Un prompt malveillant intégré dans l'extension Amazon Q pour Visual Studio Code aurait pu mener à la suppression des données des machines de développeurs.
The post Amazon Q : ce prompt malveillant a menacé les données des développeurs first appeared on IT-Connect.
Google Cloud Security vient de publier les conclusions de son nouveau Threat Intelligence Benchmark : « Stop Reacting; Start Anticipating »*, une étude réalisée en partenariat avec Forrester. Les résultats mettent en lumière un écart alarmant entre la visibilité sur les menaces et le niveau de préparation des dirigeants, dans un environnement de cybermenaces en perpétuelle mutation. […]
The post Former pour mieux détecter les cybermenaces first appeared on UnderNews.Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
Si vous avez bien suivi mes articles de ces dernières semaines, vous devez savoir que le monde de la cybersécurité regorge de personnages fascinants. Mais aujourd’hui, installez-vous confortablement parce que je vais vous raconter l’histoire d’un mec qui est plus que ça ! Il est carrement légendaire car Mikko Hyppönen, c’est le Sherlock Holmes des virus informatiques, car au lieu de résoudre des meurtres dans le Londres victorien, il traque les malwares dans le cyberespace depuis plus de 30 ans et son parcours est incroyable !
La première fois que j’ai vraiment pris conscience de l’importance de Mikko sur la Scene, c’était quand il a formulé sa fameuse “Loi de Hyppönen” en décembre 2016 qui dit que : “Dès qu’un appareil est décrit comme étant ‘intelligent’, il est vulnérable.” Cette petite phrase, tweetée un matin depuis Helsinki, est devenue l’une des règles les plus citées de la cybersécurité moderne. Mais l’histoire de ce Finlandais extraordinaire commence bien avant cela, dans un monde où les virus se propageaient encore sur des disquettes 5,25 pouces et où Internet n’était qu’un rêve de geeks.
Mikko Hyppönen, le chercheur en sécurité finlandais qui traque les malwares depuis 1991
Mikko Hermanni Hyppönen naît le 13 octobre 1969 à Kyrkslätt, en Finlande, dans un pays qui va devenir l’un des berceaux de la révolution numérique mondiale avec Nokia, Linux et… Angry Birds ^^. Et son histoire avec l’informatique commence très tôt, puisque sa mère, Kristina, née en 1935, travaille déjà avec des ordinateurs depuis 1966 ! À une époque où la plupart des gens pensent qu’un ordinateur c’est un truc de science-fiction, la maman de Mikko programme sur des machines IBM System/360 grosses comme des frigos.
Du coup, dans les années 70, pendant que les autres gamins jouent aux billes, le petit Mikko et ses deux frères s’amusent avec des cartes perforées et des bandes perforées que leur maman rapporte du boulot. “C’était notre Lego à nous”, racontera-t-il plus tard. Les trous dans les cartes formaient des patterns binaires, et les gamins s’amusaient à créer des motifs, sans vraiment comprendre qu’ils manipulaient les ancêtres du code moderne.
En 1981, à 12 ans, Mikko programme déjà sur un Sinclair ZX81 avec son énorme 1 Ko de RAM. Je sais, aujourd’hui, une simple emoji prend plus de place, mais en 1984, c’était foufou. Et un jour, il obtient son premier vrai ordinateur personnel, un Commodore 64. La bête a 64 Ko de RAM, un processeur 6510 à 1 MHz, et surtout, une communauté mondiale de passionnés qui échangent des programmes sur cassettes audio.
Le Commodore 64, premier ordinateur de Mikko et point de départ de sa carrière
Et là, c’est parti pour une passion qui ne le quittera plus jamais. Le gamin ne se contente pas de jouer à “International Karate” ou “The Last Ninja”. Il apprend le BASIC, puis l’assembleur 6502, le langage le plus proche de la machine. À 15 ans, il code déjà des démos et des utilitaires qu’il échange dans la scène underground finlandaise. Il fait même partie de plusieurs groupes de demo-makers, cette culture unique où les programmeurs rivalisent pour créer les effets visuels les plus impressionnants avec le minimum de ressources.
Et à 16 ans, moment charnière. Sa mère l’assoit à la table de la cuisine pour une discussion sérieuse. “Mikko, écoute-moi bien. Étudie les télécommunications, les télécommunications c’est l’avenir !” Elle a vu arriver les modems, les BBS (Bulletin Board Systems), les premiers réseaux. Visionnaire, cette femme ! Mikko l’écoute et s’inscrit en informatique avec une spécialisation télécom à l’Université de technologie d’Helsinki.
Et pendant ses études, Mikko ne chôme pas. Il code, il hacke (légalement !), il explore. Et il devient même modérateur sur plusieurs BBS finlandais, ces ancêtres d’Internet où les geeks se connectent via modem pour échanger des fichiers et discuter. C’est là qu’il commence à voir apparaître les premiers virus. Des trucs basiques qui affichent des messages ou effacent des fichiers. Fasciné, il les décompile, les analyse, comprend leur fonctionnement.
Puis en 1991, alors qu’il est encore étudiant, Mikko tombe sur une annonce qui va changer sa vie. Data Fellows, une petite startup finlandaise fondée en 1988 par Petri Allas et Risto Siilasmaa, cherche des programmeurs. L’entreprise développe des outils de sécurité et de chiffrement pour les entreprises. Mikko postule, passe l’entretien, et décroche le job. Il devient employé numéro… 30 et quelques. L’entreprise est minuscule, mais ambitieuse.
Data Fellows qui deviendra F-Secure, où Mikko a passé 34 ans de sa carrière
À l’époque, l’industrie antivirus en est à ses balbutiements. Les grands noms sont McAfee, Norton, et quelques autres américains. En Europe, y’a pas grand monde. Les virus se propagent principalement via des disquettes échangées de main en main. Internet existe, mais c’est encore un truc d’universités et de militaires et le World Wide Web ne sera disponible qu’en 1993. Mikko commence par analyser des virus DOS simples, mais il comprend vite qu’on est à l’aube d’une révolution.
Ce qui rend Mikko unique dès le début, c’est sa capacité à comprendre que derrière chaque virus, y’a une histoire humaine. Les créateurs de virus ne sont pas des monstres, ce sont souvent des gamins qui veulent prouver leurs compétences ou des programmeurs frustrés. Cette approche humaniste va définir toute sa carrière.
En 1994, Data Fellows lance F-PROT, l’un des premiers antivirus commerciaux européens. Mikko devient rapidement LE spécialiste des nouvelles menaces. Il développe une méthode d’analyse unique : Au lieu de juste créer des signatures pour détecter les virus connus, il cherche à comprendre les techniques utilisées, les motivations des créateurs, l’évolution des menaces. C’est de la criminologie appliquée au code.
1999, l’entreprise change de nom et devient F-Secure. Elle entre en bourse à Helsinki. Mikko, qui avait reçu des stock-options, devient millionnaire du jour au lendemain, mais contrairement à beaucoup qui auraient pris l’argent et seraient partis faire du kitesurf aux Maldives, Mikko reste. Pourquoi ? “J’adore mon boulot. Chaque jour apporte de nouveaux défis, de nouvelles menaces à analyser. C’est comme être détective, mais dans le cyberespace.”
L’un des moments les plus marquants de sa carrière arrive ensuite en 2011. Pour célébrer le 25e anniversaire du premier virus PC, Mikko décide de faire quelque chose de complètement fou : retrouver les créateurs du virus “Brain”, le tout premier virus PC de l’histoire. Problème : tout ce qu’il a, c’est le code du virus avec une adresse à Lahore, au Pakistan. Une adresse vieille de 25 ans dans une ville de 11 millions d’habitants.
Code source du virus Brain qui se propageait via des disquettes 5,25 pouces
Mais Mikko n’est pas du genre à abandonner. Il prend l’avion pour Lahore avec une équipe de tournage. L’adresse dans le code du virus indique “Brain Computer Services, 730 Nizam Block, Allama Iqbal Town” et arrivé sur place, miracle, le magasin existe toujours ! Et les créateurs du virus, Basit et Amjad Farooq Alvi, deux frères maintenant quinquagénaires à ce moment là, y travaillent encore !
La rencontre est surréaliste. Les frères Alvi accueillent Mikko chaleureusement. Ils expliquent qu’en 1986, ils vendaient des logiciels médicaux pour les hôpitaux pakistanais. Problème, leurs clients pirataient systématiquement leurs programmes donc pour les protéger, ils ont créé Brain, qui infectait les disquettes pirates. Le virus affichait un message demandant aux utilisateurs de les contacter pour obtenir une version légale. Ils avaient même mis leurs vrais noms, numéros de téléphone et adresse dans le code !
“Nous n’avions aucune intention malveillante”, explique Basit dans le documentaire. “Nous voulions juste protéger notre travail. Nous n’imaginions pas que ça deviendrait mondial.” Entre 1986 et 1989, Brain infectera plus de 100 000 ordinateurs de l’Arabie Saoudite à l’Indonésie. Les frères recevaient des appels furieux du monde entier, ne comprenant pas comment leur petit programme de protection avait pu voyager si loin.
Le documentaire de 10 minutes que Mikko réalise devient viral (sans mauvais jeu de mots). C’est la première fois que les créateurs du premier virus PC racontent leur histoire. On y voit les frères, maintenant chefs d’une entreprise d’hébergement web prospère, expliquer avec émotion qu’ils sont horrifiés par ce qu’est devenue l’industrie du malware. “Aujourd’hui, les virus sont créés pour voler, détruire, faire du chantage. C’est terrible”, déplore Amjad.
Mais bon, le vrai coup de maître de Mikko dans sa carrière, c’est son travail sur les virus les plus destructeurs de l’histoire moderne.
Retournons maintenant un peu en arrière… en 2003, c’est l’apocalypse numérique car en l’espace de quelques semaines, trois vers dévastateurs frappent Internet : Slammer en janvier, Blaster en août, et Sobig.F peu après. Des millions de machines infectées, des milliards de dollars de dégâts, et Internet qui ralentit au point de devenir inutilisable par moments.
F-Secure, sous la direction de Mikko, est en première ligne. L’équipe travaille 24h/24 pour analyser les menaces et développer des contre-mesures. Pour Blaster, Mikko et son équipe réalisent un exploit extraordinaire. Le ver exploite une faille dans Windows XP pour se propager automatiquement et en analysant le code, ils découvrent que le ver télécharge ses instructions depuis un serveur spécifique. Mikko contacte les autorités, le serveur est saisi, et le ver est neutralisé en quelques jours.
Pour Sobig.F, c’est encore plus épique puisque ce ver envoie des millions de spams et tente de télécharger du code malveillant depuis 20 serveurs différents. Mikko se coordonne avec le FBI, Interpol et des équipes de sécurité du monde entier et un par un, les 20 serveurs sont identifiés et neutralisés AVANT l’heure d’activation du ver. Une opération internationale coordonnée pour stopper une cybermenace, c’est du jamais vu à l’époque !
Puis en 2004, Vanity Fair publie un article de 10 pages intitulé “The Code Warrior” qui raconte cette période héroïque. Mikko y est présenté comme l’un des héros méconnus de la guerre contre les cybercriminels. L’article décrit ses nuits blanches, ses coups de téléphone avec le FBI à 3h du matin, sa course contre la montre pour sauver Internet. C’est une reconnaissance mainstream pour ce Finlandais discret qui préfère l’ombre des labos aux projecteurs.
Mais entre nous, l’une des affaires les plus fascinantes de sa carrière, c’est son analyse de Stuxnet en 2010. Ce ver informatique d’une complexité jamais vue est découvert par hasard par une petite boîte de sécurité biélorusse, mais c’est Mikko et quelques autres experts mondiaux qui vont comprendre sa véritable nature. Car Stuxnet ne vole pas de données, ne demande pas de rançon… Il cherche spécifiquement des automates programmables Siemens utilisés dans les centrifugeuses d’enrichissement d’uranium.
Stuxnet, le premier cyber-weapon d’État analysé par Mikko et son équipe
L’analyse de Mikko est glaçante : Stuxnet est une arme. Une cyber-arme développée par un ou plusieurs États pour saboter physiquement le programme nucléaire iranien. Le ver fait tourner les centrifugeuses trop vite puis trop lentement, les détruisant progressivement tout en envoyant de fausses données aux opérateurs. “C’est le premier acte de cyber-guerre de l’histoire”, déclare Mikko. “On est passé du vandalisme numérique à la destruction physique via le code.”
Mikko donne des briefings classifiés aux gouvernements européens sur Stuxnet et leur explique que la boîte de Pandore est ouverte : si on peut détruire des centrifugeuses avec du code, on peut aussi s’attaquer aux centrales électriques, aux barrages, aux systèmes de transport. La cyber-guerre n’est plus de la science-fiction.
L’ironie de l’histoire arrive en 2012 lorsque l’Organisation Iranienne de l’Énergie Atomique envoie directement un email à Mikko : “Monsieur Hyppönen, nous avons découvert un nouveau malware dans nos systèmes. Pouvez-vous nous aider à l’analyser ?” Imaginez, les Iraniens, victimes de Stuxnet, qui contactent un expert finlandais pour les aider ! C’est dire le niveau de respect et de neutralité que Mikko s’est construit. Il analyse alors le malware (baptisé Flame) et publie ses résultats publiquement, sans prendre parti.
Puis en juin 2013, Edward Snowden balance les documents de la NSA et le monde découvre l’ampleur de la surveillance de masse. PRISM, XKeyscore, la collecte systématique des métadonnées… C’est un séisme. Mikko, qui avait déjà des soupçons, devient l’une des voix les plus critiques et les plus écoutées sur le sujet.
Son TED Talk de décembre 2013, “How the NSA betrayed the world’s trust – time to act”, devient viral avec plus de 2 millions de vues. Mikko y explique quelque chose de terrifiant avec son calme finlandais habituel : “Si vous n’êtes pas citoyen américain, vous n’avez aucun droit. La NSA peut légalement espionner tous vos emails, toutes vos communications, juste parce que vous n’êtes pas américain.”
Il pose surtout LA question qui dérange : “Faisons-nous aveuglément confiance à n’importe quel gouvernement futur ? Parce que tout droit que nous abandonnons, nous l’abandonnons pour de bon. Si nous acceptons la surveillance aujourd’hui parce que nous faisons confiance à Obama, qu’est-ce qui se passe si dans 20 ans c’est un dictateur qui a accès à ces outils ?”
Son autre TED Talk, “Three types of online attack”, donné en 2012 et visionné 1,5 million de fois, est aussi devenu une masterclass pour comprendre les menaces numériques. Mikko y explique qu’il existe trois types d’attaques en ligne : les criminels (qui veulent votre argent), les hacktivistes (qui veulent faire passer un message), et les gouvernements (qui veulent tout savoir). Mais seuls les deux premiers sont considérés comme des crimes. Le troisième ? C’est légal. “C’est ça le problème”, martèle Mikko.
Mais ce qui rend Mikko vraiment spécial, au-delà de ses analyses techniques pointues, c’est sa capacité à anticiper les tendances. En 2014, alors que tout le monde s’extasie devant les objets connectés, Mikko tire la sonnette d’alarme. “On est en train de transformer chaque objet en ordinateur. Votre frigo devient un ordinateur qui refroidit. Votre voiture devient un ordinateur qui roule. Votre montre devient un ordinateur que vous portez. Et qui dit ordinateur dit vulnérabilités.”
Enfin, en décembre 2016, il tweet ce qui deviendra sa phrase la plus célèbre : “Dès qu’un appareil est décrit comme étant ‘intelligent’, il est vulnérable”.
La Loi de Hyppönen est née. Simple, percutante, terriblement vraie. Votre smart TV ? Vulnérable. Votre thermostat intelligent ? Vulnérable. Votre sex-toy connecté ? Vulnérable (et oui, ça existe, et oui, ça a déjà été hacké).
L’analogie qu’il utilise aussi pour expliquer les risques est brillante. En 2017, lors d’une conférence à Helsinki, il déclare : “Les objets connectés d’aujourd’hui, c’est l’amiante des années 60-70. À l’époque, on mettait de l’amiante partout parce que c’était un super isolant. 30 ans plus tard, on a découvert que ça tuait les gens. Aujourd’hui, on connecte tout à Internet parce que c’est cool. Dans 20 ans, on se demandera comment on a pu être aussi inconscients.”
Et il a raison ! Les honeypots de F-Secure (des pièges pour détecter les attaques) montrent une explosion des infections IoT. En 2016, le botnet Mirai, composé de caméras de sécurité et de routeurs compromis, lance la plus grosse attaque DDoS de l’histoire, mettant hors ligne une partie d’Internet pendant des heures. “Je l’avais prédit”, dit simplement Mikko. Pas par arrogance, mais avec la tristesse de Cassandre qui voit ses prophéties se réaliser.
En 2018, Mikko co-écrit avec Linus Nyman un papier académique : “The Internet of (Vulnerable) Things: On Hypponen’s Law, Security Engineering, and IoT Legislation”. L’article devient une référence, cité dans les propositions de loi en Californie, au Royaume-Uni, en Europe. Pour la première fois, des gouvernements comprennent qu’il faut réguler la sécurité des objets connectés AVANT la catastrophe, pas après.
2021 marque un tournant car après 30 ans à analyser des malwares, Mikko décide de partager sa vision globale. Il écrit le livre “If It’s Smart, It’s Vulnerable” (lien affilié), publié d’abord en finnois puis traduit en anglais, allemand, japonais. Le livre n’est pas un manuel technique, c’est une réflexion philosophique sur notre rapport à la technologie dans laquelles Mikko développe sa vision : Après la révolution Internet qui a mis tous les ordinateurs en ligne, la révolution IoT met “tout le reste” en ligne.
“If It’s Smart, It’s Vulnerable” - Le livre de Mikko sur l’avenir de la cybersécurité
Sa prédiction finale y est vertigineuse : “À terme, tout ce qui consomme de l’électricité sera en ligne”. Votre ampoule, votre grille-pain, votre brosse à dents. Et quand être hors ligne ne sera plus une option, Internet deviendra tellement omniprésent qu’on ne le remarquera même plus. Comme l’électricité aujourd’hui : vous ne pensez pas “je vais utiliser l’électricité” quand vous allumez la lumière.
Une des caractéristiques les plus fascinantes de Mikko, c’est son côté archiviste obsessionnel. Depuis 1994, il garde TOUS ses emails. En 2024, ça représente 6,8 millions de messages, 150 Go de données. “C’est mon journal intime numérique”, explique-t-il. “Je peux retrouver exactement ce que je faisais n’importe quel jour depuis 30 ans”. Cette habitude reflète sa compréhension profonde de l’importance de la mémoire numérique.
Mikko est aussi un orateur extraordinaire. Il a donné des keynotes dans toutes les conférences qui comptent : Black Hat (Las Vegas, la Mecque du hacking), DEF CON (la conférence underground par excellence), RSA (le rendez-vous corporate de la cybersécurité), TED, TEDx, SXSW, DLD, Slush, même les Assises de la Sécurité à Monaco où je l’avais croisé IRL… Et sa présence sur scène est magnétique : costume impeccable, accent finlandais charmant, slides minimalistes mais percutants.
Ce qui frappe surtout dans ses présentations, c’est sa capacité à rendre accessible le plus complexe. Quand il explique un buffer overflow, même votre chef comprend. Quand il parle de cryptographie quantique, on a l’impression que c’est simple. Il a le don rare de vulgariser sans simplifier et d’éduquer sans ennuyer.
Et comme vous le savez, son travail ne se limite pas aux conférences car depuis les années 90, Mikko assiste régulièrement les forces de l’ordre. FBI, Europol, Interpol… Quand une affaire de cybercriminalité dépasse les compétences locales, on appelle Mikko. Il a témoigné dans des dizaines de procès, aidé à coincer des cybercriminels du Brésil à la Russie. Mais toujours discrètement : “Je ne suis pas un flic, je suis un expert technique. Mon job c’est d’expliquer comment le crime a été commis, pas de menotter les méchants.”
Depuis 2007, il siège au conseil consultatif d’IMPACT (International Multilateral Partnership Against Cyber Threats) aux côtés de pointures comme Yevgeny Kaspersky (oui, LE Kaspersky de l’antivirus), Hamadoun Touré (ex-secrétaire général de l’ITU), et d’autres. En 2016, il devient aussi conservateur du Malware Museum aux Internet Archives, préservant l’histoire des virus pour les générations futures.
Et la reconnaissance internationale pleut sur Mikko. PC World le classe parmi les 50 personnes les plus importantes du web. Foreign Policy l’inclut dans sa liste Global 100 Thinkers. Il est intronisé au Temple de la renommée d’Infosecurity Europe en 2016. Twitter le remercie publiquement pour avoir amélioré leur sécurité. Même Wired, le magazine tech le plus influent du monde, lui demande d’écrire régulièrement.
Mais Mikko reste profondément finlandais et comme tous les hommes de son pays, il a fait son service militaire obligatoire. Mais au lieu de rentrer chez lui après, il est resté dans la réserve et aujourd’hui, il est capitaine dans la division des transmissions de l’armée finlandaise. “La Finlande a 1 340 km de frontière avec la Russie”, rappelle-t-il. “La défense nationale, c’est l’affaire de tous.” Cette formation militaire transparaît également dans son approche : discipline, méthode, anticipation.
D’ailleurs, malgré des offres mirobolantes de la Silicon Valley, de Londres, de Singapour, Mikko refuse de quitter la Finlande. “J’aime mon pays. Les hivers sont longs et sombres, mais les étés sont magiques. Et puis, la Finlande est régulièrement classée pays le plus heureux du monde. Pourquoi partir ?” Il vit toujours près d’Helsinki avec sa femme et ses trois fils, dans une maison qu’il a truffée de gadgets IoT… tous sécurisés, évidemment.
En 2022, grosse surprise dans l’industrie. F-Secure se scinde en deux : F-Secure pour les particuliers, WithSecure pour les entreprises. Mikko reste donc avec WithSecure comme Chief Research Officer mais après 34 ans dans la même boîte (un record dans la tech !), l’envie de changement le titille.
Puis en juin 2025, coup de tonnerre !! Mikko annonce qu’il quitte WithSecure pour rejoindre Sensofusion, une startup finlandaise spécialisée dans… les technologies anti-drones.
Comment ça ??? Le monsieur anti-virus devient monsieur anti-drone ? L’industrie est sous le choc. Mais quand on y réfléchit, c’est logique car les drones autonomes armés utilisant l’IA représentent la prochaine grande menace. Un drone peut porter des explosifs, des armes biologiques, peut espionner, peut former des essaims coordonnés… Comme l’explique Mikko, “Les malwares détruisent des données. Les drones peuvent détruire des vies […] et avec l’IA, la miniaturisation, le coût qui baisse, n’importe qui pourra bientôt acheter un drone tueur sur le dark web. Il faut développer des contre-mesures MAINTENANT”. Bref, toujours cette capacité à voir 5 ans en avance.
Les drones autonomes : la nouvelle frontière de la sécurité selon Mikko
Quand on lui demande d’identifier les grandes menaces de 2024-2025, Mikko liste cinq dangers majeurs avec sa clarté habituelle.
Bref, l’approche de Mikko a toujours été holistique car il ne se contente pas d’analyser le code… il comprend le contexte géopolitique, les motivations humaines, l’impact sociétal. Par exemple, quand il parle de Stuxnet, il explique les tensions Iran-Israël. Quand il analyse un ransomware, il est capable de décrire l’économie criminelle russe. Cette vision à 360 degrés fait donc de lui l’un des experts les plus complets au monde.
Aujourd’hui, l’héritage de Mikko est partout. Quand votre antivirus détecte une menace, il utilise des techniques qu’il a développées. Quand votre smartphone vous alerte sur une app suspecte, c’est grâce à des recherches qu’il a menées. Quand l’Europe vote des lois sur la sécurité IoT, c’est en citant ses travaux. Et quand les médias parlent de cyberguerre, ils reprennent ses analyses !
Mais au-delà des accomplissements techniques, Mikko représente quelque chose de plus grand. Dans un monde où la tech évolue à vitesse grand V, où les menaces se multiplient, où la frontière entre physique et numérique s’efface, on a besoin de gardiens, c’est à dire de gens qui comprennent la technologie mais gardent leur humanité… des experts qui alertent sans faire peur, des visionnaires qui anticipent sans fantasmer.
Et dans 20 ans, quand l’IA sera partout, quand les drones patrouilleront dans nos villes, et quand le moindre objet sera connecté, on se souviendra de Mikko comme celui qui avait prévenu. Celui qui avait vu venir. Celui qui s’est battu pour que la technologie reste au service de l’humanité.
Sources : Wikipedia - Mikko Hyppönen, WithSecure - Mikko Hyppönen bio, TED - Mikko Hyppönen speaker page, F-Secure Blog - Hypponen’s Law and IoT, Help Net Security - Brain virus documentary, Virus Bulletin - Taking Brain home, NPR - Mikko on NSA surveillance, Verdict - Smart devices as IT asbestos, If It’s Smart, It’s Vulnerable - Official book site, Baillie Gifford - Interview with Mikko Hyppönen, The Juggernaut - Brain virus story
Scattered Spider cible VMware ESXi sans exploiter de failles logicielles et chiffre les VM avec un ransomware. Une menace redoutable pour les organisations.
The post Les pirates de Scattered Spider prennent le contrôle de serveurs VMware vSphere sans exploiter de failles first appeared on IT-Connect.
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
La première fois où j’ai entendu parler de Charlie Miller c’était en 2008, juste après qu’il ait défoncé un MacBook Air flambant neuf en moins de 2 minutes au concours Pwn2Own. 10 000 dollars de prime et la gloire éternelle.
À l’époque, c’était impressionnant qu’un mec puisse compromettre une machine Apple aussi vite mais ce que je ne savais pas encore, c’est que derrière ce hack spectaculaire se cachait l’histoire d’un gamin du Missouri, orphelin très tôt et qui a transformé sa solitude en génie mathématique. Un chercheur qui allait devenir tellement doué pour casser les produits Apple qu’ils finiraient par se faire bannir de leur écosystème. Voici l’histoire de Charlie Miller, l’homme que Foreign Policy a classé dans son Top 100 des penseurs mondiaux et surnommé “l’un des hackers les plus techniquement compétents sur Terre”.
Charlie Miller lors d’une présentation à la Truman State University
Charles Alfred Miller est né le 6 mai 1973 à St. Louis, dans le Missouri et son enfance à Affton n’a rien d’un conte de fées. Quand il a 7 ans, sa mère Géraldine meurt d’un cancer. Pour un gamin de cet âge, c’est un tsunami émotionnel et Charlie se retrouve à passer beaucoup de temps seul. Cette solitude forcée, il va la transformer en quelque chose de productif : une passion dévorante pour les mathématiques et la logique. “J’ai passé beaucoup de temps tout seul”, confiera-t-il plus tard dans une interview au St. Louis Magazine. C’est cette solitude qui l’a poussé à se plonger dans les chiffres et les équations… un monde où tout avait du sens, contrairement au chaos émotionnel provoqué par la perte de sa mère.
Au lycée, Charlie n’est pas le geek cliché qu’on imagine. Il fait du vélo de compétition et devient même champion de l’État du Missouri. Un athlète matheux, y’a pas beaucoup de gens comme ça mais c’est dans les maths qu’il trouve vraiment sa voie. Il est tellement doué qu’il décroche une bourse complète pour Northeast Missouri State University (aujourd’hui Truman State), où il obtient un bachelor en mathématiques avec une spécialisation secondaire en philosophie. La combinaison est intéressante : les maths pour la rigueur logique et la philo pour questionner le monde. D’ailleurs, cette double approche analytique et réflexive deviendra sa marque de fabrique dans le hacking.
Mais Charlie voit plus grand. Il veut un doctorat, alors direction l’Université de Notre Dame, l’une des meilleures facs catholiques du pays. Là, il se plonge dans les équations aux dérivées partielles non linéaires qui décrivent la propagation de la lumière dans les fibres optiques. C’est du très haut niveau, le genre de trucs que seule une poignée de personnes dans le monde comprend vraiment. Sa thèse porte sur les solitons optiques, ces ondes qui se propagent sans se déformer dans les fibres. Puis en 2000, après des années de travail acharné, il soutient sa thèse et devient officiellement Dr. Charlie Miller. Et honnetement, à ce moment-là, il pense que sa vie est toute tracée : la recherche, l’enseignement, et peut-être un prix Nobel un jour. Qui sait ?
L’Université de Notre Dame où Charlie Miller a obtenu son doctorat en mathématiques
C’est là que l’histoire prend un tournant complètement dingue. Charlie a toujours rêvé d’être astronaute. Sérieusement. Depuis gamin, il regarde les étoiles et s’imagine flotter dans l’espace. Avec son PhD en maths de Notre Dame, il pense avoir le profil parfait pour la NASA. Il envoie alors candidature sur candidature. Il remplit des formulaires de 50 pages, passe des tests médicaux, rédige des essais sur sa motivation. Mais à chaque fois, c’est le silence radio. La NASA ne lui répond même pas. Pas un accusé de réception, rien.
Pour un type brillant comme lui, habitué à réussir tout ce qu’il entreprend, c’est une claque monumentale. “Mon rêve de devenir astronaute n’est resté qu’un rêve parce que la NASA a ignoré mes nombreuses candidatures après mes études supérieures.”, dira-t-il plus tard avec une pointe d’amertume qui ne l’a jamais vraiment quitté.
“Mis à part dans le milieu universitaire, il n’y a pas beaucoup d’emplois pour un mathématicien titulaire d’un doctorat.”, réalisera-t-il brutalement. C’est vrai, et c’est le drame de beaucoup de docteurs en sciences fondamentales. Quand vous avez passé des années à étudier des équations différentielles partielles non linéaires appliquées aux solitons optiques, vos options de carrière sont… limitées.
Prof d’université ? Il n’a pas envie de passer sa vie à publier des papers que personne ne lira sur un sujet ultra-niche qui ne le passionne plus vraiment. Les labos de recherche privés ? Ils préfèrent les ingénieurs aux mathématiciens purs. Quant au secteur privé classique, peu d’entreprises ont besoin d’un expert en propagation d’ondes dans les fibres optiques. Wall Street peut-être ? Mais l’idée de devenir un quant pour optimiser des algorithmes de trading haute fréquence ne l’emballe pas.
C’est alors que la NSA entre en scène. L’agence de renseignement américaine la plus secrète au monde recrute des mathématiciens à tour de bras pour faire de la cryptographie et de la cryptanalyse. Pour eux, un PhD en maths de Notre Dame, c’est du pain béni car ils voient au-delà des solitons optiques : ils voient un cerveau capable de manipuler des concepts mathématiques abstraits complexes, soit exactement ce qu’il faut pour casser des codes. Charlie accepte l’offre, un peu par défaut, un peu par curiosité et en 2000, débarque à Fort Meade, dans le Maryland, au QG de l’agence qui écoute le monde entier. Le bâtiment est une forteresse de verre noir, entourée de barbelés et de checkpoints. Bienvenue dans le monde de l’espionnage.
Le quartier général de la NSA à Fort Meade, Maryland, où Charlie a travaillé de 2000 à 2005
À la NSA, Charlie est officiellement cryptographe dans la division mathématique. Son boulot officiel est de développer et casser des algorithmes de chiffrement, analyser des protocoles cryptographiques, chercher des failles dans les systèmes de communication ennemis. Mais rapidement, il découvre un nouveau terrain de jeu : la sécurité informatique opérationnelle. La NSA ne fait pas que de la crypto théorique, elle fait aussi du hacking offensif. Et pour ça, elle propose des formations internes dans tous les domaines : exploitation de vulnérabilités, reverse engineering, développement d’exploits, techniques d’intrusion avancées. Charlie s’inscrit à tout ce qu’il peut. Il est comme un gamin dans un magasin de bonbons.
“Même si j’ai été embauché comme mathématicien à la NSA, ils proposaient divers programmes de formation. J’ai commencé par suivre une formation en sécurité informatique et j’ai occupé des postes qui mettaient l’accent sur cette compétence.”, expliquera-t-il. Et c’est là que sa formation mathématique devient un atout majeur. Car là où d’autres voient du code, lui voit des patterns, des structures, des failles logiques. Son cerveau mathématique lui permet de comprendre intuitivement comment les systèmes peuvent être cassés. C’est alors le début d’une transformation radicale.
Le mathématicien théoricien devient hacker opérationnel. Et pas n’importe quel hacker : un hacker de la NSA, formé par les meilleurs, avec accès aux outils et aux connaissances les plus pointus du renseignement américain. L’équipe Tailored Access Operations (TAO), l’élite du hacking à la NSA, devient son terrain de jeu.
Alors durant cinq ans, Charlie va apprendre les ficelles du métier au plus haut niveau. Comment exploiter une faille de buffer overflow dans un système embarqué. Comment contourner l’ASLR et le DEP. Comment développer des exploits fiables qui marchent à tous les coups. Comment penser comme un attaquant tout en gardant l’objectif stratégique en tête.
La NSA, c’est l’école du hacking version hardcore, avec des moyens illimités. Pas de place pour les amateurs ou les script kiddies. Chaque jour, il côtoie des génies de la sécurité qui chassent des espions chinois, russes et iraniens dans le cyberespace. Il participe à des opérations dont il ne pourra jamais parler, développe des outils qui resteront classifiés pendant des décennies.
Mais en 2005, après cinq ans dans les entrailles de Big Brother, Charlie en a marre. Le monde de l’espionnage, c’est excitant les premiers mois, mais ça devient vite frustrant. Tout ce que vous faites est classifié Top Secret/SCI. Vous ne pouvez jamais parler de vos exploits, même à votre femme et vos découvertes restent enfermées dans des SCIFs (Sensitive Compartmented Information Facilities).
Vous trouvez une faille critique dans un système utilisé par des millions de personnes ? Tant mieux, on va l’exploiter pour espionner, pas la corriger et pour quelqu’un de créatif comme Charlie, qui aime partager ses connaissances et voir l’impact concret de son travail, c’est étouffant. “Je ne suis toujours pas en mesure de discuter des détails de mon passage à la NSA, à part quelques vagues références à des cibles étrangères et à la reconnaissance de réseaux informatiques.”, dira-t-il des années plus tard, toujours lié par son serment de confidentialité.
Il quitte alors la NSA et devient consultant principal en sécurité chez Independent Security Evaluators (ISE), une petite boîte de Baltimore fondée par des anciens de la NSA. Enfin libre ! Il peut maintenant hacker légalement et publiquement. Fini les opérations secrètes, place à la recherche en sécurité au grand jour. ISE fait du pentest pour des grandes entreprises, mais encourage aussi ses employés à faire de la recherche publique et c’est là que sa carrière explose vraiment.
Le 29 juin 2007, Apple lance l’iPhone et c’est une révolution. Un ordinateur Unix complet dans votre poche, avec un écran tactile. Le monde entier est en émoi et les files d’attente devant les Apple Store font le tour du monde. Charlie regarde ce bijou de technologie avec son œil de hacker et se dit : “Je parie que je peux le casser.” Il achète alors un iPhone le jour de la sortie (550 dollars quand même !), rentre chez lui et se met au boulot.
Il commence par analyser le système, chercher des vecteurs d’attaque… Safari Mobile semble prometteur… et quelques semaines plus tard, bingo ! Il trouve une faille dans le parseur TIFF de Safari Mobile qui permet de prendre le contrôle total de l’appareil via une image malveillante. Il devient officiellement le premier au monde à hacker publiquement l’iPhone. Apple n’est pas content du tout mais Charlie s’en fout royalement. Il a trouvé sa nouvelle vocation : casser les produits Apple pour les rendre plus sûrs. Et il est doué. Très, très doué.
Mars 2008, Vancouver. C’est l’heure du Pwn2Own, le championnat du monde officieux du hacking. Organisé par la Zero Day Initiative pendant la conférence CanSecWest, c’est LE concours où les meilleurs hackers de la planète viennent montrer leur talent. Les règles sont simples mais brutales : le premier qui réussit à compromettre complètement une machine via une vulnérabilité zero-day gagne le cash et la machine. Cette année-là, la cible star, c’est le MacBook Air qu’Apple vient de sortir deux mois plus tôt. Ultra-fin (1,94 cm le plus épais !), ultra-cher (1 799 dollars en version de base), ultra-sécurisé selon la Pomme. Souvenez-vous, Steve Jobs l’a présenté en le sortant d’une enveloppe en papier kraft. Encore un coup de génie marketing.
L’arène du Pwn2Own où les meilleurs hackers s’affrontent pour casser les systèmes les plus sécurisés
Charlie arrive tranquille, en jean et t-shirt, son laptop sous le bras. Il a passé des semaines à préparer son attaque en secret. Il a trouvé une faille dans la bibliothèque PCRE (Perl Compatible Regular Expressions) utilisée par Safari. Il s’agit d’une faille dans le traitement des expressions régulières qui était publique depuis février 2007 mais qu’Apple n’avait toujours pas corrigée un an plus tard. Négligence ou incompétence ? Peu importe, c’est du pain béni pour Charlie et pour cela, il a développé un exploit ultra-fiable qui contourne toutes les protections : ASLR, sandboxing, tout y passe.
Le jour J arrive enfin. La salle est bondée. Des journalistes, des chercheurs en sécurité, des représentants des vendeurs… Tout le monde retient son souffle. Charlie s’assoit devant le MacBook Air flambant neuf. Il lance Safari, tape l’URL de son serveur malveillant. La page se charge. Elle contient juste une ligne de texte : “PWNED”. Deux minutes chrono. Le MacBook Air est compromis. Charlie a un shell root et peut faire ce qu’il veut de la machine. Il lance Calculator.app pour prouver l’exécution de code. Game over. 10 000 dollars dans la poche et un MacBook Air gratuit. Une foule de geeks l’acclame, les flashs crépitent. Charlie Miller vient d’entrer dans la légende du hacking.
Mais Charlie reste modeste. “L’attaque a duré deux minutes, mais la recherche a pris beaucoup plus de temps.”, précisera-t-il plus tard. “J’ai passé de nombreux jours à faire des recherches et à rédiger l’exploit avant le jour de la compétition. C’est comme quand les gens regardent un match : ils voient le résultat, mais ils ne voient pas toutes les années d’entraînement...” C’est ça, le vrai hacking : 99% de préparation minutieuse, 1% d’exécution spectaculaire. Les médias ne montrent évidemment que la partie visible de l’iceberg.
L’année suivante, en 2009, rebelote. Charlie revient à Pwn2Own et défonce Safari sur Mac OS X 10.5.6 en quelques secondes cette fois. 5 000 dollars de plus (le prix a baissé, la crise est passée par là). La faille ? Un bug dans le parseur de polices de Safari. Puis en 2010, il récidive encore, exploitant cette fois une vulnérabilité dans le traitement des PDF. 10 000 dollars cette fois. Trois victoires d’affilée sur Mac. Du jamais vu dans l’histoire du concours. Même les organisateurs commencent à se demander s’il ne faudrait pas créer une catégorie “Charlie Miller” à part. Les médias le surnomment le “serial killer d’Apple”, le “cauchemar de Cupertino”.
Mais Charlie commence à en avoir sérieusement marre de ce petit jeu. Chaque année, il trouve des failles critiques, Apple les corrige (souvent après des mois de retard), et l’année suivante il en trouve d’autres. C’est un cycle sans fin qui n’améliore pas vraiment la sécurité fondamentale des produits. C’est du colmatage, pas de l’architecture sécurisée. Alors en 2010, après sa troisième victoire consécutive, il lance sa campagne provocatrice “NO MORE FREE BUGS” avec Dino Dai Zovi et Alex Sotirov.
“Les vulnérabilités ont une valeur marchande, il est donc absurde de travailler dur pour trouver un bug, écrire un exploit et ensuite le donner gratuitement.”, déclare-t-il lors d’une conférence de presse improvisée. Et il a totalement raison. Sur le marché gris et noir, une faille iOS zero-day peut se vendre entre 100 000 et 2 millions de dollars selon sa criticité. Des sociétés comme Zerodium ou Azimuth Security sont prêtes à payer des fortunes et les agences de renseignement aussi.
Alors pourquoi donner gratuitement ces failles à Apple qui fait des dizaines de milliards de bénéfices par trimestre et traite les chercheurs en sécurité comme des emmerdeurs ? La communauté est divisée. Certains l’accusent de mercantilisme, d’autres applaudissent son pragmatisme.
Mais le coup le plus spectaculaire et audacieux de Charlie contre Apple, c’est en 2011 quand il découvre une faille architecturale majeure dans iOS. Pour accélérer JavaScript dans Safari Mobile, Apple a créé une exception dans sa politique de signature de code, permettant au navigateur d’exécuter du code non signé avec des privilèges élevés. Charlie réalise qu’il peut exploiter cette exception depuis n’importe quelle app et pour le démontrer de manière spectaculaire, il crée une application appelée InstaStock. En apparence, c’est une app banale qui affiche des cours de bourse en temps réel. Interface minimaliste, fonctionnalités basiques. Le genre d’app qu’Apple valide sans même regarder. Et c’est exactement ce qui se passe : Apple l’approuve et la publie sur l’App Store en septembre 2011.
Sauf qu’InstaStock cache un terrible secret. Une backdoor sophistiquée. Une fois installée, l’app se connecte discrètement à un serveur C&C (Command & Control) chez Charlie, dans son sous-sol à St. Louis. De là, il peut télécharger et exécuter n’importe quel code arbitraire sur l’iPhone, contournant complètement le sandboxing iOS. Lire tous les contacts, activer le micro pour écouter les conversations, prendre des photos avec la caméra, tracker la position GPS, voler les mots de passe du trousseau… Apple a validé un cheval de Troie militarisé. Le loup est dans la bergerie.
Charlie attend patiemment. Septembre passe, octobre aussi… Et Apple ne remarque absolument rien. Des milliers d’utilisateurs téléchargent InstaStock puis en novembre, après deux mois d’attente, il en a marre de ce silence assourdissant. Il décide de forcer la main d’Apple et poste une vidéo sur YouTube où il montre comment il contrôle un iPhone à distance via son app. On le voit taper des commandes sur son laptop, et l’iPhone à côté réagit instantanément : lecture des SMS, activation du vibreur, accès aux photos… C’est la démonstration ultime que l’App Store n’est pas le jardin clos sécurisé qu’Apple prétend. Il prévient aussi Andy Greenberg de Forbes (le journaliste qui avait couvert ses exploits précédents) qui écrit alors un article explosif : “iPhone Hacker Charlie Miller Reveals His Apple App Store Spyware”.
La réaction d’Apple est immédiate, brutale et sans appel. Quelques heures seulement après la publication de l’article de Forbes, Charlie reçoit un email glacial du Developer Relations d’Apple : “La présente lettre constitue une notification de résiliation du Contrat de licence du programme pour développeurs iOS entre vous et Apple, avec effet immédiat. Vous ne pourrez plus soumettre de nouvelles applications ou mises à jour à l’App Store.”
Banni. Viré. Blacklisté. Persona non grata. Apple vient de kicker celui qui les a aidés à corriger des dizaines de failles critiques au fil des ans. L’ironie est mordante.
“Je suis en colère. Je leur signale tout le temps des bogues. Le fait de faire partie du programme des développeurs m’aide à le faire. Ils se font du mal à eux-mêmes et me rendent la vie plus difficile”, rage Charlie dans une série de tweets vengeurs. Mais Apple s’en contrefiche. Pour eux, Miller a franchi la ligne rouge en publiant délibérément une app malveillante et en l’exploitant publiquement. C’est une violation flagrante des conditions d’utilisation, peu importe qu’il l’ait fait pour démontrer une faille de sécurité critique.
La communauté de la sécurité est outrée. Comment Apple peut-il bannir quelqu’un qui les aide gratuitement à sécuriser leurs produits ? Mais Cupertino reste inflexible. Charlie Miller est désormais persona non grata dans l’écosystème iOS.
Apple a banni Charlie Miller de son programme développeur après l’incident InstaStock
Mais malgré cela, Charlie ne chôme pas. Avec Collin Mulliner, un chercheur allemand spécialisé dans la sécurité mobile qu’il a rencontré aux conférences, il s’attaque à un nouveau défi titanesque : la sécurité des SMS sur iPhone. Les SMS, c’est le talon d’Achille de tous les téléphones. Un protocole ancien, mal sécurisé, qui traite des données non fiables venant du réseau.
Le duo développe alors un outil de fuzzing sophistiqué capable de bombarder les téléphones de centaines de milliers de SMS malformés pour trouver des crashs exploitables. L’outil, qu’ils baptisent “SMS Fuzzer”, s’insère entre le processeur et le modem du téléphone, simulant la réception de SMS sans avoir à les envoyer réellement sur le réseau (ce qui coûterait une fortune et alerterait les opérateurs).
Après des mois de fuzzing intensif, bingo ! Ils découvrent une faille absolument terrifiante dans l’iPhone. Un bug dans le décodage des SMS PDU (Protocol Data Unit) qui provoque une corruption mémoire exploitable. Le bug est dans CommCenter, le daemon qui gère toutes les communications de l’iPhone. Game over une nouvelle fois pour Apple.
Et le potentiel est cauchemardesque puisqu’en envoyant une série de 512 SMS spécialement forgé (dont un seul apparaît à l’écran sous forme d’un simple carré), ils peuvent prendre le contrôle total de n’importe quel iPhone à distance. Pas besoin que la victime clique sur quoi que ce soit. Pas besoin qu’elle ouvre le message. Il suffit que son téléphone reçoive les SMS. C’est l’attaque parfaite : invisible, indétectable, imparable. Un véritable missile guidé numérique.
“Les SMS constituent un incroyable vecteur d’attaque pour les téléphones mobiles. Tout ce dont j’ai besoin, c’est de votre numéro de téléphone. Je n’ai pas besoin que vous cliquiez sur un lien, que vous visitiez un site web ou que vous fassiez quoi que ce soit.”, explique Charlie. C’est le hack ultime : totalement passif pour la victime, totalement actif pour l’attaquant. Avec cette faille, on peut espionner n’importe qui sur la planète du moment qu’on a son numéro. Chefs d’État, PDG, journalistes, activistes… Personne n’est à l’abri.
Juillet 2009, Las Vegas. Black Hat, la plus grande conférence de sécurité au monde. Le Mandalay Bay Convention Center grouille de hackers, de fédéraux et de vendeurs de solutions de sécurité. Charlie et Collin montent sur la scène principale pour présenter leur découverte. Il y a 3000 personnes dans la salle. “Fuzzing the Phone in Your Pocket”, annonce le titre sobre de leur présentation. Dans le public, Elinor Mills, une journaliste respectée de CNET, sert courageusement de cobaye. Elle a donné son numéro de téléphone et attend, iPhone 3GS à la main.
Black Hat, où Charlie et Collin ont démontré le hack SMS dévastateur de l’iPhone
Charlie lance alors l’attaque depuis son laptop. 512 SMS partent vers le téléphone d’Elinor. Sur scène, un écran géant montre les logs en temps réel. Le public voit les paquets partir, le réseau les acheminer. Soudain, l’iPhone d’Elinor se fige. L’écran devient noir. Puis il redémarre. Quand il revient à la vie, Charlie a le contrôle total. Il fait vibrer le téléphone à distance. Ouvre l’appareil photo. Lit les contacts. La salle est médusée. Certains filment avec leur propre iPhone, réalisant soudain la vulnérabilité de leur appareil.
“Un instant, je parle à Miller et l’instant d’après, mon téléphone est mort.”, raconte Mills, encore sous le choc. “Ensuite, il se rallume mais je ne peux pas passer d’appels. Il est complètement sous leur contrôle. C’était terrifiant.”
La démo est un triomphe total. Le public est en standing ovation. Twitter s’enflamme. La nouvelle fait le tour du monde en quelques heures et Apple, qui avait été prévenu un mois plus tôt mais n’avait rien fait (classique), se réveille enfin. Le lendemain matin, coup de théâtre : Apple sort iOS 3.0.1 en urgence absolue qui corrige la faille. Un patch d’urgence un samedi matin, du jamais vu chez Apple. La pression médiatique a payé.
Cette histoire SMS est typique de l’approche Charlie Miller. Il ne se contente pas de trouver des bugs mineurs. Il trouve des bugs critiques, architecturaux, qui remettent en question la sécurité fondamentale des systèmes. Il démontre leur dangerosité de manière spectaculaire et indéniable et il force les vendeurs à réagir en rendant ses recherches publiques. C’est du “responsible disclosure” version commando : on prévient discrètement, mais si rien ne bouge, on sort l’artillerie lourde.
En 2012, Twitter cherche désespérément à renforcer sa sécurité. La plateforme a été hackée plusieurs fois, des comptes de célébrités compromis, des données volées. Ils ont besoin du meilleur. Dick Costolo, le CEO, donne alors carte blanche pour recruter. Ils appellent Charlie. L’ironie est délicieuse : banni par Apple pour avoir trop bien fait son travail, il est recruté par Twitter pour exactement les mêmes raisons. Charlie rejoint donc l’équipe de sécurité produit comme chercheur principal et pentester. Son boulot : casser Twitter avant que les méchants ne le fassent. Trouver les failles, développer les exploits, proposer les corrections.
Twitter a recruté Charlie Miller après qu’Apple l’ait banni
Pendant trois ans, Charlie va bosser dans les bureaux de Twitter à San Francisco, au cœur de SoMa. Il trouve des dizaines de vulnérabilités critiques, améliore l’architecture de sécurité, forme les développeurs. Mais en 2015, un nouveau défi titanesque l’attend. Un défi qui va révolutionner non pas l’industrie tech, mais l’industrie automobile et changer à jamais notre perception de la sécurité des voitures modernes.
Charlie rencontre Chris Valasek à une conférence de sécurité. Chris, c’est son alter ego. Un autre génie de la sécurité, spécialisé dans les systèmes embarqués et l’IoT. Directeur de recherche chez IOActive, il a le même état d’esprit que Charlie : casser les trucs pour les rendre plus sûrs. Les deux compères se découvrent une passion commune complètement folle : et si on hackait des voitures ? Pas des vieilles caisses avec des systèmes simples, non, non, des voitures modernes, connectées, bourrées d’électronique et d’ordinateurs. Des data centers sur roues.
Ils commencent alors modestement en 2013. Avec une bourse de 80 000 dollars de la DARPA (l’agence de recherche du Pentagone), ils s’attaquent à une Ford Escape et une Toyota Prius de 2010. Ils achètent les voitures d’occasion, les démontent, analysent les systèmes. Avec des câbles OBD-II branchés directement sur le bus CAN (Controller Area Network), le réseau qui connecte tous les calculateurs de la voiture, ils arrivent à tout contrôler : direction, freins, accélération, tableau de bord… C’est flippant, mais il faut être physiquement dans la voiture avec un laptop et des câbles partout. Pas très pratique pour une attaque réelle. Leur paper “Adventures in Automotive Networks and Control Units” fait sensation à DEF CON, mais l’industrie automobile balaie leurs inquiétudes d’un revers de main. “Il faut un accès physique, ce n’est pas réaliste”, disent les constructeurs.
Charlie et Chris veulent alors aller plus loin. Beaucoup plus loin. Ils veulent prouver qu’on peut hacker une voiture à distance, sans fil, comme dans les films. Une attaque vraiment dangereuse. Ils passent des mois à étudier les voitures connectées du marché et leur choix se porte sur la Jeep Cherokee de 2014. Pourquoi ? Parce qu’elle a Uconnect, un système d’infodivertissement ultra-moderne connecté à Internet via le réseau cellulaire Sprint. GPS, streaming audio, hotspot Wi-Fi, diagnostics à distance… Bref, une voiture avec une adresse IP publique. Le rêve absolu de tout hacker. Ou le cauchemar de tout conducteur, selon le point de vue.
La Jeep Cherokee 2014, première voiture hackée à distance par Miller et Valasek
Pendant des mois, dans le garage de Chris, Charlie et lui dissèquent méthodiquement le système Uconnect. Ils dumpent le firmware, analysent les binaires, tracent les communications réseau. C’est un travail de titan car le système est complexe, avec plusieurs processeurs, des OS différents (QNX pour l’unité principale, ThreadX pour le modem), des protocoles propriétaires. Mais petit à petit, ils remontent la chaîne. Ils trouvent des ports ouverts (6667, 4321, 51966), des services mal configurés, des mots de passe par défaut, l’absence de signature sur les mises à jour firmware. Une vraie passoire. Harman, le fabricant du système, a fait du beau hardware mais a complètement négligé la sécurité logicielle.
D’abord, ils obtiennent l’accès au système d’infodivertissement et de là, ils découvrent qu’ils peuvent reflasher le firmware du chip V850 qui fait le pont avec le bus CAN. Une fois ce firmware modifié, ils ont accès en écriture au bus CAN de la voiture. Game over ! Ils peuvent envoyer n’importe quelle commande CAN, se faisant passer pour n’importe quel calculateur. Cela veut dire que si le calculateur de frein pense recevoir des ordres du calculateur central, et bien il obéit aveuglément. Pas d’authentification, pas de chiffrement, rien. Les voitures sont conçues en supposant que le bus CAN est de confiance. Grosse erreur !!
Été 2015. Après presque deux ans de recherche, ils sont enfin prêts pour la démo de leur vie. Ils contactent Andy Greenberg de Wired (oui, encore lui, c’est devenu leur journaliste attitré) et leur plan est simple mais terrifiant : Greenberg conduira une Jeep Cherokee sur l’autoroute pendant que Charlie et Chris la hackeront depuis le canapé de Charlie, à 10 miles de distance. Une attaque 100% remote, sans aucun accès physique préalable à la voiture. Du jamais vu.
Le jour J, Greenberg prend le volant. Il est nerveux, et on le comprend. Il roule sur l’Interstate 64 près de St. Louis, une autoroute à 4 voies où les camions foncent à 70 mph. Charlie et Chris sont dans le sous-sol de Charlie, devant leurs laptops. Ils se connectent à la Jeep via le réseau Sprint. D’abord, ils s’amusent. La clim se met à fond. La radio passe du hip-hop de Skee-lo à volume maximum. Les essuie-glaces s’activent, aspergeant le pare-brise de liquide lave-glace. Greenberg garde son calme. Il sait que c’est Charlie et Chris. Pour l’instant, c’est juste agaçant, pas dangereux.
Puis ça devient très, très sérieux. Sans prévenir, le moteur coupe. En pleine autoroute. À 70 mph. Greenberg appuie sur l’accélérateur. Rien. La Jeep de 2 tonnes commence à ralentir rapidement. Dans le rétroviseur, il voit un semi-remorque Mack qui arrive à toute vitesse. La panique monte. Il sue à grosses gouttes. Les mains crispées sur le volant, il se déporte sur la voie de droite, évitant de justesse de se faire emboutir. La Jeep continue de ralentir. 60 mph, 50, 40… Les voitures le doublent en klaxonnant furieusement. Certains conducteurs lui font des doigts d’honneur, pensant qu’il est saoul ou qu’il textote.
“Je vais m’arrêter !”, crie Greenberg dans son téléphone. “NON ! NON ! Continue de conduire !”, répondent Charlie et Chris. Ils veulent que la démo soit réaliste. Pas de complaisance. Finalement, après 30 secondes d’angoisse pure (qui ont dû paraître des heures), ils relancent le moteur. Greenberg peut à nouveau accélérer. Il tremble encore. “J’ai besoin d’une bière”, dira-t-il plus tard. On le comprend.
Mais Charlie et Chris ne sont pas sadiques. “Nous aurions pu être beaucoup plus méchants.”, confiera Charlie plus tard avec son sourire malicieux. “Nous aurions pu tourner le volant ou désactiver les freins à 110 km/h. Mais nous n’essayons pas de tuer quelqu’un, nous voulons juste prouver quelque chose.” Et quel preuve ! Ils viennent de démontrer qu’on peut assassiner quelqu’un à distance via Internet. Plus besoin de scier les câbles de frein ou de trafiquer la direction. Une connexion 3G suffit.
L’article de Wired, publié le 21 juillet 2015, fait alors l’effet d’une bombe atomique dans l’industrie automobile. “Hackers Remotely Kill a Jeep on the Highway - With Me in It”. Les médias du monde entier reprennent l’histoire. CNN, BBC, Fox News, Le Monde, Der Spiegel… Charlie et Chris sont partout. Les images de la Jeep incontrôlable sur l’autoroute font le tour du monde, et évidemment, les actions de Fiat Chrysler chutent. Les politiques s’en mêlent également. Les sénateurs Ed Markey et Richard Blumenthal déposent un projet de loi sur la cybersécurité automobile. Bref, c’est la panique totale à Detroit.
Wired Magazine a publié l’article explosif sur le hack de la Jeep qui a changé l’industrie
Fiat Chrysler réagit en mode crise absolue. Le 24 juillet 2015, trois jours après l’article, ils annoncent le rappel immédiat de 1,4 million de véhicules. 1,4 MILLION ! C’est le premier rappel de masse de l’histoire automobile pour un problème de cybersécurité. Pas de pièce défectueuse, pas de problème mécanique. Juste du code bugué. Ils envoient des clés USB à tous les propriétaires pour patcher le système Uconnect. Ils coupent aussi l’accès Sprint aux ports vulnérables côté réseau. Le coût total ? Plus de 500 millions de dollars entre le rappel, les patchs, les amendes et les procès. Sans compter les dégâts à leur réputation.
“C’est la première fois qu’un produit fabriqué en série fait l’objet d’un rappel physique en raison d’un problème de sécurité logiciel.”, note Charlie avec une pointe de fierté. Il a raison. C’est historique. Un moment charnière dans l’industrie automobile, qui se croyait à l’abri dans son monde de mécanique et d’ingénierie traditionnelle, et qui vient de réaliser brutalement qu’elle fait maintenant partie du monde numérique. Les voitures ne sont plus des objets mécaniques avec un peu d’électronique. Ce sont des ordinateurs sur roues, avec tous les risques que cela implique. Et comme tous les ordinateurs, elles peuvent être hackées. Par des ados dans leur chambre. Par des criminels. Par des services de renseignement. Par des terroristes.
La NHTSA (National Highway Traffic Safety Administration) inflige alors une amende record de 105 millions de dollars à Fiat Chrysler pour avoir mis en danger la vie des conducteurs. C’est d’ailleurs la plus grosse amende de l’histoire de l’agence et le message est clair : la cybersécurité automobile n’est plus optionnelle. C’est une question de vie ou de mort. Littéralement.
L’avis de rappel historique de 1,4 million de véhicules suite au hack de Miller et Valasek
Charlie et Chris deviennent instantanément les rock stars de la cybersécurité automobile. Tout le monde veut les recruter. Les constructeurs, terrifiés, réalisent qu’ils ont besoin de vrais experts en sécurité, pas juste des ingénieurs qui bricolent. Alors en août 2015, un mois après le hack de la Jeep, Uber les embauche tous les deux. La boîte de VTC mise gros sur les voitures autonomes avec son programme Advanced Technologies Group à Pittsburgh et ils ont besoin des meilleurs pour sécuriser leur future flotte de robotaxis. Alors qui de mieux que les deux mecs qui ont réveillé toute l’industrie ?
Chez Uber, Charlie et Chris deviennent les architectes de la sécurité des véhicules autonomes. Un défi colossal car si hacker une Jeep Cherokee est dangereux, imaginez hacker une flotte entière de voitures sans conducteur. C’est Terminator puissance 1000. Ils mettent en place des processus de sécurité drastiques : revue de code systématique, tests d’intrusion continus, architecture sécurisée by design, chiffrement de bout en bout, authentification mutuelle entre composants… Fini l’amateurisme de l’industrie automobile traditionnelle.
Mais le duo mythique ne reste pas longtemps ensemble. En mars 2017, après 18 mois chez Uber, Charlie reçoit une offre impossible à refuser. Didi Chuxing, le “Uber chinois” qui a racheté les opérations d’Uber en Chine, veut créer un lab de sécurité automobile aux États-Unis et ils lui proposent de le diriger, avec un salaire mirobolant et une équipe à rassembler. Charlie accepte et pour la première fois depuis le hack de la Jeep, les deux compères sont séparés. Chris, lui, reste chez Uber comme responsable de la sécurité véhicule.
Malheureusement, l’aventure Didi est courte. Très courte. Quatre mois seulement pour que Charlie réalise vite que bosser pour une boîte chinoise depuis la Californie, c’est mission impossible. Les différences culturelles sont énormes sans parler des réunions à 2h du matin pour s’aligner avec Beijing ou encore de la barrière de la langue (Charlie ne parle pas mandarin). Et surtout, les objectifs business sont flous. C’est une bureaucratie kafkaïenne alors en juillet 2017, il jette l’éponge. “Ce fut une expérience intéressante, mais qui ne me convenait finalement pas.”, dira-t-il diplomatiquement. Traduction : c’était l’enfer.
Mais Chris a un plan. Pendant que Charlie galérait chez Didi, il a négocié en secret avec Cruise Automation, la filiale de General Motors spécialisée dans les voitures autonomes. Rachetée pour plus d’un milliard de dollars en 2016, Cruise est le concurrent direct de Waymo (Google) et d’Uber dans la course aux robotaxis. Ils veulent construire l’équipe de sécurité la plus solide du secteur alorrs Chris leur dit : “Je viens, mais seulement si vous prenez Charlie aussi.” Deal. Et en juillet 2017, juste après que Charlie ait quitté Didi, ils annoncent rejoindre Cruise ensemble. Les “Jeep hackers” sont réunis. L’équipe de choc est reformée.
Chez Cruise, Charlie devient alors Principal Autonomous Vehicle Security Architect, et Chris Team Lead of Security et leur mission est de s’assurer que personne ne puisse faire aux voitures autonomes de GM ce qu’ils ont fait à la Jeep Cherokee. C’est un défi titanesque puisqu’un voiture autonome Cruise, c’est +40 calculateurs, des millions de lignes de code, des dizaines de capteurs (LiDAR, caméras, radars, ultrasons), des connexions permanentes au cloud pour les mises à jour et la télémétrie, de l’IA qui prend des décisions critiques 10 fois par seconde. Chaque composant est une porte d’entrée potentielle et chaque ligne de code est une vulnérabilité possible.
“Une fois que j’ai écrit un exploit capable de contrôler une automobile, j’ai compris que les choses devenaient sérieuses”, confie Charlie dans une rare interview. “Il ne s’agit plus de voler des cartes de crédit ou de défacer des sites web. Il s’agit de missiles de deux tonnes qui se déplacent tout seuls dans les villes.”
Et il a raison d’être inquiet car si quelqu’un hacke une flotte de robotaxis, c’est potentiellement un massacre. Imaginez 100 voitures autonomes qui accélèrent en même temps dans une foule. C’est le scénario cauchemardesque que Charlie et Chris doivent empêcher.
Le travail chez Cruise est fascinant mais ultra-confidentiel et Charlie ne peut plus faire de démos spectaculaires ou publier ses recherches. Il est redevenu, d’une certaine manière, l’agent secret qu’il était à la NSA. La différence ? Cette fois, il protège des vies humaines directement alors chaque faille qu’il trouve et corrige, c’est potentiellement un accident évité, des morts empêchées.
Le Cruise Origin, véhicule autonome sans volant ni pédales, sécurisé par l’équipe de Charlie Miller
Aujourd’hui, fin 2025, Charlie Miller continue de bosser chez Cruise. À 52 ans, il est une légende vivante de la cybersécurité. Le gamin solitaire d’Affton qui avait perdu sa mère trop tôt est devenu l’un des hackers les plus respectés et influents de la planète. Pas étonnant quand on voit son palmarès absolument hallucinant. Premier à hacker publiquement l’iPhone (2007). Premier à hacker Android - il a défoncé le T-Mobile G1 le jour même de sa sortie (2008). Quatre fois champion de Pwn2Own (2008, 2009, 2010, 2011) - un record encore inégalé. Des dizaines de failles critiques découvertes dans Safari, iOS, Mac OS X. Le hack SMS de l’iPhone qui a forcé Apple à patcher en urgence (2009). L’affaire InstaStock qui lui a valu son bannissement d’Apple (2011). Et bien sûr, LE hack de la Jeep Cherokee (2015) qui a changé pour toujours l’industrie automobile et créé le domaine de la cybersécurité automobile. Sans oublier ses contributions continues à la sécurité de Twitter, Uber, Didi et maintenant Cruise.
Mais ce qui frappe le plus chez Charlie, au-delà de ses exploits techniques, c’est sa philosophie. Il ne hacke pas pour la gloire, l’argent ou le chaos (même s’il ne crache pas sur les 10 000 dollars de Pwn2Own). Il hacke pour rendre le monde numérique plus sûr car chaque faille qu’il trouve et rapporte, c’est une faille que les vrais méchants (criminels, espions, terroristes…) ne pourront pas exploiter. Charlie est un white hat dans l’âme.
“J’ai essentiellement appris sur le tas, ce qui est une excellente façon de faire si vous le pouvez”, dit-il de ses débuts à la NSA. Cette humilité, c’est sa marque de fabrique car malgré son CV stratosphérique, Charlie reste accessible, drôle, humble. Sur Twitter (@0xcharlie), il partage ses réflexions sur la sécurité, plaisante avec la communauté, donne des conseils aux jeunes hackers. Pas de condescendance, pas d’élitisme.
@0xcharlie reste actif sur les réseaux sociaux pour partager ses connaissances avec la communauté
L’histoire de Charlie Miller, c’est aussi l’histoire de l’évolution du hacking et de la cybersécurité. Dans les années 2000, c’était encore un truc de geeks dans leur garage, un hobby pour étudiants en informatique et aujourd’hui, c’est un enjeu de sécurité nationale, un secteur qui pèse des milliards, une arme de guerre. Les voitures, les téléphones, les infrastructures critiques, les implants médicaux, les centrales nucléaires… tout est connecté, tout est hackable. Le monde physique et le monde numérique ont fusionné, avec toutes les opportunités et tous les dangers que cela implique.
Et Charlie a été pionnier dans cette transformation. Il a montré que le hacking n’était pas qu’une affaire de serveurs web et de bases de données SQL. Il a prouvé qu’on pouvait hacker des objets du quotidien (téléphones, voitures…etc) avec des conséquences potentiellement mortelles. Il a aussi forcé des industries entières à repenser leur approche de la sécurité. Avant lui, Apple pensait que l’obscurité était une défense suffisante. Avant lui, l’industrie automobile pensait que le bus CAN était un détail technique interne sans importance.
Il leur a prouvé qu’ils avaient tort. Brutalement.
Bref, la prochaine fois que vous déverrouillez votre iPhone d’un glissement de doigt, que vous montez dans votre voiture connectée, ou que vous installez une mise à jour de sécurité critique, pensez à Charlie Miller.
Et si vous croisez une Jeep Cherokee sur l’autoroute, gardez vos distances, on ne sait jamais… Charlie et Chris ont peut-être gardé quelques exploits dans leur manche, après tout, les meilleurs hackers ne révèlent jamais tous leurs secrets. 😉
Sources : Wikipedia - Charlie Miller, Wired - Hackers Remotely Kill a Jeep on the Highway, St. Louis Magazine - A Hacker’s Life, InfoSecurity Magazine - Interview Charlie Miller, Network World - Apple bans Charlie Miller, Kaspersky - Jeep Cherokee hack explained, CNBC - Miller and Valasek join Cruise, TechCrunch - Miller and Valasek at TC Sessions 2022
Ou comment les espions cherchent leurs futurs Mister Q.
Ou comment les espions cherchent leurs futurs Mister Q.
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Sources : Wikipedia - Ashley Madison data breach, Krebs on Security - Ashley Madison Hacked, Tripwire - Ashley Madison Timeline, Vice - Impact Team Interview, Washington Post - John Gibson, Screen Rant - Noel Biderman, Auburn University - Ashley Madison Case Study
Près de la moitié des français actifs ont déjà été victimes d’une cyberattaque, révélant un besoin critique de gestion du risque humain dans les organisations françaises. Tribune – KnowBe4, la plateforme de cybersécurité de renommée mondiale spécialisée dans la gestion du risque humain, publie un nouveau rapport mettant en lumière un niveau préoccupant de vulnérabilité […]
The post KnowBe4 révèle que les français sont particulièrement vulnérables aux cyberattaques first appeared on UnderNews.
Près d’un salarié français sur deux a déjà été victime d’une cyberattaque réussie : voilà le constat que dresse KnowBe4 dans un rapport publié le 24 juillet 2025. Selon la société de cybersécurité américaine, les Français se sentiraient moins armés que d'autres salariés dans le monde face au cybermenaces.
Près d’un salarié français sur deux a déjà été victime d’une cyberattaque réussie : voilà le constat que dresse KnowBe4 dans un rapport publié le 24 juillet 2025. Selon la société de cybersécurité américaine, les Français se sentiraient moins armés que d'autres salariés dans le monde face au cybermenaces.
SentinelOne vient de publier l’édition 2025 de son Cloud Security Survey Report, réalisée en partenariat avec CyberEdge Group*. Tribune – Dans cette étude, SentinelOne met en lumière l’un des enjeux les plus critiques pour les équipes de sécurité – la protection des environnements cloud – et révèle une situation préoccupante : entre la multiplication des […]
The post 92 % des entreprises dépassées par la multiplication des outils et la surcharge d’alertes et de faux positifs first appeared on UnderNews.Un nouveau logiciel malveillant nommé Koske s'attaque aux machines sous Linux ! Sa particularité ? Il se dissimule dans de banales images de pandas !
The post Koske : quand des images de pandas cachent un malware Linux first appeared on IT-Connect.
Chaque jour, les services critiques, notamment liés à la santé, l’administration ou autre service public s’appuient sur des systèmes informatiques essentiels mais encore trop vulnérables. Derrière ces derniers, les professionnels qui les protègent passent souvent inaperçus. Pourtant, imaginez que les systèmes d’un hôpital défaillent lors d’une intervention chirurgicale critique, que le verrouillage de sécurité d’un […]
The post L’humain reste bel et bien le héros indétrônable pour protéger nos infrastructures citriques first appeared on UnderNews.France Travail est de nouveau la cible d'une cyberattaque entraînant la fuite potentielle des données personnelles de 340 000 demandeurs d'emploi.
The post Cyberattaque France Travail : les données personnelles de 340 000 personnes exposées ! first appeared on IT-Connect.
Hardening : apprenez à empêcher les utilisateurs d'ajouter des enregistrements DNS dans Active Directory pour renforcer la sécurité de votre infrastructure.
The post Active Directory : pourquoi et comment empêcher les utilisateurs d’ajouter des enregistrements DNS ? first appeared on IT-Connect.
Plus de 400 serveurs SharePoint compromis via deux failles : trois groupes chinois sont à l'origine de ces cyberattaques. Parmi les victimes : la NNSA.
The post Plus de 400 serveurs SharePoint compromis : 3 groupes chinois à l’origine des attaques first appeared on IT-Connect.
CVE-2025-53816 dans 7-Zip : un attaquant peut exploiter cette faille pour provoquer un déni de service (DoS) à l'aide d'une archive RAR5 spécialement conçue.
The post 7-Zip : une nouvelle faille de sécurité liée au traitement des archives RAR5 first appeared on IT-Connect.
Apprenez à utiliser BurpSuite comme proxy web local pour intercepter, analyser et manipuler le trafic HTTP(S) lors de vos audits et sessions de debug.
The post Introduction à BurpSuite : un proxy local pour le debug et le pentest first appeared on IT-Connect.
Connexion
