Aujourd’hui mes amis, voici l’histoire du plus vieux groupe de hackers encore en activité. 41 ans d’existence, c’est pas rien quand même. Alors oui, le Cult of the Dead Cow, ça peut faire peur comme nom, mais derrière cette appellation qui fleure bon le metal des années 80, y’a une bande de petits génies qui ont inventé l’hacktivisme moderne. Du coup, on va causer de vaches mortes, de hackers texans, et de comment ces quelques geeks ont changé le monde depuis un abattoir pourri.

Le culte de la vache morte version ASCII

Je vais prendre un exemple concret pour que vous compreniez bien l’ampleur du truc. Juin 1984, Lubbock, Texas. Pendant qu’on découvrait les Transformers et qu’on se battait pour avoir une NES, six gamins se retrouvent dans un abattoir désaffecté appelé Farm Pac. L’endroit pue la mort, les mouches font la java, des carcasses de vaches pourries traînent partout. C’est dans cette ambiance digne d’un film de Tobe Hooper que naît le Cult of the Dead Cow.

Le cerveau derrière tout ça ? Kevin Wheeler, 14 ans à peine, qui se fait appeler Grandmaster Ratte’ (avec l’accent aigu, s’il vous plaît car le mec avait déjà le sens du spectacle). Né en avril 1970, Wheeler avait déjà monté son propre BBS et passait ses nuits à explorer les systèmes téléphoniques. Avec lui, il y avait Bill Brown alias Franken Gibe, un mec surnommé Sid Vicious (rien à voir avec les Sex Pistols), et trois autres opérateurs de BBS locaux dont les noms se sont perdus dans les brumes du temps.

Grandmaster Ratte'

Wheeler deviendra par la suite « l’Imperial Wizard of ExXxtasy » du groupe. Oui, avec trois X, parce que pourquoi pas. Le mec avait une personnalité complexe, flamboyant et théâtral en public, mais terriblement reclus dans la vraie vie. Le genre de type qui fait le show sur scène mais qui disparaît dès que les projecteurs s’éteignent. Un vrai paradoxe ambulant.

Pour les plus jeunes qui lisent ça, laissez-moi vous expliquer ce qu’était un BBS. C’était l’ancêtre d’Internet… vous composiez un numéro de téléphone avec votre modem 2400 bauds (oui, 2400 bauds, pas 2400 Mbps), et après 3 minutes de bruits de robot qui agonise, vous vous connectiez sur le serveur d’un passionné. Télécharger un fichier de 1 Mo prenait 6 heures et votre mère vous engueulait parce que la ligne était occupée et qu’elle attendait un appel de tante Germaine. C’était ça, l’informatique des années 80 !

Le truc marquant avec ces gars du cDc (c’est leur petit nom, prononcez “see-dee-see”), c’est qu’ils ont compris très tôt que la technologie n’était pas neutre. Alors que la plupart des hackers de l’époque s’amusaient à craquer WordPerfect pour l’avoir gratos ou à explorer des systèmes VAX par pure curiosité, eux ils avaient une vision. C’était nouveau pour l’époque où Reagan était président et où tout le monde pensait que l’informatique c’était juste pour faire des tableaux Excel.

Dans les années 80, le groupe s’organise alors autour d’un réseau de BBS affiliés. C’était comme une franchise underground où chaque BBS avait sa spécialité. Les noms étaient complètement barrés : “Demon Roach Underground” (géré par un certain Swamp Rat), “The Works”, “Face of the Beyond”, “TacoLand” (où officiait un certain Beto O’Rourke, mais on y reviendra)…

Petit fun fact en passant, ce sont eux qui ont inventé le terme “31337” pour désigner quelqu’un de doué. Aujourd’hui on dit “il gère” ou “c’est un crack”, mais à l’époque, être “31337” c’était le summum. Ce nombre fait référence à “ELEET” (élite) écrit en caractères ASCII, et le port 31337 deviendra plus tard celui utilisé par Back Orifice. Hé oui, ces mecs avaient le sens du détail !

Aussi, les “t-files” du cDc, c’était quelque chose. Un mélange entre Vice Magazine, 2600, et les délires d’un ado sous acide. Et ils publiaient de tout : des guides techniques pour hacker, des manifestes anarchistes, des parodies religieuses comme le “Book of Cow” (une parodie biblique de 1100 mots), et même de la fiction bizarre. Leur article le plus controversé ? “Sex with Satan” de 1988, qui leur a valu d’être traités de “bunch of sickos” par Geraldo Rivera en direct à la télé nationale en 1994. Mdr !

Le site du cDc

En décembre 1990, un membre du groupe va alors dépoussiérer les conférences hacker. Jesse Dryden (pseudo : Drunkfux ou dFx), crée HoHoCon dans un motel miteux près de l’aéroport de Houston. Le mec avait un pedigree de ouf, fils de Spencer Dryden, le batteur de Jefferson Airplane (celui qui a joué à Woodstock !), et petit-neveu de Charlie Chaplin himself. Ses potes le comparaient aux Merry Pranksters de Ken Kesey, sauf qu’au lieu de distribuer de l’acide, il distribuait des exploits zero-day.

HoHoCon était révolutionnaire parce que Dryden a eu les couilles d’inviter tout le monde : hackers, journalistes et même les flics ! Imaginez la tension… d’un côté des mecs recherchés par le FBI, de l’autre des agents fédéraux, et au milieu Dryden qui fait le médiateur avec son charisme légendaire. Il organisera comme ça 5 éditions au total, créant un modèle pour toutes les conférences de sécurité modernes.

Mais le vrai game changer arrive en 1996. Un membre surnommé Omega (Misha Kubecka de son vrai nom) envoie un email interne avec un mot qu’il vient d’inventer : “hacktivism”. La fusion entre “hacking” et “activism”. Dans son email, il écrivait : “We are hacktivists. We hack for a cause.” Simple, direct, efficace !

Cette même année, le groupe crée sa “Ninja Strike Force”. Le nom fait sourire aujourd’hui (c’était les années 90, tout le monde voulait être un ninja), mais l’idée était novatrice. Il s’agissait de crée une équipe dédiée aux actions concrètes pour défendre leurs idées. Parmi les membres : RaD Man (fondateur d’ACiD Productions), Mark Hinge (The Syndicate Of London), et d’autres légendes de la scène. Notez qu’après le 11 septembre, certains membres sont partis bosser pour le gouvernement et ça a créé des tensions, mais ça c’est une autre histoire…

Back Orifice - Simple mais terriblement efficace

Le 1er août 1998, c’est l’apocalypse. À la DEF CON 6 à Las Vegas, dans une salle bondée du Plaza Hotel, le cDc présente Back Orifice. Créé par Sir Dystic (Josh Buchbinder), c’est un outil de prise de contrôle à distance pour Windows qui fait tout péter. Le nom est un jeu de mots génial sur “BackOffice” de Microsoft.

L’outil utilisait le port 31337 (vous avez la référence maintenant), pesait seulement 124 Ko, et permettait de prendre le contrôle total d’un PC Windows 95/98. Microsoft panique, CNN en parle en boucle, et le gouvernement comprend que ces hackers texans ne rigolent plus. Le plus ouf pour l’époque c’est qu’ils l’ont distribué gratuitement avec le code source complet et 50 pages de doc ! J’avoue qu’à l’époque je l’ai beaucoup utilisé principalement pour m’amuser sans jamais rien détruire ni voler. Juste faire des blagues façon « Ton PC est hanté ». C’était illégal bien sûr mais c’était tellement grisant.

L’année suivante, le 10 juillet 1999, ils remettent ça avec Back Orifice 2000 (BO2k) à la DEF CON 7. Cette fois c’est DilDog (Christien Rioux) qui mène le développement. Compatible avec Windows NT/2000/XP, chiffrement 3DES, système de plugins, capacité de changer de PID pour éviter la détection… Du grand art ! DilDog avait bossé comme un malade pendant des mois et le résultat était bluffant.

Mais ils ne s’arrêtent pas là et le cDc sort toute une panoplie d’outils : NBName (DoS sur NetBIOS), SMBRelay (pour voler les hashes NTLM), Camera/Shy (rebaptisé Peek-a-Booty pour contourner la censure en Chine et Iran). Et chaque outil incluait une doc technique qui expliquait comment s’en protéger. La classe totale !

Et en 1997, coup de génie avec les “Hong Kong Blondes”, un groupe fictif de hackers dissidents chinois inventé de toutes pièces. L’histoire était si bien ficelée que des médias internationaux ont publié des articles sur ce groupe qui n’existait pas ! Du pur cDc : action directe + désinformation créative + humour décalé = message politique qui passe.

Les membres du cDc à la DEFCON 1999

En 1999, s’en suit la création d’Hacktivismo, branche dédiée aux droits humains. Menée par Oxblood Ruffin (Laird Brown), musicien classique canadien et “Ministre des Affaires étrangères” autoproclamé du cDc. Leur mission est de développer des outils pour les dissidents et les journalistes sous régimes oppresseurs. Plus question de hacker pour le fun, maintenant c’est du militantisme pur jus.

Parlons maintenant des destins incroyables des membres. Mudge (Peiter Zatko), diplômé de Berklee en musique, auteur du légendaire L0phtCrack, finit par briefer Bill Clinton en personne sur la sécurité Internet en février 2000. Et le mec enchaîne : @stake, BBN, DARPA (où il lance Cyber Fast Track), Google, puis head of security chez Twitter en 2020.

Mudge - Peiter Zatko

En 2022, gros plot twist, Mudge devient whistleblower et balance Twitter dans une plainte de 84 pages, révélant les failles béantes de sécurité juste avant le rachat par Musk. Son témoignage devant le Congrès en septembre 2022 était du pur Mudge : technique, précis, implacable. Et en 2024, retour à la DARPA comme CIO. De hacker à conseiller gouvernemental à lanceur d’alerte, quelle trajectoire !

Mais le plus fou, c’est Beto O’Rourke. Si si, l’ancien congressman du Texas qui s’est présenté à la présidentielle 2020 ! Il était membre du cDc ado sous le pseudo “Psychedelic Warlord” (tiré d’une chanson de Hawkwind). Il gérait le BBS “TacoLand” et a même écrit des t-files, dont “The Song of the Cow” en 1988.

Beto O’Rourke quand il était actif dans cDc (lors d’une DEFCON)

Le truc génial c’est que O’Rourke militait déjà pour plus de femmes dans le groupe et grâce à lui, des hackeuses comme Lady Carolin (Carrie Campbell) les ont rejoint. Quand Reuters a sorti l’info sur son passé en 2019, les républicains ont crié au cyber-terroriste. O’Rourke a assumé : “C’était formateur, j’ai appris l’importance de la liberté d’expression.” Respect !

Les membres du cDc ont protégé son secret pendant 30 ans et cela même quand des journalistes fouinaient, ou que cela aurait pu leur apporter de la notoriété. Respect la famille, comme on dit. Une fois dedans, t’es protégé à vie. C’est beau non ?

D’autres parcours de ouf c’est aussi Chris Wysopal (Weld Pond) qui co-fonde Veracode, vendue 950 millions en 2017. Count Zero (John Lester) qui devient ponte chez Linden Lab (Second Life). Ou encore Window Snyder (proche du milieu) qui devient CSO d’Intel puis d’Apple. Leur influence est partout.

Dans les années 2000, le cDc se fait alors plus discret. Normal, les membres ont grandi, fondé des boîtes, rejoint le corporate ou le gouvernemental. Mais Hacktivismo continue : Six/Four System (2003, un proxy anti-censure dont le nom est une référence à Tiananmen), ScatterChat (2006, une messagerie chiffrée), campagne Goolag (2006) contre la complicité de Google avec la censure chinoise.

Et en août 2023, surprise totale : le cDc revient avec Veilid (prononcez “vay-lid”) à la DEF CON 31. Présenté par Katelyn “medus4” Bowden (membre depuis 2020, ex-CEO de BADASS) et DilDog. 3-4 ans de dev secret pour créer un logiciel qui fait “comme si Tor et IPFS avaient eu un bébé”.

Veilid - Le futur d’Internet selon le cDc

Veilid c’est donc leur réponse aux GAFAM : un framework pour créer des apps sans collecter AUCUNE donnée. Tout est chiffré, décentralisé, P2P, résistant à la NSA. Pas de nœuds de sortie comme Tor, des clés 256-bit et c’est développé en Rust. Et ça tourne sur tout : Linux, macOS, Windows, Android, iOS, et même le navigateur via WebAssembly !

Une fondation gère le truc et lance un premier projet : VeilidChat, une messagerie ultra-sécurisée. Après 40 ans à critiquer les failles, ils proposent enfin leur vision d’Internet : privé par design, résistant à la censure, hors de portée des gouvernements et autres corporations.

Ce qui est fou avec le cDc, c’est la continuité. Ces mecs ont 50-60 ans pour les plus vieux, mais ils continuent le combat en nous prouvant 41 ans après l’abattoir texan, que la a surveillance de masse n’est pas une fatalité. J’ai un grand respect pour l’ensemble de leur œuvre.

Et le groupe continue de recruter. Admission par cooptation, faut avoir fait ses preuves et partager les valeurs et une fois dedans, on est membre à vie. Ils ont des réunions annuelles secrètes où anciens et nouveaux se retrouvent pour échanger, planifier, et sûrement boire des bières en se rappelant le bon vieux temps.

Ce que je remarque surtout c’est que l’héritage du cDc est partout. Chaque fois qu’Anonymous lance une op, qu’un dev chiffre par défaut, qu’un journaliste utilise SecureDrop, qu’un dissident utilise Signal, c’est l’esprit cDc qui survit. L’hacktivisme qu’ils ont inventé en 1996 est maintenant devenu mainstream. Il n’y a qu’à voir les actions contre la Russie depuis 2022 !

Leur leçon surtout c’est que le hacking ce n’est pas juste de la technique. C’est une posture éthique où chaque ligne de code est un acte politique. Et 41 ans plus tard, cette guerre fait rage plus que jamais… IA, metaverse, crypto, surveillance biométrique, 5G… on est en plein dedans et leur message n’a pas pris une ride : la technologie peut être un outil de libération, et il suffit de quelques personnes déterminées pour changer le monde. Ou comme ils disaient : “Bovine Freedom Through Digital Anarchy”. La liberté bovine par l’anarchie numérique. 🐄

Bref, vu comment ça part avec les IA qui aspirent tout, les gouvernements qui scannent nos messages “pour protéger les enfants”, et les GAFAM qui construisent leur dystopie, on a intérêt à écouter les vaches mortes. HACK THE PLANET!

Sources : Washington Post - The Cult of the Dead Cow has resurrection planned, Reuters - Beto O’Rourke’s secret membership, Site officiel cDc, Projet Veilid, Wired - The Cult of the Dead Cow Is Back, Wikipedia - Cult of the Dead Cow, CyberScoop - How cDc invented hacktivism, The Register - Veilid project

Bon, on dirait que le MIT vient de transformer une scène de science-fiction en réalité. En effet, ces derniers ont créé un panneau de la taille d’une fenêtre qui transforme l’air du désert en eau potable. Pas besoin d’électricité, pas de filtres, juste de l’air et un peu de soleil, et ça marche même dans la Vallée de la Mort, l’endroit le plus sec d’Amérique du Nord.

Le dispositif ressemble à un panneau noir vertical encadré de verre, un peu comme une fenêtre high-tech. Mais derrière cette apparence simple se cache une technologie fascinante, un hydrogel qui imite l’art de l’origami. Ce matériau forme de petites structures en dôme qui ressemblent à du papier bulle noir. Quand l’hydrogel absorbe la vapeur d’eau de l’air, ces dômes gonflent. Quand l’eau s’évapore pour être collectée, ils se rétractent dans un mouvement gracieux digne d’un pliage japonais.

L’équipe du professeur Xuanhe Zhao a publié ses résultats dans Nature Water le 11 juin dernier. Ils ont testé leur invention pendant une semaine complète en novembre 2023 dans la Vallée de la Mort, en Californie. Même avec une humidité relative de seulement 21%, le dispositif a réussi à produire entre 57 et 161,5 millilitres d’eau potable par jour. Pour vous donner une idée, c’est environ deux tiers d’un verre d’eau extrait de l’air le plus sec d’Amérique du Nord.

La nuit, quand l’humidité est au maximum dans le désert (ce qui reste très faible), l’hydrogel absorbe la vapeur d’eau grâce aux sels de lithium qu’il contient. Le jour, le soleil chauffe le panneau et fait évaporer l’eau capturée. Cette vapeur se condense ensuite sur les parois en verre refroidies et s’écoule dans un tube de collecte. De l’eau pure, prête à boire.

Ce qui rend cette invention particulièrement astucieuse, c’est la résolution d’un problème majeur de technologies similaires : la contamination par le sel. Normalement, les sels de lithium utilisés pour absorber l’humidité se retrouvent dans l’eau collectée, la rendant impropre à la consommation. L’équipe du MIT a ajouté du glycérol dans leur hydrogel, un composé qui stabilise le sel et l’empêche de s’échapper. Résultat, leur eau contient moins de 0,06 ppm de lithium, bien en dessous du seuil de sécurité établi par l’US Geological Survey.

La structure en dômes n’est pas qu’esthétique car elle augmente considérablement la surface d’absorption par rapport à une feuille plate. Plus de surface = plus de vapeur capturée = plus d’eau produite. Et contrairement aux matériaux MOF (Metal-Organic Frameworks) qui dominent actuellement ce secteur, l’hydrogel du MIT n’a pas de pores à l’échelle nanométrique qui pourraient laisser passer les contaminants.

L’avantage énorme de ce système, c’est qu’il fonctionne de manière complètement passive. Pas de panneaux solaires, pas de batteries, pas de raccordement électrique. Juste le cycle naturel jour/nuit et la chaleur du soleil. Dans un monde où 2,2 milliards de personnes n’ont pas accès à l’eau potable et où 46 millions d’Américains vivent dans l’insécurité hydrique, cette approche pourrait être déterminante.

L’équipe imagine déjà des déploiements à plus grande échelle. Plusieurs panneaux disposés en parallèle pourraient alimenter un foyer entier en eau potable, même dans les environnements les plus arides. Et contrairement aux systèmes de désalinisation ou aux puits, cette technologie peut fonctionner n’importe où, du moment qu’il y a de l’air.

Evidemment, 160 millilitres par jour, c’est encore loin des besoins d’une famille. Mais c’est un prototype d’un demi-mètre carré testé dans des conditions extrêmes. Les chercheurs travaillent déjà sur une deuxième génération de matériau avec des propriétés améliorées et un design multi-panneaux. Ils estiment qu’un petit réseau de ces dispositifs pourrait subvenir aux besoins en eau potable d’un ménage.

Avec le changement climatique qui aggrave les sécheresses et la désertification, des technologies comme celle-ci pourraient littéralement sauver des vies. Et le fait qu’elle ne nécessite aucune infrastructure électrique la rend accessible aux régions les plus reculées de la planète.

Chang Liu, l’auteur principal de l’étude et aujourd’hui professeur assistant à l’Université nationale de Singapour, voit déjà plus loin : “C’est juste une preuve de concept, et il y a beaucoup de choses qu’on peut optimiser. Par exemple, on pourrait avoir un design multi-panneaux. Et on travaille sur une nouvelle génération du matériau pour améliorer encore ses propriétés intrinsèques.”

Bref, cette innovation du MIT pourrait bien marquer le début d’une nouvelle ère dans l’accès à l’eau potable. Transformer l’air en eau, c’était de la science-fiction il y a encore quelques années et aujourd’hui, c’est une réalité testée et validée dans le désert le plus hostile d’Amérique.

Et demain ? Peut-être dans votre jardin.

Source : MIT News

Bon, la Belgique vient de péter un câble et de bloquer Internet Archive, Z-Library, LibGen et tous les sites qui osent prêter des livres gratuitement.

Le 15 juillet dernier, le tribunal de commerce de Bruxelles a pondu une ordonnance de blocage qui ferait pâlir les régimes autoritaires. Dans leur viseur : Anna’s Archive, Library Genesis, OceanofPDF, Z-Library et… tenez-vous bien… l’Open Library d’Internet Archive. Oui, ce projet créé par le regretté Aaron Swartz et Brewster Kahle, qui permet d’emprunter des livres numériques comme dans une vraie bibliothèque.

Le plus fou dans cette histoire, c’est que la décision a été prise ex parte, c’est-à-dire sans même entendre Internet Archive. Les éditeurs belges ont prétendu ne pas savoir qui gérait le site (alors que c’est une organisation américaine reconnue d’utilité publique) et hop, le juge a validé. Plus de 1500 œuvres de Dupuis, 5000 de Casterman… et apparemment ça justifie de bloquer l’accès à des millions de livres du domaine public.

Mais attendez, le délire ne s’arrête pas là. L’ordonnance ne se contente pas de demander aux FAI belges de bloquer ces sites. Non non, ils ont vu grand ! Google doit retirer les résultats de recherche, désactiver les pubs Google Ads, virer les apps du Play Store ET bloquer les requêtes DNS. Microsoft doit faire pareil avec Bing. Cloudflare, Amazon Web Services, GoDaddy, tous doivent couper l’hébergement ou suspendre les noms de domaine.

La liste des FAI concernés est hallucinante : Telenet, Proximus, Orange Belgium, Voo… et même Starlink d’Elon Musk ! PayPal Europe, Alipay, Cash App, tous doivent suspendre les paiements vers ces sites. C’est la première fois qu’on voit un ordre de blocage aussi large et agressif en Europe.

Alors comment on fait pour accéder à ces trésors de connaissance malgré la censure ? D’abord, allez faire un tour sur open-slum.org, le Shadow Library Uptime Monitor. C’est un dashboard qui vérifie en temps réel si Anna’s Archive, Sci-Hub, Z-Library et LibGen sont accessibles. Super pratique pour savoir si c’est votre connexion qui déconne ou si le site est vraiment down.

Pour contourner les blocages, ensuite vous avez plusieurs options. La plus simple c’est changer vos DNS. Au lieu d’utiliser ceux de votre FAI, passez sur 80.67.169.12 et 80.67.169.40 (FDN) ou 91.239.100.100 et 89.233.43.71 (Uncensored DNS) par exemple. Dans vos paramètres réseau, trouvez votre connexion, allez dans les propriétés IP et modifiez manuellement les serveurs DNS. Ça marche dans 90% des cas pour les blocages basiques.

Si votre FAI est plus vicieux et bloque le port 53 (celui du DNS classique), passez au DNS over HTTPS (DoH). Firefox et Chrome le supportent nativement. Dans Firefox : Paramètres > Général > Paramètres réseau > Activer le DNS via HTTPS. Choisissez Cloudflare ou un autre provider. Vos requêtes DNS seront chiffrées et passeront par le port HTTPS, impossible à bloquer sans couper tout internet.

L’option VPN reste la plus efficace et la plus simple pour l’utilisateur moyen. NordVPN (lien affilié) a des serveurs obfusqués qui masquent même le fait que vous utilisez un VPN, particulièrement utile face aux blocages DPI (Deep Packet Inspection). ExpressVPN, CyberGhost fonctionnent aussi bien depuis la Belgique. Connectez-vous à un serveur dans un pays voisin et vous retrouvez un internet libre. Bonus, le VPN a ses propres serveurs DNS, donc double protection contre les blocages.

Pour les plus paranos (ou les plus libres, c’est selon), y’a aussi Tor. Téléchargez le Tor Browser Bundle, décompressez, lancez, et vous contournez toute forme de censure. C’est plus lent qu’un VPN mais c’est gratuit et quasi impossible à bloquer. L’extension Tor Snowflake pour Chrome/Firefox peut aussi aider en transformant votre navigateur en proxy.

Un truc marrant c’est que pour l’instant, Open Library n’apparaît même pas sur la liste noire officielle du gouvernement belge. Seuls les domaines des quatre autres “sites pirates” y sont. Internet Archive a confirmé qu’ils n’ont remarqué aucune perturbation de leurs services. C’est le bordel typique d’une décision de justice bâclée.

Encore une fois, cette affaire montre à quel point la situation devient absurde. Des juges qui ne comprennent rien à internet ordonnent des blocages massifs sans entendre la défense. Des entreprises américaines légitimes se retrouvent assimilées à des sites pirates. Et pendant ce temps, les vrais pirates ont déjà 15 miroirs et changent de domaine toutes les semaines.

Le plus triste, c’est qu’Internet Archive fait un travail d’utilité publique en préservant le patrimoine numérique de l’humanité. Leur Open Library prête UN exemplaire numérique par livre physique possédé, exactement comme une bibliothèque normale, mais pour les éditeurs belges, apparemment, même ça c’est trop.

Heureusement, internet contourne la censure comme de l’eau autour d’un rocher et avec open-slum.org pour surveiller la disponibilité des bibliothèques libres et les techniques de contournement que je vous ai données, vous pouvez continuer à accéder au savoir. Dans un monde où la censure se démocratise, investir dans un VPN fiable n’est plus un luxe mais une nécessité pour préserver votre liberté d’accès à l’information.

Parce que la connaissance doit rester libre, peu importe ce qu’en pensent les ayants droit belges.

Source : TorrentFreak

Bon, on va être clair, créer des environnements 3D, c’est généralement l’enfer. Il faut des semaines de modélisation, de texturing, d’optimisation… Et bien Tencent vient de court-circuiter tout ça avec Hunyuan World Model, une IA qui génère des mondes 3D complets à partir d’un simple texte. Et c’est open source.

Le 26 juillet dernier, ils ont donc sorti Hunyuan World Model 1.0, leur premier modèle open source capable de générer des mondes 3D immersifs et interactifs. En gros, vous tapez “une forêt enchantée avec des champignons luminescents et un château en ruines”, et boom, vous avez votre environnement prêt à l’emploi. Ou à partir d’une simple photo, l’IA vous reconstruit la scène en 3D navigable.

D’ailleurs, la fonctionnalité qui m’a le plus intéressé, c’est la possibilité d’isoler et de manipuler individuellement chaque élément de la scène. Vous voyez une voiture dans votre monde généré ? Vous pouvez la sélectionner, la déplacer, la dupliquer ou la supprimer. Pareil pour les arbres, les bâtiments, le mobilier. Le ciel est même traité comme une source de lumière dynamique, ce qui donne un rendu ultra réaliste avec des ombres qui bougent selon l’heure du jour.

Et l’export, c’est que du bonheur. Les scènes générées peuvent être exportées en fichiers mesh compatibles avec tous les moteurs de jeu : Unity, Unreal Engine, Godot… Bref, Tencent a vraiment pensé aux développeurs en rendant leur outil compatible avec les pipelines graphiques standards, comme ça, plus besoin de passer par 36 conversions pour intégrer vos environnements dans votre projet.

Et les performances sont impressionnantes aussi. Dans leurs benchmarks, Hunyuan World Model surpasse tous les autres modèles open source en termes de qualité visuelle et de cohérence géométrique. L’équipe a comparé avec des méthodes de génération panoramique et de reconstruction 3D existantes, et leur modèle les bat sur tous les critères. C’est basé sur Flux mais ça peut facilement être adapté à d’autres modèles comme Stable Diffusion ou leur propre Hunyuan Image.

Par contre, faut pas s’emballer non plus. La version actuelle ne génère pas des mondes totalement explorables façon GTA ou Skyrim. Ce que vous obtenez, c’est plutôt des panoramas 3D interactifs. Vous pouvez regarder autour de vous à 360 degrés et naviguer un peu, mais les mouvements de caméra restent limités. Pour des déplacements plus poussés ou des séquences vidéo 3D cohérentes, il faudra utiliser leur add-on Voyager.

Le code est dispo sur GitHub et Hugging Face, avec toute la doc pour l’installer et le faire tourner et Tencent a même mis en ligne une démo interactive sur sceneTo3D (mais il faut un compte compatible Chine pour y accéder). Cette ouverture s’inscrit dans une stratégie plus large de Tencent qui a aussi libéré Hunyuan3D 2.0 pour la génération de modèles 3D texturés, HunyuanVideo pour la vidéo IA et leur modèle de langage Hunyuan-A13B.

Vous vous en doutez, à terme, ça va révolutionner plusieurs domaines. La création de contenu VR devient accessible à tous et y’aura bientôt plus besoin d’une équipe de modélisateurs 3D pour créer des environnements immersifs. Les game designers peuvent également prototyper des niveaux en quelques minutes au lieu de semaines. Les architectes peuvent visualiser des espaces à partir de simples descriptions. Même pour la formation et la simulation, les possibilités sont énormes.

Et ce qui est fou, c’est qu’on n’en est qu’au début. Dans quelques années on pourra probablement générer des mondes persistants, totalement explorables, avec une physique réaliste et des PNJ intelligents, juste en décrivant ce qu’on veut. Les métavers vont enfin pouvoir se peupler de contenus variés sans nécessiter des années de développement.

Bref, en attendant, si vous êtes développeur, artiste 3D ou simplement curieux, foncez tester Hunyuan World Model. C’est gratuit, c’est puissant, et ça donne un aperçu excitant du futur de la création 3D. À voir maintenant comment la communauté va s’emparer de cet outil pour créer des trucs complètement dingues.

Source

Vous ne le savez peut-être pas, mais sn seul SMS invisible pourrait transformer votre iPhone ou Galaxy en brique inutile. Des chercheurs viennent de découvrir comment et franchement, ça fait froid dans le dos.

Imaginez… vous êtes tranquillement en train de scroller sur votre téléphone quand soudain, plus rien. Plus de réseau, plus d’appels, plus de data. Votre smartphone devient aussi utile qu’un presse-papier hors de prix. Et bien c’est exactement ce que des chercheurs du KAIST (Korea Advanced Institute of Science and Technology) ont réussi à faire avec un seul paquet de données malveillant. Ils appellent ça le “packet of death”, et ce n’est pas pour rien.

L’équipe du professeur Yongdae Kim a développé un outil baptisé LLFuzz (Lower Layer Fuzzer) pour tester la sécurité des couches basses des modems de smartphones. Et ce qu’ils ont trouvé, c’est une faille béante dans l’architecture même de nos téléphones. Le problème ? Les couches inférieures du protocole de communication (RLC, MAC, PDCP, PHY pour les intimes) ne sont ni chiffrées ni authentifiées. En gros, n’importe qui avec le bon équipement peut envoyer des signaux arbitraires à votre téléphone.

Pour démontrer la gravité du problème, les chercheurs ont fait une démo qui donne des sueurs froides. Avec un simple ordinateur portable et un dispositif SDR (Software Defined Radio) à quelques centaines d’euros, ils ont généré un paquet MAC malformé et l’ont envoyé vers des smartphones commerciaux. Résultat, un crash instantané du modem. Game over.

Le plus inquiétant, c’est l’ampleur des dégâts car l’équipe a testé 15 smartphones de grandes marques : Apple, Samsung, Google, Xiaomi. Bilan : 9 vulnérabilités découvertes, dont 7 ont reçu des numéros CVE officiels. Chez Qualcomm, c’est plus de 90 chipsets qui sont touchés. MediaTek ? 80 chipsets dans le viseur. Samsung et Apple ne sont pas épargnés non plus.

Il faut comprendre que le modem de votre smartphone, c’est un peu comme le moteur de votre voiture. Il gère toutes les communications cellulaires : appels, SMS, data. Quand il reçoit un paquet malformé qu’il ne sait pas gérer, il plante. Et quand le modem plante, votre téléphone perd toute capacité de communication. Vous pouvez toujours jouer à Candy Crush en local, mais c’est à peu près tout.

Ce qui rend cette attaque particulièrement vicieuse, c’est qu’elle peut être lancée à distance. Pas besoin d’avoir accès physique au téléphone. Un attaquant dans la même cellule réseau (quelques kilomètres de rayon) peut théoriquement paralyser tous les smartphones vulnérables d’un coup. Imaginez ça dans un stade, un centre commercial ou un quartier d’affaires.

Les chercheurs ont identifié plusieurs types de bugs. Par exemple, le bug B2 chez Qualcomm se déclenche quand le baseband reçoit un message RAR (Random Access Response) contenant uniquement des en-têtes sans charge utile. Le bug B4 chez MediaTek ? Une valeur zéro dans le champ de longueur d’un sous-en-tête MAC, et boom. C’est d’une simplicité déconcertante.

Le plus ironique dans tout ça, c’est que ces vulnérabilités existent parce que les fabricants ont fait confiance aux spécifications 3GPP sans vraiment tester les cas limites. Genre “que se passe-t-il si on envoie un paquet de 1 octet alors qu’on en attend minimum 6 ?”.

Réponse : ça plante.

Heureusement, les fabricants ont été prévenus et des patchs sont en cours de déploiement. Qualcomm a déjà corrigé CVE-2025-21477 et CVE-2024-23385. MediaTek a patché CVE-2024-20076, CVE-2024-20077 et CVE-2025-20659. Mais combien de smartphones dans la nature ne recevront jamais ces mises à jour ? On connaît tous la réponse.

Et l’équipe ne s’est pas arrêtée à la 4G. Ils ont aussi testé la 5G et trouvé deux nouvelles vulnérabilités en seulement deux semaines. Autant dire que le problème est loin d’être résolu. D’ailleurs, ils prévoient de publier LLFuzz en open source pour que d’autres chercheurs puissent continuer le travail.

En attendant que tout soit patché (si jamais ça l’est complètement), que pouvez-vous faire ? Et bien pas grand-chose malheureusement. Installer les mises à jour dès qu’elles sont disponibles, évidemment, mais au-delà de ça, on est tous à la merci de cette vulnérabilité….

Bref, plus c’est sophistiqué, plus il y a de chances qu’un petit bug quelque part fasse tout s’écrouler. Sympa, non ?

Source : TechXplore

Je viens de tomber sur un truc qui va changer votre vie si vous galérez avec le streaming vidéo. Vous savez, quand votre caméra de surveillance parle en RTSP mais que votre navigateur ne comprend que le WebRTC… Ou quand vous voulez utiliser une caméra HomeKit sans avoir un seul produit Apple chez vous ? Bah voilà, j’ai trouvé y’a un remède miracle et ça s’appelle go2rtc.

C’est un projet open source développé par AlexxIT, qui fait office de traducteur universel pour tous vos flux vidéo. En gros, peu importe le protocole d’entrée ou de sortie que vous voulez utiliser, go2rtc s’en occupe. En plus, c’est léger, ça tourne sur un Raspberry Pi, et ça ne demande quasi aucune config.

Car oui, le streaming vidéo dans le monde de la domotique, c’est un peu le far west. Chaque fabricant y va de son petit protocole propriétaire, et au final on se retrouve avec :

• Des caméras qui ne discutent qu’en RTSP
• Des navigateurs qui ne comprennent que le WebRTC
• Des applis mobiles qui veulent du HLS
• Et HomeKit qui fait sa princesse avec son protocole à lui

Du coup, on passe notre temps à chercher des solutions de contournement, à installer 50 logiciels différents, et au final ça marche une fois sur deux avec une latence de malade.

C’est là que go2rtc entre en scène. Cet outil fait office de proxy universel pour vos flux vidéo. Il prend n’importe quelle source (RTSP, RTMP, HTTP, USB, HomeKit…) et la convertit à la volée dans le format que vous voulez (WebRTC, HLS, MJPEG, MSE/MP4…).

Le truc vraiment cool, c’est que c’est juste un binaire, sans aucune dépendances. Vous le téléchargez, vous le lancez, et boom, ça marche. Pas besoin d’installer Java, Python ou je ne sais quelle autre usine à gaz car c’est du Go compilé, donc c’est rapide et léger.

Voici ce que go2rtc peut faire pour vous :

• Conversion de protocoles : RTSP vers WebRTC, RTMP vers HLS, etc.
• Latence ultra-faible : 0.5 secondes avec WebRTC (contre plusieurs secondes habituellement)
• Support HomeKit : Utilisez vos caméras HomeKit sans produits Apple
• Audio bidirectionnel : Sur les caméras compatibles (Tapo, certaines Dahua, etc.)
• Transcodage à la volée : Via FFmpeg si nécessaire
• Multi-sources : Mixez plusieurs flux en un seul

Pour l’installation de go2rtc, c’est vraiment du gâteau :

Option 1 : Le binaire tout simple

Allez sur la page des releases GitHub, téléchargez le binaire pour votre OS (Windows, Linux, macOS, ARM…), et lancez-le. C’est tout.

# Linux/Mac
chmod +x go2rtc_linux_amd64
./go2rtc_linux_amd64
# Windows
go2rtc_win64.exe

Option 2 : Docker pour les pros

Si vous êtes team Docker, c’est encore plus simple :

services:
go2rtc:
image: alexxit/go2rtc:master-hardware
network_mode: host # important pour WebRTC et HomeKit
privileged: true # seulement si vous voulez le transcodage hardware
restart: unless-stopped

Option 3 : Add-on Home Assistant

Pour les utilisateurs de Home Assistant, il y a un add-on officiel. Ajoutez le repo https://github.com/AlexxIT/hassio-addons et installez go2rtc en deux clics.

Voilà pour l’install… Ensuite, la config de go2rtc tient dans un fichier YAML tout simple dont voici un exemple basique :

streams:
# Caméra salon avec RTSP
salon:
- rtsp://admin:[email protected]/stream1
# Caméra avec rotation de 90°
entree:
- ffmpeg:rtsp://admin:[email protected]/stream1#video=h264#rotate=90
# Caméra HomeKit (sans Apple !)
homekit_cam:
- homekit://AAAA-BBBB-CCCC-DDDD

Une fois configuré, vous accéderez alors à l’interface web sur http://localhost:1984/ et vous pourrez voir tous vos flux, les tester, et même générer des liens pour les intégrer ailleurs.

Voici quelques cas d’usages que j’ai trouvé cools :

• Vous avez une vieille caméra IP qui ne parle qu’en RTSP ? Pas de souci. go2rtc la convertit en WebRTC et hop, vous pouvez la voir directement dans votre navigateur avec une latence minimale.

• Sinon, vous pouvez utiliser des caméras HomeKit (comme l’Aqara G3) sans avoir un seul produit Apple. go2rtc fait le pont et vous permet de voir le flux dans n’importe quel navigateur ou application.

• Sur certaines caméras (TP-Link Tapo, certaines Dahua avec ONVIF Profile T), vous pouvez même avoir l’audio bidirectionnel. Pratique pour parler au livreur depuis votre canapé !

• Une source, plusieurs sorties. Votre caméra peut être vue en WebRTC sur votre navigateur, en RTSP sur votre NVR, et en HLS sur votre Apple TV. Tout ça en même temps.

Ce qui rend go2rtc vraiment génial, c’est l’attention aux détails :

• Interface web intégrée : Sur le port 1984, vous avez une interface pour tout gérer
• API complète : Pour intégrer go2rtc dans vos propres projets
• Support FFmpeg : Pour le transcodage quand nécessaire
• ngrok intégré : Pour accéder à vos caméras depuis l’extérieur
• Gestion des codecs intelligente : Négociation automatique des meilleurs codecs

Aussi, sur un Raspberry Pi 4, vous pouvez facilement gérer une dizaine de flux sans problème. La consommation CPU reste minimale tant que vous ne faites pas de transcodage.

Pour vous donner une idée :

• Simple proxy RTSP vers WebRTC : ~5% CPU sur un Pi 4
• Avec transcodage H265 vers H264 : ~40% CPU (mais utilisez le hardware si possible)
• Consommation RAM : environ 50MB par flux

Et surtout, go2rtc n’est pas juste un outil isolé. Non, non, il s’intègre parfaitement avec :

• Home Assistant : Via l’intégration WebRTC Camera
• Frigate : Pour l’enregistrement et la détection d’objets
• Scrypted : Comme source vidéo
• Node-RED : Pour l’automatisation

Bref, si vous voulez creuser le sujet, voici quelques ressources :

• Le GitHub officiel avec une doc complète
• Le wiki pour les configs avancées
• Les issues GitHub pour voir les problèmes connus

Et si vous êtes du genre bidouilleur, sachez que go2rtc expose une API complète donc vous pouvez donc l’intégrer dans vos propres projets, créer des interfaces custom, ou même contribuer au projet.

Allez, je vous laisse tester ça.

GOG vient de lâcher une bombe, à savoir 13 jeux gratuits pour vous ce weekend pour protester contre la censure. Mais attention, pas n’importe quels jeux, et pas pour n’importe quelle raison.

Alors voilà le topo, depuis quelques semaines, Visa et Mastercard jouent les censeurs moraux du gaming. Suite à une campagne menée par Collective Shout, une organisation conservatrice anti-porno, les deux géants du paiement ont commencé à faire pression sur les plateformes de distribution. Résultat, Steam a dû virer des centaines de jeux de son catalogue, et Itch.io s’est vu obligé de supprimer plus de 20 000 jeux marqués NSFW. Oui, vingt mille !! C’est fou !

Face à ce délire dystopique où des entreprises de paiement décident de ce que vous avez le droit d’acheter avec VOTRE argent, GOG a décidé de réagir. Et pas à moitié puisque la plateforme de CD Projekt a lancé l’opération FreedomToBuy.games avec un message clair : “La censure décide silencieusement quels jeux vous pouvez acheter. Nous ripostons.”

Le bundle gratuit comprend 13 jeux, et la sélection est… disons… explicite. Postal 2 ouvre le bal (le classique du mauvais goût assumé), suivi de HuniePop (le match-3 coquin qui a fait scandale à sa sortie), Agony (survival horror avec beaucoup de seins), et une dizaine d’autres titres pour adultes comme Being a DIK, Treasure of Nadia ou House Party. Bref, tout ce que Visa ne veut pas que vous achetiez.

Ce qui est génial dans cette histoire, c’est que GOG ne fait pas ça pour promouvoir le porno dans les jeux vidéo. Non, c’est plutôt une question de principe car si on laisse les plateformes de paiement décider aujourd’hui de ça, qu’est-ce qui les empêchera demain de bloquer des jeux politiques ? Des histoires LGBTQ+ ? Des jeux qui critiquent le capitalisme ? C’est la pente glissante classique, et GOG a raison de tirer la sonnette d’alarme.

D’ailleurs, le mouvement prend de l’ampleur puisqu’une pétition sur Change.org a déjà récolté plus de 220 000 signatures. L’International Game Developers Association (IGDA) a également publié un communiqué demandant “des règles claires, des avertissements équitables et le droit de faire appel”. Même les développeurs indépendants se mobilisent en contactant directement Visa et Mastercard.

Pour récupérer les jeux, c’est simple comme bonjour. Direction items.gog.com/freedomtobuy, vous cliquez sur “Claim Games” et vous récupérez le code FREEDOMTOBUYGAMES. Ensuite, vous l’entrez sur GOG et hop, les 13 jeux sont à vous pour toujours. Pas de DRM, pas de conneries, juste les fichiers d’installation que vous pouvez garder sur votre disque dur.

Petite précision importante, c’est un bundle, donc vous prenez tout ou rien. Si vous vouliez juste Postal 2 pour revivre vos délires d’ado edgy, vous vous retrouverez quand même avec 12 jeux de boobs dans votre bibliothèque. Mais bon, GOG permet de masquer les jeux de votre liste, donc pas de panique si maman passe derrière.

Les réactions sur Reddit sont d’ailleurs hilarantes. Entre ceux qui découvrent qu’ils viennent de récupérer 12 porn games sans le vouloir, et ceux qui philosophent sur le fait que GOG est plus généreux avec les jeux porno qu’avec les AAA, l’ambiance est à la rigolade.

Mais au-delà des blagues, c’est un vrai débat de société qui se joue car est ce que c’est normal que des entreprises privées puissent dicter ce qu’on a le droit d’acheter légalement ? Ces jeux sont autorisés par la loi, créés par des développeurs adultes, achetés par des joueurs majeurs donc de quel droit Visa décide que c’est mal ?

GOG prend donc position avec cette déclaration : “En tant que plateforme d’archivage dédiée à la protection de l’histoire du jeu vidéo, nous croyons que si un jeu est légal et créé de manière responsable, les joueurs devraient pouvoir en profiter aujourd’hui, et dans des décennies.”

L’offre est valable jusqu’au 4 août 2025 à 11h29 heure française et après, retour aux prix normaux et vous pourrez chialé d’avoir raté l’occasion. Donc, même si vous n’avez aucune intention de jouer à “Helping the Hotties” ou “Sapphire Safari” maintenant, récupérez le bundle, car c’est gratuit, c’est sans DRM, et c’est votre façon de dire aux processeurs de paiement qu’ils ne sont pas la police de la morale. Puis votre “moi” du futur quand il sera à la retraite en mode papi lubrique, sera bien content d’y jouer.

Alors oui, GOG aurait pu offrir The Witcher 3 ou Cyberpunk 2077 mais l’impact n’aurait pas été le même. Là, je trouve qu’ils frappent exactement là où ça fait mal en offrant gratuitement ce que d’autres veulent interdire. C’est du génie marketing doublé d’un vrai message politique et en plus, vous avez Postal 2 gratos, alors que demande le peuple ?

Si vous êtes du genre à penser que les hackers sont tous des génies de l’informatique avec des configs de malade, j’ai une histoire qui va vous faire changer d’avis : Celle de Marcel Lazăr Lehel, alias Guccifer. Ce nom ne vous dit peut-être rien, mais ce chauffeur de taxi roumain au chômage a littéralement changé le cours de l’histoire politique américaine.

Sans lui, on n’aurait jamais su qu’Hillary Clinton utilisait un serveur mail privé et il n’y aurait donc pas eu de “scandale des emails” qui lui a probablement coûté l’élection présidentielle de 2016. Et tout ça avec un équipement qui ferait rire un gamin de 12 ans aujourd’hui.

Marcel Lazăr Lehel naît le 23 novembre 1971 dans un petit village roumain près d’Arad, en Transylvanie. Pas exactement le berceau qu’on imaginerait pour celui qui allait devenir l’un des hackers les plus influents de l’histoire moderne. D’origine roumaine et hongroise, Marcel grandit dans la petite commune de Sâmbăteni, un bled perdu dans la campagne de l’ouest d’Arad. Le genre d’endroit où, selon ses propres mots, “tout le monde passe à toute vitesse, personne ne s’arrête jamais”. Ambiance garantie.

À l’époque, la Roumanie sort tout juste de l’ère Ceaușescu. Le pays se débat avec la transition post-communiste, l’économie est en miettes, et les opportunités d’emploi se comptent sur les doigts d’une main. Pour un gamin comme Marcel, pas très sociable et qui a du mal à s’intégrer, l’avenir semble plutôt bouché. “Je ne sortais presque jamais”, racontera-t-il plus tard. Un vrai geek avant l’heure, sauf qu’il n’avait même pas d’ordinateur.

Marcel et sa femme Gabriela ne dépasseront jamais le niveau lycée et ils enchaînent les petits boulots : usines, magasins, emplois précaires. Avant son arrestation en 2014, Marcel était au chômage depuis plus d’un an. Avant ça, il avait été chauffeur de taxi et vendeur de peinture. Jamais un seul job en rapport avec l’informatique. Y’a de quoi se poser des questions non ? Le mec qui va faire trembler le gouvernement américain n’avait jamais touché un clavier de sa vie professionnelle.

Marcel Lazăr Lehel alias Guccifer

Mais Marcel a quelque chose que beaucoup n’ont pas : il est polyglotte. Il parle couramment roumain, hongrois et anglais. Il lit énormément, il a l’esprit vif, mais socialement, c’est un inadapté total. Un type intelligent coincé dans un environnement qui ne lui offre aucune perspective. Un mélange explosif !

Vers 2010, Marcel découvre l’informatique. Il a déjà 39 ans et c’est pas vraiment l’âge où on devient hacker d’habitude. Et c’est pas dans une école d’ingénieurs ou lors d’un stage en entreprise qu’il fait ses premières armes. Non, tout seul, par ennui et par curiosité. Il n’a qu’un vieux PC de bureau NEC tout pourri et un Samsung à clapet. Pas de formation, pas de mentor, juste Internet et sa débrouillardise. Il apprend alors les bases en autodidacte, comme on apprend à bricoler dans son garage, sauf que lui, au lieu de réparer des mobylettes, il va démonter la sécurité informatique mondiale.

Sa première incursion dans le hacking est presque accidentelle. En fin 2010, par pure curiosité et ennui, il commence à farfouiller dans les comptes de célébrités roumaines. Et là, surprise, c’est ridiculement facile. Pas besoin d’être un génie en cryptographie ou de connaître des failles zero-day. Il suffit de chercher des infos sur ses cibles sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. “J’utilisais Wikipedia et des listes de noms d’animaux populaires”, expliquera-t-il. Du social engineering niveau débutant, mais ça marche.

En 2011, sous le pseudonyme “Micul Fum” (Petite Fumée), il hacke les comptes email et Facebook de plusieurs célébrités roumaines : acteurs, footballeurs, présentateurs TV. Il va même jusqu’à pirater George Maior, le patron des services secrets roumains. Pas mal pour un amateur ! Et il publie leurs correspondances privées sur Internet, sans vraiment de but précis à part la notoriété. Pour la petite histoire, le nom “Micul Fum” vient des livres de Carlos Castaneda et fait référence à une drogue psychédélique.

Marcel habitude un village près d’Arad en Roumanie

Les autorités roumaines ne mettent pas longtemps à remonter jusqu’à lui et en 2011, il est arrêté et condamné à trois ans de prison avec sursis. Vous vous dites alos qu’il a eu de la chance ? Que ça aurait dû le calmer ? Et bien PAS DU TOUT ! Cette première expérience ne fait que l’encourager. Il a découvert qu’avec un peu de patience et de malice, on peut accéder aux secrets des puissants et Marcel a du temps à revendre. Chômeur, vous vous souvenez ?

En 2012, Marcel change de vitesse. Fini les petites célébrités roumaines. Il se forge une nouvelle identité : Guccifer, un mélange de “Gucci” et “Lucifer”. “Le style de Gucci et la lumière de Lucifer”, explique-t-il. Toujours aussi mégalo, mais maintenant il vise l’élite mondiale. Et c’est là où c’est fun.

Sa première cible américaine est Dorothy Bush Koch, la sœur de George W. Bush. En février 2013, il hacke son compte AOL (oui, AOL existait encore) et balance sur Internet des photos privées de la famille Bush. Il découvre aussi des autoportraits peints par George W. Bush lui-même. Des tableaux où l’ancien président se représente sous la douche, de dos, vulnérable. L’ancien leader du monde libre qui joue les artistes torturés dans son temps libre, c’était surréaliste.

Bush racontera plus tard : “J’étais agacé. C’est une intrusion dans ma vie privée.” Pauvre petit chou…. Mais le vrai coup de maître arrive le 20 mars 2013. Marcel réussit à pirater le compte email de Sidney Blumenthal, ancien conseiller de Bill Clinton et ami proche d’Hillary. Pour ça, il a d’abord hacké Corina Crețu, une politicienne roumaine qui correspondait avec lui. La question de sécurité de Crețu ? Le nom de la rue où elle avait grandi. Marcel l’a trouvé en 30 secondes sur Google. Et là, c’est jackpot total !

Il découvre alors des memos privés que Blumenthal envoie à Hillary Clinton sur sa boîte mail personnelle : [email protected]. Ces emails traitent de l’attaque de Benghazi du 11 septembre 2012 et d’autres sujets libyens ultra-sensibles. Marcel les publie en ligne, et BOUM ! C’est la première fois que le public découvre qu’Hillary Clinton utilise un serveur mail privé pour ses communications officielles en tant que Secrétaire d’État. Le scandale qui va empoisonner sa campagne présidentielle de 2016 vient de naître.

Vous imaginez ? Un chauffeur de taxi au chômage dans un bled roumain vient de déclencher l’un des plus gros scandales politiques de la décennie américaine. Sans le savoir, sans même le vouloir vraiment. Il cherchait juste à faire parler de lui. “J’avais l’habitude de lire ses memos pendant six ou sept heures, puis j’allais faire du jardinage”, racontera-t-il plus tard avec un détachement déconcertant.

La méthode de Marcel est d’une simplicité désarmante. Il n’utilise aucun exploit sophistiqué, aucun malware, aucune technique de social engineering avancée. Sa stratégie c’est de googler ses cibles, éplucher leurs profils sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. Date de naissance ? Sur Facebook. Nom de jeune fille de la mère ? Dans un vieil article de journal. Animal de compagnie ? Sur Instagram. C’est con mais ça marche.

Pour hacker Colin Powell, par exemple, Marcel a passé six mois à essayer différentes combinaisons. Six mois ! Le mot de passe était basé sur le nom de famille de la grand-mère de Powell. Il a d’abord visé Corina Crețu pour avoir accès à leurs échanges et une fois dans son compte, il a eu accès à des années de correspondance entre Powell et d’autres pontes américains : George Tenet (ex-patron de la CIA), Richard Armitage, John Negroponte. Des infos financières personnelles, des discussions stratégiques, tout y était.

Marcel cible aussi la sénatrice Lisa Murkowski, des membres de la famille Rockefeller, des anciens agents du FBI et des Services Secrets, le frère de Barbara Bush, le journaliste sportif Jim Nantz, et même Patricia Legere, ancienne Miss Maine. Il hacke aussi Tina Brown (une journaliste célèbre), Candace Bushnell (créatrice de Sex and the City) et Jeffrey Tambor (acteur). Un portfolio de victimes complètement hétéroclite, comme s’il choisissait au hasard en fonction de ses humeurs. Au total, plus de 100 victimes.

Mais Marcel n’est pas qu’un simple pirate informatique. C’est aussi un conspirationniste de première. Dans ses communications avec les médias, il balance des théories farfelues sur les Illuminati, le 11 septembre, la mort de Lady Diana, et même une supposée attaque nucléaire prévue à Chicago en 2015. Pour lui, le monde est dirigé par une cabale secrète, et ses hackings sont un moyen de révéler la vérité au grand jour. Il décrit même Hillary Clinton comme “une des grandes prêtresses d’un groupe satanique caché aux yeux du monde”. Rien que ça.

Le 22 janvier 2014, à 6h du matin, la police roumaine débarque chez Marcel à Sâmbăteni. Il a alors 42 ans, il est au chômage, et sa petite vie de hacker touche à sa fin. L’agence roumaine DIICOT (Direction d’enquête des infractions de criminalité organisée et terrorisme) l’arrête dans sa maison familiale. Finies les journées à siroter du café en hackant l’élite mondiale depuis son salon.

Un détail poignant, quand les flics arrivent, Marcel détruit son disque dur à coups de hache dans le jardin. Sa femme Gabriela garde encore aujourd’hui le clavier de son ordinateur. Les lettres étaient tellement usées qu’elle les avait réécrites avec son vernis à ongles orange. Ce clavier, c’est donc tout ce qui reste de l’empire numérique de Guccifer.

En 2014, un tribunal roumain le condamne à quatre ans de prison pour avoir accédé aux comptes email de personnalités publiques “dans le but d’obtenir des données confidentielles” et pendant ce temps, les États-Unis préparent leur riposte. Et ils ne sont pas contents du tout.

Le 12 juin 2014, un grand jury fédéral américain inculpe Marcel de neuf chefs d’accusation. Trois pour fraude électronique, trois pour accès non autorisé à des ordinateurs protégés, et un pour chacun des délits suivants : vol d’identité aggravé, cyberharcèlement et entrave à la justice. Les Américains le veulent, et ils sont déterminés à l’avoir.

Pendant qu’il purge sa peine en Roumanie, Marcel continue à faire parler de lui. En mars 2015, depuis sa cellule de la prison d’Arad, il accorde une interview exclusive à Pando Daily. Et là, il lâche ses meilleures punchlines notamment sur sa routine quotidienne. Il explique tranquillement par exemple comment il alternait entre espionnage de haut niveau et jardinage. Le mec vivait sa meilleure vie de retraité tout en déstabilisant la politique mondiale.

Marcel était obsédé par les Illuminati et les théories du complot

Cette déclaration montre surtout l’état d’esprit du personnage car pour lui, pirater les communications de la future candidate démocrate à la présidentielle, c’était juste un passe-temps entre deux corvées domestiques. Rien de plus banal. “Je ne piratais pas Hillary Clinton, je piratais Illuminati”, précise-t-il. Logique imparable.

En avril 2016, c’est alors le moment que Marcel redoutait : il est extradé vers les États-Unis pour y être jugé. Il y reste temporairement et retourne dans son pays pour finir sa peine Roumaine. Puis en novembre 2018, il est ré-extradé, cette fois pour purger sa peine américaine. Fini le système pénitentiaire roumain relativement clément, direction les prisons fédérales américaines. Il atterrit en Virginie pour faire face à la justice américaine.

Mais Marcel, fidèle à lui-même, ne peut pas s’empêcher d’en rajouter. En mai 2016, un mois après son extradition, il déclare à Fox News qu’il a non seulement hacké les emails d’Hillary via Sidney Blumenthal, mais qu’il a aussi piraté directement son serveur privé. “C’était facile… facile pour moi, pour tout le monde”, affirme-t-il. “Le serveur était comme une orchidée ouverte sur Internet.”

Le problème c’est que Marcel ne fournit aucune preuve de ces allégations. Les enquêteurs américains fouillent, cherchent, analysent, mais ne trouvent aucune trace d’une intrusion directe sur le serveur d’Hillary. Plus tard, lors d’une audition au Congrès, le directeur du FBI James Comey révélera que Guccifer a admis avoir menti sur cette prétendue intrusion. Marcel reconnaîtra lui-même : “J’ai menti un peu…”

Alors pourquoi mentir ? Peut-être pour négocier sa peine, peut-être par mégalomanie, ou peut-être juste pour continuer à faire parler de lui ? Marcel a toujours eu un rapport compliqué avec la vérité et la réalité. Dans sa tête, il menait une croisade contre les forces du mal alors que dans la vraie vie, il était juste un branleur avec trop de temps libre.

En mai 2016, Marcel Lehel Lazăr plaide alors coupable devant un juge fédéral d’Alexandria, en Virginie, pour vol d’identité et accès non autorisé à des ordinateurs protégés. Il évite ainsi un procès qui aurait pu lui coûter beaucoup plus cher.

Et le 1er septembre 2016, verdict : 52 mois de prison fédérale. Quatre ans et quatre mois pour avoir bouleversé la politique américaine depuis son vieux PC. Quand on y pense, c’est dérisoire comparé à l’impact de ses actions car sans lui, Hillary Clinton aurait peut-être été présidente ? Qui sait ?

Marcel purge alors sa peine à la Federal Correctional Institution Schuylkill en Pennsylvanie (niveau de sécurité moyen), puis dans une prison de sécurité minimale. Et là, c’est le calvaire. “Un endroit terrible”, décrira-t-il plus tard à propos du FCI Schuylkill. Il prétend avoir été régulièrement privé de soins médicaux et dit avoir perdu beaucoup de ses dents pendant ses quatre années d’incarcération. C’est le système pénitentiaire américain, version hard.

Pendant ce temps, sa famille souffre aussi. Sa fille Alexandra est harcelée à l’école. “Les enfants lui demandent pourquoi son papa est en prison”, raconte un proche. Et sa femme Gabriela doit gérer seule le quotidien. C’est la rançon de la gloire pour la famille Lehel.

En août 2021, après plus de quatre ans derrière les barreaux américains, Marcel Lazăr Lehel sort enfin de prison. Il a 51 ans, il est cassé physiquement et mentalement, mais il est libre. Direction Arad, sa ville natale en Transylvanie.

Et en janvier 2023, pour la première fois depuis sa libération, Marcel accepte de parler. Dans une série d’interviews téléphoniques avec The Intercept, il se livre sur sa nouvelle vie et sur l’étrange héritage qu’il a laissé derrière lui.

“C’est comme une expérience de sortie de corps, comme si ce mec Guccifer était quelqu’un d’autre”, confie-t-il. “En ce moment, ayant ce temps libre, j’essaie juste de comprendre ce que cet autre moi faisait y’a 10 ans.” Cette phrase résume bien l’état d’esprit de Marcel aujourd’hui. Il semble sincèrement déconnecté de son persona de hacker, comme s’il avait du mal à croire que c’est bien lui qui a fait tout ça.

“Je ne me sens pas à l’aise en parlant de moi”, avoue-t-il à son interlocuteur. Sur l’impact de ses actions, Marcel reste également modeste… enfin, presque. “J’étais inspiré par le nom, au moins”, dit-il, “parce que tout mon projet Guccifer était, après tout, un échec.” Mais quand le journaliste évoque son influence sur le hacking moderne, sa modestie glisse légèrement. Il dit : “Je suis sûr, à ma façon humble, que j’ai été quelqu’un qui ouvre de nouvelles routes.”

Et il n’a pas tort car Guccifer a prouvé qu’on n’a pas besoin d’être un génie en informatique pour faire tomber les puissants. Sa méthode artisanale (Google, patience, et déduction logique) a inspiré toute une génération de hackers amateurs. “C’est pas de la programmation informatique”, précise-t-il, “je ne sais pas programmer. C’est avoir l’intuition de pouvoir deviner.”

Marcel vit aujourd’hui une existence discrète à Arad et refuse d’entrer dans les détails de sa vie actuelle, probablement par peur de représailles ou simplement par lassitude. L’homme qui a fait trembler Washington préfère maintenant l’anonymat et il cherche encore du travail, surtout qu’avec son CV, c’est pas gagné.

Mais l’histoire de Guccifer ne s’arrête pas là. Son nom a inspiré d’autres hackers, notamment le mystérieux “Guccifer 2.0” qui a piraté le Parti démocrate américain en 2016… Mais ça c’est une autre histoire que je vous raconterai bientôt.

En tout cas, Marcel n’a jamais vraiment compris l’ampleur de ce qu’il avait déclenché. Pour lui, pirater Sidney Blumenthal était juste un hack de plus dans sa collection et il ne savait pas qu’il était en train de révéler les secrets les mieux gardés de la politique américaine. Il avait même trouvé une archive de 30 GB avec des documents confidentiels sur la Palestine, mais il s’en foutait. C’est Hillary qui l’intéressait.

Bref, la prochaine fois que vous vous connecterez à votre boite mail et que vous répondrez à une question de sécurité, ou que vous partagerez des infos personnelles sur les réseaux sociaux, pensez à Marcel, surtout si votre question de sécurité c’est le nom de votre premier animal de compagnie et que vous avez posté 50 photos de Médor sur Instagram…

Sources : Wikipedia - Guccifer, US Department of Justice - Romanian Hacker “Guccifer” Sentenced, The Intercept - Guccifer Interview (2023), Pando Daily - Exclusive Interview with Guccifer (2015), NBC News - Guccifer Pleads Guilty

C’est la guerre froide de l’IA car Anthropic vient de couper l’accès de son API Claude à OpenAI, accusant le créateur de ChatGPT d’avoir violé ses conditions d’utilisation pour développer GPT-5. On assiste là, à un vrai clash entre titans de l’IA, j’vous raconte !

Mardi dernier, Anthropic a tout simplement débranché OpenAI de son API Claude. La raison ? Les équipes techniques d’OpenAI auraient utilisé Claude Code, l’outil de programmation star d’Anthropic, pour préparer le lancement de GPT-5.

Et ça, c’est strictement interdit par les conditions d’utilisation. Christopher Nulty, porte-parole d’Anthropic, n’y est pas allé par quatre chemins : “Claude Code est devenu l’outil de référence pour les développeurs partout dans le monde, donc ce n’était pas surprenant d’apprendre que les équipes techniques d’OpenAI utilisaient aussi nos outils de programmation avant le lancement de GPT-5. Malheureusement, c’est une violation directe de nos conditions de service.”

Concrètement, les conditions commerciales d’Anthropic interdisent d’utiliser leur service pour “construire un produit ou service concurrent, y compris pour entraîner des modèles d’IA concurrents” ou pour “faire de l’ingénierie inverse ou dupliquer” leurs services.

OpenAI aurait ainsi intégré Claude dans ses outils internes via l’accès développeur (API) au lieu d’utiliser l’interface de chat classique et ce qui est vraiment croustillant, c’est la manière dont OpenAI utilisait Claude car d’après des sources proches du dossier, ils menaient des tests pour évaluer les capacités de Claude en programmation et écriture créative, comparant les résultats avec leurs propres modèles et ils vérifiaient aussi comment Claude répondait aux prompts sensibles touchant à la sécurité. En gros, ils benchmarkaient Claude pour améliorer leurs propres IA.

Hannah Wong, responsable de la communication d’OpenAI, a réagi avec un brin d’amertume : “C’est une pratique standard dans l’industrie d’évaluer d’autres systèmes d’IA pour benchmarker les progrès et améliorer la sécurité. Bien que nous respections la décision d’Anthropic de couper notre accès API, c’est décevant sachant que notre API reste disponible pour eux.”

Anthropic affirme qu’ils continueront à donner accès à OpenAI pour les benchmarks et évaluations de sécurité “comme c’est la pratique standard dans l’industrie”. Mais ils n’ont pas précisé comment cette restriction actuelle affecterait ce travail.

Bien sûr, cette pratique de couper l’accès API aux concurrents n’est pas nouvelle dans la tech. Facebook l’avait fait avec Vine de Twitter (ce qui avait déclenché des accusations de comportement anticoncurrentiel), et le mois dernier, Salesforce a restreint l’accès de certains concurrents aux données via l’API Slack. D’ailleurs, ce n’est même pas la première fois qu’Anthropic fait ça car le mois dernier, ils ont restreint l’accès direct de la startup de programmation IA Windsurf à leurs modèles, après des rumeurs d’acquisition par OpenAI (qui n’ont finalement pas abouti).

Jared Kaplan, directeur scientifique d’Anthropic, avait alors déclaré à TechCrunch : “Je pense que ce serait bizarre pour nous de vendre Claude à OpenAI.”

Le timing de cette révocation est particulièrement intéressant car un jour avant de couper l’accès d’OpenAI, Anthropic a annoncé de nouvelles limites de taux sur Claude Code, citant une utilisation explosive et, dans certains cas, des violations de leurs conditions de service.

Il faut quand même dire que Claude Code s’est imposé comme l’outil de référence pour le développement, surpassant GitHub Copilot ou Cursor. Il permet de voir tous les fichiers d’un projet, comprendre comment ils fonctionnent ensemble, modifier les bases de code, exécuter des tests et même faire des commits sur GitHub de manière autonome. Et, c’est mon avis, la qualité du code produit ou du texte produit surpasse de loin celui de ChatGPT. Donc, moi ça ne m’étonne pas que les dev d’OpenAI tente de reproduire la magie des modèles de Claude.

Et avec GPT-5 “Lobster” (oui, c’est son nom de code) qui se profile à l’horizon et qui promet d’être meilleur en programmation, la bataille entre Anthropic et OpenAI ne fait que commencer. En tout cas, nous les développeurs et autres utilisateurs de ces services, nous sommes les grands gagnants de cette compétition acharnée car ça s’améliore en permanence pour nos usages.

Source : Wired

J’ai reçu ce matin un email de Mozilla qui tire la sonnette d’alarme !! Une vague de phishing cible actuellement les développeurs Firefox, donc si vous avez reçu un email vous demandant de “mettre à jour votre compte Add-ons”, méfiance !

En effet, Mozilla vient de détecter une campagne de phishing assez vicieuse qui s’en prend spécifiquement aux développeurs d’extensions Firefox. Les pirates envoient des emails frauduleux en se faisant passer pour Mozilla, avec un message du style “Votre compte Mozilla Add-ons nécessite une mise à jour pour continuer à accéder aux fonctionnalités développeur”.

Sauf que non, Mozilla n’a jamais envoyé ce genre d’email et ce qui est vicieux dans cette histoire, c’est que les attaquants changent régulièrement leur message pour contourner les avertissements. Donc voilà, même si Mozilla prévient sur un type de message, il faut rester vigilant car le suivant pourrait être différent.

Pour vous protéger, Mozilla recommande plusieurs trucs assez basiques mais efficaces. Déjà, ne cliquez sur aucun lien dans les emails suspects. Ensuite, vérifiez toujours que l’expéditeur utilise bien un domaine Mozilla officiel qui est firefox.com, mozilla.org, mozilla.com ou leurs sous-domaines. Pas de mozilla-addons.net ou autres variantes bizarres !

Un autre point important aussi, vérifiez que l’email passe bien les contrôles SPF, DKIM et DMARC. Ces protocoles permettent de valider l’authenticité de l’expéditeur. Heureusement, la plupart des clients mail modernes affichent ces infos quelque part dans les détails du message.

Et surtout, règle d’or, ne saisissez jamais vos identifiants Mozilla ailleurs que sur mozilla.org ou firefox.com. Si un lien dans un email vous tente fortement, tapez manuellement l’URL dans votre navigateur ou un moteur de recherche plutôt que de cliquer. Ça évite les redirections malveillantes.

Cette campagne de phishing arrive dans un contexte où la sécurité des extensions Firefox est déjà sous tension car en juillet, plus de 40 extensions malveillantes ont été découvertes sur le store Firefox. Ces fausses extensions se faisaient passer pour des wallets crypto populaires (Coinbase, MetaMask, Trust Wallet…) et volaient les secrets des utilisateurs.

Les pirates utilisaient même des centaines de faux avis 5 étoiles pour paraître légitimes, c’est pourquoi dace à ces menaces, Mozilla a développé un système de détection précoce pour bloquer les extensions frauduleuses avant qu’elles ne deviennent populaires. Mais bon, ça reste un jeu du chat et de la souris avec les attaquants.

Cette nouvelle attaque montre bien que les développeurs sont des cibles de choix pour les pirates car avec un compte développeur compromis, les attaquants peuvent potentiellement publier des mises à jour malveillantes d’extensions légitimes et toucher des milliers d’utilisateurs. Raison de plus donc pour rester parano sur la sécurité de vos comptes !

Alors si comme moi, vous êtes développeur d’extensions Firefox, restez sur vos gardes car la prudence reste votre meilleure défense contre ces attaques de phishing de plus en plus sophistiquées.

Avec tout ce que vous avez lu jusqu’à présent dans ma série de l’été, vous connaissez maintenant toutes ces histoires de hackers qui finissent mal. Mais celle de Max Butler, c’est le niveau au-dessus.

1987, Idaho… un gamin de 15 ans bidouille son premier modem 2400 bauds dans le garage de son père, un vétéran du Vietnam qui tient une boutique informatique. 20 ans plus tard, ce même gosse contrôlera le plus gros empire de cartes de crédit volées de la planète avant de diriger un réseau de contrebande par drone… depuis sa cellule de prison.

Max Ray Butler, alias Iceman, alias Max Vision. Un nom qui fait encore frissonner les vieux de la vieille de la cybersécurité. J’ai épluché son histoire dans le livre “Kingpin” de Kevin Poulsen, et c’est du pur concentré de folie technologique. Le mec a réussi à être à la fois consultant du FBI et un gros poisson de l’underground criminel. Genre Docteur Jekyll et Mister Hyde version Silicon Valley, et en vraiment plus chelou. Il faut avant tout savoir que Butler était diagnostiqué bipolaire. Kevin Poulsen le décrit comme oscillant entre des états de calme absolu et ce qu’il appelle le “full-bore insane” (totalement déjanté quoi). Un génie technique doublé d’un inadapté social qui changeait de personnalité comme de chemise…

Du coup, vous voulez comprendre comment on passe de white hat respecté à empereur des carders ? Attachez-vous, parce que l’histoire de Max Butler, c’est 30 ans d’évolution du hacking condensés dans une seule existence totalement barrée.

Max Ray Butler débarque sur Terre en 1972 à Meridian dans l’Idaho. Papa possède un magasin d’informatique à Boise, maman tient la maison. Dans les années 80, avoir un père dans l’informatique en Idaho, c’était exactement comme grandir dans une chocolaterie quand t’es gosse. Max baigne dedans dès le plus jeune âge, et forcément, ça marque.

Le drame arrive quand il a 14 ans : ses parents divorcent. Pour un ado déjà introverti et passionné par les machines, c’est le tsunami émotionnel. Max reste avec sa mère mais la relation avec son père se complique sérieusement. C’est là que les bulletin board systems entrent en scène. Les BBS, pour ceux qui ont connu, c’était vraiment le Far West numérique. Pas d’Internet grand public, juste des modems qui appelaient d’autres modems à coup de tonalités stridentes.

Et Max découvre cette communauté underground où les gamins s’échangent des codes, des techniques de phreaking (piratage téléphonique façon Captain Crunch), et surtout cette sensation grisante d’appartenir à une élite technique et à 17 ans, l’ado maîtrise déjà des techniques que des informaticiens professionnels ne connaissent même pas.

Mais Max a un problème : son caractère explosif. En 1991, pendant sa première année à Boise State University, lui et un pote hackent le réseau local pour rigoler. Ils s’amusent à échanger des emails depuis les boîtes mail des profs, juste pour le fun. Sauf que la même année, une histoire de cœur tourne mal. Sa copine le largue pour un autre et Max pète totalement un plomb ! Il menace de la tuer, et tente même de la renverser avec sa voiture.

Le tribunal l’interdit alors de l’approcher mais il viole l’interdiction comme un couillon. Il se fait même pincer en train de voler des produits chimiques dans le labo du lycée avec des potes, alors qu’il est déjà expulsé de Meridian High School pour ça d’ailleurs. Résultat, des condamnations pour agression, pour cambriolage et pour vol. 5 ans de prison ferme. Boom.

Et en taule, Max ne reste pas inactif. Il lance un magazine cyberpunk appelé “Maximum Vision” qu’il imprime et distribue aux autres détenus et c’est là qu’il commence à développer cette double identité qui le suivra toute sa vie : le technicien brillant / l’inadapté social complet. Le magazine lui plaît tellement qu’à sa libération en avril 1995, il change officiellement de nom. Max Ray Butler devient alors Max Ray Vision. Nouvelle identité, nouveau départ. Enfin, c’est ce qu’il croit.

Max lorsqu’il était en prison - Photo améliorée par IA

De 1995 à 2001 ce sont les plus belles années de Max. Il déménage près de Seattle, décroche des boulots techniques, épouse Kimi Winters (ils divorceront en 2002 à Santa Clara), s’installe à Berkeley et Max Vision devient peu à peu une célébrité du milieu sécurité informatique. Le mec est partout, on le respecte, on l’écoute.

Il crée arachNIDS (advanced reference archive of current heuristics for network intrusion detection systems), une base de données open source de signatures d’attaques pour Snort, le système de détection d’intrusion le plus utilisé au monde. C’est un travail de titan, mis à jour toutes les heures, et très respecté par toute la communauté white hat. Max collabore aussi avec le FBI, écrit des analyses sur les virus et autres vers, contribue au Honeynet Project…etc. Bref, dans le milieu, on le considère comme un expert en détection d’intrusion.

Mais en 1998, Max commet l’erreur fatale. Il découvre une faille dans BIND, le serveur DNS le plus utilisé au monde. Il veut alors corriger la faille sur les serveurs gouvernementaux avant qu’elle ne soit exploitée par des méchants. C’est une noble intention, sauf qu’il installe une backdoor pour vérifier ses corrections du style “je répare votre porte mais je garde un double des clés, c’est pour votre bien” et évidemment, ce qui devait arriver, arrive… L’Air Force découvre le pot aux roses et le FBI débarque chez lui.

Et là, Max découvre la vraie nature de ses “amis” du Bureau. Ils lui proposent un marché : devenir indic infiltré ou aller en prison. Max accepte d’abord, et commence à bosser pour eux mais quand ils lui demandent de porter un micro pour piéger un collègue qu’il respecte… il refuse net. Le FBI ne rigole plus du tout et en septembre 2000, Max plaide coupable d’intrusion dans les systèmes du Département de la Défense et se prend 18 mois de prison fédérale. Le white hat prodige vient de comprendre que dans ce milieu, la loyauté ne va que dans un sens.

Mai 2001, Max sort de prison et le monde a changé. La bulle internet a explosé, le 11 septembre est passé et la paranoïa sécuritaire est partout. Pour un ex-détenu, même avec ses compétences de malade, trouver du boulot relève du parcours du combattant. “J’étais SDF, je dormais sur le canapé d’un pote. Je n’arrivais pas à trouver de travail”, racontera-t-il plus tard. Le gars qui conseillait le FBI 3 ans plus tôt se retrouve alors à compter ses derniers dollars.

La descente aux enfers peut alors vraiment commencer.

Max croise la route de Chris Aragon via William Normington, un fraudeur rencontré en taule. Aragon, c’est un ancien braqueur de banques avec des condamnations juvéniles, le genre de mec qui ne fait pas dans la dentelle et ensemble, ils montent un système d’exploitation de réseaux WiFi non protégés. En 2003, le WiFi explose mais la sécurité ne suit pas du tout, ce qui donne l’idée à Max et Chris de se balader dans San Francisco avec des antennes paraboliques haute puissance, de s’installer dans des chambres d’hôtel aux derniers étages, et d’intercepter absolument tout ce qui passe.

Leur technique est diabolique : ils scannent les réseaux vulnérables, s’introduisent dans les systèmes, installent des malwares. Max modifie même le Trojan Bifrost pour qu’il échappe aux antivirus et il teste ses modifications sur des machines virtuelles VMware avec différents antivirus jusqu’à obtenir la furtivité totale.

Et quand ils découvrent la faille RealVNC c’est le jackpot ! Pour info, VNC (Virtual Network Console) équipe à l’époque pas mal de terminaux de paiement de milliers de petits commerces, surtout les restaurants. Max scanne méthodiquement Internet, trouve les instances vulnérables, et récupère directement les données de cartes de crédit sur les terminaux. Kevin Poulsen raconte : “Il a réalisé que le PC agissait comme système backend pour les terminaux de point de vente du restaurant. Il collectait les transactions de cartes de crédit du jour et les envoyait en un seul lot chaque nuit au processeur de paiement. Max a trouvé le lot du jour stocké comme fichier texte brut, avec la bande magnétique complète de chaque carte client enregistrée à l’intérieur.”

Iceman vient de naître. Et il a faim.

Juin 2005, Max lance CardersMarket.com, un forum dédié au trafic de données bancaires. Le carding (fraude aux cartes) explose depuis que l’e-commerce s’est démocratisé mais le milieu reste fragmenté : 4 gros forums se partagent le marché avec leurs querelles d’ego et leurs inefficacités. Max observe, analyse, planifie. Il a une vision industrielle là où les autres restent artisanaux.

Max voulait initialement appeler son forum “Sherwood Forest” parce qu’il se voyait comme un Robin des Bois moderne mais Chris Aragon, plus pragmatique, insiste pour “CardersMarket” car il faut attirer les criminels, pas les romantiques. Pendant 2 ans, Max constitue alors tranquillement sa base d’utilisateurs, étudie les méthodes de ses concurrents, identifie leurs failles. Et surtout, il prépare le coup du siècle.

Août 2006 : Max passe à l’acte. En 48 heures chrono, il exécute ce que l’histoire du cybercrime retiendra comme la première OPA hostile de l’underground. Il hacke simultanément les 4 plus gros forums de carding, TalkCash, TheVouched, DarkMarket, ScandinavianCarding. La technique est chirurgicale : extraction complète des bases d’utilisateurs, récupération des historiques de conversations, destruction des données sur les serveurs d’origine, migration de tout vers CardersMarket.

Puis il envoie un email à tous les utilisateurs : “Il n’y a plus qu’un seul forum pour les carders : CardersMarket.com. Signé, Iceman.” Du jour au lendemain, Max contrôle 6000 utilisateurs et devient le monopole mondial du trafic de cartes volées. Les anciens admins des forums rivaux peuvent toujours pleurer, leurs membres ont migré chez Iceman.

Et le business model est totalement rôdé. Max vend les “dumps” (numéros de cartes volées) à des revendeurs et Chris Aragon gère la partie physique : il achète des cartes vierges et une machine d’encodage magnétique, produit les fausses cartes. Il emploie 5 femmes pour faire du shopping dans les magasins de luxe d’Orange County et sa propre femme revend la marchandise sur eBay avec une légère réduction. Les “mules” touchent 30% de la valeur en chèques. Le blanchiment est parfait, industrialisé, efficace.

Les complices de Max. En haut à gauche, Chris Aragon.

En 2 ans, CardersMarket écoulera comme ça 2 millions de numéros de cartes pour un préjudice de 86 millions de dollars. Max prend sa commission sur chaque transaction. Iceman règne sur un empire que même les cartels traditionnels envient. Consultant en sécurité le jour, empereur du carding la nuit. La schizophrénie professionnelle à son paroxysme.

Mais dans l’ombre, le FBI prépare sa revanche. Depuis des mois, l’agent Keith Mularski s’est infiltré dans DarkMarket sous le pseudo “Master Splyntr” et ce mec est vraiment une machine cumulant 18 heures par jour en ligne. Il devient alors admin du forum et gagne la confiance de tous. A l’époque, l’Operation Firewall (2003-2004) a déjà fait tomber 28 carders et permis de récupérer 1,7 million de numéros de CB mais Mularski veut du plus gros gibier.

Alors quand Max hacke DarkMarket, Mularski récupère discrètement des informations sur Iceman. Le gros atout de Max, c’est sa paranoïa car il a identifié Mularski comme un flic, et a même tracé son IP jusqu’au National Cyber-Forensics & Training Alliance de Pittsburgh. Il prévient alors les autres membres du forum mais personne ne le croit car plusieurs fois avant, il avait accusé faussement d’autres membres d’être de la police. Dans un milieu où tout le monde suspecte tout le monde d’être un flic, un ripou ou un indic, Max passe juste pour un parano de plus.

Mularski collecte alors patiemment des tas d’infos : adresses IP, habitudes de connexion, corrélations avec d’autres pseudos… et l’étau se resserre doucement mais sûrement. Pendant ce temps, Max vit dans son “Hungry Manor”, une baraque louée à Half Moon Bay avec d’autres geeks et il ne se doute de rien.

Puis le 5 septembre 2007, à San Francisco, Max Butler sort de chez lui et tombe sur une armée d’agents du FBI. Arrêté, menotté, embarqué, l’empereur des carders vient de tomber. Au moment de son arrestation, CardersMarket traitait plus de transactions frauduleuses que n’importe quelle place de marché légale de l’époque car Max avait industrialisé le crime comme personne avant lui.

Et le procès qui suit ne fait pas dans le mystère. Avec 2 millions de cartes volées et 86 millions de dégâts prouvés, les preuves s’accumulent comme une avalanche et Max plaide coupable de 2 chefs d’accusation de fraude électronique. C’est une stratégie classique qui consiste à coopérer pour limiter les dégâts. Sauf que les dégâts sont énormes.

12 février 2010, le tribunal de Pittsburgh rend son verdict : 13 ans de prison ferme, 5 ans de liberté surveillée, 27,5 millions de dollars à rembourser. À l’époque, c’est le record absolu pour des charges de piratage informatique aux États-Unis. Kevin Poulsen note tristement : “Derrière eux, les longs bancs de bois étaient presque vides : pas d’amis, pas de famille, pas de Charity (sa petite amie de l’époque)… elle avait déjà dit à Max qu’elle ne l’attendrait pas.”

Max atterrit au FCI Victorville Medium 2 en Californie. Pour la plupart des détenus, ce serait la fin de mon histoire, mais Max Butler n’est vraiment pas la plupart des détenus. Ce mec a le crime dans le sang, c’est plus fort que lui.

En octobre 2014, Max obtient un téléphone portable de contrebande. Il contacte Jason Dane Tidwell, un ancien codétenu, via une app de messagerie cryptée et ensemble, ils montent un réseau de contrebande par drone. Max commande un drone civil, et organise des largages de téléphones et de matériel dans la cour de la prison d’Oakdale au printemps 2016. Le mec est irrécupérable…

En 2018, nouvelle arrestation… à l’intérieur de sa cellule. Max est accusé d’avoir organisé ce réseau de contrebande high-tech et il plaide non coupable. Ahahaha. Puis le 14 avril 2021, après 13 ans d’incarcération, Max Ray Vision sort enfin de prison. Il a 49 ans et le monde numérique a encore évolué de manière folle. Bitcoin, Dark Web moderne, ransomwares, cryptolockers… Les techniques qu’il maîtrisait semblent presque archaïques face aux menaces actuelles.

Depuis sa sortie, Max a complètement disparu des radars. Pas d’interview, pas de reconversion publique, pas de livre de mémoires, pas de compte Twitter. L’homme qui a été une des figures du cybercrime a choisi l’anonymat total… Et il doit toujours 27,5 millions de dollars aux victimes et purge encore sa liberté surveillée.

Alors est-ce que Max Butler a tiré les leçons de son parcours totalement dingue ? Est-ce qu’il essaie de se racheter une conduite ? Ou est-ce qu’il planifie discrètement son retour avec les nouvelles technos ? Car dans ce milieu, la retraite n’existe pas vraiment… un hacker reste un hacker, c’est dans l’ADN.

L’histoire de Max Butler nous rappelle qu’entre le white hat et le black hat, il n’y a parfois qu’un pas. Un tout petit pas que des milliers de hackers talentueux franchissent chaque jour dans un sens ou dans l’autre…

Sources : Department of Justice - Butler Indictment (2007), The Secret Service’s Operation Firewall, Livre “Kingpin: How One Hacker Took Over the Billion-Dollar Cybercrime Underground” par Kevin Poulsen (2011)

Voici un truc qui va faire plaisir à tous ceux qui ont des idées d’apps mais qui ne savent pas coder. Ça s’appelle Opal, et c’est le nouveau joujou de Google Labs qui vous permet de créer des mini-applications IA juste en décrivant ce que vous voulez en langage naturel. Plus besoin de se prendre la tête avec du JavaScript ou du Python, vous dites ce dont vous rêvez et hop, l’outil construit votre app avec un joli workflow visuel.

Le concept est vraiment malin. Vous tapez quelque chose comme “Je veux une app qui génère des descriptions de produits et ensuite crée des vidéos promotionnelles basées sur ces descriptions”, et Opal va créer automatiquement toute la logique sous forme de workflow visuel. Vous voyez exactement comment les différentes étapes s’enchaînent, avec les entrées, les sorties, et les appels aux modèles IA de Google (Pro 2.5 pour la logique, Imagen pour les images, AudioLM pour l’audio).

Ce qui est cool, c’est que vous pouvez modifier votre app de deux façons. Soit vous continuez à discuter avec Opal en langage naturel (par exemple, “Ajoute une étape qui traduit le texte en espagnol”), soit vous cliquez directement sur les blocs du workflow visuel pour modifier les prompts et les paramètres. C’est du pur “vibe-coding”, un terme popularisé par Andrej Karpathy d’OpenAI qui désigne cette nouvelle façon de coder en décrivant plutôt qu’en écrivant du code. D’ailleurs, petite anecdote, cette version de mon site sur lequel vous êtes actuellement a été entièrement vibe codée par mes soins :).

Pour l’instant, Opal est en bêta publique mais uniquement aux États-Unis. Google joue la carte de la prudence avec ce lancement expérimental, mais ils ont déjà mis en place une galerie de templates pour vous aider à démarrer. Vous pouvez prendre un template existant et le remixer selon vos besoins, ou partir de zéro avec votre propre idée.

Surtout que la concurrence est rude dans ce domaine. Amazon a sorti Kiro qui mise sur la documentation automatique et la maintenabilité du code généré. Microsoft s’est allié avec Replit pour intégrer leur IDE no-code dans Azure. Mais Google a un avantage : l’intégration native avec tous leurs modèles IA et la simplicité de partage façon Google Docs. Ensuite, une fois votre mini-app créée, vous cliquez sur un bouton et vous avez un lien à partager. Les autres utilisateurs peuvent alors l’utiliser directement avec leur compte Google.

Avec ce truc, vous pouvez créer des outils de productivité personnalisés pour votre boulot, prototyper rapidement des idées d’apps IA, ou même faire des démos fonctionnelles pour convaincre des investisseurs. C’est pas encore adapté pour créer des apps commerciales à grande échelle, mais pour du prototypage rapide ou des outils internes, c’est parfait.

Ali Modarres, Bill Byrne et Paul Lewis, l’équipe derrière Opal chez Google, expliquent que l’objectif est vraiment de démocratiser la création d’apps IA. Plus besoin d’être développeur pour transformer une idée en application fonctionnelle. C’est un peu comme si on passait de l’époque où il fallait connaître le HTML pour faire un site web à l’époque de Wix ou Squarespace.

snif…

Un grand merci à Lorenper qui m’a fait découvrir cet outil !

Source

Bon alors là, Google vient encore de sortir un truc complètement dingue qui va changer fortement la façon dont on observe notre planète. AlphaEarth Foundations, c’est le nom de leur IA qui joue les satellites virtuels et qui peut créer des cartes hyper détaillées de n’importe quel endroit sur Terre, à n’importe quelle date. Et quand je dis hyper détaillées, je parle d’une précision de 10 mètres sur 10 mètres. Vous pourriez voir votre jardin depuis l’espace !

Le principe est assez génial car au lieu d’avoir un satellite physique qui prend des photos, AlphaEarth mouline des milliards (!!) d’images déjà existantes provenant de Sentinel-2, Landsat, des données radar qui passent à travers les nuages, des modèles 3D du terrain, des infos climatiques… Bref, tout ce qui traîne comme données géospatiales depuis 2017. L’IA digère tout ça et vous sort une carte nickel chrome de l’endroit que vous voulez, quand vous voulez.

Christopher Brown de Google DeepMind l’a présenté en disant que ça peut mapper le monde “à n’importe quel endroit et n’importe quand”. Et c’est pas du flan car le système peut même créer des cartes pour des dates où il n’y a pas d’images satellites directes. Il interpole entre les observations ou extrapole quand il manque des données, un peu comme si vous aviez une machine à remonter le temps pour Google Earth.

Les chercheurs ont testé le système en Équateur, où les nuages persistants rendent habituellement l’observation agricole impossible et AlphaEarth a réussi à cartographier les terres agricoles à différents stades de développement sans attendre que le ciel se dégage.

Le plus impressionnant aussi, ce sont les performances de cette IA. Elle réduit les erreurs de 23,9% par rapport aux autres approches existantes, tout en utilisant 16 fois moins d’espace de stockage. Pour vous donner une idée, Nicholas Murray de l’Université James Cook en Australie explique que son équipe passe habituellement “des dizaines à des centaines de jours” à traiter les données satellites avant même de pouvoir commencer à créer des cartes. Avec AlphaEarth, c’est quasi instantané.

Google a balancé 1,4 milliards d’empreintes satellites par an dans Earth Engine, ce qui en fait l’un des plus gros datasets du genre jamais créé. Et le meilleur dans tout ça c’est que c’est gratuit pour la recherche académique et scientifique. Les chercheurs du monde entier peuvent donc s’en servir pour étudier la déforestation, planifier des projets d’énergie propre, surveiller l’expansion urbaine ou suivre les changements climatiques.

D’ailleurs, c’est déjà utilisé par plus de 50 organisations dans le monde. Par exemple, l’ONU s’en sert pour la sécurité alimentaire, MapBiomas au Brésil surveille la déforestation de l’Amazonie avec, et le Global Ecosystems Atlas cartographie des écosystèmes jamais répertoriés comme les déserts hyper-arides ou les zones côtières.

Si vous êtes développeurs ou chercheurs et que vous voulez jouer avec, Google a intégré ça dans Earth Engine avec des fonctionnalités de ouf. Vous pouvez faire de la recherche par similarité (genre “trouve-moi tous les endroits qui ressemblent à ce champ de maïs”), détecter automatiquement les changements entre deux dates, ou créer des cartes précises avec beaucoup moins de données d’entraînement qu’avant.

Le papier de recherche vient d’être publié sur arXiv (pas encore peer-reviewed, mais bon, c’est Google DeepMind quand même) et ils expliquent que c’est la première approche qui supporte le temps continu pour l’observation de la Terre. En gros, vous pouvez demander une carte pour n’importe quelle date, pas juste celles où un satellite est passé par là.

Quand je vois ça, je me dit que le futur est déjà là… Plus besoin d’attendre qu’un satellite passe au bon endroit au bon moment, plus de problème avec les nuages qui cachent tout. Y’a juste une IA qui mouline des datas et qui vous sort exactement ce dont vous avez besoin.

Ah et Google a annoncé que ce truc fait partie de leur nouvelle initiative “Google Earth AI” qui regroupe tous leurs modèles géospatiaux. Apparemment, ils veulent aussi combiner AlphaEarth avec Gemini (leur LLM) dans un futur proche. On pourrait comme ça discuter avec une IA qui connaitrait l’état de la planète entière à n’importe quel moment… C’est dingue !

Pour ceux qui veulent creuser le sujet, tout est dispo sur Google Earth Engine et le blog de Google DeepMind. Et si vous êtes chercheur, foncez, c’est gratuit et ça peut vraiment changer la donne pour vos projets !

Source

Vous en avez marre de jongler avec FileZilla ou de galérer avec les interfaces FTP préhistoriques ? Ça tombe bien car j’ai trouvé LA solution qui va vous simplifier la vie. Ça s’appelle FileGator, et c’est un gestionnaire de fichiers web open source qui permet de transformer n’importe quel serveur en plateforme de partage de fichiers moderne.

Le truc génial avec FileGator, c’est qu’il ne se contente pas de gérer vos fichiers locaux puisqu’il peut se connecter à Amazon S3, Dropbox, Azure Blob, Digital Ocean Spaces et plein d’autres services cloud grâce à Flysystem. Comme ça vous allez pouvoir gérer tous vos espaces de stockage depuis une seule interface web ! C’est cool non ?

L’interface construite avec Vue.js et Bulma, elle est plutôt propre et réactive et toutes les opérations de base sont là : copier, déplacer, renommer, éditer, créer, supprimer, prévisualiser, zipper, dézipper, télécharger et uploader. Il y a même un système d’upload, grâce à Resumable.js, qui vous permet d’uploader des fichiers énormes par chunks, avec une barre de progression, et même mettre en pause et reprendre plus tard. Comme ça, fini les uploads qui plantent après 2 heures !

La gestion multi-utilisateurs est aussi vraiment bien pensée. Vous pouvez créer des admins et des utilisateurs avec différents niveaux d’accès, des rôles personnalisés et des dossiers personnels. Parfait pour partager des documents avec votre équipe, donner accès à des étudiants pour qu’ils déposent leurs devoirs, ou permettre à des collaborateurs terrain d’uploader leurs rapports et photos. Les utilisateurs peuvent être stockés dans un simple fichier JSON, une base de données, ou même utiliser l’authentification WordPress si vous avez déjà un site.

Pour l’installation, c’est d’une simplicité déconcertante avec Docker. Une simple commande et hop, c’est parti :

docker run -p 8080:8080 -d filegator/filegator

Vous accédez ensuite à http://127.0.0.1:8080 et vous vous connectez avec admin/admin123. Si vous préférez une installation classique, il vous faut juste PHP, et vous pointez votre serveur web vers le dossier dist. Pas de base de données requise, tout est géré en fichiers ou via les adaptateurs de votre choix.

Y’a quand même quelques limitations à connaître… Les liens symboliques ne sont pas supportés (limitation de Flysystem), pas de gestion des propriétaires de fichiers (chown), et les performances peuvent se dégrader si vous avez vraiment beaucoup de fichiers dans un même dossier. Mais pour la plupart des usages, c’est largement suffisant.

Ce qui est cool aussi, c’est que le projet a une vraie histoire. À l’origine vendu sur CodeCanyon, il est devenu complètement open source et a été entièrement réécrit from scratch. La version 7 actuelle n’a plus rien à voir avec l’ancienne, et c’est tant mieux puisque le code est propre, bien testé, et l’architecture est extensible.

Pour les sessions, vous avez le choix : fichiers natifs, PDO, Redis, MongoDB, Memcached… Bref, ça s’adapte à votre infrastructure existante. Et si vous voulez contribuer ou personnaliser, le projet est sur GitHub avec une licence MIT, donc vous pouvez faire ce que vous voulez avec.

FileGator est donc parfait pour plein de cas d’usage : remplacer un vieux FTP, créer un cloud privé pour la famille, gérer un CDN avec plusieurs personnes, faire des sauvegardes cloud, ou simplement avoir un endroit centralisé pour gérer tous vos fichiers éparpillés sur différents services. Y’a même des gens qui l’utilisent pour des événements comme des mariages ou des remises de diplômes, où les invités peuvent uploader leurs photos.

Bref, si vous cherchez une alternative moderne au FTP qui ne vous coûtera pas un bras, FileGator est vraiment une excellente option. C’est gratuit, open source, activement maintenu, et ça fait le job avec classe.

Allez jeter un œil à la démo officielle pour vous faire une idée !

Ah, les années 90 ! Qu’est-ce que c’était cool quand même ! Chaque nouveau jeu qui sortait, c’était une révolution et c’est d’ailleurs cette époque a donné naissance à de nombreux classiques, dont l’un des plus célèbres jeux de course futuristes : wipEout, sorti en 1995 sur PlayStation 1.

La bonne nouvelle, c’est qu’il existe plusieurs réimplémentations de ce jeu génial. La première, nommée wipEout Rewrite, a été créée grâce au code source d’origine divulgué en 2022. Le développeur a réussi à adapter le jeu pour qu’il fonctionne sur les plateformes SDL2 et Sokol, avec une prise en charge des contrôleurs de jeu.

Mais attendez, ce n’est pas tout ! Une nouvelle version encore plus améliorée vient de sortir : wipEout Rewrite Enhanced Fantômas Edition, créée par HunoPPC et l’équipe française Amiga. Initialement exclusive à AmigaOS4 (sortie en octobre 2024), cette version est maintenant disponible pour Windows 32/64 bits suite aux nombreuses demandes des fans.

Mais ce n’est pas qu’une simple amélioration visuelle. La Fantômas Edition ajoute du contenu supplémentaire conséquent :

• 8 vaisseaux supplémentaires issus de WipeOut 2097
• Les niveaux de WipeOut 2097 avec corrections
• 3 nouvelles vidéos d’intro en HD (remastered, remake et HD)
• Les musiques des versions Sega Saturn, PSX1 et WipeOut 2097
• Une vue cockpit pour piloter depuis l’intérieur du vaisseau
• Un compteur de vitesse en KPH
• Support complet des manettes avec vibrations

Le moteur a été entièrement optimisé et threadé pour de meilleures performances, avec un rendu OpenGL/DirectX et de l’audio 3D pour les effets sonores. Configuration requise : Windows 10 minimum, 8 Go de RAM et une carte graphique avec support OpenGL/DirectX.

Pour jouer rapidement, vous pouvez toujours tester la version de base directement en ligne ici. Les touches sont X pour accélérer, Z pour tirer, C/V pour freiner et A pour changer de vue.

La Fantômas Edition est en donationware : la version de base est gratuite, mais pour accéder à toutes les données améliorées (textures HD, contenu additionnel), un don est demandé. Les donateurs reçoivent un lien vers l’archive complète. Le développeur HunoPPC dédie cette version à la mémoire de Jacques “Creols” Vanhove, décédé en juillet 2024.

Au-delà des améliorations techniques, ces projets nous offrent un aperçu fascinant du développement de jeux vidéo dans les années 90. Les développeurs originaux ont dû surmonter de nombreux défis liés au matériel et à la 3D. Par exemple, la gestion du rendu dans wipEout était basée sur une bibliothèque appelée LIBGPU, qui gérait les calculs de perspective sur un coprocesseur de la PSX.

Bref, que vous choisissiez la version wipEout Rewrite originale, WipeOut Phantom Edition, ou cette nouvelle Fantômas Edition, vous avez maintenant l’embarras du choix pour redécouvrir ce classique du jeu vidéo avec des améliorations modernes tout en respectant l’esprit original !

Bon, on est le 31 juillet 2025 et dans deux jours, c’est le grand chamboulement. L’AI Act entre en application et j’ai vu passer tellement de conneries sur le sujet que j’ai décidé de vous faire un guide clair et net. Parce que non, vous n’allez pas devoir mettre “CONTENU GÉNÉRÉ PAR IA” en gros sur chaque article de votre blog.

Alors respirez un coup, prenez un café, et on va démêler tout ça ensemble. Je vous promets qu’à la fin de cet article, vous saurez exactement ce que vous devez faire sur votre site. Et surtout, ce que vous n’êtes PAS obligé de faire.

L’AI Act, c’est donc le nouveau règlement européen sur l’intelligence artificielle. Un peu comme le RGPD mais pour l’IA. Et comme le RGPD, ça s’applique à tous ceux qui proposent des services dans l’Union européenne, même si vous êtes basé aux États-Unis ou sur Mars.

Le truc important à comprendre, c’est que l’AI Act fonctionne par niveaux de risque. Plus votre système d’IA présente de risques, plus vous avez d’obligations. Pour nous, éditeurs web et créateurs de contenu, on est généralement dans la catégorie “risque limité”, ce qui veut dire qu’on a principalement des obligations de transparence.

Et c’est là que ça devient intéressant car c’est l’article 50 du règlement qui définit ces obligations de transparence, mais il y a plein d’exemptions que personne ne vous raconte.

Concrètement, si vous utilisez l’IA pour générer du contenu sur votre site, vous devez en informer vos utilisateurs. Mais attention, ce n’est pas aussi simple que “mettez une mention partout”.

Voici ce que dit précisément le texte :

• Pour les contenus type deepfake (images, audio, vidéo) : Vous devez indiquer que le contenu a été artificiellement généré ou manipulé.
• Pour les textes d’information publique : Si vous utilisez l’IA pour générer des textes “dans le but d’informer le public sur des questions d’intérêt public”, vous devez le signaler.
• Pour les chatbots et assistants : Vous devez informer les utilisateurs qu’ils interagissent avec un système d’IA.

Mais voilà le twist, ces obligations ne s’appliquent pas dans tous les cas car l’AI Act prévoit plusieurs cas où vous n’avez pas besoin de signaler l’utilisation de l’IA :

L’exemption MAJEURE - La relecture humaine

C’est probablement l’exemption la plus importante pour vous ! D’après l’article 50 paragraphe 4 de l’AI Act, vous n’avez PAS besoin de mentionner l’utilisation de l’IA si :

1. Le contenu généré par IA a subi un processus de relecture humaine ou de contrôle éditorial
2. ET qu’une personne physique ou morale assume la responsabilité éditoriale de la publication

Concrètement, ça veut dire que si vous utilisez ChatGPT / Claude pour générer un brouillon d’article, qu’ensuite, vous le relisez, le modifiez, l’éditez, le corrigez et quie vous en assumez la responsabilité en tant qu’éditeur/blogueur, vous n’avez PAS besoin de mentionner que l’IA a été utilisée !

C’est énorme car cette exemption reconnaît que la relecture humaine et la responsabilité éditoriale réduisent considérablement les risques. Le texte officiel précise ainsi que cette exemption est conçue pour les cas où les textes générés par IA sont “examinés, classés et dont la responsabilité est assumée par du personnel éditorial” (source Lexology). Je trouve ça très bien car dans ce cas précis, l’IA est utilisé comme un outil sous contrôle humain, et pas un moyen automatisé capable de faire n’importe quoi.

Par contre, pour les images générées par IA, la mention reste nécessaire.

L’exemption “c’est évident”

L’article 50 précise aussi que vous n’avez pas à informer les utilisateurs si c’est “évident du point de vue d’une personne raisonnablement bien informée, observatrice et circonspecte”.

En clair, si c’est évident que c’est de l’IA, pas besoin de le dire. Par exemple, si vous avez un chatbot qui s’appelle “Assistant IA” avec une icône de robot, pas besoin d’ajouter “Ceci est une IA”. C’est du bon sens.

L’exemption créative

Si votre contenu fait partie d’une œuvre “manifestement artistique, créative, satirique, fictionnelle ou analogue”, vous n’avez qu’une obligation minimale, celle de signaler l’existence du contenu généré “d’une manière appropriée qui n’entrave pas l’affichage ou la jouissance de l’œuvre”.

Traduction, si vous faites de l’art, de la fiction ou de la satire avec l’IA, vous pouvez mettre une petite mention discrète quelque part, pas besoin de gâcher votre création avec un gros bandeau rouge.

L’exemption édition standard

Si l’IA n’a qu’une “fonction d’assistance pour l’édition standard” et ne modifie pas substantiellement le contenu, pas non plus d’obligation de transparence.

Donc si vous utilisez l’IA pour :

• Corriger vos fautes d’orthographe
• Reformuler légèrement vos phrases
• Ajuster le ton
• Optimiser le SEO sans changer le fond

Vous n’avez PAS besoin de le signaler. C’est considéré comme de l’édition standard, au même titre qu’utiliser un correcteur orthographique.

L’exemption usage personnel

Si vous utilisez l’IA dans un contexte personnel et non professionnel, l’AI Act ne s’applique pas. Donc votre blog perso où vous racontez vos vacances n’est pas concerné sauf si vous le monétisez ou si vous avez une audience professionnelle.

Bon, parlons maintenant du nerf de la guerre. Si vous ne respectez pas ces obligations, vous risquez :

• Jusqu’à 15 millions d’euros d’amende
• OU 3% de votre chiffre d’affaires mondial annuel ( c’est le montant le plus élevé des deux qui sera conservé)

Mais avant de paniquer, sachez que ces amendes maximales sont pour les cas graves et répétés. Les autorités vont d’abord vous demander de vous mettre en conformité. C’est un peu comme le RGPD… on commence par la prévention avant la répression.

Maintenant qu’on a vu la théorie, passons à la pratique. Voici exactement ce que vous devez faire selon votre situation :

Vous utilisez ChatGPT ou Claude pour écrire vos articles

Cas 1 : Vous générez un brouillon avec l’IA puis vous le relisez/éditez → PAS d’obligation de mention grâce à l’exemption de relecture humaine (article 50.4) → Condition : vous devez vraiment relire et assumer la responsabilité éditoriale

Cas 2 : Vous publiez directement le texte généré par l’IA sans relecture → Si c’est pour informer le public : mention obligatoire → Si c’est créatif/satirique/fiction : mention discrète suffisante

Cas 3 : Vous utilisez l’IA juste pour améliorer votre texte (grammaire, style) → Pas d’obligation car c’est de l’édition standard

Vous utilisez Midjourney ou DALL-E pour vos images

Pour toute image générée par IA, vous devez le signaler, SAUF si :

• C’est dans un contexte artistique évident
• C’est pour un usage personnel non-commercial

Comment le signaler ? Une mention dans la balise alt, dans la légende ou en bas de page suffit. Pas besoin d’un watermark géant.

Vous avez un chatbot sur votre site

Vous devez informer les utilisateurs qu’ils parlent à une IA, SAUF si c’est évident (le chatbot s’appelle “Bot IA”, a une tête de robot, etc.).

Voici donc mes recommandations pour dormir sur vos deux oreilles :

1. Créez une page “Notre utilisation de l’IA” Expliquez comment vous utilisez l’IA sur votre site. C’est transparent et ça couvre vos arrières.
2. Soyez raisonnable avec les mentions Pas besoin de mettre “GÉNÉRÉ PAR IA” en Comic Sans rouge sur chaque paragraphe. Une mention sobre, claire, nette et précise suffit.
3. Documentez votre process Gardez une trace de comment vous utilisez l’IA comme ça si on vous demande, vous pourrez justifier pourquoi vous n’avez pas mis de mention.
4. Privilégiez l’IA comme assistant Utilisez l’IA pour améliorer votre contenu, pas pour le remplacer. C’est mieux pour votre audience ET ça vous évite des obligations.

Voilà, si vous voulez creuser le sujet (et je vous le conseille), voici les liens officiels :

• Le texte complet de l’AI Act sur EUR-Lex - Règlement (UE) 2024/1689, source officielle
• L’article 50 en détail - Les obligations de transparence expliquées
• Analyse juridique de l’article 50.4 - Sur l’exemption de relecture humaine
• Le calendrier d’implémentation - Pour savoir ce qui arrive quand
• Guide WilmerHale sur l’article 50 - Analyse approfondie des exemptions

Voilà, vous savez tout ! L’AI Act, c’est pas la fin du monde, c’est juste un nouveau cadre pour utiliser l’IA de manière responsable et, la plupart d’entre vous n’auront que peu de changements à faire.

L’important, c’est de rester transparent avec votre audience quand c’est nécessaire mais pas besoin d’en faire des tonnes. Je trouve que l’AI Act est plus intelligent qu’on ne le pense car il fait la différence entre publier directement du contenu généré par IA et utiliser l’IA comme assistant de rédaction. Par contre, les gens mal informés sur le sujet ou bien cons risquent de vous prendre le chou donc restez zen et envoyez leur le lien de mon article.

Ah, et un dernier conseil : si vous avez un doute sur votre cas particulier, demandez à un juriste spécialisé car cet article vous donne les grandes lignes basées sur les textes officiels, mais chaque situation est unique et je ne suis pas juriste, alors mieux vaut prévenir que guérir, surtout avec des amendes à 15 millions d’euros !

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Ceci est histoire qui me fascine depuis que j’ai commencé à m’intéresser au hacking car c’est l’histoire incroyable du premier vrai braquage bancaire en ligne. Pas de cagoules, pas d’armes, pas de voitures qui démarrent en trombe mais juste un mec, un ordinateur, et 10,7 millions de dollars qui changent de compte en quelques clics. Cette histoire, c’est celle de Vladimir Levin et du casse de Citibank en 1994.

Un IBM PC typique des années 90, similaire à celui utilisé pour le hack

Imaginez, on est en 1994, Internet balbutie, la plupart des gens n’ont jamais vu un email, et Windows 95 n’existe même pas encore. À cette époque, quand on parlait de vol bancaire, on pensait encore à des mecs avec des bas sur la tête qui braquaient des agences. Et à ce moment précis, personne n’imaginait encore qu’un type en pyjama, depuis son appart’ de Saint-Pétersbourg, pourrait piquer des millions à une des plus grosses banques du monde.

Vladimir Leonidovitch Levin, un nom qui aujourd’hui figure dans tous les bouquins sur la cybercriminalité. Mais qui était vraiment ce mec ? Et bien si vous lisez les articles de l’époque, on vous dira que c’était un mathématicien brillant, un biochimiste diplômé de l’Institut de Technologie de Saint-Pétersbourg, un génie de l’informatique. Mais la réalité est beaucoup moins glamour et bien plus intéressante.

Saint-Pétersbourg en pleine transition post-soviétique - image IA

Et franchement, Saint-Pétersbourg en 1994, c’était pas la joie. L’URSS s’était effondrée trois ans plus tôt, et la Russie traversait une crise économique sans précédent. L’inflation annuelle atteignait 224% cette année-là et le 11 octobre 1994, “Mardi Noir”, le rouble perdait 27% de sa valeur en une seule journée. Les gens allaient au boulot sans être payés pendant des mois, obligés de trouver deux ou trois jobs pour survivre et la ville était surnommée “le Saint-Pétersbourg des bandits” (banditsky Peterburg), et c’était pas pour rien.

Dans ce bordel ambiant, Vladimir Levin travaillait comme admin système pour une boîte qui s’appelle AO Saturn. Rien de bien folichon. Il configurait des serveurs, gérait des réseaux, faisait tourner la boutique informatique. Un job tranquille dans une époque qui ne l’était pas.

Mais voilà, Vladimir a entendu parler d’un truc qui allait changer sa vie. Un groupe de hackers de Saint-Pétersbourg avait découvert quelque chose d’énorme. Ces mecs, qui se faisaient appeler ArkanoiD, Hacker 3 et Buckazoid (oui, comme le personnage de Space Quest… les nerds quoi…), avaient trouvé une faille monumentale dans les systèmes de Citibank.

Citibank, une des plus grandes banques américaines

C’est véridique… l’histoire vraie, celle qu’on ne raconte jamais, c’est que Levin n’a JAMAIS hacké Citibank lui-même. Je le sais car en 2005, un des hackers originaux, ArkanoiD, a balancé toute l’histoire sur Provider.net.ru, un forum russe. Lui et ses potes avaient passé plus d’un an à explorer les réseaux de Citibank et pas par Internet, non, non… Ils utilisaient le réseau X.25, un vieux protocole de communication que plus personne n’utilise aujourd’hui.

X.25, pour ceux qui ne connaissent pas, c’était un peu l’ancêtre d’Internet pour les entreprises. Créé en 1976, c’était un réseau de communication par paquets qui permettait aux banques et aux grandes entreprises d’échanger des données. Super lent selon nos standards actuels (on parle de latences d’une demi-seconde !), mais ultra-fiable pour les transactions financières avec zéro erreur de transmission, ce qui était crucial pour bouger des millions.

Le truc, c’est que Citibank avait son propre réseau X.25 qui reliait toutes ses agences dans le monde. Ce réseau était censé être sécurisé, mais… comment dire… les hackers russes ont découvert qu’ils pouvaient se balader tranquillement dessus. Phrack Magazine avait même publié une liste de 363 ordinateurs Citibank accessibles via Sprintnet !

La liste dans Phrack

Pendant six mois, ArkanoiD et sa bande ont joué les touristes sur les serveurs de Citibank. Ils installaient des jeux, lançaient des programmes, jouaient même à Star Trek sur les machines de la banque et personne ne remarquait rien. Selon ArkanoiD, c’était “très low tech”… pas d’exploit sophistiqué, pas d’analyse de buffer overflow, juste “une approche systématique et un peu de chance”.

C’est là qu’ils ont trouvé le Saint Graal : le système Cash Manager de Citibank. Le service qui permettait aux gros clients corporate de faire des virements internationaux. Ils se connectaient avec un modem (vous savez, ces trucs qui faisaient ce bruit insupportable “KRRRRR BEEP BEEP”), ils rentraient leurs identifiants, et ils pouvaient bouger des millions d’un compte à l’autre. Citibank traitait 500 milliards de dollars par jour avec ce système !

Le problème c’est que la sécurité était… disons… minimaliste. Pas d’authentification à deux facteurs, pas de token physique, juste un login et un mot de passe. En 1994, c’était la norme, mais quand même…

Un coupleur acoustique, ancêtre du modem

Buckazoid découvre alors exactement où et comment transférer l’argent, mais il remarque aussi que tout est loggé et ces logs sont probablement imprimés sur papier chaque jour. Les hackers comprennent vite que “ce serait impossible de voler de l’argent sans se faire remarquer”. Ils n’ont pas les ressources pour gérer la partie logistique du crime car en Russie en 1994, ça voulait dire contacter des gens “désagréables”, comme le dit ArkanoiD.

C’est là que Vladimir Levin entre en scène. Buckazoid lui raconte ce qu’ils ont trouvé et Levin est TRÈS intéressé. Tellement intéressé qu’il sort 100 dollars de sa poche, une fortune en Russie à l’époque où le salaire moyen tournait autour de 50 dollars par mois et et achète toutes les infos : comment se connecter, les identifiants, les mots de passe, quels systèmes cibler, comment faire les virements.

Les hackers originaux ? Ils se barrent direct. La vente de ces infos les a fait flipper et ils disparaissent du réseau Citibank. Mais Levin, lui, il voit l’opportunité de sa vie. Depuis son appartement de Saint-Pétersbourg, avec un simple PC et une ligne téléphonique, il va monter le casse du siècle.

Alors entre fin juin et octobre 1994, Levin se met au boulot. Il se connecte au système Cash Manager de Citibank et commence à transférer de l’argent. Et pas n’importe comment, hein. Il a monté tout un réseau de complices : des comptes en Finlande, aux États-Unis, aux Pays-Bas, en Allemagne, en Israël et des mules qui vont récupérer le cash et le lui renvoyer.

Au total, il va effectuer environ 40 virements frauduleux. Des comptes de grosses entreprises américaines voient leur solde diminuer mystérieusement, l’argent part vers des comptes à l’étranger, disparaît dans la nature, et Citibank ne s’aperçoit de rien. Les clients non plus… en tout cas, au début.

Vladimir Levin au moment de son arrestation - Photo nettoyée par IA

Mais Levin devient gourmand. Trop gourmand. Au total, il va transférer 10,7 millions de dollars. Au prix du dollars aujourd’hui, ça fait plus de 22,7 millions avec l’inflation. Pas mal pour un admin système dans un pays où l’inflation galopait à 224% par an !

Le problème, c’est que bouger autant d’argent, ça finit par se voir et en juillet 1994, plusieurs clients corporate de Citibank remarquent que 400 000 dollars ont disparu de leurs comptes. Ils appellent la banque. Panique à bord !! Citibank lance alors une enquête interne et découvre l’ampleur du désastre.

Le FBI entre alors dans la danse et Steve Garfinkel est désigné comme agent responsable du dossier. Ils remontent la piste des virements, arrêtent les complices qui essaient de retirer l’argent. Une femme et son mari à San Francisco, un autre à Tel Aviv, un à Rotterdam. Et bien sûr, sous la pression, ils craquent et balancent tout. Tous les chemins mènent à Saint-Pétersbourg, à un certain Vladimir Levin d’AO Saturn.

Steve N. Garfinkel - L’agent du FBI en charge de retrouver Levin

Mais attraper Levin, c’est une autre paire de manches. Il est en Russie, pays qui n’a pas de traité d’extradition avec les États-Unis pour ce genre de crime informatique. Le FBI ne peut rien faire. Levin pourra couler des jours heureux à Saint-Pétersbourg avec ses millions (enfin, les 400 000 dollars jamais récupérés). Sauf que…

Mars 1995. Pour des raisons qui restent mystérieuses (certains disent qu’il avait une copine en Angleterre, d’autres qu’il voulait investir son argent à l’étranger), Levin décide de voyager. Il prend un vol Moscou-Londres avec une correspondance. Grosse, GROSSE erreur.

L’aéroport de Stansted où Levin fut arrêté

Le 3 mars 1995, quand son avion atterrit à l’aéroport de Stansted, Scotland Yard l’attend sur le tarmac. Les Américains avaient prévenu les Britanniques via Interpol et Levin est arrêté dans la zone de transit, menottes aux poignets. Game over.

S’ensuit une bataille juridique épique de 30 mois durant laquelle les avocats de Levin se battent bec et ongles contre son extradition. Ils plaident que les preuves sont insuffisantes, que leur client est victime d’une erreur judiciaire, que la juridiction américaine ne s’applique pas. Mais en juin 1997, la Chambre des Lords britannique rejette leur appel final. Direction les États-Unis.

Septembre 1997, Levin est alors extradé. Devant le tribunal fédéral de Manhattan à New York, il change alors de stratégie. Nous sommes en janvier 1998, et il plaide coupable pour un seul chef d’accusation : conspiration en vue de commettre des transferts de fonds frauduleux. Il admet avoir volé 3,7 millions de dollars (pas les 10,7 millions, notez bien).

Et en février 1998, la sentence tombe : 3 ans de prison fédérale et 240 015 dollars de dédommagement. Le juge a pris en compte le temps déjà passé en détention au Royaume-Uni.

Le tribunal fédéral Thurgood Marshall où Levin fut jugé

Trois ans pour ce qui est considéré comme le premier braquage bancaire en ligne de l’histoire. Aujourd’hui, ça paraît dérisoire, mais à l’époque, personne ne savait trop comment gérer ce nouveau type de criminalité. Pas de violence, pas d’arme, pas même d’entrée par effraction. Juste des électrons qui bougent d’un compte à l’autre via des lignes téléphoniques.

Ce qui est fascinant dans cette histoire, c’est à quel point elle était en avance sur son temps car en 1994, la plupart des gens ne savaient même pas ce qu’était un modem. Les modems 14.4k venaient juste d’arriver en 1991, les 28.8k en 1994 et l’idée qu’on puisse voler des millions depuis son salon paraissait être de la science-fiction. Pourtant, c’est exactement ce que Levin a fait.

L’impact du casse de Citibank a été énorme car pour la première fois, les banques ont réalisé qu’elles étaient vulnérables à un nouveau type de menace. Citibank a donc immédiatement mis à jour ses systèmes, introduisant les Dynamic Encryption Cards, des jetons physiques qui génèrent des codes aléatoires pour l’authentification. Un vrai mouvement pionnier dans la cybersécurité bancaire que d’autres banques ont suivi.

Un jeton de sécurité descendant direct des mesures prises après l’affaire Levin

Ce qui me fascine le plus dans cette histoire, c’est le contraste entre l’image publique et la réalité car les médias ont présenté Levin comme un génie maléfique, un super-hacker capable de pénétrer n’importe quel système mais la réalité c’est qu’il était juste un admin système opportuniste qui a acheté des infos à de vrais hackers pour 100 balles.

Les vrais héros techniques (ou anti-héros, selon votre point de vue) de cette histoire, ce sont ArkanoiD et sa bande car ces mecs ont passé plus d’un an à explorer les systèmes de Citibank, pas pour l’argent, mais par pure curiosité. Ils y ont découvert une faille monumentale, ont joué avec pendant six mois, puis ont tout lâché quand c’est devenu trop dangereux.

Comme je vous le disais au début de l’article, en 2005 ArkanoiD a publié son témoignage amer sur Provider.net.ru : “J’ai déjà essayé plusieurs fois de raconter cette histoire d’une manière ou d’une autre, et à chaque fois elle a été monstrueusement déformée.” puisque tous les articles parlaient de Levin le génie, personne ne mentionnait le vrai travail technique fait par son groupe.

C’est ça, la vraie histoire du casse de Citibank. Pas celle d’un génie solitaire, mais celle d’un écosystème : des hackers curieux qui trouvent une faille, un opportuniste qui l’exploite, un système bancaire pas préparé, et des autorités qui découvrent un nouveau monde.

Mais alors qu’est devenu Vladimir Levin aujourd’hui ? Et bien après sa sortie de prison en 2001, il a disparu. Certains disent qu’il vit en Lituanie sous une fausse identité. D’autres qu’il est retourné en Russie et travaille maintenant dans la cybersécurité. Personne ne sait vraiment. Et les 400 000 dollars jamais récupérés ?

Toujours dans la nature. Peut-être planqués dans un compte en Suisse, ou peut-être dépensés depuis longtemps…

Sources : Wikipedia - Vladimir Levin, FBI Archives - A Byte Out of History, Malicious Life Podcast - The Real Story, Darknet Diaries - Vladimir Levin, ISC2 - The CitiBank Cyber Heist 30 Years On, Carnegie - Russia’s Economic Transformation, Wikipedia - X.25 Protocol

Et dire qu’en 2025, certains d’entre vous laissent encore traîner des API sans authentification avec des données sensibles dedans. Ça vous dirait pas de sécuriser un peu tout ça ?

Alors ça tombe bien car je viens de découvrir AutoSwagger, un outil gratuit développé par l’équipe d’Intruder qui scanne automatiquement les domaines à la recherche de documentation API exposée (du genre OpenAPI ou Swagger). Ensuite il parse tout ça pour générer une liste d’endpoints à tester et évidemment, il trouve des trucs de malade.

L’équipe d’Intruder a par exemple découvert des vulnérabilités assez dingues pendant leurs tests comme cette faille qui permettait à n’importe qui d’énumérer les infos des utilisateurs Active Directory sans authentification, un peu comme la CVE-2025-0589 trouvée récemment dans Octopus Deploy. Ils ont aussi déniché un endpoint ‘config’ qui exposait carrément les credentials et les clés API pour des datastores Microsoft Partner Program, avec en bonus les identifiants d’une base Redis contenant des données personnelles de partenaires. Sans oublier des enregistrements Salesforce avec des infos personnelles chez une grosse multinationale tech.

Et tout ça dans de grandes entreprises avec des équipes de sécurité bien matures. Selon le rapport Verizon 2025 sur les brèches de données, l’exploitation des vulnérabilités a augmenté de 34% en un an, et les droits et autorisations mal configurés restent parmi les failles les plus critiques.

Pour réussir ses analyses, AutoSwagger utilise trois méthodes pour découvrir les specs API. D’abord, si vous lui donnez une URL qui finit en .json, .yaml ou .yml, il va parser directement le fichier OpenAPI. Ensuite, il cherche les interfaces Swagger UI connues (comme /swagger-ui.html) et extrait les specs depuis le HTML ou le JavaScript. Et si ça ne marche toujours pas, il tente sa chance avec une liste d’endpoints par défaut comme /swagger.json ou /openapi.json.

Une fois qu’il a trouvé la documentation, AutoSwagger envoie des requêtes à chaque endpoint avec des paramètres valides tirés de la doc. Si au lieu de recevoir une erreur 401 ou 403 (non autorisé), il obtient une réponse valide, bingo ! Il a trouvé un endpoint non protégé.

Mais ce n’est pas tout. L’outil intègre Presidio pour identifier automatiquement les données personnelles comme les numéros de téléphone, les emails, les adresses et les noms. Il utilise aussi des regex pour détecter les tokens exposés, les clés API et autres artefacts de debug qui traînent. En gros, il fait tout le boulot qu’un pentester ferait manuellement, mais en quelques minutes.

Pour utiliser AutoSwagger, c’est super simple. Vous clonez le repo GitHub, vous installez les dépendances Python, et c’est parti :

git clone [email protected]:intruder-io/autoswagger.git
pip install -r requirements.txt
python3 autoswagger.py https://api.example.com -v

L’outil propose plein d’options intéressantes. Avec -risk, vous pouvez inclure les méthodes non-GET (POST, PUT, PATCH, DELETE) dans les tests. Le flag -all affiche tous les codes HTTP dans les résultats (pas seulement les 401/403). Et si vous voulez être vraiment méchant, -b ou --brute active le brute-forcing des valeurs de paramètres pour contourner certaines validations.

Vous pouvez aussi contrôler le débit avec -rate (30 requêtes par seconde par défaut) et obtenir les résultats en JSON avec -json. Le mode -product est particulièrement utile car il ne montre que les endpoints qui contiennent des données personnelles ou des secrets.

La plupart des failles découvertes sont encore super communes, même chez les gros et elles peuvent être exploitées avec très peu de compétences techniques. N’importe qui peut par exemple lancer AutoSwagger et potentiellement trouver des données sensibles.

Les experts en sécurité recommandent évidemment de ne jamais exposer la documentation de vos API sauf si c’est absolument nécessaire pour le business. C’est du bon sens, mais apparemment, beaucoup l’oublient car exposer votre doc Swagger, c’est comme donner le plan de votre maison à des cambrioleurs.

L’équipe d’Intruder précise que cette première version d’AutoSwagger n’est pas encore complète car il y a certains types de spécifications que l’outil ne gère pas encore. Mais c’est open source, donc n’hésitez pas à contribuer et ajouter vos propres regex de détection selon vos besoins.

Et pour ceux qui veulent tester leurs propres API, car c’est ça l’objectif de cet outil, voici quelques conseils. D’abord, utilisez toujours l’outil en mode verbose (-v) pour voir exactement ce qui se passe. Les logs sont stockés dans ~/.autoswagger/logs. Ensuite, commencez par des tests sans risque (GET uniquement) avant de passer aux méthodes plus dangereuses. Et surtout, testez uniquement vos propres API ou celles pour lesquelles vous avez une autorisation explicite, sinon vous irez en prison car c’est illégal.

Les résultats peuvent ensuite être interprétés assez facilement. Les endpoints qui retournent un code 200 sont ceux qui méritent votre attention, surtout s’ils sont marqués comme contenant des données personnelles ou des secrets. AutoSwagger fait une bonne partie du travail, mais une vérification manuelle reste indispensable. Utilisez alors curl, Postman ou Burp Suite pour confirmer vos découvertes.

L’outil affiche aussi des statistiques intéressantes avec -stats. Vous pouvez voir combien d’hôtes ont des specs valides, lesquels exposent des données personnelles, le nombre total de requêtes envoyées, le RPS moyen, et le pourcentage d’endpoints qui répondent avec des codes 2xx ou 4xx.

Au final, AutoSwagger est un super outil pour les équipes de sécurité qui veulent tester leurs API mais c’est aussi, je trouve, un rappel brutal que les bases de la sécurité API sont encore mal appliquées. Donc si vous développez des API, prenez le temps de vérifier que chaque endpoint nécessite une authentification appropriée. Et si possible, ne documentez publiquement que ce qui est absolument nécessaire !

D’ailleurs, grand merci à Lorenper qui m’a fait découvrir cet outil !

Aïe aïe aïe, mauvaise nouvelle pour les utilisateurs de Dropbox Passwords ! Si vous faites partie de ceux qui ont fait confiance à Dropbox pour gérer vos mots de passe, j’ai une annonce qui risque de vous faire grincer des dents : Le service ferme définitivement ses portes le 28 octobre 2025, et vos données seront supprimées à jamais après cette date.

Moi qui avais testé et apprécié ce service à son lancement, je trouve ça vraiment dommage. Mais bon, quand une boîte décide de “se recentrer sur son cœur de métier”, on sait ce que ça veut dire… Au revoir les petits projets annexes sympas, il faut se recentrer sur ce qui rapporte le plus de thunes.

Quand même, le calendrier de fermeture est assez brutal. Dès le 28 août 2025 (dans moins d’un mois !), Dropbox Passwords passera en mode lecture seule. Fini l’autofill automatique, vous pourrez juste consulter vos mots de passe, mais plus en ajouter de nouveaux ni modifier ceux existants.

Puis le 11 septembre 2025, l’application mobile cessera complètement de fonctionner. Seule l’extension navigateur restera accessible pour exporter vos données. Et le 28 octobre 2025, c’est la fin définitive. Tout sera supprimé, effacé, anéanti. Dropbox précise bien que les données seront “supprimées de manière permanente et sécurisée”. Super, mais ça ne console pas vraiment ceux qui vont devoir tout migrer dans l’urgence.

Dropbox recommande de passer à 1Password, ce qui n’est pas un mauvais choix en soi. C’est un gestionnaire solide, même s’il a eu quelques petits soucis techniques par le passé. Le hic, c’est qu’après la période d’essai gratuite, il faudra sortir la carte bleue pour continuer à l’utiliser. Comptez entre 3 et 8 dollars par mois selon le plan choisi.

Pour exporter vos données, Dropbox permet de générer des fichiers CSV contenant vos identifiants et informations de paiement et I ls recommandent d’utiliser l’extension navigateur plutôt que l’app mobile pour une meilleure expérience. Faites-le rapidement, parce qu’une fois la date fatidique passée, même Dropbox ne pourra plus récupérer vos données.

Ce qui m’énerve dans cette histoire, c’est le manque de considération pour les utilisateurs fidèles. Sur les réseaux sociaux, beaucoup se plaignent de cette décision prise sans consultation.

Cette fermeture s’inscrit dans un contexte difficile pour Dropbox. La boîte a licencié plusieurs centaines d’employés ces derniers temps, et le PDG Drew Houston a clairement annoncé vouloir couper dans les projets “sous-performants”. Avec un chiffre d’affaires de 2,54 milliards de dollars en 2024 et un bénéfice net de 452 millions, on ne peut pas dire que Dropbox soit en faillite. Mais visiblement, maintenir un gestionnaire de mots de passe face à la concurrence de LastPass, 1Password, et les solutions intégrées d’Apple, Microsoft et Google, c’était trop compliqué.

Maintenant si vous cherchez des alternatives gratuites, pensez à Bitwarden qui propose une version gratuite très correcte avec stockage illimité des mots de passe et synchronisation sur tous vos appareils. KeePass reste aussi une valeur sûre pour ceux qui préfèrent garder le contrôle total de leurs données. Et si vous êtes dans l’écosystème Apple, leur trousseau iCloud fait très bien le job pour un usage basique.

Et Dropbox affirme qu’il n’y aura pas de réduction de prix malgré la suppression de ce service. Vous payez le même prix, mais avec moins de fonctionnalités.

Bref, si vous utilisez Dropbox Passwords, ne traînez pas. Exportez vos données dès maintenant et commencez à chercher une nouvelle solution. Avec toutes les failles de sécurité qu’on voit passer ces derniers temps, un bon gestionnaire de mots de passe reste indispensable. C’est juste dommage de devoir changer dans l’urgence…

Allez, bon courage pour la migration ! Et n’oubliez pas le 28 octobre 2025, c’est game over pour vos données Dropbox Passwords.