Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Charlie Miller - L'ancien mathématicien de la NSA qui a hacké l'iPhone et piraté une Jeep à 120 km/h

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

La première fois où j’ai entendu parler de Charlie Miller c’était en 2008, juste après qu’il ait défoncé un MacBook Air flambant neuf en moins de 2 minutes au concours Pwn2Own. 10 000 dollars de prime et la gloire éternelle.

À l’époque, c’était impressionnant qu’un mec puisse compromettre une machine Apple aussi vite mais ce que je ne savais pas encore, c’est que derrière ce hack spectaculaire se cachait l’histoire d’un gamin du Missouri, orphelin très tôt et qui a transformé sa solitude en génie mathématique. Un chercheur qui allait devenir tellement doué pour casser les produits Apple qu’ils finiraient par se faire bannir de leur écosystème. Voici l’histoire de Charlie Miller, l’homme que Foreign Policy a classé dans son Top 100 des penseurs mondiaux et surnommé “l’un des hackers les plus techniquement compétents sur Terre”.

Charlie Miller lors d’une présentation à la Truman State University

Charles Alfred Miller est né le 6 mai 1973 à St. Louis, dans le Missouri et son enfance à Affton n’a rien d’un conte de fées. Quand il a 7 ans, sa mère Géraldine meurt d’un cancer. Pour un gamin de cet âge, c’est un tsunami émotionnel et Charlie se retrouve à passer beaucoup de temps seul. Cette solitude forcée, il va la transformer en quelque chose de productif : une passion dévorante pour les mathématiques et la logique. “J’ai passé beaucoup de temps tout seul”, confiera-t-il plus tard dans une interview au St. Louis Magazine. C’est cette solitude qui l’a poussé à se plonger dans les chiffres et les équations… un monde où tout avait du sens, contrairement au chaos émotionnel provoqué par la perte de sa mère.

Au lycée, Charlie n’est pas le geek cliché qu’on imagine. Il fait du vélo de compétition et devient même champion de l’État du Missouri. Un athlète matheux, y’a pas beaucoup de gens comme ça mais c’est dans les maths qu’il trouve vraiment sa voie. Il est tellement doué qu’il décroche une bourse complète pour Northeast Missouri State University (aujourd’hui Truman State), où il obtient un bachelor en mathématiques avec une spécialisation secondaire en philosophie. La combinaison est intéressante : les maths pour la rigueur logique et la philo pour questionner le monde. D’ailleurs, cette double approche analytique et réflexive deviendra sa marque de fabrique dans le hacking.

Mais Charlie voit plus grand. Il veut un doctorat, alors direction l’Université de Notre Dame, l’une des meilleures facs catholiques du pays. Là, il se plonge dans les équations aux dérivées partielles non linéaires qui décrivent la propagation de la lumière dans les fibres optiques. C’est du très haut niveau, le genre de trucs que seule une poignée de personnes dans le monde comprend vraiment. Sa thèse porte sur les solitons optiques, ces ondes qui se propagent sans se déformer dans les fibres. Puis en 2000, après des années de travail acharné, il soutient sa thèse et devient officiellement Dr. Charlie Miller. Et honnetement, à ce moment-là, il pense que sa vie est toute tracée : la recherche, l’enseignement, et peut-être un prix Nobel un jour. Qui sait ?

L’Université de Notre Dame où Charlie Miller a obtenu son doctorat en mathématiques

C’est là que l’histoire prend un tournant complètement dingue. Charlie a toujours rêvé d’être astronaute. Sérieusement. Depuis gamin, il regarde les étoiles et s’imagine flotter dans l’espace. Avec son PhD en maths de Notre Dame, il pense avoir le profil parfait pour la NASA. Il envoie alors candidature sur candidature. Il remplit des formulaires de 50 pages, passe des tests médicaux, rédige des essais sur sa motivation. Mais à chaque fois, c’est le silence radio. La NASA ne lui répond même pas. Pas un accusé de réception, rien.

Pour un type brillant comme lui, habitué à réussir tout ce qu’il entreprend, c’est une claque monumentale. “Mon rêve de devenir astronaute n’est resté qu’un rêve parce que la NASA a ignoré mes nombreuses candidatures après mes études supérieures.”, dira-t-il plus tard avec une pointe d’amertume qui ne l’a jamais vraiment quitté.

Mis à part dans le milieu universitaire, il n’y a pas beaucoup d’emplois pour un mathématicien titulaire d’un doctorat.”, réalisera-t-il brutalement. C’est vrai, et c’est le drame de beaucoup de docteurs en sciences fondamentales. Quand vous avez passé des années à étudier des équations différentielles partielles non linéaires appliquées aux solitons optiques, vos options de carrière sont… limitées.

Prof d’université ? Il n’a pas envie de passer sa vie à publier des papers que personne ne lira sur un sujet ultra-niche qui ne le passionne plus vraiment. Les labos de recherche privés ? Ils préfèrent les ingénieurs aux mathématiciens purs. Quant au secteur privé classique, peu d’entreprises ont besoin d’un expert en propagation d’ondes dans les fibres optiques. Wall Street peut-être ? Mais l’idée de devenir un quant pour optimiser des algorithmes de trading haute fréquence ne l’emballe pas.

C’est alors que la NSA entre en scène. L’agence de renseignement américaine la plus secrète au monde recrute des mathématiciens à tour de bras pour faire de la cryptographie et de la cryptanalyse. Pour eux, un PhD en maths de Notre Dame, c’est du pain béni car ils voient au-delà des solitons optiques : ils voient un cerveau capable de manipuler des concepts mathématiques abstraits complexes, soit exactement ce qu’il faut pour casser des codes. Charlie accepte l’offre, un peu par défaut, un peu par curiosité et en 2000, débarque à Fort Meade, dans le Maryland, au QG de l’agence qui écoute le monde entier. Le bâtiment est une forteresse de verre noir, entourée de barbelés et de checkpoints. Bienvenue dans le monde de l’espionnage.

Le quartier général de la NSA à Fort Meade, Maryland, où Charlie a travaillé de 2000 à 2005

À la NSA, Charlie est officiellement cryptographe dans la division mathématique. Son boulot officiel est de développer et casser des algorithmes de chiffrement, analyser des protocoles cryptographiques, chercher des failles dans les systèmes de communication ennemis. Mais rapidement, il découvre un nouveau terrain de jeu : la sécurité informatique opérationnelle. La NSA ne fait pas que de la crypto théorique, elle fait aussi du hacking offensif. Et pour ça, elle propose des formations internes dans tous les domaines : exploitation de vulnérabilités, reverse engineering, développement d’exploits, techniques d’intrusion avancées. Charlie s’inscrit à tout ce qu’il peut. Il est comme un gamin dans un magasin de bonbons.

Même si j’ai été embauché comme mathématicien à la NSA, ils proposaient divers programmes de formation. J’ai commencé par suivre une formation en sécurité informatique et j’ai occupé des postes qui mettaient l’accent sur cette compétence.”, expliquera-t-il. Et c’est là que sa formation mathématique devient un atout majeur. Car là où d’autres voient du code, lui voit des patterns, des structures, des failles logiques. Son cerveau mathématique lui permet de comprendre intuitivement comment les systèmes peuvent être cassés. C’est alors le début d’une transformation radicale.

Le mathématicien théoricien devient hacker opérationnel. Et pas n’importe quel hacker : un hacker de la NSA, formé par les meilleurs, avec accès aux outils et aux connaissances les plus pointus du renseignement américain. L’équipe Tailored Access Operations (TAO), l’élite du hacking à la NSA, devient son terrain de jeu.

Alors durant cinq ans, Charlie va apprendre les ficelles du métier au plus haut niveau. Comment exploiter une faille de buffer overflow dans un système embarqué. Comment contourner l’ASLR et le DEP. Comment développer des exploits fiables qui marchent à tous les coups. Comment penser comme un attaquant tout en gardant l’objectif stratégique en tête.

La NSA, c’est l’école du hacking version hardcore, avec des moyens illimités. Pas de place pour les amateurs ou les script kiddies. Chaque jour, il côtoie des génies de la sécurité qui chassent des espions chinois, russes et iraniens dans le cyberespace. Il participe à des opérations dont il ne pourra jamais parler, développe des outils qui resteront classifiés pendant des décennies.

Mais en 2005, après cinq ans dans les entrailles de Big Brother, Charlie en a marre. Le monde de l’espionnage, c’est excitant les premiers mois, mais ça devient vite frustrant. Tout ce que vous faites est classifié Top Secret/SCI. Vous ne pouvez jamais parler de vos exploits, même à votre femme et vos découvertes restent enfermées dans des SCIFs (Sensitive Compartmented Information Facilities).

Vous trouvez une faille critique dans un système utilisé par des millions de personnes ? Tant mieux, on va l’exploiter pour espionner, pas la corriger et pour quelqu’un de créatif comme Charlie, qui aime partager ses connaissances et voir l’impact concret de son travail, c’est étouffant. “Je ne suis toujours pas en mesure de discuter des détails de mon passage à la NSA, à part quelques vagues références à des cibles étrangères et à la reconnaissance de réseaux informatiques.”, dira-t-il des années plus tard, toujours lié par son serment de confidentialité.

Il quitte alors la NSA et devient consultant principal en sécurité chez Independent Security Evaluators (ISE), une petite boîte de Baltimore fondée par des anciens de la NSA. Enfin libre ! Il peut maintenant hacker légalement et publiquement. Fini les opérations secrètes, place à la recherche en sécurité au grand jour. ISE fait du pentest pour des grandes entreprises, mais encourage aussi ses employés à faire de la recherche publique et c’est là que sa carrière explose vraiment.

Le 29 juin 2007, Apple lance l’iPhone et c’est une révolution. Un ordinateur Unix complet dans votre poche, avec un écran tactile. Le monde entier est en émoi et les files d’attente devant les Apple Store font le tour du monde. Charlie regarde ce bijou de technologie avec son œil de hacker et se dit : “Je parie que je peux le casser.” Il achète alors un iPhone le jour de la sortie (550 dollars quand même !), rentre chez lui et se met au boulot.

Il commence par analyser le système, chercher des vecteurs d’attaque… Safari Mobile semble prometteur… et quelques semaines plus tard, bingo ! Il trouve une faille dans le parseur TIFF de Safari Mobile qui permet de prendre le contrôle total de l’appareil via une image malveillante. Il devient officiellement le premier au monde à hacker publiquement l’iPhone. Apple n’est pas content du tout mais Charlie s’en fout royalement. Il a trouvé sa nouvelle vocation : casser les produits Apple pour les rendre plus sûrs. Et il est doué. Très, très doué.

Mars 2008, Vancouver. C’est l’heure du Pwn2Own, le championnat du monde officieux du hacking. Organisé par la Zero Day Initiative pendant la conférence CanSecWest, c’est LE concours où les meilleurs hackers de la planète viennent montrer leur talent. Les règles sont simples mais brutales : le premier qui réussit à compromettre complètement une machine via une vulnérabilité zero-day gagne le cash et la machine. Cette année-là, la cible star, c’est le MacBook Air qu’Apple vient de sortir deux mois plus tôt. Ultra-fin (1,94 cm le plus épais !), ultra-cher (1 799 dollars en version de base), ultra-sécurisé selon la Pomme. Souvenez-vous, Steve Jobs l’a présenté en le sortant d’une enveloppe en papier kraft. Encore un coup de génie marketing.

L’arène du Pwn2Own où les meilleurs hackers s’affrontent pour casser les systèmes les plus sécurisés

Charlie arrive tranquille, en jean et t-shirt, son laptop sous le bras. Il a passé des semaines à préparer son attaque en secret. Il a trouvé une faille dans la bibliothèque PCRE (Perl Compatible Regular Expressions) utilisée par Safari. Il s’agit d’une faille dans le traitement des expressions régulières qui était publique depuis février 2007 mais qu’Apple n’avait toujours pas corrigée un an plus tard. Négligence ou incompétence ? Peu importe, c’est du pain béni pour Charlie et pour cela, il a développé un exploit ultra-fiable qui contourne toutes les protections : ASLR, sandboxing, tout y passe.

Le jour J arrive enfin. La salle est bondée. Des journalistes, des chercheurs en sécurité, des représentants des vendeurs… Tout le monde retient son souffle. Charlie s’assoit devant le MacBook Air flambant neuf. Il lance Safari, tape l’URL de son serveur malveillant. La page se charge. Elle contient juste une ligne de texte : “PWNED”. Deux minutes chrono. Le MacBook Air est compromis. Charlie a un shell root et peut faire ce qu’il veut de la machine. Il lance Calculator.app pour prouver l’exécution de code. Game over. 10 000 dollars dans la poche et un MacBook Air gratuit. Une foule de geeks l’acclame, les flashs crépitent. Charlie Miller vient d’entrer dans la légende du hacking.

Mais Charlie reste modeste. “L’attaque a duré deux minutes, mais la recherche a pris beaucoup plus de temps.”, précisera-t-il plus tard. “J’ai passé de nombreux jours à faire des recherches et à rédiger l’exploit avant le jour de la compétition. C’est comme quand les gens regardent un match : ils voient le résultat, mais ils ne voient pas toutes les années d’entraînement...” C’est ça, le vrai hacking : 99% de préparation minutieuse, 1% d’exécution spectaculaire. Les médias ne montrent évidemment que la partie visible de l’iceberg.

L’année suivante, en 2009, rebelote. Charlie revient à Pwn2Own et défonce Safari sur Mac OS X 10.5.6 en quelques secondes cette fois. 5 000 dollars de plus (le prix a baissé, la crise est passée par là). La faille ? Un bug dans le parseur de polices de Safari. Puis en 2010, il récidive encore, exploitant cette fois une vulnérabilité dans le traitement des PDF. 10 000 dollars cette fois. Trois victoires d’affilée sur Mac. Du jamais vu dans l’histoire du concours. Même les organisateurs commencent à se demander s’il ne faudrait pas créer une catégorie “Charlie Miller” à part. Les médias le surnomment le “serial killer d’Apple”, le “cauchemar de Cupertino”.

Mais Charlie commence à en avoir sérieusement marre de ce petit jeu. Chaque année, il trouve des failles critiques, Apple les corrige (souvent après des mois de retard), et l’année suivante il en trouve d’autres. C’est un cycle sans fin qui n’améliore pas vraiment la sécurité fondamentale des produits. C’est du colmatage, pas de l’architecture sécurisée. Alors en 2010, après sa troisième victoire consécutive, il lance sa campagne provocatrice “NO MORE FREE BUGS” avec Dino Dai Zovi et Alex Sotirov.

Les vulnérabilités ont une valeur marchande, il est donc absurde de travailler dur pour trouver un bug, écrire un exploit et ensuite le donner gratuitement.”, déclare-t-il lors d’une conférence de presse improvisée. Et il a totalement raison. Sur le marché gris et noir, une faille iOS zero-day peut se vendre entre 100 000 et 2 millions de dollars selon sa criticité. Des sociétés comme Zerodium ou Azimuth Security sont prêtes à payer des fortunes et les agences de renseignement aussi.

Alors pourquoi donner gratuitement ces failles à Apple qui fait des dizaines de milliards de bénéfices par trimestre et traite les chercheurs en sécurité comme des emmerdeurs ? La communauté est divisée. Certains l’accusent de mercantilisme, d’autres applaudissent son pragmatisme.

Mais le coup le plus spectaculaire et audacieux de Charlie contre Apple, c’est en 2011 quand il découvre une faille architecturale majeure dans iOS. Pour accélérer JavaScript dans Safari Mobile, Apple a créé une exception dans sa politique de signature de code, permettant au navigateur d’exécuter du code non signé avec des privilèges élevés. Charlie réalise qu’il peut exploiter cette exception depuis n’importe quelle app et pour le démontrer de manière spectaculaire, il crée une application appelée InstaStock. En apparence, c’est une app banale qui affiche des cours de bourse en temps réel. Interface minimaliste, fonctionnalités basiques. Le genre d’app qu’Apple valide sans même regarder. Et c’est exactement ce qui se passe : Apple l’approuve et la publie sur l’App Store en septembre 2011.

Sauf qu’InstaStock cache un terrible secret. Une backdoor sophistiquée. Une fois installée, l’app se connecte discrètement à un serveur C&C (Command & Control) chez Charlie, dans son sous-sol à St. Louis. De là, il peut télécharger et exécuter n’importe quel code arbitraire sur l’iPhone, contournant complètement le sandboxing iOS. Lire tous les contacts, activer le micro pour écouter les conversations, prendre des photos avec la caméra, tracker la position GPS, voler les mots de passe du trousseau… Apple a validé un cheval de Troie militarisé. Le loup est dans la bergerie.

Charlie attend patiemment. Septembre passe, octobre aussi… Et Apple ne remarque absolument rien. Des milliers d’utilisateurs téléchargent InstaStock puis en novembre, après deux mois d’attente, il en a marre de ce silence assourdissant. Il décide de forcer la main d’Apple et poste une vidéo sur YouTube où il montre comment il contrôle un iPhone à distance via son app. On le voit taper des commandes sur son laptop, et l’iPhone à côté réagit instantanément : lecture des SMS, activation du vibreur, accès aux photos… C’est la démonstration ultime que l’App Store n’est pas le jardin clos sécurisé qu’Apple prétend. Il prévient aussi Andy Greenberg de Forbes (le journaliste qui avait couvert ses exploits précédents) qui écrit alors un article explosif : “iPhone Hacker Charlie Miller Reveals His Apple App Store Spyware”.

La réaction d’Apple est immédiate, brutale et sans appel. Quelques heures seulement après la publication de l’article de Forbes, Charlie reçoit un email glacial du Developer Relations d’Apple : “La présente lettre constitue une notification de résiliation du Contrat de licence du programme pour développeurs iOS entre vous et Apple, avec effet immédiat. Vous ne pourrez plus soumettre de nouvelles applications ou mises à jour à l’App Store.

Banni. Viré. Blacklisté. Persona non grata. Apple vient de kicker celui qui les a aidés à corriger des dizaines de failles critiques au fil des ans. L’ironie est mordante.

Je suis en colère. Je leur signale tout le temps des bogues. Le fait de faire partie du programme des développeurs m’aide à le faire. Ils se font du mal à eux-mêmes et me rendent la vie plus difficile”, rage Charlie dans une série de tweets vengeurs. Mais Apple s’en contrefiche. Pour eux, Miller a franchi la ligne rouge en publiant délibérément une app malveillante et en l’exploitant publiquement. C’est une violation flagrante des conditions d’utilisation, peu importe qu’il l’ait fait pour démontrer une faille de sécurité critique.

La communauté de la sécurité est outrée. Comment Apple peut-il bannir quelqu’un qui les aide gratuitement à sécuriser leurs produits ? Mais Cupertino reste inflexible. Charlie Miller est désormais persona non grata dans l’écosystème iOS.

Logo Apple

Apple a banni Charlie Miller de son programme développeur après l’incident InstaStock

Mais malgré cela, Charlie ne chôme pas. Avec Collin Mulliner, un chercheur allemand spécialisé dans la sécurité mobile qu’il a rencontré aux conférences, il s’attaque à un nouveau défi titanesque : la sécurité des SMS sur iPhone. Les SMS, c’est le talon d’Achille de tous les téléphones. Un protocole ancien, mal sécurisé, qui traite des données non fiables venant du réseau.

Le duo développe alors un outil de fuzzing sophistiqué capable de bombarder les téléphones de centaines de milliers de SMS malformés pour trouver des crashs exploitables. L’outil, qu’ils baptisent “SMS Fuzzer”, s’insère entre le processeur et le modem du téléphone, simulant la réception de SMS sans avoir à les envoyer réellement sur le réseau (ce qui coûterait une fortune et alerterait les opérateurs).

Après des mois de fuzzing intensif, bingo ! Ils découvrent une faille absolument terrifiante dans l’iPhone. Un bug dans le décodage des SMS PDU (Protocol Data Unit) qui provoque une corruption mémoire exploitable. Le bug est dans CommCenter, le daemon qui gère toutes les communications de l’iPhone. Game over une nouvelle fois pour Apple.

Et le potentiel est cauchemardesque puisqu’en envoyant une série de 512 SMS spécialement forgé (dont un seul apparaît à l’écran sous forme d’un simple carré), ils peuvent prendre le contrôle total de n’importe quel iPhone à distance. Pas besoin que la victime clique sur quoi que ce soit. Pas besoin qu’elle ouvre le message. Il suffit que son téléphone reçoive les SMS. C’est l’attaque parfaite : invisible, indétectable, imparable. Un véritable missile guidé numérique.

Les SMS constituent un incroyable vecteur d’attaque pour les téléphones mobiles. Tout ce dont j’ai besoin, c’est de votre numéro de téléphone. Je n’ai pas besoin que vous cliquiez sur un lien, que vous visitiez un site web ou que vous fassiez quoi que ce soit.”, explique Charlie. C’est le hack ultime : totalement passif pour la victime, totalement actif pour l’attaquant. Avec cette faille, on peut espionner n’importe qui sur la planète du moment qu’on a son numéro. Chefs d’État, PDG, journalistes, activistes… Personne n’est à l’abri.

Juillet 2009, Las Vegas. Black Hat, la plus grande conférence de sécurité au monde. Le Mandalay Bay Convention Center grouille de hackers, de fédéraux et de vendeurs de solutions de sécurité. Charlie et Collin montent sur la scène principale pour présenter leur découverte. Il y a 3000 personnes dans la salle. “Fuzzing the Phone in Your Pocket”, annonce le titre sobre de leur présentation. Dans le public, Elinor Mills, une journaliste respectée de CNET, sert courageusement de cobaye. Elle a donné son numéro de téléphone et attend, iPhone 3GS à la main.

Black Hat, où Charlie et Collin ont démontré le hack SMS dévastateur de l’iPhone

Charlie lance alors l’attaque depuis son laptop. 512 SMS partent vers le téléphone d’Elinor. Sur scène, un écran géant montre les logs en temps réel. Le public voit les paquets partir, le réseau les acheminer. Soudain, l’iPhone d’Elinor se fige. L’écran devient noir. Puis il redémarre. Quand il revient à la vie, Charlie a le contrôle total. Il fait vibrer le téléphone à distance. Ouvre l’appareil photo. Lit les contacts. La salle est médusée. Certains filment avec leur propre iPhone, réalisant soudain la vulnérabilité de leur appareil.

Un instant, je parle à Miller et l’instant d’après, mon téléphone est mort.”, raconte Mills, encore sous le choc. “Ensuite, il se rallume mais je ne peux pas passer d’appels. Il est complètement sous leur contrôle. C’était terrifiant.”

La démo est un triomphe total. Le public est en standing ovation. Twitter s’enflamme. La nouvelle fait le tour du monde en quelques heures et Apple, qui avait été prévenu un mois plus tôt mais n’avait rien fait (classique), se réveille enfin. Le lendemain matin, coup de théâtre : Apple sort iOS 3.0.1 en urgence absolue qui corrige la faille. Un patch d’urgence un samedi matin, du jamais vu chez Apple. La pression médiatique a payé.

Cette histoire SMS est typique de l’approche Charlie Miller. Il ne se contente pas de trouver des bugs mineurs. Il trouve des bugs critiques, architecturaux, qui remettent en question la sécurité fondamentale des systèmes. Il démontre leur dangerosité de manière spectaculaire et indéniable et il force les vendeurs à réagir en rendant ses recherches publiques. C’est du “responsible disclosure” version commando : on prévient discrètement, mais si rien ne bouge, on sort l’artillerie lourde.

En 2012, Twitter cherche désespérément à renforcer sa sécurité. La plateforme a été hackée plusieurs fois, des comptes de célébrités compromis, des données volées. Ils ont besoin du meilleur. Dick Costolo, le CEO, donne alors carte blanche pour recruter. Ils appellent Charlie. L’ironie est délicieuse : banni par Apple pour avoir trop bien fait son travail, il est recruté par Twitter pour exactement les mêmes raisons. Charlie rejoint donc l’équipe de sécurité produit comme chercheur principal et pentester. Son boulot : casser Twitter avant que les méchants ne le fassent. Trouver les failles, développer les exploits, proposer les corrections.

Logo Twitter

Twitter a recruté Charlie Miller après qu’Apple l’ait banni

Pendant trois ans, Charlie va bosser dans les bureaux de Twitter à San Francisco, au cœur de SoMa. Il trouve des dizaines de vulnérabilités critiques, améliore l’architecture de sécurité, forme les développeurs. Mais en 2015, un nouveau défi titanesque l’attend. Un défi qui va révolutionner non pas l’industrie tech, mais l’industrie automobile et changer à jamais notre perception de la sécurité des voitures modernes.

Charlie rencontre Chris Valasek à une conférence de sécurité. Chris, c’est son alter ego. Un autre génie de la sécurité, spécialisé dans les systèmes embarqués et l’IoT. Directeur de recherche chez IOActive, il a le même état d’esprit que Charlie : casser les trucs pour les rendre plus sûrs. Les deux compères se découvrent une passion commune complètement folle : et si on hackait des voitures ? Pas des vieilles caisses avec des systèmes simples, non, non, des voitures modernes, connectées, bourrées d’électronique et d’ordinateurs. Des data centers sur roues.

Ils commencent alors modestement en 2013. Avec une bourse de 80 000 dollars de la DARPA (l’agence de recherche du Pentagone), ils s’attaquent à une Ford Escape et une Toyota Prius de 2010. Ils achètent les voitures d’occasion, les démontent, analysent les systèmes. Avec des câbles OBD-II branchés directement sur le bus CAN (Controller Area Network), le réseau qui connecte tous les calculateurs de la voiture, ils arrivent à tout contrôler : direction, freins, accélération, tableau de bord… C’est flippant, mais il faut être physiquement dans la voiture avec un laptop et des câbles partout. Pas très pratique pour une attaque réelle. Leur paper “Adventures in Automotive Networks and Control Units” fait sensation à DEF CON, mais l’industrie automobile balaie leurs inquiétudes d’un revers de main. “Il faut un accès physique, ce n’est pas réaliste”, disent les constructeurs.

Charlie et Chris veulent alors aller plus loin. Beaucoup plus loin. Ils veulent prouver qu’on peut hacker une voiture à distance, sans fil, comme dans les films. Une attaque vraiment dangereuse. Ils passent des mois à étudier les voitures connectées du marché et leur choix se porte sur la Jeep Cherokee de 2014. Pourquoi ? Parce qu’elle a Uconnect, un système d’infodivertissement ultra-moderne connecté à Internet via le réseau cellulaire Sprint. GPS, streaming audio, hotspot Wi-Fi, diagnostics à distance… Bref, une voiture avec une adresse IP publique. Le rêve absolu de tout hacker. Ou le cauchemar de tout conducteur, selon le point de vue.

La Jeep Cherokee 2014, première voiture hackée à distance par Miller et Valasek

Pendant des mois, dans le garage de Chris, Charlie et lui dissèquent méthodiquement le système Uconnect. Ils dumpent le firmware, analysent les binaires, tracent les communications réseau. C’est un travail de titan car le système est complexe, avec plusieurs processeurs, des OS différents (QNX pour l’unité principale, ThreadX pour le modem), des protocoles propriétaires. Mais petit à petit, ils remontent la chaîne. Ils trouvent des ports ouverts (6667, 4321, 51966), des services mal configurés, des mots de passe par défaut, l’absence de signature sur les mises à jour firmware. Une vraie passoire. Harman, le fabricant du système, a fait du beau hardware mais a complètement négligé la sécurité logicielle.

D’abord, ils obtiennent l’accès au système d’infodivertissement et de là, ils découvrent qu’ils peuvent reflasher le firmware du chip V850 qui fait le pont avec le bus CAN. Une fois ce firmware modifié, ils ont accès en écriture au bus CAN de la voiture. Game over ! Ils peuvent envoyer n’importe quelle commande CAN, se faisant passer pour n’importe quel calculateur. Cela veut dire que si le calculateur de frein pense recevoir des ordres du calculateur central, et bien il obéit aveuglément. Pas d’authentification, pas de chiffrement, rien. Les voitures sont conçues en supposant que le bus CAN est de confiance. Grosse erreur !!

Été 2015. Après presque deux ans de recherche, ils sont enfin prêts pour la démo de leur vie. Ils contactent Andy Greenberg de Wired (oui, encore lui, c’est devenu leur journaliste attitré) et leur plan est simple mais terrifiant : Greenberg conduira une Jeep Cherokee sur l’autoroute pendant que Charlie et Chris la hackeront depuis le canapé de Charlie, à 10 miles de distance. Une attaque 100% remote, sans aucun accès physique préalable à la voiture. Du jamais vu.

Le jour J, Greenberg prend le volant. Il est nerveux, et on le comprend. Il roule sur l’Interstate 64 près de St. Louis, une autoroute à 4 voies où les camions foncent à 70 mph. Charlie et Chris sont dans le sous-sol de Charlie, devant leurs laptops. Ils se connectent à la Jeep via le réseau Sprint. D’abord, ils s’amusent. La clim se met à fond. La radio passe du hip-hop de Skee-lo à volume maximum. Les essuie-glaces s’activent, aspergeant le pare-brise de liquide lave-glace. Greenberg garde son calme. Il sait que c’est Charlie et Chris. Pour l’instant, c’est juste agaçant, pas dangereux.

Puis ça devient très, très sérieux. Sans prévenir, le moteur coupe. En pleine autoroute. À 70 mph. Greenberg appuie sur l’accélérateur. Rien. La Jeep de 2 tonnes commence à ralentir rapidement. Dans le rétroviseur, il voit un semi-remorque Mack qui arrive à toute vitesse. La panique monte. Il sue à grosses gouttes. Les mains crispées sur le volant, il se déporte sur la voie de droite, évitant de justesse de se faire emboutir. La Jeep continue de ralentir. 60 mph, 50, 40… Les voitures le doublent en klaxonnant furieusement. Certains conducteurs lui font des doigts d’honneur, pensant qu’il est saoul ou qu’il textote.

Je vais m’arrêter !”, crie Greenberg dans son téléphone. “NON ! NON ! Continue de conduire !”, répondent Charlie et Chris. Ils veulent que la démo soit réaliste. Pas de complaisance. Finalement, après 30 secondes d’angoisse pure (qui ont dû paraître des heures), ils relancent le moteur. Greenberg peut à nouveau accélérer. Il tremble encore. “J’ai besoin d’une bière”, dira-t-il plus tard. On le comprend.

Mais Charlie et Chris ne sont pas sadiques. “Nous aurions pu être beaucoup plus méchants.”, confiera Charlie plus tard avec son sourire malicieux. “Nous aurions pu tourner le volant ou désactiver les freins à 110 km/h. Mais nous n’essayons pas de tuer quelqu’un, nous voulons juste prouver quelque chose.” Et quel preuve ! Ils viennent de démontrer qu’on peut assassiner quelqu’un à distance via Internet. Plus besoin de scier les câbles de frein ou de trafiquer la direction. Une connexion 3G suffit.

L’article de Wired, publié le 21 juillet 2015, fait alors l’effet d’une bombe atomique dans l’industrie automobile. “Hackers Remotely Kill a Jeep on the Highway - With Me in It”. Les médias du monde entier reprennent l’histoire. CNN, BBC, Fox News, Le Monde, Der Spiegel… Charlie et Chris sont partout. Les images de la Jeep incontrôlable sur l’autoroute font le tour du monde, et évidemment, les actions de Fiat Chrysler chutent. Les politiques s’en mêlent également. Les sénateurs Ed Markey et Richard Blumenthal déposent un projet de loi sur la cybersécurité automobile. Bref, c’est la panique totale à Detroit.

Wired Magazine a publié l’article explosif sur le hack de la Jeep qui a changé l’industrie

Fiat Chrysler réagit en mode crise absolue. Le 24 juillet 2015, trois jours après l’article, ils annoncent le rappel immédiat de 1,4 million de véhicules. 1,4 MILLION ! C’est le premier rappel de masse de l’histoire automobile pour un problème de cybersécurité. Pas de pièce défectueuse, pas de problème mécanique. Juste du code bugué. Ils envoient des clés USB à tous les propriétaires pour patcher le système Uconnect. Ils coupent aussi l’accès Sprint aux ports vulnérables côté réseau. Le coût total ? Plus de 500 millions de dollars entre le rappel, les patchs, les amendes et les procès. Sans compter les dégâts à leur réputation.

C’est la première fois qu’un produit fabriqué en série fait l’objet d’un rappel physique en raison d’un problème de sécurité logiciel.”, note Charlie avec une pointe de fierté. Il a raison. C’est historique. Un moment charnière dans l’industrie automobile, qui se croyait à l’abri dans son monde de mécanique et d’ingénierie traditionnelle, et qui vient de réaliser brutalement qu’elle fait maintenant partie du monde numérique. Les voitures ne sont plus des objets mécaniques avec un peu d’électronique. Ce sont des ordinateurs sur roues, avec tous les risques que cela implique. Et comme tous les ordinateurs, elles peuvent être hackées. Par des ados dans leur chambre. Par des criminels. Par des services de renseignement. Par des terroristes.

La NHTSA (National Highway Traffic Safety Administration) inflige alors une amende record de 105 millions de dollars à Fiat Chrysler pour avoir mis en danger la vie des conducteurs. C’est d’ailleurs la plus grosse amende de l’histoire de l’agence et le message est clair : la cybersécurité automobile n’est plus optionnelle. C’est une question de vie ou de mort. Littéralement.

L’avis de rappel historique de 1,4 million de véhicules suite au hack de Miller et Valasek

Charlie et Chris deviennent instantanément les rock stars de la cybersécurité automobile. Tout le monde veut les recruter. Les constructeurs, terrifiés, réalisent qu’ils ont besoin de vrais experts en sécurité, pas juste des ingénieurs qui bricolent. Alors en août 2015, un mois après le hack de la Jeep, Uber les embauche tous les deux. La boîte de VTC mise gros sur les voitures autonomes avec son programme Advanced Technologies Group à Pittsburgh et ils ont besoin des meilleurs pour sécuriser leur future flotte de robotaxis. Alors qui de mieux que les deux mecs qui ont réveillé toute l’industrie ?

Chez Uber, Charlie et Chris deviennent les architectes de la sécurité des véhicules autonomes. Un défi colossal car si hacker une Jeep Cherokee est dangereux, imaginez hacker une flotte entière de voitures sans conducteur. C’est Terminator puissance 1000. Ils mettent en place des processus de sécurité drastiques : revue de code systématique, tests d’intrusion continus, architecture sécurisée by design, chiffrement de bout en bout, authentification mutuelle entre composants… Fini l’amateurisme de l’industrie automobile traditionnelle.

Mais le duo mythique ne reste pas longtemps ensemble. En mars 2017, après 18 mois chez Uber, Charlie reçoit une offre impossible à refuser. Didi Chuxing, le “Uber chinois” qui a racheté les opérations d’Uber en Chine, veut créer un lab de sécurité automobile aux États-Unis et ils lui proposent de le diriger, avec un salaire mirobolant et une équipe à rassembler. Charlie accepte et pour la première fois depuis le hack de la Jeep, les deux compères sont séparés. Chris, lui, reste chez Uber comme responsable de la sécurité véhicule.

Malheureusement, l’aventure Didi est courte. Très courte. Quatre mois seulement pour que Charlie réalise vite que bosser pour une boîte chinoise depuis la Californie, c’est mission impossible. Les différences culturelles sont énormes sans parler des réunions à 2h du matin pour s’aligner avec Beijing ou encore de la barrière de la langue (Charlie ne parle pas mandarin). Et surtout, les objectifs business sont flous. C’est une bureaucratie kafkaïenne alors en juillet 2017, il jette l’éponge. “Ce fut une expérience intéressante, mais qui ne me convenait finalement pas.”, dira-t-il diplomatiquement. Traduction : c’était l’enfer.

Mais Chris a un plan. Pendant que Charlie galérait chez Didi, il a négocié en secret avec Cruise Automation, la filiale de General Motors spécialisée dans les voitures autonomes. Rachetée pour plus d’un milliard de dollars en 2016, Cruise est le concurrent direct de Waymo (Google) et d’Uber dans la course aux robotaxis. Ils veulent construire l’équipe de sécurité la plus solide du secteur alorrs Chris leur dit : “Je viens, mais seulement si vous prenez Charlie aussi.” Deal. Et en juillet 2017, juste après que Charlie ait quitté Didi, ils annoncent rejoindre Cruise ensemble. Les “Jeep hackers” sont réunis. L’équipe de choc est reformée.

Chez Cruise, Charlie devient alors Principal Autonomous Vehicle Security Architect, et Chris Team Lead of Security et leur mission est de s’assurer que personne ne puisse faire aux voitures autonomes de GM ce qu’ils ont fait à la Jeep Cherokee. C’est un défi titanesque puisqu’un voiture autonome Cruise, c’est +40 calculateurs, des millions de lignes de code, des dizaines de capteurs (LiDAR, caméras, radars, ultrasons), des connexions permanentes au cloud pour les mises à jour et la télémétrie, de l’IA qui prend des décisions critiques 10 fois par seconde. Chaque composant est une porte d’entrée potentielle et chaque ligne de code est une vulnérabilité possible.

Une fois que j’ai écrit un exploit capable de contrôler une automobile, j’ai compris que les choses devenaient sérieuses”, confie Charlie dans une rare interview. “Il ne s’agit plus de voler des cartes de crédit ou de défacer des sites web. Il s’agit de missiles de deux tonnes qui se déplacent tout seuls dans les villes.

Et il a raison d’être inquiet car si quelqu’un hacke une flotte de robotaxis, c’est potentiellement un massacre. Imaginez 100 voitures autonomes qui accélèrent en même temps dans une foule. C’est le scénario cauchemardesque que Charlie et Chris doivent empêcher.

Le travail chez Cruise est fascinant mais ultra-confidentiel et Charlie ne peut plus faire de démos spectaculaires ou publier ses recherches. Il est redevenu, d’une certaine manière, l’agent secret qu’il était à la NSA. La différence ? Cette fois, il protège des vies humaines directement alors chaque faille qu’il trouve et corrige, c’est potentiellement un accident évité, des morts empêchées.

Le Cruise Origin, véhicule autonome sans volant ni pédales, sécurisé par l’équipe de Charlie Miller

Aujourd’hui, fin 2025, Charlie Miller continue de bosser chez Cruise. À 52 ans, il est une légende vivante de la cybersécurité. Le gamin solitaire d’Affton qui avait perdu sa mère trop tôt est devenu l’un des hackers les plus respectés et influents de la planète. Pas étonnant quand on voit son palmarès absolument hallucinant. Premier à hacker publiquement l’iPhone (2007). Premier à hacker Android - il a défoncé le T-Mobile G1 le jour même de sa sortie (2008). Quatre fois champion de Pwn2Own (2008, 2009, 2010, 2011) - un record encore inégalé. Des dizaines de failles critiques découvertes dans Safari, iOS, Mac OS X. Le hack SMS de l’iPhone qui a forcé Apple à patcher en urgence (2009). L’affaire InstaStock qui lui a valu son bannissement d’Apple (2011). Et bien sûr, LE hack de la Jeep Cherokee (2015) qui a changé pour toujours l’industrie automobile et créé le domaine de la cybersécurité automobile. Sans oublier ses contributions continues à la sécurité de Twitter, Uber, Didi et maintenant Cruise.

Mais ce qui frappe le plus chez Charlie, au-delà de ses exploits techniques, c’est sa philosophie. Il ne hacke pas pour la gloire, l’argent ou le chaos (même s’il ne crache pas sur les 10 000 dollars de Pwn2Own). Il hacke pour rendre le monde numérique plus sûr car chaque faille qu’il trouve et rapporte, c’est une faille que les vrais méchants (criminels, espions, terroristes…) ne pourront pas exploiter. Charlie est un white hat dans l’âme.

J’ai essentiellement appris sur le tas, ce qui est une excellente façon de faire si vous le pouvez”, dit-il de ses débuts à la NSA. Cette humilité, c’est sa marque de fabrique car malgré son CV stratosphérique, Charlie reste accessible, drôle, humble. Sur Twitter (@0xcharlie), il partage ses réflexions sur la sécurité, plaisante avec la communauté, donne des conseils aux jeunes hackers. Pas de condescendance, pas d’élitisme.

@0xcharlie reste actif sur les réseaux sociaux pour partager ses connaissances avec la communauté

L’histoire de Charlie Miller, c’est aussi l’histoire de l’évolution du hacking et de la cybersécurité. Dans les années 2000, c’était encore un truc de geeks dans leur garage, un hobby pour étudiants en informatique et aujourd’hui, c’est un enjeu de sécurité nationale, un secteur qui pèse des milliards, une arme de guerre. Les voitures, les téléphones, les infrastructures critiques, les implants médicaux, les centrales nucléaires… tout est connecté, tout est hackable. Le monde physique et le monde numérique ont fusionné, avec toutes les opportunités et tous les dangers que cela implique.

Et Charlie a été pionnier dans cette transformation. Il a montré que le hacking n’était pas qu’une affaire de serveurs web et de bases de données SQL. Il a prouvé qu’on pouvait hacker des objets du quotidien (téléphones, voitures…etc) avec des conséquences potentiellement mortelles. Il a aussi forcé des industries entières à repenser leur approche de la sécurité. Avant lui, Apple pensait que l’obscurité était une défense suffisante. Avant lui, l’industrie automobile pensait que le bus CAN était un détail technique interne sans importance.

Il leur a prouvé qu’ils avaient tort. Brutalement.

Bref, la prochaine fois que vous déverrouillez votre iPhone d’un glissement de doigt, que vous montez dans votre voiture connectée, ou que vous installez une mise à jour de sécurité critique, pensez à Charlie Miller.

Et si vous croisez une Jeep Cherokee sur l’autoroute, gardez vos distances, on ne sait jamais… Charlie et Chris ont peut-être gardé quelques exploits dans leur manche, après tout, les meilleurs hackers ne révèlent jamais tous leurs secrets. 😉

Sources : Wikipedia - Charlie Miller, Wired - Hackers Remotely Kill a Jeep on the Highway, St. Louis Magazine - A Hacker’s Life, InfoSecurity Magazine - Interview Charlie Miller, Network World - Apple bans Charlie Miller, Kaspersky - Jeep Cherokee hack explained, CNBC - Miller and Valasek join Cruise, TechCrunch - Miller and Valasek at TC Sessions 2022

Ashley Madison - Le hack qui a détruit des vies

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.

Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.

Grossière erreur.

Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.

Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas

L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.

Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.

En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.

Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.

Noel Biderman : le PDG “fidèle” qui cachait bien son jeu

Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.

Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.

Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.

La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.

Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.

Et c’est ce mensonge éhonté qui va tout déclencher.

Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.

Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.

Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…

Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.

Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.

Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.

Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.

Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.

Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.

Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.

John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.

Screenshot

Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.

Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.

Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.

Full Delete - L’option de confidentialité qui n’en était pas une.

Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.

Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.

Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.

Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.

L’email envoyé par le hacker d’Ashley Madison

Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.

Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.

L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.

Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.

Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.

Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.

Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.

Le site Ashley Madison en 2025

Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.

Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.

Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.

Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.

Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.

Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.

Sources : Wikipedia - Ashley Madison data breach, Krebs on Security - Ashley Madison Hacked, Tripwire - Ashley Madison Timeline, Vice - Impact Team Interview, Washington Post - John Gibson, Screen Rant - Noel Biderman, Auburn University - Ashley Madison Case Study

Masters of Deception - Les premiers rois du cyberespace

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Cet aprem, je vous propose de retourner en 1990. Fermez les yeux et imaginez alors 3 ados de Queens avec un modem 2400 bauds et l’ego de la taille de Manhattan qui d’un coup décident de clasher des mecs du Texas qui se la pètent grave sur leurs BBSes. Et oui, vous assistez là, à la première vraie cyberguerre de l’Histoire qui aura pour impact 70 millions d’appels téléphoniques dans les choux et le FBI qui débarque chez maman à 6h du mat'.

Vous pensez qu’Anonymous a inventé le hacking moderne ? Vous croyez que les ransomwares russes c’est le summum de la cybercriminalité ? Et bien détrompez-vous, car avant même que le grand public sache comment allumer un PC, une bande de gamins de New York avait déjà pigé que celui qui maîtrise les télécoms contrôle le monde. Leur nom de guerre : les Masters of Deception et leur héritage c’est d’avoir transformé du bidouillage d’ados en véritable industrie de la cybersécurité qui pèse aujourd’hui des centaines de milliards.

Bref, l’histoire démarre en 1989, une époque bénie où Internet c’était de la science-fiction pour 99% de la population et où avoir un modem 2400 bauds faisait de vous un drôle d’extraterrestre. Paul Stira (aka “Scorpion”) et Elias Ladopoulos (alias “Acid Phreak”), deux lycéens de Queens avec vraiment plus de curiosité que de bon sens, s’éclatent à explorer les systèmes téléphoniques de New York. C’est l’âge d’or où AT&T règne en maître absolu sur les télécoms américaines et où chaque central téléphonique planque des trésors numériques que personne, mais alors personne, ne sait protéger correctement.

Nos deux compères tombent alors sur un monde parallèle complètement fascinant : celui des centraux téléphoniques 5ESS et 4ESS, des mainframes IBM qui gèrent littéralement des millions d’appels par jour, des bases de données qui stockent tout et n’importe quoi depuis vos factures de téléphone jusqu’aux numéros directs ultra-secrets de la CIA. Le seul problème de nos ados, c’est qu’ils captent que dalle aux subtilités du phreaking et du protocole SS7. Du coup leur solution c’est de contacter directement le seul mec de leur génération qui maîtrise vraiment ce délire : Mark Abene, plus connu sous le pseudo de Phiber Optik.

Mark Abene alias Phiber Optik

À seulement 17 piges, Phiber Optik c’est déjà le Mozart du phone phreaking. Membre ultra-respecté de la Legion of Doom (LOD), LE groupe de hackers le plus prestigieux de l’époque, ce gamin du Bronx connaît les entrailles du réseau téléphonique américain mieux que les ingénieurs d’AT&T eux-mêmes. Le mec peut vous expliquer dans le détail comment fonctionne un central 4ESS, comment exploiter les failles du protocole SS7, comment générer des tonalités MF (Multi-Frequency) pour router des appels, et accessoirement comment prendre le contrôle de n’importe quelle ligne téléphonique aux States.

Mais voilà le truc, Phiber Optik vient tout juste de se faire virer de Legion of Doom. La raison officielle ? “Incompatibilité d’humeur” avec les anciens, surtout avec Chris Goggans alias “Erik Bloodaxe” et Lloyd Blankenship dit “The Mentor”. En vrai, les vieux de la garde texane trouvaient ce New-Yorkais trop arrogant, trop médiatique, trop… New-Yorkais justement. Grosse erreur tactique de leur part, mais excellente nouvelle pour Paul et Elias qui récupèrent LE meilleur prof de hacking sur le marché underground.

Du coup ensemble, ils fondent leur propre crew qu’ils baptisent avec beaucoup de second degré les Masters of Deception. Le nom n’est pas innocent du tout hein : MOD vs LOD, M contre L, Masters contre Legion, New York contre Texas. C’est leur façon à peine subtile de dire aux vieux croûtons de Legion of Doom qu’ils peuvent aller se rhabiller. Et pour bien enfoncer le clou jusqu’au bout, ils recrutent d’autres exclus et talents marginaux de la scène : John Lee alias “Corrupt”, Julio Fernandez surnommé “Outlaw”, et Allen Wilson dit “Wing”. Une vraie dream team de hackers !

Ce qui différencie vraiment MOD des autres groupes de hackers de l’époque, c’est leur approche carrément industrielle du hacking, car là où Legion of Doom se contentait de techniques artisanales et de coups d’éclat pour impressionner leurs potes sur les BBSes, les Masters of Deception eux automatisent absolument tout. Ils développent des programmes pour scanner et voler les mots de passe en masse, installent des backdoors permanentes sur tous les systèmes qu’ils visitent, et surtout (et ça c’est nouveau) certains membres n’hésitent pas une seconde à monnayer leurs services au black.

Leurs exploits deviennent alors rapidement légendaires dans toute la communauté underground. Ils s’infiltrent dans les systèmes de crédit de TRW (devenu Experian) et Trans Union pour pomper les dossiers financiers de célébrités. Dans leurs fichiers on retrouve les infos de crédit de Julia Roberts, du mafieux John Gotti, et même selon certaines sources non confirmées, des membres de la famille royale britannique. Acid Phreak se vante même d’avoir réussi à appeler directement sur la ligne privée de la Reine Elizabeth II grâce à ses manipulations des centraux téléphoniques internationaux via les réseaux X.25. Vrai ou pas, l’anecdote fait le tour de tous les BBSes de l’époque et contribue encore aujourd’hui à la légende de MOD.

Mais leur coup de maître absolu, celui qui va vraiment faire basculer les choses, c’est l’incident PBS. En exploitant un accès qu’ils avaient établi sur les systèmes de la chaîne de télévision publique, ils prennent le contrôle total des imprimantes du siège social et commencent à faire imprimer des messages de revendication en pleine journée sur toutes les machines. Le délire complet, sauf que là c’est le drame, un autre hacker (jamais identifié) profite de la brèche qu’ils ont ouverte pour carrément wiper l’intégralité des serveurs de PBS. L’incident fait les gros titres de tous les journaux et attire instantanément l’attention du FBI et du Secret Service sur toute la scène hacker.

Pendant ce temps, la tension monte crescendo avec Legion of Doom. Ce que les médias ont appelé plus tard la “Grande Guerre des Hackers” ressemble surtout à une bagarre de cour de récré avec des modems en guise de poings. Les membres de MOD harcèlent téléphoniquement Erik Bloodaxe et les autres membres de LOD : ils modifient leurs services téléphoniques pour faire sonner leur téléphone toutes les 5 minutes, redirigent leurs appels vers des hotlines de téléphone rose, écoutent et enregistrent leurs conversations privées, bref ils leur pourrissent littéralement la vie 24/7. En représailles, LOD tente d’infiltrer les systèmes utilisés par MOD et de saboter leurs opérations, mais force est de constater que techniquement, MOD a clairement l’avantage.

Chris Goggans aurait surtout balancé une phrase qui a mis le feu aux poudres : “MOD is nothing but niggers, spics, and white trash” (MOD c’est que des nègres, des latinos et des white trash). Qu’il l’ait vraiment dit ou que ce soit juste une rumeur importe peu car cette phrase devient alors le casus belli qui transforme une rivalité technique en guerre totale. Les membres de MOD, dont plusieurs sont effectivement issus de minorités, prennent ça très, très mal.

Et cette guéguerre de script kiddies aurait pu durer des années si un événement absolument majeur n’était pas venu tout bouleverser. Le 15 janvier 1990, jour de Martin Luther King (un lundi férié), le réseau longue distance d’AT&T s’effondre complètement. Pendant 9 heures d’affilée, la moitié des appels longue distance aux États-Unis se plantent lamentablement. 70 millions d’américains qui décrochent leur téléphone entendent tous le même message fantomatique : “All circuits are busy now.” C’est la panique totale.

Techniquement parlant, la panne vient d’un bug de merde dans une mise à jour logicielle déployée mi-décembre 1989 sur les 114 centraux 4ESS du réseau AT&T. En gros, quand un central de New York plante et tente de redémarrer, il envoie un signal de “je suis de retour” aux autres centraux. Sauf que ce signal, mal géré par le nouveau code, fait planter les centraux voisins qui tentent de redémarrer et font planter leurs voisins, créant une réaction en chaîne absolument cataclysmique. Un énorme effet domino !

Mais bon, psychologiquement et politiquement, cette panne tombe au pire moment pour la communauté hacker. Pourquoi ? Et bien parce que quelques mois plus tôt, le Secret Service avait coffré un hacker de 16 ans surnommé “Fry Guy” (un gamin qui s’était fait choper après avoir hacké McDonald’s, le niveau zéro du hacking). Et sous interrogatoire, ce génie avait parlé d’un supposé projet de Legion of Doom pour faire tomber le réseau téléphonique national pendant un jour férié. Coïncidence de malade : la panne AT&T a lieu pile poil un jour férié et pour les fédéraux paranoïaques, c’est trop beau pour être une coïncidence.

Du coup, neuf jours après la panne, le 24 janvier 1990 à 6h du matin, c’est le grand débarquement. FBI et Secret Service défoncent simultanément les portes de tous les membres connus de MOD. Phiber Optik se fait réveiller par des agents armés dans sa chambre d’ado, Acid Phreak voit son appart retourné de fond en comble, Scorpion, Corrupt et Outlaw subissent le même traitement. Ordinateurs confisqués, disquettes saisies, même les posters sur les murs sont photographiés. Pour des gamins qui vivaient dans l’ombre et l’anonymat des BBSes, se retrouver face à des fédéraux avec des flingues, c’est le choc de leur vie.

L’enquête qui suit établit plusieurs premières absolues dans l’histoire judiciaire américaine. Pour la première fois, des écoutes téléphoniques sont spécifiquement autorisées contre des hackers. Le procureur Otto Obermaier déclarera plus tard qu’il s’agissait de “la première utilisation d’écoutes autorisées par un tribunal pour obtenir les conversations et transmissions de données de hackers informatiques” sur le sol américain. Les fédéraux ont littéralement enregistré des mois de conversations téléphoniques et de sessions de hacking.

Et en juillet 1992, l’acte d’accusation tombe enfin. 11 chefs d’accusation qui détaillent méticuleusement comment MOD a infiltré les systèmes de Pacific Bell, US West, Southwestern Bell, New York Telephone, et des agences de crédit majeures. Les procureurs parlent de plus de 100 dossiers de crédit volés, d’écoutes illégales, de fraude informatique à grande échelle. Certains membres de MOD monnayaient effectivement leurs services comme Corrupt qui vendait des infos de cartes de crédit à 50$ pièce ou encore Outlaw qui proposait de changer des notes universitaires contre cash. Phiber Optik, lui, a toujours nié catégoriquement avoir fait du business avec ses compétences.

Et ce procès de 1993 est surréaliste. D’un côté, des procureurs qui tentent d’expliquer à un juge septuagénaire ce qu’est un “modem” et pourquoi des “tonalités à 2600 Hz” peuvent être dangereuses pour la sécurité nationale. De l’autre, des ados brillants mais immatures qui réalisent soudain que leurs “jeux” numériques peuvent leur coûter des années de prison. Mark Abene, devenu malgré lui le visage médiatique du groupe (le New York Times l’avait mis en Une), plaide finalement coupable en juillet 1993 pour conspiration et accès illégal à des ordinateurs.

La sentence tombe : un an et un jour de prison fédérale pour Phiber Optik, qu’il purgera au Federal Prison Camp de Schuylkill en Pennsylvanie. Une peine relativement légère vu les charges, mais qui reste traumatisante pour un gamin de 21 ans. Ses co-accusés s’en sortent avec des peines variées : 6 mois de camp supervisé pour Acid Phreak (qui a refusé de témoigner contre ses potes), de la probation pour les autres. John Lee “Corrupt” prend 1 an de prison, Julio Fernandez “Outlaw” écope de 6 mois.

Mais attendez car l’histoire devient encore plus dingue après. En novembre 1994, Phiber Optik sort de taule et découvre qu’il est devenu une putain de rock star. Joshua Quittner du Time Magazine l’a surnommé “le premier héros underground de l’ère de l’information, le Robin des Bois du cyberespace”. En janvier 1995, la communauté hacker organise même un “Phiberphest ‘95”, une fête géante en son honneur à l’Irving Plaza de Manhattan. L’événement attire des centaines de hackers, journalistes tech, et même des recruteurs de la Silicon Valley venus chasser les talents. C’est le Woodstock du hacking.

Photo prise lors du Phiberphest 95

Le plus fascinant dans tout ça, c’est la reconversion de ces anciens “criminels”. Elias Ladopoulos aka Acid Phreak devient ingénieur sécurité senior chez Reuters, crée plusieurs startups innovantes dans le trading algorithmique haute fréquence, et finit par intégrer l’empire financier de Steve Cohen chez Point72 Asset Management. Phiber Optik lance sa propre boîte de cybersécurité, TraceVector, spécialisée dans la détection d’intrusions temps réel, puis devient consultant pour les plus grandes entreprises du Fortune 500. Les autres membres suivent également des trajectoires similaires, transformant leur expertise underground en carrières légitimes à 6 chiffres minimum.

Avec le recul, la fameuse “Grande Guerre des Hackers” apparaît pour ce qu’elle était vraiment, c’est à dire une dispute d’ados surdoués amplifiée par les médias sensationnalistes et instrumentalisée par un système judiciaire complètement largué face aux enjeux technologiques émergents. Lors d’une conférence à HOPE en 2008, Phiber Optik himself a qualifié cette “guerre” de “d’invention complète” du bureau du procureur et de journalistes en quête de scoops juteux. “On était juste des gamins qui s’amusaient avec des ordinateurs”, dira-t-il.

Mais au-delà des anecdotes croustillantes et des légendes urbaines, l’héritage des Masters of Deception reste absolument tangible aujourd’hui. Ils ont été dans les tout premiers à démontrer que la sécurité informatique était un enjeu stratégique majeur, que quelques individus motivés avec des modems à 50 balles pouvaient mettre à genoux des infrastructures critiques nationales, et que la frontière entre curiosité intellectuelle et menace criminelle était infiniment plus floue que ce que les autorités imaginaient.

C’est has-been aujourd’hui avec le SS7 out-of-band, mais le concept d’exploiter les protocoles de signalisation reste d’actualité (hello les failles SS7 modernes) et leurs méthodes d’ingénierie sociale, de reconnaissance passive, de persistence sur les réseaux constituent les fondements de nombreuses pratiques red team actuelles.

Alors oui, les Masters of Deception ont fini derrière les barreaux, mais aujourd’hui, leurs héritiers spirituels s’appellent bug bounty hunters, pentesters ou chercheurs en sécurité, et ils protègent vos données (enfin, on espère). La boucle est bouclée, et l’esprit du hack reste intact.

Sources : “Masters of Deception: The Gang That Ruled Cyberspace” de Michele Slatalla et Joshua Quittner (1995), Wikipedia - Masters of Deception, Wikipedia - Mark Abene, Wikipedia - Great Hacker War, “All Circuits are Busy Now: The 1990 AT&T Long Distance Network Collapse”, United States v. Julio Fernandez et al. - Court Documents

❌