Vous avez déjà eu besoin d’éditer rapidement un fichier audio mais vous n’aviez pas Audacity sous la main ? Ou vous êtes sur un ordinateur où vous ne pouvez pas installer de logiciel ? Alors Wavacity va vous sauver la mise ! (Oui, je sais que vous avez lu Wawacity… lol. Et vous allez voir, ce sera comme ça jusqu’à la fin de cet article… ^^)
Wavacity est tout simplement un portage web d’Audacity qui tourne directement dans votre navigateur. Pas d’install, pas de téléchargement, vous ouvrez le site et vous éditez votre audio, et c’est tout !
Pour vous proposer cette merveille, les développeurs ont porté Audacity en WebAssembly, une technologie qui permet de faire tourner du code natif dans le navigateur. Du coup, ça permet de retrouver l’interface familière d’Audacity avec ses outils de découpage, de collage, d’effets et tout le toutim, mais dans un onglet de navigateur.
Il vous faudra évidemment un navigateur moderne qui supporte cette technologie. Chrome et Firefox sur desktop feront parfaitement l’affaire… Par contre, Safari c’est moins sûr selon les développeurs.
L’interface ressemble trait pour trait à Audacity, ce qui est rassurant si vous connaissez déjà le logiciel. Vous pouvez importer vos fichiers audio, les découper, appliquer des effets, réduire le bruit, faire du multi-pistes… Bref, tout ce qu’on attend d’un éditeur audio digne de ce nom.
Après y’a quand même quelques limitations par rapport à la version desktop d’Audacity. Vous ne pourrez pas par exemple installer des plugins VST ou d’autres extensions externes, ce qui me semble assez logique. Mais pour de l’édition de base et même avancée, ça fait largement le boulot.
Bref, c’est top quand un pote vous demande de lui couper un extrait audio et que vous n’avez pas envie de télécharger et installer Audacity juste pour ça. Ou quand vous êtes sur un ordi public, ou en déplacement, ou dans un environnement où vous n’avez pas de droits administrateur pour installer des outils.
Wavacity rejoint ainsi la famille grandissante des éditeurs audio web comme AudioMass que j’avais déjà testé. Chacun a ses avantages et ses inconvénients, donc à vous de voir lequel vous préférez. Moi perso, je suis plus Ableton Live, même si c’est pas sur le web. Les habitudes, que voulez-vous…
Le projet est open source sous licence GNU GPL v2, comme Audacity, et disponible sur GitHub. Les développeurs précisent bien qu’ils ne sont ni affiliés ni soutenus par l’équipe d’Audacity. C’est un projet indépendant.
Pour un outil de dépannage ou pour des éditions rapides, c’est exactement ce qu’il nous fallait. Et qui sait, les outils portables accessibles en ligne dans le navigateur, c’est peut-être l’avenir ?
Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !
La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.
Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.
Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.
C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.
Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !
Ce que j’apprécie le plus dans tout ce qui est recherches en physique quantique, ce n’est pas la physique complexe ou les qubits intriqués. Non, c’est la créativité déployée par les chercheurs pour faire croire que leurs machines peuvent factoriser n’importe quoi, alors qu’en réalité, elles peinent à traiter des nombres plus complexes que 35.
Les chercheurs Peter Gutmann et Stephan Neuhaus viennent en effet de balancer un pavé dans la mare avec leur papier qui démontre méthodiquement comment toute la communauté quantique “cuisine les chiffres” depuis des années. Et leur conclusion est sans appel : On ne peut faire confiance à aucun des benchmarks de factorisation quantique publiés à ce jour.
La technique la plus répandue consiste à électionner des “nombres pièges” délibérément conçus pour être factorisés facilement. C’est la même chose qu’un magicien qui prétend deviner votre carte alors qu’il a truqué tout le jeu.
Les chercheurs choisissent des nombres dont la structure mathématique garantit une factorisation triviale, comme ça, au lieu d’utiliser des nombres aléatoirement générés comme dans la vraie cryptographie, ils fabriquent des valeurs où les facteurs premiers ne diffèrent que de quelques bits. Du coup, il suffit d’une recherche basique pour trouver la solution, sans avoir besoin d’un ordinateur quantique. Un VIC-20, un abaque (c’est un boulier) ou même un chien bien dressé y arriveraient selon les auteurs.
Et quand leurs nombres ne sont pas suffisamment faciles, ils utilisent du préprocessing massif sur ordinateur classique pour faire la majeure partie du boulot avant même que la machine quantique entre en jeu. On dirait certains d’entre vous qui postent sur Instagram leur dernier marathon alors qu’ils l’ont juste rejoint au kilomètre 41…
Bruce Schneier, qui a relayé cette recherche, enfonce également le clou avec sa métaphore habituelle du “Les défis techniques pour construire un ordinateur quantique utile, c’est dur. Mais est-ce que c’est dur comme “poser un homme sur la Lune” ou dur comme “poser un homme sur le Soleil” ? Les deux sont difficiles, mais pas du tout dans la même catégorie de faisabilité”.
Cette manipulation généralisée révèle un problème plus profond dans l’écosystème de la recherche quantique, car quand la pression pour publier rencontre des milliards d’investissements en jeu, la tentation devient énorme de présenter des résultats flatteurs plutôt que honnêtes. Surtout que les chercheurs savent pertinemment qu’aucun reviewer ne va vérifier la vraie complexité des nombres utilisés.
L’ironie, c’est que ces manipulations sont devenues tellement systématiques qu’elles constituent désormais la norme plutôt que l’exception. Personne n’a jamais factorisé un nombre qui n’était pas soit soigneusement préparé, soit largement préprocessé par un ordinateur classique. C’est de l’illusionnisme scientifique !
Donc peut-être qu’avant de promettre de casser tous les chiffrements actuels, les chercheurs en quantiques devraient déjà prouver qu’ils peuvent factoriser proprement un nombre à trois chiffres choisi au hasard…
L’autre jour, en fouillant dans les recoins du web, je suis tombé sur un site tout simple, ldial.org, qui cache derrière son interface minimaliste une démarche de curation absolument remarquable.
Adam Scott qui a créé ce site a décidé de recenser et de rendre accessible toutes les radios communautaires et indépendantes des États-Unis. Attention, je ne vous parle pas grosses stations commerciales qu’on entend partout, non, non. Je vous parle des vraies radios de quartier, celles qui diffusent depuis un garage transformé ou le sous-sol d’une université, celles qui passent de la musique que vous n’entendrez nulle part ailleurs.
Le créateur de ldial.org a donc transformé ce qui pourrait être une simple liste en véritable écosystème où chaque station est soigneusement sélectionnée, testée, vérifiée. Ce site est un genre de carte sonore des États-Unis, loin des radars des médias mainstream. C’est un site vivant qui contrairement aux annuaires statiques, évolue constamment. Adam, le curateur qui se cache derrière ce site continue d’apprendre, de découvrir de nouvelles stations, d’ajuster sa sélection.
C’est donc une exploration perpétuelle de la diversité radiophonique américaine qui offre un streaming 24/7, au travers une interface épurée et un accès direct aux flux. Pas d’inscription, pas de pub, pas de complications. Juste vous et des centaines d’heures de programmation authentique, depuis des stations qui diffusent parfois pour quelques centaines d’auditeurs locaux.
Et ce sont uniquement des pépites !!! Des stations universitaires qui programment de l’ambient expérimental à 3h du matin, des radios communautaires hispaniques qui mélangent cumbia et electronic, des collectifs autochtones qui préservent leurs langues ancestrales sur les ondes.
Chaque clic sur ldial.org vous transportera dans une bulle sonore différente. Une station de Nouvelle-Orléans vous fera découvrir du jazz local méconnu, une radio du Montana vous plongera dans la country indépendante, une station californienne vous embarquera dans l’underground hip-hop chicano. C’est un voyage musical à travers l’Amérique alternative.
Ce projet révèle aussi quelque chose de plus profond sur la résistance culturelle car ces radios communautaires maintiennent des espaces d’expression libre dans un paysage médiatique de plus en plus standardisé. Elles préservent des niches musicales, donnent la parole aux minorités, expérimentent sans contraintes commerciales, et je trouve ça hyper inspirant, car ce sont des préceptes qu’on peut appliquer également au web. Qu’il faut appliquer au web !
Hier soir, j’ai découvert un outil qui m’aurait évité des dizaines de commits “fix CI”, “fix CI again”, “please work this time” sur GitHub. J’sais pas si vous aussi vous connaissez cette galère ? Vous modifiez votre workflow GitHub Actions, vous poussez, ça plante, vous corrigez, vous repoussez, ça replante… Bref, votre historique Git ressemble à un journal de débugging en temps réel.
Et heureusement, wrkflw vient mettre fin à ce cauchemar.
Ce petit outil codé en Rust vous permet en fait de valider et d’exécuter vos GitHub Actions directement sur votre machine, sans avoir besoin de pusher quoi que ce soit. L’outil vient d’être annoncé sur le forum Rust et ça va bien aider tout le monde je pense.
Grâce à lui, au lieu de tester vos workflows dans le cloud GitHub (et potentiellement faire planter votre CI/CD devant toute l’équipe… La te-hon…), vous les exécutez localement. Wrkflw parse alors votre fichier YAML, résout les dépendances entre jobs, et lance tout ça soit dans Docker/Podman pour matcher l’environnement GitHub, soit en mode émulation si vous n’avez pas de runtime container sous la main.
Ce qui rend wrkflw vraiment pratique, c’est son interface TUI (Terminal User Interface) qui vous permet de visualiser l’exécution en temps réel. Un simple wrkflw tui et vous avez un dashboard interactif où vous pouvez suivre vos jobs, voir les logs, et comprendre ce qui foire sans avoir à jongler entre 15 onglets GitHub.
L’installation se fait en deux secondes si vous avez Rust :
cargo install wrkflw
Le package est aussi dispo sur crates.io et une fois installé, vous pouvez valider un workflow avec la commande :
wrkflw validate .github/workflows/rust.yml
ou le lancer directement avec
wrkflw run .github/workflows/ci.yml
L’outil détectera automatiquement tous vos workflows et les chargera dans l’interface.
Ce qui est fort avec wrkflow, c’est surtout le support quasi-complet des fonctionnalités de GitHub Actions. Les Matrix builds ? Ça passe ! Les Container actions ? Bah ouais, pas de problème ! Tout ce qui est JavaScript actions ? Check ! Même chose pour les Composite actions et les workflows réutilisables et même les fichiers d’environnement GitHub sont supportés. Bon, il y a quelques limitations évidemment. Vous ne pouvez pas par exemple mettre de secrets GitHub (ce qui est logique), et y’a pas de support Windows/macOS runners, ni pas d’upload/download d’artifacts. Mais pour 90% des cas d’usage, c’est largement suffisant.
Wrkflw s’inscrit dans une tendance plus large d’outils qui cherchent à remplacer Make et ses Makefiles cryptiques. Je pense par exemple à Task (Taskfile) qui est un autre exemple populaire, écrit en Go avec une syntaxe YAML plus moderne ou encore à Act, un autre outil open source qui fait à peu près pareil. Les développeurs cherchent clairement des alternatives plus lisibles et maintenables et wrkflw va encore plus loin en se spécialisant sur GitHub Actions.
Le mode Docker/Podman de wrkflw permet par exemple de créer des containers qui matchent au plus près l’environnement des runners GitHub. Et si jamais vous interrompez l’exécution avec Ctrl+C, pas de panique, puisque l’outil nettoie automatiquement tous les containers créés. Comme ça, y’aura plus de containers zombies qui traînent après vos tests.
Et pour tous ceux qui bossent en mode émulation sécurisée (sans Docker), wrkflw exécute les actions dans un environnement sandboxé. C’est moins fidèle à l’environnement GitHub mais au moins ça permet de tester rapidement sans avoir besoin d’installer Docker. Pratique sur des machines de dev légères ou des environnements restrictifs.
Le workflow de test devient donc le suivant : 1/ Vous modifiez votre YAML. 2/ Vous lancez wrkflw run . 3/ Vus voyez immédiatement si ça marche. 4/ Vous corrigez si besoin. 5/ Et c’est seulement ensuite que vous poussez sur GitHub. Plus de commits de debug, plus de CI cassée, plus de collègues qui râlent parce que la pipeline est tout rouge ^^.
L’outil est encore jeune bien sûr mais déjà très prometteur. Les prochaines versions devraient ajouter le support des secrets locaux, une meilleure intégration avec GitLab CI, et peut-être même le support des runners Windows/macOS.
Bref, si vous gérez des workflows GitHub Actions complexes, wrkflw va rapidement devenir indispensable à votre life.
Ça a échappé à pas mal de monde, mais en sortant Firefox 142, Mozilla vient de réussir un coup de maître en matière d’architecture logicielle. Car pendant que tous les autres navigateurs se ruent sur l’IA dans le cloud, l’équipe Mozilla a pris le pari inverse. Ils ont développé un système qui fait tourner des modèles de langage directement sur votre machine via l’API wllama et transformer.js.
Concrètement, cela veut dire que vos extensions Firefox peuvent maintenant utiliser des LLM locaux sans jamais envoyer vos données sur des serveurs externes.
Et cette approche sans concession de Mozilla a l’avantage de résoudre un problème que personne n’avait anticipé : la latence des aperçus de liens. Vous faites un clic long sur un lien (ou vous maintenez la touche MAJ enfoncée en passant votre souris), et bam !
Firefox vous montre non seulement un aperçu visuel de la page, mais peut aussi générer des points clés grâce à l’IA… Et tout ça sans jamais quitter votre navigateur et à la vitesse de l’éclair. Cette fonctionnalité nécessite plus de 3 Go de RAM libre, mais quand je vois le résultat, je pense que ça les vaut.
Pour les groupes d’onglets, Mozilla a également introduit une fonction géniale qui permet de garder un onglet actif visible même quand le groupe est réduit. Ça paraît anecdotique, mais techniquement, c’est un casse-tête d’interface utilisateur qu’ils ont résolu avec élégance. L’onglet que vous consultez au moment de réduire le groupe reste affiché.
Côté sécurité, ils ont aussi implémenté CRLite, un système qui stocke localement toutes les révocations de certificats comme ça, au lieu de vérifier en ligne si un certificat est valide (ce qui prend du temps et expose vos habitudes de navigation), Firefox maintient une base locale de 300 Ko qui se met à jour quotidiennement. Du coup, plus de délais, plus de fuites de données vers des tiers, et une sécurité renforcée.
Les États-Unis bénéficient également d’une nouveauté sympathique. Il s’agit des recommandations d’articles sur la page Nouvel onglet qui sont maintenant organisées par thèmes (Sport, Cuisine, Divertissement). Vous pouvez donc suivre les sujets qui vous intéressent et bannir ceux qui vous agacent. Simple, pratique mais ça ne vaut pas cette extension !
Mozilla a également renforcé la protection contre le pistage avec un système d’exceptions plus flexible. Le mode ETP-Strict peut maintenant faire des exceptions granulaires, c’est à dire les fonctionnalités de base d’un côté, et les fonctions de confort de l’autre. Vous gardez ainsi la protection essentielle tout en déboquant les fonctionnalités qui vous importent.
Au final, cette version révèle une stratégie Mozilla particulièrement cohérente… De l’IA locale pour préserver la vie privée, des fonctionnalités de productivité pensées pour un usage réel, et une sécurité renforcée sans compromis sur les performances. Et bien sûr, tout ceci reste activable / désactivable selon vos besoins. En tout cas, ces choix techniques nous donnent un aperçu fascinant de ce que Mozilla prépare pour l’avenir du web.
L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.
C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.
L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.
A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.
Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.
Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.
L’écusson de l’Unité 8200
Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.
Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).
Base d’écoute d’Urim
Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.
Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.
Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.
L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).
Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.
Les automates S7-300
Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.
Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.
Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).
Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies
Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.
La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.
Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.
Le bâtiment Check Point à Tel-Aviv
Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.
Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.
Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.
Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.
Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.
Regarder Star Wars en version Despecialized ou le premier Jurassic Park sur un écran géant dans mon salon, c’est un peu retrouver son âme d’enfant. Et c’est exactement ce que j’ai fait ces dernières semaines avec le XGIMI Aura 2 que j’ai reçu en test.
Le truc qui m’a le plus impressionné avec ce projecteur ultra courte focale (UST - Ultra Short Throw), c’est qu’il suffit de le poser à environ 17 / 18 cm du mur pour obtenir une image de 100 pouces (2,54 m de diagonale). Plus besoin de câbles qui traînent partout, plus de projo pendu au plafond qui fait peur aux invités… Ça me change de mon ancien. Là, on le pose sur le meuble TV, et basta. (Bon, j’avoue, j’ai pas encore acheté le meuble TV…).
Un petit détail dont on parle rarement quand même avec ce genre de projo, c’est que comme la lumière arrive de façon rasante, la texture du mur se voit et ça donne un petit grain. Je fixais dessus au début, puis on s’y fait. Donc si vous êtes perfectionnistes, une toile ALR spéciale UST (type Fresnel) ou une peinture très lisse règle ce “problème” et améliorera aussi le contraste en lumière ambiante.
Côté image, le Aura 2 exploite la techno Dual Light 2.0 (hybride LED + laser) pour sortir 2300 lumens ISO et ainsi couvrir 99 % du DCI-P3. En clair, ça donne des couleurs bien pétantes et suffisamment de pêche pour regarder en journée (rideaux tirés, c’est mieux quand même). La puce 0,47” DMD affiche l’image 4K via wobulation, ce qui n’est pas du vrai 4K natif, mais honnêtement, à l’usage, on ne voit pas la différence. Et la plage de taille conseillée par XGIMI s’étends de 90 à 150”, le mieux étant 100/120”.
Autre bonne surprise dans ce projo, c’est la prise en charge de Dolby Vision, HDR10, HLG et mode IMAX Enhanced, comme ça le contraste dynamique annoncé grimpe à 1 000 000:1. Maintenant, dans la vraie vie, on n’atteint pas les noirs d’une OLED, mais pour un UST, ça fait le job.
Dessus, c’est Android TV 11.0 (pas Google TV). J’ai trouvé l’interface plutôt fluide**, par contre, pas de Netflix natif** (question de certification) alors il faudra passer par un boîtier externe (Apple TV, Chromecast/Google TV, Fire TV…) ou bidouiller. Disney+ est dispo selon les régions et versions, mais pour avoir toutes les plateformes, le plus simple reste comme je vous le disais d’y adjoindre un petit streamer HDMI.
Un gros point fort de ce projo c’est une barre Harman Kardon 60 W intégrée (4 x 15 W) avec Dolby Atmos, DTS-HD et DTS Virtual:X. Pour Netflix & chill (ou L’Amour est dans le pré), c’est largement suffisant. Après si vous voulez aller plus loin, il y a une sortie HDMI eARC pour brancher un ampli ou une barre externe.
Notez que la barre blanche que vous voyez devant le projo, c’est ma barre de son, et elle n’est pas livrée avec…
En mode Jeu, j’ai une latence autour de 20 ms, ce qui est très bon pour un projecteur. Mon astuce, c’est de désactivez l’auto keystone pour profiter du plus faible input lag. Pas de VRR ni 120 Hz en 4K, donc on reste sur du 60 Hz pour les consoles. Je me suis fait quelques parties de Mario Kart sur la Switch 2, là dessus, c’était quand même pas mal.
Niveau connectique, on peut y mettre 3 x HDMI (dont 1 eARC), 3 x USB, Ethernet, optique, jack 3,5 mm. Y’a également du Wi-Fi 6, Bluetooth 5.2, Chromecast intégré, 3D (Frame Packing & Side-by-Side). Le tout avec un capot motorisé qui protège l’optique, un Art Mode pour afficher des œuvres quand on n’utilise pas le projo, et l’ISA 5.0 (autofocus, auto-keystone continu, correction de planéité du mur, adaptation à la couleur du mur, alignement auto avec l’écran, etc.).
Bien sûr, ce n’est pas “portable” puisque ce projecteur mesue 51 cm de large, 27 cm de profondeur, 14,4 cm de haut pour environ 9 kg. Et le bruit mesuré est ≤ 32 dB à 1 m (c’est donc discret par rapport à mon vieux BenQ qui soufflait plus qu’une documentaliste de collège). Et pour la conso, on est autour de 180 W en usage.
Maintenant, le tarif officiel en Europe est de 2 899 €. C’est cher mais face à lui y’a le Hisense PX3-Pro (tri-laser, Dolby Vision, Google TV avec Netflix) qu’on voit souvent entre 2 499–2 999 €, le Samsung The Premiere 9 (tri-laser) autour de 5 999 €, et le Formovie Theater Premium (Google TV + Netflix natif, DV, ALPD RGB+) annoncé à 2 999 €.
Niveau recul donc, le XGIMI est très bien placé avec un ratio 0,177:1 (100” à 17,8 cm), ce qui est plus court que pas mal de concurrents. Bref, j’ai bien aimé l’installation ultra simple, et surtout la qualité d’image et le son 60 W très propre. Le fait aussi que ça se coupe quand on approche sa grosse tête au dessus, c’est une excellente sécurité pour ne pas se prendre un coup de laser dans l’œil.
Par contre, dommage pour Netflix et j’ai trouvé aussi que la télécommande n’était pas hyper lisible dans le noir, ce qui peut être vite relou.
Bref, après plusieurs semaines d’utilisation, je suis conquis par ce XGIMI Aura 2. Donc si vous avez le budget et que vous voulez un UST plug-and-play qui envoie une vraie image de cinéma sans transformer le salon en salle machine avec des câbles partout, foncez.
Vous vous souvenez de cette époque où partir en voyage signifiait acheter une carte SIM locale dans une boutique douteuse à l’aéroport ? Aujourd’hui, si on sort d’Europe, on active une eSIM en deux clics depuis son canapé et hop, on a internet à l’étranger. C’est pratique, non ? Sauf que voilà, une étude menée par des chercheurs de Northeastern University vient de révéler un truc assez hallucinant : Vos données personnelles pourraient bien faire le tour du monde sans que vous le sachiez.
Par exemple, si vous êtes à Rome en train de poster votre photo de pizza sur Instagram, vous pensez surement que vos données passent par un opérateur italien, puis rentrent directement chez vous. Je le croyais aussi alors qu’en réalité, elles pourraient faire un petit détour par Hong Kong, transiter par Singapour, et revenir par la Chine avant d’arriver à destination. Sympa le petit voyage organisé pour vos données perso, vous ne trouvez pas ?
Les chercheurs ont donc testé 25 fournisseurs d’eSIM et le constat est sans appel. Prenez Holafly par exemple, une entreprise basée en Irlande. Vous achetez leur eSIM en pensant avoir affaire à une société européenne, soumise au RGPD et tout le tralala. Sauf que dans les faits, vos connexions passent par le réseau de China Mobile. L’adresse IP qu’ils ont obtenue lors de leurs tests (223.118.51.96 pour les curieux) était directement allouée à China Mobile International Limited à Hong Kong.
En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.
Alors comment on fait pour protéger sa vie privée quand on voyage ? Et bien l’utilisation d’un VPN reste la meilleure solution (lien affilié), surtout si vous utilisez des réseaux WiFi publics. En effet, le VPN va chiffrer votre connexion et empêcher que vos données soient interceptées, peu importe par quel pays elles transitent. Certains fournisseurs comme Saily, créé par l’équipe derrière NordVPN, proposent même des eSIM avec VPN intégré. C’est un peu la ceinture et les bretelles de la sécurité.
Ce qui est vraiment problématique je trouve, c’est le manque total de transparence car quand vous achetez une eSIM, personne ne vous dit “au fait, vos données vont passer par la Chine”. Et chaque pays a ses propres lois sur la protection des données… En Chine du coup, les autorités peuvent légalement accéder à toutes les données qui transitent par leurs infrastructures. Vous voyez le problème ?
C’est pourquoi les chercheurs recommandent la mise en place d’un cadre réglementaire plus strict, avec une obligation de transparence pour les fournisseurs d’eSIM. Ils devraient par exemple au minimum indiquer clairement par quels pays vos données vont transiter. En attendant, leur méthodologie de recherche complète sera bientôt publiée sur GitHub pour que d’autres puissent reproduire et étendre leurs travaux.
Au final, les eSIM restent super pratiques pour voyager, mais faut être conscient des risques…
Félicitations ! Si vous avez installé la mise à jour KB5063878 de Windows 11, vous venez de débloquer la fonctionnalité cachée “Roulette Russe du stockage”. Et oui, Microsoft innove encore en transformant votre précieux SSD en disque de Schrodinger, sur lequel vos données existent et n’existent pas en même temps… Enfin, jusqu’à ce que vous tentiez de les copier.
Allez, je vous spoile, en vrai, elles n’existent déjà plus.
En effet, la mise à jour d’août 2025 censée, je cite, “corriger les problèmes de performance des jeux” a décidé que la meilleure façon d’améliorer les perfs était de supprimer complètement votre disque. C’est du génie car plus de SSD, ça veut dire plus de problèmes de performance !
Le bug est magnifique puisque dès que vous copiez 50 GB de données, hop, votre SSD disparaît comme David Copperfield en aurait rêvé. Sur 21 disques testés, 12 sont devenus invisibles selon les tests réalisés par la communauté. Un Western Digital SA510 de 2TB, a carrément décidé de prendre sa retraite anticipée. Même après un redémarrage, il refuse de revenir. C’est beau !
Phison, le fabricant de contrôleurs touché, a publié un communiqué digne d’un sketch des Monty Python : “Nous sommes conscients des effets à l’échelle de l’industrie”. Traduction : “On savait pas que Microsoft pouvait casser du hardware avec du software, mais visiblement si”. Bref, ils “travaillent avec leurs partenaires” probablement en train de chercher qui va payer la facture.
Les SSD DRAM-less avec contrôleur Phison sont donc les plus vulnérables. Pour ceux qui ne connaissent pas, DRAM-less signifie “sans mémoire cache” et WindowsForum confirme que le problème se déclenche quand l’utilisation du contrôleur dépasse 60%. Autrement dit, même si vous utilisez votre SSD normalement, il meurt. C’est la définition même du “It’s not a bug, it’s a feature”.
Et la cerise sur le gâteau c’est quand Microsoft Support indique que l’update peut aussi se gaufrer avec une jolie erreur 0x80240069 sur WSUS. Bref, même quand elle n’arrive pas à s’installer, elle trouve un moyen de casser les pieds. Maintenant, pour les “chanceux” (non) qui ont déjà installé cette bombe à retardement, les recommandations officielles sont à se pisser dessus de rire puisqu’ils conseillent d’éviter les transferts de plus de 50 GB ou de faire des sauvegardes régulières sur un disque non affecté. Bon, déjà faire des sauvegardes, ça peut fonctionner uniquement si elle font moins de 50 GB… Et si y’a toujours un SSD vivant pour faire le backup…
Le plus fun dans tout ça, c’est que cette mise à jour a été classée sécurité critique. “Critique”, tu m’étonnes… Microsoft a tellement bien sécurisé le système qu’on ne peut même plus plus accéder à nos fichiers. En attendant un correctif (prévu pour 2026 si on a de la chance ^^), votre meilleure option est de revenir à Windows 10. Ou mieux, Linux. Au moins, quand quelque chose plante, c’est de votre faute, et pas celle d’une multinationale qui teste ses patchs en production…
Ce serait quand même bien relou de devoir montrer sa carte d’identité à un flic à chaque fois qu’on veut regarder une vidéo sur le net, non ? Ce serait absurde, vous ne trouvez pas ? Et bien c’est pourtant ce qui se passe de plus en plus sur le web car entre le Royaume-Uni et son Online Safety Act, la Floride, le Tennessee, la Caroline du Sud et même l’Europe avec ses nouvelles régulations, on nous demande maintenant de scanner nos papiers d’identité ou de prendre un selfie pour accéder à certains sites. Heureusement, NextDNS vient de sortir l’artillerie lourde contre cette dérive.
Il y a quelques jours donc, NextDNS a lancé une nouvelle fonctionnalité qui fait déjà beaucoup parler d’elle à savoir le contournement automatique des vérifications d’âge par DNS. Le principe c’est qu’au lieu de balancer vos papiers d’identité à des sites dont vous ne savez rien, NextDNS intercepte vos requêtes DNS et les fait passer par des serveurs proxy situés dans des pays où ces vérifications débiles n’existent pas. C’est plus subtil qu’un VPN qui reroute tout votre trafic car ça se passe uniquement au niveau DNS.
La position de NextDNS est claire : “Donner vos papiers gouvernementaux à des sites random est un énorme risque pour la vie privée”. Difficile de leur donner tort. On parle quand même de sites qui vous demandent votre carte d’identité, votre permis de conduire, parfois même un selfie avec le document en main. Tout ça stocké on ne sait où, protégé on ne sait comment. Bref, un paradis pour les hackers et les usurpateurs d’identité.
Selon les premiers retours des utilisateurs, ça ne marche bien mais pas partout. Par exemple, Twitter (pardon, X) et Reddit résistent encore à la technique. YouTube aussi, mais c’est logique car pour les vidéos avec restriction d’âge, ils demandent une connexion à votre compte Google, ce qui empêche complètement l’astuce DNS.
NextDNS précise bien que les utilisateurs qui activent cette fonction reconnaissent avoir l’âge légal pour accéder au contenu. C’est leur façon de se couvrir juridiquement. Techniquement, contourner ces vérifications n’est pas illégal dans la plupart des pays, mais ça peut violer les conditions d’utilisation des plateformes donc si vous vous faites prendre, votre compte pourrait être suspendu définitivement.
Le problème en fait, c’est que ces lois censées protéger les mineurs créent un risque énorme pour la vie privée de tous les adultes. Avant, surfer sur Internet était anonyme par défaut et maintenant, on vous demande de vous identifier formellement pour accéder à du contenu parfaitement légal.
D’autres solutions existent bien sûr. Les VPN restent une option, même si c’est plus lourd et plus cher qu’une simple configuration DNS. Certains utilisent aussi des DNS privés alternatifs, mais l’approche de NextDNS a l’avantage d’être gratuite, simple et relativement efficace pour la majorité des cas.
NextDNS travaille apparemment à étendre la compatibilité avec plus de sites et en attendant, c’est déjà un bon pied de nez à cette surveillance généralisée qui s’installe petit à petit sur le web…
Xcode 15 sur un iPhone XS Max, ça vous dirait ? Non, je ne vous parle pas d’une app Remote Desktop ou d’un streaming depuis votre Mac. Je parle bien de macOS 13.4 qui tourne nativement sur un iPhone, avec le Dock, le Control Center et même le Finder. Le tout grâce à une bidouille absolument folle qu’un développeur a réussi à mettre au point.
Le responsable de cette prouesse technique, c’est Duy Tran (khanhduytran0), un dev qui a réussi l’impossible à savoir faire tourner le WindowServer de macOS (le processus qui gère toute l’interface graphique) sur un iPhone XS Max jailbreaké sous iOS 16.5. Bon, avant que vous sortiez votre iPhone pour tenter le coup, sachez que c’est extrêmement technique et que ça nécessite un jailbreak… ce qui n’est pas disponible sur les derniers modèles et versions d’iOS.
Ce qui est marrant dans toute cette histoire, c’est la méthode employée. Au départ, Tran a voulu utiliser les drivers GPU M1 d’Apple pour avoir l’accélération matérielle, mais son iPhone plantait en boucle. Pas découragé pour autant, il a trouvé une approche beaucoup plus maline qui est d’utiliser le système de streaming Metal du simulateur iOS via XPC. En gros, au lieu de faire tourner le GPU en natif, il a fait transiter les commandes graphiques par un protocole de communication inter-processus. C’est astucieux !
D’ailleurs, cette approche n’est pas sans rappeler ce que fait UTM SE pour iOS, une version spéciale de l’émulateur UTM qui utilise un interpréteur au lieu de la compilation JIT pour contourner les restrictions d’iOS. Sauf qu’ici, on ne parle pas d’émulation mais bien d’exécution native du code macOS. La différence ce sont bien sûr les performances et le fait que le système tourne directement sur le kernel Darwin partagé entre iOS et macOS.
Pour comprendre pourquoi c’est possible, il faut savoir que macOS et iOS partagent le même kernel XNU, un noyau hybride qui combine des éléments de Mach et de FreeBSD. C’est ce qui permet théoriquement de faire tourner du code macOS sur iOS, même si Apple a évidemment mis des barrières pour empêcher ça. Mais avec un jailbreak et beaucoup de patches manuels, ces barrières peuvent être contournées.
Le projet montre d’ailleurs que le jailbreak permet bien plus que de simples customisations visuelles. Ici, on parle de transformer complètement l’usage d’un appareil iOS. Par exemple, avoir un iPad Pro M4 qui ferait tourner macOS de manière native avec tous les drivers GPU optimisés… Ce serait le rêve pour beaucoup d’utilisateurs qui attendent depuis des années qu’Apple fasse converger ses systèmes.
Actuellement, le système a ses limites car le contrôle se fait via VNC (donc clavier et souris à distance), il y a des bugs graphiques à cause des limitations du simulateur Metal, et surtout, ça nécessite, comme je vous le disais, un appareil jailbreaké. Mais selon Tran, la solution fonctionnerait particulièrement bien sur les iPad avec puce M, qui ont les mêmes drivers GPU natifs que les Mac.
Ce qui est intéressant aussi, c’est qu’Apple travaille justement sur le durcissement de son kernel XNU avec un système appelé “exclaves” qui isole des ressources critiques du kernel principal. C’est une nouvelle version de l’architecture de sécurité qui rendrait ce genre de bidouille encore plus difficile à l’avenir puisque les exclaves créent des domaines isolés qui protègent des fonctions clés même si le kernel est compromis.
Pour les curieux, Tran a publié son repository GitHub avec tous les patches nécessaires, mais attention, c’est vraiment pour les experts. Il faut patcher manuellement de nombreux composants système, gérer les problèmes de mémoire partagée entre processus, et contourner les restrictions de chargement des bundles XPC. Donc pas vraiment le genre de truc qu’on fait en suivant un tuto YouTube de 5 minutes. Et ne comptez pas sur moi pour vous faire ça en vidéo… lol.
Cela prouve qu’Apple pourrait techniquement faire tourner macOS sur iPad sans trop d’efforts. Les bases techniques sont là, le hardware en est capable, et visiblement même un iPhone peut gérer l’interface de macOS. Mais alors pourquoi Apple ne le fait pas ? Probablement pour des raisons de positionnement produit et de revenus car un iPad qui ferait tourner macOS cannibaliserait les ventes de MacBook.
En attendant qu’Apple se décide (ou pas), des projets comme celui-ci montrent que la communauté du jailbreak continue d’explorer les limites de ce qui est techniquement possible avec le matériel Apple. Et voir Xcode tourner sur un iPhone, même si c’est juste pour la beauté du geste, c’est quand même assez impressionnant.
Voilà, donc si vous avez un vieil iPhone jailbreaké qui traîne et que vous aimez les défis techniques, pourquoi ne pas tenter l’expérience ? Au pire, vous aurez une bonne histoire à raconter. Au mieux, vous pourrez dire que vous faites du développement iOS… sur iOS.
Vous savez ce qui m’a toujours ennuyé avec git blame ? C’est qu’à chaque refactoring, chaque reformatage de code, chaque déplacement de fichier, tous les noms disparaissent pour être remplacés par celui de la personne qui a fait ces modifications. Du coup, impossible de savoir qui a vraiment écrit le code original. Heureusement, un développeur nommé Sinclair Target vient de sortir un outil qui résout ce problème.
git-who (c’est son nom) fait donc exactement ce que git blame aurait dû faire depuis le début à savoir analyser qui a vraiment contribué à votre codebase, et pas juste qui a touché les lignes en dernier. Au lieu de se contenter d’une analyse ligne par ligne comme git blame, git-who analyse les patterns de contribution sur des fichiers entiers, des dossiers, voire des composants complets.
L’installation est simple comme bonjour. Si vous êtes sur Mac avec Homebrew, un petit brew install git-who et c’est réglé. Pour les autres, vous pouvez passer par Go avec go install github.com/sinclairtarget/git-who@latest ou compiler depuis les sources si vous aimez les défis. Docker est aussi supporté pour ceux qui préfèrent…
Ce qui rend git-who vraiment intéressant, c’est ses trois modes d’analyse. Le mode table (par défaut) vous donne un tableau récapitulatif des contributions par auteur, triable par nombre de commits, lignes de code, fichiers touchés ou date de modification. C’est pratique pour identifier rapidement qui sont les principaux contributeurs d’un projet. Le mode tree affiche l’arborescence du projet avec le contributeur principal annoté pour chaque fichier et dossier. Et le mode hist génère une timeline de l’activité des commits avec le top contributeur par période.
Pour vous donner une idée concrète, Sinclair Target a fait une démo sur le projet Vim pour analyser les patterns de maintenance après le décès de Bram Moolenaar. L’outil a permis d’identifier rapidement qui avait pris le relais sur différentes parties du code. C’est quelque chose qu’il aurait été impossible à voir clairement avec un git blame classique.
La différence fondamentale donc avec git blame, c’est que git-who “comprend” le contexte. Si quelqu’un déplace un fichier ou fait un reformatage massif, git blame lui attribuera toutes les lignes alors git-who, lui, va chercher plus loin dans l’historique pour identifier les véritables auteurs du code. Il respecte même les fichiers .mailmap pour consolider les identités multiples d’un même développeur et prend en compte le fichier .git-blame-ignore-revs pour ignorer certains commits de maintenance.
Pour utiliser git-who, il suffit de faire un git who à la racine de votre projet afin d’obtenir l’analyse de base. Vous pouvez filtrer par chemin avec git who Parser/ pour analyser seulement un dossier spécifique. Le tri est customisable avec des options comme -l pour trier par lignes de code ou -m pour la date de dernière modification. Et pour une vue historique entre deux versions, git who hist v3.10.9..v3.11.9 fait le job.
Bien sûr, git-who n’est pas le seul dans sa catégorie. GitLens pour VS Code reste l’extension la plus populaire, offrant une intégration visuelle directement dans l’éditeur. Git Quick Stats est aussi une autre alternative en ligne de commande qui propose des statistiques détaillées sur les repositories. Mais aucun ne va aussi loin que git-who dans l’analyse de la véritable propriété du code.
Qui maintient réellement cette partie critique du code ? Quelle équipe a le plus contribué à ce module ? Comment les contributions ont évolué au fil du temps ? Git-who vous aide à répondre à ces questions essentielles sur la gestion de votre projet, les audits de code ou simplement pour comprendre l’histoire d’un projet open source.
Bref, j’ai trouvé ça cool… Et qui sait, peut-être qu’un jour git-who sera intégré directement dans Git ?
Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.
Et tout ça avec un simple email qui disait “Je t’aime”.
On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.
Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.
Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”
La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?
Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.
L’équipe de GRAMMERSoft
C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.
Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.
Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.
Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.
Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.
Le code de ILOVEYOU
Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.
Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.
Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.
Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.
Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.
Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.
Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…
Onel de Guzman durant sa conférence de presse
Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.
Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.
Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”
Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.
De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”
Onel de Guzman en 2019
L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.
Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.
En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.
Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.
C’est toujours marrant de voir des outils ultra populaires mettre des années à intégrer une fonctionnalité que tout le monde bricole depuis une éternité. Et aujourd’hui, c’est au tour de NGINX qui vient enfin de franchir le pas avec l’intégration native du protocole ACME !
Pour ceux qui ne seraient pas familiers avec cet acronyme, ACME (Automated Certificate Management Environment) c’est le protocole magique qui permet d’automatiser toute la gestion des certificats SSL/TLS. Développé à l’origine par l’Internet Security Research Group pour Let’s Encrypt, c’est donc lui qui vous évite de devoir renouveler manuellement vos certificats tous les 90 jours comme un moine copiste du Moyen Âge.
Le truc vraiment cool, c’est que NGINX a décidé de faire les choses en grand car plutôt que de bricoler une solution rapide, ils ont carrément développé un nouveau module baptisé ngx_http_acme_module qui s’appuie sur leur SDK Rust. Hé oui y’a du Rust dans NGINX ! Cette approche leur permet ainsi d’avoir un module dynamique disponible aussi bien pour la version open source que pour leur solution commerciale NGINX Plus.
Du coup, fini les scripts à la con avec Certbot qui tournent en cron et qui plantent au pire moment. Maintenant, vous configurez tout directement dans votre fichier NGINX comme ceci :
Simple, efficace, intégré, plus besoin de jongler entre différents outils, car tout se passe dans la configuration NGINX. Ensuite, les certificats se renouvellent automatiquement, s’installent tout seuls, et vous pouvez enfin dormir tranquille.
Mais attention, selon les discussions sur LWN.net, tout n’est pas rose au pays des bisounours… La communauté a quelques réserves, et pas des moindres. Leur plus gros point de friction c’est que NGINX a décidé de lancer cette première version avec uniquement le support du challenge HTTP-01. Pour les non-initiés, ça veut dire que votre serveur doit être accessible publiquement sur le port 80 pour prouver qu’il contrôle bien le domaine.
Les développeurs frustrés pointent aussi du doigt l’absence du challenge DNS-01. Et je trouve qu’ils ont raison d’être énervés car sans DNS-01, impossible de générer des certificats wildcard (*.example.com), et impossible de sécuriser des services internes qui ne sont pas exposés sur Internet. Donc pour tous ceux qui ont des homelabs ou des infrastructures privées, c’est relou.
Surtout que Caddy, le concurrent direct de NGINX, gère ça depuis des années sans problème. Bref, l’équipe NGINX promet que les challenges TLS-ALPN et DNS-01 arriveront dans le futur, mais pour l’instant, c’est motus et bouche cousue sur les délais.
Pour ceux qui veulent tester, sachez que le code est disponible sur GitHub et des packages précompilés sont déjà disponibles. La documentation officielle explique également bien le processus d’installation et de configuration. Notez que le module utilise une zone de mémoire partagée pour coordonner les renouvellements entre les différents workers NGINX, ce qui est plutôt malin pour éviter les conflits.
Au niveau technique, le workflow est assez classique… vous configurez votre serveur ACME (Let’s Encrypt ou autre), vous allouez la mémoire partagée nécessaire, vous configurez les challenges, et le module s’occupe du reste. Les variables $acme_certificate et $acme_certificate_key sont automatiquement remplies avec les chemins vers vos certificats.
Tout ceci permet de réduire également la surface d’attaque car vous n’avez plus besoin d’avoir Certbot et toutes ses dépendances Python qui traînent sur votre serveur ou plus de scripts externes qui doivent recharger NGINX. Tout est natif, et donc c’est forcément plus sécurisé.
Perso, je trouve que c’est un pas dans la bonne direction, même si l’implémentation actuelle est limitée. Et le faut qu’ils aient codé ça en Rust montre bien que NGINX prend au sérieux la modernisation de sa base de code. Du coup, pour ceux qui ont des besoins simples avec des domaines publics, foncez tester cette nouveauté. Plus d’excuses pour avoir des certificats expirés !
Si vous êtes du genre à passer votre vie en SSH sur des serveurs distants comme moi, alors voici un petit outil bien sympa qui va peut-être changer votre façon de bosser. Cela s’appelle sshrc et au début, j’ai cru à une énième tentative de réinventer la roue, mais en fait non. Ce truc est vraiment cool car quand vous vous connectez en SSH, il copie automatiquement votre configuration locale dans un dossier temporaire sur le serveur distant. Comme ça, vous retrouvez instantanément vos alias bash, vos raccourcis vim, votre prompt avec ses jolies couleurs…etc. Tout ce qui fait que vous vous sentez chez vous… mais sur votre serveur.
Le truc vraiment cool, c’est que ça ne pollue pas le serveur car tout est stocké dans /tmp dans un dossier propre à votre session. Si d’autres utilisateurs se connectent (même avec sshrc), ils auront leurs propres configs et pas les vôtres.
Pour l’installer, rien de plus simple. Sous macOS avec Homebrew :
Pour les autres systèmes, vous pouvez récupérer le script directement depuis le repo GitHub.
Une fois installé, créez un fichier ~/.sshrc avec vos configs préférées. Par exemple, vous pouvez mettre vos alias les plus utiles, quelques fonctions bash, et même des variables d’environnement spécifiques.
Ensuite, au lieu de taper ssh user@server, vous faites sshrc user@server et c’est tout. Derrière, l’outil fait sa magie noire en compressant vos configurations, en les envoyant sur le serveur, puis en les décompressant dans /tmp, et en sourçant le tout automatiquement. Vous pouvez même avoir des configurations différentes selon les serveurs en créant des fichiers comme ~/.sshrc.d/servername.
Pour les fans de vim, il y a une astuce sympa. Ajoutez cette ligne dans votre ~/.sshrc :
Et placez votre .vimrc dans ~/.sshrc.d/. Comme ça, vim utilisera votre config perso même sur le serveur distant.
Attention quand même, il y a une limite. Si votre dossier ~/.sshrc.d fait plus de 64KB, certains serveurs peuvent bloquer la connexion. C’est pour ça qu’une alternative existe : SSHdot. Cette variante n’a pas de limite de taille et fonctionne exactement pareil. C’est pratique si vous avez une config vim bien chargée avec plein de plugins.
D’ailleurs, pour ceux qui préfèrent une approche différente, il y a aussi la méthode git. Vous mettez tous vos dotfiles dans un repo, et vous configurez vos serveurs pour pull automatiquement à la connexion. C’est plus lourd à mettre en place mais ça scale mieux si vous gérez beaucoup de machines.
Un dernier truc sympa, sshrc fonctionne aussi avec tmux. Vous pouvez donc configurer tmux pour qu’il utilise vos raccourcis habituels même sur le serveur distant. Il suffit d’ajouter votre .tmux.conf dans ~/.sshrc.d et de définir un alias dans ~/.sshrc qui pointe vers cette config.
Au final, sshrc vous n’en aviez pas besoin, mais maintenant que vous savez qu’il existe, c’est un incontournable ! Bref, si vous en avez marre de retrouver un environnement spartiate à chaque connexion SSH, essayez-le, ça prend 2 minutes à installer et ça change vraiment la donne niveau confort de travail.
Ça vous dirait d’en savoir plus sur le gang de ransomware le plus innovant et le plus traître de l’histoire du cybercrime moderne ? BlackCat, aussi connu sous le nom d’ALPHV, c’est le groupe qui a sorti le premier ransomware majeur entièrement écrit en Rust, un langage de programmation que même les hipsters de la Silicon Valley trouvent cool. Mais leur véritable coup de maître ça a été d’avoir arnaqué leurs propres affiliés pour 22 millions de dollars avant de disparaître dans la nature comme des voleurs… de voleurs. Si vous pensiez que l’honneur entre criminels existait encore, et bien BlackCat va vous faire réviser votre jugement de fond en comble.
Pour comprendre l’ampleur de cette trahison, faut s’imaginer la scène. Vous êtes un cybercriminel chevronné, vous avez infiltré la plus grosse plateforme de paiement de santé américaine et vous êtes en train de négocier une rançon de 22 millions de dollars avec des semaines d’efforts, quand au moment de toucher votre part de 80%… pouf magie, magie, votre patron disparaît avec tout le fric et vous bloque de tous ses serveurs. Et bien c’est exactement ce qui est arrivé à l’affilié “Notchy” en mars 2024. Mais bon, je m’avance un peu, laissez-moi reprendre depuis le début de cette saga digne d’un polar cyberpunk.
Tout commence le 21 novembre 2021. À cette époque, le monde du ransomware sort à peine du chaos provoqué par les attaques contre Colonial Pipeline et la fermeture brutale de REvil par les autorités russes. C’est dans ce contexte tendu qu’un nouveau groupe fait son apparition sur les forums du dark web, précisément sur RAMP (Russian Anonymous Marketplace). Leur nom ? BlackCat. Leur proposition ? Un ransomware entièrement codé en Rust, ce langage de programmation moderne que Mozilla a développé pour remplacer le C++ vieillissant. C’est du jamais vu dans l’écosystème criminel !
Alors pourquoi Rust, vous allez me dire ? Bah, c’est simple, d’abord, c’est moderne, rapide comme l’éclair, et sûr au niveau mémoire… Comme ça, pas de plantages foireux comme avec du C++ mal écrit. Ensuite, et c’est là le génie, la plupart des antivirus n’avaient aucune idée de comment analyser du code Rust en 2021. Les signatures de détection étaient Inexistantes et les outils d’analyse statique totalement en galère. Du coup, leur ransomware passe entre les mailles du filet durant des mois.
Post de forum pour faire la promo du Ransomware
Les experts en sécurité sont littéralement bluffés quand ils mettent la main sur les premiers échantillons. Le code est propre, modulaire, optimisé. BlackCat peut tourner sur Windows, Linux, et même VMware ESXi… C’est du cross-platform de qualité industrielle. Et c’est un ransomware, personnalisable via des fichiers JSON. Comme ça, si vous voulez chiffrer seulement certains types de fichiers, ou encore éviter certains pays pour pas se faire taper sur les doigts par les autorités locales ? C’est pas un problème car c’est littéralement du ransomware à la carte, conçu comme un produit SaaS légitime.
Mais qui se cache derrière cette prouesse technique ?
Selon les analyses des chercheurs en cybersécurité, tous les indices pointent vers d’anciens membres de REvil, DarkSide et BlackMatter, c’est à dire la crème de la crème du ransomware russe. Ces mecs ont visiblement appris de leurs erreurs passées… Fini les attaques tape-à-l’œil contre les infrastructures critiques qui font réagir les gouvernements, et place à un profil bas et à une approche business plus subtile. Ils ont compris qu’il faut savoir rester dans l’ombre pour durer.
Leur modèle économique, justement, c’est une révolution dans l’écosystème RaaS (Ransomware-as-a-Service) car là où la concurrence prend 30 à 40% des rançons, comme REvil qui prenait 40%, BlackCat ne prend que 10 à 20% selon le niveau d’expérience de l’affilié. Pour les cybercriminels, c’est carrément Noël en novembre ! Et ce groupe leur fournit tout un écosystème clé en main : le ransomware personnalisable, les outils d’exfiltration de données, l’infrastructure de négociation hébergée sur Tor, un blog de leak pour faire pression sur les victimes, même un service client disponible 24h/24. L’affilié n’a qu’une chose à faire : Trouver une victime et déployer le malware.
L’infrastructure technique développée par BlackCat est très impressionnante, même selon les standards du métier car ils utilisent une architecture décentralisée basée sur Tor et I2P, avec une redondance digne d’AWS. Chaque victime reçoit un site de négociation unique, généré automatiquement et hébergé sur plusieurs serveurs miroirs. Si le FBI ferme un site, dix autres prennent instantanément le relais. Ils ont même développé “Searcher”, un outil custom qui fouille automatiquement dans les téraoctets de données exfiltrées pour identifier les documents les plus compromettants tels que des contrats confidentiels, des données personnelles sensibles, des correspondances avec les avocats…etc. Un moteur de recherche pour le chantage, quoi.
Dès décembre 2021, les premières victimes tombent comme des dominos. Moncler, la marque de luxe italienne qui se retrouve avec ses données étalées sur le dark web. Swissport, qui gère la logistique dans plus de 300 aéroports mondiaux et voit ses opérations paralysées. Des cabinets d’avocats de prestige, des hôpitaux, des universités… BlackCat ne fait pas dans la discrimination sociale, tant que la victime peut payer une rançon substantielle. Les montants varient de quelques centaines de milliers à plusieurs millions de dollars selon la taille et l’impact de l’attaque. Un business en pleine explosion !
Mais c’est en 2023 que BlackCat passe vraiment à la vitesse supérieure en nouant une alliance diabolique avec Scattered Spider, un groupe de jeunes hackers dont certains sont encore des adolescents de 17 à 22 ans, spécialisés dans l’ingénierie sociale. Ces gamins, principalement américains et britanniques, sont issus des communautés de gaming toxiques (Roblox, Minecraft) et ont évolué du SIM swapping vers le ransomware professionnel.
La méthode de Scattered Spider est redoutable mais imparable. D’abord, ils font de l’OSINT (Open Source Intelligence) intensif sur LinkedIn, Instagram, les sites d’entreprise. En gros, ils identifient des employés avec des accès privilégiés, c’est à dire les administrateurs système, les responsables IT, les managers avec des droits élevés. Puis ils les appellent directement, souvent en spoofant le numéro du support IT interne de l’entreprise grâce à des services VoIP. Le script est bienrodé : “Bonjour, ici le help desk de [NomEntreprise], on a détecté une activité suspecte sur votre compte, on doit procéder à un reset de sécurité de votre authentification multi-facteurs.”
Les employés, conditionnés à faire confiance au support IT et souvent sous pression dans leur travail quotidien, donnent alors leurs codes d’accès ou acceptent le reset. Et en 10 minutes chrono, Scattered Spider est dans le système avec des droits d’administrateur sur Active Directory, Okta, ou Azure. Une fois à l’intérieur, ils déploient BlackCat en mode silencieux, exfiltrent les données sensibles, et ne déclenchent le chiffrement qu’une fois certains d’avoir récupéré tout ce qui les intéresse. C’est la combinaison parfaite entre l’ingéniosité sociale des digital natives et la puissance technique du ransomware nouvelle génération.
Le chiffrement des données en action
Le 11 septembre 2023, c’est l’apothéose. MGM Resorts, l’empire des casinos de Las Vegas qui pèse des milliards, tombe en 10 minutes. Un simple coup de fil de Scattered Spider au help desk où ils se font passer pour un employé trouvé sur LinkedIn, et boom, voilà que tout l’écosystème tech de MGM s’effondre comme un château de cartes. BlackCat se déploie méthodiquement sur plus de 100 hyperviseurs VMware ESXi. Les casinos sont littéralement paralysés… les machines à sous affichent des écrans bleus, les systèmes de réservation rendent l’âme, même les clés électroniques des chambres d’hôtel ne fonctionnent plus.
Les images sont complètement surréalistes… On voit des files d’attente interminables de touristes devant les bureaux d’enregistrement qui sont obligés de repasser au papier et au crayon. Des clients bloqués dans les couloirs d’hôtel, incapables d’ouvrir leur porte. Des croupiers contraints de revenir aux jetons physiques et aux calculs faits main comme dans les années 1970. Le Bellagio, le MGM Grand, le Mandalay Bay, tous les joyaux de Sin City touchés simultanément. Les pertes opérationnelles sont estimées à 100 millions de dollars pour le seul troisième trimestre 2023.
Mais MGM, dirigé par des cadres qui ont des couilles en acier, refuse catégoriquement de payer. Ils préfèrent tout reconstruire from scratch plutôt que de céder au chantage. C’est un pari financier et stratégique risqué qui leur coûtera une fortune, mais ils tiennent bon. BlackCat publie évidemment une partie des données volées sur leur blog de leak pour faire pression, mais l’impact reste gérable. MGM survit à l’épreuve, même si ça fait mal au porte-monnaie et à l’ego.
Mais Caesars Entertainment, l’autre mastodonte des casinos frappé quelques jours avant MGM, fait un choix diamétralement opposé. Plutôt que d’affronter des semaines de chaos opérationnel, ils choisissent la voie de la négociation pragmatique. La demande initiale de BlackCat était alors de 30 millions de dollars. Après des discussions tendues avec les négociateurs professionnels du groupe, ils s’accordent sur 15 millions. Dans l’univers impitoyable du ransomware, payer 50% de la demande initiale est considéré comme une victoire diplomatique. Caesars récupère ses systèmes, évite la publication d’informations sensibles sur des millions de clients, et reprend ses opérations quasi normalement.
Cette différence de stratégie entre MGM et Caesars devient immédiatement un cas d’école dans les universités et les formations en cybersécurité. D’un côté, MGM qui refuse de payer et met des semaines à récupérer complètement, avec des pertes financières massives mais un message moral fort. De l’autre, Caesars qui paie et repart en quelques jours, avec un coût maîtrisé mais l’amertume d’avoir financé le crime organisé. Les experts en sécurité restent profondément divisés sur la “bonne” approche. Payer encourage indéniablement les criminels à continuer, mais ne pas payer peut littéralement détruire votre business si vous n’avez pas les reins suffisamment solides.
Quoiqu’il en soit, BlackCat ne se repose jamais sur ses lauriers et continue d’innover à un rythme effréné. Nouvelle version 2.0 du ransomware avec chiffrement intermittent, c’est à dire qui ne chiffre qu’une partie des fichiers pour aller plus vite tout en gardant une bonne efficacité. Un nouvel outil d’exfiltration qui compresse automatiquement les données à la volée pour optimiser les transferts. Un nouveau système de paiement qui accepte Monero en plus de Bitcoin pour plus d’anonymat. Bref, ils ont systématiquement un coup d’avance sur la concurrence et surtout sur les forces de l’ordre.
Mais leur innovation la plus controversée (et, géniale, je trouve) c’est le lancement d’une API publique pour les chercheurs en sécurité. Oui, vous avez bien lu ! BlackCat développe une interface de programmation qui permet aux entreprises de vérifier automatiquement si leurs données ont été volées et leakées. L’idée est diabolique : Pourquoi négocier dans l’ombre quand on peut automatiser le processus de vérification et de chantage ? Les victimes potentielles peuvent alors checker leurs données, voir exactement ce qui a fuité, évaluer l’impact, et décider en connaissance de cause s’il faut payer ou non.
Annonce de leurs nouveautés
Cette API devient rapidement populaire, y compris auprès d’utilisateurs légitimes. Les chercheurs en cybersécurité s’en servent pour tracker les victimes et comprendre les modes opératoires. Les journalistes l’utilisent pour leurs enquêtes sur le cybercrime. Même des concurrents de BlackCat viennent étudier le code pour s’en inspirer. Un groupe criminel qui fournit un service d’utilité publique et démocratise l’accès à l’information sur ses propres crimes, c’est encore du jamais vu !
Puis le 19 décembre 2023, un coup de théâtre qui va chambouler tout l’écosystème BlackCat. Le FBI, en collaboration avec Europol et des agences de plusieurs pays, annonce officiellement avoir saisi l’infrastructure du groupe. Le site principal de BlackCat affiche une bannière “This site has been seized by the FBI” avec le sceau officiel. Les affiliés paniquent totalement, les victimes en cours de négociation ne savent plus à qui payer, c’est le chaos absolu dans l’empire cybercriminel. Les forums du dark web s’enflamment, et tout le monde spécule sur l’ampleur réelle de l’opération.
Sauf que… quelque chose cloche dans cette histoire de saisie. Les serveurs de négociation individuels continuent mystérieusement de fonctionner. Le blog de leak reste accessible via des URLs alternatives. Les affiliés peuvent toujours télécharger le ransomware et déployer leurs attaques. Est-ce vraiment une saisie complète par le FBI ou juste une opération de communication pour déstabiliser le groupe ? La réalité s’avère plus nuancée et moins glorieuse que les communiqués officiels.
Les détails de l’opération révèlent que le FBI a effectivement eu accès à certains serveurs BlackCat grâce à un informateur infiltré qui avait obtenu le statut d’affilié. Ils ont ainsi récupéré 946 paires de clés publiques/privées et développé un outil de déchiffrement distribué gratuitement à plus de 500 victimes, leur évitant ainsi de payer environ 68 millions de dollars de rançons cumulées. Mais c’est un succès partiel car BlackCat conserve le contrôle de l’essentiel de son infrastructure grâce à l’architecture décentralisée qu’ils avaient intelligemment mise en place dès le début.
La réaction de BlackCat à cette “saisie” est brutale et révèle leur véritable nature. Dans un message vengeur publié sur leur blog, ils déclarent la guerre totale aux autorités américaines et annoncent la levée de toutes leurs restrictions auto-imposées. Plus aucune limite morale ou géopolitique. Les hôpitaux, les infrastructures critiques, les centrales électriques, même les installations nucléaires deviennent des cibles légitimes. “Le FBI a franchi une ligne rouge en s’attaquant à nous”, écrivent-ils dans un communiqué rageur. “Nous franchissons la nôtre aussi. Que les conséquences retombent sur eux.”
C’est dans ce climat de guerre ouverte entre BlackCat et les autorités américaines qu’éclate l’affaire Change Healthcare en février 2024. Un affilié expérimenté surnommé “Notchy”, probablement lié à des groupes chinois selon des analystes en renseignement, réussit à infiltrer le système de cette entreprise absolument stratégique. Change Healthcare, c’est pas n’importe qui puisqu’ils traitent 15 milliards de transactions médicales par an, soit environ un tiers de tous les paiements de santé aux États-Unis. C’est littéralement le système nerveux financier de la médecine américaine.
L’impact de l’attaque est proprement catastrophique car du jour au lendemain, des milliers de pharmacies ne peuvent plus traiter les ordonnances électroniques. Les hôpitaux se retrouvent incapables de facturer les compagnies d’assurance. Les patients diabétiques ou cardiaques ne peuvent plus obtenir leurs médicaments. Bref, c’est une crise sanitaire nationale d’une ampleur inédite. Change Healthcare n’a littéralement aucune marge de manœuvre et doivent payer pour éviter l’effondrement du système de santé américain. Ils n’ont pas le choix.
La négociation entre Notchy et Change Healthcare se déroule pendant plusieurs semaines dans une atmosphère de crise absolue. La demande initiale est de 60 millions de dollars, soit une des plus grosses rançons jamais exigées. Change Healthcare contre-propose désespérément 15 millions mais après des jours de marchandage intense avec les négociateurs professionnels de BlackCat, qui je vous le rappelle, ont des équipes dédiées disponibles 24h/24 dans plusieurs fuseaux horaires, ils finissent par s’accorder sur 22 millions de dollars. Le 1er mars 2024, Change Healthcare envoie alors 350 Bitcoin (valeur de l’époque, environ 22 millions de dollars) à l’adresse crypto fournie par l’organisation BlackCat.
Et là, c’est le drame qui va révéler la véritable nature de BlackCat et bouleverser tout l’écosystème du ransomware moderne. Notchy, qui a passé des mois sur cette opération complexe et attend “légitimement” sa part de 80% selon l’accord d’affiliation standard (soit environ 17,6 millions de dollars), se retrouve face à un silence radio total. Un jour passe sans nouvelles. Puis deux. Puis une semaine entière. Le 3 mars, pris d’un mauvais pressentiment, Notchy tente de se connecter au panel d’administration de BlackCat pour vérifier le statut de sa mission. Message affiché : “Accès refusé”. Il essaie alors de contacter les administrateurs via les canaux Tox sécurisés habituels mais pas de réponse. Il tente ensuite les serveurs de backup, les channels Discord privés, et même les anciens moyens de communication d’urgence.
Le vide absolu.
C’est à ce moment-là que la réalité frappe Notchy comme un uppercut. Il vient de se faire arnaquer par ses propres patrons. Les administrateurs de BlackCat ont tout simplement empoché les 22 millions de dollars et l’ont éjecté du système. Dans le monde du crime organisé traditionnel, ça s’appelle “se faire buter après le casse”. Dans l’univers cybercriminel, c’est un exit scam d’une ampleur légendaire !
La réaction de Notchy est explosive et va marquer un tournant dans l’histoire du cybercrime car il débarque en rage sur les forums RAMP et BreachForums et balance absolument tout ce qu’il sait. Screenshots des négociations avec Change Healthcare, preuves du paiement de 350 Bitcoin, messages ignorés avec les admins BlackCat, même les details techniques de l’infiltration. “BlackCat m’a volé 22 millions de dollars et vous êtes les prochains !”, hurle-t-il dans un post de 15 pages qui fait l’effet d’une bombe dans la communauté cybercriminelle.
L’onde de choc est immédiate et titanesque. La communauté cybercriminelle mondiale, habituée aux coups fourrés entre gangs rivaux, est en état de sidération totale. Un groupe de ransomware qui arnaque ses propres affiliés avec qui il partage les risques et les bénéfices ?? C’est du jamais vu dans l’histoire du cybercrime organisé. C’est comme si la mafia sicilienne décidait soudainement de buter tous ses capos après chaque opération réussie. Les règles non-écrites du milieu volent alors en éclats.
Mais tout ceci n’est que le début du feuilleton car le 5 mars, BlackCat publie un message laconique sur leur blog qui va rester dans les annales : “Nous fermons définitivement nos opérations. Les pressions du FBI ont rendu notre business model intenable. Merci à tous nos affiliés pour leur collaboration. Bonne chance pour la suite.” Et puis… plus rien. Silence radio total. Les serveurs s’éteignent méthodiquement un par un, le code source du ransomware disparaît des dépôts privés, les administrateurs s’évaporent de tous les canaux de communication.
BlackCat cesse purement et simplement d’exister.
L’analyse forensique de la blockchain Bitcoin révèlera l’ampleur de l’arnaque et la préméditation de l’opération. Les 350 Bitcoin de Change Healthcare ont été immédiatement fragmentés et dispersés à travers un réseau complexe de plus de 50 adresses intermédiaires, puis passés dans des mixers automatisés avant d’être reconvertis en Monero pour une anonymisation totale. Les administrateurs de BlackCat ont mis en place un système de blanchiment digne des plus grandes organisations criminelles et n’ont pas gardé un seul satoshi pour Notchy. C’est le parfait exit scam, minutieusement planifié et exécuté avec une froideur industrielle.
La communauté cybercriminelle mondiale explose alors littéralement. Sur RAMP, XSS, BreachForums, c’est la guerre civile numérique. Certains anciens affiliés défendent encore BlackCat : “Le FBI les a forcés à fermer, ils ont fait ce qu’ils pouvaient.” et d’autres crient à la trahison absolue : “Ils ont détruit 30 ans de confiance dans le modèle RaaS, ces enfoirés nous ont tous niqués.” Les modérateurs des forums, d’habitude neutres, prennent même position de manière inédite : BlackCat est officiellement banni de tous les espaces de discussion, leurs anciens comptes sont fermés, leur réputation est définitivement détruite. Même entre voleurs, il y a des limites à ne pas franchir.
Notchy, l’affilié floué qui se retrouve avec des mois de travail pour rien et 22 millions de dollars envolés, ne se laisse évidemment pas faire. Il lance un ultimatum public sur tous les forums… soit les admins disparus de BlackCat lui versent sa part dans les 48 heures, soit il publie l’intégralité des 6 téraoctets de données volées chez Change Healthcare. Données qui incluent des informations médicales ultra-sensibles sur des millions d’Américains, des militaires couverts par Tricare, des employés CVS, MetLife, des dizaines d’autres assureurs. Change Healthcare se retrouve alors dans une position impossible : ils ont déjà payé 22 millions, et maintenant on leur demande implicitement de payer encore pour éviter le leak.
Épuisé par des semaines de crise et refusant de céder une nouvelle fois au chantage, ils choisissent alors de ne plus négocier. Puis le 20 mars 2024, un mystérieux nouveau groupe appelé RansomHub, qui ressemble étrangement à une reconversion de Notchy ou d’anciens affiliés BlackCat, publie effectivement les données de Change Healthcare sur leur blog de leak. 4 téraoctets d’informations médicales ultra-confidentielles, des millions de patients impactés, un scandale sanitaire d’ampleur historique. Mais qui se cache réellement derrière RansomHub ? Notchy ? Un autre ancien affilié de BlackCat ? Des opportunistes qui ont récupéré les données ? Le mystère reste entier encore à ce jour, mais à ce moment là, le chaos est total.
L’impact de l’exit scam de BlackCat va bien au-delà des 22 millions de dollars volés et ébranle les fondements mêmes du modèle économique du Ransomware-as-a-Service, qui avait pourtant fait ses preuves depuis 2019 avec des groupes comme REvil ou LockBit, qui se retrouve remis en question. Si même les gangs les plus établis et respectés peuvent arnaquer leurs propres affiliés sans préavis, qui peut-on encore croire dans cet écosystème ?
La méfiance s’installe alors durablement dans tous les forums du dark web. Les nouveaux affiliés exigent désormais des garanties financières, des comptes escrow gérés par des tiers de confiance, des preuves de bonne foi, des références vérifiables. Certains demandent même des cautions de plusieurs millions de dollars avant d’accepter de travailler avec un nouveau groupe RaaS. L’époque de la confiance aveugle basée sur la réputation est révolue.
Certains experts de la cybersécurité y voient même la fin d’une époque dorée pour les cybercriminels, car quand la confiance, paradoxalement essentielle même entre criminels, disparaît complètement, tout ce système collaboratif s’effondre. D’autres experts prédisent au contraire une consolidation darwinienne où seuls les groupes avec une vraie réputation historique et des garanties financières béton survivront.
Mais où sont donc passés les mystérieux administrateurs de BlackCat avec leurs 22 millions de dollars ?
Les théories du complot abondent sur les forums spécialisés où certains pensent qu’ils ont été discrètement recrutés par les services de renseignement russes pour développer des cyberarmes d’État. D’autres qu’ils se sont reconvertis dans la crypto-fraude ou les arnaques DeFi, secteurs moins risqués et tout aussi lucratifs. Les plus cyniques suggèrent qu’ils préparent déjà leur prochain coup sous une nouvelle identité, avec un ransomware encore plus sophistiqué et un business model “amélioré”.
En tout cas, BlackCat avait absolument tout pour devenir le LockBit ou le Conti de leur génération et dominer l’écosystème ransomware pendant des années… Mais l’appât du gain immédiat et la cupidité pure ont été plus forts que la vision stratégique. Pour 22 petits millions de dollars soit même pas 6 mois de revenus à leur rythme de croissance, ils ont détruit un business potentiel de plusieurs milliards.
BlackCat laisse un héritage amer mais instructif car ils ont définitivement prouvé que les attaques par ingénierie sociale restaient terriblement efficaces malgré toutes les formations de sensibilisation et que la technologie de chiffrement la plus sophistiquée ne valait absolument rien face à la naïveté humaine et aux processus IT mal sécurisés.
L’épilogue de cette histoire tragique continue de s’écrire en temps réel. Notchy se balade encore sur les forums quand il n’a pas de nouvelles opérations en cours, Change Healthcare panse toujours ses plaies financières et répare péniblement sa réputation et le FBI continue ses investigations pour identifier et arrêter les administrateurs disparus, sans grand succès pour l’instant. Y’a même une récompense de 10 millions de dollars si vous avez des infos.
Et quelque part, peut-être sur une plage paradisiaque des Caraïbes ou dans un penthouse de Dubaï, les cerveaux de BlackCat sirotent probablement des cocktails hors de prix achetés avec les 22 millions de dollars de leur ultime trahison.
La morale de cette histoire, si tant est qu’il puisse y en avoir une dans l’univers du ransomware, c’est que personne n’est jamais digne d’une confiance absolue, surtout pas les criminels. Donc si vous êtes un affilié RaaS qui lisez ceci, méfiez-vous car le prochain exit scam pourrait bien vous viser personnellement…
Le tribunal fédéral allemand (BGH pour les intimes) vient de relancer une bataille juridique vieille de 11 ans entre le géant des médias Axel Springer et Eyeo, les créateurs d’Adblock Plus. En effet, selon The Register, le BGH estime que les bloqueurs de pub pourraient violer le droit d’auteur en modifiant le code des pages web. Et oui, modifier l’affichage d’une page web sur VOTRE propre navigateur pourrait devenir illégal !
L’argument d’Axel Springer c’est que le code HTML et CSS de leurs sites web est protégé par le copyright, donc le modifier (même localement sur votre machine) constituerait une violation. C’est un peu comme si IKEA vous poursuivait parce que vous n’avez pas monté leur étagère Billy exactement selon les instructions. Ou que Renault vous attaquait parce que vous avez mis des housses de siège non officielles.
Daniel Nazer de Mozilla tire la sonnette d’alarme en rappelant que l’Allemagne pourrait devenir le premier pays démocratique à interdire les bloqueurs de publicités, rejoignant ainsi la Chine dans ce club très select. Parce que oui, actuellement, seule la Chine a eu cette idée lumineuse. On se demande bien pourquoi…
Mais attendez, ça devient encore plus absurde car les extensions de navigateur ne font pas que bloquer les pubs. Certaines modifient le code des pages pour améliorer l’accessibilité pour les personnes handicapées, protèger votre vie privée, corriger les bugs des sites mal codés…etc. Alors si on suit la logique du BGH, tout ça pourrait devenir illégal.
Vous utilisez une extension qui ajoute un mode sombre sur un site qui ne propose pas l’option ? C’est une violation de copyright mes amis !! Une extension qui traduit automatiquement ? Allez, hop, au tribunal !! Un gestionnaire de mots de passe qui remplit les formulaires ?? Direction la prison, et plus vite que ça !
Bref, le tribunal Allemand a renvoyé l’affaire devant la cour régionale de Hambourg pour un examen technique approfondi. La procédure pourrait durer encore un à deux ans. Deux ans pendant lesquels l’industrie du web va retenir son souffle en se demandant si l’Allemagne va vraiment oser. D’ailleurs, Google doit se frotter les mains car eux qui viennent de virer uBlock Origin du Chrome Store sous prétexte qu’il ne respecte pas leurs “bonnes pratiques” (traduction : il bloque trop bien leurs pubs), ce serait cool qu’un tribunal vienne leur donner raison légalement.
Perso, je pense qu’il faudrait juste les interdire aux cons et connes, c’est tout. Je me souviens par exemple d’un épisode épique sur Twitter où quelqu’un m’était tombé dessus parce parce que l’avertissement “Article sponsorisé” était mystérieusement absent d’un de mes articles. Verdict immédiat du tribunal populaire : “Ô scandale ! Horreur malheur !! Quelle infamie !! Toi, moche et méchant !! Tu mérite la mort !!” Bref, j’étais devenu l’Antéchrist de la publicité déguisée selon son cerveau en mode économie d’énergie. Mais la réalité, c’est que son Adblock de warrior avait fait du zèle et bouffé uniquement l’avertissement, laissant la pub bien visible sans mention. Et évidemment quand je lui ai fait gentiment remarqué, les attaques ont doublé d’intensité… Le temps ne fait rien à l’affaire, parait-il ;-).
L’avocat d’Axel Springer, Philipp-Christian Thomale, célèbre déjà cette décision comme “une vraie étape importante dans la protection du copyright des logiciels”. Apparemment, pour certains, protéger le copyright c’est plus important que protéger les utilisateurs contre le tracking publicitaire, les malwares cachés dans les pubs, ou simplement leur droit de contrôler ce qui s’affiche sur leur propre écran.
Cornelius Witt d’Eyeo reste confiant et rappelle qu’aucune entreprise ne devrait pouvoir interdire aux utilisateurs de déterminer leurs propres paramètres de navigateur ou les forcer à télécharger du contenu ou accepter du tracking.
Voilà, donc si demain du HTML et du CSS deviennent du “programme protégé par copyright”, autant développer directement en WebAssembly chiffré et arrêter de faire semblant que le web est ouvert. Ou alors, soyons logiques jusqu’au bout, interdisons les lunettes de soleil parce qu’elles modifient la perception des panneaux publicitaires, et obligeons les gens à garder les yeux ouverts avec des pinces pendant les pubs télé, façon Orange Mécanique.
Et si vraiment l’Allemagne décide d’interdire les bloqueurs de pub, il restera toujours le Pi-hole, les DNS alternatifs, ou tout simplement… désactiver JavaScript. Bon courage pour interdire ça.
Si je vous dis qu’une ex-Miss Jordanie est devenue cyber-terroriste, vous allez buguer. Mais rassurez-vous, c’est l’inverse ! Elle combat les terroristes avec des pubs pour du Prozac ! Voici aujourd’hui, l’histoire de Ghost Security Group, qui est comme un film de Tarantino écrit par des geeks sous substances illicites et c’est exactement ce dont on avait besoin pour mieux comprendre cette décennie de hacktivisme complètement barrée.
Je vous avoue que quand j’ai découvert cette histoire il y a 10 ans, j’ai d’abord cru à un canular. Des hackers qui remplacent des sites de propagande ISIS (Etat Islamique) par des publicités pour des antidépresseurs et du Viagra ? C’était tellement absurde que ça ne pouvait qu’être vrai…
Ghost Security Group, ou GhostSec pour les intimes, c’est donc l’histoire d’une bande d’ex-militaires américains et de professionnels de l’IT qui ont décidé qu’Anonymous n’était pas assez structuré pour combattre efficacement le terrorisme en ligne, alors ils s’y sont collés ! Comme l’expliquait McKenzie Wark dans son Hacker Manifesto (à ne pas confondre avec celui de The Mentor) : “Les hackers créent la possibilité que de nouvelles choses entrent dans le monde. Pas toujours de grandes choses, ou même de bonnes choses, mais de nouvelles choses”. Et GhostSec, c’était définitivement quelque chose de nouveau.
Tout commence donc le 7 janvier 2015. Vous vous souvenez de Charlie Hebdo ? Moi, j’étais à Las Vegas pour le CES et comme des millions de personnes, ça m’a foutu la rage. Sauf que contrairement à nous, certains avaient les compétences pour transformer cette colère en action. C’est pourquoi des membres d’Anonymous, déjà habitués aux opérations de désobéissance civile en ligne, ont décidé que cette fois, il fallait faire plus que des DDoS ponctuels.
Anonymous avait lancé l’#OpCharlieHebdo avec cette déclaration : “Nous vous traquerons partout sur la planète, nulle part vous ne serez en sécurité. Nous sommes Anonymous. Nous sommes légion. Nous n’oublions pas. Nous ne pardonnons pas. Ayez peur de nous, État islamique et Al-Qaïda, vous aurez notre vengeance”. Du bon gros style Anonymous qu’on connaît !
John Chase, l’un des futurs fondateurs de GhostSec, a expliqué plus tard que Charlie Hebdo était son point de rupture car le problème avec Anonymous, c’est que c’est génial pour mobiliser les foules, mais niveau coordination tactique, c’est le bordel total. Essayez un peu d’organiser une cyber guerre avec 4chan… Bref, vous voyez l’idée.
C’est là qu’intervient le concept de Ghost Security. Pas un nouveau groupe à proprement parler, mais plutôt une cellule spécialisée d’Anonymous, focus à 100% sur l’anti-terrorisme et leur idée c’est d’appliquer les méthodes hacktivistes avec la discipline militaire. Et croyez-moi, ça change TOUT. Comme l’a dit un membre de GhostSec sous le pseudo Ransacker : “Le FBI a admis à plusieurs reprises [son incapacité]. Alors, nous nous sommes impliqués dans #OpISIS pour ralentir considérablement ISIS sur le recrutement et la propagande. Nous voulions aussi pouvoir déjouer des attaques en collectant des renseignements et en les transmettant aux forces de l’ordre”.
Alors, qui compose cette dream team du hacktivisme ? Et bien il faut d’abord comprendre que GhostSec n’était pas votre collectif de script kiddies moyen. Non, ce sont des ex-militaires américains, des experts informatiques, et même des journalistes spécialisés. Les membres principaux étaient AnonCyberGost, WauchulaGhost, DigitaShadow, Comedianon, TorReaper, ISHunter, et GhostSecPI. Du bon gros level là-dedans !
Et il y avait une vraie division du travail dans le groupe. Certains membres s’occupaient de la collecte de renseignements pendant que d’autres “ghosts” se concentraient sur le côté technique de la chasse à ISIS. Un membre gérait les demandes médias et publiait même un site GhostSec Update sur Medium. Le projet était coordonné via des applications de messagerie chiffrées, des emails cryptés, et plus publiquement, sur Twitter.
Mais le personnage le plus fascinant, c’est sans doute Lara Abdallat. Ex-Miss Jordanie 2010, première dauphine Miss Monde Arabe 2011, musulmane convaincue et accessoirement l’une des hackeuses les plus redoutables de la planète. Elle rejoint GhostSec en novembre 2014, mais s’active vraiment après qu’ISIS ait brûlé vif le pilote jordanien Muath al-Kasaesbeh. Sa motivation comme elle l’écrira c’est que “Les gouvernements du monde entier n’en faisaient pas assez pour lutter contre la menace insidieuse que représentait l’État islamique.”
Lara maîtrisait parfaitement l’arabe, ce qui lui permettait de s’infiltrer dans les communications ISIS pour collecter du renseignement et je pense que ces terroristes ne s’attendaient pas à se faire piéger par quelqu’un qui avait défilé en bikini quelques années plus tôt. Le plus fort, c’est qu’elle est, encore aujourd’hui, la seule membre de Ghost Security Group dont l’identité a été rendue publique.
WauchulaGhost, lui, c’était l’artiste du groupe. Son truc c’est le defacement créatif. Il remplaçait les sites ISIS par des images de chèvres et des visuels pro-LGBTQ+. Son slogan : “Tout ce que je fais, c’est pour les gens… c’est un service gratuit”. Bref, un Robin des Bois numérique avec un sens de l’humour douteux, soit exactement ce qu’il fallait à cette cause. Plus tard, quand le groupe se divisera, il restera fidèle à l’esprit Anonymous sous le nom de #GhostofNoNation.
DigitaShadow, lui, était le cerveau tactique. Ex-militaire avec une compréhension fine des enjeux géopolitiques, il avait cette capacité rare de transformer la colère hacktiviste en stratégie cohérente. C’est lui qui développe les méthodes de collaboration avec les agences de renseignement… un concept révolutionnaire pour Anonymous à l’époque.
Les méthodes de GhostSec à l’époque étaient un mélange de techniques classiques et d’innovations tactiques. DDoS pour surcharger les serveurs ISIS, SQL injection pour compromettre leurs bases de données, defacement pour humilier publiquement leurs supporters. Mais leur vraie spécialité, c’était la collecte de renseignements. Et là, ils étaient forts !
Car contrairement aux Anonymous classiques qui font du bruit, GhostSec privilégiait l’infiltration discrète. Ils s’incrustaient dans les forums ISIS, interceptaient les communications, collectaient du renseignement afin d’identifier des attaques planifiées pour les transmettre aux autorités. Et ça fonctionne !!
Le processus était bien rodé… d’abord, ils signalaient le site à l’hébergeur. Si rien n’était fait, alors GhostSec passait à l’attaque d’abord en tentant de pirater le site, puis par DDoS en dernier recours. Les attaques de piratage incluaient l’injection SQL, les attaques XSS et les attaques par force brute. Le groupe revendiquait avoir supprimé plus de 57,000 comptes de réseaux sociaux et plus de 100 sites web utilisés par Daesh dès 2015. Selon certaines estimations, ils auraient réduit la capacité d’ISIS à diffuser son message en dehors de son public principal, réduisant la capacité de l’organisation à manipuler l’opinion publique et à attirer de nouvelles recrues.
En juillet 2015, ils interceptent des communications relatives à un attentat prévu sur un marché tunisien, un copycat de l’attaque qui avait tué 38 touristes dans un hôtel de bord de mer. L’info est alors remontée via Kronos Advisory Group (une boîte de sécurité privée dirigée par Michael Smith II) jusqu’au FBI et le résultat est plutôt satisfaisant puisque l’attentat est déjoué avec à la clé 17 arrestations. Pareil pour des projets d’attaques à New York…etc. GhostSec a probablement sauvé des vies sans que personne ne le sache jamais.
Mais l’anecdote qui restera dans l’histoire, c’est le hack du 25 novembre 2015 d’un site ISIS sur le dark web, probablement un WordPress mal sécurisé (ça c’est du classique !). GhostSec y pénètre et remplace tout le contenu par… une publicité pour CoinRX.com, une pharmacie en ligne vendant du Prozac et du Viagra.
Le message laissé était bien trollesque : “Trop d’ISIS. Augmentez votre calme. Il y a trop de gens s’intéressent à cette histoire d’ISIS. Alors regardez cette jolie publicité afin que nous puissions améliorer notre infrastructure et vous offrir le contenu ISIS dont vous rêvez tous si désespérément”. Et s’en suivait alors une publicité pour “la première pharmacie en ligne bitcoin” avec une sélection de médocs allant du Viagra au Prozac. Des terroristes qui prônent la mort et la destruction se retrouvent avec de la pub pour des antidépresseurs !
C’était tellement surréaliste que ça avait fait le tour du web. Imaginez la tête des recruteurs ISIS qui arrivent sur leur site de propagande et tombent sur “Achetez votre Viagra avec Bitcoin”. C’était ça la philosophie GhostSec, utiliser l’humour et la dérision pour désacraliser la propagande terroriste. Pas juste détruire, mais ridiculiser. Et c’est infiniment plus efficace psychologiquement. Comme ils le disaient, cette approche visait à “déterritorialiser” l’espace de communication qu’ISIS avait territorialisé pour la violence.
Mais comme toutes les belles histoires de hacktivisme, celle-ci tourne au vinaigre à cause de divergences philosophiques. En novembre 2015, 3 membres clés - DigitaShadow, ISHunter et GhostSecPI quittent le groupe pour créer Ghost Security Group (GSG), une entité séparée d’Anonymous.
Leur argument c’est que pour être vraiment efficaces contre ISIS, il faut collaborer officiellement avec le gouvernement américain. Exit l’anonymat, exit la désobéissance civile. Place à la coopération institutionnelle via des contrats avec des agences comme Kronos Advisory Group. Du coup, ils deviennent “légitimes” mais perdent leur âme.
Les autres membres du groupe ont mal pris la chose. TorReaper, notamment, reproche à l’équipe dissidente de transformer le renseignement en “marchandise” à protéger plutôt qu’à partager avec la communauté. Pour lui, c’était une trahison des valeurs d’Anonymous : “Le renseignement… est devenu une marchandise qui devait être protégée et a donc cessé d’être partagé avec les followers du groupe”. Bref, ça sent la séparation qui pique.
Mais peut-on changer le système de l’intérieur sans se faire corrompre par lui ?
DigitaShadow avait 14 spécialistes dans son équipe GSG, avec un financement stable et un accès direct aux décideurs. Mais il avait perdu l’âme anarchiste qui faisait la force d’Anonymous. C’est pourquoi TorReaper et les autres maintiennent le nom GhostSec sous bannière Anonymous, reconstruisant le groupe avec moins de hiérarchie et plus d’indépendance.
Pendant quelques années, les deux groupes coexistent. Ghost Security Group travaille avec les agences gouvernementales, GhostSec continue ses opérations indépendantes. Mais maintenir une infrastructure hacktiviste coûte cher. Serveurs, VPN, outils de chiffrement, tout ça représente un budget conséquent.
En 2016, le flux de propagande ISIS sur les réseaux sociaux devient si énorme que GhostSec change de stratégie. Au lieu de faire tomber des sites web, ils se concentrent sur la recherche de menaces directes, propagande, etc. Tout renseignement exploitable qu’ils peuvent ensuite transmettre aux agences de maintien de l’ordre américaines. Pour cela, ils se focalisent presque exclusivement sur les comptes Twitter.
Fin été 2016, nouveau tournant, GhostSec fusionne avec BlackOps Cyber, un groupe privé affilié à la corporation internationale BlackOps Partners. Avec cette fusion, GhostSec abandonne son masque Anonymous pour devenir partie intégrante d’une équipe de contre-terrorisme CyberHUMINT. Cette transformation signifiait des connexions plus profondes avec les forces de police internationales, Interpol, MI5, et autres. Pendant ce temps, WauchulaGhost garde sa position Anonymous pour combattre seul sous le nom de #GhostofNoNation, continuant ainsi la tradition du trolling créatif qu’il avait initiée.
Alors en 2022, GhostSec commence à diversifier ses activités. D’abord, ils s’attaquent aux infrastructures russes pour soutenir l’Ukraine comme en avril 2022, où ils paralysent le système ferroviaire de Metrospetstekhnika, empêchant le transport de matériel militaire via la Biélorussie.
Mais progressivement, la nécessité financière pousse le groupe vers des activités moins nobles. En juillet 2022, ils lancent “GhostSec Mafia Premium”, un service de cybercriminalité à la demande. L’idée c’est d’utiliser leurs compétences pour financer les opérations hacktivistes. Moralement discutable, mais stratégiquement cohérent.
Puis le 28 août 2023, GhostSec forme une alliance appelée “The Five Families” avec d’autres groupes : ThreatSec, Stormous, Blackforums, et SiegedSec. L’objectif selon eux, l’objectif c’est “Établir une meilleure unité et de meilleures connexions pour tous les acteurs du monde souterrain d’Internet, afin d’étendre et de développer notre travail et nos activités”. Et deux mois plus tard, ils lancent GhostLocker, un ransomware-as-a-service qui va faire parler de lui.
GhostLocker, c’était du solide. Interface de gestion complète pour les affiliés, système de double extorsion (chiffrement + vol de données), ciblage international. Ils frappent dans 16 pays : Cuba, Argentine, Pologne, Chine, Liban, Israël, Ouzbékistan, Inde, Afrique du Sud, Brésil, Maroc, Qatar, Turquie, Égypte, Vietnam, Thaïlande, Indonésie. Du bon gros niveau international !
Les secteurs visés sont la technologie, l’éducation, l’industrie, le gouvernement, le transport, l’énergie, le juridique, l’immobilier, et les télécoms. Du beau travail, malheureusement pas du bon côté de la barrière. La version de leur ransomware était codée en Python et compilée avec Nuitka, avec du chiffrement AES via la librairie Fernet.
En janvier 2024, ils sortent GhostLocker 2.0 écrit en Go avec des améliorations techniques significatives. Interface redesignée, meilleure gestion des campagnes, système de paiement optimisé. Le ransomware chiffre les fichiers et y ajoute l’extension “.ghost”… au moins ils assument leur identité !
En février 2024, GhostSec et Stormous lancent STMX_GhostLocker, un programme RaaS plus sophistiqué proposé à 269,99$ par mois. S’en suit une attaque de haut niveau en mars 2024 contre la brasserie belge Duvel Moortgat qui se fait dérober 88 GB de données et met à l’arrêt des lignes de production en Belgique et aux États-Unis. C’est là qu’on réalise l’ampleur du truc.
Puis le 15 mai 2024, GhostSec annonce officiellement son retrait des activités criminelles et son retour au hacktivisme. Sebastian Dante Alexander, le leader du groupe, forward un message depuis leur canal Telegram annonçant leur sortie de The Five Families et leur retour aux sources. D’après eux, ils avaient obtenu suffisamment de financement via les ransomwares pour soutenir leurs opérations hacktivistes à long terme.
En gros, ils ont fait du crime pour financer leur idéalisme. C’est totalement discutable moralement, mais stratégiquement ça a fonctionné. En tout cas, c’est du jamais vu dans l’histoire du hacktivisme ! Toutes les opérations GhostLocker sont alors transférées à Stormous, qui continue le programme RaaS. GhostSec, lui, revient à ses fondamentaux c’est à dire la surveillance du terrorisme en ligne, les opérations géopolitiques, et le bon vieil hacktivisme traditionnel. Alexander annonce également que leurs futures cibles incluront les organisations et agences gouvernementales israéliennes, ainsi que l’exposition de données relatives aux cartels mexicains.
Alors aujourd’hui, que reste-t-il de toute cette aventure ? Et bien GhostSec a probablement empêché des attentats, démantelé des réseaux de propagande, et sauvé des vies.
Mais leur parcours illustre aussi les dilemmes moraux du hacktivisme car quand vous avez les compétences pour améliorer le monde, comment est-ce que vous vous financez ? Comment est-ce que vous restez indépendants ? Et surtout, la fin justifie-t-elle tous les moyens ?
La transformation de GhostSec → cybercriminalité → retour au hacktivisme est unique dans l’histoire du hack car c’est la première fois qu’un groupe reconnaît explicitement avoir fait du crime pour financer son idéalisme, puis arrête quand l’objectif est atteint. Et bien sûr, ça fait débat dans la communauté hacker.
Mais au-delà de l’aspect moral, GhostSec pose une question fondamentale : les actions du groupe s’attaquaient-elles vraiment aux causes profondes du terrorisme, ou ne faisaient-elles que reproduire les mêmes structures étatiques que les terroristes combattent ? Étaient-ils des pirates créant des “zones autonomes temporaires” au nom des droits humains, ou simplement des corsaires générant du profit dans la guerre mondiale contre le terrorisme ?
Mais parlons un peu technique, parce que c’est là que GhostSec excelle vraiment. Leurs méthodes combinent sophistication technologique et intelligence humaine de façon magistrale.
Infiltration sociale : Grâce à des membres arabophones comme Lara Abdallat, ils s’incrustaient dans les forums et groupes Telegram ISIS. Ils se faisaient passer pour des sympathisants, collectaient des informations sur les recruteurs, les méthodes de propagande, les projets d’attaques. Du bon gros HUMINT (Human Intelligence).
SQL injection avancée : Pour compromettre les sites ISIS, ils utilisent des techniques d’injection SQL sophistiquées, permettant d’accéder aux bases de données complètes. Ils récupèrent ainsi les listes d’utilisateurs, les communications privées, les documents stratégiques. Classique mais efficace.
DDoS coordonnés : Contrairement aux attaques DDoS anarchiques d’Anonymous, GhostSec orchestre des campagnes ciblées et temporisées. L’objectif n’est pas juste de faire tomber un site, mais de perturber des opérations spécifiques à des moments stratégiques.
10 ans après Charlie Hebdo, GhostSec a effectivement tenu sa promesse de retour au hacktivisme avec une expertise accrue grâce à leur expérience de la décennie écoulée. Ghost Security Group (la branche gouvernementale) continue ses activités de conseil auprès des agences américaines. Et Lara Abdallat travaille désormais ouvertement avec les autorités jordaniennes sur les questions de cybersécurité.
L’évolution de GhostSec, d’Anonymous à groupe semi-gouvernemental, puis à cybercriminels, et retour au hacktivisme, illustre parfaitement les paradoxes du monde numérique moderne. Leur histoire montre qu’il n’existe pas de frontière claire entre le bien et le mal dans le cyberespace, seulement des nuances de gris dans un monde en perpétuelle mutation.
Après avoir écrit tout ça, en tout cas, j’ai très envie de savoir ce qu’ils préparent pour la suite, parce que connaissant leur capacité à nous surprendre, on n’a pas fini d’entendre parler d’eux.
Connexion
