, tombe en 10 minutes. Un simple coup de fil de Scattered Spider au help desk où ils se font passer pour un employé trouvé sur LinkedIn, et boom, voilà que tout l’écosystème tech de MGM s’effondre comme un château de cartes. BlackCat se déploie méthodiquement sur plus de 100 hyperviseurs VMware ESXi. Les casinos sont littéralement paralysés… les machines à sous affichent des écrans bleus, les systèmes de réservation rendent l’âme, même les clés électroniques des chambres d’hôtel ne fonctionnent plus.

Les images sont complètement surréalistes… On voit des files d’attente interminables de touristes devant les bureaux d’enregistrement qui sont obligés de repasser au papier et au crayon. Des clients bloqués dans les couloirs d’hôtel, incapables d’ouvrir leur porte. Des croupiers contraints de revenir aux jetons physiques et aux calculs faits main comme dans les années 1970. Le Bellagio, le MGM Grand, le Mandalay Bay, tous les joyaux de Sin City touchés simultanément. Les pertes opérationnelles sont estimées à 100 millions de dollars pour le seul troisième trimestre 2023.

MGM Grand (source)

Mais MGM, dirigé par des cadres qui ont des couilles en acier, refuse catégoriquement de payer. Ils préfèrent tout reconstruire from scratch plutôt que de céder au chantage. C’est un pari financier et stratégique risqué qui leur coûtera une fortune, mais ils tiennent bon. BlackCat publie évidemment une partie des données volées sur leur blog de leak pour faire pression, mais l’impact reste gérable. MGM survit à l’épreuve, même si ça fait mal au porte-monnaie et à l’ego.

Mais Caesars Entertainment, l’autre mastodonte des casinos frappé quelques jours avant MGM, fait un choix diamétralement opposé. Plutôt que d’affronter des semaines de chaos opérationnel, ils choisissent la voie de la négociation pragmatique. La demande initiale de BlackCat était alors de 30 millions de dollars. Après des discussions tendues avec les négociateurs professionnels du groupe, ils s’accordent sur 15 millions. Dans l’univers impitoyable du ransomware, payer 50% de la demande initiale est considéré comme une victoire diplomatique. Caesars récupère ses systèmes, évite la publication d’informations sensibles sur des millions de clients, et reprend ses opérations quasi normalement.

Cette différence de stratégie entre MGM et Caesars devient immédiatement un cas d’école dans les universités et les formations en cybersécurité. D’un côté, MGM qui refuse de payer et met des semaines à récupérer complètement, avec des pertes financières massives mais un message moral fort. De l’autre, Caesars qui paie et repart en quelques jours, avec un coût maîtrisé mais l’amertume d’avoir financé le crime organisé. Les experts en sécurité restent profondément divisés sur la “bonne” approche. Payer encourage indéniablement les criminels à continuer, mais ne pas payer peut littéralement détruire votre business si vous n’avez pas les reins suffisamment solides.

Quoiqu’il en soit, BlackCat ne se repose jamais sur ses lauriers et continue d’innover à un rythme effréné. Nouvelle version 2.0 du ransomware avec chiffrement intermittent, c’est à dire qui ne chiffre qu’une partie des fichiers pour aller plus vite tout en gardant une bonne efficacité. Un nouvel outil d’exfiltration qui compresse automatiquement les données à la volée pour optimiser les transferts. Un nouveau système de paiement qui accepte Monero en plus de Bitcoin pour plus d’anonymat. Bref, ils ont systématiquement un coup d’avance sur la concurrence et surtout sur les forces de l’ordre.

Mais leur innovation la plus controversée (et, géniale, je trouve) c’est le lancement d’une API publique pour les chercheurs en sécurité. Oui, vous avez bien lu ! BlackCat développe une interface de programmation qui permet aux entreprises de vérifier automatiquement si leurs données ont été volées et leakées. L’idée est diabolique : Pourquoi négocier dans l’ombre quand on peut automatiser le processus de vérification et de chantage ? Les victimes potentielles peuvent alors checker leurs données, voir exactement ce qui a fuité, évaluer l’impact, et décider en connaissance de cause s’il faut payer ou non.

Annonce de leurs nouveautés

Cette API devient rapidement populaire, y compris auprès d’utilisateurs légitimes. Les chercheurs en cybersécurité s’en servent pour tracker les victimes et comprendre les modes opératoires. Les journalistes l’utilisent pour leurs enquêtes sur le cybercrime. Même des concurrents de BlackCat viennent étudier le code pour s’en inspirer. Un groupe criminel qui fournit un service d’utilité publique et démocratise l’accès à l’information sur ses propres crimes, c’est encore du jamais vu !

Puis le 19 décembre 2023, un coup de théâtre qui va chambouler tout l’écosystème BlackCat. Le FBI, en collaboration avec Europol et des agences de plusieurs pays, annonce officiellement avoir saisi l’infrastructure du groupe. Le site principal de BlackCat affiche une bannière “This site has been seized by the FBI” avec le sceau officiel. Les affiliés paniquent totalement, les victimes en cours de négociation ne savent plus à qui payer, c’est le chaos absolu dans l’empire cybercriminel. Les forums du dark web s’enflamment, et tout le monde spécule sur l’ampleur réelle de l’opération.

Sauf que… quelque chose cloche dans cette histoire de saisie. Les serveurs de négociation individuels continuent mystérieusement de fonctionner. Le blog de leak reste accessible via des URLs alternatives. Les affiliés peuvent toujours télécharger le ransomware et déployer leurs attaques. Est-ce vraiment une saisie complète par le FBI ou juste une opération de communication pour déstabiliser le groupe ? La réalité s’avère plus nuancée et moins glorieuse que les communiqués officiels.

Les détails de l’opération révèlent que le FBI a effectivement eu accès à certains serveurs BlackCat grâce à un informateur infiltré qui avait obtenu le statut d’affilié. Ils ont ainsi récupéré 946 paires de clés publiques/privées et développé un outil de déchiffrement distribué gratuitement à plus de 500 victimes, leur évitant ainsi de payer environ 68 millions de dollars de rançons cumulées. Mais c’est un succès partiel car BlackCat conserve le contrôle de l’essentiel de son infrastructure grâce à l’architecture décentralisée qu’ils avaient intelligemment mise en place dès le début.

La réaction de BlackCat à cette “saisie” est brutale et révèle leur véritable nature. Dans un message vengeur publié sur leur blog, ils déclarent la guerre totale aux autorités américaines et annoncent la levée de toutes leurs restrictions auto-imposées. Plus aucune limite morale ou géopolitique. Les hôpitaux, les infrastructures critiques, les centrales électriques, même les installations nucléaires deviennent des cibles légitimes. “Le FBI a franchi une ligne rouge en s’attaquant à nous”, écrivent-ils dans un communiqué rageur. “Nous franchissons la nôtre aussi. Que les conséquences retombent sur eux.”

C’est dans ce climat de guerre ouverte entre BlackCat et les autorités américaines qu’éclate l’affaire Change Healthcare en février 2024. Un affilié expérimenté surnommé “Notchy”, probablement lié à des groupes chinois selon des analystes en renseignement, réussit à infiltrer le système de cette entreprise absolument stratégique. Change Healthcare, c’est pas n’importe qui puisqu’ils traitent 15 milliards de transactions médicales par an, soit environ un tiers de tous les paiements de santé aux États-Unis. C’est littéralement le système nerveux financier de la médecine américaine.

L’impact de l’attaque est proprement catastrophique car du jour au lendemain, des milliers de pharmacies ne peuvent plus traiter les ordonnances électroniques. Les hôpitaux se retrouvent incapables de facturer les compagnies d’assurance. Les patients diabétiques ou cardiaques ne peuvent plus obtenir leurs médicaments. Bref, c’est une crise sanitaire nationale d’une ampleur inédite. Change Healthcare n’a littéralement aucune marge de manœuvre et doivent payer pour éviter l’effondrement du système de santé américain. Ils n’ont pas le choix.

La négociation entre Notchy et Change Healthcare se déroule pendant plusieurs semaines dans une atmosphère de crise absolue. La demande initiale est de 60 millions de dollars, soit une des plus grosses rançons jamais exigées. Change Healthcare contre-propose désespérément 15 millions mais après des jours de marchandage intense avec les négociateurs professionnels de BlackCat, qui je vous le rappelle, ont des équipes dédiées disponibles 24h/24 dans plusieurs fuseaux horaires, ils finissent par s’accorder sur 22 millions de dollars. Le 1er mars 2024, Change Healthcare envoie alors 350 Bitcoin (valeur de l’époque, environ 22 millions de dollars) à l’adresse crypto fournie par l’organisation BlackCat.

Et là, c’est le drame qui va révéler la véritable nature de BlackCat et bouleverser tout l’écosystème du ransomware moderne. Notchy, qui a passé des mois sur cette opération complexe et attend “légitimement” sa part de 80% selon l’accord d’affiliation standard (soit environ 17,6 millions de dollars), se retrouve face à un silence radio total. Un jour passe sans nouvelles. Puis deux. Puis une semaine entière. Le 3 mars, pris d’un mauvais pressentiment, Notchy tente de se connecter au panel d’administration de BlackCat pour vérifier le statut de sa mission. Message affiché : “Accès refusé”. Il essaie alors de contacter les administrateurs via les canaux Tox sécurisés habituels mais pas de réponse. Il tente ensuite les serveurs de backup, les channels Discord privés, et même les anciens moyens de communication d’urgence.

Le vide absolu.

C’est à ce moment-là que la réalité frappe Notchy comme un uppercut. Il vient de se faire arnaquer par ses propres patrons. Les administrateurs de BlackCat ont tout simplement empoché les 22 millions de dollars et l’ont éjecté du système. Dans le monde du crime organisé traditionnel, ça s’appelle “se faire buter après le casse”. Dans l’univers cybercriminel, c’est un exit scam d’une ampleur légendaire !

La réaction de Notchy est explosive et va marquer un tournant dans l’histoire du cybercrime car il débarque en rage sur les forums RAMP et BreachForums et balance absolument tout ce qu’il sait. Screenshots des négociations avec Change Healthcare, preuves du paiement de 350 Bitcoin, messages ignorés avec les admins BlackCat, même les details techniques de l’infiltration. “BlackCat m’a volé 22 millions de dollars et vous êtes les prochains !”, hurle-t-il dans un post de 15 pages qui fait l’effet d’une bombe dans la communauté cybercriminelle.

L’onde de choc est immédiate et titanesque. La communauté cybercriminelle mondiale, habituée aux coups fourrés entre gangs rivaux, est en état de sidération totale. Un groupe de ransomware qui arnaque ses propres affiliés avec qui il partage les risques et les bénéfices ?? C’est du jamais vu dans l’histoire du cybercrime organisé. C’est comme si la mafia sicilienne décidait soudainement de buter tous ses capos après chaque opération réussie. Les règles non-écrites du milieu volent alors en éclats.

Mais tout ceci n’est que le début du feuilleton car le 5 mars, BlackCat publie un message laconique sur leur blog qui va rester dans les annales : “Nous fermons définitivement nos opérations. Les pressions du FBI ont rendu notre business model intenable. Merci à tous nos affiliés pour leur collaboration. Bonne chance pour la suite.” Et puis… plus rien. Silence radio total. Les serveurs s’éteignent méthodiquement un par un, le code source du ransomware disparaît des dépôts privés, les administrateurs s’évaporent de tous les canaux de communication.

BlackCat cesse purement et simplement d’exister.

L’analyse forensique de la blockchain Bitcoin révèlera l’ampleur de l’arnaque et la préméditation de l’opération. Les 350 Bitcoin de Change Healthcare ont été immédiatement fragmentés et dispersés à travers un réseau complexe de plus de 50 adresses intermédiaires, puis passés dans des mixers automatisés avant d’être reconvertis en Monero pour une anonymisation totale. Les administrateurs de BlackCat ont mis en place un système de blanchiment digne des plus grandes organisations criminelles et n’ont pas gardé un seul satoshi pour Notchy. C’est le parfait exit scam, minutieusement planifié et exécuté avec une froideur industrielle.

La communauté cybercriminelle mondiale explose alors littéralement. Sur RAMP, XSS, BreachForums, c’est la guerre civile numérique. Certains anciens affiliés défendent encore BlackCat : “Le FBI les a forcés à fermer, ils ont fait ce qu’ils pouvaient.” et d’autres crient à la trahison absolue : “Ils ont détruit 30 ans de confiance dans le modèle RaaS, ces enfoirés nous ont tous niqués.” Les modérateurs des forums, d’habitude neutres, prennent même position de manière inédite : BlackCat est officiellement banni de tous les espaces de discussion, leurs anciens comptes sont fermés, leur réputation est définitivement détruite. Même entre voleurs, il y a des limites à ne pas franchir.

Notchy, l’affilié floué qui se retrouve avec des mois de travail pour rien et 22 millions de dollars envolés, ne se laisse évidemment pas faire. Il lance un ultimatum public sur tous les forums… soit les admins disparus de BlackCat lui versent sa part dans les 48 heures, soit il publie l’intégralité des 6 téraoctets de données volées chez Change Healthcare. Données qui incluent des informations médicales ultra-sensibles sur des millions d’Américains, des militaires couverts par Tricare, des employés CVS, MetLife, des dizaines d’autres assureurs. Change Healthcare se retrouve alors dans une position impossible : ils ont déjà payé 22 millions, et maintenant on leur demande implicitement de payer encore pour éviter le leak.

Épuisé par des semaines de crise et refusant de céder une nouvelle fois au chantage, ils choisissent alors de ne plus négocier. Puis le 20 mars 2024, un mystérieux nouveau groupe appelé RansomHub, qui ressemble étrangement à une reconversion de Notchy ou d’anciens affiliés BlackCat, publie effectivement les données de Change Healthcare sur leur blog de leak. 4 téraoctets d’informations médicales ultra-confidentielles, des millions de patients impactés, un scandale sanitaire d’ampleur historique. Mais qui se cache réellement derrière RansomHub ? Notchy ? Un autre ancien affilié de BlackCat ? Des opportunistes qui ont récupéré les données ? Le mystère reste entier encore à ce jour, mais à ce moment là, le chaos est total.

L’impact de l’exit scam de BlackCat va bien au-delà des 22 millions de dollars volés et ébranle les fondements mêmes du modèle économique du Ransomware-as-a-Service, qui avait pourtant fait ses preuves depuis 2019 avec des groupes comme REvil ou LockBit, qui se retrouve remis en question. Si même les gangs les plus établis et respectés peuvent arnaquer leurs propres affiliés sans préavis, qui peut-on encore croire dans cet écosystème ?

La méfiance s’installe alors durablement dans tous les forums du dark web. Les nouveaux affiliés exigent désormais des garanties financières, des comptes escrow gérés par des tiers de confiance, des preuves de bonne foi, des références vérifiables. Certains demandent même des cautions de plusieurs millions de dollars avant d’accepter de travailler avec un nouveau groupe RaaS. L’époque de la confiance aveugle basée sur la réputation est révolue.

Certains experts de la cybersécurité y voient même la fin d’une époque dorée pour les cybercriminels, car quand la confiance, paradoxalement essentielle même entre criminels, disparaît complètement, tout ce système collaboratif s’effondre. D’autres experts prédisent au contraire une consolidation darwinienne où seuls les groupes avec une vraie réputation historique et des garanties financières béton survivront.

Mais où sont donc passés les mystérieux administrateurs de BlackCat avec leurs 22 millions de dollars ?

Les théories du complot abondent sur les forums spécialisés où certains pensent qu’ils ont été discrètement recrutés par les services de renseignement russes pour développer des cyberarmes d’État. D’autres qu’ils se sont reconvertis dans la crypto-fraude ou les arnaques DeFi, secteurs moins risqués et tout aussi lucratifs. Les plus cyniques suggèrent qu’ils préparent déjà leur prochain coup sous une nouvelle identité, avec un ransomware encore plus sophistiqué et un business model “amélioré”.

En tout cas, BlackCat avait absolument tout pour devenir le LockBit ou le Conti de leur génération et dominer l’écosystème ransomware pendant des années… Mais l’appât du gain immédiat et la cupidité pure ont été plus forts que la vision stratégique. Pour 22 petits millions de dollars soit même pas 6 mois de revenus à leur rythme de croissance, ils ont détruit un business potentiel de plusieurs milliards.

BlackCat laisse un héritage amer mais instructif car ils ont définitivement prouvé que les attaques par ingénierie sociale restaient terriblement efficaces malgré toutes les formations de sensibilisation et que la technologie de chiffrement la plus sophistiquée ne valait absolument rien face à la naïveté humaine et aux processus IT mal sécurisés.

L’épilogue de cette histoire tragique continue de s’écrire en temps réel. Notchy se balade encore sur les forums quand il n’a pas de nouvelles opérations en cours, Change Healthcare panse toujours ses plaies financières et répare péniblement sa réputation et le FBI continue ses investigations pour identifier et arrêter les administrateurs disparus, sans grand succès pour l’instant. Y’a même une récompense de 10 millions de dollars si vous avez des infos.

Et quelque part, peut-être sur une plage paradisiaque des Caraïbes ou dans un penthouse de Dubaï, les cerveaux de BlackCat sirotent probablement des cocktails hors de prix achetés avec les 22 millions de dollars de leur ultime trahison.

La morale de cette histoire, si tant est qu’il puisse y en avoir une dans l’univers du ransomware, c’est que personne n’est jamais digne d’une confiance absolue, surtout pas les criminels. Donc si vous êtes un affilié RaaS qui lisez ceci, méfiez-vous car le prochain exit scam pourrait bien vous viser personnellement…

Sources : ALPHV BlackCat - Wikipedia, BlackCat Ransomware Analysis - Microsoft Security, Exit Scam Analysis - KrebsOnSecurity, Notchy Affiliate Drama - DarkReading, BlackCat Alphv Ransomware - Heimdal, This year’s most sophisticated ransomware, Story of Cyberattack – Change Healthcare

Aujourd’hui, pour ma série de l’été, je vais vous raconter l’histoire complètement dingue de Marcus Hutchins, le britannique qui a sauvé le monde d’une catastrophe et ça lui a coûté seulement 10,69 dollars. Mais attention, ce n’est pas juste l’histoire d’un héros. C’est aussi celle d’un ancien créateur de malware, d’exploits volés à la NSA, de hackers nord-coréens, et d’un kill switch découvert par accident un vendredi après-midi de mai 2017.

Du héros au criminel, du criminel au héros, l’histoire de Marcus Hutchins ressemble à un scénario de film qu’Hollywood n’oserait même pas écrire tellement c’est gros. Accrochez-vous, car on va explorer ensemble comment un surfeur de 22 ans vivant chez ses parents a stoppé la plus grande cyberattaque de l’histoire… avant de se faire coffrer par le FBI trois mois plus tard.

Marcus Hutchins, alias MalwareTech - Le hacker qui a sauvé Internet

Marcus Hutchins naît le 2 juin 1994 à Bracknell, une ville tranquille du Berkshire, en Angleterre. Sa famille déménage ensuite à Ilfracombe, une petite station balnéaire du Devon où il passe son enfance. Un coin paumé du sud-ouest anglais où il ne se passe pas grand-chose… le genre d’endroit où un gamin intelligent peut vite s’ennuyer et chercher des trucs à faire sur Internet.

Dès l’âge de 6 ans, Marcus montre des signes d’une intelligence au-dessus de la moyenne. Il apprend à lire tout seul, dévore les livres, et se passionne pour les ordinateurs dès qu’il peut en toucher un. Mais socialement, c’est compliqué. Marcus est le genre de gosse brillant mais inadapté, celui qui préfère passer ses récréations à coder plutôt qu’à jouer au foot avec les autres. Il souffre de TDAH non diagnostiqué, ce qui complique encore plus son intégration sociale.

Ilfracombe, Devon - Où tout a commencé pour le futur MalwareTech

À 13 ans, Marcus découvre le hacking et pas par hasard. Il cherche des moyens de contourner les restrictions parentales sur son ordinateur, pour accéder à des sites bloqués… bref, les trucs classiques d’un ado curieux. Il tombe alors sur HackForums et d’autres communautés underground, et là, c’est la révélation. Il découvre un monde où son intelligence et sa curiosité sont valorisées, et où être différent est un atout.

Marcus commence doucement. Il apprend le C++, le Python, l’assembleur. Il passe ses nuits sur les forums, absorbe tout ce qu’il peut sur la sécurité informatique. À 14 ans, il écrit déjà ses premiers exploits et commence à se faire un nom dans la communauté sous le pseudo MalwareTech. Ses parents s’inquiètent de le voir passer autant de temps devant son écran, mais bon, au moins il ne traîne pas dans la rue, pas vrai ?

Entre 14 et 16 ans, Marcus plonge de plus en plus profondément dans le monde du malware. Il commence par analyser des virus existants, les désassemble, comprend comment ils fonctionnent. Puis il se met à créer ses propres outils. Rien de méchant au début, juste des proof-of-concept pour impressionner ses potes sur les forums.

Mais rapidement, la frontière entre l’expérimentation et la criminalité devient floue. Marcus commence à vendre ses créations sur des forums underground. Un rootkit par-ci, un crypter par-là. Il se fait de l’argent de poche en créant des outils que d’autres utilisent pour des activités criminelles. Pour lui, c’est juste un jeu, un moyen de prouver ses compétences et de gagner un peu d’argent.

En 2012, à 18 ans, Marcus développe ce qui deviendra son plus gros problème : UPAS Kit, un malware sophistiqué capable de voler des informations bancaires. Il vend le code source pour quelques milliers de dollars à un acheteur anonyme sur un forum russe. L’argent c’est cool, et Marcus ne pense pas vraiment aux conséquences. C’est là qu’il rencontre “Vinny”, un cybercriminel expérimenté qui voit le potentiel du code de Marcus.

Entre 2012 et 2015, Marcus et Vinny développent Kronos, une version améliorée d’UPAS Kit. Kronos est un cheval de Troie bancaire redoutable, capable d’intercepter les identifiants bancaires, de contourner l’authentification à deux facteurs, et de voler des millions. Marcus code, Vinny vend. Le malware se retrouve alors sur AlphaBay et d’autres marchés du dark web, vendu 7000 dollars la licence. Comme Zeus avant lui, Kronos utilise une combinaison de keylogging et d’injection web pour voler les identifiants bancaires directement depuis les sessions de navigation.

Le code source de Kronos - L’erreur de jeunesse qui coûtera cher

Mais en 2015, Marcus a une prise de conscience. Il réalise que son code est utilisé pour ruiner de vraies personnes, voler leurs économies, détruire des vies. Il décide donc d’arrêter, il coupe les ponts avec Vinny, abandonne ses activités criminelles, et décide de passer du côté lumineux de la Force.

Marcus lance alors le blog MalwareTech.com et commence à publier des analyses détaillées de malwares. Ses articles sont brillants, techniques, et il est rapidement remarqués par la communauté de la cybersécurité. En 2016, il décroche alors un job chez Kryptos Logic, une boîte de cybersécurité basée à Los Angeles. Pour la première fois de sa vie, Marcus a un vrai travail, légal, où ses compétences sont utilisées pour protéger plutôt que pour attaquer.

Personne ne sait rien de son passé. Pour tous, MalwareTech est juste un jeune chercheur talentueux qui a appris sur le tas. Marcus garde son secret, espère que son passé ne le rattrapera jamais. Il travaille dur, publie des recherches de qualité, aide à stopper des campagnes de malware. La rédemption semble à portée de main.

Le siège de la NSA - D’où vont fuiter les cyberarmes

Pendant que Marcus reconstruit sa vie, de l’autre côté de l’Atlantique, la NSA développe ses propres outils. Parmi eux, un exploit particulièrement vicieux baptisé EternalBlue. Cet exploit exploite une vulnérabilité dans le protocole SMBv1 de Windows, permettant d’exécuter du code à distance sur n’importe quelle machine Windows vulnérable, sans aucune interaction de l’utilisateur.

EternalBlue, c’est la Rolls-Royce des exploits. Vous êtes connecté au même réseau qu’une machine vulnérable ? Boum, vous pouvez la contrôler. C’est l’outil parfait pour l’espionnage. Le problème, c’est que la NSA garde cet exploit secret pendant des années. Au lieu de prévenir Microsoft pour qu’ils corrigent la faille, ils préfèrent garder leur jouet pour leurs opérations.

En 2016, un groupe mystérieux appelé les Shadow Brokers fait son apparition. Personne ne sait vraiment qui ils sont… des hackers russes ? Des insiders de la NSA ? Le mystère reste entier. Ce qui est sûr, c’est qu’ils ont mis la main sur les outils de l’équipe d’élite de la NSA, l’Equation Group.

Les Shadow Brokers tentent d’abord de vendre ces outils aux enchères pour 1 million de bitcoins. Personne ne mord à l’hameçon. Le 14 avril 2017, frustrés de ne pas avoir trouvé d’acheteurs, ils balancent tout gratuitement sur Internet. Dans le lot : EternalBlue, DoublePulsar, et une collection d’autres cyberarmes. C’est comme si quelqu’un venait de publier les plans d’une bombe atomique numérique.

Microsoft avait été prévenu alors un mois avant la publication par les Shadow Brokers, le 14 mars 2017, ils sortent le patch MS17-010. La faille est corrigée pour toutes les versions de Windows encore supportées. Mais voilà le problème… des millions de machines tournent encore sous Windows XP, Windows Server 2003, des systèmes qui ne reçoivent plus de mises à jour depuis des années. Et puis y’a tous ceux qui ne patchent jamais.

Quelque part en Corée du Nord, le Lazarus Group voit une opportunité. Ces hackers d’élite du régime de Kim Jong-un (les mêmes qui ont hacké Sony Pictures en 2014 et volé 81 millions à la banque du Bangladesh en 2016) décident d’utiliser EternalBlue pour créer quelque chose de nouveau : un ransomware capable de se propager tout seul.

Le 12 mai 2017, à 7h44 UTC, l’attaque commence et les premières victimes sont en Asie, probablement parce que l’attaque a été lancée pendant les heures de bureau là-bas. WannaCry (aussi appelé WannaCrypt, WanaCrypt0r 2.0, ou Wanna Decryptor) n’est pas un ransomware ordinaire. C’est un ver qui scanne le réseau local et Internet à la recherche d’autres victimes vulnérables sur le port 445 (SMB).

L’écran de la mort WannaCry - “Oops, your files have been encrypted!”

Le ransomware chiffre les fichiers de la victime avec un algorithme RSA-2048. Les documents, photos, vidéos, tout y passe, puis il affiche son fameux écran rouge demandant 300$ en Bitcoin, doublé à 600$ après trois jours. Si vous ne payez pas dans la semaine, vos fichiers sont perdus pour toujours. Mais le plus vicieux, c’est la vitesse de propagation car chaque machine infectée devient immédiatement un nouveau vecteur d’infection. Une machine en infecte dix, qui en infectent cent, qui en infectent mille…

En quelques heures, c’est la panique mondiale. En Espagne, Telefónica est touché, en Russie, c’est le ministère de l’Intérieur qui est frappé avec plus de 1000 ordinateurs infectés. FedEx est paralysé, leur filiale TNT Express doit revenir aux opérations manuelles et Renault doit arrêter la production dans plusieurs usines.

Mais c’est au Royaume-Uni que l’impact est le plus dramatique. Le NHS, le service de santé public britannique, est frappé de plein fouet. 81 des 236 fiducies du NHS sont touchés ainsi que plus de 595 cabinets de médecins généralistes. Les conséquences sont immédiates et terrifiantes.

Les hôpitaux britanniques paralysés par WannaCry

Les médecins ne peuvent plus accéder aux dossiers des patients, les systèmes de rendez-vous sont hors service, les résultats de tests sanguins, inaccessibles. Les scanners et IRM dans certains hôpitaux ne fonctionnent plus. Des ambulances doivent être détournées vers d’autres hôpitaux. 19 000 rendez-vous sont annulés, des opérations non urgentes reportées. Le coût pour le NHS est de 92 millions de livres sterling soit 20 millions en perte d’activité immédiate et 72 millions pour restaurer les systèmes.

Un médecin raconte : “C’était le chaos total. On avait des Post-it partout pour noter les informations vitales. On faisait des allers-retours entre les services pour transmettre les résultats de tests à la main. C’était comme revenir 30 ans en arrière, mais sans y être préparé.”

Pendant ce temps, à Ilfracombe dans le Devon, Marcus Hutchins se réveille. Il est en vacances, censé se détendre et faire du surf. Mais les alertes sur son téléphone lui disent que quelque chose de grave se passe. Marcus a maintenant 22 ans, et il travaille depuis sa chambre d’enfance sur un setup à trois écrans. Il interrompt son déjeuner et se met au travail.

Marcus télécharge un échantillon du malware et le fait tourner dans une sandbox, et là, il remarque quelque chose d’étrange. Avant de chiffrer les fichiers, le malware essaie de contacter un domaine : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Un nom de domaine complètement random, 42 caractères de charabia. Marcus vérifie et constate que le domaine n’existe pas.

Par curiosité professionnelle et réflexe d’analyse, Marcus décide alors d’enregistrer le domaine pour tracker l’infection. Ça lui coûte 10,69 dollars sur NameCheap et il configure quelques serveurs pour logger les connexions, une pratique courante appelée “sinkholing”. Et à 15h03 UTC, le domaine est actif.

Ce que Marcus ne réalise pas immédiatement, c’est qu’il vient de sauver le monde. En enregistrant ce domaine, il a activé sans le savoir le “kill switch” de WannaCry car le malware était programmé pour s’arrêter si ce domaine existait.

Pourquoi ce kill switch ? La théorie la plus probable c’est que c’était un mécanisme d’anti-analyse. Les sandboxes répondent souvent positivement à toutes les requêtes DNS pour tromper les malwares. Comme ça, si le domaine existe, WannaCry pense qu’il est dans une sandbox et s’arrête pour ne pas révéler son comportement aux chercheurs. Sauf que cette fois, c’est dans le monde réel qu’il obtient une réponse.

10,69$ - Le prix pour sauver le monde

Marcus publie immédiatement ses découvertes sur Twitter et son blog. Il écrit : “Je dois avouer que je ne savais pas qu’enregistrer le domaine stopperait le malware jusqu’à ce que je l’enregistre, donc au départ c’était accidentel.” La nouvelle se répand comme une traînée de poudre. Un inconnu vient de stopper la plus grande cyberattaque de l’histoire !

Comme d’hab, les médias s’emballent. Mais qui est ce mystérieux @MalwareTechBlog ? Les journalistes britanniques ne mettent pas longtemps à découvrir l’identité de Marcus et le Daily Mail titre : “Le surfeur qui a sauvé le monde”. Des reporters campent devant la maison de ses parents et Marcus doit escalader la clôture du jardin pour aller chercher à manger sans se faire harceler.

L’impact de la découverte de Marcus est énorme car sans le kill switch, WannaCry aurait continué à se propager pendant des jours, voire des semaines, infectant potentiellement des millions de machines supplémentaires. Les dégâts, déjà estimés à 4-8 milliards de dollars au global, auraient pu être dix fois pires. Des vies ont littéralement été sauvées.

Mais le répit est de courte durée et les créateurs de WannaCry tentent de contre-attaquer avec de nouvelles variantes utilisant des kill switches différents. Les chercheurs en sécurité jouent alors au chat et à la souris, enregistrant chaque nouveau domaine. Le 19 mai, quelqu’un tente même d’utiliser un botnet Mirai pour attaquer le domaine de Marcus en DDoS, espérant le faire tomber et réactiver WannaCry. Marcus bascule sur CloudFlare et le kill switch tient bon.

Les autorités du monde entier cherchent les coupables. Les indices pointent rapidement vers la Corée du Nord car le code de WannaCry partage des similitudes avec d’autres malwares du Lazarus Group. En décembre 2017, les États-Unis et le Royaume-Uni accusent officiellement la Corée du Nord, puis en septembre 2018, le département de la Justice américain inculpe Park Jin Hyok, un programmeur nord-coréen travaillant pour Chosun Expo, une société front du renseignement militaire.

L’aspect financier de WannaCry est particulièrement pathétique. Pour une attaque d’une telle ampleur, seulement environ 1000 victimes ont payé la rançon, pour un total de 140 000 dollars en Bitcoin. Pourquoi si peu ? Et bien le système de paiement était mal conçu… Il n’y avait pas pas de mécanisme automatique pour identifier qui avait payé. C’est con ! Et surtout, pour une fois, les gens ont écouté les experts qui déconseillaient de payer.

Marcus devient alors une célébrité malgré lui. La BBC, CNN, le Guardian, tous veulent l’interviewer et il refuse la plupart des demandes, mal à l’aise avec l’attention médiatique. Sur Twitter, ses followers explosent, la communauté de la cybersécurité le félicite, les entreprises veulent l’embaucher, mais Marcus sait que quelque part, son passé est toujours là, tapi dans l’ombre.

DEF CON 2017 - Le début de la fin pour Marcus

En juillet 2017, Marcus décide d’aller à DEF CON à Las Vegas. C’est la Mecque des hackers, l’endroit où toute la communauté se retrouve chaque année. Pour Marcus, c’est l’occasion de rencontrer en personne des gens qu’il ne connaît que par pseudos interposés, et surtout de célébrer son statut de héros de WannaCry.

La conférence se passe bien, Marcus donne des talks, participe à des panels, fait la fête avec d’autres chercheurs. Pour la première fois depuis longtemps, il se sent accepté, faire partie d’une communauté. Le 3 août 2017, dernier jour de la conférence, Marcus fait ses bagages à l’hôtel. Il prend un Uber pour l’aéroport McCarran, check-in ses bagages, passe la sécurité.

Et c’est là que tout bascule. Plusieurs agents du FBI l’entourent près de sa porte d’embarquement. “Marcus Hutchins ?” Il confirme. Ils lui montrent leurs badges, lui demandent de les suivre. Marcus sent son sang se glacer car il sait immédiatement pourquoi ils sont là : Kronos. Son passé vient de le rattraper.

Les agents l’emmènent dans une salle d’interrogatoire de l’aéroport. Ils lui lisent ses droits de garder le silence et d’avoir un avocat (ça s’appelle les droits Miranda), lui expliquent qu’il est arrêté pour conspiration en vue de commettre des fraudes informatiques. Marcus demande un avocat, refuse de parler et les agents confisquent son matériel : Laptop, téléphones, et tout son équipement de chercheur en sécurité.

L’aéroport de Las Vegas - Où notre héros devient un suspect

Marcus est alors transféré dans une prison fédérale du Nevada. Pour le gamin d’Ilfracombe qui n’avait jamais eu d’ennuis avec la justice, c’est le choc total. Il partage une cellule avec des criminels endurcis, et découvre la réalité brutale du système carcéral américain. Le héros de WannaCry est maintenant un détenu fédéral.

L’arrestation de Marcus fait l’effet d’une bombe dans la communauté de la cybersécurité. Comment le héros de WannaCry peut-il être un criminel ? Quand les détails de l’accusation sortent, à savoir la création d’UPAS Kit en 2012 et de Kronos entre 2012 et 2015, c’est la stupéfaction. Un mouvement de soutien s’organise et une cagnotte pour ses frais d’avocat récolte des centaines de milliers de dollars en quelques jours.

Après quelques jours en détention, Marcus est finalement libéré sous caution d’une valeur de 30 000 dollars et les conditions sont assez strictes : bracelet électronique GPS, interdiction de quitter le pays, couvre-feu, et limitation de l’usage d’Internet. Il s’installe à Los Angeles chez un ami, commence une longue bataille juridique qui durera presque deux ans.

La stratégie de défense de Marcus est très compliquée car les preuves contre lui sont accablantes. En effet, le FBI a des logs de conversations, des traces de paiements, des échantillons de code. Difficile de nier avoir créé Kronos. Il est donc d’abord inculpé pour six chefs d’accusation, puis voit quatre charges supplémentaires ajoutées, incluant la création d’UPAS Kit et des mensonges au FBI. Il risque jusqu’à 40 ans de prison.

Pendant près de deux ans, Marcus vit dans les limbes juridiques. Il continue à travailler pour Kryptos Logic depuis Los Angeles, publie des recherches, analyse des malwares. Mais le bracelet électronique à sa cheville lui rappelle constamment que sa liberté est provisoire. Il ne peut pas rentrer en Angleterre voir sa famille et la pression psychologique est énorme. Marcus souffre de dépression, d’anxiété et il pense parfois au suicide.

Le 2 mai 2019, Marcus prend une décision difficile : plaider coupable. Ses avocats ont négocié un deal. S’il plaide coupable pour 2 chefs d’accusation à savoir conspiration en vue de commettre des fraudes informatiques et création d’un dispositif d’interception de communications, en échange, ce sont huit autres charges qui sont abandonnées.

Dans sa déclaration au tribunal, Marcus assume pleinement ses actes. “Je regrette profondément mes actions et j’accepte l’entière responsabilité de mes erreurs”, écrit-il. Il explique comment il a créé UPAS Kit et Kronos entre 2012 et 2015, comment il a travaillé avec Vinny pour vendre le malware.

Le 26 juillet 2019, jour du jugement. La salle d’audience est pleine. Marcus, en costume, fait face au juge J.P. Stadtmueller. Les procureurs demandent une peine de prison. La défense plaide la clémence, rappelant que Marcus a arrêté de lui-même ses activités criminelles, et qu’il a littéralement sauvé le monde de WannaCry.

Le jour du jugement - 26 juillet 2019

Puis vient le moment où le juge Stadtmueller prend la parole. Et là, surprise. Le juge reconnaît la gravité des crimes de Marcus, mais aussi l’importance de ses contributions positives. “Il faudra des gens avec vos compétences pour trouver des solutions”, dit-il à Marcus, “parce que c’est la seule façon d’éliminer ce problème des protocoles de sécurité terriblement inadéquats.”

Le verdict tombe : time served (peine purgée) et un an de liberté surveillée. Pas de prison supplémentaire. Marcus n’en croit pas ses oreilles. La salle d’audience explose en applaudissements. Pour la première fois depuis son arrestation, il peut enfin respirer. Le juge ajoute que Marcus devra probablement retourner au Royaume-Uni et qu’il n’est pas certain qu’il puisse revenir aux États-Unis.

En juillet 2020, sa liberté surveillée prend fin. Marcus retourne enfin au Royaume-Uni, retrouve sa famille à Ilfracombe après trois ans d’absence forcée. C’est un retour doux-amer. Il est libre, mais sa vie a été bouleversée. Il a perdu trois ans, sa santé mentale est fragile, son futur incertain. Il ne peut plus voyager aux États-Unis, limitant ses opportunités professionnelles.

Juillet 2020 - Le retour au pays après trois ans d’exil forcé

Mais Marcus est résilient. Il relance son blog MalwareTech.com, reprend ses analyses de malware, publie des recherches de pointe. Il devient consultant en cybersécurité, travaille avec des entreprises pour améliorer leur sécurité. Doucement, il reconstruit sa vie et sa carrière.

Aujourd’hui, en 2025, Marcus Hutchins est devenu une figure respectée de la cybersécurité mondiale. Il travaille toujours pour Kryptos Logic, publie régulièrement des analyses techniques pointues. Ses recherches sur les vulnérabilités Windows, les techniques de contournement d’EDR, et les malwares sophistiqués sont lues par des milliers de professionnels.

Le site de Marcus

Dans ses écrits récents, Marcus réfléchit souvent sur son parcours. “Si je pouvais revenir en arrière, je ferais les choses différemment”, écrit-il. “Mais je ne peux pas changer le passé. Tout ce que je peux faire, c’est utiliser mes compétences pour le bien, aider à protéger les gens contre les menaces que j’ai aidé à créer.”

L’impact de WannaCry a montré notre vulnérabilité collective à savoir des infrastructures critiques tournant sur des systèmes obsolètes, des entreprises qui ne patchent pas, et une dépendance totale à des systèmes informatiques sans plan B. Cependant, il faut noter que Microsoft a réagi de manière remarquable puisque le lendemain de l’attaque, ils ont fait quelque chose d’inédit : publier des patchs gratuits pour Windows XP, Windows 8 et Windows Server 2003, des systèmes “end-of-life” depuis des années.

Et WannaCry n’était que le début car un mois plus tard, NotPetya frappe, utilisant aussi EternalBlue mais causant encore plus de dégâts. Aujourd’hui, en 2025, EternalBlue est toujours actif et 8 ans après, des millions de machines restent vulnérables. C’est déprimant mais c’est la réalité…

Voilà l’histoire complète de Marcus Hutchins… Une histoire de chute et de rédemption qui montre que dans la vie, rien n’est jamais simple, rien n’est jamais définitif.

Sources : Marcus Hutchins - Wikipedia, WannaCry ransomware attack - Wikipedia, DOJ - Marcus Hutchins Pleads Guilty, Krebs on Security - Marcus Hutchins Pleads Guilty, MalwareTech Blog, WannaCry cost NHS £92m, NAO - WannaCry cyber attack and the NHS, How to Accidentally Stop a Global Cyber Attack, CyberScoop - Marcus Hutchins Sentenced, Cloudflare - WannaCry Ransomware

Ceci est une histoire qui a fait trembler la première puissance militaire du monde. On est en février 1998 et les États-Unis sont à deux doigts de bombarder l’Irak de Saddam Hussein qui vient de virer les inspecteurs de l’ONU. La tension est électrique. Les Marines déploient leurs troupes dans le Golfe. Et là, sans prévenir, le Pentagone se fait hacker comme jamais.

Et pas juste un petit piratage de rien du tout, hein, car plus de 500 systèmes militaires et gouvernementaux compromis en trois semaines : NASA, Air Force, Navy, MIT, Lawrence Livermore (le labo qui conçoit les bombes atomiques américaines), et j’en passe. John Hamre, le numéro 2 de la Défense américaine, déclare alors que c’est “l’attaque la plus organisée et systématique que le Pentagone ait jamais vue”. La panique est totale !

Du coup, NSA, CIA, FBI, Defense Information Systems Agency, Air Force Office of Special Investigations, ministère de la Justice… Tout le gratin du renseignement américain se mobilise. Les briefings remontent jusqu’au bureau ovale, jusqu’à Bill Clinton himself. Et leur conclusion, c’est que c’est forcément Saddam qui lance la cyberguerre pour paralyser l’armée américaine avant les frappes… Non ?

L’histoire commence donc le 1er février 1998. Un dimanche soir tranquille au Pentagone. Sauf que dans les sous-sols du bâtiment, les systèmes ASIM (Automated Security Incident Monitors) de l’Air Force commencent à gueuler. Quelqu’un vient de s’introduire dans les serveurs de la Garde nationale aérienne à Andrews Air Force Base, dans le Maryland. Et pas n’importe comment puisque l’intrus a chopé les droits root, soit le Saint Graal absolu pour un hacker.

Le lendemain, 2 février, c’est la grosse panique. L’équipe de réponse aux urgences informatiques de l’Air Force (AFCERT) à Kelly Air Force Base au Texas découvre que ce n’est pas un incident isolé. D’autres bases militaires se font défoncer… Kirtland au Nouveau-Mexique, Lackland au Texas, Columbus dans le Mississippi, Gunter dans l’Alabama. L’attaque se propage comme une traînée de poudre.

Les experts du Pentagone analysent alors rapidement le mode opératoire et là, premère surprise, les hackers exploitent une vulnérabilité vieille comme le monde dans Solaris 2.4, le système d’exploitation Unix de Sun Microsystems. La faille “statd”, connue depuis 1996 (!), offre un joli buffer overflow dans le service RPC. En gros, vous envoyez un nom de fichier trop long bourré de shellcode, et pouf, ça permet d’exécuter du code arbitraire avec les privilèges root.

D’où le nom de code donné à l’incident : “Solar Sunrise” (Lever de Soleil Solaire). Un jeu de mots pourri entre Sun/Solaris et le fait que ça se passe au lever du jour. Les militaires et leur sens de l’humour…

Et une fois dans la place, les attaquants installent des analyseurs de paquets et des chevaux de Troie pour maintenir leur accès. Ils capturent ainsi tous les mots de passe qui transitent sur le réseau avec leurs sniffers. C’est méthodique, efficace, imparable et les serveurs DNS tombent comme des dominos.

Mais ce qui terrifie vraiment les stratèges du Pentagone, c’est le timing car on est en pleine crise diplomatique avec l’Irak. Les inspecteurs de l’ONU viennent d’être expulsés. Les porte-avions américains convergent vers le Golfe Persique. Et maintenant, les systèmes militaires se font pirater systématiquement. Pour les analystes, c’est évident : Saddam Hussein lance une cyberguerre pour aveugler l’armée américaine.

Richard Clarke, le coordinateur national pour la sécurité et le contre-terrorisme à la Maison Blanche, avouera plus tard que “Pendant des jours, des jours critiques alors que nous essayions d’envoyer des forces dans le Golfe, nous ne savions pas qui faisait ça. Nous avons donc supposé que c’était l’Irak.”

Le 3 février, l’affaire remonte jusqu’au bureau ovale. Le président Bill Clinton est briefé personnellement sur cette cyberattaque sans précédent. La situation est grave. Certes, les hackers n’ont pas touché aux systèmes classifiés (ouf), mais ils ont accès aux systèmes de logistique, d’administration et de comptabilité. Ce sont les nerfs et les muscles de l’armée américaine et sans eux, impossible de déployer des troupes ou de coordonner les opérations.

John Hamre prend alors personnellement les choses en main. Diplômé de Harvard, ancien analyste au Congressional Budget Office, Hamre n’est pas du genre à paniquer pour un rien. Mais là, il est vraiment inquiet. “C’est l’attaque la plus organisée et systématique que nous ayons jamais vue”, répète-t-il lors des briefings tendus au Pentagone.

L’enquête mobilise des moyens colossaux. Des mandats judiciaires sont obtenus en urgence pour tracer les connexions des pirates, mais les attaquants sont malins : ils rebondissent sur des serveurs dans le monde entier pour brouiller les pistes. Les enquêteurs identifient des connexions passant par les Émirats arabes unis, via un FAI appelé Emirnet alors pour les analystes paranos, c’est un indice de plus qui pointe vers le Moyen-Orient.

Et le 11 février, première percée. Les agents du FBI interceptent des communications entre les pirates sur IRC (Internet Relay Chat). C’est l’ancêtre de Discord pour les plus jeunes d’entre vous. Les pseudos utilisés sont “Makaveli”, “Stimpy”, et un certain “Analyzer” qui semble être le chef de bande. Les conversations sont édifiantes. Ils parlent de leurs exploits comme des gamers qui viennent de finir un niveau difficile.

Et grâce aux logs IRC mais aussi à un informateur (d’après les rumeurs, c’est probablement John Vranesevich d’AntiOnline, mais chut…), les enquêteurs remontent jusqu’à deux lycéens de Cloverdale, une petite ville paumée du nord de la Californie, à 140 kilomètres au nord de San Francisco. Population : 8 000 habitants. Nombre de hackers internationaux recherchés par le Pentagone : 2.

Seulement voilà, John Hamre fait une bourde monumentale. Lors d’un briefing avec des journalistes, il laisse échapper que les suspects sont “des gamins vivant dans le nord de la Californie”. L’info fuite immédiatement sur CNN. Du coup, les enquêteurs doivent accélérer avant que les hackers voient les infos et effacent toutes les preuves.

Et le 25 février 1998, à 6 heures du matin, le FBI débarque simultanément à deux adresses de Cloverdale. Première maison : le lycéen de 16 ans qui se fait appeler Makaveli. Deuxième maison : son pote de 15 ans, alias Stimpy. Les agents saisissent tout… ordinateurs, modems, piles de CD-ROM, carnets de notes remplis de mots de passe…

Les parents tombent des nues. Leur fils, un cyber-terroriste international ? Impossible ! Makaveli est juste un lycéen un peu geek, qui passe trop de temps sur son PC au lieu de faire ses devoirs. Stimpy, c’est pareil, un gamin passionné d’informatique qui étudie aussi la musique.

Mais pendant l’interrogatoire, Makaveli craque rapidement. Les agents s’attendent à des révélations sur un complot international, des liens avec des services secrets étrangers, ou que sais-je mais au lieu de ça, quand ils lui demandent pourquoi il a hacké le Pentagone, il répond : “It’s power, dude. You know, power.”

Les enquêteurs se regardent, interloqués. Trois semaines de mobilisation générale, des briefings présidentiels, la quasi-guerre avec l’Irak… pour un ado qui voulait se la péter ? Makaveli ajoute qu’il a un mentor à l’étranger qui lui a “tout appris”, un type “tellement bon qu’ils ne le trouveront jamais” et qui aurait piraté 400 sites militaires.

Les écoutes révèlent alors l’identité du troisième larron : “The Analyzer”, de son vrai nom Ehud Tenenbaum, 18 ans, Israélien. Né le 29 août 1979 à Hod HaSharon près de Tel Aviv, c’est lui le cerveau du groupe de hackers “The Enforcers” (Les Exécuteurs).

Et là, Tenenbaum fait un truc complètement dingue. Deux jours après l’arrestation de ses disciples américains, au lieu de se planquer ou de détruire les preuves, il accepte une interview en ligne avec AntiOnline. Genre, tranquille. Et il balance tout… les 400 sites piratés, les mots de passe, les vulnérabilités tout en se justifiant : “J’aide toujours les serveurs que je pirate. Je patche les trous que je trouve.” Robin des Bois 2.0, en somme.

L’interview fait l’effet d’une bombe. Non seulement ce gamin nargue ouvertement le gouvernement américain, mais en plus il prouve ses dires en publiant des dizaines de logins et mots de passe authentiques de sites en .mil. Le Pentagone est ridiculisé publiquement par un ado de 18 ans.

Les Américains mettent alors la pression sur Israël et le 18 mars 1998, la police israélienne arrête Ehud Tenenbaum dans sa maison. Brillant, persuadé de rendre service en exposant les failles, il correspond parfaitement au profil du hacker prodige mais arrogant. Deux autres membres de son groupe sont également interpellés, mais Tenenbaum est clairement le boss.

Janet Reno, la procureure générale des États-Unis, tente de sauver la face : “Cette arrestation devrait envoyer un message à tous les hackers potentiels dans le monde.” Mouais. Dans les couloirs du Pentagone, c’est plutôt la gueule de bois. Comment trois ados ont-ils pu mettre en échec tout l’appareil de cyberdéfense américain ?

Le procès est une blague. Les deux Californiens, mineurs au moment des faits, plaident coupables de délinquance juvénile. Pas de prison, juste de la probation et l’interdiction de toucher un ordi. La liste trouvée chez Makaveli contenait près de 200 serveurs piratés, dont le Lawrence Livermore National Laboratory. C’est “juste” le labo qui fabrique les armes nucléaires. Mais bon, “curiosité adolescente”, qu’ils disent.

Pour Tenenbaum, le procès traîne durant trois ans. En juin 2001, il écope de… six mois de travaux d’intérêt général, un an de probation, deux ans de sursis, et 18 000 dollars d’amende. Pour avoir ridiculisé la cyberdéfense américaine, ça passe ^^. À la sortie du tribunal, il déclarera : “Je voulais juste prouver que leurs systèmes étaient troués comme du gruyère.” Mission accomplie, effectivement.

Mais attendez, l’histoire ne s’arrête pas là car en 2003, libéré de ses obligations judiciaires, Tenenbaum fonde sa propre boîte de sécurité informatique baptisée “2XS”. L’ancien pirate devient consultant. C’est un classique, sauf qu’il n’a pas vraiment retenu la leçon…

Septembre 2008, rebelote. La police canadienne l’arrête à Montréal avec trois complices. Cette fois, c’est du lourd : piratage de banques, vol de données de cartes bancaires, détournement de 1,8 million de dollars via des distributeurs automatiques. En fait, depuis son appart montréalais, il augmentait les limites des cartes prépayées pour vider les DAB. Au total, les pertes s’élèvent à plus de 10 millions de dollars.

Extradé aux États-Unis, Tenenbaum passe alors plus d’un an en détention. En 2012, il plaide coupable et s’en tire avec le temps déjà passé en prison. Depuis, plus personne n’entend parler de lui. The Analyzer a enfin compris que “le pouvoir, mec” avait ses limites.

Mais revenons à l’impact de Solar Sunrise. Pour la première fois, le Pentagone réalise l’ampleur de sa vulnérabilité. Les patchs de sécurité pour la faille statd existaient depuis des mois, mais personne ne les avait installés. Procrastination, manque de personnel, négligence… Les excuses habituelles qui coûtent cher.

John Hamre reconnaîtra plus tard que Solar Sunrise a été une piqure de rappel salutaire : “Nous pensions que nos systèmes étaient sûrs parce qu’ils étaient complexes. On a découvert que la complexité créait des vulnérabilités.” Du coup, refonte massive, création du Joint Task Force-Computer Network Defense, investissement de milliards dans la cybersécurité, formation du personnel…

Le FBI produit même un film de formation de 18 minutes baptisé “Solar Sunrise: Dawn of a New Threat”, vendu jusqu’en 2004. On y voit des reconstitutions dramatiques avec de la musique anxiogène et le message c’est que la cyberguerre est réelle, même si les premiers cyber-soldats sont des ados boutonneux en pyjama.

L’incident révèle surtout le problème crucial de l’attribution dans le cyberespace car comment distinguer un gamin dans sa chambre d’une unité d’élite du renseignement militaire ? Encore aujourd’hui, les indices techniques sont trompeurs, car les hackers “rebondissent” à travers le monde.

Solar Sunrise marque aussi l’émergence des collectifs de hackers. Fini le pirate solitaire. Makaveli, Stimpy et Analyzer forment un groupe, échangent des techniques, se motivent. Pour Makaveli et Stimpy, l’aventure s’est arrêté brutalement. Certains racontent que Makaveli s’est reconverti dans la cybersécurité et que Stimpy, traumatisé, aurait complètement décroché de l’informatique. Mais leur petite phrase “It’s power, dude” est devenue culte dans la communauté hacker.

Alors la prochaine fois que vous ignorez une mise à jour de sécurité, pensez à Solar Sunrise et à ces 3 semaines où l’Amérique a cru que Saddam lançait la cyberguerre alors que c’était juste quelques ados qui s’amusaient à prendre le “pouvoir”.

Sources : National Security Archive - Solar Sunrise After 25 Years, Wikipedia - Ehud Tenenbaum, The Register - Solar Sunrise hacker ‘Analyzer’ escapes jail, InformIT - The Solar Sunrise Case, SF Gate - Hacker Hits Net Company That Tipped FBI to Teens, Insecure.org - Solaris Statd exploit

Dans un communiqué publié le 31 juillet, le FBI met en garde contre un nouveau type d'arnaque particulièrement vicieux. Le mode opératoire repose sur deux arnaques déjà en vogue : le « brushing scam » et le « quishing ».

Vous vous souvenez du film “Blow” avec Johnny Depp ? L’histoire de George Jung qui importait de la cocaïne colombienne aux États-Unis dans les années 70 ? Bon bah imaginez la même chose, mais version 2.0, avec des serveurs cachés, du Bitcoin et un Québécois de 26 ans qui se prend pour Tony Montana depuis sa villa en Thaïlande.

Je vais vous raconter l’histoire complètement dingue d’AlphaBay, le plus grand supermarché du crime qui ait jamais existé sur le dark web. Un Amazon de la drogue et des armes qui a brassé plus d’un milliard de dollars en seulement trois ans. Et au centre de cette histoire, Alexandre Cazes, un petit génie de l’informatique qui a fini par se prendre les pieds dans le tapis de la manière la plus stupide qui soit.

Alors installez-vous confortablement, prenez un café, et laissez-moi vous embarquer dans cette histoire qui mélange technologie de pointe, ego surdimensionné et erreurs de débutant. C’est parti !

Alexandre Cazes naît le 19 octobre 1991 à Trois-Rivières, au Québec. Dès son plus jeune âge, il montre des capacités hors normes en informatique et avec un QI de 142, il devient ce qu’on appelle un “script kiddie” à 14 ans… Sauf que lui, contrairement aux autres, il avait vraiment du talent.

Son père Martin, propriétaire d’un garage, dira plus tard aux médias que son fils était “un jeune homme extraordinaire, aucun problème, aucun casier judiciaire”. Le gamin était tellement brillant qu’il a sauté une année à l’école. “Il n’a jamais fumé une cigarette, jamais pris de drogue”, racontera aussi le paternel. Vous allez voir, quand vous saurez la suite, vous trouverez ça aussi ironique que moi…

À 17 ans, pendant que ses potes pensent à leur bal de promo, Alexandre lance sa première boîte : EBX Technologies. Officiellement, il fait du développement web pour des PME locales, répare des ordinateurs et propose des services de chiffrement. Officieusement, il commence déjà à tremper dans des trucs pas très catholiques sur les forums de carders, ces types qui revendent des numéros de cartes bancaires volées. C’est là qu’il se fait connaître sous le pseudo “Alpha02”, un pseudo qu’il garde depuis 2008 et qui finira par causer sa perte.

Le jeune homme excelle tellement qu’il attire l’attention dans le milieu, mais le Québec, c’est trop petit pour ses ambitions. Alors en 2010, il fait son premier voyage en Thaïlande et le coup de foudre est immédiat : le climat, la culture, et surtout… les filles. Dans ses propres mots sur un forum “de drague”, il explique qu’il a “quitté une société brisée pour vivre dans une société traditionnelle”. Traduction : il en avait marre des Québécoises indépendantes et préférait un endroit où son argent lui donnait plus de pouvoir.

Sur le forum de Roosh V (un blogueur américain spécialisé dans la drague lourde), Cazes se présente même comme un “trompeur professionnel”. Charmant, n’est-ce pas ? Il explique pourquoi il a quitté le Québec : trop de gens qui vivent de l’aide sociale, trop de réfugiés musulmans qui (je cite) “se reproduisent comme des punaises de lit”. Bref, on comprend mieux le personnage…

En 2013, il s’installe alors définitivement à Bangkok, il épouse une Thaïlandaise, Sunisa Thapsuwan, et commence à mener la grande vie. Et pendant ce temps, ses parents au Québec pensent qu’il dirige une entreprise de développement web parfaitement légale. Le fils modèle, quoi.

Le mariage d’Alexandre

En octobre 2013, le FBI ferme Silk Road, le premier grand marché noir du dark web créé par Ross Ulbricht. Pour beaucoup, c’est la fin d’une époque mais pour Alexandre Cazes, c’est une opportunité en or. Il voit le vide laissé par Silk Road et se dit qu’il peut faire mieux. Beaucoup mieux.

Il passe alors l’année 2014 à développer sa plateforme en secret. Son objectif est clair et il ne s’en cache pas : Il veut créer “La plus grande place de marché underground”. Pas modeste le mec. En juillet 2014, il commence alors les tests avec une poignée de vendeurs triés sur le volet puis le 22 décembre 2014, AlphaBay ouvre officiellement ses portes virtuelles.

Les six premiers mois sont difficiles. Le site peine à décoller, avec seulement 14 000 utilisateurs après 90 jours. Mais Alexandre ne lâche rien. Il améliore constamment la plateforme, ajoute des fonctionnalités, recrute des modérateurs compétents. Et surtout, il fait ce que Ross Ulbricht n’avait pas osé faire : il accepte tout. Vraiment tout.

Interface d’AlphaBay en 2017

Là où Ross Ulbricht interdisait la vente d’armes et de certaines drogues dures sur Silk Road, Cazes n’a aucun scrupule. Héroïne, fentanyl, armes à feu, malwares, cartes d’identité volées, données bancaires… Si ça peut se vendre et que c’est illégal, c’est bon pour AlphaBay. La seule limite ? La pédopornographie et les services de tueurs à gages. Faut quand même garder une certaine “éthique” dans le milieu, hein.

L’explosion arrive alors fin 2015 puisqu’en octobre, AlphaBay devient officiellement le plus grand marché du dark web. Les chiffres donnent le vertige :

• 400 000 utilisateurs actifs
• 40 000 vendeurs
• 369 000 annonces au total
• 250 000 annonces de drogues
• 100 000 annonces de documents volés
• Entre 600 000 et 800 000 dollars de transactions PAR JOUR

Bref, AlphaBay était devenu 10 fois plus gros que Silk Road à son apogée. Pas mal pour un petit gars de Trois-Rivières !

Alors comment ça fonctionne techniquement ? Et bien les vendeurs créent des annonces avec photos et descriptions détaillées. Les acheteurs parcourent les catégories comme sur Amazon, lisent les avis (oui, il y a un système de notation sur 5 étoiles), et passent commande. L’argent est bloqué dans un système d’escrow (tiers de confiance) jusqu’à ce que l’acheteur confirme la réception. Et AlphaBay prend sa commission au passage soit entre 2 et 4% selon le montant et le niveau du vendeur.

Le génie de Cazes, c’est surtout d’avoir compris que la confiance était la clé. AlphaBay introduit donc plusieurs innovations qui deviendront des standards du milieu :

• Le système de Trust Level (TL) : Des scores de confiance visibles pour acheteurs et vendeurs
• L’Automatic Dispute Resolver (ADR) : Un système automatisé pour régler les litiges sans attendre un modérateur
• Le ScamWatch Team : Une équipe communautaire pour traquer les arnaqueurs
• Le Finalize Early (FE) : Les vendeurs de confiance peuvent recevoir le paiement dès l’envoi (après 200 ventes réussies)
• L’authentification 2FA avec PGP : Pour sécuriser les comptes

Côté technologie, AlphaBay est à la pointe. D’abord, le site n’accepte que le Bitcoin. Mais en août 2016, Cazes fait un move de génie : il ajoute le support de Monero, une cryptomonnaie beaucoup plus anonyme que le Bitcoin et en quelques semaines, la capitalisation de Monero passe de 30 millions à 170 millions de dollars. Le cours monte de 2,45$ à 483$ en janvier 2018. Pas mal comme effet de bord pour ce qui n’est à l’origine qu’un simple choix technique !

Le site dispose aussi de son propre système de “tumbling”, en gros, un mixeur qui mélange les bitcoins de différentes transactions pour rendre leur traçage quasi impossible. Il acceptera même Ethereum en mai 2017. Cazes a pensé à tout. Enfin, presque tout…

Car pour gérer ce monstre, Alexandre ne peut pas tout faire seul alors il recrute une équipe de choc :

• DeSnake : Son bras droit et administrateur sécurité. Un type mystérieux, probablement russe, qui ne s’est jamais fait prendre.
• Brian Herrell, alias “Botah” ou “Penissmith” (oui, vous avez bien lu) : Un modérateur de 25 ans du Colorado qui gère les litiges entre vendeurs et acheteurs.
• Ronald Wheeler III, alias “Trappy” : Le porte-parole et responsable des relations publiques du site.
• Disc0 : Un autre modérateur clé

Une dream team du crime organisé version 2.0, avec des pseudos qu’on croirait sortis d’un film de Tarantino.

Et pendant ce temps, Alexandre Cazes vit sa meilleure vie en Thaïlande. Installé à Bangkok depuis 2013, il mène un train de vie complètement délirant :

• Une villa d’une valeur de 80 millions de bahts (2,3 millions d’euros) au Private House estate de Bangkok
• Une propriété au Granada Pinklao-Phetchkasem où la valeur des maisons débute à 78 millions de bahts
• Une villa de vacances à 200 millions de bahts à Phuket, au sommet d’une falaise
• Une villa à 400 000 dollars à Antigua
• Il a même acheté une villa pour ses beaux-parents. Sympa le gendre !

Côté garage, c’est pas mal non plus :

• Une Lamborghini Aventador gris métallisé à presque 1 million de dollars (En fait, la police saisira 4 Lamborghini enregistrées à son nom)
• Une Porsche Panamera
• Une Mini Cooper pour madame
• Une moto BMW

Et tout est payé cash, évidemment. Dans son portefeuille au moment de l’arrestation : 1 600 bitcoins, 8 670 Ethereum, 12 000 Monero et 205 ZCash. Environ 9 millions de dollars de l’époque. Sa fortune totale étant estimée à environ 23 millions de dollars selon les documents du gouvernement américain. 12,5 millions en propriétés et véhicules, le reste en cash et cryptomonnaies.

Le plus amusant c’est que dans ce quartier de classe moyenne où les gens roulent en pick-up et où les maisons coûtent moins de 120 000 dollars, ses supercars détonnaient complètement. Les voisins racontent même qu’il ne sortait jamais avant midi. Tranquille, le mec.

Mais le plus pathétique, c’est sa vie personnelle car sur le forum de Roosh V, Cazes où il se vante d’être un “trompeur professionnel”, il y raconte comment il trompe sa femme enceinte avec d’autres filles qu’il ramène dans un appartement secret. “Les filles thaïlandaises adorent les supercars”, écrit-il. Classe jusqu’au bout.

Mais voilà, quand on brasse des millions sur le dark web, on finit forcément par attirer l’attention des autorités. Dès 2016, le FBI, la DEA et Europol mettent en place l’opération Bayonet. L’objectif : faire tomber AlphaBay et son créateur.

Le nom “Bayonet” est un triple jeu de mots avec “bay” (baie), “net” (internet) et l’idée d’attraper les “bad guys”. Les flics ont de l’humour, mais le souci, c’est que Cazes est prudent. Il utilise Tor, change régulièrement de serveurs, emploie des techniques de chiffrement avancées.

Bref, trouver une faille semble impossible… Jusqu’à ce que les enquêteurs tombent sur LE détail qui tue.

Car en décembre 2016, un enquêteur fait une découverte qui change tout. En analysant d’anciens emails du forum d’AlphaBay, il trouve quelque chose d’incroyable : les emails de bienvenue envoyés aux nouveaux utilisateurs en décembre 2014 contenaient une adresse d’expéditeur dans les headers. Et pas n’importe laquelle : [email protected].

Pimp. Alex. 91. Sérieusement ?

91 pour 1991, son année de naissance. Alex pour Alexandre. Et pimp pour… bah pour pimp, quoi. Le mec qui gère le plus grand marché noir du monde utilise son vrai prénom et son année de naissance dans son email Hotmail. J’en ai vu des erreurs de sécurité dans ma vie, mais là on atteint des sommets.

Mais ce n’est pas tout car cette adresse email, c’est le fil qui va permettre de dérouler toute la pelote. Les enquêteurs découvrent ainsi qu’elle est liée à :

• Un compte PayPal au nom d’Alexandre Cazes
• Son profil LinkedIn
• Des comptes bancaires
• Des propriétés en Thaïlande

Bingo. Game over. Insert coin to continue. Ou pas.

L’opération d’interpellation est alors minutieusement préparée mais comme toujours, le problème ? Il faut le choper avec son ordinateur ouvert et déverrouillé pour avoir accès aux preuves.

Et le 5 juillet 2017, à l’aube, c’est le jour J. La police thaïlandaise, assistée par des agents du FBI et de la DEA, met en place un plan digne d’Hollywood. Une Toyota Camry grise arrive dans le cul-de-sac où vit Cazes. Le conducteur fait une manœuvre foireuse et emboutit “accidentellement” le portail de la maison témoin / bureau de vente immobilière juste en face de chez Cazes.

Le conducteur sort, visiblement contrarié, et demande à parler au propriétaire pour l’accident. Après un bon moment, Alexandre Cazes sort de sa villa pour discuter de la collision et au moment où il s’approche du véhicule, le FBI déboule et l’arrête.

Coup de chance incroyable : Cazes était en train de faire un redémarrage administratif d’un serveur AlphaBay suite à une panne système artificiellement créée par les forces de l’ordre. Il est donc connecté en tant qu’administrateur sur AlphaBay, tous ses mots de passe sont enregistrés, aucun chiffrement n’est activé et surtout les portefeuilles de cryptomonnaies utilisé par le site sont ouverts (donc non chiffrés).

C’est Noël pour les enquêteurs.

Les voitures saisies par la police

Sur l’ordinateur, ils trouvent tout : les clés des serveurs d’AlphaBay, les wallets crypto, les bases de données, les conversations privées. La totale. En parallèle, des serveurs sont saisis en Lituanie, au Canada, au Royaume-Uni, aux Pays-Bas et même en France. AlphaBay est mort.

Cazes est alors emmené au bureau de répression des stupéfiants de Bangkok. Il sait que c’est fini. Les États-Unis réclament son extradition pour trafic de drogue, blanchiment d’argent, racket et une dizaine d’autres chefs d’accusation. Il risque la perpétuité. Et le 12 juillet 2017, une semaine après son arrestation, les gardiens le trouvent pendu dans sa cellule avec une serviette. Il s’est suicidé dans les toilettes, juste avant un rendez-vous avec son avocat. Il avait 26 ans.

Les autorités thaïlandaises affirment qu’il n’y a “aucun indice suggérant qu’il ne s’est pas pendu lui-même”. Les caméras de surveillance ne montrent aucun signe d’agression. Donc officiellement, c’est un suicide même si comme d’habitude, officieusement, certains ont des doutes.

Ainsi, le 20 juillet 2017, le procureur général Jeff Sessions annonce “la plus grande saisie de marché du dark web de l’histoire”. Les chiffres finaux sont vertigineux : plus d’un milliard de dollars de transactions en trois ans, des liens directs avec plusieurs overdoses mortelles de fentanyl aux États-Unis.

Mais l’histoire ne s’arrête pas là. En effet, les flics ont un plan machiavélique. Pendant qu’AlphaBay ferme, ils contrôlent secrètement Hansa, un autre gros marché du dark web qu’ils ont infiltré aux Pays-Bas. Résultat : tous les vendeurs et acheteurs d’AlphaBay migrent vers Hansa… où les flics les attendent. C’est ce qu’on appelle un “honey pot” de compétition et en quelques semaines, ils récoltent 10 000 adresses d’acheteurs et des tonnes de preuves.

Et les complices de Cazes ? Ils prennent très cher aussi :

• Ronald Wheeler (Trappy) : 4 ans de prison
• Brian Herrell (Botah/Penissmith) : 11 ans de prison
• Seul DeSnake, le mystérieux administrateur sécurité, reste introuvable

En août 2021, DeSnake réapparaît et annonce le retour d’AlphaBay. Le nouveau site n’accepte que Monero, dispose d’un système appelé AlphaGuard censé protéger les fonds même en cas de saisie, et prétend avoir appris des erreurs du passé. “Seul un idiot utiliserait Bitcoin tel qu’il est aujourd’hui pour le darknet”, affirment-ils, citant un développeur de Bitcoin Core.

Interface d’AlphaBay aujourd’hui

Mais ça c’est une autre histoire…

Maintenant, la morale de l’histoire, c’est que si vous voulez devenir un baron de la drogue virtuelle, évitez d’utiliser votre vrai prénom dans votre adresse email. Et accessoirement, ne le faites pas du tout. Parce que tôt ou tard, vous finirez par vous faire choper.

Voilà, c’était l’histoire complètement folle d’AlphaBay et d’Alexandre Cazes. Un mélange de génie et de stupidité, d’ambition démesurée et d’erreurs de débutant… Comme d’hab, l’OpSec, c’est pas optionnel.

Sources : US Department of Justice - AlphaBay Takedown, FBI - AlphaBay Takedown, CBC News - The secret life of Alexandre Cazes, The Globe and Mail - Posts give glimpse into mind of Canadian behind dark website, Bangkok Post - Late computer genius, AlphaBay creator loved Thailand, Washington Post - Alexandre Cazes dies in Bangkok jail, Europol - Operation Bayonet, DarkOwl - AlphaBay Marketplace Returns, Flashpoint - Why the New AlphaBay Matters, Anonymous Hackers - Who was Alexandre Cazes?, AP News - Darknet suspect’s flashy cars raised eyebrows in Thailand

Le FBI met le secteur aérien en état d’alerte. Les compagnies internationales et leurs partenaires sont ciblés par une nouvelle vague d’attaques informatiques, orchestrées par le groupe « Scattered Spider ». Ces hackers, déjà célèbres pour avoir frappé des casinos et de grandes entreprises américaines, semblent désormais avoir jeté leur dévolu sur l’aviation civile.

Son arrestation faisait l'objet de rumeurs depuis plusieurs mois, c'est désormais officiel : Kai West, alias « Intelbrocker », a été arrêté en février 2025 en France. Le FBI l'a annoncé dans un communiqué le mercredi 25 juin.

Pendant près de trois ans, des chercheurs ont pu collecter des milliers de données confidentielles sur Danabot, un des réseaux cybercriminels les plus recherchés au monde. La faute à une faille dans leur infrastructure, baptisée DanaBleed.

Le Département de la Justice américain (DOJ) a déposé une plainte pour geler plus de 7,7 millions de dollars sous la forme de cryptomonnaies, NFT et autres actifs numériques. Une somme relativement modeste, mais qui cache un plus vaste réseau international de blanchiment d’argent orchestré par la Corée du Nord.

BidenCash est désormais hors service. La « marketplace », spécialisée dans la revente de cartes bancaires volées, était l'une des plus actives du dark web. Dans une opération conjointe avec les autorités néerlandaises, le FBI a saisi plus de 145 domaines. Un message s’affiche désormais : « Ce site a été saisi par les autorités. »