Les bug bounty hunters n’ont qu’à bien se tenir car Google va bientôt tenter de les remplacer (comme ils ont déjà remplacé pas mal de créateurs web) grâce à leur nouvelle IA baptisée Big Sleep. En effet, celle-ci vient de prouver qu’elle peut détecter des failles de sécurité que même les meilleurs hackers humains ont loupées. Et je ne vous parle pas de petites vulnérabilités bidons, mais de véritables failles dans des logiciels critiques.
Vous vous souvenez quand je vous parlais de XBOW, cette IA qui était devenue numéro 1 sur HackerOne ? Eh bien Google vient de rentrer dans la danse avec Big Sleep, et visiblement ils ne sont pas venus pour rigoler. L’approche est différente mais tout aussi impressionnante.
Big Sleep, c’est le fruit d’une collaboration entre Google Project Zero (l’équipe d’élite qui trouve des failles zero-day) et DeepMind (les génies derrière AlphaGo). Ensemble, ils ont créé une IA capable d’analyser du code source et de détecter des vulnérabilités de manière autonome. Le nom “Big Sleep” vient d’ailleurs du roman noir de Raymond Chandler (lien affilié), un clin d’œil au côté détective de l’IA.
La première vraie victoire de Big Sleep, c’est donc d’avoir trouvé une vulnérabilité stack buffer underflow dans SQLite, la base de données la plus utilisée au monde. Cette faille était passée sous le radar de tous les outils de fuzzing traditionnels et des chercheurs humains. L’IA a réussi à l’identifier en analysant les patterns de code et en comprenant la logique profonde du programme.
Ce qui est vraiment fou avec Big Sleep, c’est sa capacité à comprendre le contexte et la sémantique du code car contrairement aux outils de fuzzing classiques qui bombardent le programme avec des données aléatoires pour voir s’il crashe, Big Sleep lit et comprend réellement ce que fait le code.
C’est la différence entre un lecteur de Korben.info qui lit l’un de mes articles et qui est content. Et un lecteur de Korben.info (ou pas d’ailleurs) qui lit l’un de mes articles en diagonale (ou juste le titre…lol), qui ne comprend rien et qui part ensuite m’insulter sur les réseaux sociaux ^^.
Google explique que Big Sleep utilise une approche en plusieurs étapes. D’abord, l’IA analyse le code source pour comprendre sa structure et son fonctionnement. Ensuite, elle identifie les zones potentiellement vulnérables en se basant sur des patterns connus mais aussi sur sa compréhension du flux de données. Enfin, elle génère des cas de test spécifiques pour confirmer l’existence de la vulnérabilité.
Les 20 vulnérabilités découvertes touchent différents types de logiciels, des bibliothèques système aux applications web. Google reste discret sur les détails exacts pour des raisons évidentes de sécurité, mais ils confirment que toutes les failles ont été corrigées avant toute exploitation malveillante. C’est le principe du responsible disclosure : on trouve, on prévient, on corrige, et seulement après on communique.
Ce qui différencie Big Sleep de XBOW, c’est surtout l’approche. Là où XBOW excelle dans les bug bounties publics avec une approche plus agressive, Big Sleep semble plutôt orienté vers l’analyse en profondeur de code complexe. Les deux IA sont donc complémentaires et montrent bien que l’avenir de la cybersécurité passera par ces assistants intelligents.
D’ailleurs, Google ne compte pas garder Big Sleep pour lui et l’équipe travaille sur une version open source qui permettra à la communauté de bénéficier de cette technologie. L’idée c’est de démocratiser la recherche de vulnérabilités pour que même les petites entreprises puissent sécuriser leur code.
Mais attention, tout n’est pas rose non plus car que se passera-t-il si des acteurs malveillants mettent la main sur ce genre d’IA ? La course aux armements entre attaquants et défenseurs risque de fortement s’accélérer drastiquement. Google assure avoir mis en place des garde-fous, mais on sait tous que dans le domaine de la sécurité, rien n’est jamais garanti à 100%.
Selon Google, Big Sleep peut analyser en quelques heures ce qui prendrait des semaines à une équipe humaine et contrairement à vous les vacanciers éternels, l’IA ne se fatigue pas, ne fait pas d’erreur d’inattention, et peut traiter des volumes de code monumentaux. Sur les 20 vulnérabilités trouvées, au moins 5 étaient considérées comme critiques avec un score CVSS supérieur à 8.
Pour voir les dernières découvertes de BigSleep c’est par ici.
L’objectif pour Google à terme c’est de créer une IA capable de comprendre non seulement le code, mais aussi l’intention derrière le code, donc si vous êtes développeur ou responsable sécurité, il est temps de prendre ce sujet au sérieux. Les IA comme Big Sleep et XBOW ne sont pas des gadgets, donc commencez à réfléchir à comment intégrer ces outils dans vos processus de développement et surtout, n’attendez pas que les attaquants s’en servent contre vous.
On le sait tous, utiliser des services de cloud comme OneDrive ou Google Drive nous expose à une violation de notre vie privée par des organismes gouvernementaux mais aussi à de simples piratages, ransomwares et fuites de données qui pourraient rendre publics nos fichiers.
Alors, si vous voulez vraiment utiliser ce genre de services, il n’y a qu’un seul moyen de protéger efficacement ses données : Les chiffrer.
Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers, il existe un soft gratuit et open source baptisé Duplicati pour vous aider.
Duplicati est un outil pour Windows, macOS et Linux qui vous permet de programmer des sauvegardes chiffrées des répertoires de votre choix. La version 2.1 stable apporte une refonte complète avec une interface web moderne accessible depuis votre navigateur et le chiffrement se fait toujours en AES-256 (ou GNU Privacy Guard si vous préférez), garantissant que vos fichiers sont sécurisés localement avant même de quitter votre machine.
Le logiciel supporte une liste impressionnante de destinations : serveurs personnels (via SFTP/FTP/WebDAV), mais aussi Google Drive, Dropbox, OneDrive, Backblaze B2, Amazon S3, MEGA, Box, et bien d’autres. Vous pouvez même sauvegarder sur des disques locaux, clés USB ou partages SMB.
Le système de sauvegarde incrémentale est particulièrement efficace… Après une première sauvegarde complète, seules les modifications sont envoyées. Si vous modifiez un document de 2 Mo dans un dossier de 10 Go, seuls ces 2 Mo seront transférés lors de la prochaine sauvegarde. Économie en bande passante et en espace disque !!
Le planificateur intégré vous permet aussi d’automatiser complètement vos sauvegardes. Plus besoin d’y penser, Duplicati s’occupe de tout aux heures que vous avez définies. Un système de notification vous prévient même des mises à jour disponibles.
Attention cependant, y’a quelques points de vigilance comme la base de données qui peut parfois se corrompre en cas de coupure pendant une sauvegarde, et l’interface qui propose tellement d’options avancées qu’il vaut mieux se documenter avant de toucher aux paramètres complexes. Si vous cherchez des alternatives, Rclone, Restic, Macrium Reflect ou Veeam sont aussi des options solides selon vos besoins.
Pour l’installation, rendez-vous sur le GitHub officiel, téléchargez la version pour votre OS et lancez l’installation. La configuration initiale est simple. Vous créez une nouvelle sauvegarde, sélectionnez vos dossiers, choisissez votre destination cloud, définissez un mot de passe de chiffrement (à conserver précieusement !), et vous programmez la fréquence.
Je vous conseille quand même de commencez avec un petit dossier de test pour vous familiariser avec l’interface et SURTOUT, testez régulièrement la restauration de vos fichiers, car une sauvegarde qu’on ne peut pas restaurer ne sert à rien !
Voilà avec toutes les menaces qui pèsent sur nos données, une solution de sauvegarde chiffrée n’est plus une option. Duplicati reste une excellente solution gratuite et open source pour protéger efficacement vos fichiers dans le cloud.
Article publié initialement le 25/11/2014 et mis à jour le 05/08/2025.
2,4 milliards de dollars, c’est le montant des dégâts causés par un seul groupe de hackers russes entre 2019 et 2024. Et le truc marrant dans cette histoire c’est qu’en mai 2025, ces mêmes génies de la cybercriminalité se sont fait pirater par des hackers anonymes qui ont balancé tous leurs secrets sur Internet.
C’est vrai que j’ai toujours eu un faible pour les histoires de David contre Goliath, sauf que là, c’est l’inverse. C’est l’histoire de Goliath qui terrorise la planète entière avant de se prendre une pierre dans la gueule, et cette pierre, elle ne vient pas d’où vous croyez.
Le logo menaçant de LockBit qui a fait trembler des milliers d’entreprises
Septembre 2019, Dmitry Yuryevich Khoroshev, 26 ans, est développeur informatique lambda dans la grisaille de Omsk, en Sibérie. Le gars bosse probablement pour 300 euros par mois, galère à payer son appart communiste, et regarde les oligarques russes se goinfrer à la télé. Vous voyez le tableau ? Frustration maximale.
Alors Dmitry, il a une idée. Une idée de génie maléfique, si on peut dire. Au lieu de rester dans son coin à développer des sites web foireux, pourquoi ne pas créer le ransomware le plus puissant de la planète ? Après tout, c’est juste du code, et lui, il sait coder.
Les premières attaques commencent donc discrètement. Son bébé s’appelle encore “virus .abcd”, ouais, naze comme nom, hein ? C’est l’extension qu’il colle aux fichiers chiffrés. Mais bon, même Steve Jobs a commencé avec l’Apple I dans un garage. Dmitry, c’est pareil, sauf que son garage c’est l’internet russe et son Apple I c’est un malware qui va faire trembler Boeing et TSMC.
En janvier 2020, notre futur empereur du crime débarque sur un forum cybercriminel russophone et cette fois, il a trouvé le bon nom : LockBit. Percutant, efficace, ça sonne comme une marque de cadenas allemand. Et c’est exactement ça, un cadenas numérique inviolable sur vos données les plus précieuses.
Mais Dmitry, il est malin. Plus malin que tous ces script kiddies qui piratent 3 serveurs et se prennent pour Anonymous. Lui, il a compris le truc : pourquoi faire le boulot tout seul quand on peut créer une franchise criminelle ?
Vous connaissez le Software-as-a-Service ? Salesforce, Office 365, tout ça ? Et bien Dmitry a inventé le Crime-as-a-Service. Et franchement, côté business model, c’est du génie pur.
L’interface du site de leak de LockBit où les victimes voyaient leurs données exposées
Leur interface d’administrationn, c’est du niveau de ce qu’on fait en entreprise pour des clients légitimes. Interface point-and-click, tableaux de bord avec statistiques en temps réel, générateur automatique de ransomware personnalisé. Même leur FAQ était mieux foutue que celle de la plupart des startups parisiennes.
Mais le coup de génie, c’est le recrutement. LockBit ne prend pas n’importe qui. Non, ils chassent les experts en pentest qui maîtrisent Metasploit et Cobalt Strike. Des gars qui savent réellement s’infiltrer dans un réseau d’entreprise, pas juste télécharger un script sur GitHub. C’est la différence entre un cambrioleur amateur et un perceur de coffres-forts suisse.
Et contrairement aux autres gangs de ransomware qui se payent d’abord et donnent les miettes aux affiliés, LockBit fait l’inverse. Les affiliés touchent leur part directement, puis reversent la commission. C’est psychologiquement très fort car ça donne l’impression d’être un partenaire, pas un employé.
Puis en juin 2021, LockBit 2.0 débarque. Interface encore plus léchée, nouvelles fonctionnalités, vitesse de chiffrement améliorée. Dmitry soigne son produit comme Tim Cook soigne l’iPhone. Et ça marche ! Les affiliés se bousculent au portillon.
Mais parlons peu, parlons chiffres concrets. Selon les rapports du FBI, entre janvier 2020 et mai 2023, il y a eu plus de 1700 attaques rien qu’aux États-Unis et 91 millions de dollars de rançons payées officiellement. Et ça, c’est juste ce qu’on sait. La réalité doit être 5 fois plus importante.
Ce qui m’impressionne le plus, c’est quand même leur professionnalisme. Regardez leurs négociations avec les victimes (et oui, on peut les lire maintenant grâce aux fuites de 2025), c’est du niveau relation client d’Amazon. Ils expliquent le processus, rassurent sur la récupération des données, proposent même des facilités de paiement. Du grand art.
Le système technique de LockBit, c’est également du costaud. Chiffrement AES-256 bits combiné avec RSA-2048 pour les clés. Et surtout double extorsion systématique : on chiffre vos données ET on les exfiltre. Si vous ne payez pas, non seulement vous ne récupérez rien, mais en plus on balance tout sur le net. C’est vicieux mais efficace.
La vitesse de chiffrement ? C’est 100 000 fichiers par minute sur un serveur standard. Avec leur builder, en 3 clics, vous générez un ransomware personnalisé avec votre adresse Bitcoin, votre message de rançon, vos exclusions de fichiers. C’est le McDonald’s du crime, rapide, standardisé, efficace.
Dmitry, pendant ce temps, se paye une vie de milliardaire. 100 millions de dollars personnels. À 29 ans, parti de développeur sibérien à 300 euros par mois il vit son rêve russe, version cybercriminelle.
Sauf que comme tous les empires, LockBit avait ses failles. Et les gentils de ce monde préparaient leur contre-attaque.
Le site de LockBit après sa saisie lors de l’Opération Cronos - “Cette page est maintenant sous le contrôle des forces de l’ordre”
Février 2024 c’est l’Opération Cronos. Le nom fait classe, vous trouvez pas ? Cronos, le titan qui dévore ses enfants dans la mythologie grecque, c’est le symbole parfait pour une opération qui va bouffer LockBit de l’intérieur.
10 pays mobilisés. France, Royaume-Uni, États-Unis, Allemagne, Pays-Bas, Suisse, Japon, Australie, Canada, Suède. Quand vous voyez une coalition pareille, vous savez que ça va saigner. L’ANSSI, la Gendarmerie, le FBI, Europol selon le communiqué officiel… Tout l’alphabet de la lutte anti-cybercrime mobilisé. Et leur plan est chirurgical et impitoyable.
34 serveurs saisis d’un coup, 200 comptes cryptomonnaies gelés, 14 000 comptes en ligne fermés. Et surtout plus de 1000 clés de déchiffrement récupérées pour aider les victimes. C’est du level débarquement de Normandie, version bits et octets et en une nuit, 5 ans d’empire criminel réduits en cendres.
Et les détails personnels révélés sont nombreux… né le 17 avril 1993, passeport russe numéro 2006801524…etc. Le mec qui terrorisait la planète a maintenant sa date d’anniversaire sur Wikipedia. Happy birthday, Dmitry !
Dmitry Khoroshev sur l’affiche du FBI avec 10 millions de dollars de récompense
Bref, la machine de guerre LockBit, construite durant 5 ans, détruite en 48 heures. Game over.
Enfin… c’est ce qu’on croyait.
Parce que évidemment, Dmitry n’allait pas ranger ses affaires et ouvrir un kebab à Omsk. Quelques semaines après Cronos, LockBit refait surface. Sites web recréés, affiliés remobilisés, nouvelles victimes revendiquées. Le gars a même eu les couilles de narguer le FBI publiquement. “Le FBI bluffe, je ne suis pas Dmitry” a-t-il déclaré selon The Record. Bon, c’est pas exactement ce qu’il a dit parce que je ne parle pas russe, mais l’idée est là.
Et là, j’avoue, j’ai respecté. Pas pour le crime, hein. Mais pour la ténacité. Se faire démanteler par une coalition internationale et revenir au combat 3 semaines plus tard, faut avoir des burnes en titanium. Ou être complètement barré. Ou les deux.
LockBit 4.0 est même annoncé pour février 2025. Nouvelle version, nouvelles fonctionnalités, nouveau marketing. Dmitry fait du Steve Jobs version criminelle avec une keynote par an pour présenter les nouvelles features de son ransomware.
Sauf que cette fois, il y avait quelqu’un d’autre qui préparait un coup. Quelqu’un que personne n’avait vu venir.
Le message laissé par les mystérieux hackers de Prague : “Don’t do crime, crime is bad xoxo from Prague”
Mai 2025. Je suis tranquillement en train de checker mes flux RSS quand je tombe sur ça : “LockBit Infrastructure Breached”. Evidemment, je vérifie et là… bordel. Quelqu’un avait vraiment piraté LockBit. Pas les serveurs publics, non. Leur infrastructure interne. Le saint des saints. Leurs bases de données privées.
Le message sur leur site web défiguré est le suivant “Don’t do crime, crime is bad xoxo from Prague.” C’est exactement le même message que celui affiché après le piratage du groupe Everest en avril. C’est une signature, un trolling de niveau galactique.
Mais le meilleur restait à venir, parce que nos pirates anonymes, n’ont pas juste défiguré le site. Ils ont divulgué toute la base de données de LockBit. Absolument tout. 59 975 adresses Bitcoin, plus de 4400 conversations avec les victimes. Les mots de passe des admins stockés en clair. Les détails financiers. L’infrastructure technique. Les pseudos des affiliés. Même leurs querelles internes.
Bref, c’est une mine d’or pour comprendre comment fonctionne vraiment un empire criminel de l’intérieur.
Les mots de passe d’abord. “Weekendlover69”. “MovingBricks69420”. “Lockbitproud231”. Sérieusement ? L’empire cybercriminel le plus sophistiqué de la planète protégé par des mots de passe de collégien travaillé par ses hormones ?
Et puis les conversations internes, c’est bien naze… “I hate that idiot Leo.” “Too many ID chat windows, I will establish communication again later.” Des pirates épuisés, stressés, qui s’engueulent comme dans n’importe quelle boîte. La légende du cybercriminel concentré et froid qui s’effrite en direct…
Les chats internes de LockBit
Mais le plus humiliant, ce sont les statistiques commerciales. Sur 210 négociations de rançon entre décembre 2024 et avril 2025, seulement 15 ont abouti à un paiement. 7,1% de taux de conversion. 615 000 dollars récoltés sur la période, c’est le chiffre d’affaires d’une PME française lambda.
Hé oui, l’empire qui faisait trembler Boeing et TSMC génère moins de thunes qu’un salon de coiffure à Arras. C’est la vérité derrière le rideau de fer et cerise sur le gâteau, on a aussi accès à leurs outils d’attaque, les URLs pour tester les failles XSS, les domaines .onion sur TOR, les infrastructures automatisées…etc. Tout ça divulgué publiquement.
Mais au-delà de l’humiliation, ces fuites révèlent des trucs fascinants sur l’économie souterraine du ransomware. Parce que oui, c’est vraiment une économie, avec ses règles, ses acteurs, ses marges.
Le modèle RaaS de LockBit, c’est du franchising pur où l’affilié paie entre 40 et plusieurs milliers de dollars par mois pour accéder aux outils et en échange, il bénéficie de l’infrastructure, du support technique, et même de formations.
Leur panel d’administration est plus ergonomique que la plupart des outils légitimes que j’utilise au quotidien. Gestion des victimes, génération automatique de variants du ransomware, outils de chiffrement/déchiffrement, même un module de business intelligence pour analyser les performances.
Et leur support client avec les victimes est redoutable d’efficacité. Ils ont des templates, des procédures, des escalades. Comme dans n’importe quel centre d’appels, sauf qu’au lieu de vous vendre un crédit conso ou des panneaux solaires, ils vous expliquent comment payer 50 millions en Bitcoin.
Ce qui me fascine le plus, c’est leur compréhension de la psychologie des victimes. Ils rassurent, promettent la confidentialité, proposent des “tests” de déchiffrement pour prouver qu’ils peuvent vraiment récupérer les données et ils ont même des réductions pour payement rapide. C’est du marketing pur.
L’innovation continue aussi. StealBit, leur logiciel d’exfiltration de données maison, des mises à jour régulières du ransomware, une veille concurrentielle sur les autres gangs… Bref, c’est une vraie startup, qui est juste illégale.
Et surtout derrière les gros titres Boeing et TSMC, il y a des milliers de victimes invisibles. PME françaises, hôpitaux de province, mairies de communes de 2000 habitants. Eux, ils n’ont pas 200 millions en cash pour négocier. LockBit visait méthodiquement les maillons faibles.
Et puis il y a les hôpitaux. Corbeil-Essonnes en août 2022. Dix millions de dollars de rançon pour un hôpital public français. Vous imaginez la gueule du directeur quand il a découvert que tous les dossiers médicaux étaient chiffrés ? Les urgences à l’arrêt, les patients renvoyés dans d’autres établissements. Et Dmitry et sa bande, ils s’en foutent. Business is business.
Puis Cannes en avril 2024. Encore un hôpital français. Dmitry, il a visiblement un kink avec notre système de santé. Peut-être que sa mère a mal été soignée dans un hôpital russe et qu’il se venge sur nous ? Allez savoir la psychologie d’un cyber-psychopathe.
Ce qui me rend dingue, c’est cette asymétrie. On parle quand même d’un mec de 30 ans qui depuis son appart de Omsk, peut paralyser l’hôpital d’une ville de 50 000 habitants en France. 10 lignes de code bien placées et hop, 500 lits d’hôpital hors service.
LockBit avait pourtant promis de ne jamais attaquer les hôpitaux. Une “règle éthique” de leur programme RaaS, mais bon, l’éthique chez les criminels, c’est comme les promesses d’un politique, ça vaut pas tripette. Mais heureusement, il y a aussi les gentils. Et eux, ils ont pas chômé.
Car l’Opération Cronos selon la National Crime Agency, c’est pas juste de la com’. Derrière, il y a des centaines d’enquêteurs qui ont bossé pendant des années. Des types de l’ANSSI qui passent leurs nuits à traquer des serveurs en Ukraine. Des agents du FBI qui apprennent le russe pour infiltrer les forums. Des gendarmes français qui comprennent mieux les cryptomonnaies que 99% des français.
Et puis il y a les anonymes de Prague. Parce que oui, c’est forcément des Tchèques puisque le message le dit (lol). Ces gars-là, ils ont réussi là où 10 gouvernements avaient échoué. Infiltrer complètement LockBit et balancer toutes leurs données.
Ce qui me plaît surtout dans cette histoire, c’est qu’on voit que la tech peut être utilisée dans les deux sens. Dmitry a utilisé son talent pour faire du mal. Les anonymes de Prague ont utilisé le leur pour rétablir l’équilibre. Le code n’est ni bon ni mauvais, tout dépend de qui tape sur le clavier.
Entre juin 2022 et février 2024, plus de 7000 attaques utilisant LockBit ont eu lieu, soit un quart de toutes les attaques ransomware mondiales. Si c’était une entreprise légitime, elle serait dans le Fortune 500.
Alors qu’est-ce qu’on retient de cette saga ?
Et bien d’abord que personne n’est invincible sur internet. Dmitry se croyait intouchable, planqué derrière ses VPN et ses cryptomonnaies, résultat, il a sa photo d’identité publiée par le FBI et 10 millions de récompense sur sa tête.
Ensuite que la collaboration internationale peut fonctionner. Quand 10 pays décident de s’unir contre un ennemi commun, même le plus gros gang de cybercriminels du monde peut tomber. L’Opération Cronos, c’est la preuve que les gentils peuvent gagner quand ils s’y mettent sérieusement.
Et puis il y a cette leçon délicieuse : l’hubris tue toujours. Dmitry et sa bande se croyaient tellement supérieurs qu’ils ont négligé leur propre sécurité. Mots de passe ridicules, serveurs mal protégés, arrogance maximale. Et boom ! Piratés par des anonymes qui les ont ridiculisés publiquement.
Bref, la tech, c’est comme les arts martiaux. Plus tu montes en niveau, plus tu réalises que tu peux te faire battre par n’importe qui. L’humilité, n’est pas optionnelle dans ce métier.
Et maintenant ? Et bien Dmitry court toujours. Où qu’il soit planqué, il doit pas dormir tranquille. Ses 100 millions de dollars sont probablement encore accessibles, mais compliqués à utiliser car c’est difficile de mener la grande vie quand on est l’un des hommes les plus recherchés de la planète. Et puis maintenant, on connaît ses adresses Bitcoin donc chaque transaction est tracée…
Depuis la chute de LockBit, RansomHub a récupérè 41% du marché, BlackBasta se développe, Mora_001 utilise une variante de LockBit 3.0 comme base. Bref, l’empire est mort, mais l’ADN de LockBit survit.
En conclusion, le crime ne paie pas, surtout quand on commet les mêmes erreurs que ceux qu’on attaque…
Vous pensiez que BitLocker était votre ami ? Celui qui protège gentiment vos données avec son chiffrement intégral du disque ?
Eh bien, Fabian Mosch vient de prouver lors de la conférence Troopers 2025 qu’on pouvait le transformer en complice involontaire pour des attaques plutôt vicieuses. Le principe, c’est qu’au lieu d’attaquer BitLocker frontalement (ce qui serait suicidaire vu la robustesse du chiffrement), la technique consiste à détourner ses mécanismes internes pour exécuter du code malveillant.
Comment ?
Et bien en exploitant le fait que BitLocker cherche à charger des objets COM qui n’existent pas. C’est le fameux CLSID A7A63E5C-3877-4840-8727-C1EA9D7A4D50 que le processus BaaUpdate.exe essaie désespérément de trouver à chaque fois qu’il se lance.
L’astuce ici, c’est donc d’utiliser WMI (Windows Management Instrumentation) pour créer à distance cette clé de registre manquante et y glisser le chemin vers une DLL malveillante.
Comme ça, quand BitLocker démarre, il charge gentiment votre code en pensant que c’est un composant légitime. Et le plus magique c’est que tout s’exécute sous l’identité de l’utilisateur connecté.
Alors si c’est un admin du domaine, je vous raconte pas le jackpot ! Pour prouver que ce n’est pas que de la théorie, l’équipe de r-tec Cyber Security a développé BitLockMove, un outil qui automatise toute l’attaque.
Le mode énumération permet d’abord de scanner les sessions actives sur une machine distante grâce aux API non documentées de winsta.dll et une fois qu’on a repéré un utilisateur intéressant (genre DOMAINE\Administrateur), on passe en mode attaque.
La séquence d’attaque est assez cool d’ailleurs :
Activation du service Remote Registry via WMI
Création de la clé de registre piégée
Déclenchement du processus BitLocker via l’interface BDEUILauncher
Exécution du code malveillant dans le contexte de l’utilisateur ciblé
Nettoyage des traces (suppression de la clé et de la DLL) Au fait, .
Ce qui rend cette technique particulièrement sournoise, c’est qu’elle abuse de processus Microsoft signés et légitimes. Par exemple, il y a BdeUISrv.exe, le processus qui finit par exécuter votre code, qui est un binaire officiel de Windows. Pour un EDR lambda, ça ressemble donc à du comportement normal de BitLocker.
Toutefois, ce n’est pas non plus la panacée pour les attaquants car il faut déjà avoir des privilèges d’administrateur local sur la machine cible. Ensuite, toute cette gymnastique laisse des traces exploitables. Le service Remote Registry qui passe de “désactivé” à “actif” puis retourne à “désactivé” en quelques secondes, c’est louche.
Les événements Windows 4657, 4660 et 4663 sur les clés de registre BitLocker, c’est donc un red flag énorme, sans parler des processus baaupdate.exe et BdeUISrv.exe qui apparaissent dans des contextes inhabituels.
Pour les défenseurs qui veulent mater leurs logs, voici les points de surveillance critiques :
Event ID 7040 pour les changements d’état du service Remote Registry
Surveillance des créations/suppressions sous HKEYCURRENTUSER\SOFTWARE\Classes\CLSID{A7A63E5C-3877-4840-8727-C1EA9D7A4D50}
Processus BdeUISrv.exe lancé par svchost.exe (au lieu du comportement normal)
Chargement des DLL winsta.dll ou wtsapi32.dll par des processus non standards
L’article original propose même des règles SIGMA toutes prêtes et des requêtes KQL pour Microsoft Defender for Endpoint. C’est du clé en main pour les équipes SOC qui veulent détecter cette technique.
Comme d’hab, la sécurité Windows reste un casse-tête car chaque fonctionnalité légitime introduit de nouvelles surfaces d’attaque. BitLocker protège vos données au repos, mais ses mécanismes internes deviennent des vecteurs d’attaque pour du “mouvement latéral” (c’est comme ça qu’on dit).
Pour ceux qui veulent creuser le sujet, le code de BitLockMove est disponible sur GitHub. Mais comme toujours avec ce genre d’outils, utilisez-le uniquement dans un cadre légal (tests d’intrusion autorisés, labos de recherche, etc.) sinon, vous allez finir en prison !!
Maintenant, reste à voir combien de temps il faudra à Microsoft pour patcher ce comportement… s’ils considèrent ça comme un bug, hein, et pas juste comme une “fonctionnalité” du système COM. On verra bien…
Perplexity AI s’est fait épingler par Cloudflare, pris la main dans le sac à contourner allègrement les règles du web avec leurs bots masqués. Et le plus fort dans tout ça c’est qu’ils nient tout en bloc.
L’affaire a éclaté quand Cloudflare, qui s’occupe d’un cinquième du trafic internet mondial, a décidé de fouiner un peu dans les pratiques suspectes de certains bots IA. Et le verdict est tombé assez rapidement : Perplexity a recours à des crawlers furtifs qui se font passer pour de véritables navigateurs afin de s’emparer du contenu des sites web, même lorsque les propriétaires ont dit non par le biais du fameux fichier robots.txt.
Ce qui rend cette histoire encore plus énervante, c’est la technique utilisée. Plutôt que d’employer leur user agent officiel “PerplexityBot”, les bots se déguisent en Chrome sur Windows 10.
Cloudflare a mené ses propres expériences pour prouver la manœuvre. Ils ont conçu un site web accessible uniquement aux vrais user agents Chrome et Firefox, tout en bloquant explicitement PerplexityBot via le robots.txt. Les bots officiels de Perplexity sont bien arrêtés, mais étrangement, quand un utilisateur fait une requête sur Perplexity.ai, le contenu est tout de même récupéré.
Comment ? Et bien grâce à des crawlers masqués, utilisant des ASN (Autonomous System Numbers) différents et des user agents trafiqués.
La défense de Perplexity ? Un véritable morceau de bravoure. Leur PDG, Aravind Srinivas, affirme qu’ils ne contournent pas le robots.txt, mais qu’ils recourent à des “fournisseurs tiers” pour le crawling. En gros, “C’est panoupanous, c’est les autres.” Sauf qu’il ne veut pas révéler l’identité de ces mystérieux partenaires, prétextant un accord de confidentialité. Pratique, non ?
Le problème dépasse largement le cadre de Perplexity car Wired et le développeur Robb Knight avaient déjà mené l’enquête en juin 2024 et découvert des indices similaires. Amazon Web Services a même lancé une investigation pour vérifier si Perplexity bafoue leurs conditions d’utilisation. Et en juin 2025, la BBC a menacé de poursuites judiciaires, exigeant que Perplexity cesse de scraper leur contenu et efface toutes les données collectées.
Pour situer l’ampleur du phénomène, Cloudflare a déterminé que les bots IA représentent désormais 5% de tout le trafic bot identifié. OpenAI avec GPTBot est en tête, suivi de… PerplexityBot en neuvième position. Mais ça, c’est uniquement pour ceux qui jouent cartes sur table. Combien passent sous le radar avec des identités truquées ?
La technique de contournement est d’ailleurs assez rusée car quand vous demandez à Perplexity d’explorer une URL spécifique, leur système prétend agir “au nom de l’utilisateur”, comme si vous copiez-collez vous-même le contenu. Sauf qu’en réalité, c’est un bot automatisé qui s’en charge, en utilisant des headless browsers pour paraître plus légitime.
TollBit, une startup spécialisée dans les accords de licence IA, a révélé que plus de 50 sites web choisissent délibérément d’ignorer le protocole robots.txt. Et surprise, selon une enquête de Business Insider, OpenAI et Anthropic (les créateurs de Claude) figureraient parmi eux. Mais au moins, ils ne se cachent pas derrière des user agents falsifiés.
Ce qui m’agace vraiment dans cette histoire, c’est l’hypocrisie ambiante. D’un côté, ces entreprises IA nous vendent du rêve sur l’éthique et la transparence et de l’autre, elles emploient des méthodes dignes de hackers des années 2000 pour aspirer du contenu sans permission. Et pendant ce temps, les créateurs de contenu se retrouvent pillés sans compensation.
Cloudflare propose bien quelques solutions pour se protéger, notamment leur outil AI Bots qui permet de gérer finement l’accès des différents crawlers IA. Ils ont aussi mis au point un “Bot Score” qui évalue la légitimité du trafic sur une échelle de 1 à 99. Plus le score est bas, plus y’a de chances que ce soit un bot. Les crawlers masqués de Perplexity obtiennent généralement un score en dessous de 30.
Donc, si vous gérez un site web, je vous recommande vivement de scruter vos logs. Repérez les schémas suspects du genre une même IP qui enchaîne les requêtes, des user agents identiques mais aux comportements différents, ou des accès à des URLs jamais publiées.
Quoiqu’il en soit, si même les plus grandes entreprises IA ne respectent pas des règles basiques comme le robots.txt, qu’est-ce qui les empêchera demain de franchir d’autres limites ?
Un faux tweet, 3 minutes de chaos, 136,5 milliards de dollars évaporés. Non, c’est pas Elon Musk qui a encore fait des siennes sur Twitter, mais bien une bande de hackers syriens qui a réussi le plus gros market crash de l’histoire en 140 caractères. Bienvenue dans l’univers complètement barré de la Syrian Electronic Army.
Beaucoup ont creusé cette histoire pendant des années sans vraiment comprendre toutes les ramifications politiques, mais avec la chute du régime Assad en décembre 2024, on peut enfin reconstituer le puzzle complet de cette organisation qui a terrorisé les médias occidentaux pendant près d’une décennie.
Bon, pour comprendre comment des mecs dans un bureau à Damas ont pu faire trembler Wall Street, il faut remonter à 1989. À l’époque où on jouait tous à Tetris sur Game Boy, Bassel al-Assad, le frère aîné de Bashar et héritier présomptif du trône syrien, fonde la Syrian Computer Society. L’objectif affiché c’est de démocratiser l’informatique en Syrie, mais en réalité, il s’agit de créer les fondations d’une infrastructure numérique contrôlée par le clan Assad.
Quand Bassel se tue dans un accident de voiture en 1994 (il roulait à 240 km/h sur la route de l’aéroport de Damas dans le brouillard… le mec n’était pas très prudent), Bashar hérite de tout : le destin politique et la présidence de la Syrian Computer Society. Le futur dictateur, qui était ophtalmologue à Londres, se passionne alors pour les nouvelles technologies et supervise personnellement l’introduction d’Internet en Syrie.
Ce qui est fort dans cette histoire, c’est que Assad avait tout de suite compris dès les années 90, tout le potentiel stratégique d’Internet. Pendant que nos dirigeants européens découvraient encore le Minitel, lui posait déjà les bases d’une cyberguerre moderne. Au bout d’un moment, sa femme Asma a alors repris le contrôle de la Syrian Computer Society, transformant progressivement l’organisation en pépinière de cyber-soldats.
En 2000, Bashar devient président et garde un œil attentif sur le développement numérique du pays. La Syrian Computer Society devient le seul registrar de noms de domaine syriens et contrôle l’infrastructure Internet nationale via SCS-NET, son propre FAI. Puis arrive 2011 et les Printemps arabes. Les manifestations éclatent en Syrie, les réseaux sociaux s’embrasent, et Assad comprend qu’il a besoin d’une arme numérique pour contrôler le narratif. Le 5 mai 2011, la Syrian Computer Society enregistre discrètement le domaine syrian-es.com via la Syrian Telecommunications Establishment.
La Syrian Electronic Army vient officiellement de naître.
Le truc génial (enfin, façon de parler), c’est que contrairement aux groupes de hackers anonymes classiques, la SEA opérait presque à visage découvert. Ces mecs étaient tellement protégés par le régime qu’ils se permettaient de défiler dans les rues de Damas avec des gilets aux couleurs du groupe !
Alors, qui sont ces cyber-warriors du régime Assad ? Et bien voici les profils des principaux acteurs, et vous allez voir, c’est un sacré casting.
Ahmad Umar Agha, alias “Th3 Pr0” - Le prodige négligent : Ahmad, 22 ans à l’époque de ses principaux exploits, incarne parfaitement la génération de hackers syriens formés dans l’écosystème Assad. Le FBI l’a ajouté à sa liste des cyber-criminels les plus recherchés avec une récompense de 100 000 dollars. Pourquoi ? Parce que ce génie s’est fait identifié à cause de son compte Gmail [email protected] créé en 2010.
Ahmad Umar Agha
Le mec envoyait ses documents d’identité personnels et des photos de famille par email et bien sûr, il se connectait souvent à ses comptes depuis des adresses IP syriennes non masquées. J’ai vu des script kiddies de 13 ans se protéger mieux que lui…
Ahmad dirigeait la division “opérations spéciales” de la SEA. Selon le FBI, il était spécialisé dans les attaques de spear-phishing ultra-sophistiquées, capable de créer de faux emails tellement convaincants que même des journalistes expérimentés tombaient dans le panneau. Entre 2011 et 2014, il a comme ça compromis des dizaines d’agences gouvernementales américaines, des médias et des organisations privées.
Firas Dardar, alias “The Shadow” - L’homme de l’ombre pas si discret : Firas, 27 ans, était le binôme technique d’Ahmad. Surnommé “The Shadow”, il était censé être l’expert en furtivité du groupe. Raté ! Comme son complice, il a multiplié les erreurs de sécurité qui ont permis au FBI de le traquer.
Dardar était l’expert en ingénierie sociale de l’équipe et sa spécialité c’était de créer des pages de connexion factices tellement bien foutues qu’elles trompaient même les équipes IT des grandes rédactions. Il avait développé un système de phishing multi-étapes où la première page redirige vers une seconde, puis une troisième, pour mieux brouiller les pistes. Du travail d’orfèvre !
Et à partir de 2013, Dardar et un certain Peter Romar ont monté un business parallèle d’extorsion. Ils hackaient des entreprises et menaçaient de détruire leurs données sauf si elles payaient une rançon. L’entrepreneuriat version cyber-terroriste !
Peter Romar - Le blanchisseur d’argent : Ce mec de 36 ans était le troisième larron du groupe d’extorsion. Son job ? Contourner les sanctions internationales pour récupérer l’argent des rançons. Quand les victimes ne pouvaient pas payer directement en Syrie à cause des sanctions, Romar servait d’intermédiaire.
Arrêté en Allemagne et extradé aux États-Unis en mai 2016, il a plaidé coupable en septembre 2016. Il risquait 5 ans de prison. Au moins un qui s’est fait choper !
Haidara Suleiman - Le prince héritier du cyber-empire : Voici le personnage le plus intéressant de toute l’histoire. Haidara n’est pas un hacker lambda, c’est le fils de Bahjat Suleiman, l’un des hommes les plus puissants du régime Assad. Bahjat dirigeait la branche interne de la Direction générale du renseignement et était considéré comme le mentor et confident d’Assad.
Et Haidara cumule les casquettes : rédacteur en chef du journal pro-régime Baladna, membre dirigeant de la Syrian Electronic Army, et surtout… gestionnaire de la page Facebook officielle de Bashar al-Assad ! Le fils d’un chef des services secrets qui gère les réseaux sociaux du dictateur ET coordonne les cyberattaques contre l’opposition, c’est comme si le fils du patron de la DGSE gérait le Twitter de Macron tout en hackant Le Monde !
Yaser al-Sadeq - Le commandant qui aimait les caméras : Yaser se proclamait “commandant” de la Syrian Electronic Army et adorait apparaître dans les médias syriens en tenue militaire. Ce type était l’antithèse du hacker anonyme classique puisqu’il cherchait la reconnaissance publique et revendiquait fièrement chaque attaque.
La période 2013-2014 marque l’apogée de la Syrian Electronic Army. Leurs techniques étaient d’une redoutable efficacité, mélangeant ingénierie sociale, exploitation de vulnérabilités et manipulation psychologique. Certaines de leurs attaques étaient du grand art car les hackers syriens avaient développé une méthode imparable qui fait encore des dégâts aujourd’hui. Voici leur recette secrète (bon, plus si secrète que ça maintenant) :
Étape 1 : La reconnaissance - Ils épluchaient les réseaux sociaux et les organigrammes des rédactions pour identifier les employés ayant accès aux comptes Twitter/Facebook officiels. LinkedIn était leur terrain de jeu favori pour cartographier les équipes. Un peu comme des stalkers professionnels quoi !
Étape 2 : L’email d’hameçonnage - Ils envoyaient des emails ultra-convaincants, souvent en usurpant l’identité d’un collègue ou d’un service IT interne. Le message contenait toujours un prétexte crédible : “urgent, problème de sécurité sur votre compte”, “nouvelle procédure de connexion obligatoire”, “document exclusif sur la Syrie à consulter”. Les journalistes adorent les scoops, et eux le savaient !
Étape 3 : La page piégée - Le lien menait vers une fausse page de connexion, parfaite copie de Google, Facebook ou du système interne de l’entreprise. Ces pages étaient tellement bien faites que n’importe qui aurait pu se faire avoir un jour de fatigue. Une fois les identifiants saisis, hop, les hackers avaient ensuite accès aux comptes.
Étape 4 : L’escalade - Avec un premier compte compromis, ils envoyaient des emails aux contacts de la victime pour étendre leur emprise. “Salut, peux-tu vérifier ce document urgent ?” avec un nouveau lien piégé. C’est comme ça qu’ils ont réussi à compromettre des rédactions entières !
Le hack du siècle se déroule le 23 avril 2013 à 13h07, heure de New York. Le compte Twitter officiel d’Associated Press (@AP), suivi par près de 2 millions de personnes, publie ce tweet : “Breaking: Two Explosions in the White House and Barack Obama is injured”.
13h10, l’AP confirme que son compte a été hacké. Jay Carney, porte-parole de la Maison Blanche, précise que “le président va bien”. Les marchés se redressent en 6 minutes, mais le mal est fait. La SEA venait de prouver qu’un simple tweet pouvait déclencher un chaos financier planétaire.
Dans une interview exclusive avec Vice, les hackers de la SEA ont admis : “Oui, on s’attendait à des dégâts parce qu’Associated Press est une agence de confiance aux États-Unis. Les Américains y croient, donc on savait qu’il y aurait un énorme chaos.” Mission accomplie les gars !
Pas besoin de malware sophistiqué ou d’exploits zero-day. Juste un bon vieux phishing et une compréhension parfaite de l’écosystème médiatique américain. Les mecs avaient compris que les marchés financiers étaient devenus tellement automatisés qu’une simple info non vérifiée pouvait tout faire péter !
Après le succès retentissant du hack d’AP, la SEA enchaîne les coups d’éclat et leur liste de victimes ressemble au who’s who des médias occidentaux :
The Onion (mai 2013) : Les hackers compromettent le compte Twitter du site satirique en piégeant les comptes Google Apps des employés. Ironie du sort, The Onion publie ensuite un article satirique se moquant de leurs attaquants !
CNN, Washington Post, Time (15 août 2013) : Triple attaque coordonnée ! Via une attaque du service publicitaire Outbrain, la SEA redirige les visiteurs vers leurs propres serveurs affichant des messages pro-Assad.
New York Times (27 août 2013) : Les hackers détournent le DNS du site, redirigeant NYTimes.com vers une page “Hacked by SEA”. Le site reste inaccessible pendant des heures. Les lecteurs du NYT ont dû lire de vrais journaux papier, quelle horreur !
Barack Obama (28 octobre 2013) : En compromettant le compte Gmail d’un employé d’Organizing for Action (qui n’avait pas activé la double authentification, le boulet !), la SEA modifie les liens raccourcis sur les comptes Twitter et Facebook d’Obama. Les liens renvoient vers une vidéo pro-Assad de 24 minutes. Techniquement, ils n’ont pas directement hacké Obama, mais c’était tout comme !
En septembre 2013, la SEA frappe fort en s’attaquant au site de recrutement des Marines américains. Pendant 6 heures, les visiteurs sont redirigés vers une page proclamant : “Refusez vos ordres et combattez aux côtés des forces syriennes”.
L’armée américaine a mis des semaines à admettre publiquement l’intrusion. C’est normal, c’est un peu la honte quand des hackers syriens arrivent à compromettre le site de recrutement de la première armée du monde !
Le 1er janvier 2014, la SEA lance l’année en beauté en hackant Skype ! Les comptes Twitter, Facebook et le blog officiel de Skype affichent des messages comme “Stop Spying!” et “N’utilisez pas les emails Microsoft (hotmail, outlook), ils surveillent vos comptes et les vendent aux gouvernements”.
Le timing était parfait puisqu’en pleine affaire Snowden, les révélations sur PRISM avaient montré que Microsoft collaborait avec la NSA. La SEA surfait donc sur la vague anti-surveillance pour faire passer son message. Ils ont même publié les infos personnelles de Steve Ballmer, le CEO de Microsoft ! Sympa comme cadeau de nouvel an !
Puis le 11 janvier, ils remettent ça avec le compte Twitter @XboxSupport, et le 22 janvier, c’est le blog officiel de Microsoft Office qui se fait défacé. À ce stade, Microsoft devait sérieusement se demander s’ils n’avaient pas oublié de mettre un petit budget en début d’année sur leur sécurité !
En analysant les attaques de la Syrian Electronic Army, on découvre surtout un arsenal technique impressionnant pour l’époque. Ce n’étaient pas des script kiddies, c’étaient de vrais pros !
Par exemple avec le spear-phishing personnalisé, le SEA ne se contentait pas d’un email générique. Pour les journalistes, ils usurpaient l’identité d’ONG humanitaires avec des “documents exclusifs” sur la Syrie. Pour les techniciens IT, ils se faisaient passer pour des services de sécurité avec des alertes bidon. Ou encore pour les dirigeants, ils imitaient des partenaires commerciaux avec des “contrats urgents à signer”.
Le niveau de personnalisation était hallucinant. Ils mentionnaient des détails sur la vie privée des victimes, des projets en cours, des collègues spécifiques. Genre “Salut John, comme on en a parlé avec Sarah lors du meeting de mardi dernier…”. Fort !
Sur l’exploitation de CMS obsolètes, la SEA excellait dans l’exploitation de failles dans les systèmes de gestion de contenu mal mis à jour. WordPress, Joomla, Drupal… Dès qu’une vulnérabilité était découverte, ils scannaient automatiquement des milliers de sites pour identifier les versions obsolètes.
C’est comme ça qu’ils ont réussi à défacer tant de sites médiatiques. Les admins sys qui oubliaient de faire leurs mises à jour se retrouvaient alors avec un beau logo SEA en page d’accueil. La base quoi !
Le DNS hijacking était également une de leurs techniques les plus vicieuses. Cela consistait à compromettre les serveurs DNS des hébergeurs. En modifiant les enregistrements DNS, ils pouvaient rediriger le trafic d’un site légitime vers leurs propres serveurs. Les visiteurs tapaient l’adresse habituelle, mais arrivaient sur une page de propagande pro-Assad.
Et puis il y avait BlackWorm RAT : À partir de 2014, la SEA (ou plus précisément la Syrian Malware Team, leur division malware) développe ses propres outils. BlackWorm était un trojan espion distribué via de fausses apps imitant des outils de communication sécurisée.
Le malware existait en deux versions : la v0.3.0 originale et la Dark Edition v2.1. Cela permettait de tuer des processus Windows, redémarrer le système, collecter les infos système, copier sur USB avec autorun, contourner l’UAC, désactiver les firewalls, se propager sur le réseau… Du grand classique mais très efficace !
Une fois installé, BlackWorm collectait contacts, messages, géolocalisation et même les enregistrements audio. Les dissidents syriens qui pensaient utiliser une app sécurisée se retrouvaient alors complètement surveillés. Pas cool !
Puis en 2017, quelque chose change dans la stratégie de la Syrian Electronic Army. Le groupe abandonne progressivement les opérations de hacking pour se concentrer sur la guerre informationnelle et la propagande.
Yaser al-Sadeq l’explique dans une interview : “Avant, on travaillait en secret sur l’axe militaire. Maintenant que le gouvernement a gagné, on veut devenir les auxiliaires médiatiques de l’armée syrienne.”
Cette version 2017 de la SEA n’a plus grand-chose à voir avec le groupe underground des débuts. Al-Sadeq organise des défilés publics dans Damas, ses hackers portent des uniformes avec le logo SEA, ils donnent des interviews à la télé.
Et plutôt que de pirater des sites web, la nouvelle SEA se concentre sur la création de fake news. En 2021, Facebook découvre et supprime un réseau de faux comptes gérés par la SEA ciblant l’opposition syrienne, les Casques blancs et les combattants kurdes avec de la désinformation massive.
Leurs techniques ont donc évolué, mais l’objectif reste le même : contrôler le narratif, sauf qu’au lieu de pirater le compte Twitter d’AP, ils créent des milliers de comptes pour noyer l’info. C’est moins spectaculaire, mais tout aussi efficace !
Puis le 8 décembre 2024, c’est la fin. Le régime Assad s’effondre face à l’offensive des rebelles menés par Hayat Tahrir al-Sham et Bashar fuit vers la Russie avec sa famille, mettant fin à plus de 50 ans de dictature familiale. Avec la chute du régime, la Syrian Electronic Army perd sa raison d’être, Yaser al-Sadeq et ses troupes disparaissent dans la nature, Haidara Suleiman s’exile probablement avec papa et Ahmad Agha et Firas Dardar restent introuvables et sont encore aujourd’hui sur la liste des plus recherchés du FBI avec 100 000 dollars de récompense sur leur tête.
Cette organisation qui se vantait de maîtriser l’information n’a pas vu venir la chute de son propre camp et leurs talents en cyber-guerre n’ont pas suffi à sauver Assad. C’est le karma !
Tchao !
L’attaque contre AP reste LE cas d’école sur la fragilité des marchés face aux fake news et depuis, plusieurs incidents similaires ont eu lieu, la preuve que les gens n’apprennent pas vite et que les algos de trading sont toujours aussi cons.
En ciblant les médias occidentaux, la SEA a normalisé l’idée que l’info était un champ de bataille et aujourd’hui, que ce soit l’Ukraine, Gaza, Taiwan… partout, la guerre de l’info fait rage.
Bref, la Syrie c’est peut-être pas la Silicon Valley, mais ses hackers ont réussi à faire crasher Wall Street donc ça remet un peu les pendules à l’heure sur la prétendue supériorité technologique occidentale !
J’avoue que je n’ai rien suivi de tout ça parce que pas le temps, mais comme d’hab, on va nous la faire à l’envers et on ne pourra pas y faire grand chose. Ce projet baptisé Chat Control c’est l’Europe qui veut scanner TOUS nos messages WhatsApp, Signal et Telegram dès octobre 2025. La France, l’Allemagne et 17 autres pays soutiennent ce délire totalitaire et voici comment ils comptent casser le chiffrement de bout en bout.
Tout d’abord, le Danemark a remis ça sur la table dès le premier jour de sa présidence de l’UE, le 1er juillet dernier. C’est fou quand on sait que toute l’opposition danoise est contre ce projet et que leurs propres cryptographes ont déclaré que “Chat Control va saper toute l’idée du chiffrement de bout en bout”. Ce projet qui était mort et enterré plusieurs fois revient encore plus agressif et cette fois, ils veulent forcer toutes les messageries à scanner automatiquement chaque message, photo et vidéo que vous envoyez. Même chiffré de bout en bout.
Le principe est vicieux et stupide car au lieu de casser directement le chiffrement (ce qui serait trop voyant), ils veulent imposer le “client-side scanning”. En gros, un mouchard installé sur votre téléphone qui analyse tout ce que vous tapez AVANT que ça soit chiffré, un peu comme si la Poste venait lire toutes vos lettres dans votre salon avant que vous ne les mettiez dans l’enveloppe.
Patrick Breyer, ancien eurodéputé du Parti Pirate allemand, balance les chiffres… D’après lui, au moins 19 pays sur 27 soutiennent maintenant ce projet selon les données du Parti Pirate européen. La France qui était contre a retourné sa veste (comme c’est étonnant…), l’Allemagne hésite encore car le nouveau gouvernement n’a pas encore pris position mais personne ne se fait d’illusion, et surtout, la Belgique, la Hongrie, la Suède, l’Italie, l’Espagne… tous sont pour.
Le prétexte officiel comme d’hab, c’est de lutter contre la pédocriminalité (CSAM - Child Sexual Abuse Material). Noble cause, certes mais encore une fois, l’exécution est catastrophique. Comme les plateformes devront scanner TOUS les messages de TOUS les utilisateurs pour détecter du contenu illégal, y’a pas de mandat, pas de suspicion, mais juste une surveillance généralisée permanente.
Techniquement, c’est également une catastrophe annoncée car les systèmes de détection automatique sont notoirement mauvais. Apple avait tenté un truc similaire en 2021 et avait dû reculer face au tollé. Les faux positifs sont légion : photos de famille à la plage, discussions médicales, échanges entre ados… Tout peut être mal interprété par un algorithme. Les juristes du Conseil de l’UE eux-mêmes ont critiqué le projet dans un rapport interne révélé en mars 2025. Ils parlent de mesure “disproportionnée” qui viole la Charte européenne des droits fondamentaux et la Cour européenne des droits de l’homme a déjà statué en 2023 contre l’affaiblissement du chiffrement.
Le plus absurde c’est que les vrais criminels n’utilisent pas WhatsApp. Ils ont leurs propres outils, leurs propres réseaux, du coup cette surveillance touchera uniquement monsieur et madame tout-le-monde. Et pendant ce temps, les pédocriminels continueront tranquillement leurs saloperies sur le dark web ou avec des solutions maison.
Le Danemark veut faire passer le texte avant le 14 octobre 2025 et si l’Allemagne bascule du côté obscur, c’est plié. La majorité qualifiée sera atteinte et on aura tous un espion gouvernemental dans la poche. Et les implications vont bien au-delà de la simple vie privée car si une backdoor existe pour scanner les messages, elle peut être exploitée par des hackers, par des gouvernements étrangers, par des entreprises malveillantes…etc. Ce truc c’est ouvrir la boîte de Pandore de la surveillance.
Les associations de défense des libertés numériques sont sur le coup et tirent la sonnette d’alarme. La Quadrature du Net, l’EFF, Privacy International… tous dénoncent une dérive autoritaire sans précédent dans une démocratie. Même les développeurs de Signal ont prévenu : si Chat Control passe, ils pourraient quitter l’Europe.
La vérification d’âge obligatoire est aussi dans le package… Terminé l’anonymat, il faudra prouver qui vous êtes pour utiliser une messagerie. Vos données personnelles seront ainsi liées à chaque message. C’est vraiment le rêve humide préféré de tous les régimes autoritaires.
Alors pour l’instant, on peut encore agir d’après ce que j’ai compris. Il faut contacter nos eurodéputés, signez les pétitions, sensibilisez autour de nous. Parce qu’une fois que ce système sera en place, il sera quasi impossible de revenir en arrière. L’infrastructure de surveillance sera là, prête à être utilisée pour n’importe quel prétexte.
Après si Chat Control passe, il faudra migrer vers des solutions vraiment décentralisées comme Matrix, Briar, et des trucs qui échappent encore au contrôle étatique mais ce sera pas forcement très user-friendly pour tout le monde. Surtout que les États-Unis, l’Australie, le Canada… tous regardent cette loi avec des étoiles dans les yeux pour faire pareil chez eux.
Bref, on n’est plus dans 1984 d’Orwell, on est carrément au-delà.
Aujourd’hui mes amis, voici l’histoire du plus vieux groupe de hackers encore en activité. 41 ans d’existence, c’est pas rien quand même. Alors oui, le Cult of the Dead Cow, ça peut faire peur comme nom, mais derrière cette appellation qui fleure bon le metal des années 80, y’a une bande de petits génies qui ont inventé l’hacktivisme moderne. Du coup, on va causer de vaches mortes, de hackers texans, et de comment ces quelques geeks ont changé le monde depuis un abattoir pourri.
Le culte de la vache morte version ASCII
Je vais prendre un exemple concret pour que vous compreniez bien l’ampleur du truc. Juin 1984, Lubbock, Texas. Pendant qu’on découvrait les Transformers et qu’on se battait pour avoir une NES, six gamins se retrouvent dans un abattoir désaffecté appelé Farm Pac. L’endroit pue la mort, les mouches font la java, des carcasses de vaches pourries traînent partout. C’est dans cette ambiance digne d’un film de Tobe Hooper que naît le Cult of the Dead Cow.
Le cerveau derrière tout ça ? Kevin Wheeler, 14 ans à peine, qui se fait appeler Grandmaster Ratte’ (avec l’accent aigu, s’il vous plaît car le mec avait déjà le sens du spectacle). Né en avril 1970, Wheeler avait déjà monté son propre BBS et passait ses nuits à explorer les systèmes téléphoniques. Avec lui, il y avait Bill Brown alias Franken Gibe, un mec surnommé Sid Vicious (rien à voir avec les Sex Pistols), et trois autres opérateurs de BBS locaux dont les noms se sont perdus dans les brumes du temps.
Grandmaster Ratte'
Wheeler deviendra par la suite « l’Imperial Wizard of ExXxtasy » du groupe. Oui, avec trois X, parce que pourquoi pas. Le mec avait une personnalité complexe, flamboyant et théâtral en public, mais terriblement reclus dans la vraie vie. Le genre de type qui fait le show sur scène mais qui disparaît dès que les projecteurs s’éteignent. Un vrai paradoxe ambulant.
Pour les plus jeunes qui lisent ça, laissez-moi vous expliquer ce qu’était un BBS. C’était l’ancêtre d’Internet… vous composiez un numéro de téléphone avec votre modem 2400 bauds (oui, 2400 bauds, pas 2400 Mbps), et après 3 minutes de bruits de robot qui agonise, vous vous connectiez sur le serveur d’un passionné. Télécharger un fichier de 1 Mo prenait 6 heures et votre mère vous engueulait parce que la ligne était occupée et qu’elle attendait un appel de tante Germaine. C’était ça, l’informatique des années 80 !
Le truc marquant avec ces gars du cDc (c’est leur petit nom, prononcez “see-dee-see”), c’est qu’ils ont compris très tôt que la technologie n’était pas neutre. Alors que la plupart des hackers de l’époque s’amusaient à craquer WordPerfect pour l’avoir gratos ou à explorer des systèmes VAX par pure curiosité, eux ils avaient une vision. C’était nouveau pour l’époque où Reagan était président et où tout le monde pensait que l’informatique c’était juste pour faire des tableaux Excel.
Dans les années 80, le groupe s’organise alors autour d’un réseau de BBS affiliés. C’était comme une franchise underground où chaque BBS avait sa spécialité. Les noms étaient complètement barrés : “Demon Roach Underground” (géré par un certain Swamp Rat), “The Works”, “Face of the Beyond”, “TacoLand” (où officiait un certain Beto O’Rourke, mais on y reviendra)…
Petit fun fact en passant, ce sont eux qui ont inventé le terme “31337” pour désigner quelqu’un de doué. Aujourd’hui on dit “il gère” ou “c’est un crack”, mais à l’époque, être “31337” c’était le summum. Ce nombre fait référence à “ELEET” (élite) écrit en caractères ASCII, et le port 31337 deviendra plus tard celui utilisé par Back Orifice. Hé oui, ces mecs avaient le sens du détail !
Aussi, les “t-files” du cDc, c’était quelque chose. Un mélange entre Vice Magazine, 2600, et les délires d’un ado sous acide. Et ils publiaient de tout : des guides techniques pour hacker, des manifestes anarchistes, des parodies religieuses comme le “Book of Cow” (une parodie biblique de 1100 mots), et même de la fiction bizarre. Leur article le plus controversé ? “Sex with Satan” de 1988, qui leur a valu d’être traités de “bunch of sickos” par Geraldo Rivera en direct à la télé nationale en 1994. Mdr !
Le site du cDc
En décembre 1990, un membre du groupe va alors dépoussiérer les conférences hacker. Jesse Dryden (pseudo : Drunkfux ou dFx), crée HoHoCon dans un motel miteux près de l’aéroport de Houston. Le mec avait un pedigree de ouf, fils de Spencer Dryden, le batteur de Jefferson Airplane (celui qui a joué à Woodstock !), et petit-neveu de Charlie Chaplin himself. Ses potes le comparaient aux Merry Pranksters de Ken Kesey, sauf qu’au lieu de distribuer de l’acide, il distribuait des exploits zero-day.
HoHoCon était révolutionnaire parce que Dryden a eu les couilles d’inviter tout le monde : hackers, journalistes et même les flics ! Imaginez la tension… d’un côté des mecs recherchés par le FBI, de l’autre des agents fédéraux, et au milieu Dryden qui fait le médiateur avec son charisme légendaire. Il organisera comme ça 5 éditions au total, créant un modèle pour toutes les conférences de sécurité modernes.
Mais le vrai game changer arrive en 1996. Un membre surnommé Omega (Misha Kubecka de son vrai nom) envoie un email interne avec un mot qu’il vient d’inventer : “hacktivism”. La fusion entre “hacking” et “activism”. Dans son email, il écrivait : “We are hacktivists. We hack for a cause.” Simple, direct, efficace !
Cette même année, le groupe crée sa “Ninja Strike Force”. Le nom fait sourire aujourd’hui (c’était les années 90, tout le monde voulait être un ninja), mais l’idée était novatrice. Il s’agissait de créer une équipe dédiée aux actions concrètes pour défendre leurs idées. Parmi les membres : RaD Man (fondateur d’ACiD Productions), Mark Hinge (The Syndicate Of London), et d’autres légendes de la scène. Notez qu’après le 11 septembre, certains membres sont partis bosser pour le gouvernement et ça a créé des tensions, mais ça c’est une autre histoire…
Back Orifice - Simple mais terriblement efficace
Le 1er août 1998, c’est l’apocalypse. À la DEF CON 6 à Las Vegas, dans une salle bondée du Plaza Hotel, le cDc présente Back Orifice. Créé par Sir Dystic (Josh Buchbinder), c’est un outil de prise de contrôle à distance pour Windows qui fait tout péter. Le nom est un jeu de mots génial sur “BackOffice” de Microsoft.
L’outil utilisait le port 31337 (vous avez la référence maintenant), pesait seulement 124 Ko, et permettait de prendre le contrôle total d’un PC Windows 95/98. Microsoft panique, CNN en parle en boucle, et le gouvernement comprend que ces hackers texans ne rigolent plus. Le plus ouf pour l’époque c’est qu’ils l’ont distribué gratuitement avec le code source complet et 50 pages de doc ! J’avoue qu’à l’époque je l’ai beaucoup utilisé principalement pour m’amuser sans jamais rien détruire ni voler. Juste faire des blagues façon « Ton PC est hanté ». C’était illégal bien sûr mais c’était tellement grisant.
L’année suivante, le 10 juillet 1999, ils remettent ça avec Back Orifice 2000 (BO2k) à la DEF CON 7. Cette fois c’est DilDog (Christien Rioux) qui mène le développement. Compatible avec Windows NT/2000/XP, chiffrement 3DES, système de plugins, capacité de changer de PID pour éviter la détection… Du grand art ! DilDog avait bossé comme un malade pendant des mois et le résultat était bluffant.
Mais ils ne s’arrêtent pas là et le cDc sort toute une panoplie d’outils : NBName (DoS sur NetBIOS), SMBRelay (pour voler les hashes NTLM), Camera/Shy (rebaptisé Peek-a-Booty pour contourner la censure en Chine et Iran). Et chaque outil incluait une doc technique qui expliquait comment s’en protéger. La classe totale !
Et en 1997, coup de génie avec les “Hong Kong Blondes”, un groupe fictif de hackers dissidents chinois inventé de toutes pièces. L’histoire était si bien ficelée que des médias internationaux ont publié des articles sur ce groupe qui n’existait pas ! Du pur cDc : action directe + désinformation créative + humour décalé = message politique qui passe.
Les membres du cDc à la DEFCON 1999
En 1999, s’en suit la création d’Hacktivismo, branche dédiée aux droits humains. Menée par Oxblood Ruffin (Laird Brown), musicien classique canadien et “Ministre des Affaires étrangères” autoproclamé du cDc. Leur mission est de développer des outils pour les dissidents et les journalistes sous régimes oppresseurs. Plus question de hacker pour le fun, maintenant c’est du militantisme pur jus.
Parlons maintenant des destins incroyables des membres. Mudge (Peiter Zatko), diplômé de Berklee en musique, auteur du légendaire L0phtCrack, finit par briefer Bill Clinton en personne sur la sécurité Internet en février 2000. Et le mec enchaîne : @stake, BBN, DARPA (où il lance Cyber Fast Track), Google, puis head of security chez Twitter en 2020.
Mudge - Peiter Zatko
En 2022, gros plot twist, Mudge devient whistleblower et balance Twitter dans une plainte de 84 pages, révélant les failles béantes de sécurité juste avant le rachat par Musk. Son témoignage devant le Congrès en septembre 2022 était du pur Mudge : technique, précis, implacable. Et en 2024, retour à la DARPA comme CIO. De hacker à conseiller gouvernemental à lanceur d’alerte, quelle trajectoire !
Mais le plus fou, c’est Beto O’Rourke. Si si, l’ancien congressman du Texas qui s’est présenté à la présidentielle 2020 ! Il était membre du cDc ado sous le pseudo “Psychedelic Warlord” (tiré d’une chanson de Hawkwind). Il gérait le BBS “TacoLand” et a même écrit des t-files, dont “The Song of the Cow” en 1988.
Beto O’Rourke quand il était actif dans cDc (lors d’une DEFCON)
Le truc génial c’est que O’Rourke militait déjà pour plus de femmes dans le groupe et grâce à lui, des hackeuses comme Lady Carolin (Carrie Campbell) les ont rejoint. Quand Reuters a sorti l’info sur son passé en 2019, les républicains ont crié au cyber-terroriste. O’Rourke a assumé : “C’était formateur, j’ai appris l’importance de la liberté d’expression.” Respect !
Les membres du cDc ont protégé son secret pendant 30 ans et cela même quand des journalistes fouinaient, ou que cela aurait pu leur apporter de la notoriété. Respect la famille, comme on dit. Une fois dedans, t’es protégé à vie. C’est beau non ?
D’autres parcours de ouf c’est aussi Chris Wysopal (Weld Pond) qui co-fonde Veracode, vendue 950 millions en 2017. Count Zero (John Lester) qui devient ponte chez Linden Lab (Second Life). Ou encore Window Snyder (proche du milieu) qui devient CSO d’Intel puis d’Apple. Leur influence est partout.
Dans les années 2000, le cDc se fait alors plus discret. Normal, les membres ont grandi, fondé des boîtes, rejoint le corporate ou le gouvernemental. Mais Hacktivismo continue : Six/Four System (2003, un proxy anti-censure dont le nom est une référence à Tiananmen), ScatterChat (2006, une messagerie chiffrée), campagne Goolag (2006) contre la complicité de Google avec la censure chinoise.
Et en août 2023, surprise totale : le cDc revient avec Veilid (prononcez “vay-lid”) à la DEF CON 31. Présenté par Katelyn “medus4” Bowden (membre depuis 2020, ex-CEO de BADASS) et DilDog. 3-4 ans de dev secret pour créer un logiciel qui fait “comme si Tor et IPFS avaient eu un bébé”.
Veilid - Le futur d’Internet selon le cDc
Veilid c’est donc leur réponse aux GAFAM : un framework pour créer des apps sans collecter AUCUNE donnée. Tout est chiffré, décentralisé, P2P, résistant à la NSA. Pas de nœuds de sortie comme Tor, des clés 256-bit et c’est développé en Rust. Et ça tourne sur tout : Linux, macOS, Windows, Android, iOS, et même le navigateur via WebAssembly !
Une fondation gère le truc et lance un premier projet : VeilidChat, une messagerie ultra-sécurisée. Après 40 ans à critiquer les failles, ils proposent enfin leur vision d’Internet : privé par design, résistant à la censure, hors de portée des gouvernements et autres corporations.
Ce qui est fou avec le cDc, c’est la continuité. Ces mecs ont 50-60 ans pour les plus vieux, mais ils continuent le combat en nous prouvant 41 ans après l’abattoir texan, que la surveillance de masse n’est pas une fatalité. J’ai un grand respect pour l’ensemble de leur œuvre.
Et le groupe continue de recruter. Admission par cooptation, faut avoir fait ses preuves et partager les valeurs et une fois dedans, on est membre à vie. Ils ont des réunions annuelles secrètes où anciens et nouveaux se retrouvent pour échanger, planifier, et sûrement boire des bières en se rappelant le bon vieux temps.
Ce que je remarque surtout c’est que l’héritage du cDc est partout. Chaque fois qu’Anonymous lance une op, qu’un dev chiffre par défaut, qu’un journaliste utilise SecureDrop, qu’un dissident utilise Signal, c’est l’esprit cDc qui survit. L’hacktivisme qu’ils ont inventé en 1996 est maintenant devenu mainstream. Il n’y a qu’à voir les actions contre la Russie depuis 2022 !
Leur leçon surtout c’est que le hacking ce n’est pas juste de la technique. C’est une posture éthique où chaque ligne de code est un acte politique. Et 41 ans plus tard, cette guerre fait rage plus que jamais… IA, metaverse, crypto, surveillance biométrique, 5G… on est en plein dedans et leur message n’a pas pris une ride : la technologie peut être un outil de libération, et il suffit de quelques personnes déterminées pour changer le monde. Ou comme ils disaient : “Bovine Freedom Through Digital Anarchy”. La liberté bovine par l’anarchie numérique. 🐄
Bref, vu comment ça part avec les IA qui aspirent tout, les gouvernements qui scannent nos messages “pour protéger les enfants”, et les GAFAM qui construisent leur dystopie, on a intérêt à écouter les vaches mortes. HACK THE PLANET!
Bon, la Belgique vient de péter un câble et de bloquer Internet Archive, Z-Library, LibGen et tous les sites qui osent prêter des livres gratuitement.
Le 15 juillet dernier, le tribunal de commerce de Bruxelles a pondu une ordonnance de blocage qui ferait pâlir les régimes autoritaires. Dans leur viseur : Anna’s Archive, Library Genesis, OceanofPDF, Z-Library et… tenez-vous bien… l’Open Library d’Internet Archive. Oui, ce projet créé par le regretté Aaron Swartz et Brewster Kahle, qui permet d’emprunter des livres numériques comme dans une vraie bibliothèque.
Le plus fou dans cette histoire, c’est que la décision a été prise ex parte, c’est-à-dire sans même entendre Internet Archive. Les éditeurs belges ont prétendu ne pas savoir qui gérait le site (alors que c’est une organisation américaine reconnue d’utilité publique) et hop, le juge a validé. Plus de 1500 œuvres de Dupuis, 5000 de Casterman… et apparemment ça justifie de bloquer l’accès à des millions de livres du domaine public.
Mais attendez, le délire ne s’arrête pas là. L’ordonnance ne se contente pas de demander aux FAI belges de bloquer ces sites. Non non, ils ont vu grand ! Google doit retirer les résultats de recherche, désactiver les pubs Google Ads, virer les apps du Play Store ET bloquer les requêtes DNS. Microsoft doit faire pareil avec Bing. Cloudflare, Amazon Web Services, GoDaddy, tous doivent couper l’hébergement ou suspendre les noms de domaine.
La liste des FAI concernés est hallucinante : Telenet, Proximus, Orange Belgium, Voo… et même Starlink d’Elon Musk ! PayPal Europe, Alipay, Cash App, tous doivent suspendre les paiements vers ces sites. C’est la première fois qu’on voit un ordre de blocage aussi large et agressif en Europe.
Alors comment on fait pour accéder à ces trésors de connaissance malgré la censure ? D’abord, allez faire un tour sur open-slum.org, le Shadow Library Uptime Monitor. C’est un dashboard qui vérifie en temps réel si Anna’s Archive, Sci-Hub, Z-Library et LibGen sont accessibles. Super pratique pour savoir si c’est votre connexion qui déconne ou si le site est vraiment down.
Pour contourner les blocages, ensuite vous avez plusieurs options. La plus simple c’est changer vos DNS. Au lieu d’utiliser ceux de votre FAI, passez sur 80.67.169.12 et 80.67.169.40 (FDN) ou 91.239.100.100 et 89.233.43.71 (Uncensored DNS) par exemple. Dans vos paramètres réseau, trouvez votre connexion, allez dans les propriétés IP et modifiez manuellement les serveurs DNS. Ça marche dans 90% des cas pour les blocages basiques.
Si votre FAI est plus vicieux et bloque le port 53 (celui du DNS classique), passez au DNS over HTTPS (DoH). Firefox et Chrome le supportent nativement. Dans Firefox : Paramètres > Général > Paramètres réseau > Activer le DNS via HTTPS. Choisissez Cloudflare ou un autre provider. Vos requêtes DNS seront chiffrées et passeront par le port HTTPS, impossible à bloquer sans couper tout internet.
L’option VPN reste la plus efficace et la plus simple pour l’utilisateur moyen. NordVPN(lien affilié) a des serveurs obfusqués qui masquent même le fait que vous utilisez un VPN, particulièrement utile face aux blocages DPI (Deep Packet Inspection). ExpressVPN, CyberGhost fonctionnent aussi bien depuis la Belgique. Connectez-vous à un serveur dans un pays voisin et vous retrouvez un internet libre. Bonus, le VPN a ses propres serveurs DNS, donc double protection contre les blocages.
Pour les plus paranos (ou les plus libres, c’est selon), y’a aussi Tor. Téléchargez le Tor Browser Bundle, décompressez, lancez, et vous contournez toute forme de censure. C’est plus lent qu’un VPN mais c’est gratuit et quasi impossible à bloquer. L’extension Tor Snowflake pour Chrome/Firefox peut aussi aider en transformant votre navigateur en proxy.
Un truc marrant c’est que pour l’instant, Open Library n’apparaît même pas sur la liste noire officielle du gouvernement belge. Seuls les domaines des quatre autres “sites pirates” y sont. Internet Archive a confirmé qu’ils n’ont remarqué aucune perturbation de leurs services. C’est le bordel typique d’une décision de justice bâclée.
Encore une fois, cette affaire montre à quel point la situation devient absurde. Des juges qui ne comprennent rien à internet ordonnent des blocages massifs sans entendre la défense. Des entreprises américaines légitimes se retrouvent assimilées à des sites pirates. Et pendant ce temps, les vrais pirates ont déjà 15 miroirs et changent de domaine toutes les semaines.
Le plus triste, c’est qu’Internet Archive fait un travail d’utilité publique en préservant le patrimoine numérique de l’humanité. Leur Open Library prête UN exemplaire numérique par livre physique possédé, exactement comme une bibliothèque normale, mais pour les éditeurs belges, apparemment, même ça c’est trop.
Heureusement, internet contourne la censure comme de l’eau autour d’un rocher et avec open-slum.org pour surveiller la disponibilité des bibliothèques libres et les techniques de contournement que je vous ai données, vous pouvez continuer à accéder au savoir. Dans un monde où la censure se démocratise, investir dans un VPN fiable n’est plus un luxe mais une nécessité pour préserver votre liberté d’accès à l’information.
Parce que la connaissance doit rester libre, peu importe ce qu’en pensent les ayants droit belges.
Vous ne le savez peut-être pas, mais un seul SMS invisible pourrait transformer votre iPhone ou Galaxy en brique inutile. Des chercheurs viennent de découvrir comment et franchement, ça fait froid dans le dos.
Imaginez… vous êtes tranquillement en train de scroller sur votre téléphone quand soudain, plus rien. Plus de réseau, plus d’appels, plus de data. Votre smartphone devient aussi utile qu’un presse-papier hors de prix. Et bien c’est exactement ce que des chercheurs du KAIST (Korea Advanced Institute of Science and Technology) ont réussi à faire avec un seul paquet de données malveillant. Ils appellent ça le “packet of death”, et ce n’est pas pour rien.
L’équipe du professeur Yongdae Kim a développé un outil baptisé LLFuzz (Lower Layer Fuzzer) pour tester la sécurité des couches basses des modems de smartphones. Et ce qu’ils ont trouvé, c’est une faille béante dans l’architecture même de nos téléphones. Le problème ? Les couches inférieures du protocole de communication (RLC, MAC, PDCP, PHY pour les intimes) ne sont ni chiffrées ni authentifiées. En gros, n’importe qui avec le bon équipement peut envoyer des signaux arbitraires à votre téléphone.
Pour démontrer la gravité du problème, les chercheurs ont fait une démo qui donne des sueurs froides. Avec un simple ordinateur portable et un dispositif SDR (Software Defined Radio) à quelques centaines d’euros, ils ont généré un paquet MAC malformé et l’ont envoyé vers des smartphones commerciaux. Résultat, un crash instantané du modem. Game over.
Le plus inquiétant, c’est l’ampleur des dégâts car l’équipe a testé 15 smartphones de grandes marques : Apple, Samsung, Google, Xiaomi. Bilan : 9 vulnérabilités découvertes, dont 7 ont reçu des numéros CVE officiels. Chez Qualcomm, c’est plus de 90 chipsets qui sont touchés. MediaTek ? 80 chipsets dans le viseur. Samsung et Apple ne sont pas épargnés non plus.
Il faut comprendre que le modem de votre smartphone, c’est un peu comme le moteur de votre voiture. Il gère toutes les communications cellulaires : appels, SMS, data. Quand il reçoit un paquet malformé qu’il ne sait pas gérer, il plante. Et quand le modem plante, votre téléphone perd toute capacité de communication. Vous pouvez toujours jouer à Candy Crush en local, mais c’est à peu près tout.
Ce qui rend cette attaque particulièrement vicieuse, c’est qu’elle peut être lancée à distance. Pas besoin d’avoir accès physique au téléphone. Un attaquant dans la même cellule réseau (quelques kilomètres de rayon) peut théoriquement paralyser tous les smartphones vulnérables d’un coup. Imaginez ça dans un stade, un centre commercial ou un quartier d’affaires.
Les chercheurs ont identifié plusieurs types de bugs. Par exemple, le bug B2 chez Qualcomm se déclenche quand le baseband reçoit un message RAR (Random Access Response) contenant uniquement des en-têtes sans charge utile. Le bug B4 chez MediaTek ? Une valeur zéro dans le champ de longueur d’un sous-en-tête MAC, et boom. C’est d’une simplicité déconcertante.
Le plus ironique dans tout ça, c’est que ces vulnérabilités existent parce que les fabricants ont fait confiance aux spécifications 3GPP sans vraiment tester les cas limites. Genre “que se passe-t-il si on envoie un paquet de 1 octet alors qu’on en attend minimum 6 ?”.
Réponse : ça plante.
Heureusement, les fabricants ont été prévenus et des patchs sont en cours de déploiement. Qualcomm a déjà corrigé CVE-2025-21477 et CVE-2024-23385. MediaTek a patché CVE-2024-20076, CVE-2024-20077 et CVE-2025-20659. Mais combien de smartphones dans la nature ne recevront jamais ces mises à jour ? On connaît tous la réponse.
Et l’équipe ne s’est pas arrêtée à la 4G. Ils ont aussi testé la 5G et trouvé deux nouvelles vulnérabilités en seulement deux semaines. Autant dire que le problème est loin d’être résolu. D’ailleurs, ils prévoient de publier LLFuzz en open source pour que d’autres chercheurs puissent continuer le travail.
En attendant que tout soit patché (si jamais ça l’est complètement), que pouvez-vous faire ? Et bien pas grand-chose malheureusement. Installer les mises à jour dès qu’elles sont disponibles, évidemment, mais au-delà de ça, on est tous à la merci de cette vulnérabilité….
Bref, plus c’est sophistiqué, plus il y a de chances qu’un petit bug quelque part fasse tout s’écrouler. Sympa, non ?
Si vous êtes du genre à penser que les hackers sont tous des génies de l’informatique avec des configs de malade, j’ai une histoire qui va vous faire changer d’avis : Celle de Marcel Lazăr Lehel, alias Guccifer. Ce nom ne vous dit peut-être rien, mais ce chauffeur de taxi roumain au chômage a littéralement changé le cours de l’histoire politique américaine.
Sans lui, on n’aurait jamais su qu’Hillary Clinton utilisait un serveur mail privé et il n’y aurait donc pas eu de “scandale des emails” qui lui a probablement coûté l’élection présidentielle de 2016. Et tout ça avec un équipement qui ferait rire un gamin de 12 ans aujourd’hui.
Marcel Lazăr Lehel naît le 23 novembre 1971 dans un petit village roumain près d’Arad, en Transylvanie. Pas exactement le berceau qu’on imaginerait pour celui qui allait devenir l’un des hackers les plus influents de l’histoire moderne. D’origine roumaine et hongroise, Marcel grandit dans la petite commune de Sâmbăteni, un bled perdu dans la campagne de l’ouest d’Arad. Le genre d’endroit où, selon ses propres mots, “tout le monde passe à toute vitesse, personne ne s’arrête jamais”. Ambiance garantie.
À l’époque, la Roumanie sort tout juste de l’ère Ceaușescu. Le pays se débat avec la transition post-communiste, l’économie est en miettes, et les opportunités d’emploi se comptent sur les doigts d’une main. Pour un gamin comme Marcel, pas très sociable et qui a du mal à s’intégrer, l’avenir semble plutôt bouché. “Je ne sortais presque jamais”, racontera-t-il plus tard. Un vrai geek avant l’heure, sauf qu’il n’avait même pas d’ordinateur.
Marcel et sa femme Gabriela ne dépasseront jamais le niveau lycée et ils enchaînent les petits boulots : usines, magasins, emplois précaires. Avant son arrestation en 2014, Marcel était au chômage depuis plus d’un an. Avant ça, il avait été chauffeur de taxi et vendeur de peinture. Jamais un seul job en rapport avec l’informatique. Y’a de quoi se poser des questions non ? Le mec qui va faire trembler le gouvernement américain n’avait jamais touché un clavier de sa vie professionnelle.
Marcel Lazăr Lehel alias Guccifer
Mais Marcel a quelque chose que beaucoup n’ont pas : il est polyglotte. Il parle couramment roumain, hongrois et anglais. Il lit énormément, il a l’esprit vif, mais socialement, c’est un inadapté total. Un type intelligent coincé dans un environnement qui ne lui offre aucune perspective. Un mélange explosif !
Vers 2010, Marcel découvre l’informatique. Il a déjà 39 ans et c’est pas vraiment l’âge où on devient hacker d’habitude. Et c’est pas dans une école d’ingénieurs ou lors d’un stage en entreprise qu’il fait ses premières armes. Non, tout seul, par ennui et par curiosité. Il n’a qu’un vieux PC de bureau NEC tout pourri et un Samsung à clapet. Pas de formation, pas de mentor, juste Internet et sa débrouillardise. Il apprend alors les bases en autodidacte, comme on apprend à bricoler dans son garage, sauf que lui, au lieu de réparer des mobylettes, il va démonter la sécurité informatique mondiale.
Sa première incursion dans le hacking est presque accidentelle. En fin 2010, par pure curiosité et ennui, il commence à farfouiller dans les comptes de célébrités roumaines. Et là, surprise, c’est ridiculement facile. Pas besoin d’être un génie en cryptographie ou de connaître des failles zero-day. Il suffit de chercher des infos sur ses cibles sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. “J’utilisais Wikipedia et des listes de noms d’animaux populaires”, expliquera-t-il. Du social engineering niveau débutant, mais ça marche.
En 2011, sous le pseudonyme “Micul Fum” (Petite Fumée), il hacke les comptes email et Facebook de plusieurs célébrités roumaines : acteurs, footballeurs, présentateurs TV. Il va même jusqu’à pirater George Maior, le patron des services secrets roumains. Pas mal pour un amateur ! Et il publie leurs correspondances privées sur Internet, sans vraiment de but précis à part la notoriété. Pour la petite histoire, le nom “Micul Fum” vient des livres de Carlos Castaneda et fait référence à une drogue psychédélique.
Marcel habitude un village près d’Arad en Roumanie
Les autorités roumaines ne mettent pas longtemps à remonter jusqu’à lui et en 2011, il est arrêté et condamné à trois ans de prison avec sursis. Vous vous dites alos qu’il a eu de la chance ? Que ça aurait dû le calmer ? Et bien PAS DU TOUT ! Cette première expérience ne fait que l’encourager. Il a découvert qu’avec un peu de patience et de malice, on peut accéder aux secrets des puissants et Marcel a du temps à revendre. Chômeur, vous vous souvenez ?
En 2012, Marcel change de vitesse. Fini les petites célébrités roumaines. Il se forge une nouvelle identité : Guccifer, un mélange de “Gucci” et “Lucifer”. “Le style de Gucci et la lumière de Lucifer”, explique-t-il. Toujours aussi mégalo, mais maintenant il vise l’élite mondiale. Et c’est là où c’est fun.
Sa première cible américaine est Dorothy Bush Koch, la sœur de George W. Bush. En février 2013, il hacke son compte AOL (oui, AOL existait encore) et balance sur Internet des photos privées de la famille Bush. Il découvre aussi des autoportraits peints par George W. Bush lui-même. Des tableaux où l’ancien président se représente sous la douche, de dos, vulnérable. L’ancien leader du monde libre qui joue les artistes torturés dans son temps libre, c’était surréaliste.
Bush racontera plus tard : “J’étais agacé. C’est une intrusion dans ma vie privée.” Pauvre petit chou…. Mais le vrai coup de maître arrive le 20 mars 2013. Marcel réussit à pirater le compte email de Sidney Blumenthal, ancien conseiller de Bill Clinton et ami proche d’Hillary. Pour ça, il a d’abord hacké Corina Crețu, une politicienne roumaine qui correspondait avec lui. La question de sécurité de Crețu ? Le nom de la rue où elle avait grandi. Marcel l’a trouvé en 30 secondes sur Google. Et là, c’est jackpot total !
Il découvre alors des memos privés que Blumenthal envoie à Hillary Clinton sur sa boîte mail personnelle : [email protected]. Ces emails traitent de l’attaque de Benghazi du 11 septembre 2012 et d’autres sujets libyens ultra-sensibles. Marcel les publie en ligne, et BOUM ! C’est la première fois que le public découvre qu’Hillary Clinton utilise un serveur mail privé pour ses communications officielles en tant que Secrétaire d’État. Le scandale qui va empoisonner sa campagne présidentielle de 2016 vient de naître.
Vous imaginez ? Un chauffeur de taxi au chômage dans un bled roumain vient de déclencher l’un des plus gros scandales politiques de la décennie américaine. Sans le savoir, sans même le vouloir vraiment. Il cherchait juste à faire parler de lui. “J’avais l’habitude de lire ses memos pendant six ou sept heures, puis j’allais faire du jardinage”, racontera-t-il plus tard avec un détachement déconcertant.
La méthode de Marcel est d’une simplicité désarmante. Il n’utilise aucun exploit sophistiqué, aucun malware, aucune technique de social engineering avancée. Sa stratégie c’est de googler ses cibles, éplucher leurs profils sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. Date de naissance ? Sur Facebook. Nom de jeune fille de la mère ? Dans un vieil article de journal. Animal de compagnie ? Sur Instagram. C’est con mais ça marche.
Pour hacker Colin Powell, par exemple, Marcel a passé six mois à essayer différentes combinaisons. Six mois ! Le mot de passe était basé sur le nom de famille de la grand-mère de Powell. Il a d’abord visé Corina Crețu pour avoir accès à leurs échanges et une fois dans son compte, il a eu accès à des années de correspondance entre Powell et d’autres pontes américains : George Tenet (ex-patron de la CIA), Richard Armitage, John Negroponte. Des infos financières personnelles, des discussions stratégiques, tout y était.
Marcel cible aussi la sénatrice Lisa Murkowski, des membres de la famille Rockefeller, des anciens agents du FBI et des Services Secrets, le frère de Barbara Bush, le journaliste sportif Jim Nantz, et même Patricia Legere, ancienne Miss Maine. Il hacke aussi Tina Brown (une journaliste célèbre), Candace Bushnell (créatrice de Sex and the City) et Jeffrey Tambor (acteur). Un portfolio de victimes complètement hétéroclite, comme s’il choisissait au hasard en fonction de ses humeurs. Au total, plus de 100 victimes.
Mais Marcel n’est pas qu’un simple pirate informatique. C’est aussi un conspirationniste de première. Dans ses communications avec les médias, il balance des théories farfelues sur les Illuminati, le 11 septembre, la mort de Lady Diana, et même une supposée attaque nucléaire prévue à Chicago en 2015. Pour lui, le monde est dirigé par une cabale secrète, et ses hackings sont un moyen de révéler la vérité au grand jour. Il décrit même Hillary Clinton comme “une des grandes prêtresses d’un groupe satanique caché aux yeux du monde”. Rien que ça.
Le 22 janvier 2014, à 6h du matin, la police roumaine débarque chez Marcel à Sâmbăteni. Il a alors 42 ans, il est au chômage, et sa petite vie de hacker touche à sa fin. L’agence roumaine DIICOT (Direction d’enquête des infractions de criminalité organisée et terrorisme) l’arrête dans sa maison familiale. Finies les journées à siroter du café en hackant l’élite mondiale depuis son salon.
Un détail poignant, quand les flics arrivent, Marcel détruit son disque dur à coups de hache dans le jardin. Sa femme Gabriela garde encore aujourd’hui le clavier de son ordinateur. Les lettres étaient tellement usées qu’elle les avait réécrites avec son vernis à ongles orange. Ce clavier, c’est donc tout ce qui reste de l’empire numérique de Guccifer.
En 2014, un tribunal roumain le condamne à quatre ans de prison pour avoir accédé aux comptes email de personnalités publiques “dans le but d’obtenir des données confidentielles” et pendant ce temps, les États-Unis préparent leur riposte. Et ils ne sont pas contents du tout.
Le 12 juin 2014, un grand jury fédéral américain inculpe Marcel de neuf chefs d’accusation. Trois pour fraude électronique, trois pour accès non autorisé à des ordinateurs protégés, et un pour chacun des délits suivants : vol d’identité aggravé, cyberharcèlement et entrave à la justice. Les Américains le veulent, et ils sont déterminés à l’avoir.
Pendant qu’il purge sa peine en Roumanie, Marcel continue à faire parler de lui. En mars 2015, depuis sa cellule de la prison d’Arad, il accorde une interview exclusive à Pando Daily. Et là, il lâche ses meilleures punchlines notamment sur sa routine quotidienne. Il explique tranquillement par exemple comment il alternait entre espionnage de haut niveau et jardinage. Le mec vivait sa meilleure vie de retraité tout en déstabilisant la politique mondiale.
Marcel était obsédé par les Illuminati et les théories du complot
Cette déclaration montre surtout l’état d’esprit du personnage car pour lui, pirater les communications de la future candidate démocrate à la présidentielle, c’était juste un passe-temps entre deux corvées domestiques. Rien de plus banal. “Je ne piratais pas Hillary Clinton, je piratais Illuminati”, précise-t-il. Logique imparable.
En avril 2016, c’est alors le moment que Marcel redoutait : il est extradé vers les États-Unis pour y être jugé. Il y reste temporairement et retourne dans son pays pour finir sa peine Roumaine. Puis en novembre 2018, il est ré-extradé, cette fois pour purger sa peine américaine. Fini le système pénitentiaire roumain relativement clément, direction les prisons fédérales américaines. Il atterrit en Virginie pour faire face à la justice américaine.
Mais Marcel, fidèle à lui-même, ne peut pas s’empêcher d’en rajouter. En mai 2016, un mois après son extradition, il déclare à Fox News qu’il a non seulement hacké les emails d’Hillary via Sidney Blumenthal, mais qu’il a aussi piraté directement son serveur privé. “C’était facile… facile pour moi, pour tout le monde”, affirme-t-il. “Le serveur était comme une orchidée ouverte sur Internet.”
Le problème c’est que Marcel ne fournit aucune preuve de ces allégations. Les enquêteurs américains fouillent, cherchent, analysent, mais ne trouvent aucune trace d’une intrusion directe sur le serveur d’Hillary. Plus tard, lors d’une audition au Congrès, le directeur du FBI James Comey révélera que Guccifer a admis avoir menti sur cette prétendue intrusion. Marcel reconnaîtra lui-même : “J’ai menti un peu…”
Alors pourquoi mentir ? Peut-être pour négocier sa peine, peut-être par mégalomanie, ou peut-être juste pour continuer à faire parler de lui ? Marcel a toujours eu un rapport compliqué avec la vérité et la réalité. Dans sa tête, il menait une croisade contre les forces du mal alors que dans la vraie vie, il était juste un branleur avec trop de temps libre.
En mai 2016, Marcel Lehel Lazăr plaide alors coupable devant un juge fédéral d’Alexandria, en Virginie, pour vol d’identité et accès non autorisé à des ordinateurs protégés. Il évite ainsi un procès qui aurait pu lui coûter beaucoup plus cher.
Et le 1er septembre 2016, verdict : 52 mois de prison fédérale. Quatre ans et quatre mois pour avoir bouleversé la politique américaine depuis son vieux PC. Quand on y pense, c’est dérisoire comparé à l’impact de ses actions car sans lui, Hillary Clinton aurait peut-être été présidente ? Qui sait ?
Marcel purge alors sa peine à la Federal Correctional Institution Schuylkill en Pennsylvanie (niveau de sécurité moyen), puis dans une prison de sécurité minimale. Et là, c’est le calvaire. “Un endroit terrible”, décrira-t-il plus tard à propos du FCI Schuylkill. Il prétend avoir été régulièrement privé de soins médicaux et dit avoir perdu beaucoup de ses dents pendant ses quatre années d’incarcération. C’est le système pénitentiaire américain, version hard.
Pendant ce temps, sa famille souffre aussi. Sa fille Alexandra est harcelée à l’école. “Les enfants lui demandent pourquoi son papa est en prison”, raconte un proche. Et sa femme Gabriela doit gérer seule le quotidien. C’est la rançon de la gloire pour la famille Lehel.
En août 2021, après plus de quatre ans derrière les barreaux américains, Marcel Lazăr Lehel sort enfin de prison. Il a 51 ans, il est cassé physiquement et mentalement, mais il est libre. Direction Arad, sa ville natale en Transylvanie.
Et en janvier 2023, pour la première fois depuis sa libération, Marcel accepte de parler. Dans une série d’interviews téléphoniques avec The Intercept, il se livre sur sa nouvelle vie et sur l’étrange héritage qu’il a laissé derrière lui.
“C’est comme une expérience de sortie de corps, comme si ce mec Guccifer était quelqu’un d’autre”, confie-t-il. “En ce moment, ayant ce temps libre, j’essaie juste de comprendre ce que cet autre moi faisait y’a 10 ans.” Cette phrase résume bien l’état d’esprit de Marcel aujourd’hui. Il semble sincèrement déconnecté de son persona de hacker, comme s’il avait du mal à croire que c’est bien lui qui a fait tout ça.
“Je ne me sens pas à l’aise en parlant de moi”, avoue-t-il à son interlocuteur. Sur l’impact de ses actions, Marcel reste également modeste… enfin, presque. “J’étais inspiré par le nom, au moins”, dit-il, “parce que tout mon projet Guccifer était, après tout, un échec.” Mais quand le journaliste évoque son influence sur le hacking moderne, sa modestie glisse légèrement. Il dit : “Je suis sûr, à ma façon humble, que j’ai été quelqu’un qui ouvre de nouvelles routes.”
Et il n’a pas tort car Guccifer a prouvé qu’on n’a pas besoin d’être un génie en informatique pour faire tomber les puissants. Sa méthode artisanale (Google, patience, et déduction logique) a inspiré toute une génération de hackers amateurs. “C’est pas de la programmation informatique”, précise-t-il, “je ne sais pas programmer. C’est avoir l’intuition de pouvoir deviner.”
Marcel vit aujourd’hui une existence discrète à Arad et refuse d’entrer dans les détails de sa vie actuelle, probablement par peur de représailles ou simplement par lassitude. L’homme qui a fait trembler Washington préfère maintenant l’anonymat et il cherche encore du travail, surtout qu’avec son CV, c’est pas gagné.
Mais l’histoire de Guccifer ne s’arrête pas là. Son nom a inspiré d’autres hackers, notamment le mystérieux “Guccifer 2.0” qui a piraté le Parti démocrate américain en 2016… Mais ça c’est une autre histoire que je vous raconterai bientôt.
En tout cas, Marcel n’a jamais vraiment compris l’ampleur de ce qu’il avait déclenché. Pour lui, pirater Sidney Blumenthal était juste un hack de plus dans sa collection et il ne savait pas qu’il était en train de révéler les secrets les mieux gardés de la politique américaine. Il avait même trouvé une archive de 30 GB avec des documents confidentiels sur la Palestine, mais il s’en foutait. C’est Hillary qui l’intéressait.
Bref, la prochaine fois que vous vous connecterez à votre boite mail et que vous répondrez à une question de sécurité, ou que vous partagerez des infos personnelles sur les réseaux sociaux, pensez à Marcel, surtout si votre question de sécurité c’est le nom de votre premier animal de compagnie et que vous avez posté 50 photos de Médor sur Instagram…
J’ai reçu ce matin un email de Mozilla qui tire la sonnette d’alarme !! Une vague de phishing cible actuellement les développeurs Firefox, donc si vous avez reçu un email vous demandant de “mettre à jour votre compte Add-ons”, méfiance !
En effet, Mozilla vient de détecter une campagne de phishing assez vicieuse qui s’en prend spécifiquement aux développeurs d’extensions Firefox. Les pirates envoient des emails frauduleux en se faisant passer pour Mozilla, avec un message du style “Votre compte Mozilla Add-ons nécessite une mise à jour pour continuer à accéder aux fonctionnalités développeur”.
Sauf que non, Mozilla n’a jamais envoyé ce genre d’email et ce qui est vicieux dans cette histoire, c’est que les attaquants changent régulièrement leur message pour contourner les avertissements. Donc voilà, même si Mozilla prévient sur un type de message, il faut rester vigilant car le suivant pourrait être différent.
Pour vous protéger, Mozilla recommande plusieurs trucs assez basiques mais efficaces. Déjà, ne cliquez sur aucun lien dans les emails suspects. Ensuite, vérifiez toujours que l’expéditeur utilise bien un domaine Mozilla officiel qui est firefox.com, mozilla.org, mozilla.com ou leurs sous-domaines. Pas de mozilla-addons.net ou autres variantes bizarres !
Un autre point important aussi, vérifiez que l’email passe bien les contrôles SPF, DKIM et DMARC. Ces protocoles permettent de valider l’authenticité de l’expéditeur. Heureusement, la plupart des clients mail modernes affichent ces infos quelque part dans les détails du message.
Et surtout, règle d’or, ne saisissez jamais vos identifiants Mozilla ailleurs que sur mozilla.org ou firefox.com. Si un lien dans un email vous tente fortement, tapez manuellement l’URL dans votre navigateur ou un moteur de recherche plutôt que de cliquer. Ça évite les redirections malveillantes.
Cette campagne de phishing arrive dans un contexte où la sécurité des extensions Firefox est déjà sous tension car en juillet, plus de 40 extensions malveillantes ont été découvertes sur le store Firefox. Ces fausses extensions se faisaient passer pour des wallets crypto populaires (Coinbase, MetaMask, Trust Wallet…) et volaient les secrets des utilisateurs.
Les pirates utilisaient même des centaines de faux avis 5 étoiles pour paraître légitimes, c’est pourquoi dace à ces menaces, Mozilla a développé un système de détection précoce pour bloquer les extensions frauduleuses avant qu’elles ne deviennent populaires. Mais bon, ça reste un jeu du chat et de la souris avec les attaquants.
Cette nouvelle attaque montre bien que les développeurs sont des cibles de choix pour les pirates car avec un compte développeur compromis, les attaquants peuvent potentiellement publier des mises à jour malveillantes d’extensions légitimes et toucher des milliers d’utilisateurs. Raison de plus donc pour rester parano sur la sécurité de vos comptes !
Alors si comme moi, vous êtes développeur d’extensions Firefox, restez sur vos gardes car la prudence reste votre meilleure défense contre ces attaques de phishing de plus en plus sophistiquées.
Avec tout ce que vous avez lu jusqu’à présent dans ma série de l’été, vous connaissez maintenant toutes ces histoires de hackers qui finissent mal. Mais celle de Max Butler, c’est le niveau au-dessus.
1987, Idaho… un gamin de 15 ans bidouille son premier modem 2400 bauds dans le garage de son père, un vétéran du Vietnam qui tient une boutique informatique. 20 ans plus tard, ce même gosse contrôlera le plus gros empire de cartes de crédit volées de la planète avant de diriger un réseau de contrebande par drone… depuis sa cellule de prison.
Max Ray Butler, alias Iceman, alias Max Vision. Un nom qui fait encore frissonner les vieux de la vieille de la cybersécurité. J’ai épluché son histoire dans le livre “Kingpin” de Kevin Poulsen, et c’est du pur concentré de folie technologique. Le mec a réussi à être à la fois consultant du FBI et un gros poisson de l’underground criminel. Genre Docteur Jekyll et Mister Hyde version Silicon Valley, et en vraiment plus chelou. Il faut avant tout savoir que Butler était diagnostiqué bipolaire. Kevin Poulsen le décrit comme oscillant entre des états de calme absolu et ce qu’il appelle le “full-bore insane” (totalement déjanté quoi). Un génie technique doublé d’un inadapté social qui changeait de personnalité comme de chemise…
Du coup, vous voulez comprendre comment on passe de white hat respecté à empereur des carders ? Attachez-vous, parce que l’histoire de Max Butler, c’est 30 ans d’évolution du hacking condensés dans une seule existence totalement barrée.
Max Ray Butler débarque sur Terre en 1972 à Meridian dans l’Idaho. Papa possède un magasin d’informatique à Boise, maman tient la maison. Dans les années 80, avoir un père dans l’informatique en Idaho, c’était exactement comme grandir dans une chocolaterie quand t’es gosse. Max baigne dedans dès le plus jeune âge, et forcément, ça marque.
Le drame arrive quand il a 14 ans : ses parents divorcent. Pour un ado déjà introverti et passionné par les machines, c’est le tsunami émotionnel. Max reste avec sa mère mais la relation avec son père se complique sérieusement. C’est là que les bulletin board systems entrent en scène. Les BBS, pour ceux qui ont connu, c’était vraiment le Far West numérique. Pas d’Internet grand public, juste des modems qui appelaient d’autres modems à coup de tonalités stridentes.
Et Max découvre cette communauté underground où les gamins s’échangent des codes, des techniques de phreaking (piratage téléphonique façon Captain Crunch), et surtout cette sensation grisante d’appartenir à une élite technique et à 17 ans, l’ado maîtrise déjà des techniques que des informaticiens professionnels ne connaissent même pas.
Mais Max a un problème : son caractère explosif. En 1991, pendant sa première année à Boise State University, lui et un pote hackent le réseau local pour rigoler. Ils s’amusent à échanger des emails depuis les boîtes mail des profs, juste pour le fun. Sauf que la même année, une histoire de cœur tourne mal. Sa copine le largue pour un autre et Max pète totalement un plomb ! Il menace de la tuer, et tente même de la renverser avec sa voiture.
Le tribunal l’interdit alors de l’approcher mais il viole l’interdiction comme un couillon. Il se fait même pincer en train de voler des produits chimiques dans le labo du lycée avec des potes, alors qu’il est déjà expulsé de Meridian High School pour ça d’ailleurs. Résultat, des condamnations pour agression, pour cambriolage et pour vol. 5 ans de prison ferme. Boom.
Et en taule, Max ne reste pas inactif. Il lance un magazine cyberpunk appelé “Maximum Vision” qu’il imprime et distribue aux autres détenus et c’est là qu’il commence à développer cette double identité qui le suivra toute sa vie : le technicien brillant / l’inadapté social complet. Le magazine lui plaît tellement qu’à sa libération en avril 1995, il change officiellement de nom. Max Ray Butler devient alors Max Ray Vision. Nouvelle identité, nouveau départ. Enfin, c’est ce qu’il croit.
Max lorsqu’il était en prison - Photo améliorée par IA
De 1995 à 2001 ce sont les plus belles années de Max. Il déménage près de Seattle, décroche des boulots techniques, épouse Kimi Winters (ils divorceront en 2002 à Santa Clara), s’installe à Berkeley et Max Vision devient peu à peu une célébrité du milieu sécurité informatique. Le mec est partout, on le respecte, on l’écoute.
Il crée arachNIDS (advanced reference archive of current heuristics for network intrusion detection systems), une base de données open source de signatures d’attaques pour Snort, le système de détection d’intrusion le plus utilisé au monde. C’est un travail de titan, mis à jour toutes les heures, et très respecté par toute la communauté white hat. Max collabore aussi avec le FBI, écrit des analyses sur les virus et autres vers, contribue au Honeynet Project…etc. Bref, dans le milieu, on le considère comme un expert en détection d’intrusion.
Mais en 1998, Max commet l’erreur fatale. Il découvre une faille dans BIND, le serveur DNS le plus utilisé au monde. Il veut alors corriger la faille sur les serveurs gouvernementaux avant qu’elle ne soit exploitée par des méchants. C’est une noble intention, sauf qu’il installe une backdoor pour vérifier ses corrections du style “je répare votre porte mais je garde un double des clés, c’est pour votre bien” et évidemment, ce qui devait arriver, arrive… L’Air Force découvre le pot aux roses et le FBI débarque chez lui.
Et là, Max découvre la vraie nature de ses “amis” du Bureau. Ils lui proposent un marché : devenir indic infiltré ou aller en prison. Max accepte d’abord, et commence à bosser pour eux mais quand ils lui demandent de porter un micro pour piéger un collègue qu’il respecte… il refuse net. Le FBI ne rigole plus du tout et en septembre 2000, Max plaide coupable d’intrusion dans les systèmes du Département de la Défense et se prend 18 mois de prison fédérale. Le white hat prodige vient de comprendre que dans ce milieu, la loyauté ne va que dans un sens.
Mai 2001, Max sort de prison et le monde a changé. La bulle internet a explosé, le 11 septembre est passé et la paranoïa sécuritaire est partout. Pour un ex-détenu, même avec ses compétences de malade, trouver du boulot relève du parcours du combattant. “J’étais SDF, je dormais sur le canapé d’un pote. Je n’arrivais pas à trouver de travail”, racontera-t-il plus tard. Le gars qui conseillait le FBI 3 ans plus tôt se retrouve alors à compter ses derniers dollars.
La descente aux enfers peut alors vraiment commencer.
Max croise la route de Chris Aragon via William Normington, un fraudeur rencontré en taule. Aragon, c’est un ancien braqueur de banques avec des condamnations juvéniles, le genre de mec qui ne fait pas dans la dentelle et ensemble, ils montent un système d’exploitation de réseaux WiFi non protégés. En 2003, le WiFi explose mais la sécurité ne suit pas du tout, ce qui donne l’idée à Max et Chris de se balader dans San Francisco avec des antennes paraboliques haute puissance, de s’installer dans des chambres d’hôtel aux derniers étages, et d’intercepter absolument tout ce qui passe.
Leur technique est diabolique : ils scannent les réseaux vulnérables, s’introduisent dans les systèmes, installent des malwares. Max modifie même le Trojan Bifrost pour qu’il échappe aux antivirus et il teste ses modifications sur des machines virtuelles VMware avec différents antivirus jusqu’à obtenir la furtivité totale.
Et quand ils découvrent la faille RealVNC c’est le jackpot ! Pour info, VNC (Virtual Network Console) équipe à l’époque pas mal de terminaux de paiement de milliers de petits commerces, surtout les restaurants. Max scanne méthodiquement Internet, trouve les instances vulnérables, et récupère directement les données de cartes de crédit sur les terminaux. Kevin Poulsen raconte : “Il a réalisé que le PC agissait comme système backend pour les terminaux de point de vente du restaurant. Il collectait les transactions de cartes de crédit du jour et les envoyait en un seul lot chaque nuit au processeur de paiement. Max a trouvé le lot du jour stocké comme fichier texte brut, avec la bande magnétique complète de chaque carte client enregistrée à l’intérieur.”
Iceman vient de naître. Et il a faim.
Juin 2005, Max lance CardersMarket.com, un forum dédié au trafic de données bancaires. Le carding (fraude aux cartes) explose depuis que l’e-commerce s’est démocratisé mais le milieu reste fragmenté : 4 gros forums se partagent le marché avec leurs querelles d’ego et leurs inefficacités. Max observe, analyse, planifie. Il a une vision industrielle là où les autres restent artisanaux.
Max voulait initialement appeler son forum “Sherwood Forest” parce qu’il se voyait comme un Robin des Bois moderne mais Chris Aragon, plus pragmatique, insiste pour “CardersMarket” car il faut attirer les criminels, pas les romantiques. Pendant 2 ans, Max constitue alors tranquillement sa base d’utilisateurs, étudie les méthodes de ses concurrents, identifie leurs failles. Et surtout, il prépare le coup du siècle.
Août 2006 : Max passe à l’acte. En 48 heures chrono, il exécute ce que l’histoire du cybercrime retiendra comme la première OPA hostile de l’underground. Il hacke simultanément les 4 plus gros forums de carding, TalkCash, TheVouched, DarkMarket, ScandinavianCarding. La technique est chirurgicale : extraction complète des bases d’utilisateurs, récupération des historiques de conversations, destruction des données sur les serveurs d’origine, migration de tout vers CardersMarket.
Puis il envoie un email à tous les utilisateurs : “Il n’y a plus qu’un seul forum pour les carders : CardersMarket.com. Signé, Iceman.” Du jour au lendemain, Max contrôle 6000 utilisateurs et devient le monopole mondial du trafic de cartes volées. Les anciens admins des forums rivaux peuvent toujours pleurer, leurs membres ont migré chez Iceman.
Et le business model est totalement rôdé. Max vend les “dumps” (numéros de cartes volées) à des revendeurs et Chris Aragon gère la partie physique : il achète des cartes vierges et une machine d’encodage magnétique, produit les fausses cartes. Il emploie 5 femmes pour faire du shopping dans les magasins de luxe d’Orange County et sa propre femme revend la marchandise sur eBay avec une légère réduction. Les “mules” touchent 30% de la valeur en chèques. Le blanchiment est parfait, industrialisé, efficace.
Les complices de Max. En haut à gauche, Chris Aragon.
En 2 ans, CardersMarket écoulera comme ça 2 millions de numéros de cartes pour un préjudice de 86 millions de dollars. Max prend sa commission sur chaque transaction. Iceman règne sur un empire que même les cartels traditionnels envient. Consultant en sécurité le jour, empereur du carding la nuit. La schizophrénie professionnelle à son paroxysme.
Mais dans l’ombre, le FBI prépare sa revanche. Depuis des mois, l’agent Keith Mularski s’est infiltré dans DarkMarket sous le pseudo “Master Splyntr” et ce mec est vraiment une machine cumulant 18 heures par jour en ligne. Il devient alors admin du forum et gagne la confiance de tous. A l’époque, l’Operation Firewall (2003-2004) a déjà fait tomber 28 carders et permis de récupérer 1,7 million de numéros de CB mais Mularski veut du plus gros gibier.
Alors quand Max hacke DarkMarket, Mularski récupère discrètement des informations sur Iceman. Le gros atout de Max, c’est sa paranoïa car il a identifié Mularski comme un flic, et a même tracé son IP jusqu’au National Cyber-Forensics & Training Alliance de Pittsburgh. Il prévient alors les autres membres du forum mais personne ne le croit car plusieurs fois avant, il avait accusé faussement d’autres membres d’être de la police. Dans un milieu où tout le monde suspecte tout le monde d’être un flic, un ripou ou un indic, Max passe juste pour un parano de plus.
Mularski collecte alors patiemment des tas d’infos : adresses IP, habitudes de connexion, corrélations avec d’autres pseudos… et l’étau se resserre doucement mais sûrement. Pendant ce temps, Max vit dans son “Hungry Manor”, une baraque louée à Half Moon Bay avec d’autres geeks et il ne se doute de rien.
Puis le 5 septembre 2007, à San Francisco, Max Butler sort de chez lui et tombe sur une armée d’agents du FBI. Arrêté, menotté, embarqué, l’empereur des carders vient de tomber. Au moment de son arrestation, CardersMarket traitait plus de transactions frauduleuses que n’importe quelle place de marché légale de l’époque car Max avait industrialisé le crime comme personne avant lui.
Et le procès qui suit ne fait pas dans le mystère. Avec 2 millions de cartes volées et 86 millions de dégâts prouvés, les preuves s’accumulent comme une avalanche et Max plaide coupable de 2 chefs d’accusation de fraude électronique. C’est une stratégie classique qui consiste à coopérer pour limiter les dégâts. Sauf que les dégâts sont énormes.
12 février 2010, le tribunal de Pittsburgh rend son verdict : 13 ans de prison ferme, 5 ans de liberté surveillée, 27,5 millions de dollars à rembourser. À l’époque, c’est le record absolu pour des charges de piratage informatique aux États-Unis. Kevin Poulsen note tristement : “Derrière eux, les longs bancs de bois étaient presque vides : pas d’amis, pas de famille, pas de Charity (sa petite amie de l’époque)… elle avait déjà dit à Max qu’elle ne l’attendrait pas.”
Max atterrit au FCI Victorville Medium 2 en Californie. Pour la plupart des détenus, ce serait la fin de mon histoire, mais Max Butler n’est vraiment pas la plupart des détenus. Ce mec a le crime dans le sang, c’est plus fort que lui.
En octobre 2014, Max obtient un téléphone portable de contrebande. Il contacte Jason Dane Tidwell, un ancien codétenu, via une app de messagerie cryptée et ensemble, ils montent un réseau de contrebande par drone. Max commande un drone civil, et organise des largages de téléphones et de matériel dans la cour de la prison d’Oakdale au printemps 2016. Le mec est irrécupérable…
En 2018, nouvelle arrestation… à l’intérieur de sa cellule. Max est accusé d’avoir organisé ce réseau de contrebande high-tech et il plaide non coupable. Ahahaha. Puis le 14 avril 2021, après 13 ans d’incarcération, Max Ray Vision sort enfin de prison. Il a 49 ans et le monde numérique a encore évolué de manière folle. Bitcoin, Dark Web moderne, ransomwares, cryptolockers… Les techniques qu’il maîtrisait semblent presque archaïques face aux menaces actuelles.
Depuis sa sortie, Max a complètement disparu des radars. Pas d’interview, pas de reconversion publique, pas de livre de mémoires, pas de compte Twitter. L’homme qui a été une des figures du cybercrime a choisi l’anonymat total… Et il doit toujours 27,5 millions de dollars aux victimes et purge encore sa liberté surveillée.
Alors est-ce que Max Butler a tiré les leçons de son parcours totalement dingue ? Est-ce qu’il essaie de se racheter une conduite ? Ou est-ce qu’il planifie discrètement son retour avec les nouvelles technos ? Car dans ce milieu, la retraite n’existe pas vraiment… un hacker reste un hacker, c’est dans l’ADN.
L’histoire de Max Butler nous rappelle qu’entre le white hat et le black hat, il n’y a parfois qu’un pas. Un tout petit pas que des milliers de hackers talentueux franchissent chaque jour dans un sens ou dans l’autre…
Ceci est histoire qui me fascine depuis que j’ai commencé à m’intéresser au hacking car c’est l’histoire incroyable du premier vrai braquage bancaire en ligne. Pas de cagoules, pas d’armes, pas de voitures qui démarrent en trombe mais juste un mec, un ordinateur, et 10,7 millions de dollars qui changent de compte en quelques clics. Cette histoire, c’est celle de Vladimir Levin et du casse de Citibank en 1994.
Un IBM PC typique des années 90, similaire à celui utilisé pour le hack
Imaginez, on est en 1994, Internet balbutie, la plupart des gens n’ont jamais vu un email, et Windows 95 n’existe même pas encore. À cette époque, quand on parlait de vol bancaire, on pensait encore à des mecs avec des bas sur la tête qui braquaient des agences. Et à ce moment précis, personne n’imaginait encore qu’un type en pyjama, depuis son appart’ de Saint-Pétersbourg, pourrait piquer des millions à une des plus grosses banques du monde.
Vladimir Leonidovitch Levin, un nom qui aujourd’hui figure dans tous les bouquins sur la cybercriminalité. Mais qui était vraiment ce mec ? Et bien si vous lisez les articles de l’époque, on vous dira que c’était un mathématicien brillant, un biochimiste diplômé de l’Institut de Technologie de Saint-Pétersbourg, un génie de l’informatique. Mais la réalité est beaucoup moins glamour et bien plus intéressante.
Saint-Pétersbourg en pleine transition post-soviétique - image IA
Et franchement, Saint-Pétersbourg en 1994, c’était pas la joie. L’URSS s’était effondrée trois ans plus tôt, et la Russie traversait une crise économique sans précédent. L’inflation annuelle atteignait 224% cette année-là et le 11 octobre 1994, “Mardi Noir”, le rouble perdait 27% de sa valeur en une seule journée. Les gens allaient au boulot sans être payés pendant des mois, obligés de trouver deux ou trois jobs pour survivre et la ville était surnommée “le Saint-Pétersbourg des bandits” (banditsky Peterburg), et c’était pas pour rien.
Dans ce bordel ambiant, Vladimir Levin travaillait comme admin système pour une boîte qui s’appelle AO Saturn. Rien de bien folichon. Il configurait des serveurs, gérait des réseaux, faisait tourner la boutique informatique. Un job tranquille dans une époque qui ne l’était pas.
Mais voilà, Vladimir a entendu parler d’un truc qui allait changer sa vie. Un groupe de hackers de Saint-Pétersbourg avait découvert quelque chose d’énorme. Ces mecs, qui se faisaient appeler ArkanoiD, Hacker 3 et Buckazoid (oui, comme le personnage de Space Quest… les nerds quoi…), avaient trouvé une faille monumentale dans les systèmes de Citibank.
Citibank, une des plus grandes banques américaines
C’est véridique… l’histoire vraie, celle qu’on ne raconte jamais, c’est que Levin n’a JAMAIS hacké Citibank lui-même. Je le sais car en 2005, un des hackers originaux, ArkanoiD, a balancé toute l’histoire sur Provider.net.ru, un forum russe. Lui et ses potes avaient passé plus d’un an à explorer les réseaux de Citibank et pas par Internet, non, non… Ils utilisaient le réseau X.25, un vieux protocole de communication que plus personne n’utilise aujourd’hui.
X.25, pour ceux qui ne connaissent pas, c’était un peu l’ancêtre d’Internet pour les entreprises. Créé en 1976, c’était un réseau de communication par paquets qui permettait aux banques et aux grandes entreprises d’échanger des données. Super lent selon nos standards actuels (on parle de latences d’une demi-seconde !), mais ultra-fiable pour les transactions financières avec zéro erreur de transmission, ce qui était crucial pour bouger des millions.
Le truc, c’est que Citibank avait son propre réseau X.25 qui reliait toutes ses agences dans le monde. Ce réseau était censé être sécurisé, mais… comment dire… les hackers russes ont découvert qu’ils pouvaient se balader tranquillement dessus. Phrack Magazine avait même publié une liste de 363 ordinateurs Citibank accessibles via Sprintnet !
La liste dans Phrack
Pendant six mois, ArkanoiD et sa bande ont joué les touristes sur les serveurs de Citibank. Ils installaient des jeux, lançaient des programmes, jouaient même à Star Trek sur les machines de la banque et personne ne remarquait rien. Selon ArkanoiD, c’était “très low tech”… pas d’exploit sophistiqué, pas d’analyse de buffer overflow, juste “une approche systématique et un peu de chance”.
C’est là qu’ils ont trouvé le Saint Graal : le système Cash Manager de Citibank. Le service qui permettait aux gros clients corporate de faire des virements internationaux. Ils se connectaient avec un modem (vous savez, ces trucs qui faisaient ce bruit insupportable “KRRRRR BEEP BEEP”), ils rentraient leurs identifiants, et ils pouvaient bouger des millions d’un compte à l’autre. Citibank traitait 500 milliards de dollars par jour avec ce système !
Le problème c’est que la sécurité était… disons… minimaliste. Pas d’authentification à deux facteurs, pas de token physique, juste un login et un mot de passe. En 1994, c’était la norme, mais quand même…
Un coupleur acoustique, ancêtre du modem
Buckazoid découvre alors exactement où et comment transférer l’argent, mais il remarque aussi que tout est loggé et ces logs sont probablement imprimés sur papier chaque jour. Les hackers comprennent vite que “ce serait impossible de voler de l’argent sans se faire remarquer”. Ils n’ont pas les ressources pour gérer la partie logistique du crime car en Russie en 1994, ça voulait dire contacter des gens “désagréables”, comme le dit ArkanoiD.
C’est là que Vladimir Levin entre en scène. Buckazoid lui raconte ce qu’ils ont trouvé et Levin est TRÈS intéressé. Tellement intéressé qu’il sort 100 dollars de sa poche, une fortune en Russie à l’époque où le salaire moyen tournait autour de 50 dollars par mois et et achète toutes les infos : comment se connecter, les identifiants, les mots de passe, quels systèmes cibler, comment faire les virements.
Les hackers originaux ? Ils se barrent direct. La vente de ces infos les a fait flipper et ils disparaissent du réseau Citibank. Mais Levin, lui, il voit l’opportunité de sa vie. Depuis son appartement de Saint-Pétersbourg, avec un simple PC et une ligne téléphonique, il va monter le casse du siècle.
Alors entre fin juin et octobre 1994, Levin se met au boulot. Il se connecte au système Cash Manager de Citibank et commence à transférer de l’argent. Et pas n’importe comment, hein. Il a monté tout un réseau de complices : des comptes en Finlande, aux États-Unis, aux Pays-Bas, en Allemagne, en Israël et des mules qui vont récupérer le cash et le lui renvoyer.
Au total, il va effectuer environ 40 virements frauduleux. Des comptes de grosses entreprises américaines voient leur solde diminuer mystérieusement, l’argent part vers des comptes à l’étranger, disparaît dans la nature, et Citibank ne s’aperçoit de rien. Les clients non plus… en tout cas, au début.
Vladimir Levin au moment de son arrestation - Photo nettoyée par IA
Mais Levin devient gourmand. Trop gourmand. Au total, il va transférer 10,7 millions de dollars. Au prix du dollars aujourd’hui, ça fait plus de 22,7 millions avec l’inflation. Pas mal pour un admin système dans un pays où l’inflation galopait à 224% par an !
Le problème, c’est que bouger autant d’argent, ça finit par se voir et en juillet 1994, plusieurs clients corporate de Citibank remarquent que 400 000 dollars ont disparu de leurs comptes. Ils appellent la banque. Panique à bord !! Citibank lance alors une enquête interne et découvre l’ampleur du désastre.
Le FBI entre alors dans la danse et Steve Garfinkel est désigné comme agent responsable du dossier. Ils remontent la piste des virements, arrêtent les complices qui essaient de retirer l’argent. Une femme et son mari à San Francisco, un autre à Tel Aviv, un à Rotterdam. Et bien sûr, sous la pression, ils craquent et balancent tout. Tous les chemins mènent à Saint-Pétersbourg, à un certain Vladimir Levin d’AO Saturn.
Steve N. Garfinkel - L’agent du FBI en charge de retrouver Levin
Mais attraper Levin, c’est une autre paire de manches. Il est en Russie, pays qui n’a pas de traité d’extradition avec les États-Unis pour ce genre de crime informatique. Le FBI ne peut rien faire. Levin pourra couler des jours heureux à Saint-Pétersbourg avec ses millions (enfin, les 400 000 dollars jamais récupérés). Sauf que…
Mars 1995. Pour des raisons qui restent mystérieuses (certains disent qu’il avait une copine en Angleterre, d’autres qu’il voulait investir son argent à l’étranger), Levin décide de voyager. Il prend un vol Moscou-Londres avec une correspondance. Grosse, GROSSE erreur.
L’aéroport de Stansted où Levin fut arrêté
Le 3 mars 1995, quand son avion atterrit à l’aéroport de Stansted, Scotland Yard l’attend sur le tarmac. Les Américains avaient prévenu les Britanniques via Interpol et Levin est arrêté dans la zone de transit, menottes aux poignets. Game over.
S’ensuit une bataille juridique épique de 30 mois durant laquelle les avocats de Levin se battent bec et ongles contre son extradition. Ils plaident que les preuves sont insuffisantes, que leur client est victime d’une erreur judiciaire, que la juridiction américaine ne s’applique pas. Mais en juin 1997, la Chambre des Lords britannique rejette leur appel final. Direction les États-Unis.
Septembre 1997, Levin est alors extradé. Devant le tribunal fédéral de Manhattan à New York, il change alors de stratégie. Nous sommes en janvier 1998, et il plaide coupable pour un seul chef d’accusation : conspiration en vue de commettre des transferts de fonds frauduleux. Il admet avoir volé 3,7 millions de dollars (pas les 10,7 millions, notez bien).
Et en février 1998, la sentence tombe : 3 ans de prison fédérale et 240 015 dollars de dédommagement. Le juge a pris en compte le temps déjà passé en détention au Royaume-Uni.
Le tribunal fédéral Thurgood Marshall où Levin fut jugé
Trois ans pour ce qui est considéré comme le premier braquage bancaire en ligne de l’histoire. Aujourd’hui, ça paraît dérisoire, mais à l’époque, personne ne savait trop comment gérer ce nouveau type de criminalité. Pas de violence, pas d’arme, pas même d’entrée par effraction. Juste des électrons qui bougent d’un compte à l’autre via des lignes téléphoniques.
Ce qui est fascinant dans cette histoire, c’est à quel point elle était en avance sur son temps car en 1994, la plupart des gens ne savaient même pas ce qu’était un modem. Les modems 14.4k venaient juste d’arriver en 1991, les 28.8k en 1994 et l’idée qu’on puisse voler des millions depuis son salon paraissait être de la science-fiction. Pourtant, c’est exactement ce que Levin a fait.
L’impact du casse de Citibank a été énorme car pour la première fois, les banques ont réalisé qu’elles étaient vulnérables à un nouveau type de menace. Citibank a donc immédiatement mis à jour ses systèmes, introduisant les Dynamic Encryption Cards, des jetons physiques qui génèrent des codes aléatoires pour l’authentification. Un vrai mouvement pionnier dans la cybersécurité bancaire que d’autres banques ont suivi.
Un jeton de sécurité descendant direct des mesures prises après l’affaire Levin
Ce qui me fascine le plus dans cette histoire, c’est le contraste entre l’image publique et la réalité car les médias ont présenté Levin comme un génie maléfique, un super-hacker capable de pénétrer n’importe quel système mais la réalité c’est qu’il était juste un admin système opportuniste qui a acheté des infos à de vrais hackers pour 100 balles.
Les vrais héros techniques (ou anti-héros, selon votre point de vue) de cette histoire, ce sont ArkanoiD et sa bande car ces mecs ont passé plus d’un an à explorer les systèmes de Citibank, pas pour l’argent, mais par pure curiosité. Ils y ont découvert une faille monumentale, ont joué avec pendant six mois, puis ont tout lâché quand c’est devenu trop dangereux.
Comme je vous le disais au début de l’article, en 2005 ArkanoiD a publié son témoignage amer sur Provider.net.ru : “J’ai déjà essayé plusieurs fois de raconter cette histoire d’une manière ou d’une autre, et à chaque fois elle a été monstrueusement déformée.” puisque tous les articles parlaient de Levin le génie, personne ne mentionnait le vrai travail technique fait par son groupe.
C’est ça, la vraie histoire du casse de Citibank. Pas celle d’un génie solitaire, mais celle d’un écosystème : des hackers curieux qui trouvent une faille, un opportuniste qui l’exploite, un système bancaire pas préparé, et des autorités qui découvrent un nouveau monde.
Mais alors qu’est devenu Vladimir Levin aujourd’hui ? Et bien après sa sortie de prison en 2001, il a disparu. Certains disent qu’il vit en Lituanie sous une fausse identité. D’autres qu’il est retourné en Russie et travaille maintenant dans la cybersécurité. Personne ne sait vraiment. Et les 400 000 dollars jamais récupérés ?
Toujours dans la nature. Peut-être planqués dans un compte en Suisse, ou peut-être dépensés depuis longtemps…
Et dire qu’en 2025, certains d’entre vous laissent encore traîner des API sans authentification avec des données sensibles dedans. Ça vous dirait pas de sécuriser un peu tout ça ?
Alors ça tombe bien car je viens de découvrir AutoSwagger, un outil gratuit développé par l’équipe d’Intruder qui scanne automatiquement les domaines à la recherche de documentation API exposée (du genre OpenAPI ou Swagger). Ensuite il parse tout ça pour générer une liste d’endpoints à tester et évidemment, il trouve des trucs de malade.
L’équipe d’Intruder a par exemple découvert des vulnérabilités assez dingues pendant leurs tests comme cette faille qui permettait à n’importe qui d’énumérer les infos des utilisateurs Active Directory sans authentification, un peu comme la CVE-2025-0589 trouvée récemment dans Octopus Deploy. Ils ont aussi déniché un endpoint ‘config’ qui exposait carrément les credentials et les clés API pour des datastores Microsoft Partner Program, avec en bonus les identifiants d’une base Redis contenant des données personnelles de partenaires. Sans oublier des enregistrements Salesforce avec des infos personnelles chez une grosse multinationale tech.
Et tout ça dans de grandes entreprises avec des équipes de sécurité bien matures. Selon le rapport Verizon 2025 sur les brèches de données, l’exploitation des vulnérabilités a augmenté de 34% en un an, et les droits et autorisations mal configurés restent parmi les failles les plus critiques.
Pour réussir ses analyses, AutoSwagger utilise trois méthodes pour découvrir les specs API. D’abord, si vous lui donnez une URL qui finit en .json, .yaml ou .yml, il va parser directement le fichier OpenAPI. Ensuite, il cherche les interfaces Swagger UI connues (comme /swagger-ui.html) et extrait les specs depuis le HTML ou le JavaScript. Et si ça ne marche toujours pas, il tente sa chance avec une liste d’endpoints par défaut comme /swagger.json ou /openapi.json.
Une fois qu’il a trouvé la documentation, AutoSwagger envoie des requêtes à chaque endpoint avec des paramètres valides tirés de la doc. Si au lieu de recevoir une erreur 401 ou 403 (non autorisé), il obtient une réponse valide, bingo ! Il a trouvé un endpoint non protégé.
Mais ce n’est pas tout. L’outil intègre Presidio pour identifier automatiquement les données personnelles comme les numéros de téléphone, les emails, les adresses et les noms. Il utilise aussi des regex pour détecter les tokens exposés, les clés API et autres artefacts de debug qui traînent. En gros, il fait tout le boulot qu’un pentester ferait manuellement, mais en quelques minutes.
Pour utiliser AutoSwagger, c’est super simple. Vous clonez le repo GitHub, vous installez les dépendances Python, et c’est parti :
L’outil propose plein d’options intéressantes. Avec -risk, vous pouvez inclure les méthodes non-GET (POST, PUT, PATCH, DELETE) dans les tests. Le flag -all affiche tous les codes HTTP dans les résultats (pas seulement les 401/403). Et si vous voulez être vraiment méchant, -b ou --brute active le brute-forcing des valeurs de paramètres pour contourner certaines validations.
Vous pouvez aussi contrôler le débit avec -rate (30 requêtes par seconde par défaut) et obtenir les résultats en JSON avec -json. Le mode -product est particulièrement utile car il ne montre que les endpoints qui contiennent des données personnelles ou des secrets.
La plupart des failles découvertes sont encore super communes, même chez les gros et elles peuvent être exploitées avec très peu de compétences techniques. N’importe qui peut par exemple lancer AutoSwagger et potentiellement trouver des données sensibles.
Les experts en sécurité recommandent évidemment de ne jamais exposer la documentation de vos API sauf si c’est absolument nécessaire pour le business. C’est du bon sens, mais apparemment, beaucoup l’oublient car exposer votre doc Swagger, c’est comme donner le plan de votre maison à des cambrioleurs.
L’équipe d’Intruder précise que cette première version d’AutoSwagger n’est pas encore complète car il y a certains types de spécifications que l’outil ne gère pas encore. Mais c’est open source, donc n’hésitez pas à contribuer et ajouter vos propres regex de détection selon vos besoins.
Et pour ceux qui veulent tester leurs propres API, car c’est ça l’objectif de cet outil, voici quelques conseils. D’abord, utilisez toujours l’outil en mode verbose (-v) pour voir exactement ce qui se passe. Les logs sont stockés dans ~/.autoswagger/logs. Ensuite, commencez par des tests sans risque (GET uniquement) avant de passer aux méthodes plus dangereuses. Et surtout, testez uniquement vos propres API ou celles pour lesquelles vous avez une autorisation explicite, sinon vous irez en prison car c’est illégal.
Les résultats peuvent ensuite être interprétés assez facilement. Les endpoints qui retournent un code 200 sont ceux qui méritent votre attention, surtout s’ils sont marqués comme contenant des données personnelles ou des secrets. AutoSwagger fait une bonne partie du travail, mais une vérification manuelle reste indispensable. Utilisez alors curl, Postman ou Burp Suite pour confirmer vos découvertes.
L’outil affiche aussi des statistiques intéressantes avec -stats. Vous pouvez voir combien d’hôtes ont des specs valides, lesquels exposent des données personnelles, le nombre total de requêtes envoyées, le RPS moyen, et le pourcentage d’endpoints qui répondent avec des codes 2xx ou 4xx.
Au final, AutoSwagger est un super outil pour les équipes de sécurité qui veulent tester leurs API mais c’est aussi, je trouve, un rappel brutal que les bases de la sécurité API sont encore mal appliquées. Donc si vous développez des API, prenez le temps de vérifier que chaque endpoint nécessite une authentification appropriée. Et si possible, ne documentez publiquement que ce qui est absolument nécessaire !
D’ailleurs, grand merci à Lorenper qui m’a fait découvrir cet outil !
Vous connaissez cette sensation quand votre imprimante vous lâche au pire moment ? Eh bien en 1980, Richard Stallman a eu exactement le même problème… sauf que lui, au lieu de râler dans son coin comme nous tous, il a décidé de déclarer la guerre à toute l’industrie du logiciel propriétaire. Résultat, ça a donné GNU, Linux, et la moitié d’Internet tourne aujourd’hui grâce à ce geek barbu qui danse le folk bulgare entre deux lignes de code.
J’vous jure, le personnage est savoureux. Il explique que dans l’Église d’Emacs, utiliser “vi” n’est pas un péché mais une pénitence et que l’exorcisme consiste à taper “M-x butterfly” !
Après Emacs, il s’attaque à GCC (GNU Compiler Collection) en 1987 et là, coup de génie : GCC devient rapidement meilleur que tous les compilateurs propriétaires. Plus rapide, plus optimisé, supportant plus de langages et d’architectures. Les entreprises commencent à l’adopter massivement, prouvant ainsi que le logiciel libre peut être techniquement supérieur.
Bon maintenant, on va pas se mentir, Stallman c’est pas le mec le plus facile à vivre. Le personnage a ses… disons… excentricités.
Déjà, côté hygiène et convenances sociales, c’est… comment dire… spartiate. Le mec refuse catégoriquement d’avoir des cartes de fidélité (surveillance), un téléphone portable (traçage), et ne porte jamais de vêtements avec des logos ou des messages (pub). Et pour naviguer sur le web, il envoie l’URL par email à un daemon qui télécharge la page et la lui renvoie, comme ça il évite d’être tracé par du JavaScript !
Et puis il y a cette anecdote qui a fait le tour d’Internet… Pendant une conférence, Stallman s’est déchaussé en plein milieu de sa présentation, a commencé à gratter son pied, et… bon, disons qu’il a mangé ce qu’il a gratté. Devant tout le monde. Filmé. Pendant qu’il répondait aux questions sur le logiciel libre. Beuuuurk !
Quand on lui a demandé des explications plus tard, il a refusé de regarder la vidéo, disant qu’il y avait “plusieurs obstacles techniques et éthiques” qui l’empêche de visionner des vidéos sur Internet. Mais là où Stallman m’a vraiment surpris, c’est avec sa passion pour la danse folk internationale. Le mec est fan absolu de danses traditionnelles, en particulier bulgares et hongroises. Il y a même une photo mythique où on le voit jeune, en costume traditionnel bulgare, en train de danser… avec une Machine Lisp !
Sa célèbre “Free Software Song” (Chanson du Logiciel Libre) est d’ailleurs chantée sur l’air d’un folk bulgare, “Sadi moma bela loza” et les paroles sont “Join us now and share the software / You’ll be free, hackers, you’ll be free…” Même dans ses hymnes révolutionnaires, il glisse ses références à la danse folk !
Années 90, Internet explose, et les idées de Stallman trouvent un terreau fertile. En 1991, un étudiant finlandais du nom de Linus Torvalds développe un noyau de système d’exploitation qu’il appelle Linux. Ce noyau, combiné avec tous les outils GNU déjà développés, donne naissance à ce qu’on appelle communément “Linux”.
Sauf que Stallman, il est pas d’accord avec cette appellation. Pour lui, c’est “GNU/Linux”, parce que le système complet, c’est GNU avec le noyau Linux. Et techniquement, il n’a pas tort car sans bash, sans GCC, sans glibc, sans tous les outils GNU, Linux tout seul c’est juste un noyau qui sert à rien.
Cette querelle de nommage, ça fait 30 ans que ça dure. Stallman insiste pour qu’on dise “GNU/Linux” à chaque fois et il corrige même les journalistes en pleine interview. Certains trouvent ça pénible, d’autres respectent sa position. Perso, j’trouve qu’il a raison sur le fond, même si l’obsession peut sembler excessive. Et à cause de lui, il y a aujourd’hui des armées de super relous qui comme lui reprennent n’importe qui sur le net qui oserait écrire “Linux” dans placer “GNU” devant.
Une autre des innovations les plus géniales de Stallman, c’est le concept de copyleft. C’est un jeu de mots sur “copyright” sauf qu’au lieu d’interdire la copie (all rights reserved), le copyleft garantit que le logiciel reste libre (all rights reversed).
Concrètement, avec la GPL (General Public License) créée par Stallman et l’avocat Eben Moglen, vous pouvez maintenant copier, modifier, redistribuer un logiciel… mais toute version dérivée doit rester sous la même licence libre. C’est ce qu’on appelle l’effet “viral” de la GPL, et l’idée est brillante : utiliser le système juridique du copyright pour garantir la liberté plutôt que pour la restreindre.
Bon, évidemment, je ne vais pas faire l’impasse sur l’un des aspects les plus controversés de Richard Stallman… En septembre 2019, Stallman a été obligé de démissionner de la présidence de la FSF et de quitter le MIT après des commentaires maladroits sur l’affaire Jeffrey Epstein et Marvin Minsky. Le mec a toujours eu des positions tranchées et une façon très littérale d’analyser les choses, ce qui l’a mis dans la sauce plus d’une fois. Ses écrits passés sur des questions de société ont également refait surface et ont provoqué un tollé.
Mais en mars 2021, surprise, il est revenu au conseil d’administration de la FSF. Ça a provoqué une nouvelle controverse, avec plus de 2400 signatures demandant son départ et des organisations comme GNOME, Mozilla et Red Hat qui ont pris leurs distances. Mais la FSF a maintenu sa décision.
Et en septembre 2023, nouveau coup dur… Stallman révèle qu’il a un lymphome folliculaire, c’est à dire un cancer du système lymphatique. Mais fidèle à lui-même, il reste optimiste : “C’est un cancer à croissance lente. Le traitement l’a mis en rémission, et je peux espérer vivre encore de nombreuses années.”
Et aujourd’hui, en 2025, qu’est-ce qui reste de la révolution de Stallman ? Et bien… quasiment tout ce qu’on utilise au quotidien !
Linux (pardon, GNU/Linux ^^) fait tourner 96 % des 500 plus gros supercalculateurs, tous les smartphones Android (3 milliards d’appareils), la majorité des serveurs web et les outils GNU sont partout. Git, créé par Torvalds, s’inspire directement de la philosophie du libre. Des langages comme Python, Ruby, Rust, des frameworks comme React, Vue.js, des systèmes comme Kubernetes, Docker… tout ça existe grâce à l’écosystème que Stallman a initié.
Même Microsoft, l’ennemi juré historique, a fini par embrasser l’open source. Ils ont racheté GitHub, contribuent au noyau Linux, et ont sorti WSL (Windows Subsystem for Linux). Si on m’avait dit ça en 1990, j’aurais cru à une blague !
À 72 ans, malgré son cancer, Stallman continue son combat. Il reste le “Chief GNUisance” du projet GNU, donne encore des conférences, écrit des articles et sa nouvelle bataille, c’est contre l’Intelligence Artificielle, car pour lui, les IA propriétaires comme ChatGPT ou Midjourney représentent un danger énorme pour nos libertés. Il prône donc le développement d’IA libres, transparentes, dont on peut examiner et modifier le code et les données d’entraînement.
Maintenant, quand je regarde l’évolution du numérique aujourd’hui, surveillance de masse, algorithmes opaques, dépendance aux GAFAM, IA boîtes noires…etc, j’me dis que Stallman avait vu juste il y a 40 ans et ses 4 libertés fondamentales sont plus que jamais d’actualité.
Alors la prochaine fois que vous utilisez Firefox, VLC, LibreOffice, WordPress ou même Android, ayez une petite pensée pour ce geek barbu excentrique et agaçant qui a préféré la liberté de tous à son confort personnel.
Vous vous souvenez du film “Blow” avec Johnny Depp ? L’histoire de George Jung qui importait de la cocaïne colombienne aux États-Unis dans les années 70 ? Bon bah imaginez la même chose, mais version 2.0, avec des serveurs cachés, du Bitcoin et un Québécois de 26 ans qui se prend pour Tony Montana depuis sa villa en Thaïlande.
Je vais vous raconter l’histoire complètement dingue d’AlphaBay, le plus grand supermarché du crime qui ait jamais existé sur le dark web. Un Amazon de la drogue et des armes qui a brassé plus d’un milliard de dollars en seulement trois ans. Et au centre de cette histoire, Alexandre Cazes, un petit génie de l’informatique qui a fini par se prendre les pieds dans le tapis de la manière la plus stupide qui soit.
Alors installez-vous confortablement, prenez un café, et laissez-moi vous embarquer dans cette histoire qui mélange technologie de pointe, ego surdimensionné et erreurs de débutant. C’est parti !
Alexandre Cazes naît le 19 octobre 1991 à Trois-Rivières, au Québec. Dès son plus jeune âge, il montre des capacités hors normes en informatique et avec un QI de 142, il devient ce qu’on appelle un “script kiddie” à 14 ans… Sauf que lui, contrairement aux autres, il avait vraiment du talent.
Son père Martin, propriétaire d’un garage, dira plus tard aux médias que son fils était “un jeune homme extraordinaire, aucun problème, aucun casier judiciaire”. Le gamin était tellement brillant qu’il a sauté une année à l’école. “Il n’a jamais fumé une cigarette, jamais pris de drogue”, racontera aussi le paternel. Vous allez voir, quand vous saurez la suite, vous trouverez ça aussi ironique que moi…
À 17 ans, pendant que ses potes pensent à leur bal de promo, Alexandre lance sa première boîte : EBX Technologies. Officiellement, il fait du développement web pour des PME locales, répare des ordinateurs et propose des services de chiffrement. Officieusement, il commence déjà à tremper dans des trucs pas très catholiques sur les forums de carders, ces types qui revendent des numéros de cartes bancaires volées. C’est là qu’il se fait connaître sous le pseudo “Alpha02”, un pseudo qu’il garde depuis 2008 et qui finira par causer sa perte.
Le jeune homme excelle tellement qu’il attire l’attention dans le milieu, mais le Québec, c’est trop petit pour ses ambitions. Alors en 2010, il fait son premier voyage en Thaïlande et le coup de foudre est immédiat : le climat, la culture, et surtout… les filles. Dans ses propres mots sur un forum “de drague”, il explique qu’il a “quitté une société brisée pour vivre dans une société traditionnelle”. Traduction : il en avait marre des Québécoises indépendantes et préférait un endroit où son argent lui donnait plus de pouvoir.
Sur le forum de Roosh V (un blogueur américain spécialisé dans la drague lourde), Cazes se présente même comme un “trompeur professionnel”. Charmant, n’est-ce pas ? Il explique pourquoi il a quitté le Québec : trop de gens qui vivent de l’aide sociale, trop de réfugiés musulmans qui (je cite) “se reproduisent comme des punaises de lit”. Bref, on comprend mieux le personnage…
En 2013, il s’installe alors définitivement à Bangkok, il épouse une Thaïlandaise, Sunisa Thapsuwan, et commence à mener la grande vie. Et pendant ce temps, ses parents au Québec pensent qu’il dirige une entreprise de développement web parfaitement légale. Le fils modèle, quoi.
Le mariage d’Alexandre
En octobre 2013, le FBI ferme Silk Road, le premier grand marché noir du dark web créé par Ross Ulbricht. Pour beaucoup, c’est la fin d’une époque mais pour Alexandre Cazes, c’est une opportunité en or. Il voit le vide laissé par Silk Road et se dit qu’il peut faire mieux. Beaucoup mieux.
Il passe alors l’année 2014 à développer sa plateforme en secret. Son objectif est clair et il ne s’en cache pas : Il veut créer “La plus grande place de marché underground”. Pas modeste le mec. En juillet 2014, il commence alors les tests avec une poignée de vendeurs triés sur le volet puis le 22 décembre 2014, AlphaBay ouvre officiellement ses portes virtuelles.
Les six premiers mois sont difficiles. Le site peine à décoller, avec seulement 14 000 utilisateurs après 90 jours. Mais Alexandre ne lâche rien. Il améliore constamment la plateforme, ajoute des fonctionnalités, recrute des modérateurs compétents. Et surtout, il fait ce que Ross Ulbricht n’avait pas osé faire : il accepte tout. Vraiment tout.
Interface d’AlphaBay en 2017
Là où Ross Ulbricht interdisait la vente d’armes et de certaines drogues dures sur Silk Road, Cazes n’a aucun scrupule. Héroïne, fentanyl, armes à feu, malwares, cartes d’identité volées, données bancaires… Si ça peut se vendre et que c’est illégal, c’est bon pour AlphaBay. La seule limite ? La pédopornographie et les services de tueurs à gages. Faut quand même garder une certaine “éthique” dans le milieu, hein.
L’explosion arrive alors fin 2015 puisqu’en octobre, AlphaBay devient officiellement le plus grand marché du dark web. Les chiffres donnent le vertige :
400 000 utilisateurs actifs
40 000 vendeurs
369 000 annonces au total
250 000 annonces de drogues
100 000 annonces de documents volés
Entre 600 000 et 800 000 dollars de transactions PAR JOUR
Bref, AlphaBay était devenu 10 fois plus gros que Silk Road à son apogée. Pas mal pour un petit gars de Trois-Rivières !
Alors comment ça fonctionne techniquement ? Et bien les vendeurs créent des annonces avec photos et descriptions détaillées. Les acheteurs parcourent les catégories comme sur Amazon, lisent les avis (oui, il y a un système de notation sur 5 étoiles), et passent commande. L’argent est bloqué dans un système d’escrow (tiers de confiance) jusqu’à ce que l’acheteur confirme la réception. Et AlphaBay prend sa commission au passage soit entre 2 et 4% selon le montant et le niveau du vendeur.
Le génie de Cazes, c’est surtout d’avoir compris que la confiance était la clé. AlphaBay introduit donc plusieurs innovations qui deviendront des standards du milieu :
Le système de Trust Level (TL) : Des scores de confiance visibles pour acheteurs et vendeurs
L’Automatic Dispute Resolver (ADR) : Un système automatisé pour régler les litiges sans attendre un modérateur
Le ScamWatch Team : Une équipe communautaire pour traquer les arnaqueurs
Le Finalize Early (FE) : Les vendeurs de confiance peuvent recevoir le paiement dès l’envoi (après 200 ventes réussies)
L’authentification 2FA avec PGP : Pour sécuriser les comptes
Côté technologie, AlphaBay est à la pointe. D’abord, le site n’accepte que le Bitcoin. Mais en août 2016, Cazes fait un move de génie : il ajoute le support de Monero, une cryptomonnaie beaucoup plus anonyme que le Bitcoin et en quelques semaines, la capitalisation de Monero passe de 30 millions à 170 millions de dollars. Le cours monte de 2,45$ à 483$ en janvier 2018. Pas mal comme effet de bord pour ce qui n’est à l’origine qu’un simple choix technique !
Le site dispose aussi de son propre système de “tumbling”, en gros, un mixeur qui mélange les bitcoins de différentes transactions pour rendre leur traçage quasi impossible. Il acceptera même Ethereum en mai 2017. Cazes a pensé à tout. Enfin, presque tout…
Car pour gérer ce monstre, Alexandre ne peut pas tout faire seul alors il recrute une équipe de choc :
DeSnake : Son bras droit et administrateur sécurité. Un type mystérieux, probablement russe, qui ne s’est jamais fait prendre.
Brian Herrell, alias “Botah” ou “Penissmith” (oui, vous avez bien lu) : Un modérateur de 25 ans du Colorado qui gère les litiges entre vendeurs et acheteurs.
Ronald Wheeler III, alias “Trappy” : Le porte-parole et responsable des relations publiques du site.
Disc0 : Un autre modérateur clé
Une dream team du crime organisé version 2.0, avec des pseudos qu’on croirait sortis d’un film de Tarantino.
Et pendant ce temps, Alexandre Cazes vit sa meilleure vie en Thaïlande. Installé à Bangkok depuis 2013, il mène un train de vie complètement délirant :
Une villa d’une valeur de 80 millions de bahts (2,3 millions d’euros) au Private House estate de Bangkok
Une propriété au Granada Pinklao-Phetchkasem où la valeur des maisons débute à 78 millions de bahts
Une villa de vacances à 200 millions de bahts à Phuket, au sommet d’une falaise
Une villa à 400 000 dollars à Antigua
Il a même acheté une villa pour ses beaux-parents. Sympa le gendre !
Côté garage, c’est pas mal non plus :
Une Lamborghini Aventador gris métallisé à presque 1 million de dollars (En fait, la police saisira 4 Lamborghini enregistrées à son nom)
Une Porsche Panamera
Une Mini Cooper pour madame
Une moto BMW
Et tout est payé cash, évidemment. Dans son portefeuille au moment de l’arrestation : 1 600 bitcoins, 8 670 Ethereum, 12 000 Monero et 205 ZCash. Environ 9 millions de dollars de l’époque. Sa fortune totale étant estimée à environ 23 millions de dollars selon les documents du gouvernement américain. 12,5 millions en propriétés et véhicules, le reste en cash et cryptomonnaies.
Le plus amusant c’est que dans ce quartier de classe moyenne où les gens roulent en pick-up et où les maisons coûtent moins de 120 000 dollars, ses supercars détonnaient complètement. Les voisins racontent même qu’il ne sortait jamais avant midi. Tranquille, le mec.
Mais le plus pathétique, c’est sa vie personnelle car sur le forum de Roosh V, Cazes où il se vante d’être un “trompeur professionnel”, il y raconte comment il trompe sa femme enceinte avec d’autres filles qu’il ramène dans un appartement secret. “Les filles thaïlandaises adorent les supercars”, écrit-il. Classe jusqu’au bout.
Mais voilà, quand on brasse des millions sur le dark web, on finit forcément par attirer l’attention des autorités. Dès 2016, le FBI, la DEA et Europol mettent en place l’opération Bayonet. L’objectif : faire tomber AlphaBay et son créateur.
Le nom “Bayonet” est un triple jeu de mots avec “bay” (baie), “net” (internet) et l’idée d’attraper les “bad guys”. Les flics ont de l’humour, mais le souci, c’est que Cazes est prudent. Il utilise Tor, change régulièrement de serveurs, emploie des techniques de chiffrement avancées.
Bref, trouver une faille semble impossible… Jusqu’à ce que les enquêteurs tombent sur LE détail qui tue.
Car en décembre 2016, un enquêteur fait une découverte qui change tout. En analysant d’anciens emails du forum d’AlphaBay, il trouve quelque chose d’incroyable : les emails de bienvenue envoyés aux nouveaux utilisateurs en décembre 2014 contenaient une adresse d’expéditeur dans les headers. Et pas n’importe laquelle : [email protected].
Pimp. Alex. 91. Sérieusement ?
91 pour 1991, son année de naissance. Alex pour Alexandre. Et pimp pour… bah pour pimp, quoi. Le mec qui gère le plus grand marché noir du monde utilise son vrai prénom et son année de naissance dans son email Hotmail. J’en ai vu des erreurs de sécurité dans ma vie, mais là on atteint des sommets.
Mais ce n’est pas tout car cette adresse email, c’est le fil qui va permettre de dérouler toute la pelote. Les enquêteurs découvrent ainsi qu’elle est liée à :
Un compte PayPal au nom d’Alexandre Cazes
Son profil LinkedIn
Des comptes bancaires
Des propriétés en Thaïlande
Bingo. Game over. Insert coin to continue. Ou pas.
L’opération d’interpellation est alors minutieusement préparée mais comme toujours, le problème ? Il faut le choper avec son ordinateur ouvert et déverrouillé pour avoir accès aux preuves.
Et le 5 juillet 2017, à l’aube, c’est le jour J. La police thaïlandaise, assistée par des agents du FBI et de la DEA, met en place un plan digne d’Hollywood. Une Toyota Camry grise arrive dans le cul-de-sac où vit Cazes. Le conducteur fait une manœuvre foireuse et emboutit “accidentellement” le portail de la maison témoin / bureau de vente immobilière juste en face de chez Cazes.
Le conducteur sort, visiblement contrarié, et demande à parler au propriétaire pour l’accident. Après un bon moment, Alexandre Cazes sort de sa villa pour discuter de la collision et au moment où il s’approche du véhicule, le FBI déboule et l’arrête.
Coup de chance incroyable : Cazes était en train de faire un redémarrage administratif d’un serveur AlphaBay suite à une panne système artificiellement créée par les forces de l’ordre. Il est donc connecté en tant qu’administrateur sur AlphaBay, tous ses mots de passe sont enregistrés, aucun chiffrement n’est activé et surtout les portefeuilles de cryptomonnaies utilisé par le site sont ouverts (donc non chiffrés).
C’est Noël pour les enquêteurs.
Les voitures saisies par la police
Sur l’ordinateur, ils trouvent tout : les clés des serveurs d’AlphaBay, les wallets crypto, les bases de données, les conversations privées. La totale. En parallèle, des serveurs sont saisis en Lituanie, au Canada, au Royaume-Uni, aux Pays-Bas et même en France. AlphaBay est mort.
Cazes est alors emmené au bureau de répression des stupéfiants de Bangkok. Il sait que c’est fini. Les États-Unis réclament son extradition pour trafic de drogue, blanchiment d’argent, racket et une dizaine d’autres chefs d’accusation. Il risque la perpétuité. Et le 12 juillet 2017, une semaine après son arrestation, les gardiens le trouvent pendu dans sa cellule avec une serviette. Il s’est suicidé dans les toilettes, juste avant un rendez-vous avec son avocat. Il avait 26 ans.
Les autorités thaïlandaises affirment qu’il n’y a “aucun indice suggérant qu’il ne s’est pas pendu lui-même”. Les caméras de surveillance ne montrent aucun signe d’agression. Donc officiellement, c’est un suicide même si comme d’habitude, officieusement, certains ont des doutes.
Ainsi, le 20 juillet 2017, le procureur général Jeff Sessions annonce “la plus grande saisie de marché du dark web de l’histoire”. Les chiffres finaux sont vertigineux : plus d’un milliard de dollars de transactions en trois ans, des liens directs avec plusieurs overdoses mortelles de fentanyl aux États-Unis.
Mais l’histoire ne s’arrête pas là. En effet, les flics ont un plan machiavélique. Pendant qu’AlphaBay ferme, ils contrôlent secrètement Hansa, un autre gros marché du dark web qu’ils ont infiltré aux Pays-Bas. Résultat : tous les vendeurs et acheteurs d’AlphaBay migrent vers Hansa… où les flics les attendent. C’est ce qu’on appelle un “honey pot” de compétition et en quelques semaines, ils récoltent 10 000 adresses d’acheteurs et des tonnes de preuves.
Et les complices de Cazes ? Ils prennent très cher aussi :
Ronald Wheeler (Trappy) : 4 ans de prison
Brian Herrell (Botah/Penissmith) : 11 ans de prison
Seul DeSnake, le mystérieux administrateur sécurité, reste introuvable
En août 2021, DeSnake réapparaît et annonce le retour d’AlphaBay. Le nouveau site n’accepte que Monero, dispose d’un système appelé AlphaGuard censé protéger les fonds même en cas de saisie, et prétend avoir appris des erreurs du passé. “Seul un idiot utiliserait Bitcoin tel qu’il est aujourd’hui pour le darknet”, affirment-ils, citant un développeur de Bitcoin Core.
Interface d’AlphaBay aujourd’hui
Mais ça c’est une autre histoire…
Maintenant, la morale de l’histoire, c’est que si vous voulez devenir un baron de la drogue virtuelle, évitez d’utiliser votre vrai prénom dans votre adresse email. Et accessoirement, ne le faites pas du tout. Parce que tôt ou tard, vous finirez par vous faire choper.
Voilà, c’était l’histoire complètement folle d’AlphaBay et d’Alexandre Cazes. Un mélange de génie et de stupidité, d’ambition démesurée et d’erreurs de débutant… Comme d’hab, l’OpSec, c’est pas optionnel.
Si vous avez bien suivi mes articles de ces dernières semaines, vous devez savoir que le monde de la cybersécurité regorge de personnages fascinants. Mais aujourd’hui, installez-vous confortablement parce que je vais vous raconter l’histoire d’un mec qui est plus que ça ! Il est carrement légendaire car Mikko Hyppönen, c’est le Sherlock Holmes des virus informatiques, car au lieu de résoudre des meurtres dans le Londres victorien, il traque les malwares dans le cyberespace depuis plus de 30 ans et son parcours est incroyable !
La première fois que j’ai vraiment pris conscience de l’importance de Mikko sur la Scene, c’était quand il a formulé sa fameuse “Loi de Hyppönen” en décembre 2016 qui dit que : “Dès qu’un appareil est décrit comme étant ‘intelligent’, il est vulnérable.” Cette petite phrase, tweetée un matin depuis Helsinki, est devenue l’une des règles les plus citées de la cybersécurité moderne. Mais l’histoire de ce Finlandais extraordinaire commence bien avant cela, dans un monde où les virus se propageaient encore sur des disquettes 5,25 pouces et où Internet n’était qu’un rêve de geeks.
Mikko Hyppönen, le chercheur en sécurité finlandais qui traque les malwares depuis 1991
Mikko Hermanni Hyppönen naît le 13 octobre 1969 à Kyrkslätt, en Finlande, dans un pays qui va devenir l’un des berceaux de la révolution numérique mondiale avec Nokia, Linux et… Angry Birds ^^. Et son histoire avec l’informatique commence très tôt, puisque sa mère, Kristina, née en 1935, travaille déjà avec des ordinateurs depuis 1966 ! À une époque où la plupart des gens pensent qu’un ordinateur c’est un truc de science-fiction, la maman de Mikko programme sur des machines IBM System/360 grosses comme des frigos.
Du coup, dans les années 70, pendant que les autres gamins jouent aux billes, le petit Mikko et ses deux frères s’amusent avec des cartes perforées et des bandes perforées que leur maman rapporte du boulot. “C’était notre Lego à nous”, racontera-t-il plus tard. Les trous dans les cartes formaient des patterns binaires, et les gamins s’amusaient à créer des motifs, sans vraiment comprendre qu’ils manipulaient les ancêtres du code moderne.
En 1981, à 12 ans, Mikko programme déjà sur un Sinclair ZX81 avec son énorme 1 Ko de RAM. Je sais, aujourd’hui, une simple emoji prend plus de place, mais en 1984, c’était foufou. Et un jour, il obtient son premier vrai ordinateur personnel, un Commodore 64. La bête a 64 Ko de RAM, un processeur 6510 à 1 MHz, et surtout, une communauté mondiale de passionnés qui échangent des programmes sur cassettes audio.
Le Commodore 64, premier ordinateur de Mikko et point de départ de sa carrière
Et là, c’est parti pour une passion qui ne le quittera plus jamais. Le gamin ne se contente pas de jouer à “International Karate” ou “The Last Ninja”. Il apprend le BASIC, puis l’assembleur 6502, le langage le plus proche de la machine. À 15 ans, il code déjà des démos et des utilitaires qu’il échange dans la scène underground finlandaise. Il fait même partie de plusieurs groupes de demo-makers, cette culture unique où les programmeurs rivalisent pour créer les effets visuels les plus impressionnants avec le minimum de ressources.
Et à 16 ans, moment charnière. Sa mère l’assoit à la table de la cuisine pour une discussion sérieuse. “Mikko, écoute-moi bien. Étudie les télécommunications, les télécommunications c’est l’avenir !” Elle a vu arriver les modems, les BBS (Bulletin Board Systems), les premiers réseaux. Visionnaire, cette femme ! Mikko l’écoute et s’inscrit en informatique avec une spécialisation télécom à l’Université de technologie d’Helsinki.
Et pendant ses études, Mikko ne chôme pas. Il code, il hacke (légalement !), il explore. Et il devient même modérateur sur plusieurs BBS finlandais, ces ancêtres d’Internet où les geeks se connectent via modem pour échanger des fichiers et discuter. C’est là qu’il commence à voir apparaître les premiers virus. Des trucs basiques qui affichent des messages ou effacent des fichiers. Fasciné, il les décompile, les analyse, comprend leur fonctionnement.
Puis en 1991, alors qu’il est encore étudiant, Mikko tombe sur une annonce qui va changer sa vie. Data Fellows, une petite startup finlandaise fondée en 1988 par Petri Allas et Risto Siilasmaa, cherche des programmeurs. L’entreprise développe des outils de sécurité et de chiffrement pour les entreprises. Mikko postule, passe l’entretien, et décroche le job. Il devient employé numéro… 30 et quelques. L’entreprise est minuscule, mais ambitieuse.
Data Fellows qui deviendra F-Secure, où Mikko a passé 34 ans de sa carrière
À l’époque, l’industrie antivirus en est à ses balbutiements. Les grands noms sont McAfee, Norton, et quelques autres américains. En Europe, y’a pas grand monde. Les virus se propagent principalement via des disquettes échangées de main en main. Internet existe, mais c’est encore un truc d’universités et de militaires et le World Wide Web ne sera disponible qu’en 1993. Mikko commence par analyser des virus DOS simples, mais il comprend vite qu’on est à l’aube d’une révolution.
Ce qui rend Mikko unique dès le début, c’est sa capacité à comprendre que derrière chaque virus, y’a une histoire humaine. Les créateurs de virus ne sont pas des monstres, ce sont souvent des gamins qui veulent prouver leurs compétences ou des programmeurs frustrés. Cette approche humaniste va définir toute sa carrière.
En 1994, Data Fellows lance F-PROT, l’un des premiers antivirus commerciaux européens. Mikko devient rapidement LE spécialiste des nouvelles menaces. Il développe une méthode d’analyse unique : Au lieu de juste créer des signatures pour détecter les virus connus, il cherche à comprendre les techniques utilisées, les motivations des créateurs, l’évolution des menaces. C’est de la criminologie appliquée au code.
1999, l’entreprise change de nom et devient F-Secure. Elle entre en bourse à Helsinki. Mikko, qui avait reçu des stock-options, devient millionnaire du jour au lendemain, mais contrairement à beaucoup qui auraient pris l’argent et seraient partis faire du kitesurf aux Maldives, Mikko reste. Pourquoi ? “J’adore mon boulot. Chaque jour apporte de nouveaux défis, de nouvelles menaces à analyser. C’est comme être détective, mais dans le cyberespace.”
L’un des moments les plus marquants de sa carrière arrive ensuite en 2011. Pour célébrer le 25e anniversaire du premier virus PC, Mikko décide de faire quelque chose de complètement fou : retrouver les créateurs du virus “Brain”, le tout premier virus PC de l’histoire. Problème : tout ce qu’il a, c’est le code du virus avec une adresse à Lahore, au Pakistan. Une adresse vieille de 25 ans dans une ville de 11 millions d’habitants.
Code source du virus Brain qui se propageait via des disquettes 5,25 pouces
Mais Mikko n’est pas du genre à abandonner. Il prend l’avion pour Lahore avec une équipe de tournage. L’adresse dans le code du virus indique “Brain Computer Services, 730 Nizam Block, Allama Iqbal Town” et arrivé sur place, miracle, le magasin existe toujours ! Et les créateurs du virus, Basit et Amjad Farooq Alvi, deux frères maintenant quinquagénaires à ce moment là, y travaillent encore !
La rencontre est surréaliste. Les frères Alvi accueillent Mikko chaleureusement. Ils expliquent qu’en 1986, ils vendaient des logiciels médicaux pour les hôpitaux pakistanais. Problème, leurs clients pirataient systématiquement leurs programmes donc pour les protéger, ils ont créé Brain, qui infectait les disquettes pirates. Le virus affichait un message demandant aux utilisateurs de les contacter pour obtenir une version légale. Ils avaient même mis leurs vrais noms, numéros de téléphone et adresse dans le code !
“Nous n’avions aucune intention malveillante”, explique Basit dans le documentaire. “Nous voulions juste protéger notre travail. Nous n’imaginions pas que ça deviendrait mondial.” Entre 1986 et 1989, Brain infectera plus de 100 000 ordinateurs de l’Arabie Saoudite à l’Indonésie. Les frères recevaient des appels furieux du monde entier, ne comprenant pas comment leur petit programme de protection avait pu voyager si loin.
Le documentaire de 10 minutes que Mikko réalise devient viral (sans mauvais jeu de mots). C’est la première fois que les créateurs du premier virus PC racontent leur histoire. On y voit les frères, maintenant chefs d’une entreprise d’hébergement web prospère, expliquer avec émotion qu’ils sont horrifiés par ce qu’est devenue l’industrie du malware. “Aujourd’hui, les virus sont créés pour voler, détruire, faire du chantage. C’est terrible”, déplore Amjad.
Mais bon, le vrai coup de maître de Mikko dans sa carrière, c’est son travail sur les virus les plus destructeurs de l’histoire moderne.
Retournons maintenant un peu en arrière… en 2003, c’est l’apocalypse numérique car en l’espace de quelques semaines, trois vers dévastateurs frappent Internet : Slammer en janvier, Blaster en août, et Sobig.F peu après. Des millions de machines infectées, des milliards de dollars de dégâts, et Internet qui ralentit au point de devenir inutilisable par moments.
F-Secure, sous la direction de Mikko, est en première ligne. L’équipe travaille 24h/24 pour analyser les menaces et développer des contre-mesures. Pour Blaster, Mikko et son équipe réalisent un exploit extraordinaire. Le ver exploite une faille dans Windows XP pour se propager automatiquement et en analysant le code, ils découvrent que le ver télécharge ses instructions depuis un serveur spécifique. Mikko contacte les autorités, le serveur est saisi, et le ver est neutralisé en quelques jours.
Pour Sobig.F, c’est encore plus épique puisque ce ver envoie des millions de spams et tente de télécharger du code malveillant depuis 20 serveurs différents. Mikko se coordonne avec le FBI, Interpol et des équipes de sécurité du monde entier et un par un, les 20 serveurs sont identifiés et neutralisés AVANT l’heure d’activation du ver. Une opération internationale coordonnée pour stopper une cybermenace, c’est du jamais vu à l’époque !
Puis en 2004, Vanity Fair publie un article de 10 pages intitulé “The Code Warrior” qui raconte cette période héroïque. Mikko y est présenté comme l’un des héros méconnus de la guerre contre les cybercriminels. L’article décrit ses nuits blanches, ses coups de téléphone avec le FBI à 3h du matin, sa course contre la montre pour sauver Internet. C’est une reconnaissance mainstream pour ce Finlandais discret qui préfère l’ombre des labos aux projecteurs.
Mais entre nous, l’une des affaires les plus fascinantes de sa carrière, c’est son analyse de Stuxnet en 2010. Ce ver informatique d’une complexité jamais vue est découvert par hasard par une petite boîte de sécurité biélorusse, mais c’est Mikko et quelques autres experts mondiaux qui vont comprendre sa véritable nature. Car Stuxnet ne vole pas de données, ne demande pas de rançon… Il cherche spécifiquement des automates programmables Siemens utilisés dans les centrifugeuses d’enrichissement d’uranium.
Stuxnet, le premier cyber-weapon d’État analysé par Mikko et son équipe
L’analyse de Mikko est glaçante : Stuxnet est une arme. Une cyber-arme développée par un ou plusieurs États pour saboter physiquement le programme nucléaire iranien. Le ver fait tourner les centrifugeuses trop vite puis trop lentement, les détruisant progressivement tout en envoyant de fausses données aux opérateurs. “C’est le premier acte de cyber-guerre de l’histoire”, déclare Mikko. “On est passé du vandalisme numérique à la destruction physique via le code.”
Mikko donne des briefings classifiés aux gouvernements européens sur Stuxnet et leur explique que la boîte de Pandore est ouverte : si on peut détruire des centrifugeuses avec du code, on peut aussi s’attaquer aux centrales électriques, aux barrages, aux systèmes de transport. La cyber-guerre n’est plus de la science-fiction.
L’ironie de l’histoire arrive en 2012 lorsque l’Organisation Iranienne de l’Énergie Atomique envoie directement un email à Mikko : “Monsieur Hyppönen, nous avons découvert un nouveau malware dans nos systèmes. Pouvez-vous nous aider à l’analyser ?” Imaginez, les Iraniens, victimes de Stuxnet, qui contactent un expert finlandais pour les aider ! C’est dire le niveau de respect et de neutralité que Mikko s’est construit. Il analyse alors le malware (baptisé Flame) et publie ses résultats publiquement, sans prendre parti.
Puis en juin 2013, Edward Snowden balance les documents de la NSA et le monde découvre l’ampleur de la surveillance de masse. PRISM, XKeyscore, la collecte systématique des métadonnées… C’est un séisme. Mikko, qui avait déjà des soupçons, devient l’une des voix les plus critiques et les plus écoutées sur le sujet.
Son TED Talk de décembre 2013, “How the NSA betrayed the world’s trust – time to act”, devient viral avec plus de 2 millions de vues. Mikko y explique quelque chose de terrifiant avec son calme finlandais habituel : “Si vous n’êtes pas citoyen américain, vous n’avez aucun droit. La NSA peut légalement espionner tous vos emails, toutes vos communications, juste parce que vous n’êtes pas américain.”
Il pose surtout LA question qui dérange : “Faisons-nous aveuglément confiance à n’importe quel gouvernement futur ? Parce que tout droit que nous abandonnons, nous l’abandonnons pour de bon. Si nous acceptons la surveillance aujourd’hui parce que nous faisons confiance à Obama, qu’est-ce qui se passe si dans 20 ans c’est un dictateur qui a accès à ces outils ?”
Son autre TED Talk, “Three types of online attack”, donné en 2012 et visionné 1,5 million de fois, est aussi devenu une masterclass pour comprendre les menaces numériques. Mikko y explique qu’il existe trois types d’attaques en ligne : les criminels (qui veulent votre argent), les hacktivistes (qui veulent faire passer un message), et les gouvernements (qui veulent tout savoir). Mais seuls les deux premiers sont considérés comme des crimes. Le troisième ? C’est légal. “C’est ça le problème”, martèle Mikko.
Mais ce qui rend Mikko vraiment spécial, au-delà de ses analyses techniques pointues, c’est sa capacité à anticiper les tendances. En 2014, alors que tout le monde s’extasie devant les objets connectés, Mikko tire la sonnette d’alarme. “On est en train de transformer chaque objet en ordinateur. Votre frigo devient un ordinateur qui refroidit. Votre voiture devient un ordinateur qui roule. Votre montre devient un ordinateur que vous portez. Et qui dit ordinateur dit vulnérabilités.”
Enfin, en décembre 2016, il tweet ce qui deviendra sa phrase la plus célèbre : “Dès qu’un appareil est décrit comme étant ‘intelligent’, il est vulnérable”.
La Loi de Hyppönen est née. Simple, percutante, terriblement vraie. Votre smart TV ? Vulnérable. Votre thermostat intelligent ? Vulnérable. Votre sex-toy connecté ? Vulnérable (et oui, ça existe, et oui, ça a déjà été hacké).
L’analogie qu’il utilise aussi pour expliquer les risques est brillante. En 2017, lors d’une conférence à Helsinki, il déclare : “Les objets connectés d’aujourd’hui, c’est l’amiante des années 60-70. À l’époque, on mettait de l’amiante partout parce que c’était un super isolant. 30 ans plus tard, on a découvert que ça tuait les gens. Aujourd’hui, on connecte tout à Internet parce que c’est cool. Dans 20 ans, on se demandera comment on a pu être aussi inconscients.”
Et il a raison ! Les honeypots de F-Secure (des pièges pour détecter les attaques) montrent une explosion des infections IoT. En 2016, le botnet Mirai, composé de caméras de sécurité et de routeurs compromis, lance la plus grosse attaque DDoS de l’histoire, mettant hors ligne une partie d’Internet pendant des heures. “Je l’avais prédit”, dit simplement Mikko. Pas par arrogance, mais avec la tristesse de Cassandre qui voit ses prophéties se réaliser.
En 2018, Mikko co-écrit avec Linus Nyman un papier académique : “The Internet of (Vulnerable) Things: On Hypponen’s Law, Security Engineering, and IoT Legislation”. L’article devient une référence, cité dans les propositions de loi en Californie, au Royaume-Uni, en Europe. Pour la première fois, des gouvernements comprennent qu’il faut réguler la sécurité des objets connectés AVANT la catastrophe, pas après.
2021 marque un tournant car après 30 ans à analyser des malwares, Mikko décide de partager sa vision globale. Il écrit le livre “If It’s Smart, It’s Vulnerable” (lien affilié), publié d’abord en finnois puis traduit en anglais, allemand, japonais. Le livre n’est pas un manuel technique, c’est une réflexion philosophique sur notre rapport à la technologie dans laquelles Mikko développe sa vision : Après la révolution Internet qui a mis tous les ordinateurs en ligne, la révolution IoT met “tout le reste” en ligne.
“If It’s Smart, It’s Vulnerable” - Le livre de Mikko sur l’avenir de la cybersécurité
Sa prédiction finale y est vertigineuse : “À terme, tout ce qui consomme de l’électricité sera en ligne”. Votre ampoule, votre grille-pain, votre brosse à dents. Et quand être hors ligne ne sera plus une option, Internet deviendra tellement omniprésent qu’on ne le remarquera même plus. Comme l’électricité aujourd’hui : vous ne pensez pas “je vais utiliser l’électricité” quand vous allumez la lumière.
Une des caractéristiques les plus fascinantes de Mikko, c’est son côté archiviste obsessionnel. Depuis 1994, il garde TOUS ses emails. En 2024, ça représente 6,8 millions de messages, 150 Go de données. “C’est mon journal intime numérique”, explique-t-il. “Je peux retrouver exactement ce que je faisais n’importe quel jour depuis 30 ans”. Cette habitude reflète sa compréhension profonde de l’importance de la mémoire numérique.
Mikko est aussi un orateur extraordinaire. Il a donné des keynotes dans toutes les conférences qui comptent : Black Hat (Las Vegas, la Mecque du hacking), DEF CON (la conférence underground par excellence), RSA (le rendez-vous corporate de la cybersécurité), TED, TEDx, SXSW, DLD, Slush, même les Assises de la Sécurité à Monaco où je l’avais croisé IRL… Et sa présence sur scène est magnétique : costume impeccable, accent finlandais charmant, slides minimalistes mais percutants.
Ce qui frappe surtout dans ses présentations, c’est sa capacité à rendre accessible le plus complexe. Quand il explique un buffer overflow, même votre chef comprend. Quand il parle de cryptographie quantique, on a l’impression que c’est simple. Il a le don rare de vulgariser sans simplifier et d’éduquer sans ennuyer.
Et comme vous le savez, son travail ne se limite pas aux conférences car depuis les années 90, Mikko assiste régulièrement les forces de l’ordre. FBI, Europol, Interpol… Quand une affaire de cybercriminalité dépasse les compétences locales, on appelle Mikko. Il a témoigné dans des dizaines de procès, aidé à coincer des cybercriminels du Brésil à la Russie. Mais toujours discrètement : “Je ne suis pas un flic, je suis un expert technique. Mon job c’est d’expliquer comment le crime a été commis, pas de menotter les méchants.”
Depuis 2007, il siège au conseil consultatif d’IMPACT (International Multilateral Partnership Against Cyber Threats) aux côtés de pointures comme Yevgeny Kaspersky (oui, LE Kaspersky de l’antivirus), Hamadoun Touré (ex-secrétaire général de l’ITU), et d’autres. En 2016, il devient aussi conservateur du Malware Museum aux Internet Archives, préservant l’histoire des virus pour les générations futures.
Et la reconnaissance internationale pleut sur Mikko. PC World le classe parmi les 50 personnes les plus importantes du web. Foreign Policy l’inclut dans sa liste Global 100 Thinkers. Il est intronisé au Temple de la renommée d’Infosecurity Europe en 2016. Twitter le remercie publiquement pour avoir amélioré leur sécurité. Même Wired, le magazine tech le plus influent du monde, lui demande d’écrire régulièrement.
Mais Mikko reste profondément finlandais et comme tous les hommes de son pays, il a fait son service militaire obligatoire. Mais au lieu de rentrer chez lui après, il est resté dans la réserve et aujourd’hui, il est capitaine dans la division des transmissions de l’armée finlandaise. “La Finlande a 1 340 km de frontière avec la Russie”, rappelle-t-il. “La défense nationale, c’est l’affaire de tous.” Cette formation militaire transparaît également dans son approche : discipline, méthode, anticipation.
D’ailleurs, malgré des offres mirobolantes de la Silicon Valley, de Londres, de Singapour, Mikko refuse de quitter la Finlande. “J’aime mon pays. Les hivers sont longs et sombres, mais les étés sont magiques. Et puis, la Finlande est régulièrement classée pays le plus heureux du monde. Pourquoi partir ?” Il vit toujours près d’Helsinki avec sa femme et ses trois fils, dans une maison qu’il a truffée de gadgets IoT… tous sécurisés, évidemment.
En 2022, grosse surprise dans l’industrie. F-Secure se scinde en deux : F-Secure pour les particuliers, WithSecure pour les entreprises. Mikko reste donc avec WithSecure comme Chief Research Officer mais après 34 ans dans la même boîte (un record dans la tech !), l’envie de changement le titille.
Puis en juin 2025, coup de tonnerre !! Mikko annonce qu’il quitte WithSecure pour rejoindre Sensofusion, une startup finlandaise spécialisée dans… les technologies anti-drones.
Comment ça ??? Le monsieur anti-virus devient monsieur anti-drone ? L’industrie est sous le choc. Mais quand on y réfléchit, c’est logique car les drones autonomes armés utilisant l’IA représentent la prochaine grande menace. Un drone peut porter des explosifs, des armes biologiques, peut espionner, peut former des essaims coordonnés… Comme l’explique Mikko, “Les malwares détruisent des données. Les drones peuvent détruire des vies […] et avec l’IA, la miniaturisation, le coût qui baisse, n’importe qui pourra bientôt acheter un drone tueur sur le dark web. Il faut développer des contre-mesures MAINTENANT”. Bref, toujours cette capacité à voir 5 ans en avance.
Les drones autonomes : la nouvelle frontière de la sécurité selon Mikko
Quand on lui demande d’identifier les grandes menaces de 2024-2025, Mikko liste cinq dangers majeurs avec sa clarté habituelle.
1/ la désinformation amplifiée par l’IA. “Bientôt, créer de fausses vidéos parfaites sera aussi simple qu’écrire un tweet.”
2/ les deepfakes utilisés pour le chantage ou la manipulation.
3/ l’automatisation des cyberattaques. “L’IA peut tester des millions de combinaisons par seconde, trouver des failles que les humains rateraient.”
4/ la manipulation psychologique personnalisée. “Une IA qui a lu tous vos posts peut créer le message parfait pour vous manipuler.”
5/ la perte de contrôle sur les systèmes autonomes. “Que se passe-t-il quand l’IA qui gère le réseau électrique décide qu’elle sait mieux que nous ?”
Bref, l’approche de Mikko a toujours été holistique car il ne se contente pas d’analyser le code… il comprend le contexte géopolitique, les motivations humaines, l’impact sociétal. Par exemple, quand il parle de Stuxnet, il explique les tensions Iran-Israël. Quand il analyse un ransomware, il est capable de décrire l’économie criminelle russe. Cette vision à 360 degrés fait donc de lui l’un des experts les plus complets au monde.
Aujourd’hui, l’héritage de Mikko est partout. Quand votre antivirus détecte une menace, il utilise des techniques qu’il a développées. Quand votre smartphone vous alerte sur une app suspecte, c’est grâce à des recherches qu’il a menées. Quand l’Europe vote des lois sur la sécurité IoT, c’est en citant ses travaux. Et quand les médias parlent de cyberguerre, ils reprennent ses analyses !
Mais au-delà des accomplissements techniques, Mikko représente quelque chose de plus grand. Dans un monde où la tech évolue à vitesse grand V, où les menaces se multiplient, où la frontière entre physique et numérique s’efface, on a besoin de gardiens, c’est à dire de gens qui comprennent la technologie mais gardent leur humanité… des experts qui alertent sans faire peur, des visionnaires qui anticipent sans fantasmer.
Et dans 20 ans, quand l’IA sera partout, quand les drones patrouilleront dans nos villes, et quand le moindre objet sera connecté, on se souviendra de Mikko comme celui qui avait prévenu. Celui qui avait vu venir. Celui qui s’est battu pour que la technologie reste au service de l’humanité.
Vous savez ce petit carré noir et blanc que vous scannez sans réfléchir au resto ou sur un parking ? Bah il pourrait bien vider votre compte en banque. Le “quishing”, c’est la nouvelle arnaque qui cartonne et en France, on n’est pas épargnés. Cette forme de phishing par QR code s’inscrit dans une tendance inquiétante car les attaques de phishing ont augmenté de 58% en 2023 dans l’Hexagone.
Le pire, c’est qu’on a tous pris l’habitude de scanner ces trucs les yeux fermés. Pendant la pandémie, c’était même devenu le réflexe : menu du resto, paiement sans contact, infos au musée… Les QR codes étaient partout et on trouvait ça pratique. Sauf que maintenant, les escrocs ont flairé le bon plan. En France, 50 000 particuliers et professionnels ont déjà demandé de l’aide à Cybermalveillance.gouv.fr pour des attaques de phishing, et le quishing représente une part croissante de ces arnaques.
D’après une étude de KeepNet Labs, le quishing a augmenté de 25% cette année au niveau mondial et représente maintenant 26% de tous les liens malveillants. En France, 32% des URL de phishing signalées reposent sur des innovations récentes, QR codes compris. L’hameçonnage donc est devenu la menace numéro 1 pour les particuliers et les collectivités, et la seconde pour les entreprises françaises.
Les techniques des cybercriminels qui mettent ça en place sont variées mais toujours basées sur l’urgence et la confiance. Le coup classique, c’est l’autocollant collé sur un parcmètre ou une borne de recharge. Vous pensez payer votre stationnement, mais en fait vous filez vos infos bancaires à des malfrats. Dans le Loiret récemment, des hackers ont remplacé le QR code d’une borne de recharge électrique. Les utilisateurs pensaient recharger leur Tesla, mais ils rechargeaient surtout le compte des arnaqueurs.
La Federal Trade Commission américaine a aussi lancé l’alerte sur une nouvelle variante de colis non sollicités avec un QR code “pour identifier l’expéditeur”. Cette technique arrive maintenant en France, profitant du boom des achats en ligne.
En France, le smishing (phishing par SMS utilisant souvent des QR codes) connaît une hausse fulgurante depuis 2020. Les arnaques exploitent souvent :
Comme je vous le disais, tout ce qui est fausses livraisons de colis avec QR codes pour “tracer votre envoi”
Les notifications de réseaux sociaux frauduleuses
Les messages d’autorités (impôts, CAF, Ameli) avec QR codes urgents
Les faux RH d’entreprise demandant de scanner pour “mettre à jour vos informations”
Les cybercriminels adorent jouer sur l’urgence artificielle. Genre, vous recevez un faux PV avec un QR code pour payer l’amende rapidement et éviter des frais supplémentaires. Ou alors c’est votre banque qui vous demande de scanner d’urgence pour “débloquer votre compte”. À chaque fois, c’est la panique qui vous fait agir sans réfléchir. En France, le phishing représente 38% des demandes d’assistance cyber, preuve que cette technique fonctionne terriblement bien.
Ce qui rend le quishing particulièrement dangereux, c’est qu’il contourne les protections classiques. Les filtres anti-spam d’entreprise voient juste une image, et pas de lien suspect. Et souvent, vous scannez ça avec votre téléphone perso qui n’a pas les mêmes protections que votre PC de bureau. Les autorités françaises alertent sur cette progression rapide du quishing, qui profite de l’explosion de l’usage des QR codes depuis la pandémie.
Déjà, la base : ne scannez jamais un QR code qui vient de nulle part. Si c’est sur un autocollant mal collé ou qui semble rajouté après coup, fuyez. Vérifiez toujours l’URL qui s’affiche après le scan. Si ça commence par “http://” au lieu de “https://”, c’est louche. Si l’adresse c’est “app1e.com” au lieu de “apple.com”, c’est de l’arnaque !
Pour les parkings et bornes de recharge, utilisez toujours l’application officielle plutôt que de scanner. C’est moins rapide mais beaucoup plus sûr. Et activez l’authentification à deux facteurs partout où c’est possible. Comme ça, même si les arnaqueurs récupèrent vos identifiants, ils ne pourront pas accéder à vos comptes.
Et surveillez vos relevés bancaires comme le lait sur le feu. Le guide complet de Hoxhunt recommande aussi d’utiliser des apps de scan avec vérification de sécurité intégrée. Certaines analysent l’URL avant de l’ouvrir et vous alertent si c’est suspect.
D’ailleurs, voici un super outil à tester pour savoir si vous êtes assez bête pour encore vous faire avoir avec cette arnaque alors que vous venez de lire cet article:
Le quishing, c’est donc vraiment l’arnaque du moment. Simple, efficace et difficile à détecter. Avec une hausse de 58% des attaques de phishing en France et des QR codes frauduleux qui se multiplient, il est crucial de rester vigilant. Maintenant que vous savez comment ça marche et que vous connaissez l’ampleur du phénomène en France, vous avez toutes les cartes en main pour ne pas tomber dans le panneau.
Connexion
