C’est toujours marrant de voir des outils ultra populaires mettre des années à intégrer une fonctionnalité que tout le monde bricole depuis une éternité. Et aujourd’hui, c’est au tour de NGINX qui vient enfin de franchir le pas avec l’intégration native du protocole ACME !
Pour ceux qui ne seraient pas familiers avec cet acronyme, ACME (Automated Certificate Management Environment) c’est le protocole magique qui permet d’automatiser toute la gestion des certificats SSL/TLS. Développé à l’origine par l’Internet Security Research Group pour Let’s Encrypt, c’est donc lui qui vous évite de devoir renouveler manuellement vos certificats tous les 90 jours comme un moine copiste du Moyen Âge.
Le truc vraiment cool, c’est que NGINX a décidé de faire les choses en grand car plutôt que de bricoler une solution rapide, ils ont carrément développé un nouveau module baptisé ngx_http_acme_module qui s’appuie sur leur SDK Rust. Hé oui y’a du Rust dans NGINX ! Cette approche leur permet ainsi d’avoir un module dynamique disponible aussi bien pour la version open source que pour leur solution commerciale NGINX Plus.
Du coup, fini les scripts à la con avec Certbot qui tournent en cron et qui plantent au pire moment. Maintenant, vous configurez tout directement dans votre fichier NGINX comme ceci :
Simple, efficace, intégré, plus besoin de jongler entre différents outils, car tout se passe dans la configuration NGINX. Ensuite, les certificats se renouvellent automatiquement, s’installent tout seuls, et vous pouvez enfin dormir tranquille.
Mais attention, selon les discussions sur LWN.net, tout n’est pas rose au pays des bisounours… La communauté a quelques réserves, et pas des moindres. Leur plus gros point de friction c’est que NGINX a décidé de lancer cette première version avec uniquement le support du challenge HTTP-01. Pour les non-initiés, ça veut dire que votre serveur doit être accessible publiquement sur le port 80 pour prouver qu’il contrôle bien le domaine.
Les développeurs frustrés pointent aussi du doigt l’absence du challenge DNS-01. Et je trouve qu’ils ont raison d’être énervés car sans DNS-01, impossible de générer des certificats wildcard (*.example.com), et impossible de sécuriser des services internes qui ne sont pas exposés sur Internet. Donc pour tous ceux qui ont des homelabs ou des infrastructures privées, c’est relou.
Surtout que Caddy, le concurrent direct de NGINX, gère ça depuis des années sans problème. Bref, l’équipe NGINX promet que les challenges TLS-ALPN et DNS-01 arriveront dans le futur, mais pour l’instant, c’est motus et bouche cousue sur les délais.
Pour ceux qui veulent tester, sachez que le code est disponible sur GitHub et des packages précompilés sont déjà disponibles. La documentation officielle explique également bien le processus d’installation et de configuration. Notez que le module utilise une zone de mémoire partagée pour coordonner les renouvellements entre les différents workers NGINX, ce qui est plutôt malin pour éviter les conflits.
Au niveau technique, le workflow est assez classique… vous configurez votre serveur ACME (Let’s Encrypt ou autre), vous allouez la mémoire partagée nécessaire, vous configurez les challenges, et le module s’occupe du reste. Les variables $acme_certificate et $acme_certificate_key sont automatiquement remplies avec les chemins vers vos certificats.
Tout ceci permet de réduire également la surface d’attaque car vous n’avez plus besoin d’avoir Certbot et toutes ses dépendances Python qui traînent sur votre serveur ou plus de scripts externes qui doivent recharger NGINX. Tout est natif, et donc c’est forcément plus sécurisé.
Perso, je trouve que c’est un pas dans la bonne direction, même si l’implémentation actuelle est limitée. Et le faut qu’ils aient codé ça en Rust montre bien que NGINX prend au sérieux la modernisation de sa base de code. Du coup, pour ceux qui ont des besoins simples avec des domaines publics, foncez tester cette nouveauté. Plus d’excuses pour avoir des certificats expirés !
Si vous êtes du genre à passer votre vie en SSH sur des serveurs distants comme moi, alors voici un petit outil bien sympa qui va peut-être changer votre façon de bosser. Cela s’appelle sshrc et au début, j’ai cru à une énième tentative de réinventer la roue, mais en fait non. Ce truc est vraiment cool car quand vous vous connectez en SSH, il copie automatiquement votre configuration locale dans un dossier temporaire sur le serveur distant. Comme ça, vous retrouvez instantanément vos alias bash, vos raccourcis vim, votre prompt avec ses jolies couleurs…etc. Tout ce qui fait que vous vous sentez chez vous… mais sur votre serveur.
Le truc vraiment cool, c’est que ça ne pollue pas le serveur car tout est stocké dans /tmp dans un dossier propre à votre session. Si d’autres utilisateurs se connectent (même avec sshrc), ils auront leurs propres configs et pas les vôtres.
Pour l’installer, rien de plus simple. Sous macOS avec Homebrew :
Pour les autres systèmes, vous pouvez récupérer le script directement depuis le repo GitHub.
Une fois installé, créez un fichier ~/.sshrc avec vos configs préférées. Par exemple, vous pouvez mettre vos alias les plus utiles, quelques fonctions bash, et même des variables d’environnement spécifiques.
Ensuite, au lieu de taper ssh user@server, vous faites sshrc user@server et c’est tout. Derrière, l’outil fait sa magie noire en compressant vos configurations, en les envoyant sur le serveur, puis en les décompressant dans /tmp, et en sourçant le tout automatiquement. Vous pouvez même avoir des configurations différentes selon les serveurs en créant des fichiers comme ~/.sshrc.d/servername.
Pour les fans de vim, il y a une astuce sympa. Ajoutez cette ligne dans votre ~/.sshrc :
Et placez votre .vimrc dans ~/.sshrc.d/. Comme ça, vim utilisera votre config perso même sur le serveur distant.
Attention quand même, il y a une limite. Si votre dossier ~/.sshrc.d fait plus de 64KB, certains serveurs peuvent bloquer la connexion. C’est pour ça qu’une alternative existe : SSHdot. Cette variante n’a pas de limite de taille et fonctionne exactement pareil. C’est pratique si vous avez une config vim bien chargée avec plein de plugins.
D’ailleurs, pour ceux qui préfèrent une approche différente, il y a aussi la méthode git. Vous mettez tous vos dotfiles dans un repo, et vous configurez vos serveurs pour pull automatiquement à la connexion. C’est plus lourd à mettre en place mais ça scale mieux si vous gérez beaucoup de machines.
Un dernier truc sympa, sshrc fonctionne aussi avec tmux. Vous pouvez donc configurer tmux pour qu’il utilise vos raccourcis habituels même sur le serveur distant. Il suffit d’ajouter votre .tmux.conf dans ~/.sshrc.d et de définir un alias dans ~/.sshrc qui pointe vers cette config.
Au final, sshrc vous n’en aviez pas besoin, mais maintenant que vous savez qu’il existe, c’est un incontournable ! Bref, si vous en avez marre de retrouver un environnement spartiate à chaque connexion SSH, essayez-le, ça prend 2 minutes à installer et ça change vraiment la donne niveau confort de travail.
Ça vous dirait d’en savoir plus sur le gang de ransomware le plus innovant et le plus traître de l’histoire du cybercrime moderne ? BlackCat, aussi connu sous le nom d’ALPHV, c’est le groupe qui a sorti le premier ransomware majeur entièrement écrit en Rust, un langage de programmation que même les hipsters de la Silicon Valley trouvent cool. Mais leur véritable coup de maître ça a été d’avoir arnaqué leurs propres affiliés pour 22 millions de dollars avant de disparaître dans la nature comme des voleurs… de voleurs. Si vous pensiez que l’honneur entre criminels existait encore, et bien BlackCat va vous faire réviser votre jugement de fond en comble.
Pour comprendre l’ampleur de cette trahison, faut s’imaginer la scène. Vous êtes un cybercriminel chevronné, vous avez infiltré la plus grosse plateforme de paiement de santé américaine et vous êtes en train de négocier une rançon de 22 millions de dollars avec des semaines d’efforts, quand au moment de toucher votre part de 80%… pouf magie, magie, votre patron disparaît avec tout le fric et vous bloque de tous ses serveurs. Et bien c’est exactement ce qui est arrivé à l’affilié “Notchy” en mars 2024. Mais bon, je m’avance un peu, laissez-moi reprendre depuis le début de cette saga digne d’un polar cyberpunk.
Tout commence le 21 novembre 2021. À cette époque, le monde du ransomware sort à peine du chaos provoqué par les attaques contre Colonial Pipeline et la fermeture brutale de REvil par les autorités russes. C’est dans ce contexte tendu qu’un nouveau groupe fait son apparition sur les forums du dark web, précisément sur RAMP (Russian Anonymous Marketplace). Leur nom ? BlackCat. Leur proposition ? Un ransomware entièrement codé en Rust, ce langage de programmation moderne que Mozilla a développé pour remplacer le C++ vieillissant. C’est du jamais vu dans l’écosystème criminel !
Alors pourquoi Rust, vous allez me dire ? Bah, c’est simple, d’abord, c’est moderne, rapide comme l’éclair, et sûr au niveau mémoire… Comme ça, pas de plantages foireux comme avec du C++ mal écrit. Ensuite, et c’est là le génie, la plupart des antivirus n’avaient aucune idée de comment analyser du code Rust en 2021. Les signatures de détection étaient Inexistantes et les outils d’analyse statique totalement en galère. Du coup, leur ransomware passe entre les mailles du filet durant des mois.
Post de forum pour faire la promo du Ransomware
Les experts en sécurité sont littéralement bluffés quand ils mettent la main sur les premiers échantillons. Le code est propre, modulaire, optimisé. BlackCat peut tourner sur Windows, Linux, et même VMware ESXi… C’est du cross-platform de qualité industrielle. Et c’est un ransomware, personnalisable via des fichiers JSON. Comme ça, si vous voulez chiffrer seulement certains types de fichiers, ou encore éviter certains pays pour pas se faire taper sur les doigts par les autorités locales ? C’est pas un problème car c’est littéralement du ransomware à la carte, conçu comme un produit SaaS légitime.
Mais qui se cache derrière cette prouesse technique ?
Selon les analyses des chercheurs en cybersécurité, tous les indices pointent vers d’anciens membres de REvil, DarkSide et BlackMatter, c’est à dire la crème de la crème du ransomware russe. Ces mecs ont visiblement appris de leurs erreurs passées… Fini les attaques tape-à-l’œil contre les infrastructures critiques qui font réagir les gouvernements, et place à un profil bas et à une approche business plus subtile. Ils ont compris qu’il faut savoir rester dans l’ombre pour durer.
Leur modèle économique, justement, c’est une révolution dans l’écosystème RaaS (Ransomware-as-a-Service) car là où la concurrence prend 30 à 40% des rançons, comme REvil qui prenait 40%, BlackCat ne prend que 10 à 20% selon le niveau d’expérience de l’affilié. Pour les cybercriminels, c’est carrément Noël en novembre ! Et ce groupe leur fournit tout un écosystème clé en main : le ransomware personnalisable, les outils d’exfiltration de données, l’infrastructure de négociation hébergée sur Tor, un blog de leak pour faire pression sur les victimes, même un service client disponible 24h/24. L’affilié n’a qu’une chose à faire : Trouver une victime et déployer le malware.
L’infrastructure technique développée par BlackCat est très impressionnante, même selon les standards du métier car ils utilisent une architecture décentralisée basée sur Tor et I2P, avec une redondance digne d’AWS. Chaque victime reçoit un site de négociation unique, généré automatiquement et hébergé sur plusieurs serveurs miroirs. Si le FBI ferme un site, dix autres prennent instantanément le relais. Ils ont même développé “Searcher”, un outil custom qui fouille automatiquement dans les téraoctets de données exfiltrées pour identifier les documents les plus compromettants tels que des contrats confidentiels, des données personnelles sensibles, des correspondances avec les avocats…etc. Un moteur de recherche pour le chantage, quoi.
Dès décembre 2021, les premières victimes tombent comme des dominos. Moncler, la marque de luxe italienne qui se retrouve avec ses données étalées sur le dark web. Swissport, qui gère la logistique dans plus de 300 aéroports mondiaux et voit ses opérations paralysées. Des cabinets d’avocats de prestige, des hôpitaux, des universités… BlackCat ne fait pas dans la discrimination sociale, tant que la victime peut payer une rançon substantielle. Les montants varient de quelques centaines de milliers à plusieurs millions de dollars selon la taille et l’impact de l’attaque. Un business en pleine explosion !
Mais c’est en 2023 que BlackCat passe vraiment à la vitesse supérieure en nouant une alliance diabolique avec Scattered Spider, un groupe de jeunes hackers dont certains sont encore des adolescents de 17 à 22 ans, spécialisés dans l’ingénierie sociale. Ces gamins, principalement américains et britanniques, sont issus des communautés de gaming toxiques (Roblox, Minecraft) et ont évolué du SIM swapping vers le ransomware professionnel.
La méthode de Scattered Spider est redoutable mais imparable. D’abord, ils font de l’OSINT (Open Source Intelligence) intensif sur LinkedIn, Instagram, les sites d’entreprise. En gros, ils identifient des employés avec des accès privilégiés, c’est à dire les administrateurs système, les responsables IT, les managers avec des droits élevés. Puis ils les appellent directement, souvent en spoofant le numéro du support IT interne de l’entreprise grâce à des services VoIP. Le script est bienrodé : “Bonjour, ici le help desk de [NomEntreprise], on a détecté une activité suspecte sur votre compte, on doit procéder à un reset de sécurité de votre authentification multi-facteurs.”
Les employés, conditionnés à faire confiance au support IT et souvent sous pression dans leur travail quotidien, donnent alors leurs codes d’accès ou acceptent le reset. Et en 10 minutes chrono, Scattered Spider est dans le système avec des droits d’administrateur sur Active Directory, Okta, ou Azure. Une fois à l’intérieur, ils déploient BlackCat en mode silencieux, exfiltrent les données sensibles, et ne déclenchent le chiffrement qu’une fois certains d’avoir récupéré tout ce qui les intéresse. C’est la combinaison parfaite entre l’ingéniosité sociale des digital natives et la puissance technique du ransomware nouvelle génération.
Le chiffrement des données en action
Le 11 septembre 2023, c’est l’apothéose. MGM Resorts, l’empire des casinos de Las Vegas qui pèse des milliards, tombe en 10 minutes. Un simple coup de fil de Scattered Spider au help desk où ils se font passer pour un employé trouvé sur LinkedIn, et boom, voilà que tout l’écosystème tech de MGM s’effondre comme un château de cartes. BlackCat se déploie méthodiquement sur plus de 100 hyperviseurs VMware ESXi. Les casinos sont littéralement paralysés… les machines à sous affichent des écrans bleus, les systèmes de réservation rendent l’âme, même les clés électroniques des chambres d’hôtel ne fonctionnent plus.
Les images sont complètement surréalistes… On voit des files d’attente interminables de touristes devant les bureaux d’enregistrement qui sont obligés de repasser au papier et au crayon. Des clients bloqués dans les couloirs d’hôtel, incapables d’ouvrir leur porte. Des croupiers contraints de revenir aux jetons physiques et aux calculs faits main comme dans les années 1970. Le Bellagio, le MGM Grand, le Mandalay Bay, tous les joyaux de Sin City touchés simultanément. Les pertes opérationnelles sont estimées à 100 millions de dollars pour le seul troisième trimestre 2023.
Mais MGM, dirigé par des cadres qui ont des couilles en acier, refuse catégoriquement de payer. Ils préfèrent tout reconstruire from scratch plutôt que de céder au chantage. C’est un pari financier et stratégique risqué qui leur coûtera une fortune, mais ils tiennent bon. BlackCat publie évidemment une partie des données volées sur leur blog de leak pour faire pression, mais l’impact reste gérable. MGM survit à l’épreuve, même si ça fait mal au porte-monnaie et à l’ego.
Mais Caesars Entertainment, l’autre mastodonte des casinos frappé quelques jours avant MGM, fait un choix diamétralement opposé. Plutôt que d’affronter des semaines de chaos opérationnel, ils choisissent la voie de la négociation pragmatique. La demande initiale de BlackCat était alors de 30 millions de dollars. Après des discussions tendues avec les négociateurs professionnels du groupe, ils s’accordent sur 15 millions. Dans l’univers impitoyable du ransomware, payer 50% de la demande initiale est considéré comme une victoire diplomatique. Caesars récupère ses systèmes, évite la publication d’informations sensibles sur des millions de clients, et reprend ses opérations quasi normalement.
Cette différence de stratégie entre MGM et Caesars devient immédiatement un cas d’école dans les universités et les formations en cybersécurité. D’un côté, MGM qui refuse de payer et met des semaines à récupérer complètement, avec des pertes financières massives mais un message moral fort. De l’autre, Caesars qui paie et repart en quelques jours, avec un coût maîtrisé mais l’amertume d’avoir financé le crime organisé. Les experts en sécurité restent profondément divisés sur la “bonne” approche. Payer encourage indéniablement les criminels à continuer, mais ne pas payer peut littéralement détruire votre business si vous n’avez pas les reins suffisamment solides.
Quoiqu’il en soit, BlackCat ne se repose jamais sur ses lauriers et continue d’innover à un rythme effréné. Nouvelle version 2.0 du ransomware avec chiffrement intermittent, c’est à dire qui ne chiffre qu’une partie des fichiers pour aller plus vite tout en gardant une bonne efficacité. Un nouvel outil d’exfiltration qui compresse automatiquement les données à la volée pour optimiser les transferts. Un nouveau système de paiement qui accepte Monero en plus de Bitcoin pour plus d’anonymat. Bref, ils ont systématiquement un coup d’avance sur la concurrence et surtout sur les forces de l’ordre.
Mais leur innovation la plus controversée (et, géniale, je trouve) c’est le lancement d’une API publique pour les chercheurs en sécurité. Oui, vous avez bien lu ! BlackCat développe une interface de programmation qui permet aux entreprises de vérifier automatiquement si leurs données ont été volées et leakées. L’idée est diabolique : Pourquoi négocier dans l’ombre quand on peut automatiser le processus de vérification et de chantage ? Les victimes potentielles peuvent alors checker leurs données, voir exactement ce qui a fuité, évaluer l’impact, et décider en connaissance de cause s’il faut payer ou non.
Annonce de leurs nouveautés
Cette API devient rapidement populaire, y compris auprès d’utilisateurs légitimes. Les chercheurs en cybersécurité s’en servent pour tracker les victimes et comprendre les modes opératoires. Les journalistes l’utilisent pour leurs enquêtes sur le cybercrime. Même des concurrents de BlackCat viennent étudier le code pour s’en inspirer. Un groupe criminel qui fournit un service d’utilité publique et démocratise l’accès à l’information sur ses propres crimes, c’est encore du jamais vu !
Puis le 19 décembre 2023, un coup de théâtre qui va chambouler tout l’écosystème BlackCat. Le FBI, en collaboration avec Europol et des agences de plusieurs pays, annonce officiellement avoir saisi l’infrastructure du groupe. Le site principal de BlackCat affiche une bannière “This site has been seized by the FBI” avec le sceau officiel. Les affiliés paniquent totalement, les victimes en cours de négociation ne savent plus à qui payer, c’est le chaos absolu dans l’empire cybercriminel. Les forums du dark web s’enflamment, et tout le monde spécule sur l’ampleur réelle de l’opération.
Sauf que… quelque chose cloche dans cette histoire de saisie. Les serveurs de négociation individuels continuent mystérieusement de fonctionner. Le blog de leak reste accessible via des URLs alternatives. Les affiliés peuvent toujours télécharger le ransomware et déployer leurs attaques. Est-ce vraiment une saisie complète par le FBI ou juste une opération de communication pour déstabiliser le groupe ? La réalité s’avère plus nuancée et moins glorieuse que les communiqués officiels.
Les détails de l’opération révèlent que le FBI a effectivement eu accès à certains serveurs BlackCat grâce à un informateur infiltré qui avait obtenu le statut d’affilié. Ils ont ainsi récupéré 946 paires de clés publiques/privées et développé un outil de déchiffrement distribué gratuitement à plus de 500 victimes, leur évitant ainsi de payer environ 68 millions de dollars de rançons cumulées. Mais c’est un succès partiel car BlackCat conserve le contrôle de l’essentiel de son infrastructure grâce à l’architecture décentralisée qu’ils avaient intelligemment mise en place dès le début.
La réaction de BlackCat à cette “saisie” est brutale et révèle leur véritable nature. Dans un message vengeur publié sur leur blog, ils déclarent la guerre totale aux autorités américaines et annoncent la levée de toutes leurs restrictions auto-imposées. Plus aucune limite morale ou géopolitique. Les hôpitaux, les infrastructures critiques, les centrales électriques, même les installations nucléaires deviennent des cibles légitimes. “Le FBI a franchi une ligne rouge en s’attaquant à nous”, écrivent-ils dans un communiqué rageur. “Nous franchissons la nôtre aussi. Que les conséquences retombent sur eux.”
C’est dans ce climat de guerre ouverte entre BlackCat et les autorités américaines qu’éclate l’affaire Change Healthcare en février 2024. Un affilié expérimenté surnommé “Notchy”, probablement lié à des groupes chinois selon des analystes en renseignement, réussit à infiltrer le système de cette entreprise absolument stratégique. Change Healthcare, c’est pas n’importe qui puisqu’ils traitent 15 milliards de transactions médicales par an, soit environ un tiers de tous les paiements de santé aux États-Unis. C’est littéralement le système nerveux financier de la médecine américaine.
L’impact de l’attaque est proprement catastrophique car du jour au lendemain, des milliers de pharmacies ne peuvent plus traiter les ordonnances électroniques. Les hôpitaux se retrouvent incapables de facturer les compagnies d’assurance. Les patients diabétiques ou cardiaques ne peuvent plus obtenir leurs médicaments. Bref, c’est une crise sanitaire nationale d’une ampleur inédite. Change Healthcare n’a littéralement aucune marge de manœuvre et doivent payer pour éviter l’effondrement du système de santé américain. Ils n’ont pas le choix.
La négociation entre Notchy et Change Healthcare se déroule pendant plusieurs semaines dans une atmosphère de crise absolue. La demande initiale est de 60 millions de dollars, soit une des plus grosses rançons jamais exigées. Change Healthcare contre-propose désespérément 15 millions mais après des jours de marchandage intense avec les négociateurs professionnels de BlackCat, qui je vous le rappelle, ont des équipes dédiées disponibles 24h/24 dans plusieurs fuseaux horaires, ils finissent par s’accorder sur 22 millions de dollars. Le 1er mars 2024, Change Healthcare envoie alors 350 Bitcoin (valeur de l’époque, environ 22 millions de dollars) à l’adresse crypto fournie par l’organisation BlackCat.
Et là, c’est le drame qui va révéler la véritable nature de BlackCat et bouleverser tout l’écosystème du ransomware moderne. Notchy, qui a passé des mois sur cette opération complexe et attend “légitimement” sa part de 80% selon l’accord d’affiliation standard (soit environ 17,6 millions de dollars), se retrouve face à un silence radio total. Un jour passe sans nouvelles. Puis deux. Puis une semaine entière. Le 3 mars, pris d’un mauvais pressentiment, Notchy tente de se connecter au panel d’administration de BlackCat pour vérifier le statut de sa mission. Message affiché : “Accès refusé”. Il essaie alors de contacter les administrateurs via les canaux Tox sécurisés habituels mais pas de réponse. Il tente ensuite les serveurs de backup, les channels Discord privés, et même les anciens moyens de communication d’urgence.
Le vide absolu.
C’est à ce moment-là que la réalité frappe Notchy comme un uppercut. Il vient de se faire arnaquer par ses propres patrons. Les administrateurs de BlackCat ont tout simplement empoché les 22 millions de dollars et l’ont éjecté du système. Dans le monde du crime organisé traditionnel, ça s’appelle “se faire buter après le casse”. Dans l’univers cybercriminel, c’est un exit scam d’une ampleur légendaire !
La réaction de Notchy est explosive et va marquer un tournant dans l’histoire du cybercrime car il débarque en rage sur les forums RAMP et BreachForums et balance absolument tout ce qu’il sait. Screenshots des négociations avec Change Healthcare, preuves du paiement de 350 Bitcoin, messages ignorés avec les admins BlackCat, même les details techniques de l’infiltration. “BlackCat m’a volé 22 millions de dollars et vous êtes les prochains !”, hurle-t-il dans un post de 15 pages qui fait l’effet d’une bombe dans la communauté cybercriminelle.
L’onde de choc est immédiate et titanesque. La communauté cybercriminelle mondiale, habituée aux coups fourrés entre gangs rivaux, est en état de sidération totale. Un groupe de ransomware qui arnaque ses propres affiliés avec qui il partage les risques et les bénéfices ?? C’est du jamais vu dans l’histoire du cybercrime organisé. C’est comme si la mafia sicilienne décidait soudainement de buter tous ses capos après chaque opération réussie. Les règles non-écrites du milieu volent alors en éclats.
Mais tout ceci n’est que le début du feuilleton car le 5 mars, BlackCat publie un message laconique sur leur blog qui va rester dans les annales : “Nous fermons définitivement nos opérations. Les pressions du FBI ont rendu notre business model intenable. Merci à tous nos affiliés pour leur collaboration. Bonne chance pour la suite.” Et puis… plus rien. Silence radio total. Les serveurs s’éteignent méthodiquement un par un, le code source du ransomware disparaît des dépôts privés, les administrateurs s’évaporent de tous les canaux de communication.
BlackCat cesse purement et simplement d’exister.
L’analyse forensique de la blockchain Bitcoin révèlera l’ampleur de l’arnaque et la préméditation de l’opération. Les 350 Bitcoin de Change Healthcare ont été immédiatement fragmentés et dispersés à travers un réseau complexe de plus de 50 adresses intermédiaires, puis passés dans des mixers automatisés avant d’être reconvertis en Monero pour une anonymisation totale. Les administrateurs de BlackCat ont mis en place un système de blanchiment digne des plus grandes organisations criminelles et n’ont pas gardé un seul satoshi pour Notchy. C’est le parfait exit scam, minutieusement planifié et exécuté avec une froideur industrielle.
La communauté cybercriminelle mondiale explose alors littéralement. Sur RAMP, XSS, BreachForums, c’est la guerre civile numérique. Certains anciens affiliés défendent encore BlackCat : “Le FBI les a forcés à fermer, ils ont fait ce qu’ils pouvaient.” et d’autres crient à la trahison absolue : “Ils ont détruit 30 ans de confiance dans le modèle RaaS, ces enfoirés nous ont tous niqués.” Les modérateurs des forums, d’habitude neutres, prennent même position de manière inédite : BlackCat est officiellement banni de tous les espaces de discussion, leurs anciens comptes sont fermés, leur réputation est définitivement détruite. Même entre voleurs, il y a des limites à ne pas franchir.
Notchy, l’affilié floué qui se retrouve avec des mois de travail pour rien et 22 millions de dollars envolés, ne se laisse évidemment pas faire. Il lance un ultimatum public sur tous les forums… soit les admins disparus de BlackCat lui versent sa part dans les 48 heures, soit il publie l’intégralité des 6 téraoctets de données volées chez Change Healthcare. Données qui incluent des informations médicales ultra-sensibles sur des millions d’Américains, des militaires couverts par Tricare, des employés CVS, MetLife, des dizaines d’autres assureurs. Change Healthcare se retrouve alors dans une position impossible : ils ont déjà payé 22 millions, et maintenant on leur demande implicitement de payer encore pour éviter le leak.
Épuisé par des semaines de crise et refusant de céder une nouvelle fois au chantage, ils choisissent alors de ne plus négocier. Puis le 20 mars 2024, un mystérieux nouveau groupe appelé RansomHub, qui ressemble étrangement à une reconversion de Notchy ou d’anciens affiliés BlackCat, publie effectivement les données de Change Healthcare sur leur blog de leak. 4 téraoctets d’informations médicales ultra-confidentielles, des millions de patients impactés, un scandale sanitaire d’ampleur historique. Mais qui se cache réellement derrière RansomHub ? Notchy ? Un autre ancien affilié de BlackCat ? Des opportunistes qui ont récupéré les données ? Le mystère reste entier encore à ce jour, mais à ce moment là, le chaos est total.
L’impact de l’exit scam de BlackCat va bien au-delà des 22 millions de dollars volés et ébranle les fondements mêmes du modèle économique du Ransomware-as-a-Service, qui avait pourtant fait ses preuves depuis 2019 avec des groupes comme REvil ou LockBit, qui se retrouve remis en question. Si même les gangs les plus établis et respectés peuvent arnaquer leurs propres affiliés sans préavis, qui peut-on encore croire dans cet écosystème ?
La méfiance s’installe alors durablement dans tous les forums du dark web. Les nouveaux affiliés exigent désormais des garanties financières, des comptes escrow gérés par des tiers de confiance, des preuves de bonne foi, des références vérifiables. Certains demandent même des cautions de plusieurs millions de dollars avant d’accepter de travailler avec un nouveau groupe RaaS. L’époque de la confiance aveugle basée sur la réputation est révolue.
Certains experts de la cybersécurité y voient même la fin d’une époque dorée pour les cybercriminels, car quand la confiance, paradoxalement essentielle même entre criminels, disparaît complètement, tout ce système collaboratif s’effondre. D’autres experts prédisent au contraire une consolidation darwinienne où seuls les groupes avec une vraie réputation historique et des garanties financières béton survivront.
Mais où sont donc passés les mystérieux administrateurs de BlackCat avec leurs 22 millions de dollars ?
Les théories du complot abondent sur les forums spécialisés où certains pensent qu’ils ont été discrètement recrutés par les services de renseignement russes pour développer des cyberarmes d’État. D’autres qu’ils se sont reconvertis dans la crypto-fraude ou les arnaques DeFi, secteurs moins risqués et tout aussi lucratifs. Les plus cyniques suggèrent qu’ils préparent déjà leur prochain coup sous une nouvelle identité, avec un ransomware encore plus sophistiqué et un business model “amélioré”.
En tout cas, BlackCat avait absolument tout pour devenir le LockBit ou le Conti de leur génération et dominer l’écosystème ransomware pendant des années… Mais l’appât du gain immédiat et la cupidité pure ont été plus forts que la vision stratégique. Pour 22 petits millions de dollars soit même pas 6 mois de revenus à leur rythme de croissance, ils ont détruit un business potentiel de plusieurs milliards.
BlackCat laisse un héritage amer mais instructif car ils ont définitivement prouvé que les attaques par ingénierie sociale restaient terriblement efficaces malgré toutes les formations de sensibilisation et que la technologie de chiffrement la plus sophistiquée ne valait absolument rien face à la naïveté humaine et aux processus IT mal sécurisés.
L’épilogue de cette histoire tragique continue de s’écrire en temps réel. Notchy se balade encore sur les forums quand il n’a pas de nouvelles opérations en cours, Change Healthcare panse toujours ses plaies financières et répare péniblement sa réputation et le FBI continue ses investigations pour identifier et arrêter les administrateurs disparus, sans grand succès pour l’instant. Y’a même une récompense de 10 millions de dollars si vous avez des infos.
Et quelque part, peut-être sur une plage paradisiaque des Caraïbes ou dans un penthouse de Dubaï, les cerveaux de BlackCat sirotent probablement des cocktails hors de prix achetés avec les 22 millions de dollars de leur ultime trahison.
La morale de cette histoire, si tant est qu’il puisse y en avoir une dans l’univers du ransomware, c’est que personne n’est jamais digne d’une confiance absolue, surtout pas les criminels. Donc si vous êtes un affilié RaaS qui lisez ceci, méfiez-vous car le prochain exit scam pourrait bien vous viser personnellement…
Le tribunal fédéral allemand (BGH pour les intimes) vient de relancer une bataille juridique vieille de 11 ans entre le géant des médias Axel Springer et Eyeo, les créateurs d’Adblock Plus. En effet, selon The Register, le BGH estime que les bloqueurs de pub pourraient violer le droit d’auteur en modifiant le code des pages web. Et oui, modifier l’affichage d’une page web sur VOTRE propre navigateur pourrait devenir illégal !
L’argument d’Axel Springer c’est que le code HTML et CSS de leurs sites web est protégé par le copyright, donc le modifier (même localement sur votre machine) constituerait une violation. C’est un peu comme si IKEA vous poursuivait parce que vous n’avez pas monté leur étagère Billy exactement selon les instructions. Ou que Renault vous attaquait parce que vous avez mis des housses de siège non officielles.
Daniel Nazer de Mozilla tire la sonnette d’alarme en rappelant que l’Allemagne pourrait devenir le premier pays démocratique à interdire les bloqueurs de publicités, rejoignant ainsi la Chine dans ce club très select. Parce que oui, actuellement, seule la Chine a eu cette idée lumineuse. On se demande bien pourquoi…
Mais attendez, ça devient encore plus absurde car les extensions de navigateur ne font pas que bloquer les pubs. Certaines modifient le code des pages pour améliorer l’accessibilité pour les personnes handicapées, protèger votre vie privée, corriger les bugs des sites mal codés…etc. Alors si on suit la logique du BGH, tout ça pourrait devenir illégal.
Vous utilisez une extension qui ajoute un mode sombre sur un site qui ne propose pas l’option ? C’est une violation de copyright mes amis !! Une extension qui traduit automatiquement ? Allez, hop, au tribunal !! Un gestionnaire de mots de passe qui remplit les formulaires ?? Direction la prison, et plus vite que ça !
Bref, le tribunal Allemand a renvoyé l’affaire devant la cour régionale de Hambourg pour un examen technique approfondi. La procédure pourrait durer encore un à deux ans. Deux ans pendant lesquels l’industrie du web va retenir son souffle en se demandant si l’Allemagne va vraiment oser. D’ailleurs, Google doit se frotter les mains car eux qui viennent de virer uBlock Origin du Chrome Store sous prétexte qu’il ne respecte pas leurs “bonnes pratiques” (traduction : il bloque trop bien leurs pubs), ce serait cool qu’un tribunal vienne leur donner raison légalement.
Perso, je pense qu’il faudrait juste les interdire aux cons et connes, c’est tout. Je me souviens par exemple d’un épisode épique sur Twitter où quelqu’un m’était tombé dessus parce parce que l’avertissement “Article sponsorisé” était mystérieusement absent d’un de mes articles. Verdict immédiat du tribunal populaire : “Ô scandale ! Horreur malheur !! Quelle infamie !! Toi, moche et méchant !! Tu mérite la mort !!” Bref, j’étais devenu l’Antéchrist de la publicité déguisée selon son cerveau en mode économie d’énergie. Mais la réalité, c’est que son Adblock de warrior avait fait du zèle et bouffé uniquement l’avertissement, laissant la pub bien visible sans mention. Et évidemment quand je lui ai fait gentiment remarqué, les attaques ont doublé d’intensité… Le temps ne fait rien à l’affaire, parait-il ;-).
L’avocat d’Axel Springer, Philipp-Christian Thomale, célèbre déjà cette décision comme “une vraie étape importante dans la protection du copyright des logiciels”. Apparemment, pour certains, protéger le copyright c’est plus important que protéger les utilisateurs contre le tracking publicitaire, les malwares cachés dans les pubs, ou simplement leur droit de contrôler ce qui s’affiche sur leur propre écran.
Cornelius Witt d’Eyeo reste confiant et rappelle qu’aucune entreprise ne devrait pouvoir interdire aux utilisateurs de déterminer leurs propres paramètres de navigateur ou les forcer à télécharger du contenu ou accepter du tracking.
Voilà, donc si demain du HTML et du CSS deviennent du “programme protégé par copyright”, autant développer directement en WebAssembly chiffré et arrêter de faire semblant que le web est ouvert. Ou alors, soyons logiques jusqu’au bout, interdisons les lunettes de soleil parce qu’elles modifient la perception des panneaux publicitaires, et obligeons les gens à garder les yeux ouverts avec des pinces pendant les pubs télé, façon Orange Mécanique.
Et si vraiment l’Allemagne décide d’interdire les bloqueurs de pub, il restera toujours le Pi-hole, les DNS alternatifs, ou tout simplement… désactiver JavaScript. Bon courage pour interdire ça.
Si je vous dis qu’une ex-Miss Jordanie est devenue cyber-terroriste, vous allez buguer. Mais rassurez-vous, c’est l’inverse ! Elle combat les terroristes avec des pubs pour du Prozac ! Voici aujourd’hui, l’histoire de Ghost Security Group, qui est comme un film de Tarantino écrit par des geeks sous substances illicites et c’est exactement ce dont on avait besoin pour mieux comprendre cette décennie de hacktivisme complètement barrée.
Je vous avoue que quand j’ai découvert cette histoire il y a 10 ans, j’ai d’abord cru à un canular. Des hackers qui remplacent des sites de propagande ISIS (Etat Islamique) par des publicités pour des antidépresseurs et du Viagra ? C’était tellement absurde que ça ne pouvait qu’être vrai…
Ghost Security Group, ou GhostSec pour les intimes, c’est donc l’histoire d’une bande d’ex-militaires américains et de professionnels de l’IT qui ont décidé qu’Anonymous n’était pas assez structuré pour combattre efficacement le terrorisme en ligne, alors ils s’y sont collés ! Comme l’expliquait McKenzie Wark dans son Hacker Manifesto (à ne pas confondre avec celui de The Mentor) : “Les hackers créent la possibilité que de nouvelles choses entrent dans le monde. Pas toujours de grandes choses, ou même de bonnes choses, mais de nouvelles choses”. Et GhostSec, c’était définitivement quelque chose de nouveau.
Tout commence donc le 7 janvier 2015. Vous vous souvenez de Charlie Hebdo ? Moi, j’étais à Las Vegas pour le CES et comme des millions de personnes, ça m’a foutu la rage. Sauf que contrairement à nous, certains avaient les compétences pour transformer cette colère en action. C’est pourquoi des membres d’Anonymous, déjà habitués aux opérations de désobéissance civile en ligne, ont décidé que cette fois, il fallait faire plus que des DDoS ponctuels.
Anonymous avait lancé l’#OpCharlieHebdo avec cette déclaration : “Nous vous traquerons partout sur la planète, nulle part vous ne serez en sécurité. Nous sommes Anonymous. Nous sommes légion. Nous n’oublions pas. Nous ne pardonnons pas. Ayez peur de nous, État islamique et Al-Qaïda, vous aurez notre vengeance”. Du bon gros style Anonymous qu’on connaît !
John Chase, l’un des futurs fondateurs de GhostSec, a expliqué plus tard que Charlie Hebdo était son point de rupture car le problème avec Anonymous, c’est que c’est génial pour mobiliser les foules, mais niveau coordination tactique, c’est le bordel total. Essayez un peu d’organiser une cyber guerre avec 4chan… Bref, vous voyez l’idée.
C’est là qu’intervient le concept de Ghost Security. Pas un nouveau groupe à proprement parler, mais plutôt une cellule spécialisée d’Anonymous, focus à 100% sur l’anti-terrorisme et leur idée c’est d’appliquer les méthodes hacktivistes avec la discipline militaire. Et croyez-moi, ça change TOUT. Comme l’a dit un membre de GhostSec sous le pseudo Ransacker : “Le FBI a admis à plusieurs reprises [son incapacité]. Alors, nous nous sommes impliqués dans #OpISIS pour ralentir considérablement ISIS sur le recrutement et la propagande. Nous voulions aussi pouvoir déjouer des attaques en collectant des renseignements et en les transmettant aux forces de l’ordre”.
Alors, qui compose cette dream team du hacktivisme ? Et bien il faut d’abord comprendre que GhostSec n’était pas votre collectif de script kiddies moyen. Non, ce sont des ex-militaires américains, des experts informatiques, et même des journalistes spécialisés. Les membres principaux étaient AnonCyberGost, WauchulaGhost, DigitaShadow, Comedianon, TorReaper, ISHunter, et GhostSecPI. Du bon gros level là-dedans !
Et il y avait une vraie division du travail dans le groupe. Certains membres s’occupaient de la collecte de renseignements pendant que d’autres “ghosts” se concentraient sur le côté technique de la chasse à ISIS. Un membre gérait les demandes médias et publiait même un site GhostSec Update sur Medium. Le projet était coordonné via des applications de messagerie chiffrées, des emails cryptés, et plus publiquement, sur Twitter.
Mais le personnage le plus fascinant, c’est sans doute Lara Abdallat. Ex-Miss Jordanie 2010, première dauphine Miss Monde Arabe 2011, musulmane convaincue et accessoirement l’une des hackeuses les plus redoutables de la planète. Elle rejoint GhostSec en novembre 2014, mais s’active vraiment après qu’ISIS ait brûlé vif le pilote jordanien Muath al-Kasaesbeh. Sa motivation comme elle l’écrira c’est que “Les gouvernements du monde entier n’en faisaient pas assez pour lutter contre la menace insidieuse que représentait l’État islamique.”
Lara maîtrisait parfaitement l’arabe, ce qui lui permettait de s’infiltrer dans les communications ISIS pour collecter du renseignement et je pense que ces terroristes ne s’attendaient pas à se faire piéger par quelqu’un qui avait défilé en bikini quelques années plus tôt. Le plus fort, c’est qu’elle est, encore aujourd’hui, la seule membre de Ghost Security Group dont l’identité a été rendue publique.
WauchulaGhost, lui, c’était l’artiste du groupe. Son truc c’est le defacement créatif. Il remplaçait les sites ISIS par des images de chèvres et des visuels pro-LGBTQ+. Son slogan : “Tout ce que je fais, c’est pour les gens… c’est un service gratuit”. Bref, un Robin des Bois numérique avec un sens de l’humour douteux, soit exactement ce qu’il fallait à cette cause. Plus tard, quand le groupe se divisera, il restera fidèle à l’esprit Anonymous sous le nom de #GhostofNoNation.
DigitaShadow, lui, était le cerveau tactique. Ex-militaire avec une compréhension fine des enjeux géopolitiques, il avait cette capacité rare de transformer la colère hacktiviste en stratégie cohérente. C’est lui qui développe les méthodes de collaboration avec les agences de renseignement… un concept révolutionnaire pour Anonymous à l’époque.
Les méthodes de GhostSec à l’époque étaient un mélange de techniques classiques et d’innovations tactiques. DDoS pour surcharger les serveurs ISIS, SQL injection pour compromettre leurs bases de données, defacement pour humilier publiquement leurs supporters. Mais leur vraie spécialité, c’était la collecte de renseignements. Et là, ils étaient forts !
Car contrairement aux Anonymous classiques qui font du bruit, GhostSec privilégiait l’infiltration discrète. Ils s’incrustaient dans les forums ISIS, interceptaient les communications, collectaient du renseignement afin d’identifier des attaques planifiées pour les transmettre aux autorités. Et ça fonctionne !!
Le processus était bien rodé… d’abord, ils signalaient le site à l’hébergeur. Si rien n’était fait, alors GhostSec passait à l’attaque d’abord en tentant de pirater le site, puis par DDoS en dernier recours. Les attaques de piratage incluaient l’injection SQL, les attaques XSS et les attaques par force brute. Le groupe revendiquait avoir supprimé plus de 57,000 comptes de réseaux sociaux et plus de 100 sites web utilisés par Daesh dès 2015. Selon certaines estimations, ils auraient réduit la capacité d’ISIS à diffuser son message en dehors de son public principal, réduisant la capacité de l’organisation à manipuler l’opinion publique et à attirer de nouvelles recrues.
En juillet 2015, ils interceptent des communications relatives à un attentat prévu sur un marché tunisien, un copycat de l’attaque qui avait tué 38 touristes dans un hôtel de bord de mer. L’info est alors remontée via Kronos Advisory Group (une boîte de sécurité privée dirigée par Michael Smith II) jusqu’au FBI et le résultat est plutôt satisfaisant puisque l’attentat est déjoué avec à la clé 17 arrestations. Pareil pour des projets d’attaques à New York…etc. GhostSec a probablement sauvé des vies sans que personne ne le sache jamais.
Mais l’anecdote qui restera dans l’histoire, c’est le hack du 25 novembre 2015 d’un site ISIS sur le dark web, probablement un WordPress mal sécurisé (ça c’est du classique !). GhostSec y pénètre et remplace tout le contenu par… une publicité pour CoinRX.com, une pharmacie en ligne vendant du Prozac et du Viagra.
Le message laissé était bien trollesque : “Trop d’ISIS. Augmentez votre calme. Il y a trop de gens s’intéressent à cette histoire d’ISIS. Alors regardez cette jolie publicité afin que nous puissions améliorer notre infrastructure et vous offrir le contenu ISIS dont vous rêvez tous si désespérément”. Et s’en suivait alors une publicité pour “la première pharmacie en ligne bitcoin” avec une sélection de médocs allant du Viagra au Prozac. Des terroristes qui prônent la mort et la destruction se retrouvent avec de la pub pour des antidépresseurs !
C’était tellement surréaliste que ça avait fait le tour du web. Imaginez la tête des recruteurs ISIS qui arrivent sur leur site de propagande et tombent sur “Achetez votre Viagra avec Bitcoin”. C’était ça la philosophie GhostSec, utiliser l’humour et la dérision pour désacraliser la propagande terroriste. Pas juste détruire, mais ridiculiser. Et c’est infiniment plus efficace psychologiquement. Comme ils le disaient, cette approche visait à “déterritorialiser” l’espace de communication qu’ISIS avait territorialisé pour la violence.
Mais comme toutes les belles histoires de hacktivisme, celle-ci tourne au vinaigre à cause de divergences philosophiques. En novembre 2015, 3 membres clés - DigitaShadow, ISHunter et GhostSecPI quittent le groupe pour créer Ghost Security Group (GSG), une entité séparée d’Anonymous.
Leur argument c’est que pour être vraiment efficaces contre ISIS, il faut collaborer officiellement avec le gouvernement américain. Exit l’anonymat, exit la désobéissance civile. Place à la coopération institutionnelle via des contrats avec des agences comme Kronos Advisory Group. Du coup, ils deviennent “légitimes” mais perdent leur âme.
Les autres membres du groupe ont mal pris la chose. TorReaper, notamment, reproche à l’équipe dissidente de transformer le renseignement en “marchandise” à protéger plutôt qu’à partager avec la communauté. Pour lui, c’était une trahison des valeurs d’Anonymous : “Le renseignement… est devenu une marchandise qui devait être protégée et a donc cessé d’être partagé avec les followers du groupe”. Bref, ça sent la séparation qui pique.
Mais peut-on changer le système de l’intérieur sans se faire corrompre par lui ?
DigitaShadow avait 14 spécialistes dans son équipe GSG, avec un financement stable et un accès direct aux décideurs. Mais il avait perdu l’âme anarchiste qui faisait la force d’Anonymous. C’est pourquoi TorReaper et les autres maintiennent le nom GhostSec sous bannière Anonymous, reconstruisant le groupe avec moins de hiérarchie et plus d’indépendance.
Pendant quelques années, les deux groupes coexistent. Ghost Security Group travaille avec les agences gouvernementales, GhostSec continue ses opérations indépendantes. Mais maintenir une infrastructure hacktiviste coûte cher. Serveurs, VPN, outils de chiffrement, tout ça représente un budget conséquent.
En 2016, le flux de propagande ISIS sur les réseaux sociaux devient si énorme que GhostSec change de stratégie. Au lieu de faire tomber des sites web, ils se concentrent sur la recherche de menaces directes, propagande, etc. Tout renseignement exploitable qu’ils peuvent ensuite transmettre aux agences de maintien de l’ordre américaines. Pour cela, ils se focalisent presque exclusivement sur les comptes Twitter.
Fin été 2016, nouveau tournant, GhostSec fusionne avec BlackOps Cyber, un groupe privé affilié à la corporation internationale BlackOps Partners. Avec cette fusion, GhostSec abandonne son masque Anonymous pour devenir partie intégrante d’une équipe de contre-terrorisme CyberHUMINT. Cette transformation signifiait des connexions plus profondes avec les forces de police internationales, Interpol, MI5, et autres. Pendant ce temps, WauchulaGhost garde sa position Anonymous pour combattre seul sous le nom de #GhostofNoNation, continuant ainsi la tradition du trolling créatif qu’il avait initiée.
Alors en 2022, GhostSec commence à diversifier ses activités. D’abord, ils s’attaquent aux infrastructures russes pour soutenir l’Ukraine comme en avril 2022, où ils paralysent le système ferroviaire de Metrospetstekhnika, empêchant le transport de matériel militaire via la Biélorussie.
Mais progressivement, la nécessité financière pousse le groupe vers des activités moins nobles. En juillet 2022, ils lancent “GhostSec Mafia Premium”, un service de cybercriminalité à la demande. L’idée c’est d’utiliser leurs compétences pour financer les opérations hacktivistes. Moralement discutable, mais stratégiquement cohérent.
Puis le 28 août 2023, GhostSec forme une alliance appelée “The Five Families” avec d’autres groupes : ThreatSec, Stormous, Blackforums, et SiegedSec. L’objectif selon eux, l’objectif c’est “Établir une meilleure unité et de meilleures connexions pour tous les acteurs du monde souterrain d’Internet, afin d’étendre et de développer notre travail et nos activités”. Et deux mois plus tard, ils lancent GhostLocker, un ransomware-as-a-service qui va faire parler de lui.
GhostLocker, c’était du solide. Interface de gestion complète pour les affiliés, système de double extorsion (chiffrement + vol de données), ciblage international. Ils frappent dans 16 pays : Cuba, Argentine, Pologne, Chine, Liban, Israël, Ouzbékistan, Inde, Afrique du Sud, Brésil, Maroc, Qatar, Turquie, Égypte, Vietnam, Thaïlande, Indonésie. Du bon gros niveau international !
Les secteurs visés sont la technologie, l’éducation, l’industrie, le gouvernement, le transport, l’énergie, le juridique, l’immobilier, et les télécoms. Du beau travail, malheureusement pas du bon côté de la barrière. La version de leur ransomware était codée en Python et compilée avec Nuitka, avec du chiffrement AES via la librairie Fernet.
En janvier 2024, ils sortent GhostLocker 2.0 écrit en Go avec des améliorations techniques significatives. Interface redesignée, meilleure gestion des campagnes, système de paiement optimisé. Le ransomware chiffre les fichiers et y ajoute l’extension “.ghost”… au moins ils assument leur identité !
En février 2024, GhostSec et Stormous lancent STMX_GhostLocker, un programme RaaS plus sophistiqué proposé à 269,99$ par mois. S’en suit une attaque de haut niveau en mars 2024 contre la brasserie belge Duvel Moortgat qui se fait dérober 88 GB de données et met à l’arrêt des lignes de production en Belgique et aux États-Unis. C’est là qu’on réalise l’ampleur du truc.
Puis le 15 mai 2024, GhostSec annonce officiellement son retrait des activités criminelles et son retour au hacktivisme. Sebastian Dante Alexander, le leader du groupe, forward un message depuis leur canal Telegram annonçant leur sortie de The Five Families et leur retour aux sources. D’après eux, ils avaient obtenu suffisamment de financement via les ransomwares pour soutenir leurs opérations hacktivistes à long terme.
En gros, ils ont fait du crime pour financer leur idéalisme. C’est totalement discutable moralement, mais stratégiquement ça a fonctionné. En tout cas, c’est du jamais vu dans l’histoire du hacktivisme ! Toutes les opérations GhostLocker sont alors transférées à Stormous, qui continue le programme RaaS. GhostSec, lui, revient à ses fondamentaux c’est à dire la surveillance du terrorisme en ligne, les opérations géopolitiques, et le bon vieil hacktivisme traditionnel. Alexander annonce également que leurs futures cibles incluront les organisations et agences gouvernementales israéliennes, ainsi que l’exposition de données relatives aux cartels mexicains.
Alors aujourd’hui, que reste-t-il de toute cette aventure ? Et bien GhostSec a probablement empêché des attentats, démantelé des réseaux de propagande, et sauvé des vies.
Mais leur parcours illustre aussi les dilemmes moraux du hacktivisme car quand vous avez les compétences pour améliorer le monde, comment est-ce que vous vous financez ? Comment est-ce que vous restez indépendants ? Et surtout, la fin justifie-t-elle tous les moyens ?
La transformation de GhostSec → cybercriminalité → retour au hacktivisme est unique dans l’histoire du hack car c’est la première fois qu’un groupe reconnaît explicitement avoir fait du crime pour financer son idéalisme, puis arrête quand l’objectif est atteint. Et bien sûr, ça fait débat dans la communauté hacker.
Mais au-delà de l’aspect moral, GhostSec pose une question fondamentale : les actions du groupe s’attaquaient-elles vraiment aux causes profondes du terrorisme, ou ne faisaient-elles que reproduire les mêmes structures étatiques que les terroristes combattent ? Étaient-ils des pirates créant des “zones autonomes temporaires” au nom des droits humains, ou simplement des corsaires générant du profit dans la guerre mondiale contre le terrorisme ?
Mais parlons un peu technique, parce que c’est là que GhostSec excelle vraiment. Leurs méthodes combinent sophistication technologique et intelligence humaine de façon magistrale.
Infiltration sociale : Grâce à des membres arabophones comme Lara Abdallat, ils s’incrustaient dans les forums et groupes Telegram ISIS. Ils se faisaient passer pour des sympathisants, collectaient des informations sur les recruteurs, les méthodes de propagande, les projets d’attaques. Du bon gros HUMINT (Human Intelligence).
SQL injection avancée : Pour compromettre les sites ISIS, ils utilisent des techniques d’injection SQL sophistiquées, permettant d’accéder aux bases de données complètes. Ils récupèrent ainsi les listes d’utilisateurs, les communications privées, les documents stratégiques. Classique mais efficace.
DDoS coordonnés : Contrairement aux attaques DDoS anarchiques d’Anonymous, GhostSec orchestre des campagnes ciblées et temporisées. L’objectif n’est pas juste de faire tomber un site, mais de perturber des opérations spécifiques à des moments stratégiques.
10 ans après Charlie Hebdo, GhostSec a effectivement tenu sa promesse de retour au hacktivisme avec une expertise accrue grâce à leur expérience de la décennie écoulée. Ghost Security Group (la branche gouvernementale) continue ses activités de conseil auprès des agences américaines. Et Lara Abdallat travaille désormais ouvertement avec les autorités jordaniennes sur les questions de cybersécurité.
L’évolution de GhostSec, d’Anonymous à groupe semi-gouvernemental, puis à cybercriminels, et retour au hacktivisme, illustre parfaitement les paradoxes du monde numérique moderne. Leur histoire montre qu’il n’existe pas de frontière claire entre le bien et le mal dans le cyberespace, seulement des nuances de gris dans un monde en perpétuelle mutation.
Après avoir écrit tout ça, en tout cas, j’ai très envie de savoir ce qu’ils préparent pour la suite, parce que connaissant leur capacité à nous surprendre, on n’a pas fini d’entendre parler d’eux.
Boston, 1992. Dans un loft miteux du South End qui ressemble plus à un squat qu’à un labo, une bande de hackers bidouille tranquillement. On est dans la cave de la cave du 59 Hamilton Street, à côté du Boston Ballet. Le loyer est de 150 dollars par mois et le bail au nom d’un certain Brian Hassick qui squatte le lieu pour l’art et la musique. L’équipement qu’on y trouve, ce sont surtout des cables Ethernet coaxiaux de récup, des ordinateurs dépareillés et un T1 piraté sur un routeur Cisco mal configuré d’une boîte voisine. C’est là que naît L0pht Heavy Industries, avec un zéro à la place du O, parce que c’est plus l33t speak, vous comprenez.
Le groupe rassemble les meilleurs hackers de la côte Est. D’abord, y’a Count Zero (John Tan) qui loue l’espace pour 300 balles par mois et le sous-loue aux autres. Un type discret qui préfère rester dans l’ombre mais qui connaît les systèmes Unix comme sa poche. Ensuite arrive Mudge (Peiter Zatko), un mec qui a bossé sur BBN Technologies et qui comprend le protocole TCP/IP mieux que ceux qui l’ont inventé. Space Rogue (Cris Thomas), barbu et sarcastique, spécialiste des failles web avant même que le web existe vraiment. Weld Pond (Chris Wysopal), le mec qui peut transformer n’importe quelle ligne de commande en interface graphique Windows. Kingpin (Joe Grand), le génie du hardware qui peut souder les yeux fermés. Stefan von Neumann, le cryptographe. Brian Oblivion, l’énigmatique. Et plus tard, Dildog (Christien Rioux), le gars qui code en assembleur pour le fun et qui créera Back Orifice, le trojan qui fera trembler Microsoft.
Pendant que les script kiddies s’amusent avec leurs outils téléchargés sur les BBS, les mecs de L0pht développent des outils qui vont révolutionner la sécurité informatique. Leur philosophie ? “Making the theoretical practical.” On pourrait traduire ça comme : on prend les vulnérabilités théoriques que les chercheurs trouvent dans leurs labos universitaires, et on code des exploits qui marchent vraiment. C’est de la recherche appliquée niveau cyber street cred !
Windows NT, la cible favorite de L0phtCrack
La première bombe de L0pht, c’est L0phtCrack, sorti au printemps 1997. Mudge développe les algos de dictionnaire et de brute force dans un outil en ligne de commande. Le truc de base, quoi. Mais là où ça devient génial, c’est quand Weld Pond ajoute une interface graphique pour Windows. Parce que les admins Windows de l’époque, ils savent pas ce que c’est qu’un terminal. Et Dildog ? Il optimise tout en assembleur à la main. Du coup, un Pentium II 400 MHz de 1998 peut casser un mot de passe Windows NT de 8 caractères alphanumériques en une journée.
Le secret de L0phtCrack c’est qu’il exploite la faiblesse monumentale du hash LANMAN que Microsoft continue d’utiliser pour la rétrocompatibilité. Cette merde de protocole datant de l’époque où Steve Ballmer avait encore des cheveux divise les mots de passe en chunks de 7 caractères, les met en majuscules et les hashe séparément. Autant dire que niveau sécurité, c’est comme protéger Fort Knox avec un cadenas de vélo. Et le pire c’est que Microsoft stocke le hash LANMAN faible juste à côté du hash NTLM plus fort. Autant mettre la clé de chez vous sous le paillasson avec un panneau sur lequel il est écrit “La clé est ici”.
Bien sûr, Microsoft flippe sa race. Tellement que L0phtCrack les force finalement à désactiver LANMAN par défaut dans les versions ultérieures de Windows. Mais entre-temps, L0pht vend des milliers de licences de L0phtCrack à 100 dollars pièce. Les admins sys l’achètent pour “auditer” leurs réseaux… Et les hackers aussi, mais eux c’est pour “auditer” les réseaux des autres. Business is business !
Et le loft devient alors rapidement LE lieu de rassemblement de la scène hacker de Boston. Les mecs organisent des réunions hebdomadaires où ils partagent leurs découvertes. Mudge publie des papiers sur les buffer overflows qui deviendront des références et Space Rogue lance Hacker News Network (HNN) en 1998, l’un des premiers sites d’actualités sur la sécurité informatique. C’est l’ancêtre spirituel de tous les blogs sécu actuels.
Mais le moment qui fait entrer L0pht dans la légende, c’est le 19 mai 1998. Les sept membres sont convoqués devant le Comité sénatorial sur les affaires gouvernementales pour témoigner sur le thème “Weak Computer Security in Government”. Les sénateurs s’attendent à un show de geeks intimidés mais ce qu’ils obtiennent, c’est un électrochoc.
Le sénateur Fred Thompson (républicain du Tennessee et futur acteur dans Law & Order) pose LA question : “Pourriez-vous rendre Internet inutilisable pour toute la nation ?” Sans hésiter, Mudge répond : "C’est juste oui. En fait, l’un d’entre nous pourrait le faire avec juste quelques envois de paquets." Silence de mort dans la salle. Mudge continue : “L’Internet lui-même pourrait être mis hors service par n’importe lequel des sept individus assis devant vous avec 30 minutes de frappes bien orchestrées.”
La vulnérabilité en question dont parle Mudge ?
Une faille dans le protocole BGP (Border Gateway Protocol) que L0pht a découverte quelques temps avant. BGP, c’est le protocole qui permet aux routeurs d’Internet de savoir où envoyer les données. La faille permettrait de créer un effet boule de neige où quand un routeur tombe, il envoie des infos foireuses au suivant avant de mourir, qui les transmet au suivant avant de mourir, et ainsi de suite. En moins de 30 minutes, tout Internet s’effondrerait comme un château de cartes. Heureusement, les constructeurs ont déjà été prévenus et ont patché, mais la majorité des routeurs en production sont toujours vulnérables.
Space Rogue se souvient : “C’était l’idée de Mudge de lâcher cette bombe pendant le témoignage. On s’est dit que ça ferait réagir.” Et ça marche puisque ça fait beaucoup plus que réagir. Les médias s’emballent. CNN, NBC, tous les journaux en parlent. Pour la première fois, le grand public réalise qu’Internet, c’est pas juste magique, c’est aussi fragile. Et que des mecs en t-shirt Metallica peuvent le faire tomber depuis leur sous-sol.
Les sénateurs sont tellement impressionnés qu’ils demandent alors aux membres de L0pht de devenir consultants pour le gouvernement. John Tan raconte : “Ils nous ont proposé des badges et tout. On a dit qu’on préférait rester indépendants.” Mais l’impact est énorme et ce témoignage de L0pht marque le début de la prise de conscience sur la cybersécurité au niveau gouvernemental.
En parallèle de leur témoignage, Dildog travaille sur un projet qui va faire encore plus de bruit : Back Orifice. Présenté à DEF CON 6 en août 1998, c’est un outil d’administration à distance pour Windows qui fait exactement ce que fait le produit commercial de Microsoft (SMS - Systems Management Server), sauf qu’il est gratuit et qu’il peut être utilisé comme backdoor. Le nom est un jeu de mots sur Microsoft BackOffice. Très subtil.
Back Orifice, le trojan de Dildog qui a humilié Microsoft
Back Orifice permet donc de prendre le contrôle total d’une machine Windows 95/98/NT à savoir, voir l’écran, enregistrer les frappes clavier, transférer des fichiers, lancer des programmes. Le tout en 120 Ko. Microsoft pète un câble et qualifie ça de “malware”. Dildog répond : “C’est exactement ce que fait votre produit à 5000 dollars, sauf que le nôtre est gratuit et mieux codé.” Et paf, dans les dents !
La version 2000 de Back Orifice, sortie en 1999, est encore plus délirante. Elle supporte les plugins, le chiffrement, et peut même se cacher dans d’autres processus. Plus de 100 000 téléchargements en quelques semaines et les antivirus la détectent, mais Dildog sort des mises à jour plus vite qu’ils ne peuvent suivre. C’est le jeu du chat et de la souris, sauf que la souris code comme une dingue en assembleur.
Tout ce bordel attire alors l’attention des investisseurs et en 1999, le loft déménage dans de vrais bureaux à Watertown. Fini le T1 piraté, ils ont enfin une vraie connexion Internet maintenant et les membres commencent à gagner leur vie avec des consultations en sécurité. Mudge facture 1000 dollars de l’heure pour auditer des systèmes. Space Rogue vend des formations. Kingpin conçoit des badges électroniques sécurisés pour la DEF CON.
Et le 10 janvier 2000, c’est le tournant ! L0pht fusionne avec @stake, une startup de conseil en sécurité fondée par des anciens de Cambridge Technology Partners et leur idée c’est de combiner l’expertise technique de L0pht avec le côté business de @stake. Sur le papier, c’est génial. Dans la réalité, c’est le début de la fin.
Le moins qu’on puisse dire c’est que la transition est brutale. Space Rogue est viré du département marketing après quelques mois. “Ils voulaient que je porte un costume et que j’arrête de dire ‘fuck’ dans les réunions. J’ai dit que c’était pas négociable”. Et Mudge craque complètement. Il passe six mois en arrêt maladie pour dépression et quitte @stake après seulement deux ans. “On est passé de hackers qui changent le monde à consultants qui remplissent des PowerPoints. C’était déprimant.”
Les autres membres partent alors un par un. Kingpin retourne à l’électronique et devient une star de l’émission “Prototype This!” sur Discovery Channel. Stefan von Neumann disparaît dans la nature. Brian Oblivion aussi. Seul Nash reste jusqu’au bout, quand Symantec rachète @stake en 2004 pour 49 millions de dollars. À ce moment-là, il ne reste plus rien de l’esprit L0pht.
Mais certains rebondissent. Weld Pond et Dildog fondent Veracode en 2006, une boîte d’analyse de code qui cartonne qui est ensuite rachetée par Broadcom en 2018 pour 950 millions de dollars. Pas mal pour des anciens squatteurs ! Mudge rejoint la DARPA comme program manager où il lance le Cyber Fast Track, un programme pour financer la recherche en sécurité. Et il bosse ensuite chez Google, puis Stripe, puis Twitter comme chef de la sécurité (jusqu’à ce qu’Elon Musk le vire en 2022 après le rachat).
Space Rogue devient quant à lui strategist chez IBM X-Force. Il continue son blog et reste actif sur Twitter où il balance régulièrement sur l’industrie de la cybersécurité. “La moitié des boîtes de sécu actuelles vendent de la poudre de perlimpinpin. Au moins, nous, on cassait vraiment des trucs.”
Le 22 mai 2018, exactement 20 ans après leur témoignage historique, quatre membres originaux (Space Rogue, Weld Pond, Kingpin et Mudge) retournent à Washington pour un briefing intitulé “A Disaster Foretold - And Ignored”. Organisé par le Congressional Internet Caucus Academy et streamé sur Facebook (l’ironie !), ils font le bilan : “Internet était très fragile. Il est toujours très fragile. Et il y a probablement plus d’une façon de causer des problèmes similaires aujourd’hui qu’à l’époque.”
Mudge enfonce le clou : “En 1998, on parlait de 30 minutes pour faire tomber Internet. Aujourd’hui, avec l’IoT, les infrastructures critiques connectées, les voitures autonomes, on peut faire bien pire en bien moins de temps. Mais personne n’écoute vraiment. Les entreprises préfèrent investir dans le marketing que dans la sécurité.”
L’héritage de L0pht est immense. Ils ont montré qu’on pouvait être hacker ET légitime. Qu’on pouvait casser des systèmes pour les améliorer. Ils ont forcé Microsoft à revoir sa sécurité. Ils ont réveillé le gouvernement américain sur les cyber-menaces et ont inspiré toute une génération de chercheurs en sécurité.
Et aujourd’hui, L0phtCrack existe toujours !! Après plusieurs changements de propriétaire (Symantec, puis rachat par les auteurs originaux, puis Terahash, puis reprise pour défaut de paiement), il est devenu open source en 2022. La version 7 sortie en 2016 peut même casser les hash Windows 10 en quelques heures sur un GPU moderne. Et la version 8, encore en développement, promet de casser n’importe quel mot de passe Windows en moins d’une heure avec les bonnes ressources. Bref, 25 ans après sa création, l’outil reste une référence.
Le loft du 59 Hamilton Street n’existe plus évidemment. L’immeuble a été rénové et transformé en condos de luxe à 2 millions de dollars. Une plaque commémorative ? Non, rien. Pas même une mention sur Wikipedia de l’adresse exacte. C’est comme si l’histoire avait été effacée. Mais pour ceux qui savent, c’est là que tout a commencé, depuis un sous-sol pourri.
Aujourd’hui, la cybersécurité est une industrie de 200 milliards de dollars et des entreprises comme CrowdStrike valent plus que General Motors. Les bug bounties peuvent rapporter des millions, les hackers éthiques sont des rock stars qui donnent des conférences TED et tout ça, c’est aussi grâce à des pionniers comme L0pht qui ont montré que la sécurité informatique n’était pas un luxe mais une nécessité.
L0pht Heavy Industries, c’était l’âge d’or du hacking, quand on pouvait encore croire qu’on allait changer le monde avec du code et de l’idéalisme. C’était avant que tout devienne business, mise en conformité et certifications. C’était l’époque où être hacker voulait encore dire quelque chose et où “transformer le théorique en pratique”, n’était pas juste un slogan marketing mais une philosophie de vie.
Bref, L0pht, c’était les vrais, les OG, les hackers avant que ce soit cool. À vous de voir maintenant si vous préférez cette époque où on cassait des systèmes pour le fun et la gloire, ou aujourd’hui où on remplit des rapports de conformité pour des clients qui ne comprennent rien…
Vous croyez qu’un agent secret russe du GRU peut oublier d’allumer son VPN comme votre grand-père oublie ses lunettes ? Bah oui, ça peut arriver et c’est exactement comme ça qu’on a chopé Guccifer 2.0. Une seule fois, un seul petit oubli, et voilà… adresse IP tracée direct au siège du renseignement militaire russe sur Grizodubovoy Street à Moscou. Pas très discret pour un espion censé manipuler une élection présidentielle américaine…
L’histoire de Guccifer 2.0, c’est un mélange fascinant entre James Bond et Mr. Bean. D’un côté, on a une opération de cyberespionnage d’une sophistication redoutable orchestrée par deux unités d’élite du GRU qui a réussi à pirater le Comité national démocrate américain et à exfiltrer plus de 70 Go de données. Et de l’autre, une succession de bourdes techniques tellement grossières qu’on se demande comment ces gars-là ont eu leur diplôme d’espion.
Bref, toute cette histoire est un bon gros délire, vous allez voir.
Commençons par le commencement. En 2013, un hacker roumain du nom de Marcel Lehel Lazar s’était fait une petite réputation sous le pseudonyme de “Guccifer”. Ce chauffeur de taxi au chômage de 40 ans avait réussi à pirater les comptes emails de célébrités et d’hommes politiques américains, dont Sidney Blumenthal, un conseiller d’Hillary Clinton.
Sa technique ? Rien de très sophistiqué… il trouvait des infos personnelles sur ses cibles sur Facebook et devinait leurs questions de sécurité. Basique mais efficace. Il avait même publié des autoportraits de George W. Bush pris sous la douche, c’est dire !
Alors quand le 15 juin 2016, quelques heures seulement après que le Washington Post révèle que des hackers russes avaient infiltré le DNC, un nouveau personnage débarque sur WordPress.com en se faisant appeler “Guccifer 2.0”. Notre mystérieux Guccifer 2.0 sort de nulle part pour revendiquer le hack. “Non non, c’est pas les Russes, c’est moi, un hacker roumain solitaire qui veut dénoncer l’Illuminati !”
Sympa l’hommage au Guccifer original, mais il y avait juste un petit problème : Marcel Lazar était en taule fédérale aux États-Unis à ce moment-là, condamné à 52 mois de prison. Dur de pirater quoi que ce soit depuis sa cellule. Mais bon, les détails, hein. Et puis franchement, le timing était trop parfait… quelques heures après l’article du Washington Post ? Sérieusement ?
L’email de phishing reçu par John Podesta
L’affaire commence donc vraiment le 19 mars 2016 quand John Podesta, le directeur de campagne d’Hillary Clinton, reçoit un email qui ressemble à une alerte de sécurité Google. Vous savez, le genre de truc qu’on reçoit tous et qu’on ignore généralement. L’email avait pour objet “Someone has your password” et prétendait qu’une tentative de connexion avait eu lieu depuis l’Ukraine. Sauf que cette fois, c’était du spear-phishing de compétition, orchestré par l’unité 74455 du GRU russe (aussi connue sous le nom de Main Center for Special Technology).
Et là, c’est le drame. L’assistant de Podesta transfère l’email au support IT de la campagne. Un technicien répond avec une faute de frappe monumentale : au lieu d’écrire “This is an illegitimate email”, il tape “This is a legitimate email”. Oups ! L’assistant de Podesta, suivant les instructions, clique sur le lien malveillant via Bitly et saisit les identifiants. Et c’est terminé ! Le lien a même été cliqué deux fois. Les Russes venaient de s’offrir un accès VIP aux coulisses de la campagne Clinton.
Pendant ce temps, deux groupes de hackers russes, surnommés “Fancy Bear” (APT28, unité 26165 du GRU) et “Cozy Bear” (APT29, probablement le SVR) par les experts en cybersécurité, s’amusaient déjà dans les serveurs du DNC depuis 2015. L’unité 26165, basée au 20 Komsomolskiy Prospekt à Moscou et dirigée par Viktor Netyksho, s’était même payé le luxe d’installer des keyloggers et de prendre des captures d’écran des ordinateurs des employés. Au total, ils ont exfiltré plus de 70 Go de données du DNC et 300 Go des serveurs de la campagne Clinton. Y’a pas à dire, ils sont forts chez les Russes !
Les locaux du GRU à Moscou
Mais voilà, pirater c’est bien, mais il faut aussi savoir valoriser sa marchandise. Et c’est là qu’intervient notre star, Guccifer 2.0, géré par l’unité 74455 basée au 22 Kirova Street à Khimki (dans un bâtiment que les agents du GRU appellent “la Tour”) et dirigée par Aleksandr Osadchuk.
Le 15 juin 2016, Guccifer 2.0 fait donc son grand débarquement avec un post de blog sur WordPress dans lequel il se présente comme un hacker roumain patriote qui a agi seul pour “exposer la corruption”. Il balance même quelques documents du DNC pour prouver sa bonne foi, dont un dossier d’opposition research de 200 pages sur Donald Trump qu’il envoie à Gawker et The Smoking Gun.
Le message de Guccifer 2 sur son Wordpress
Le problème, c’est que personne n’y croit. Déjà, le timing est trop parfait, et puis surtout, quand les journalistes de Motherboard commencent à creuser, ça sent le roussi à plein nez.
L’interview qui a tout fait capoter, c’est celle de Lorenzo Franceschi-Bicchierai en juin 2016. Le journaliste demande à Guccifer 2.0 de répondre en roumain, histoire de vérifier ses origines. Et là, c’est la catastrophe totale ! Notre prétendu Roumain sort un charabia qui ressemble plus à du Google Translate qu’à du roumain natif. Il utilise des mots comme “filigran” pour “watermark”, une traduction littérale que seul un non-Roumain utiliserait. Les vrais Roumains disent “filigram” !
Pire encore, après quelques échanges laborieux où il écrit des trucs du genre “Îmi pare rău” (désolé) avec une grammaire bancale, Guccifer 2.0 refuse de continuer en roumain sous prétexte qu’il ne veut pas “perdre son temps”. Vraiment très convaincant pour quelqu’un qui prétend être né à Bucarest.
Mais les vrais clous du cercueil, ce sont les détails techniques. Parce que nos espions russes, aussi doués soient-ils pour pirater des serveurs, ont visiblement séché les cours de nettoyage de métadonnées.
Premier indice : Les documents publiés par Guccifer 2.0 contenaient des métadonnées en cyrillique, notamment un utilisateur nommé “Феликс Эдмундович” (Felix Edmundovich en alphabet russe). Pour ceux qui ne captent pas la référence, Felix Edmundovich Dzerzhinsky, c’est le fondateur de la Tcheka en 1917, c’est à dire l’ancêtre du KGB. Autant signer ses documents “Agent 007” directement. Le plus beau là-dedans, c’est qu’un autre document avait aussi “Che Guevara” dans les métadonnées… ils sont forts pour la discrétion !
Deuxième indice : Les liens cassés dans les documents généraient des messages d’erreur… en russe. Les documents montraient clairement qu’ils avaient été édités sur une version russe de Microsoft Word. Quelle coïncidence troublante pour un hacker roumain ! Des messages comme “Ошибка! Недопустимый объект гиперссылки” (Erreur ! Objet de lien hypertexte invalide) apparaissaient dans les docs.
Troisième indice : L’analyse linguistique de Shlomo Engelson-Argamon de l’Illinois Institute of Technology a montré que Guccifer 2.0 était “très probablement un Russe prétendant être Roumain” car son anglais présentait des structures syntaxiques typiquement russes, sans les articles définis et indéfinis qu’un Roumain natif utiliserait naturellement. Par exemple, il écrivait “I hacked server” au lieu de “I hacked the server”.
Mais la gaffe monumentale, celle qui a permis aux enquêteurs américains d’identifier précisément qui se cachait derrière Guccifer 2.0, c’est l’oubli du VPN. Un jour de mars 2018, probablement pressé ou distrait (ou après une vodka de trop ?), l’agent du GRU a oublié d’activer son client VPN avant de se connecter à un réseau social américain.
Résultat, une adresse IP bien réelle, tracée directement au quartier général du GRU sur Grizodubovoy Street à Moscou. Les enquêteurs américains ont pu alors identifier un officier particulier du GRU travaillant depuis le siège de l’agence. D’après les sources, l’IP provenait d’un bâtiment du GRU situé dans le district de Khoroshevsky à Moscou.
C’est ce genre d’erreur qui vous fait passer de “super-espion international” à “stagiaire qui a foiré son stage” en une fraction de seconde. J’imagine pas la tête du chef quand il a appris ça au briefing du matin. “Alors, Dimitri, tu peux m’expliquer comment tu as oublié le VPN ?” Bref, du grand art !
L’emblème du GRU
L’histoire devient encore plus croustillante quand on découvre les liens entre Guccifer 2.0, WikiLeaks et Roger Stone, le conseiller de Trump aux tatouages de Nixon dans le dos. Le 22 juin 2016, WikiLeaks contacte directement Guccifer 2.0 sur Twitter : “Salut ! Vous pourriez nous envoyer tout nouveau document ici pour un impact plus important que ce que vous pourriez avoir. Plus de gens vous suivront.”
Et effectivement, le 18 juillet, WikiLeaks confirme avoir reçu “les archives d’environ 1 Go” et annonce qu’ils vont tout publier cette semaine-là. Le 22 juillet 2016, pile avant la Convention nationale démocrate, WikiLeaks balance alros près de 20 000 emails du DNC. Timing parfait, encore une fois !
Côté Roger Stone, l’histoire est encore plus dingue car entre août et septembre 2016, Stone et Guccifer 2.0 échangent plusieurs messages privés sur Twitter. Le 15 août, Guccifer 2.0 demande : “do you find anything interesting in the docs i posted?” puis le 17 août : “please tell me if i can help u anyhow”. Stone leur envoie même un article qu’il a écrit sur la manipulation des machines à voter.
Puis le 21 août 2016, Stone tweete : “Trust me, it will soon be Podesta’s time in the barrel” (Croyez-moi, ce sera bientôt le tour de Podesta d’être dans le pétrin). Le problème, c’est qu’à cette date, personne ne savait publiquement que les emails de Podesta avaient été piratés. WikiLeaks ne les publiera qu’en octobre. Donc soit Stone est voyant, soit il était au courant de quelque chose.
Stone prétendra plus tard qu’il parlait d’un article à venir sur les liens entre John et Tony Podesta. Il niera d’abord tout contact avec Guccifer 2.0, puis qualifiera les échanges de “parfaitement anodins” quand The Smoking Gun les publiera en mars 2017. Il dira même que ses déclarations sur Julian Assange étaient “une blague” pour raccrocher au nez de Sam Nunberg. Ouin !
Robert Mueller, procureur spécial qui a mené l’enquête sur l’ingérence russe
L’enquête de Robert Mueller a alors fini par démanteler toute l’opération et le 13 juillet 2018, le Département de la Justice américain inculpe 12 officiers du renseignement militaire russe et révèle officiellement que Guccifer 2.0 était une identité utilisée par le GRU. C’est pourquoi on peut maintenant raconter toute cette histoire avec certitude.
Les 12 agents appartenaient à deux unités distinctes :
L’unité 26165 (Fancy Bear/APT28) : spécialisée dans l’infiltration et le vol de données, basée au 20 Komsomolskiy Prospekt, dirigée par Viktor Netyksho
L’unité 74455 : chargée de la diffusion et de la manipulation des informations volées via DCLeaks et Guccifer 2.0, basée dans “la Tour” au 22 Kirova Street à Khimki, dirigée par Aleksandr Osadchuk
L’acte d’accusation détaille tout : les techniques de spear-phishing utilisées, les serveurs loués en Malaisie et en Illinois, les bitcoins minés pour payer l’infrastructure (ils avaient même une opération de minage !), et même les noms de code des opérations. L’unité 74455 avait aussi piraté les systèmes électoraux de l’Illinois, volant les données de 500 000 électeurs incluant noms, adresses, numéros de sécurité sociale partiels et permis de conduire. D’après les enquêteurs américains, c’est du travail d’orfèvre.
Selon les sources proches de l’enquête, au moins deux personnes se cachaient derrière l’identité Guccifer 2.0. Après un début chaotique avec le fameux “Roumain” qui ne parlait pas roumain, l’opération a été confiée à un officier du GRU plus expérimenté. D’ailleurs, les derniers posts de Guccifer 2.0 en janvier 2017 montrent une maîtrise de l’anglais bien supérieure aux premiers. Comme si quelqu’un avait dit “Ok, on arrête les conneries, je reprends le dossier”.
L’affaire Guccifer 2.0 a vraiment marqué un tournant dans la guerre informatique moderne car pour la première fois, une opération d’influence cyber de cette ampleur était documentée dans ses moindres détails, avec noms, prénoms, adresses et même les heures de connexion des responsables. Les métadonnées, c’est vraiment la plaie des espions modernes !
L’impact sur l’élection de 2016 est très difficile à quantifier, mais les 58 000 emails de Podesta publiés par WikiLeaks entre octobre et novembre 2016 ont indéniablement nui à la campagne Clinton. Ils révélaient des détails embarrassants sur les coulisses de la campagne, les discours payés à Wall Street (225 000$ chez Goldman Sachs !), et même le fait que Donna Brazile de CNN avait transmis les questions de débat à l’avance.
Et côté relations internationales, l’affaire a entraîné l’expulsion de 35 diplomates russes en décembre 2016, de nouvelles sanctions économiques, et la fermeture de deux complexes diplomatiques russes aux États-Unis. Elle a aussi poussé les pays occidentaux à repenser leur approche de la cybersécurité et de la désinformation. L’OTAN a également créé un centre d’excellence en cyberdéfense à Tallinn, et l’UE a mis en place une task force contre la désinformation russe.
Au final, Guccifer 2.0 restera comme un cas d’école de ce qu’il ne faut pas faire en matière de sécurité opérationnelle. Malgré des moyens considérables et une planification sophistiquée, l’opération a échoué à maintenir sa couverture à cause d’erreurs basiques :
Oubli d’activation du VPN (la bourde ultime qui leur a coûté toute l’opération)
Métadonnées compromettantes non nettoyées (Felix Edmundovich, vraiment ?)
Couverture linguistique insuffisamment préparée (un Roumain qui ne parle pas roumain…)
Références culturelles trop évidentes (nommer ses fichiers d’après le fondateur de la police secrète soviétique, subtil !)
Timing trop parfait pour être crédible (quelques heures après l’article du Washington Post ? Allô ?)
Utilisation de la même infrastructure que d’autres opérations du GRU (réutilisation des serveurs et des comptes Bitcoin)
Certains experts suggèrent que les métadonnées russes étaient peut-être volontairement laissées, soit comme false flag, soit par arrogance ("on s’en fout, ils ne peuvent rien nous faire"). Mais l’oubli du VPN, ça, c’était clairement pas prévu. Comme quoi, même les meilleurs font des boulettes, et dans le cyberespace, une seule erreur peut tout faire capoter.
Bref, avant de publier des documents volés en vous faisant passer pour un hacker roumain, apprenez le roumain, nettoyez vos métadonnées, et surtout, SURTOUT, n’oubliez pas votre VPN. Sinon vous finirez comme Guccifer 2.0, une légende du fail !
J’sais pas vous, mais moi, je perds tout le temps des trucs… Où sont mes chaussures ? Où est mon téléphone ? Mais il est où encore cet aspi robot ? Et mes clés ? J’lai garé où déjà la voiture ? Mais où est ce que j’avais noté ce truc ? T’as pas vu les enfants ?????
That’s my life comme dirait Jean Claude ! Alors je me prépare à perdre d’autres trucs. Par exemple comme le curseur de ma souris. Ça m’arrive aussi parfois j’avoue, surtout quand j’ai 42 onglets ouverts et 3 écrans connectés. Heureusement, sous macOS, suffit de secouer la souris comme un shaker à cocktails et le curseur grossit pour mieux le voir. Et sous Windows, y’a Ctrl + cherche-toi-même-pauvre-fou.
Mais dans les cas vraiment désespérés, ou juste pour se marrer 5
minutes (parce qu’on bosse dur nous hein), je viens de trouver LE site
ultime : PointerPointer. C’est le Sherlock Holmes du
curseur de souris, l’inspecteur Gadget de votre pointeur, le GPS de
votre flèche blanche !
Le concept est génial. Vous bougez votre souris n’importe où sur l’écran, vous attendez quelques secondes, et PAF ! Le site vous sort une photo vintage avec quelqu’un qui pointe PILE POIL sur l’endroit exact où se trouve votre curseur. C’est magique, c’est inutile, c’est addictif, bref c’est parfait pour une pause café.
Apparemment, les créateurs ont compilé des centaines (milliers ?) de photos de gens qui pointent du doigt dans toutes les directions possibles. Du coup, peu importe où vous planquez votre curseur, y’aura toujours un random dude ou dudette pour vous dire “Hey, il est là ton pointeur !” avec son index tendu. C’est con et ça sert à rien, hein ? Bah moi j’aime bien !
Tout ne doit pas être productif, optimisé, rentable… parfois un simple site qui trouve juste votre curseur avec des photos rigolotes, c’est tout ce dont on a besoin dans la vie. Et puis entre nous, c’est quand même plus fun que de chercher ses clés sous le canapé pour la 10ème fois de la journée… Allez, cliquez ici pour tester !
Alors combien de fois vous avez relancé la recherche juste pour voir quelle photo va sortir ???
J’aime bien quand des développeurs utilisent la technologie pour rendre accessible des concepts complexes. Alors après le système solaire, vous allez pouvoir visualiser des atomes en 3D de manière totalement interactive. Comme ça, s’en est terminé des schémas statiques dans les manuels de physique ! Ici, grâce à AtomAnimation, vous pourrez faire tourner, zoomer, observer sous tous les angles des structures atomiques qui prennent même vie sous vos yeux.
Ce projet, développé par matt765, utilise une stack technologique bien moderne à base de React 19, NextJS 15, TypeScript, CSS Modules, Zustand pour la gestion d’état, ThreeJS pour la 3D, et Recharts pour les graphiques. En gros, tout ce qu’il faut pour créer une expérience utilisateur fluide et moderne.
Il y a même des graphs et une table périodique ainsi que des tas de filtres pour par exemple visualiser les atomes par densité, électronégativité, point de fusion et j’en passe…
Et ce qui rend ce projet vraiment intéressant, c’est qu’il permet à tous mais surtout aux étudiants d’explorer les structures atomiques de manière dynamique. Comme ça, on apprend des choses et c’est pas chiant car au lieu de simplement regarder une image figée d’un atome, on peut le manipuler, voir les électrons en mouvement qui lui tourne autour, et comprendre sa structure nucléaire. Bref, si vous êtes prof de physique, vos rêves les plus humides viennent de s’exaucer.
Le côté open-source rend le tout encore plus sympa puisque le code est disponible sur Github. Une fois encore avec WebGL et des bibliothèques comme ThreeJS, on peut faire des trucs vraiment chouette en web 3D.
Voilà, AtomAnimation.com est un super outil éducatif de plus à bookmarker !!
Vous savez ce qui pousse des ingénieurs bien payés d’Amazon Web Services à tout plaquer ? C’est l’écœurement total face à ce qu’ils appellent “l’économie de la surveillance”.
Et c’est exactement ce qui est arrivé à Mohammed, Murtaza et Santhosh en 2019 qui selon leur propre témoignage, ont donc abandonné leurs postes confortables chez AWS, IBM et Scientific Games par, je cite, “un dégoût de l’économie de de la surveillance et par la frustration devant le manque d’app de sécurité faciles à utiliser pour les 3 milliards d’utilisateurs d’Android sans méfiance”.
Le produit de cette rébellion s’appelle donc RethinkDNS, et c’est une app qui fait quelque chose d’assez unique puisqu’elle transforme votre téléphone Android en forteresse, sans jailbreak, sans demander les droits root et sans vous noyer sous les options techniques.
Concrètement, l’app intercepte tout votre trafic réseau via une connexion VPN locale (qui ne sort pas de votre téléphone) et à partir de là, elle peut analyser chaque connexion, bloquer les traqueurs au niveau DNS, ou carrément empêcher certaines apps de se connecter à Internet.
D’après leur propre analyse, 60% du trafic d’un téléphone Android typique part vers des réseaux publicitaires et des traqueurs connus. Du coup, RethinkDNS vous montre tout ça en temps réel, avec des logs détaillés de qui se connecte où et quand. Concernant la partie DNS, ça utilise du chiffrement DNS-over-HTTPS vers leurs serveurs déployés dans plus de 300 endroits via Cloudflare Workers, mais vous pouvez aussi configurer n’importe quel autre resolver DNS chiffré si vous préférez.
Le firewall par app est également très malin puisqu’au lieu de bloquer des ports ou des IP comme un firewall traditionnel, il identifie quelle app génère quelle connexion et vous laisse décider. Une calculatrice qui veut se connecter à Internet ? C’est chelou, alors on bloque la connexion ! Une application Réveil Matin qui envoie vos données ? Allez, hop, bloquée aussi.
Y’a pas de configuration complexe, pas de certificats à installer, pas de bricolage. RethinkDNS, c’est juste une interface claire qui vous fait du DNS privé et sécurisé tournant à la vitesse de l’éclair, mais surtout (et c’est là que ça devient fun) vous pouvez aussi créer vos propres règles custom pour bloquer ce qui vous gonfle. Genre, vous voulez bloquer Facebook pendant vos heures de boulot ? Hop, une petite règle temporelle et c’est réglé !
Et si vous êtes du genre parano (ou juste prudent, hein), vous avez plus de 190 listes de blocage toutes prêtes pour dégager les pubs, les trackers et autres joyeusetés du web. Le tout avec des stats pour voir exactement ce qui se passe sous le capot.
L’app est disponible sur F-Droid et Google Play, entièrement open source. Le code source révèle d’ailleurs une architecture intéressante puisqu’ils ont forké le ce projet de Google et l’ont considérablement étendu.
Niveau alternatives, on retrouve généralement Portmaster, AdGuard et NextDNS comme principales concurrents même si RethinkDNS a l’avantage d’être gratuit, sous licence libre, et de ne pas limiter le nombre de requêtes DNS.
Leur modèle économique est d’ailleurs intéressant puisque l’app reste gratuite, mais ils proposent des services cloud payants pour ceux qui veulent des listes de blocage personnalisées ou du proxying avancé. Donc voilà, pas de marketing anxiogène mais juste des outils pour que vous puissiez décider par vous-même.
Allez on va faire un jeu ! Combien de fois avez-vous déjà pesté devant le fucking bouton de téléchargement de SlideShare ? Mais si celui où faut s’inscrire, voire payer… Vous la ressentez cette frustration universelle des chercheurs, des étudiants et des pro qui tombent sur LA présentation parfaite mais qu’il est impossible à sauvegarder pour la consulter hors ligne ?
Heureusement, SlideSaver et ses cousins arrivent à la rescousse pour vous aider à contourner élégamment ces restrictions et vous redonner le contrôle sur le contenu que vous voulez conserver.
Je trouve que le paradoxe de SlideShare, c’est quand même d’être devenu l’une des plus grandes bibliothèques de présentations professionnelles au monde tout en réussissant à frustrer ses milliers de visiteurs avec des restrictions à la con. Surtout que depuis son rachat par Scribd, la plateforme applique une politique DMCA stricte qui permet aux créateurs de contenu de désactiver complètement le téléchargement de leurs présentations, et du coup, on a des millions de documents éducatifs et professionnels qui restent prisonniers du navigateur. Ça ne plairait pas à Aaron Swartz tout ça !
Bref, c’est dans ce contexte que des outils comme SlideSaver.app ont émergé. Une fois sur le site, vous collez l’URL de la présentation SlideShare de vos rêves, et l’outil fait sa magie en coulisses… Ensuite, vous récupérez votre fichier en PDF, PPT ou même en images individuelles. Pas d’inscription, pas de limites de téléchargement, pas de publicités intrusives.
D’ailleurs, l’écosystème des “SlideShare downloaders” est devenu étonnamment riche. SlideGrabber se présente comme le meilleur outil de 2025, tandis que SlidesDownloader, SlidesSaver et une dizaine d’autres services similaires se disputent les faveurs des utilisateurs. Chacun avec ses petites spécificités puisque certains excellent dans la conversion PDF, d’autres préservent mieux les animations PowerPoint originales, et quelques-uns proposent même de télécharger les présentations sous forme d’archives ZIP contenant toutes les diapositives en images haute résolution.
La technique utilisée par ces services reste relativement opaque, mais elle exploite probablement les flux de données publics que SlideShare doit nécessairement exposer pour afficher les présentations dans le navigateur. Une fois ces données interceptées et recomposées, il est alors possible de reconstruire le document original dans différents formats. Et si vous jetez un œil en haut à droite du site, vous verrez qu’ils font la même pour Scribd.
L’aspect légal reste évidemment la zone grise de toute cette histoire. SlideShare et Scribd maintiennent que les utilisateurs doivent respecter les restrictions définies par les créateurs de contenu, et techniquement, contourner ces protections pourrait violer les conditions d’utilisation de la plateforme, mais dans la pratique, l’usage de ces outils pour des besoins personnels, éducatifs ou de recherche reste largement toléré. C’est un peu comme enregistrer une vidéo YouTube pour la regarder dans l’avion… c’est juridiquement discutable, mais éthiquement et moralement indispensable ^^.
S’ils étaient moins naze chez Slideshare, ils mettraient un bouton de téléchargement avec un watermark ou une attribution obligatoire et ça ne changerait rien à leur biz.
Bref, en attendant que SlideShare et compagnie repensent leur approche, y’a SlideSaver ! Et tant que le besoin de télécharger existera, ces services trouveront toujours un moyen de contourner les restrictions. C’est ça la beauté d’Internet : l’information veut toujours être libre, alors comme la vie, elle trouve toujours un chemin…
Il y a des moments où on tombe sur une approche si simple et efficace qu’on se demande pourquoi on n’y avait pas pensé avant. C’est exactement ce que j’ai ressenti en découvrant la technique d’Armin Ronacher pour donner à Claude Code le contrôle total d’une session de debugging.
Le principe c’est de combiner GNU Screen, ce vieux multiplexeur de terminal que certains considèrent comme dépassé, avec LLDB, le debugger de LLVM, pour créer un environnement où Claude peut littéralement piloter votre terminal comme s’il était assis devant votre clavier.
Comme ça, au lieu d’implémenter des serveurs MCP complexes ou des intégrations cheloues, Ronacher s’appuie sur des outils qui existent depuis des décennies. GNU Screen permet de multiplexer un terminal physique entre plusieurs processus, créant des sessions persistantes qui survivent aux déconnexions SSH. C’est cette persistance qui devient la clé de voûte du système.
Dans sa démonstration vidéo, Ronacher montre donc comment il configure Claude Code pour automatiser complètement une session de debugging. Le secret tient dans quelques lignes ajoutées au fichier CLAUDE.md : “définir un nom de session Screen spécifique pour le debugging, utiliser la syntaxe “dollar string” pour envoyer des commandes, et fermer proprement la session une fois terminé”.
Claude peut alors créer la session, lancer LLDB, identifier un bug de type segfault, le corriger, recompiler le code et vérifier que tout fonctionne. Le tout sans intervention humaine.
Comme le souligne Ronacher dans ses recommandations, Claude Code excelle quand on lui donne accès à des outils bien documentés qu’il connaît déjà. Screen et LLDB font partie de ces outils sur lesquels il existe une montagne de documentation et d’exemples donc Claude peut les manipuler avec aisance. En tout cas, beaucoup plus que moi, c’est certain !
Mais au-delà du debugging, cette technique ouvre des perspectives fascinantes pour l’automatisation. On pourrait imaginer un Claude gérant vos sessions tmux pour orchestrer des déploiements multi-serveurs, surveillant des logs en temps réel via Screen pour détecter des anomalies, ou même maintenant des connexions SSH persistantes vers des serveurs pour des interventions d’urgence. J’avoue c’est toujours prendre un risque donc à éviter sur de la prod, mais c’est très cool quand même.
Si vous faites du DevOps, vous pourriez configurer Claude pour qu’il lance automatiquement des sessions Screen lors de debugging de containers Docker, maintienne des tunnels SSH persistants pour du debugging à distance de Kubernetes, ou même gère des sessions de monitoring avec des dashboards textuels comme htop ou glances. La combinaison de la persistance de Screen et de l’intelligence de Claude crée un assistant capable de gérer des workflows complexes de manière autonome.
C’est vrai que Screen est souvent considéré comme obsolète face à tmux, mais dans ce cas précis, sa simplicité devient un avantage car Claude a probablement plus de données d’entraînement sur Screen, qui existe depuis 1987, que sur des alternatives plus modernes. Donc c’est smooooth pour lui…
Un autre cas d’usage intéressant serait la gestion de sessions de développement complexes durant lesquelles Claude pourrait maintenir plusieurs fenêtres Screen avec différents environnements : une pour les tests, une pour le serveur de développement, une pour les logs, et naviguer entre elles selon les besoins. Vous pourriez ainsi demander à Claude de lancer les tests et de vous montrer les logs en cas d’échec, et il orchestrerait tout via Screen.
Pour les équipes, cette technique pourrait vraiment renforcer le pair programming à distance…. Vous partagez une session Screen avec Claude et un collègue simultanément et Claude pourrait vous assister en temps réel, suggérer des corrections, exécuter des commandes de diagnostic, pendant que vous discutez de l’architecture avec votre collègue avec un petit kawa. C’est comme avoir un 3e collègue expert toujours dispo.
Pas besoin d’API, de webhooks, ou de services cloud… Juste des outils Unix standard que tout développeur a déjà sur sa machine et un bon prompt et hop ça fait des chocapics (ou plus de bugs…^^) !
Bref, parfois les solutions les plus belles sont aussi les plus simples. Pas besoin de réinventer la roue…
Vous savez ce qui différencie un grand chef d’un cuistot lambda ? Le grand chef invente les recettes que tout le monde copiera pendant des décennies. Aaron Swartz, c’est un peu le Escoffier du web, sauf qu’au lieu de codifier la sauce hollandaise, il a inventé RSS, co-fondé Reddit et co-créé Markdown avant même d’avoir son permis de conduire. Et comme tous les révolutionnaires, il a fini par déranger le pouvoir en place jusqu’à en mourir.
Je connaissais Aaron Swartz de réputation depuis des années, mais c’est en lisant son histoire après sa mort que j’ai réalisé à quel point ce gamin était un phénomène.
L’histoire d’Aaron Swartz, c’est celle d’un gamin né le 8 novembre 1986 à Highland Park, à 40 kilomètres au nord de Chicago, dans une famille juive où la tech coule dans les veines. Son père Robert avait fondé la boîte de logiciels Mark Williams Company (créateurs du compilateur C Coherent), sa mère Susan était consultante et il a deux frères plus jeunes, Noah et Ben. Bref, l’environnement parfait pour éclore en tant que prodige de l’informatique. Mais Aaron, c’était pas juste un nerd qui collectionnait les lignes de code comme d’autres collectionnent les cartes Pokémon. Dès le début, il avait cette vision révolutionnaire que la technologie devait servir à libérer l’humanité, pas à l’enfermer.
L’icône RSS, symbole du format co-développé par Aaron à 14 ans
À 3 ans donc, pendant que les autres gamins découvraient les joies du pot, Aaron découvrait les joies du clavier. Ses parents racontent qu’il passait des heures devant l’écran, pas pour jouer, mais pour comprendre comment ça marchait. Le genre de gosse qui démonte son réveil pour voir ce qu’il y a dedans, mais version 2.0. Et ça n’a jamais cessé puisqu’à 12 ans, en 1999, il lance The Info Network, une encyclopédie collaborative où n’importe qui pouvait ajouter ou modifier du contenu. Vous me direz, c’est exactement le principe de Wikipedia… sauf que Wikipedia n’a été lancé qu’en janvier 2001. Aaron avait donc 2 ans d’avance sur l’un des sites les plus connus du web.
Ce projet lui vaut d’ailleurs le prix ArsDigita en 1999, récompensant les jeunes qui créent des sites “utiles, éducatifs et collaboratifs”. À 13 ans, il était déjà reconnu comme un talent exceptionnel mais le meilleur restait à venir…
En 2000, à 14 ans, Aaron rejoint le RSS-DEV Working Group qui développe la spécification RSS 1.0. Pour ceux qui ont vécu l’époque où on devait aller vérifier manuellement chaque site pour voir s’il y avait du nouveau contenu, RSS c’était la révolution absolue. Fini de faire le tour de 20 sites web tous les matins, les flux RSS amenaient directement l’info dans votre lecteur. C’est Aaron qui a participé à créer ça. À cet age, il devient même membre du World Wide Web Consortium (W3C) pour aider à développer les formats de données communs utilisés sur le web.
Un an plus tard, à 15 ans (j’insiste sur les âges parce que c’est hallucinant) il bosse avec Lawrence Lessig, professeur de droit à Harvard, sur l’architecture technique de Creative Commons. Vous savez, ces licences qui permettent aux créateurs de partager leurs œuvres sans se faire bouffer par le copyright traditionnel ? Et bien c’est Aaron qui code littéralement la couche logicielle des licences Creative Commons qui sont maintenant utilisées dans le monde entier. Des millions de créateurs utilisent aujourd’hui ce système pour libérer leurs contenus.
En parallèle, avec John Gruber, il co-crée Markdown en 2004, ce langage de balisage simple que vous utilisez probablement sans le savoir si vous traînez sur GitHub, Reddit, Discord ou même certains CMS. Par exemple, cette page que vous êtes en train de lire à été transformée en HTML à partir d’un fichier markdown. Cette syntaxe Markdown a été influencée par le langage atx qu’Aaron avait créé en 2002. Markdown, c’est donc cette syntaxe géniale qui permet d’écrire de l’hypertexte mis en forme, sans se prendre la tête avec les balises. Encore une fois, Aaron était sur le coup.
Et puis il y a Reddit.
Alors attention, l’histoire est un peu tordue parce qu’officiellement, Reddit a été fondé par Steve Huffman et Alexis Ohanian en 2005. Mais Aaron arrive dans l’histoire quand sa boîte Infogami (qu’il avait lancée avec son framework web.py) fusionne avec Reddit chez Y Combinator en novembre 2005. Du jour au lendemain, il devient cofondateur et se retrouve à recoder entièrement Reddit depuis le langage Lisp vers Python avec son framework web.py qu’il avait développé et qu’il release en open source.
Et Reddit, c’est pas juste un site de partage de liens, hein… c’est devenu LE lieu de débat d’Internet avec 430 millions d’utilisateurs actifs en 2025. Et Aaron était là dès le début, même si Condé Nast l’a racheté en 2006 pour une somme entre 10 et 20 millions de dollars, faisant d’Aaron un millionnaire avant même qu’il puisse légalement acheter une bière.
Et Aaron n’était pas juste un développeur brillant, c’était un visionnaire. Il voyait déjà Internet comme un outil d’émancipation démocratique alors quand les autres codaient pour faire du fric ou pour le fun, lui codait pour changer le monde. D’ailleurs, il quittera Reddit en janvier 2007, frustré par la culture corporate après le rachat par Condé Nast.
Sa philosophie, Aaron l’a formalisée en juillet 2008 dans son Guerilla Open Access Manifesto, écrit lors d’une rencontre entre bibliothécaires en Italie. Un texte court mais percutant qui commence par cette phrase mythique : “Information is power. But like all power, there are those who want to keep it for themselves.” L’information, c’est le pouvoir. Mais comme tout pouvoir, il y a ceux qui veulent le garder pour eux. Le manifeste continue : “L’ensemble du patrimoine scientifique et culturel mondial, publié au fil des siècles dans des livres et des revues, est de plus en plus numérisé et verrouillé par une poignée d’entreprises privées.” C’était son credo, son combat de toute une vie.
Parce qu’Aaron, il avait compris un truc que beaucoup n’ont toujours pas pigé. Dans une société de l’information, celui qui contrôle l’accès au savoir contrôle tout le reste. Les éditeurs scientifiques comme Elsevier ou Springer qui verrouillent la recherche derrière des paywalls de 30-40$ par article, pour Aaron, c’était de la pure extorsion. La recherche scientifique étant financée par l’argent public via les universités et les bourses de recherche (NSF, NIH, etc.), les résultats devraient appartenir au public. Point barre. Il écrivait alors dans son manifeste : “Nous devons récupérer les informations, où qu’elles soient stockées, en faire des copies et les partager avec le monde entier.”
C’est donc exactement ce raisonnement qui l’a mené à lancer Open Library en 2007 avec l’Internet Archive de Brewster Kahle. Le projet était dingue. Il s’agissait de créer une bibliothèque numérique universelle qui référencerait tous les livres existants, “une page pour chaque livre” et pas juste les cataloguer. Non, il voulait les rendre accessibles. Aaron bossait pour l’Internet Archive à l’époque, et il était déterminé à numériser le patrimoine littéraire mondial pour le rendre libre d’accès.
Le projet continue aujourd’hui avec des millions de livres numérisés.
L’Internet Archive, où Aaron a développé l’Open Library
Moi qui galère parfois à trouver des bouquins techniques récents sans me ruiner, je peux vous dire que l’idée d’Aaron me parlait énormément. Combien de fois j’ai eu besoin d’un article spécialisé et je me suis retrouvé face à un paywall à 39$ pour 8 pages PDF ? C’est rageant, surtout quand on sait que les chercheurs qui ont écrit ces articles ne touchent généralement pas un centime sur ces ventes… Ils font même du peer-review gratuitement !
Aaron développait aussi en parallèle d’autres projets révolutionnaires. En 2011-2012, avec Kevin Poulsen (ancien hacker devenu journaliste chez Wired) et James Dolan, il bossait sur DeadDrop, un système ultra-sécurisé permettant aux sources anonymes de transmettre des documents aux journalistes sans risquer d’être identifiées. Le projet utilisait Tor et un chiffrement avancé pour protéger les lanceurs d’alerte. Après la mort d’Aaron, la Freedom of the Press Foundation a repris le projet sous le nom SecureDrop.
Le premier déploiement a eu lieu au New Yorker le 15 mai 2013 sous le nom “Strongbox” et aujourd’hui, des médias comme The Guardian, The New York Times, The Washington Post, ProPublica ou The Intercept utilisent SecureDrop pour recevoir des documents confidentiels en toute sécurité. C’est grâce à ce système que des révélations majeures ont pu être publiées.
Politiquement, Aaron était aussi très engagé. Il a cofondé Demand Progress et le Progressive Change Campaign Committee pour soutenir des candidats progressistes au Congrès américain. Il s’est battu contre SOPA (Stop Online Piracy Act), cette loi scélérate qui aurait donné des pouvoirs de censure énormes aux ayants droit. Je me souviens encore du blackout de Wikipedia le 18 janvier 2012 pour protester contre SOPA… Aaron était sur tous les fronts de cette bataille, organisant des campagnes qui ont généré des millions d’appels au Congrès. La loi a finalement été abandonnée grâce à cette mobilisation.
Mais avant ça, en 2008, Aaron avait déjà frappé un grand coup avec PACER. Pour ce projet, il téléchargera légalement 2,7 millions de documents judiciaires fédéraux depuis une bibliothèque publique offrant un accès gratuit temporaire, et les rendra ensuite disponibles gratuitement alors que PACER facturait 8 cents la page. Le FBI ouvre une enquête mais la ferme rapidement car Aaron n’avait techniquement rien fait d’illégal.
Mais c’est son combat pour l’open access qui va lui coûter la vie. Entre septembre 2010 et janvier 2011, Aaron mène sa dernière grande opération de libération de l’information. Il se rend régulièrement au MIT, se connecte au réseau de l’université avec un compte invité légitime, et télécharge massivement des articles de JSTOR, cette base de données qui stocke des millions d’articles académiques derrière des paywalls. Il utilise pour cela un script Python appelé “keepgrabbing.py” depuis un ordinateur portable qu’il cache dans une armoire réseau non verrouillée du bâtiment 16 du MIT.
Le campus du MIT où Aaron a téléchargé les articles JSTOR (source)
Au total, Aaron récupère 4,8 millions d’articles soit environ 80% de la base JSTOR, dont 1,7 million étaient disponibles via le “Publisher Sales Service” de JSTOR.
Son plan était de les rendre publics, évidemment. Pour lui, c’était logique car ces articles décrivent des recherches financées par l’argent public, et doivent donc être accessibles au public. C’était l’application pratique de son manifeste de 2008.
Sauf que le système ne l’entendait pas de cette oreille. Le 6 janvier 2011, Aaron est arrêté par la police du MIT et un agent des services secrets américains près du campus de Harvard alors qu’il venait récupérer son ordinateur dans le placard où il l’avait planqué. Les charges fédérales tombent alors comme un couperet en juillet 2011 : 4 chefs d’accusation initiaux, puis 13 au total, soit 2 pour fraude électronique et 11 violations du Computer Fraud and Abuse Act de 1986. Au total, il risque 35 ans de prison, 1 million de dollars d’amende, la confiscation de ses biens, des dommages-intérêts et une liberté surveillée.
35 ans de prison pour avoir voulu libérer des articles scientifiques. Je vais être franc avec vous, quand j’ai découvert ces chiffres, j’ai eu envie de vomir On parle quand même d’un gamin de 24 ans qui n’a jamais fait de mal à personne, et qui a consacré sa vie à améliorer Internet et la société. Et le système judiciaire américain, mené par la procureure Carmen Ortiz et le procureur adjoint Stephen Heymann, veut l’enfermer plus longtemps que certains meurtriers. Ortiz déclare même : “Voler, c’est voler, que ce soit à l’aide d’une commande informatique ou d’un pied-de-biche.”
L’ironie, c’est que JSTOR eux-mêmes n’ont pas porté plainte civile. Ils ont récupéré leurs articles et publié un communiqué disant qu’ils considéraient l’affaire close, même s’ils jugeaient l’accès d’Aaron comme un “significant misuse” (un abus manifeste) fait de manière non autorisée. Mais les procureurs fédéraux ont décidé d’en faire un exemple. Il fallait montrer aux hacktivistes qu’on ne plaisantait pas avec la propriété intellectuelle. Les cons.
Les négociations de plaider-coupable traînent en longueur. Aaron refuse un deal qui l’enverrait 6 mois en prison car pour lui, accepter équivaudrait à admettre qu’il a eu tort de vouloir libérer l’information. Son avocat Marty Weinberg raconte qu’il était sur le point de négocier un accord où Aaron n’aurait pas fait de prison du tout. JSTOR était d’accord, mais le MIT a refusé de signer une déclaration de soutien et est resté “neutre”… une neutralité qui ressemblait fort à une condamnation.
Pendant ce temps, Aaron déprime. Ses amis racontent qu’il était de plus en plus isolé, de plus en plus désespéré par l’acharnement judiciaire dont il était victime. Il souffrait de dépression depuis des années et avait déjà écrit sur son blog “Raw Thought” à ce sujet. L’avocat Andy Good, qui s’occupait initialement de l’affaire, a même dit au procureur Heymann qu’Aaron était suicidaire. La réponse du procureur ? “Fine, we’ll lock him up.” (Très bien, on l’enfermera.)
Le 9 janvier 2013, deux jours avant sa mort, JSTOR annonce ironiquement qu’ils vont rendre accessibles gratuitement plus de 4,5 millions d’articles datant d’avant 1923 aux États-Unis et d’avant 1870 ailleurs via leur service “Register & Read”. Une partie de ce qu’Aaron voulait accomplir, mais trop peu, trop tard.
Puis le 11 janvier 2013, sa compagne Taren Stinebrickner-Kauffman (directrice exécutive de SumOfUs) le retrouve pendu dans leur appartement de Crown Heights, Brooklyn. Aaron Swartz est mort à 26 ans, 2 jours après que les procureurs aient rejeté sa dernière contre-proposition de plaidoyer. Il n’a pas laissé de mot d’adieu.
Sa famille publiera un communiqué bouleversant : “La mort d’Aaron n’est pas seulement une tragédie personnelle. Elle est le résultat d’un système judiciaire pénal marqué par l’intimidation et les abus du ministère public. Les décisions prises par les responsables du bureau du procureur fédéral du Massachusetts et du MIT ont contribué à sa mort.” Ils accusent directement les procureurs d’avoir poussé Aaron au suicide par leur acharnement.
Moi qui ai parfois des coups de blues quand l’un de mes projets plante ou qu’un cyber-gland m’insulte, je n’arrive même pas à imaginer la pression qu’Aaron a dû ressentir. Se retrouver face à 35 ans de prison pour avoir voulu partager de la connaissance, c’est d’une violence inouïe. Surtout pour quelqu’un qui avait consacré sa vie entière à améliorer le monde.
La mort d’Aaron provoque un tollé international. Des mémoriaux sont organisés dans le monde entier, y compris au MIT. Ses funérailles ont lieu le 15 janvier 2013 à la Central Avenue Synagogue de Highland Park et le mouvement Anonymous lance l’Opération Last Resort avec des cyberattaques contre le site du MIT et du département de Justice en protestation. Une pétition demandant le limogeage de la procureure Carmen Ortiz recueille même plus de 60 000 signatures sur We the People.
Plus important, les représentants Zoe Lofgren et Ron Wyden introduisent au Congrès une révision du Computer Fraud and Abuse Act, surnommée “Aaron’s Law”, pour éviter que d’autres hacktivistes subissent le même sort. La loi vise à empêcher les poursuites pour violation de conditions d’utilisation. Malheureusement, elle n’a jamais été votée et à l’heure où j’écris ces lignes, les mêmes excès du système judiciaire américain persistent.
En août 2013, Aaron est intronisé à titre posthume au Internet Hall of Fame. En 2014, Lawrence Lessig mène une marche à travers le New Hampshire en son honneur, militant pour la réforme du financement des campagnes électorales.
Mais l’héritage d’Aaron est immense ca chaque jour, des millions de personnes utilisent ses créations sans le savoir. Les flux RSS alimentent encore une bonne partie du web et les vrais passionnés utilisent toujours des lecteurs RSS. Reddit est devenu un des 10 sites les plus visités au monde avec 430 millions d’utilisateurs actifs mensuels et une valorisation de 10 milliards de dollars. Markdown est utilisé par tous les développeurs sur GitHub, GitLab, Stack Overflow, Discord et une myriade d’autres plateformes et c’est devenu LE standard de facto pour la documentation technique.
SecureDrop, son dernier projet, protège aujourd’hui des centaines de sources et de journalistes à travers le monde. Plus de 75 organisations médiatiques l’utilisent. Des révélations majeures comme les Panama Papers ou les Paradise Papers ont pu être publiées grâce à ce type de systèmes qu’Aaron avait imaginé pour protéger les lanceurs d’alerte. Et chaque fois qu’un gouvernement corrompu ou une entreprise véreux se font épingler grâce à des fuites sécurisées, c’est un peu l’esprit d’Aaron qui gagne.
Creative Commons a également libéré des millions d’œuvres créatives… On compte plus de 2 milliards d’œuvres sous licence CC en 2025 et Open Library continue de numériser et de rendre accessibles des livres du monde entier avec plus de 20 millions d’ouvrages référencés. Et surtout, ses idées sur l’open access ont fini par s’imposer et de plus en plus d’universités et d’organismes de recherche exigent que les publications financées par l’argent public soient librement accessibles. L’Union Européenne a aussi rendu l’open access obligatoire pour toutes les recherches financées par Horizon Europe et même PubMed Central aux États-Unis contient maintenant plus de 8 millions d’articles en libre accès.
Alexandra Elbakyan, inspirée par Aaron, a créé Sci-Hub en 2011 qui donne accès à plus de 85 millions d’articles scientifiques gratuitement. Elle dédie explicitement son travail à la mémoire d’Aaron. “Je pense qu’Aaron a fait un excellent travail en téléchargeant des millions d’articles de JSTOR. C’est un acte héroïque”, a-t-elle déclaré.
En février 2025, l’Internet Archive a même inauguré une statue d’Aaron dans son auditorium. Ils ont choisi cette date symbolique pour marquer les 12 ans de sa disparition et rappeler que son combat continue. Parce que oui, le combat continue.
Regardez ce qui se passe aujourd’hui avec l’IA générative et les droits d’auteur. Les grands modèles sont entraînés sur des milliards de textes récupérés sur Internet, et les éditeurs crient au scandale. Ils voudraient qu’on paye des licences pour chaque bout de texte utilisé pour entraîner un modèle IA.
Je pense qu’Aaron aurait été en première ligne de ce débat, défendant l’idée que la connaissance doit être libre pour permettre l’innovation. Il aurait aussi été horrifié de voir comment les GAFAM ont verrouillé Internet. Meta qui décide de ce que vous avez le droit de voir, Google qui filtre les résultats de recherche selon ses intérêts commerciaux, Apple qui contrôle tout ce qui peut tourner sur iOS avec son App Store… Aaron avait prévu cette dérive et s’y opposait déjà quand les autres trouvaient ça cool d’avoir des plateformes “gratuites”.
Le mouvement pour la neutralité du net, qu’Aaron soutenait déjà en 2010, est plus d’actualité que jamais. Aux États-Unis, elle a été supprimée sous Trump, rétablie sous Biden, et qui sait ce qui se passera ensuite. Aaron avait vu juste. Sans neutralité du net, Internet devient un outil de contrôle au service des plus riches.
Ce qui me frappe le plus dans l’histoire d’Aaron, c’est à quel point il était en avance sur son temps. Il parlait déjà d’éthique de l’IA quand la plupart des gens découvraient à peine Facebook, il défendait la transparence algorithmique quand Google était encore “Don’t be evil” (motto abandonné en 2018…) et il voulait démocratiser l’accès à l’information quand les autres ne voyaient Internet que comme un nouveau marché à conquérir.
Je pense souvent à ce qu’il aurait pu accomplir s’il avait vécu. À bientôt 39 ans (le 8 novembre 2025), il serait probablement à la tête d’organisations luttant contre la surveillance de masse, pour la protection des données personnelles, pour un Internet décentralisé. Il aurait peut-être créé des alternatives libres aux GAFAM (Imaginez un Aaron Swartz travaillant sur le Fediverse ou sur des protocoles vraiment décentralisés), et il se serait battu pour que les bienfaits de l’IA profitent à tous, et pas juste aux actionnaires de quelques boîtes californiennes.
Mais même absent, Aaron continue d’inspirer. Chaque développeur qui publie son code en open source, chaque chercheur qui rend ses publications librement accessibles sur arXiv ou bioRxiv, chaque journaliste qui utilise SecureDrop pour protéger ses sources perpétue son héritage. Chaque fois que quelqu’un refuse de céder aux sirènes du verrouillage propriétaire et choisit la liberté, Aaron gagne un peu.
Parce que c’est ça, le vrai message d’Aaron Swartz : L’information libre n’est pas un luxe de geek, c’est un droit fondamental. Dans une société démocratique, l’accès au savoir ne peut pas dépendre de votre capacité à payer des abonnements. La connaissance appartient à l’humanité entière, pas aux éditeurs qui la verrouillent ou aux gouvernements qui la censurent.
Alors oui, Aaron Swartz était un révolutionnaire. Pas le genre qui pose des bombes ou qui renverse des gouvernements, mais le genre qui change le monde ligne de code après ligne de code. Le genre qui comprend que dans l’ère numérique, la liberté passe par la libre circulation de l’information.
Et comme tous les vrais révolutionnaires, il a fini martyr de sa cause.
Mais contrairement aux révolutionnaires d’antan dont on ne se souvient que dans les livres d’histoire, l’héritage d’Aaron est vivant et tangible et le 8 novembre, jour de son anniversaire, des hackatons sont organisés dans le monde entier pour l’Aaron Swartz Day. Des développeurs, des militants, des chercheurs se réunissent pour faire avancer des projets dans l’esprit d’Aaron, à savoir rendre l’information plus libre, plus accessible, plus démocratique.
Parce que finalement, c’est ça le plus grand hommage qu’on puisse rendre à Aaron Swartz : Continuer son combat en refuser les paywalls absurdes, en soutenant l’open source, en défendant la neutralité du net, en protégeant les lanceurs d’alerte, utiliser et en promouvant les licences Creative Commons.
Chaque fois qu’on choisit la liberté plutôt que la facilité, l’ouverture plutôt que le contrôle, l’information libre plutôt que le profit, on honore sa mémoire.
Bref, Aaron Swartz était le héros dont Internet avait besoin, mais pas celui qu’il méritait.
Les raccourcisseurs d’URLs, tout le monde connait et c’est pratique, sauf quand ça disparait au bout de quelques années. Mais, est ce que vous connaissez les allongeurs d’URLs ?
Non ? Normal, ça n’existe pas. Enfin, ça n’existait pas jusqu’à ce que Namit Jain en bon dev troll s’est dit que ce serait rigolo d’en faire un. Du coup, voici voilà URL LENGTHENER, un rallongeur de lien qui ajoute des mots à la con, des émojis, des citations philosophiques et tout un tas de bordel dans l’url pour lui donner plus de volume.
Oui, c’est débile et ça ne sert à rien, mais c’est fun. Vous pouvez même choisir le niveau de longueur entre “court” (mais c’est déjà super long), “long”, “absurde” ou biblique !
Alors évidemment, ce n’est pas un vrai allongeur d’URL. En fait, si vous regardez bien, vous pouvez remarquer un paramètre data= et derrière une chaine de caractères qui n’est ni plus ni moins que l’URL encodée en base64. Ici en l’occurence, aHR0cHMlM0ElMkYlMkZrb3JiZW4uaW5mbyUyRg%3D%3D c’est https://korben.info. Donc tout le reste c’est du remplissage, que vous pouvez même compléter à la main.
De quoi faire passer quelques messages subliminaux…
Elle est loin l’époque où on s’extasiait devant un gif animé de la Terre qui tournait. Mais non, rien de rien, je ne regrette rien car un développeur du nom de SoumyaEXE nous a pondu un système solaire complet avec 50 lunes et des ceintures d’astéroïdes, le tout qui tourne dans votre navigateur. Sans plugin. Sans téléchargement. Juste du JavaScript et sa magie.
En plus ce projet débarque pile au moment où de plus en plus de développeurs cherchent l’équilibre parfait entre la simplicité et la performance pour leurs applications web, et ce système solaire en est le parfait exemple. Les textures viennent directement de la NASA, les distances sont mises à l’échelle pour que votre cerveau puisse y comprendre quelque chose, et même votre vieux smartphone peut faire tourner le tout sans broncher ou presque.
J’ai passé plusieurs minutes à zoomer / dezoomer sur les lunes de Jupiter et les astéroides, et c’est assez hypnotisant. Pan, zoom, rotation… tout est fluide comme dans du Planta Fin ^^ et le dev a même pensé à ajouter des toggles pour afficher ou masquer les orbites, les labels, les ceintures d’astéroïdes. Bref, vous pouvez littéralement personnaliser votre exploration spatiale pour vous la jouer Thomas Pesquet en culottes courtes.
C’est fou surtout de voir comment Three.js a évolué. Sur les forums spécialisés, le développeurs explique que créer ce genre de simulation était sa motivation principale pour apprendre cette technologie, et je trouve ça bien comment façon de faire. Et quand on voit le résultat, je me dit que les limites du web sont vraiment repoussées chaque jour un peu plus.
Techniquement, le projet utilise également Vite pour le build, ce qui explique pourquoi tout est si rapide à charger. Les modèles 3D sont optimisés, les animations d’orbites sont calculées en temps réel, et pourtant, aucun ralentissement. C’est accessible, performant, et surtout open source.
D’ailleurs, parlant d’open source, tout le code est disponible sur GitHub. Donc vous pouvez le cloner, le modifier, ajouter d’autres objets si ça vous chante (Ou faire basculer Pluton du côté des planètes…^^), ou pourquoi pas le franciser. Et pour apprendre Three.js, c’est également un excellent point de départ.
Et si vous voulez une ambiance plus immersive, vous pouvez même ajouter de la musique d’Interstellar. Bon, ok, c’est un peu gadget, mais ça fait son petit effet.
Pour les développeurs qui lisent ça, sachez que le projet utilise les GLTFLoader et OrbitControls de Three.js, avec un système de caméra perspective bien pensé. L’éclairage combine ambient et directional lights pour donner ce rendu réaliste aux planètes. C’est du travail propre, bien commenté, et facilement extensible.
Donc si vous cherchez une excuse pour procrastiner intelligemment aujourd’hui, foncez tester cette merveille. Et qui sait, peut-être que ça vous donnera envie de vous lancer dans le développement web 3D.
Vous avez déjà tenté de brancher votre vieux NAS un dimanche matin, café à la main, en vous disant « deux minutes, je jette un œil aux logs » ? Résultat : 472 connexions SSH depuis le Kazakhstan en moins de trois heures, un mot de passe « admin2025 » qui traînait encore et un petit script russe en train de jouer à la roulette avec vos sauvegardes. Le pire ? Vous étiez encore en pyjama. Depuis, vous avez appris la leçon : les pirates ne font pas grasse mat’. Et comme ils bossent 24/7, votre protection non plus n’a pas le droit de roupiller. C’est là que Surfshark One entre en scène : pas une armure blindée façon entreprise, juste quatre potes qui montent la garde à tour de rôle, même quand vous ronflez.
Dans les lignes qui suivent, on va parler de la suite de sécurité de Surfshark comme si on causait autour d’un kebab à 2 h du mat : sans langue de bois, avec de vrais cas concrets et, surtout, avec la certitude que demain matin à 4 h 17, un bot quelque part tentera encore de se faufiler dans votre vie numérique.
On commence par l’élément que tout le monde connaît déjà : le VPN. Sauf que, chez Surfshark, il ne se contente pas de changer votre IP pour binge Netflix US. Il chiffre tout, tout le temps, et surtout sans nombre limite de connexions. Vous pouvez l’installer sur votre PC de boulot, votre téléphone, la tablette de votre ado, le Chromecast du salon et le vieux Linux qui sert de seedbox dans le garage. Résultat : même si un voisin mal intentionné sniff le Wi-Fi de l’immeuble, il récupère juste du charabia AES-256.
Le petit truc en plus vraiment cool, c’est le mode CleanWeb activé par défaut. Adios pubs YouTube, trackers Facebook et pop-ups de consentement cookies. Votre page charge plus vite, votre CPU respire, et vous économisez des Mo sur votre forfait 4G. Votre connexion se dope aux vitamines. Ensuite, y’a le multi-hop : vos données passent par deux serveurs VPN à la suite. C’est pas indispensable tous les jours, mais quand vous vous connectez depuis l’aéroport d’Istanbul et que vous ne voulez pas que Big Brother sache que vous aimez les vidéos de cuisine coréenne, c’est royal. Je passe en vitesse sur le mode camouflage (même votre FAI vous a perdu de vue), la possibilité de whitelister certains sites, etc.
La dernière nouveauté : Everlink
Toujours à la pointe le VPN requin vient d’annoncer Surfshark Everlink. Grâce à ce dernier, même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous faire attendre. Grâce à une infrastructure brevetée, Surfshark redirige automatiquement le tunnel vers un serveur sain ; vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Toujours en ligne, toujours invisible.
Contrairement au classique « kill switch » qui coupe la connexion quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux.
Disponible par défaut avec le protocole WireGuard sur tous vos appareils, sans surcoût, c’est la sécurité qui roule en pilote automatique.
Surfshark One intègre aussi le moteur antivirus signé Avira (l’un des plus reconnus du marché). Rien de révolutionnaire, mais il ne râle jamais. Pas de pop-up toutes les dix minutes pour vous dire que le fichier setup.exe de 1998 est dangereux. Il scanne en arrière-plan, signale rapidement si un téléchargement sent mauvais, et hop, au suivant. Vous pouvez même planifier un scan complet tous les dimanches à 8 h du matin, histoire de vérifier que votre PC n’a pas chopé un cheval de Troie pendant votre binge de The Office. Par contre, ne cherchez pas la quarantaine manuelle ou l’analyse heuristique poussée : c’est volontairement minimaliste. Si vous voulez un antivirus façon Fort Knox, il faudra une autre solution. Mais si vous voulez juste stopper les saloperies sans vous prendre la tête, Surfshark suffit.
L’outil a obtenu un score de 17,5/18 chez AV-Test, ce qui veut dire que si un malware tente de se faufiler, il finira quasi à coup sûr en quarantaine. Pas mal pour une solution qui coûte 0.6€ de plus par mois (par rapport au VPN seul).
Google, c’est pratique, mais il vous suit partout. Surfshark Search, c’est l’inverse : pas d’historique, pas de pubs, pas de profilage. Les résultats sont fournis par une API tierce, donc pas de bulle de filtres. Vous tapez « meilleur VPN 2025 », vous tombez sur des comparatifs, pas sur des pubs déguisées. Ainsi, vous évitez les suggestions personnalisées qui vous font croire que tout le monde pense comme vous. C’est reposant, et ça évite les échos algorithmiques.
Vous souvenez-vous de la fois où votre mot de passe Pizza2023! est apparu sur Pastebin ? Non ? Surfshark Alert, lui, oui. Dès qu’une adresse mail ou un numéro de carte bancaire fuite dans une base de données, vous recevez une notif. Pas une alerte anxiogène façon « PANIQUEZ-VOUS », juste un petit message : « Ton mail est dans la nature, change le mdp ». Ensuite, il vous suffit de cliquer sur le lien fourni, vous changez le mot de passe, et vous archivez l’alerte. Votre pote insomniaque qui scrute le dark web pour vous et vous réveille en cas de pépin continuera à bosser. Pour aller plus loin, vous pouvez surveiller plusieurs adresses mails, vos cartes bancaires, et même votre numéro de sécu (US, Lituanie, Bulgarie uniquement pour l’instant). C’est gratuit avec l’abo, donc autant en profiter.
Alternative ID c’est la fonction bonus que personne n’attendait, mais que tout le monde finit par adorer. Surfshark génère une identité complète : nom, prénom, adresse, date de naissance, et mail. Vous pouvez même choisir le pays (US, Allemagne, Australie, etc.). C’est pratique pour s’inscrire sur un site douteux sans balancer votre vraie vie. Pourtant, ne vous faites pas d’illusion : c’est un alias, pas une carte d’identité officielle. Ça suffit pour éviter le spam, pas pour ouvrir un compte bancaire offshore.
Le prix, la facilité, la conclusion
Ajouter Surfshark One à votre abonnement VPN coûte 60 centimes. Pas 6€ … 60 centimes … par mois (2.38€/mois le VPN seul, 2.98€ pour la suite One en complément). Pour ce prix, vous obtenez un antivirus, un chasseur de leak, un moteur de recherche privé et un générateur d’alias. C’est moins cher que de passer de la petite à la grande frite sur votre menu kebab, pour avoir une équipe de sécurité 24/7.
En résumé, si vous cherchez une solution plug-and-play pour dormir sur vos deux oreilles (et vos deux yeux), Surfshark One fait le job. Pas de console d’admin complexe, pas de lignes de commande à taper à 3 h 14. Juste quatre services qui montent la garde pendant que vous rêvez de moi code et de conquête du monde. Donc, la prochaine fois qu’un bot tentera de se faufiler dans votre vie numérique à l’aube, vous serez déjà protégé. Et lui, il repartira bredouille.
Un commit qui change tout dans le petit monde de FFmpeg vient d’atterrir sur leur Git : L’intégration native de Whisper. Mais siii, vous savez, cette IA de reconnaissance vocale open source d’OpenAI. Eh bien maintenant, elle débarque directement dans votre outil de traitement vidéo favori.
Alors, ça veut dire quoi en français ? Et bien plus besoin de jongler entre plusieurs outils pour transcrire une vidéo. Terminé le bon vieux temps où il fallait extraire l’audio, le balancer dans un script Python avec Whisper, récupérer la transcription, la formater en SRT, puis la réinjecter dans FFmpeg.
Maintenant, tout se fait d’un coup avec une seule ligne de commande.
Le commit responsable de cette petite révolution, c’est celui de Vittorio Palmisano, daté du 17 juillet dernier et intégré par Michael Niedermayer le 8 août. Ce développeur a créé en fait un filtre audio qui s’appuie sur whisper.cpp, la version optimisée de Whisper qui tourne comme une bombe sur CPU et GPU.
Ce qui est particulièrement malin dans cette intégration, c’est le paramètre “queue” qui vous permet de doser entre rapidité et qualité. Avec une valeur de 3 secondes par défaut, vous avez une transcription qui se met à jour fréquemment mais avec une précision correcte. Si vous poussez à 10-20 secondes, la qualité monte d’un cran mais vous sacrifiez la réactivité. Un compromis classique, mais au moins vous avez le choix.
Pour les gros volumes, il y a même le support GPU pour décharger le boulot de transcription sur votre carte graphique. Et si vous voulez être encore plus précis, vous pouvez activer la VAD (Voice Activity Detection) qui va découper intelligemment votre audio selon les pauses dans la parole.
Le filtre peut sortir directement en format SRT pour vos sous-titres, mais aussi en JSON si vous voulez envoyer le résultat vers un service web, ce qui est super pratique pour intégrer ça dans une chaîne de traitement automatisée.
Cette intégration marque un tournant pour FFmpeg qui sort de son rôle traditionnel de couteau suisse multimédia pour embrasser l’IA qui visiblement devient suffisamment mature pour être intégrée nativement dans nos outils de base.
Maintenant, pour compiler FFmpeg avec ce nouveau super pouvoir, il faut ajouter l’option --enable-whisper à la configuration et s’assurer que whisper.cpp est installé sur votre système. Normalement, rien de bien sorcier si vous avez l’habitude de compiler des trucs mais moi j’en ai chié comme pas possible.
Simple, efficace, et ça fonctionne aussi bien sur des fichiers pré-enregistrés que sur des flux audio en direct. La transcription automatique est maintenant accessible à tous ceux qui maîtrisent FFmpeg.
J’ai pris 15 secondes d’une vidéo à moi, et j’ai fait tourner le modèle Large V3 de Whisper au travers de FFmpeg et ensuite, j’ai incrusté (toujours avec FFmpeg) les sous-titres dans la vidéo. Voici ce que ça donne (extrait de 15 sec) :
Si vous ne savez pas compiler ce truc, pas de soucis, puisque cette nouveauté sera disponible dans FFmpeg 8.0 qui devrait sortir dans les prochaines semaines.
Alors vous voyez déjà quels usages vous pourriez en faire ?
Cette recommandation révèle surtout une incompréhension totale de ce qui se passe réellement dans les datacenters. Parce que derrière ces conseils se cache une confusion énorme sur ce qu’on appelle la “consommation” d’eau des centres de données. Allez, je vous spoile tout de suite : Vos emails et vos photos ne consomment pratiquement rien une fois stockés.
Le vrai problème, c’est qu’on mélange tout. Car quand on parle de consommation d’eau des datacenters, on fait l’amalgame entre l’eau qui disparaît réellement et celle qui est simplement réchauffée puis rejetée (+5° à +10°). Selon les discussions techniques que j’ai pu lire sur LaFibre.info, la nuance est pourtant capitale !
Prenons Microsoft aux Pays-Bas. Ils ont consommé 84 millions de litres d’eau en 2021, soit 4 à 7 fois plus que prévu. C’est un chiffre impressionnant, mais qu’est-ce qui se passe concrètement avec cette eau ?
Et bien, Jamy, dans un système de refroidissement classique par évaporation, l’eau est littéralement “perdue”. C’est à dire qu’elle s’évapore dans l’atmosphère comme les jours fériés en France. Mais avec le refroidissement adiabatique, utilisé par Microsoft pour ses data centers, seule une petite partie s’évapore. L’essentiel de l’eau traverse le système, se réchauffe de quelques degrés, puis est rejetée. Elle n’est donc pas “consommée” au sens strict, mais juste réchauffée.
Le problème devient plus complexe avec le traitement de l’eau car pour éviter le calcaire et les bactéries, les datacenters utilisent des systèmes d’osmose inverse. Et là, aïe aïe aïe, c’est du gaspillage pur car pour 1 litre d’eau purifiée, il y aurait 2 ou 3 litres qui partent dans les égouts avec des tas d’impuretés concentrées. Sans oublier les produits chimiques pour la désinfection.
Mais contrairement aux chasseurs 🍷, il y a des bons et des mauvais datacenters. Les bons datacenters sont à 1.1L/kWh, les mauvais à 1.8L/kWh ou plus… Cela dépend simplement des technologies de refroidissement qu’ils utilisent. Un datacenter moyen, pour vous situer, c’est quasiment la même consommation d’eau qu’un terrain de golf.
Il y a par exemple, le refroidissement par immersion qui consiste à plonger les serveurs dans un bain d’huile diélectrique, comme ça pas d’évaporation, mais juste de la circulation d’huile. Peu de datacenters utilisent cette technologie car c’est assez coûteux et complexe à mettre en place. Et il existe aussi le refroidissement liquide direct qui amène l’eau au plus près des processeurs via des plaques froides. C’est plus efficace, et y’a moins de gaspillage.
Certains datacenters utilisent même l’eau de mer ou des eaux usées recyclées. D’autres récupèrent la chaleur pour chauffer des bâtiments. Bref, l’eau n’est alors plus “perdue” mais valorisée.
Et puis, il y a le free cooling utilisé quand l’air extérieur est assez froid, ce qui permet d’éviter complètement l’utilisation d’eau. Intel annonce même que ses processeurs post-2025 ne seront plus compatibles avec le refroidissement à air classique (les clims), donc ça va dans le bon sens.
OVH quant à eux sont en refroidissement liquide direct avec un système en boucle fermée et ils récupèrent aussi la chaleur. Chez O2Switch, c’est free cooling, c’est à dire l’utilisation du froid extérieur pour refroidir leurs infrastructures (L’Auvergne baby !) et ils ventilent et régulent au plus juste la température de leurs salles. Chez Infomaniak, pas de clim mais du free cooling, donc très peu d’eau consommée également.
Chez Microsoft, c’est du refroidissement adiabatique mais depuis 2024, ils sont dans certains datacenters en boucle fermée avec zéro évaporation. Quant à AWS, ce sont les vilains petits canards puisqu’en gros, quand il fait froid, ils ouvrent les fenêtres et quand il fait chaud, ils font tourner des clims à évaporation… Mais visiblement, ils recyclent l’eau et se sont donnés jusqu’à 2030 pour être “water positive”, c’est à dire rendre plus d’eau qu’il n’en consomme. C’est pas magique, c’est de la compensation financière dans des projets de rechargement de nappes phréatiques ou de purification d’eau polluée.
Au global, même si tous ces acteurs mettent le paquet sur la préservation de l’eau, Google, notamment sur ses sites en Iowa et Oregon est le plus gourmand et sa consommation d’eau pèse lourd sur les ressources locales. ET ensuite, c’est Amazon et Microsoft surtout dans les zones arides des États-Unis où ils sont implantés (Virginie, Arizona…etc)
Alors, faut-il supprimer ses emails ? Franchement, sur cet usage précis, l’impact est microscopique, surtout qu’en allant supprimer ces données inertes qui ne consomme rien en énergie, vous allez re-consommer de l’eau… C’est couillon. Je ne serai pas surpris si supprimer 20 000 emails consomme plus d’eau qu’une seule requête ChatGPT ?
La solution n’est donc pas dans la suppression de vos emails, mais dans le choix des technologies. Immersion cooling, récupération de chaleur, utilisation d’eaux non potables, free cooling… Les alternatives existent. Il faut juste arrêter de faire de la com’ facile sur le dos des utilisateurs.
Imaginez un instant que soyez contrebandier de puces électroniques… Vous venez de recevoir un serveur Dell flambant neuf bourré de puces Nvidia H100 que vous comptez évidemment revendre à prix d’or sur le marché chinois.
Alors vous ouvrez le carton, pour inspecter minutieusement chaque recoin du paquet et là, Ô surprise, vous trouvez un petit boîtier de la taille d’un smartphone bien caché dans l’emballage. Félicitations !! Vous venez de vous faire griller par l’Oncle Sam !
Cette histoire n’est pas tirée d’un film d’espionnage de mon cerveau torturé mais bien de la réalité car selon Reuters, les autorités américaines ont placé secrètement des trackers GPS dans certaines livraisons de puces IA qu’elles considèrent à haut risque de détournement vers la Chine.
Et apparemment, ça fonctionne plutôt bien puisque deux ressortissants chinois ont été arrêtés début août pour avoir tenté d’exporter illégalement pour des dizaines de millions de dollars de puces Nvidia vers l’Empire du Milieu.
Et le niveau de sophistication de l’opération est top, car les trackers ne sont pas juste collés sur les cartons. Dans un cas documenté datant de 2024, les autorités ont carrément placé plusieurs types de dispositifs. A la fois des gros trackers visibles sur les boîtes d’expédition pour le suivi basique, et des plus petits, bien planqués dans l’emballage voire directement dans les serveurs eux-mêmes. C’est malin !!
Mais ces contrebandiers ne sont pas dupes non plus. On peut lire par exemple dans les documents judiciaires, que l’un des accusés avait prévenu son complice : “Fais attention de bien chercher s’il y a un tracker dessus, tu dois regarder attentivement”. Ces types passent leur temps à démonter des serveurs Dell et Super Micro pour vérifier qu’il n’y a pas de mouchard caché quelque part… Bref, ce sont devenu des champions au jeu du chat et de la souris avec les autorités.
Bien sûr cette pratique n’est pas nouvelle du tout. Les États-Unis utilisent des trackers pour surveiller les exportations sensibles depuis des décennies. En 1985 déjà, Hughes Aircraft avait vu ses équipements interceptés par les douanes américaines qui y avaient installé un dispositif de localisation. Sauf qu’à l’époque, on parlait de pièces d’avion, pas de puces IA capables de faire tourner des LLM.
Et l’ampleur de ce trafic est vertigineuse. Malgré les restrictions imposées depuis 2022, au moins 1 milliard de dollars de puces Nvidia auraient été introduites illégalement en Chine rien qu’au cours des trois derniers mois. Les contrebandiers passent par la Malaisie, Singapour ou les Émirats arabes unis pour brouiller les pistes. C’est un vrai business qui rapporte gros quand on sait qu’une seule puce H100 peut se négocier plusieurs dizaines de milliers de dollars au marché noir.
Et pendant ce temps, la tension monte entre Pékin et les fabricants de puces. Le 31 juillet dernier, l’administration chinoise du cyberespace a convoqué Nvidia pour lui demander des explications sur les risques de “backdoors” dans ses puces H20. Les Chinois craignaient que les Américains puissent désactiver à distance leurs précieux processeurs ou les utiliser pour les espionner. Nvidia a bien sûr démenti catégoriquement (What else !?), expliquant que mettre des backdoors dans des puces serait un cadeau fait aux hackers et aux acteurs hostiles et que ça mettrait à risque l’infrastructure numérique mondiale.
Au milieu de ce bras de fer géopolitique, les entreprises comme Dell et Super Micro se retrouvent donc coincées. Dell affirme ne pas être au courant de cette initiative gouvernementale de tracking, tandis que Super Micro refuse de commenter ses “pratiques et politiques de sécurité”. Nvidia et AMD, eux, préfèrent ne pas répondre du tout. On les comprend, c’est un sujet sensible…
Cette histoire de trackers dans les puces révèle surtout l’absurdité de la situation actuelle car d’un côté, les États-Unis tentent désespérément d’empêcher la Chine d’accéder aux technologies d’IA les plus avancées. Et de l’autre, la demande chinoise est tellement forte que des réseaux entiers de contrebande se sont organisés pour contourner l’embargo.
Le pire c’est que les autorités américaines envisagent maintenant d’obliger les fabricants à intégrer directement des systèmes de localisation DANS leurs puces. Oui, oui… Vous vous doutez, c’est une proposition qui fait bondir l’industrie, car elle créerait une vulnérabilité permanente dans le hardware. Comme l’a dit David Reber, le responsable sécurité de Nvidia, intégrer un kill switch dans une puce, serait “une invitation ouverte au désastre”, et je suis assez d’accord avec lui.
Connexion
