Vous avez déjà tenté de brancher votre vieux NAS un dimanche matin, café à la main, en vous disant « deux minutes, je jette un œil aux logs » ? Résultat : 472 connexions SSH depuis le Kazakhstan en moins de trois heures, un mot de passe « admin2025 » qui traînait encore et un petit script russe en train de jouer à la roulette avec vos sauvegardes. Le pire ? Vous étiez encore en pyjama. Depuis, vous avez appris la leçon : les pirates ne font pas grasse mat’. Et comme ils bossent 24/7, votre protection non plus n’a pas le droit de roupiller. C’est là que Surfshark One entre en scène : pas une armure blindée façon entreprise, juste quatre potes qui montent la garde à tour de rôle, même quand vous ronflez.
Dans les lignes qui suivent, on va parler de la suite de sécurité de Surfshark comme si on causait autour d’un kebab à 2 h du mat : sans langue de bois, avec de vrais cas concrets et, surtout, avec la certitude que demain matin à 4 h 17, un bot quelque part tentera encore de se faufiler dans votre vie numérique.
On commence par l’élément que tout le monde connaît déjà : le VPN. Sauf que, chez Surfshark, il ne se contente pas de changer votre IP pour binge Netflix US. Il chiffre tout, tout le temps, et surtout sans nombre limite de connexions. Vous pouvez l’installer sur votre PC de boulot, votre téléphone, la tablette de votre ado, le Chromecast du salon et le vieux Linux qui sert de seedbox dans le garage. Résultat : même si un voisin mal intentionné sniff le Wi-Fi de l’immeuble, il récupère juste du charabia AES-256.
Le petit truc en plus vraiment cool, c’est le mode CleanWeb activé par défaut. Adios pubs YouTube, trackers Facebook et pop-ups de consentement cookies. Votre page charge plus vite, votre CPU respire, et vous économisez des Mo sur votre forfait 4G. Votre connexion se dope aux vitamines. Ensuite, y’a le multi-hop : vos données passent par deux serveurs VPN à la suite. C’est pas indispensable tous les jours, mais quand vous vous connectez depuis l’aéroport d’Istanbul et que vous ne voulez pas que Big Brother sache que vous aimez les vidéos de cuisine coréenne, c’est royal. Je passe en vitesse sur le mode camouflage (même votre FAI vous a perdu de vue), la possibilité de whitelister certains sites, etc.
La dernière nouveauté : Everlink
Toujours à la pointe le VPN requin vient d’annoncer Surfshark Everlink. Grâce à ce dernier, même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous faire attendre. Grâce à une infrastructure brevetée, Surfshark redirige automatiquement le tunnel vers un serveur sain ; vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Toujours en ligne, toujours invisible.
Contrairement au classique « kill switch » qui coupe la connexion quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux.
Disponible par défaut avec le protocole WireGuard sur tous vos appareils, sans surcoût, c’est la sécurité qui roule en pilote automatique.
Surfshark One intègre aussi le moteur antivirus signé Avira (l’un des plus reconnus du marché). Rien de révolutionnaire, mais il ne râle jamais. Pas de pop-up toutes les dix minutes pour vous dire que le fichier setup.exe de 1998 est dangereux. Il scanne en arrière-plan, signale rapidement si un téléchargement sent mauvais, et hop, au suivant. Vous pouvez même planifier un scan complet tous les dimanches à 8 h du matin, histoire de vérifier que votre PC n’a pas chopé un cheval de Troie pendant votre binge de The Office. Par contre, ne cherchez pas la quarantaine manuelle ou l’analyse heuristique poussée : c’est volontairement minimaliste. Si vous voulez un antivirus façon Fort Knox, il faudra une autre solution. Mais si vous voulez juste stopper les saloperies sans vous prendre la tête, Surfshark suffit.
L’outil a obtenu un score de 17,5/18 chez AV-Test, ce qui veut dire que si un malware tente de se faufiler, il finira quasi à coup sûr en quarantaine. Pas mal pour une solution qui coûte 0.6€ de plus par mois (par rapport au VPN seul).
Google, c’est pratique, mais il vous suit partout. Surfshark Search, c’est l’inverse : pas d’historique, pas de pubs, pas de profilage. Les résultats sont fournis par une API tierce, donc pas de bulle de filtres. Vous tapez « meilleur VPN 2025 », vous tombez sur des comparatifs, pas sur des pubs déguisées. Ainsi, vous évitez les suggestions personnalisées qui vous font croire que tout le monde pense comme vous. C’est reposant, et ça évite les échos algorithmiques.
Vous souvenez-vous de la fois où votre mot de passe Pizza2023! est apparu sur Pastebin ? Non ? Surfshark Alert, lui, oui. Dès qu’une adresse mail ou un numéro de carte bancaire fuite dans une base de données, vous recevez une notif. Pas une alerte anxiogène façon « PANIQUEZ-VOUS », juste un petit message : « Ton mail est dans la nature, change le mdp ». Ensuite, il vous suffit de cliquer sur le lien fourni, vous changez le mot de passe, et vous archivez l’alerte. Votre pote insomniaque qui scrute le dark web pour vous et vous réveille en cas de pépin continuera à bosser. Pour aller plus loin, vous pouvez surveiller plusieurs adresses mails, vos cartes bancaires, et même votre numéro de sécu (US, Lituanie, Bulgarie uniquement pour l’instant). C’est gratuit avec l’abo, donc autant en profiter.
Alternative ID c’est la fonction bonus que personne n’attendait, mais que tout le monde finit par adorer. Surfshark génère une identité complète : nom, prénom, adresse, date de naissance, et mail. Vous pouvez même choisir le pays (US, Allemagne, Australie, etc.). C’est pratique pour s’inscrire sur un site douteux sans balancer votre vraie vie. Pourtant, ne vous faites pas d’illusion : c’est un alias, pas une carte d’identité officielle. Ça suffit pour éviter le spam, pas pour ouvrir un compte bancaire offshore.
Le prix, la facilité, la conclusion
Ajouter Surfshark One à votre abonnement VPN coûte 60 centimes. Pas 6€ … 60 centimes … par mois (2.38€/mois le VPN seul, 2.98€ pour la suite One en complément). Pour ce prix, vous obtenez un antivirus, un chasseur de leak, un moteur de recherche privé et un générateur d’alias. C’est moins cher que de passer de la petite à la grande frite sur votre menu kebab, pour avoir une équipe de sécurité 24/7.
En résumé, si vous cherchez une solution plug-and-play pour dormir sur vos deux oreilles (et vos deux yeux), Surfshark One fait le job. Pas de console d’admin complexe, pas de lignes de commande à taper à 3 h 14. Juste quatre services qui montent la garde pendant que vous rêvez de moi code et de conquête du monde. Donc, la prochaine fois qu’un bot tentera de se faufiler dans votre vie numérique à l’aube, vous serez déjà protégé. Et lui, il repartira bredouille.
Bon, je sais que quand on parle de l’affaire Kevin Mitnick, y’a toujours deux camps qui s’écharpent. Mais, l’histoire de Tsutomu Shimomura, c’est du grand cinéma. Noël 1994, le physicien rentre tranquillement chez lui à Solana Beach et là, il découvre que quelqu’un s’est introduit dans son système informatique. Et pas via une effraction physique classique, non, mais par les “tubes cathodiques” (oui, je vous explique le délire après…lol). Et le type a même laissé un message sur son répondeur pour le narguer. Une erreur fatale quand on s’attaque à un chasseur de hackers.
Tsutomu Shimomura, c’est pas n’importe qui dans le game. Il est le fils d’Osamu Shimomura, LE Shimomura qui a décroché le Prix Nobel de chimie en 2008 pour ses travaux sur la protéine fluorescente verte des méduses. C’est ce truc vert fluo qui permet aujourd’hui aux chercheurs de visualiser les cellules vivantes en temps réel. Bref, le fiston a grandi dans un environnement où l’excellence scientifique, c’était la base. Sauf que contrairement à papa qui étudiait les méduses bioluminescentes (il en a pêché 850 000 quand même !), lui décide de chasser les prédateurs numériques.
Et c’est grâce à ses techniques de traque high-tech avec triangulation cellulaire et analyse de fréquences que Kevin Mitnick, le hacker le plus recherché d’Amérique à l’époque, se retrouve derrière les barreaux le 15 février 1995 à 1h30 du matin précisément.
Mais attention, comme toujours l’histoire est bien plus complexe qu’elle n’y paraît.
Né en 1964 à Kyoto, Tsutomu montre déjà des signes de rébellion dès le lycée. Le gamin se fait carrément expulser de Princeton High School pour “attitude anticonformiste”. Il faisait partie d’un groupe d’étudiants qui n’acceptaient pas l’autorité établie et pourtant, gagnait des concours locaux de maths et sciences. Ça vous rappelle quelque chose ? Génie + caractère de cochon = futur expert en sécurité informatique.
Ensuite, direction Caltech où il va étudier sous la direction de Richard Feynman. Oui, LE Feynman, Prix Nobel de physique et légende vivante. Franchement, avoir ce type comme prof, ça doit marquer à vie. Feynman était connu pour ses méthodes d’enseignement peu orthodoxes et sa capacité à simplifier les concepts les plus complexes. Parfait donc pour former un futur chasseur de hackers qui devra expliquer des trucs techniques aux agents du FBI.
Après Caltech, Shimomura file à Los Alamos National Laboratory. Là, il travaille avec Brosl Hasslacher sur les automates de gaz sur réseau (lattice gas automata pour les intimes). En gros, ils simulent l’écoulement des fluides avec des méthodes de calcul parallèle massif. Pourquoi je vous parle de ça ? Parce que cette expertise va directement lui servir plus tard. Quand vous maîtrisez les systèmes parallèles et les algorithmes complexes, traquer des hackers devient presque un jeu d’enfant.
En 1989, Shimomura rejoint le San Diego Supercomputer Center comme Senior Fellow. Officiellement, il fait de la recherche en physique computationnelle. Officieusement, il commence à faire du consulting pour des agences gouvernementales sur les questions de sécurité. En 1992, il témoigne même devant le Congrès américain sur les failles de sécurité des téléphones cellulaires. Il avait déjà identifié les vulnérabilités que les hackers allaient exploiter. Le type était en avance sur son temps.
Maintenant, accrochez-vous parce que l’histoire devient vraiment “juteuse”. Le 25 décembre 1994, pendant que tout le monde déballe ses cadeaux de Noël, Kevin Mitnick décide de s’attaquer au système personnel de Shimomura. Pourquoi lui ? Probablement parce que Shimomura avait des fichiers ultra-intéressants sur la sécurité des réseaux et des téléphones cellulaires. C’était du caviar pour un hacker.
Tsutomu Shimomura et Julia Menapace
La technique utilisée ? De l’art ! Mitnick utilise ce qu’on appelle le “source address spoofing” combiné avec la “TCP sequence prediction”. Pour faire simple, il fait croire au système de Shimomura qu’il est un ordinateur de confiance en prédisant les numéros de séquence TCP. C’est comme si quelqu’un se déguisait en facteur pour entrer chez vous, mais en plus compliqué.
Bien sûr, Mitnick ne s’est pas littéralement introduit via un tube cathodique d’écran CRT (ça n’a pas de sens physiquement 😅), mais via une attaque réseau ciblée, exploitant des failles dans le protocole X11 et dans des systèmes SunOS non patchés. L’expression “par les tubes cathodiques” que j’ai employé au début de ce récit vient de la façon dont certains journalistes de l’époque avaient vulgarisé le truc car Mitnick a utilisé une session graphique X11 pour ouvrir une fenêtre à distance sur le poste de Shimomura. Et comme c’était une interface graphique, les médias nous ont pondu l’image du hacker qui passe par l’écran. Et comme à l’époque, un écran = tube cathodique, hop, ça fait pas des chocapics mais une “intrusion par le tube cathodique”.
Mais Mitnick fait une erreur psychologique majeure. Non content d’avoir pénétré le système et volé des centaines de fichiers, il laisse des messages moqueurs sur le répondeur de Shimomura. Des trucs du genre “Votre sécurité, elle est où ?” avec une voix déformée. Breeeef, quand on s’attaque à un expert en sécurité fils d’un Prix Nobel, on évite de le narguer car c’est comme tirer la queue d’un tigre endormi.
Shimomura découvre alors l’intrusion en rentrant de San Francisco. Des centaines de fichiers copiés, des programmes volés, son système compromis. Mais au lieu de simplement changer ses mots de passe et passer à autre chose comme vous et moi, il décide alors de traquer l’intrus. Et là, ça devient technique.
Première étape : Analyser les traces laissées par l’attaque. Shimomura identifie que Mitnick utilise des connexions par modem cellulaire pour masquer sa position. Malin, mais pas suffisant contre un physicien qui a étudié les systèmes de communication et qui a témoigné devant le Congrès sur le sujet.
Deuxième étape : Coopération avec les opérateurs téléphoniques. Shimomura contacte Sprint et d’autres compagnies et avec leur aide, il arrive à tracer les connexions jusqu’à la source. Mais attention, on est en 1995, et les techniques de géolocalisation étaient primitives comparées à aujourd’hui. Y’avait pas de GPS dans tous les téléphones, hein !
Troisième étape : Triangulation radio. Shimomura utilise des techniques de direction finding pour localiser précisément l’émetteur. En gros, avec plusieurs antennes, on peut déterminer la direction d’où vient un signal. Croiser plusieurs directions permet alors de déterminer la position exacte. C’est de la physique pure appliquée à la chasse au hacker.
Shimomura estime qu’il lui a fallu seulement quatre jours de travail intensif pour localiser Mitnick. Le 12 février 1995, il savait déjà où se trouvait Mitnick à un mile près. Le 15 février, il débarque à Raleigh en Caroline du Nord, avec une équipe de techniciens du FBI. Ils utilisent des équipements de surveillance radio pour isoler l’immeuble exact : le Players Court, près de l’aéroport de Raleigh-Durham.
Et pourquoi Raleigh ? Et bien Mitnick expliquera plus tard qu’il adorait le jeu Monopoly et les propriétés vertes, et la Caroline du Nord, c’est les propriétés vertes sur le plateau américain. Le type avait aussi 44 demandes d’emploi dans son appart et un bouquin “The 100 Best Companies to Work for in America”. Il voulait se ranger, apparemment.
À 1h30 du matin, le FBI frappe à la porte. Mitnick se fait arrêter avec un arsenal numérique impressionnant : des téléphones clonés et de multiples fausses identités. C’est game over. Il sera condamné à presque 6 ans de prison, dont une grande partie en isolement parce que le juge avait peur qu’il pirate le téléphone de la prison. Hé oui !
Après l’arrestation, Shimomura décide de raconter son histoire. Avec John Markoff, journaliste au New York Times, il publie “Takedown: The Pursuit and Capture of Kevin Mitnick” en 1996. Le livre devient un best-seller et sera adapté au cinéma sous le titre “Operation Takedown” en 2000 avec Skeet Ulrich dans le rôle de Mitnick.
Sauf que voilà, tout le monde n’est pas d’accord avec cette version des faits. Jonathan Littman publie “The Fugitive Game” la même année et accuse carrément Shimomura et Markoff d’avoir fabriqué des éléments pour se faire mousser. Plus tard, Mitnick lui-même riposte avec “Ghost in the Wires” en 2011, où il surnomme Shimomura “Shimmy” avec un ton franchement méprisant.
Kevin Mitnick lors de son arrestation
La vérité ? Elle se trouve probablement quelque part entre les trois versions car Shimomura a certainement contribué à la capture, mais il a peut-être aussi dramatisé son rôle. Mitnick n’était probablement pas le génie du mal qu’il a décrit, mais il était loin d’être innocent avec ses 25 chefs d’accusation de crimes informatiques.
Après sa célébrité soudaine, Shimomura aurait pu capitaliser sur sa notoriété et devenir consultant en cybersécurité comme tout le monde. Mais non, le type prend une direction complètement différente. Il rejoint Sun Microsystems à la fin des années 90, puis fonde sa propre boîte : Neofocal Systems.
Neofocal, c’est pas de la cybersécurité. C’est de la technologie LED intelligente ! Shimomura développe des puces pour contrôler des réseaux de LED individuellement adressables. En gros, vous pouvez contrôler chaque LED séparément avec un seul câble pour l’alimentation et des données. En 2015, Neofocal lève 9 millions de dollars. Pas mal pour un pivot aussi radical.
L’affaire Shimomura-Mitnick soulève des questions qui résonnent encore aujourd’hui. Jusqu’où peut aller un civil dans une enquête criminelle ? Les méthodes de Shimomura, acceptables en 1995, seraient probablement problématiques aujourd’hui. Traquer quelqu’un avec des équipements de surveillance radio sans mandat, c’est limite. Mais d’un autre côté, les méthodes traditionnelles d’investigation étaient totalement inadaptées face aux nouveaux crimes numériques.
Alors 30 ans après, qu’est-ce qui reste de cette histoire ? Et bien Shimomura a prouvé que la science théorique peut être une arme redoutable en cybersécurité. Il a démontré l’importance de la coopération entre secteur privé et forces de l’ordre (aujourd’hui c’est la norme) et ses préoccupations de 1992 sur la sécurité des téléphones cellulaires étaient visionnaires !
Kevin Mitnick est décédé le 16 juillet 2023 d’un cancer du pancréas, à 59 ans, mettant fin à l’une des rivalités les plus emblématiques de l’histoire de la cybersécurité. Il était devenu Chief Hacking Officer chez KnowBe4 et consultant en sécurité respecté. Shimomura, lui, continue aujourd’hui d’innover dans le secteur des semiconducteurs. Deux destins différents pour deux figures légendaires du monde du hacking.
À vous de voir maintenant si les méthodes de Shimomura étaient justifiées ou pas mais une chose est sûre : ne narguez jamais un physicien qui connaît les protocoles TCP par cœur !
La Hyundai Ioniq 5 est très prisé par les voleurs en raison de sa facilité déconcertante à être subtilisée en quelques secondes, surtout en Amérique du Nord et au Royaume-Uni. Une mise à jour de sécurité est disponible, mais les clients doivent passer à la caisse. La France n'est pas concernée par ces vols.
Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !
Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !
Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !
L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…
Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.
La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.
Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !
Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.
BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !
Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.
RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !
Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !
Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :
Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce
Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !
Les techniques d’attaque de Chaos sont d’un autre niveau :
Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
Double extorsion : vol des données avant chiffrement pour faire pression
Triple extorsion : DDoS sur le site de la victime si elle refuse de payer
Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !
Le chatbot est programmé pour :
Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
Augmenter la pression toutes les 24h avec menaces de publication
Proposer des “réductions” si paiement rapide (technique de vente classique)
Menacer de contacter les clients/partenaires de la victime
Publier automatiquement 10% des données volées si pas de réponse après 72h
Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.
Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.
L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :
Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
Frais légaux et de notification : 450 000 dollars minimum
Augmentation des primes d’assurance cyber : x3 après une attaque
Coût de reconstruction from scratch : souvent plus cher que la rançon
Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !
SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.
Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.
Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.
Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :
Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
Formation du personnel : 91% des attaques commencent par un email de phishing
Segmentation réseau : limiter la propagation latérale
Plans de réponse aux incidents : testés régulièrement avec des simulations
Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”
Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !
On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…
Nous sommes lundi matin, et vous garez votre bagnole dans le parking du boulot…. Et pendant que vous glandouillez devant korben.info avec un petit café, un mec à l’autre bout du monde déverrouille votre caisse, fouille dans vos données perso et suit vos trajet en temps réel. De la science-fiction ? Non, c’était possible jusqu’en février 2025 chez un constructeur automobile majeur qu’on ne nommera pas. Pas parce que je ne veux pas le dire mais parce que son nom a été tenu secret.
Le héros de cette histoire, c’est Eaton Zveare, un chercheur en sécurité chez Harness qui a trouvé LA faille de l’année. Lors de sa présentation au DEF CON 33, il a expliqué comment il a réussi à créer un compte “national admin” sur le portail concessionnaire d’un constructeur. Deux bugs API tout bêtes, et hop, accès total à plus de 1000 concessionnaires américains.
Le code buggé se chargeait directement dans le navigateur quand vous ouvriez la page de connexion et Zveare a juste eu à modifier ce code pour bypasser les contrôles de sécurité. Selon lui, “les deux vulnérabilités API ont complètement fait sauter les portes, et c’est toujours lié à l’authentification”. Bref, le B.A.-BA de la sécurité qui n’était pas respecté, une fois de plus.
Une fois connecté avec son compte admin fantôme, Zveare avait accès à un outil de recherche national complètement dingue. Il suffisait d’entrer un nom ou de relever un numéro VIN sur un pare-brise pour trouver n’importe quel véhicule du constructeur.
Le chercheur a testé ça sur un ami consentant (important, le consentement, hein !) et a transféré la propriété du véhicule sur un compte qu’il contrôlait, et bam, il pouvait déverrouiller la voiture à distance. Le portail demandait juste une “attestation”, en gros, une promesse sur l’honneur que vous êtes légitime. Super sécurisé, n’est-ce pas ?
Ce qui est flippant, c’est que ce n’est pas un cas isolé. Selon les chiffres de 2025, les cyberattaques sur les voitures ont augmenté de 225% en trois ans. 80% des nouvelles voitures ont une connexion internet, et 95% de toutes les voitures fabriquées en 2025 en auront une. Des millions de véhicules Kia et Subaru ont déjà été touchés par des vulnérabilités similaires permettant le contrôle à distance.
Mais le vrai délire, c’était la fonction “impersonation” du portail. Zveare pouvait se faire passer pour n’importe qui sans leurs identifiants et naviguer entre tous les systèmes interconnectés des concessionnaires. De là, c’était open bar : données perso et financières, tracking temps réel de TOUS les véhicules (perso, location, courtoisie, même ceux en livraison), contrôle de l’app mobile… Il pouvait même annuler des livraisons en cours…
Selon SecurityWeek, une vulnérabilité similaire dans le système Starlink de Subaru a été corrigée en 24 heures en novembre 2024. Cette faille permettait de démarrer, arrêter, verrouiller et déverrouiller des véhicules à distance. Le constructeur concerné par la découverte de Zveare a mis une semaine pour corriger les bugs après sa divulgation en février. Ils n’ont trouvé aucune preuve d’exploitation passée, ce qui suggère que Zveare était le premier à découvrir et signaler cette faille béante.
Ce qui est fou, c’est la simplicité du hack. Pas besoin d’être un génie du code ou d’avoir des outils sophistiqués. Juste deux bugs d’authentification mal gérés, et c’est open bar sur les données de milliers de clients et leurs véhicules. Les constructeurs automobiles doivent vraiment se réveiller sur la cybersécurité car avec 84,5% des attaques exécutées à distance et des API mal protégées partout, on est assis sur une bombe à retardement.
La morale de l’histoire c’est que si vous avez une voiture connectée, priez pour que votre constructeur prenne la sécurité au sérieux. Et si vous êtes développeur dans l’automobile, par pitié, sécurisez vos APIs d’authentification. C’est la base !
Bon cet aprem, je vais vous raconter l’histoire d’un mec qui a littéralement réinventé le journalisme d’investigation en cybersécurité. Car Brian Krebs, c’est un peu le Woodward et Bernstein du cyberespace, sauf qu’au lieu de faire tomber un président, il fait tomber des réseaux entiers de cybercriminels. Et croyez-moi, son parcours est digne de figurer dans ma série de l’été !
Brian Krebs naît en 1972 en Alabama et contrairement à ce qu’on pourrait penser, le gamin n’est absolument pas un geek dans l’âme. En 1994, il décroche son diplôme en relations internationales à l’Université George Mason et l’informatique ? Il s’en fiche complètement ! Il avait bien programmé un peu en BASIC sur un Apple II au lycée, mais sans plus. À l’époque, Brian se destine plutôt à une carrière dans la diplomatie ou les affaires internationales. Personne, absolument personne, n’aurait pu prédire qu’il deviendrait la terreur des cybercriminels mondiaux.
En 1995, le jeune diplômé de 23 ans cherche du boulot et tombe un peu par hasard sur une annonce du Washington Post. Mais attention, pas pour un poste de journaliste star ! Non, il commence tout en bas de l’échelle, au service circulation. Son job c’est de gérer les abonnements et la distribution du journal. Il passe ses journées à traiter les plaintes de clients qui n’ont pas reçu leur journal. Pas vraiment glamour, mais c’est un pied dans la place.
Bref, de là, Brian fait preuve d’une détermination qui va caractériser toute sa carrière. Il obtient un poste d’assistant de rédaction dans la salle de presse du Post. Trier le courrier et prendre en dictée les papiers des reporters sur le terrain devient son quotidien. On est à la fin des années 90, les journalistes appellent depuis des cabines téléphoniques pour dicter leurs articles, et Brian tape frénétiquement sur son clavier pour tout retranscrire. C’est l’école du journalisme à l’ancienne ! Il apprend à écrire vite, à synthétiser, à capter l’essentiel d’une histoire.
Mais Brian ne se contente pas de ce rôle subalterne. Il observe, il apprend, il absorbe tout ce qu’il peut sur le métier de journaliste. En 1999, sa persévérance paie et il décroche un poste de rédacteur pour Newsbytes.com, le service d’actualités technologiques du Post. C’est le début de sa carrière de journaliste tech. Et il couvre tout : les fusions-acquisitions, les nouvelles technologies, la bulle internet qui gonfle… Mais toujours rien sur la sécurité.
L’événement qui va complètement changer sa vie survient en 2001. Brian a alors 29 ans et s’amuse à bidouiller avec Linux sur un vieux PC Hewlett-Packard qu’il a récupéré. Il veut apprendre, comprendre comment ça marche. Il a installé Red Hat Linux 6.2 avec l’idée de transformer cette machine en firewall pour protéger son réseau domestique. Le problème, c’est qu’il ne sait pas vraiment ce qu’il fait et laisse la configuration par défaut, avec tous les services activés et les mots de passe faibles.
Et là, c’est le drame : le Lion Worm, un ver informatique créé par un groupe de hackers chinois appelé la “Honker Union”, infecte sa machine et le verrouille complètement hors de son propre système. Brian est furieux ! Il réinstalle tout, remet Linux, et BAM, il se fait réinfecter. Deux fois de suite ! Cette humiliation va déclencher quelque chose en lui. “J’étais tellement énervé”, raconte-t-il. “Comment c’était possible qu’un truc pareil existe ? Comment ces types pouvaient-ils prendre le contrôle de MON ordinateur ?”
“C’est à ce moment-là que j’ai décidé d’apprendre tout ce que je pouvais sur la sécurité informatique et Internet”, expliquera-t-il plus tard. Il devient alors obsédé. Il lit absolument tout ce qu’il peut trouver sur le sujet : les bulletins du CERT, les forums underground, les analyses de malwares. Il passe ses nuits à comprendre comment fonctionnent les attaques, les vulnérabilités, les exploits. C’est une véritable renaissance intellectuelle.
Et cette nouvelle passion tombe à pic car en 2002, quand le Post vend Newsbytes, Brian utilise ses nouvelles connaissances en cybersécurité pour décrocher un poste de rédacteur à temps plein pour Washingtonpost.com. Il couvre les sujets tech avec un angle de plus en plus orienté sécurité. Il écrit sur les virus, les vers, les premières grandes brèches de données et ses articles deviennent de plus en plus techniques, de plus en plus profonds.
Mais Brian sent qu’il peut faire plus. En mars 2005, il lance alors Security Fix, un blog quotidien centré sur la sécurité informatique, la cybercriminalité et les politiques technologiques. C’est une première pour un grand média américain : un blog entièrement dédié à la cybersécurité, alimenté quotidiennement. Brian y développe un style unique car au lieu de simplement rapporter les faits, il mène de véritables enquêtes et va chercher l’info à la source.
Et c’est là que ça devient vraiment intéressant car Brian commence à infiltrer les forums de cybercriminels. Il apprend le russe, maîtrise l’argot des hackers, comprend leurs codes. Il passe des heures sur des forums comme Shadowcrew.com, Carderplanet, DarkMarket. Il observe, il apprend, il documente. “J’ai réalisé que pour vraiment comprendre la cybercriminalité, il fallait aller là où elle se passait”, dit-il.
Ainsi, là où la plupart des journalistes se contentent de relayer les communiqués de presse des entreprises victimes de piratage, Brian va gratter plus en profondeur. Il se construit un réseau de contacts dans le milieu de la sécurité informatique, mais aussi parmi les cybercriminels eux-mêmes. Et surtout, il gagne leur respect en montrant qu’il comprend vraiment leur monde.
En août 2008, Brian publie une série d’articles qui va faire date. Il révèle les activités illicites d’Intercage (aussi connu sous le nom d’Atrivo), un hébergeur basé en Californie du Nord qui abritait une quantité phénoménale de cybercriminels. Pédopornographie, phishing, malware, spam… Atrivo hébergeait tout. L’impact est immédiat car en septembre 2008, tous les fournisseurs d’accès coupent leurs liens avec Atrivo. L’hébergeur est littéralement débranché d’Internet.
Mais Brian ne s’arrête pas là. Il enquête sur EstDomains, l’un des plus gros clients d’Atrivo, et découvre que le président de la société, Vladimir Tšaštšin, a été condamné en Estonie pour fraude à la carte de crédit, falsification de documents et blanchiment d’argent. Deux mois après la publication de son enquête, l’ICANN révoque alors la licence d’EstDomains. Krebs 2, Cybercriminels 0, joli score, non ?
Pendant toute cette période au Washington Post, Brian publie plus de 1 300 billets de blog pour Security Fix, des centaines d’articles pour washingtonpost.com, huit articles en première page du journal papier, et même un article de couverture pour le Post Magazine sur les opérateurs de botnets. Il devient LA référence en matière de cybersécurité aux États-Unis.
Mais en 2009, comme beaucoup de journalistes de l’époque, Brian est licencié du Post dans le cadre de compressions budgétaires. Le journal perd de l’argent car Internet bouleverse le modèle économique des médias. Au lieu de chercher un autre job dans un média traditionnel, il prend alors une décision audacieuse et lance en décembre 2009, KrebsOnSecurity.com, son propre site d’investigation en cybersécurité.
C’est un pari risqué car à l’époque, peu de journalistes indépendants arrivent à vivre de leur blog. Mais Brian a un avantage : sa réputation et son réseau de sources sont déjà solidement établis. Très vite, KrebsOnSecurity devient LA référence en matière d’enquêtes cybersécurités. Les RSSI, les chercheurs en sécurité, même les cybercriminels lisent religieusement ses articles.
En 2010, Brian marque un grand coup : il est le premier journaliste à rapporter l’existence d’un malware super sophistiqué qui cible les systèmes industriels iraniens. “J’ai reçu un échantillon de ce truc bizarre”, raconte-t-il. “C’était différent de tout ce qu’on avait vu avant.” Ce malware sera plus tard connu sous le nom de Stuxnet, et on découvrira plus tard qu’il s’agit d’une cyberarme développée par les États-Unis et Israël pour saboter le programme nucléaire iranien. Rien que ça !
Mais c’est à partir de 2013 que la vie de Brian bascule vraiment dans quelque chose de complètement dingue. Le 14 mars 2013, à 22h15 précises, il devient l’une des premières victimes de “swatting” parmi les journalistes. Des cybercriminels appellent le 911 en utilisant un service de spoofing pour faire croire que l’appel vient de chez lui. L’appelant, imitant Brian, déclare à la police : “J’ai tiré sur ma femme. Je l’ai peut-être tuée. J’ai une arme. Si quelqu’un entre, je tire.” Résultat : une équipe du SWAT débarque chez lui en plein dîner, armes au poing !
“J’étais en train de manger tranquillement quand j’ai vu des lumières rouges et bleues partout”, se souvient Brian. “J’ai ouvert la porte et il y avait une douzaine de flics avec des fusils d’assaut pointés sur moi. Ils m’ont ordonné de lever les mains et de sortir lentement.” Heureusement, Brian avait prévenu la police locale qu’il était journaliste en cybersécurité et qu’il risquait ce genre d’attaque et les flics ont rapidement compris que c’était un swatting.
L’incident est orchestré par un groupe de hackers opérant le site Exposed.su, incluant Eric “CosmotheGod” Taylor et Mir Islam. Ces types n’apprécient pas que Brian expose leurs activités criminelles et décident de se venger. La veille, Brian avait publié un article révélant comment ils obtenaient les données personnelles de leurs victimes via un site russe appelé SSNDOB. 45 minutes après la publication, ils avaient lancé une attaque DDoS contre son site.
Mir Islam sera plus tard condamné à deux ans de prison pour avoir swatté plus de 50 personnalités publiques, incluant Michelle Obama, le directeur du FBI Robert Mueller, le directeur de la CIA John Brennan, et même Paris Hilton. Le mec était complètement taré !
Mais les cybercriminels ne s’arrêtent pas là et en avril 2013, Brian reçoit par courrier plus d’un gramme d’héroïne pure ! Le plan diabolique étant d’envoyer la drogue chez lui, puis appeler la police pour le faire arrêter pour possession de stupéfiants. Sauf que Brian avait été prévenu du plan par ses sources sur un forum underground et avait alerté le FBI trois jours avant l’arrivée du colis.
Le cerveau derrière cette tentative de coup monté est Sergey “Fly” Vovnenko, un cybercriminel ukrainien de 29 ans qui administrait le forum de fraude “thecc.bz”. Vovnenko avait lancé un “Krebs Fund” sur le forum, demandant des donations en Bitcoin pour acheter de l’héroïne sur Silk Road. “L’idée était simple”, expliquera Vovnenko plus tard. “Faire livrer la drogue chez lui, puis faire appeler la police par un complice en se faisant passer pour un voisin inquiet.”
Pour se venger, Fly publie aussi le dossier de crédit immobilier complet de Brian sur son blog Livejournal, avec des photos de sa maison et même une couronne mortuaire qu’il fait livrer chez lui avec un message menaçant pour sa femme. Vovnenko sera finalement arrêté à Naples en 2014 et condamné à 41 mois de prison en 2017. Dans une interview surréaliste en 2019, il expliquera à Brian lui-même pourquoi il avait tenté de le piéger, s’excusant pour ses actions !
Mais LE coup de maître journalistique de Brian, celui qui va définitivement établir sa réputation, c’est l’affaire Target. Le 18 décembre 2013, Brian publie sur son blog que Target enquête sur une possible brèche de sécurité “impliquant potentiellement des millions de données de cartes de crédit et de débit”. Target n’a encore rien annoncé publiquement. Brian a eu l’info via deux sources indépendantes dans le milieu bancaire qui avaient remarqué une hausse anormale de fraudes sur des cartes ayant toutes été utilisées chez Target.
Le lendemain, Target confirme : 40 millions de comptes ont été compromis entre le 27 novembre (Thanksgiving) et le 15 décembre 2013. Les hackers ont eu accès aux données des bandes magnétiques des cartes utilisées dans les 1 797 magasins Target aux États-Unis pendant la période la plus chargée de l’année. Plus tard, on apprendra que 70 millions de comptes supplémentaires ont été touchés, avec des données personnelles volées.
Et Brian ne s’arrête pas là. En février 2014, il révèle la source de la brèche : Fazio Mechanical, une petite entreprise de chauffage et climatisation de Pennsylvanie qui travaillait pour Target. Les hackers ont d’abord compromis Fazio via un email de phishing en septembre 2013, puis ont utilisé leurs accès au portail fournisseur de Target pour pénétrer le réseau. Une fois dedans, ils ont utilisé une technique appelée “Pass-the-Hash” pour obtenir des privilèges administrateur et installer leur malware sur les caisses.
Le malware contenait la signature “Rescator”, le pseudonyme du cybercriminel qui vendait les cartes volées sur son site rescator.la. Brian découvrira alors que Rescator vendait les cartes par lots géographiques (vous pouviez acheter toutes les cartes volées dans votre ville pour frauder localement sans éveiller les soupçons). Dix ans plus tard, en 2023, Brian publiera de nouveaux indices révélant que Rescator était probablement Mikhail Shefel, un résident de Moscou.
L’année 2014 est aussi marquée par la publication de son livre “Spam Nation: The Inside Story of Organized Cybercrime - from Global Epidemic to Your Front Door”. Le bouquin devient un best-seller du New York Times et remporte un PROSE Award en 2015. Brian y raconte l’histoire fascinante des spammeurs russes et de l’économie souterraine du cybercrime, basée sur des années d’infiltration des forums criminels.
Mais être le journaliste le plus craint des cybercriminels a un prix et le 20 septembre 2016, KrebsOnSecurity subit la plus massive attaque DDoS jamais vue à l’époque : 620 à 665 gigabits par seconde de trafic malveillant ! Pour vous donner une idée, c’est assez de bande passante pour faire crasher une petite ville entière. Martin McKeay d’Akamai confirme que leur précédent record était de 363 Gbps. L’attaque de Brian fait presque le double !
L’attaque est menée par le botnet Mirai, composé de centaines de milliers d’objets connectés piratés : caméras de surveillance, routeurs, moniteurs pour bébés, même des aquariums connectés ! Tous ces petits appareils IoT avec des mots de passe par défaut comme “admin/admin” ou “root/12345” sont transformés en arme de destruction massive du web. Cette offensive utilise principalement du trafic GRE (Generic Routing Encapsulation), impossible à falsifier, prouvant que les attaquants contrôlent réellement des centaines de milliers de machines.
Le cyber-assault est probablement une vengeance pour le travail récent de Brian sur vDos, un service de DDoS à louer qu’il avait contribué à faire tomber. Deux israéliens de 18 ans qui opéraient le service avaient été arrêtés peu avant l’attaque. Mais le problème, c’est que l’attaque est tellement massive qu’Akamai, qui fournissait une protection DDoS gratuite à Brian depuis 2012, lui demande de partir. “Désolé Brian, mais tu causes des problèmes à nos clients payants”, lui dit-on en substance.
“C’était un moment difficile”, admet Brian. “J’étais littéralement censuré d’Internet par des criminels.” Heureusement, Google’s Project Shield, un service gratuit de protection DDoS pour les journalistes et dissidents, vient à sa rescousse et le site est de nouveau en ligne en quelques heures.
Les créateurs de Mirai, Paras Jha (21 ans, alias “Anna-senpai”), Josiah White (20 ans, alias “Lightspeed”) et Dalton Norman (21 ans, alias “Drake”), seront par la suite identifiés en partie grâce au travail d’investigation de Brian. En janvier 2017, il publie “Who is Anna-Senpai, the Mirai Worm Author?”, un article de 8 000 mots détaillant ses quatre mois d’enquête. Les trois seront condamnés à cinq ans de probation et 2 500 heures de travaux d’intérêt général, évitant la prison en échange de leur coopération avec le FBI.
Selon ses propres données, entre juillet 2012 et septembre 2016, le blog de Brian a subi 269 attaques DDoS ! Les cybercriminels le détestent tellement qu’ils sont prêts à mobiliser des ressources considérables juste pour faire taire son site. Mais Brian ne se laisse pas intimider. “Si ils m’attaquent autant, c’est que je fais bien mon boulot”, dit-il avec un sourire.
Au fil des années, Brian accumule les scoops et les révélations. Il expose les brèches chez Home Depot (56 millions de cartes), Michaels, Neiman Marcus, P.F. Chang’s, Sally Beauty, Goodwill, UPS, Dairy Queen, Jimmy John’s, et des dizaines d’autres. L’affaire Ashley Madison en 2015 ? C’est lui qui révèle les détails techniques du hack. Capital One en 2019 ? Encore lui. À chaque fois, son réseau de sources lui permet d’avoir l’info avant tout le monde. Les entreprises apprennent parfois qu’elles ont été piratées en lisant KrebsOnSecurity !
Ce qui rend Brian unique dans le paysage journalistique, c’est sa méthodologie. Il ne se contente pas de rapporter les faits mais infiltre les forums criminels, analyse le code des malwares, trace les flux financiers, identifie les acteurs. Il parle russe couramment pour pouvoir lire les forums underground. Il comprend le code pour pouvoir analyser les malwares. Il connaît les systèmes bancaires pour pouvoir suivre l’argent. C’est un journaliste-hacker au meilleur sens du terme.
“Pour comprendre les cybercriminels, il faut penser comme eux”, explique Brian. “Il faut comprendre leurs motivations, leurs méthodes, leur culture. C’est pour ça que je passe autant de temps sur les forums underground. C’est là que tout se passe.” Cette immersion totale lui permet de développer des sources uniques, des criminels qui lui font parfois confiance parce qu’ils respectent ses compétences techniques.
Brian a aussi développé une philosophie particulière sur la transparence car contrairement à la majorité des journalistes qui gardent jalousement leurs scoops, il partage souvent ses données brutes avec d’autres chercheurs et journalistes. Il publie les IOCs (Indicators of Compromise) pour que les entreprises puissent se protéger et documente ses méthodes pour que d’autres puissent apprendre. “L’important, c’est de protéger les gens, pas d’avoir l’exclusivité”, dit-il.
Cette approche lui a valu de nombreuses récompenses : le Cisco Systems “Cyber Crime Hero” Award en 2009, le SANS Institute Top Cybersecurity Journalist Award en 2010, le National Press Foundation Chairman’s Citation Award en 2014, l’ISSA President’s Award for Public Service en 2017, et il a été nommé Cybersecurity Person of the Year par CISO MAG. En 2018, il reçoit le Lifetime Achievement Award de la société de renseignement sur les menaces Threatpost.
Mais au-delà des prix, c’est l’impact de Brian sur l’industrie qui est remarquable. Il a forcé les entreprises à être plus transparentes sur les brèches car avant lui, les entreprises cachaient souvent les incidents de sécurité pendant des mois. Maintenant, comme elles savent que Brian finira par le découvrir, alors autant être transparent dès le début.
Il a aussi inspiré toute une génération de journalistes spécialisés en cybersécurité. Des médias comme Ars Technica, Wired, Vice Motherboard ont développé des sections cybersécurité robustes, souvent en embauchant des journalistes formés à “l’école Krebs”. Bref, il a prouvé qu’on pouvait faire du journalisme d’investigation technique sans sacrifier la rigueur ou l’accessibilité.
Ce qui est fascinant avec Brian, c’est qu’il n’a aucune formation technique formelle. Pas de diplôme en informatique, pas de certifications CISSP ou CEH. Tout ce qu’il sait, il l’a appris par lui-même, motivé par la rage d’avoir été piraté en 2001. C’est la preuve vivante que la passion et la détermination peuvent vous mener plus loin que n’importe quel diplôme.
Aujourd’hui, KrebsOnSecurity est lu par des millions de personnes dans le monde entier… PDG de grandes entreprises, responsables de la sécurité, chercheurs, forces de l’ordre, et même cybercriminels lisent religieusement ses articles. Alors quand Brian publie quelque chose, toute l’industrie est à l’écoute. Et il n’y a pas de pubs sur son site mais juste quelques sponsors triés sur le volet et des dons de lecteurs reconnaissants.
Brian continue d’opérer depuis un lieu non divulgué en Virginie du Nord. Sa maison est équipée de caméras de sécurité, d’un système d’alarme sophistiqué, et il maintient des contacts étroits avec les forces de l’ordre locales. “C’est le prix à payer”, dit-il. “Mais je ne laisserai pas la peur dicter ma vie ou mon travail.”
En 2024, KrebsOnSecurity a fêté ses 15 ans et Brian continue aujourd’hui d’y publier presque quotidiennement, exposant les dernières arnaques, les nouvelles techniques des cybercriminels, les failles de sécurité critiques. Il a récemment exposé comment des criminels utilisent l’IA pour créer des deepfakes bancaires, comment ils exploitent les vulnérabilités dans les systèmes de paiement mobile, comment ils blanchissent l’argent via les NFTs.
Voilà, donc si vous cherchez un exemple de reconversion réussie, de détermination face à l’adversité, et de courage journalistique à l’ère numérique, Brian Krebs c’est LE modèle à suivre !
Une menace persistante avancée (MPA), ou Advanced Persistent Threat (APT), est une cyberattaque à la fois sophistiquée, discrète et prolongée dans le temps. Elle nécessite des moyens financiers et techniques colossaux, et cible souvent les secteurs les plus sensibles pour espionner, saboter ou dérober des données.
Une menace persistante avancée (MPA), ou Advanced Persistent Threat (APT), est une cyberattaque à la fois sophistiquée, discrète et prolongée dans le temps. Elle nécessite des moyens financiers et techniques colossaux, et cible souvent les secteurs les plus sensibles pour espionner, saboter ou dérober des données.
Bon, là on va parler d’un truc qui va faire trembler pas mal de développeurs. VulnHuntr, c’est le nouveau joujou de Protect AI qui utilise l’intelligence artificielle pour dénicher des vulnérabilités 0-day dans du code Python. Et quand je dis dénicher, c’est pas pour rigoler car en quelques heures seulement, cet outil a trouvé plus d’une douzaine de failles critiques dans des projets open source ayant plus de 10 000 étoiles sur GitHub !
Le principe c’est qu’au lieu de balancer tout le code source dans un LLM et espérer qu’il trouve quelque chose, VulnHuntr découpe le code en petits morceaux digestes. Puis il analyse méthodiquement la chaîne complète depuis l’entrée utilisateur jusqu’à la sortie serveur, en demandant uniquement les portions de code pertinentes.
L’outil peut ainsi détecter sept types de vulnérabilités majeures : exécution de code à distance (RCE), inclusion de fichiers locaux (LFI), falsification de requêtes côté serveur (SSRF), cross-site scripting (XSS), références directes non sécurisées (IDOR), injection SQL et écrasement arbitraire de fichiers.
Pas mal pour un outil gratuit et open source, non ?
Et puis il y a la liste des victimes… euh pardon, des projets où VulnHuntr a trouvé des failles. Je vous présente gpt_academic (67k étoiles), ComfyUI (66k étoiles), Langflow (46k étoiles), FastChat (37k étoiles), et j’en passe. Des projets ultra populaires dans l’écosystème IA qui se sont fait épingler avec des vulnérabilités critiques. Par exemple, Ragflow s’est retrouvé avec une belle RCE qui a été corrigée depuis.
Pour l’utiliser, c’est assez simple puisque ça s’installer avec pipx ou Docker (d’ailleurs ils recommandent Python 3.10 spécifiquement à cause de bugs dans Jedi). Ensuite, vous exportez votre clé API Anthropic ou OpenAI, et vous lancez l’analyse sur votre repo. Attention quand même, les développeurs préviennent que ça peut vite coûter cher en tokens si vous n’avez pas mis de limites de dépenses !
Je trouve son workflow plutôt bien pensé, car le LLM résume d’abord le README pour comprendre le contexte du projet et fait ensuite une première analyse afin d’identifier les vulnérabilités potentielles. Pour chaque faille détectée, VulnHuntr relance alors une analyse spécifique avec un prompt adapté au type de vulnérabilité. Puis il continue à demander du contexte (fonctions, classes, variables d’autres fichiers) jusqu’à avoir reconstruit toute la chaîne d’appel. À la fin, vous avez un rapport détaillé avec le raisonnement, un exploit proof-of-concept, et un score de confiance.
D’après les retours, un score de confiance inférieur à 7 signifie qu’il n’y a probablement pas de vulnérabilité. Un score de 7, c’est à investiguer. Et 8 ou plus, c’est très probablement une vraie faille. Les développeurs recommandent d’ailleurs d’utiliser Claude plutôt que GPT, car apparemment les résultats sont meilleurs, ce qui ne m’étonne pas.
Malheureusement, pour le moment, ça ne fonctionne que sur du code Python et même s’ils ont ajouté le support d’Ollama pour les modèles open source, les résultats ne sont pas terribles avec ces derniers car ils galèrent à structurer correctement leur output. A voir avec le dernier modèle OSS d’OpenAI cela dit…
Alors d’un côté, je trouve ça génial d’avoir un outil aussi puissant pour sécuriser nos propres projets mais de l’autre, ça montre à quel point nos codes sont vulnérables et combien il est facile pour quelqu’un de mal intentionné de trouver des failles. Voilà, donc si vous développez en Python, je vous conseille vraiment de tester VulnHuntr sur vos projets car mieux vaut découvrir les failles vous-même plutôt que de les voir exploitées dans la nature !
Dans cet article, je vous propose de suivre la démarche pour compromettre le système Titanic dans le cadre d'un exercice Hack The Box de difficulté "facile".
Putain mais c’est pas possible ! Encore une cyberattaque massive dans les télécoms français. Cette fois c’est Bouygues Telecom qui s’est fait défoncer avec 6,4 millions de comptes clients compromis selon France Info. Et le pire dans tout ça c’est que les attaquant ont même choppé les IBAN. Oui, vos coordonnées bancaires sont dans la nature. Woohoo \o/ !
L’attaque a été détectée le 4 août 2025, soit il y a trois jours seulement. Bouygues annonce fièrement que “la situation a été résolue dans les meilleurs délais” par leurs équipes techniques.
Alors qu’est-ce qui a fuité exactement ?
Et bien accrochez-vous bien, je vous fais la liste : toutes les informations de contact, les données contractuelles, l’état civil, les données d’entreprise pour les pros, et surtout, surtout… vos IBAN. Par contre, les numéros de carte bancaire et les mots de passe ne sont pas concernés. Ouf, on a eu chaud !
Mais attendez, le meilleur c’est que la page web dédiée à informer les victimes contenait une balise “noindex” cachée. Pour ceux qui ne connaissent pas, ça veut dire que Google ne peut pas indexer la page. En gros, si vous cherchez des infos sur la cyberattaque Bouygues sur Google, vous ne trouverez pas leur page officielle. C’est surement pour pas flinguer leur branding !
Le vrai danger maintenant, c’est qu’avec votre IBAN, un pirate motivé peut potentiellement mettre en place des prélèvements SEPA frauduleux. En usurpant votre identité et avec toutes les infos volées, il peut créer de faux mandats de prélèvement. Bouygues admet d’ailleurs ne pas exclure qu’un fraudeur parvienne à réaliser une telle opération en usurpant votre identité. Tu m’étonnes John.
Ce qui me fait vraiment halluciner, c’est qu’il y a 26,9 millions de clients mobile chez Bouygues Telecom. Ça veut dire qu’un client sur quatre s’est fait avoir. UN SUR QUATRE ! C’est pas une petite fuite de données, c’est un tsunami.
Bouygues a déposé plainte auprès des autorités judiciaires et signalé l’incident à la CNIL. Bon bah super, fallait le faire, mais ça va pas vraiment aider les 6,4 millions de clients qui vont devoir surveiller leur compte bancaire pendant les 10 prochaines années.
Pour “rassurer” les clients, un numéro gratuit a été mis en place : 0801 239 901. Ils ont aussi créé une page web dédiée (celle avec le noindex, vous vous souvenez ?) et une section spéciale sur Le Mag. Tous les clients concernés vont recevoir un email ou un SMS. Spoiler : si vous êtes client Bouygues, vous allez probablement le recevoir.
Le timing est particulièrement bon quand on sait qu’Orange aussi s’est aussi fait pirater récemment. Les télécoms français sont vraiment en mode open bar pour les hackers en ce moment. C’est la fête du slip niveau sécurité.
Mes conseils donc si vous êtes client Bouygues :
Surveillez vos comptes bancaires comme le lait sur le feu
Méfiez-vous de TOUS les emails et appels qui vous demandent des infos
Changez vos mots de passe partout (même s’ils disent qu’ils n’ont pas été touchés)
Activez l’authentification à deux facteurs partout où c’est possible
Et surtout, préparez-vous à recevoir du phishing de compétition pendant les prochains mois (années ?)
Avec vos vraies infos perso, les arnaqueurs vont pouvoir créer des emails et SMS ultra crédibles. Ils connaissent votre numéro de contrat, votre adresse, votre IBAN… Ils peuvent se faire passer pour Bouygues, votre banque, ou n’importe quelle administration. C’est le jackpot pour eux.
Cette histoire une fois de plus me met vraiment en rogne. On confie nos données les plus sensibles à ces entreprises, et elles sont incapables de les protéger correctement. Je sais pas vous, mais moi j’en ai marre de ces leaks à répétition. À quand une vraie responsabilisation de ces entreprises ? Des amendes qui font vraiment mal ? Parce que là, on est juste des pigeons qui attendent de se faire plumer.
Imaginez, vous êtes patron d’une boîte de 170 personnes, vous payez une rançon de 200 000€ pour récupérer vos données, la police attrape les hackers ET récupère votre argent… mais refuse de vous rendre votre pognon. Bienvenue dans le cauchemar kafkaïen de Wilhelm Einhaus, 72 ans, qui vient de mettre la clé sous la porte après avoir littéralement tout tenté pour sauver son empire.
Ce mec n’est pas n’importe qui puisque c’est l’inventeur des assurances pour téléphones mobiles en Allemagne. Dans les années 2000, quand tout le monde découvrait à peine les Nokia 3310, lui avait déjà compris qu’on allait tous péter nos écrans et qu’on aurait besoin d’une assurance. Son réseau est composé de 5000 points de vente, il a des partenariats avec Deutsche Telekom et 1&1, et a fait 70 millions d’euros de chiffre d’affaires annuel au sommet de sa gloire.
Wilhelm Einhaus à gauche
Mars 2023, un matin comme les autres. Einhaus arrive au bureau et là, surprise : chaque imprimante de la boîte a craché le même message. “On vous a hacké. Toutes les infos sont sur le dark web.” Le groupe de cybercriminels Royal, qui s’est depuis rebrandé en BlackSuit selon la CISA, venait de verrouiller l’intégralité du système informatique. Plus rien ne fonctionnait : ni les contrats, ni la facturation, ni même les emails.
Le prix pour récupérer l’accès ? 200 000 euros en Bitcoin.
Vous me direz alors, pourquoi payer ? Et bien parce que sans système informatique, l’entreprise perdait des millions chaque jour. Les assurances ne pouvaient plus être traitées, les remboursements étaient bloqués, tout devait se faire à la main. Le total des dégâts se chiffrant en millions d’euros, Einhaus a donc payé, espérant limiter la casse.
Mais voilà où l’histoire devient complètement absurde. La police allemande finit par réussir à identifier trois suspects et même saisir les cryptomonnaies. Une somme à six chiffres selon les sources. Victoire ?
Pas du tout car le procureur refuse de rendre l’argent tant que l’enquête n’est pas terminée. Et le fait que l’entreprise ne puisse pas récupérer les fonds extorqués, même s’ils ont été confisqués, a fait dérailler leurs efforts de restructuration. Du coup, l’entreprise s’est littéralement désintégrée. De 170 employés, ils sont passés à… 8.
8 personnes pour gérer ce qui était autrefois un empire et en 2024, désespéré, Einhaus a finit par vendre le siège social de l’entreprise, mais cela n’a pas suffit. Surtout que pour couronner le tout, Royal/BlackSuit a publié 11% des données de l’entreprise sur le dark web. Histoire de bien montrer qu’ils ne plaisantaient pas. Au total, ce gang aurait extorqué plus de 275 millions de dollars à travers le monde selon les estimations.
Les 3 sociétés du groupe Einhaus ont donc officiellement déposé le bilan fin juillet 2025. Mais Wilhelm Einhaus, malgré ses 72 ans et 53 ans d’entrepreneuriat, refuse d’abandonner. Il prévoit de repartir de zéro. “Je ne prends pas ma retraite, je recommence”, a-t-il déclaré.
Cette histoire n’est malheureusement pas isolée et de plus en plus d’entreprises mettent la clé sous la porte après des attaques ransomware. Y’a 2 semaines, c’était Knights of Old au Royaume-Uni, une entreprise de transport vieille de 158 ans, qui fermait ses portes après une attaque du groupe Akira, mettant 700 personnes au chômage.
Le pire dans tout ça c’est que la justice, censée protéger les victimes, devient ici un obstacle supplémentaire à leur survie. Einhaus a payé la rançon, la police a récupéré l’argent, mais l’entreprise n’a jamais pu s’en servir pour se reconstruire. Un cercle vicieux où les victimes sont punies deux fois : une fois par les hackers et une fois par le système censé les protéger.
Donc si vous dirigez une entreprise, prenez-en de la graine. Les sauvegardes hors ligne, ce n’est pas une option, c’est une obligation !
Bouygues Telecom a révélé avoir été victime d’une cyberattaque d’ampleur exceptionnelle : les données personnelles de millions de clients ont été dérobées. Coordonnées, informations contractuelles, IBAN… des données sensibles sont dans la nature. La menace : celui de voir un prélèvement SEPA non autorisé apparaître sur votre compte. Voici les astuces à connaitre pour sécuriser votre compte bancaire.
Bouygues Telecom a révélé avoir été victime d’une cyberattaque d’ampleur exceptionnelle : les données personnelles de millions de clients ont été dérobées. Coordonnées, informations contractuelles, IBAN… des données sensibles sont dans la nature. La menace : celui de voir un prélèvement SEPA non autorisé apparaître sur votre compte. Voici les astuces à connaitre pour sécuriser votre compte bancaire.
*Cet article fait partie de [ma série de l'été spécial hackers](https://korben.info/collections/hackers/). Bonne lecture !*
Voici aujourd’hui, l’histoire du groupe de hackers le plus mystérieux et le plus dévastateur de la décennie. Les Shadow Brokers. C’est le nom qu’ils se sont donné, probablement en référence au personnage de Mass Effect qui trafique de l’information au plus offrant, sauf qu’eux, ils n’ont pas volé n’importe quelle information, non. Ils ont réussi l’impossible : pirater la NSA, l’agence de renseignement la plus puissante du monde.
Entre août 2016 et juillet 2017, ils ont ainsi méthodiquement déversé sur Internet l’arsenal cyber secret de l’Amérique, déclenchant au passage WannaCry et NotPetya, des ransomwares qui ont causé des milliards de dollars de dégâts.
Et le pire c’est que personne ne sait vraiment qui ils sont.
C’est le 13 août 2016, une nuit d’été humide dans le Maryland. Pendant que l’Amérique débat de Clinton contre Trump, un événement sismique se déroule discrètement sur Internet. Un message bizarre, écrit dans un anglais tout pété presque ridiculement comique, vient d’apparaître sur GitHub et Pastebin. Au premier coup d’œil, ça ressemble à une blague, peut-être un troll cherchant l’attention, mais pour le petit cercle des experts en cybersécurité qui le lisent, c’est l’équivalent numérique d’une bombe atomique : la NSA vient d’être piratée.
Le message commence ainsi : “!!! Attention government sponsors of cyber warfare and those who profit from it !!!! How much you pay for enemies cyber weapons?” Les Shadow Brokers viennent de faire leur entrée sur la scène mondiale, et ils n’arrivent pas les mains vides. Ils prétendent avoir volé des cyberarmes à l’Equation Group, le nom de code donné par Kaspersky Lab au groupe de hackers d’élite de la NSA. Et pour prouver leurs dires, ils font quelque chose d’inédit : ils mettent une partie du butin en libre accès.
Les fichiers téléchargeables pèsent environ 300 mégaoctets ce qui n’est pas grand-chose en apparence, mais quand les chercheurs en sécurité commencent à analyser le contenu, leur sang se glace. C’est authentique. Des exploits zero-day, des payloads sophistiqués, des outils d’intrusion qui portent la signature indéniable de la NSA. EXTRABACON, un exploit contre les pare-feu Cisco ASA capable de prendre le contrôle à distance. EPICBANANA et JETPLOW, des backdoors pour différents systèmes. Des noms de code typiques de l’agence, cette obsession des fruits et des références loufoques que seuls les initiés connaissent.
Petite précision technique au passage, EXTRABACON exploite la CVE-2016-6366, une vulnérabilité zero-day dans le code SNMP des pare-feu Cisco qui permet l’exécution de code arbitraire sans authentification. EPICBANANA quand à lui, utilise la CVE-2016-6367, nécessite un accès SSH ou Telnet, mais permet ensuite une persistance totale. Et JETPLOW ? C’est tout simplement la version stéroïdée d’EPICBANANA, une backdoor firmware persistante que même un reboot ne peut pas virer.
Mais les Shadow Brokers ne s’arrêtent pas là en annonçant détenir bien plus : un fichier chiffré contenant “les meilleures cyberarmes” de la NSA, disponible au plus offrant. Le prix ? Un million de bitcoins, soit environ 568 millions de dollars à l’époque. Une somme astronomique qui suggère soit une méconnaissance totale du marché, soit un objectif autre que l’argent. “We auction best files to highest bidder. Auction files better than stuxnet,” promettent-ils avec leur anglais approximatif caractéristique.
Aujourd’hui, l’identité des Shadow Brokers reste encore l’un des plus grands mystères du monde cyber. Leur mauvais anglais suggère des locuteurs russes essayant de masquer leur origine. Des phrases comme “TheShadowBrokers is wanting that someone is deciding” ou “Is being like a global cyber arms race” sont grammaticalement douloureuses mais est-ce une tentative délibérée de brouiller les pistes ? Matt Suiche, expert en sécurité qui analyse leurs communications de près, pense que oui : “Le langage était probablement une tactique d’OpSec pour obscurcir les vraies identités des Shadow Brokers.”
Edward Snowden est évidemment l’un des premiers à réagir publiquement. Le 16 août 2016, il tweete : “Les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe.” et pour lui, c’est un avertissement, une façon pour Moscou de dire à Washington : “Nous savons ce que vous faites, et nous pouvons le prouver.” Le timing est d’ailleurs suspect car on est 3 mois avant l’élection présidentielle américaine, juste après le hack du Parti Démocrate attribué à la Russie. Coïncidence ? C’est peu probable…
Mais d’autres théories émergent rapidement. James Bamford, journaliste spécialiste de la NSA, penche pour un insider, “possiblement quelqu’un assigné aux Tailored Access Operations hautement sensibles”. Puis en octobre 2016, le Washington Post révèle que Harold T. Martin III, un contracteur de Booz Allen Hamilton, est le suspect principal.
Alors là, prenez une grande inspiration avant de poursuivre votre lecture car l’histoire de Harold Martin, c’est du délire. Le mec travaille pour Booz Allen Hamilton (oui, la même boîte qu’Edward Snowden), est assigné à la NSA de 2012 à 2015, et bosse effectivement avec les Tailored Access Operations. Quand le FBI débarque chez lui en août 2016, ils découvrent… 50 téraoctets de données classifiées. C’est l’équivalent de millions de documents, qu’ils trouvent bien planqués dans sa baraque, mais aussi dans un abri de jardin non verrouillé, et même dans sa bagnole.
Le FBI pense alors tenir leur homme. Équipe SWAT, barrages routiers, porte défoncée au bélier, grenades flashbang… Ils sortent le grand jeu pour arrêter Martin, sauf que voilà, petit problème : les Shadow Brokers continuent à poster des messages cryptographiquement signés pendant que Martin croupit en taule. En 2019, il écope de neuf ans de prison, mais les procureurs confirment qu’aucune des données qu’il avait volées n’a été divulguée. L’identité des Shadow Brokers reste donc un mystère.
David Aitel, ancien de la NSA, résume parfaitement la situation telle qu’elle était en 2019 : “Je ne sais pas si quelqu’un sait, à part les Russes. Et on ne sait même pas si ce sont les Russes.” Matt Suiche, lui, a une théorie différente car pour lui, les Shadow Brokers sont des insiders américains mécontents, peut-être des contractuels du renseignement frustrés. Les indices c’est surtout leur connaissance intime de TAO, leurs références culturelles américaines, et leur timing politique…
Et le 31 octobre 2016, juste avant Halloween, les Shadow Brokers frappent à nouveau. Cette fois, ils publient une liste de serveurs prétendument compromis par l’Equation Group, accompagnée de références à sept outils jusqu’alors inconnus : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOICSURGEON. La communauté de la cybersécurité découvre alors l’ampleur de l’arsenal de la NSA. Chaque nom de code représente des années de développement, des millions de dollars investis, des capacités offensives soigneusement gardées secrètes.
L’enchère Bitcoin, pendant ce temps, est un échec total. Quelques plaisantins envoient des fractions de bitcoin (genre 0.001 BTC, les comiques), mais personne ne tente sérieusement d’atteindre le million demandé. Les Shadow Brokers semblent déçus mais pas surpris. En janvier 2017, ils changent alors de stratégie : “TheShadowBrokers is trying auction. Peoples no like auction, auction no work. Now TheShadowBrokers is trying direct sales.”
Du coup, ils créent une boutique en ligne sur le dark web, catégorisant leurs marchandises comme un vrai e-commerce du crime : “Exploits”, “Trojans”, “Payloads”. Les prix vont de 1 à 100 bitcoins selon la sophistication de l’outil. C’est surréaliste. Les cyberarmes les plus dangereuses de la planète sont en vente comme des t-shirts sur Amazon. Un exploit pour compromettre un serveur Linux ? 10 bitcoins. Un implant pour espionner les communications ? 50 bitcoins. Le menu est à la carte.
Mais le véritable tournant arrive le 8 avril 2017. Dans un post Medium intitulé “Don’t Forget Your Base”, les Shadow Brokers lâchent une bombe et révèlent le mot de passe pour déchiffrer le fichier mystérieux publié huit mois plus tôt : “CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN". Un mot de passe de 32 caractères qui va changer les choses.
Le timing est tout sauf innocent car le post fait explicitement référence à l’attaque de Trump contre une base aérienne syrienne le 7 avril, utilisée aussi par les forces russes. “Respectfully, what we do not agree with is abandoning ‘your base’, double dealing, saying one thing and doing another,” écrivent les Shadow Brokers. Le message est clair : vous nous avez trahis, voici les conséquences.
Et ce que contient ce fichier dépasse les pires cauchemars de la NSA. Des dizaines d’exploits zero-day, des payloads sophistiqués, des outils de surveillance massive, mais le plus dévastateur s’appelle EternalBlue. Il s’agit d’un exploit contre le protocole SMB de Windows qui permet de prendre le contrôle total d’une machine à distance. Microsoft a secrètement patché la vulnérabilité MS17-010 en mars 2017, un mois avant la révélation, suggérant que la NSA a prévenu l’entreprise mais des millions de systèmes restent vulnérables.
Et le 14 avril 2017, c’est l’apocalypse. Les Shadow Brokers publient leur dump le plus massif, baptisé “Lost in Translation”. FUZZBUNCH, une plateforme d’exploitation comparable à Metasploit mais développée par la NSA, un véritable framework pour charger des exploits sur les systèmes cibles. DARKPULSAR, ETERNALROMANCE, ETERNALSYNERGY, ETERNALCHAMPION… La liste semble interminable. Mais c’est ETERNALBLUE qui va entrer dans l’histoire.
Petite parenthèse technique quand même, DoublePulsar, c’est le complément parfait d’EternalBlue. Une backdoor kernel ultra-furtive qui ne crée aucun nouveau port, se cache dans les appels SMB non implémentés, et répond avec STATUS_NOT_IMPLEMENTED pour rester invisible. FUZZBUNCH quand à lui permet d’uploader des exécutables directement dans DoublePulsar via SMB. Bref, le combo mortel.
Les experts sont une nouvelle fois sous le choc. Nicholas Weaver écrit sur le blog Lawfare : “Ceci pourrait bien être le dump le plus dommageable contre la NSA à ce jour, et c’est sans aucun doute la révélation la plus désastreuse post-Snowden.” Jake Williams, fondateur de Rendition Security et ancien de la NSA, est encore plus direct : “C’est un putain de désastre.”
Les révélations incluent aussi la preuve que la NSA a compromis le système SWIFT, le réseau bancaire international. Les Shadow Brokers montrent ainsi que l’agence a infiltré EastNets, un bureau de service SWIFT gérant les transactions bancaires au Moyen-Orient et si c’est vrai, la NSA peut théoriquement surveiller, voire manipuler, les transferts financiers internationaux. Bref, les implications sont vertigineuses.
Moins d’un mois plus tard, le 12 mai 2017, le monde découvre alors le vrai prix de ces révélations. WannaCry, un ransomware utilisant EternalBlue (et DoublePulsar pour la persistance), se propage comme une traînée de poudre. En quelques heures, plus de 200 000 ordinateurs dans 150 pays sont infectés à une vitesse hallucinante de 10 000 machines par heure.
Et là, bonjour les dégâts ! Le National Health Service britannique ? Complètement paralysé soit 81 hôpitaux sur 236 touchés, 19 000 rendez-vous annulés, 1 100 admissions aux urgences en moins, des opérations reportées. Le coût pour le NHS ? 92 millions de livres sterling (20 millions en perte d’activité, 72 millions pour restaurer les systèmes). Des patients ne peuvent pas recevoir leurs traitements à temps, des services d’urgence doivent fonctionner à l’aveugle. Des IRM, des frigos pour stocker le sang, des équipements de bloc opératoire… 70 000 appareils touchés au total.
Mais WannaCry n’est que l’apéritif car le 27 juin 2017, NotPetya frappe, utilisant encore EternalBlue mais cette fois avec une particularité : ce n’est pas vraiment un ransomware. C’est une arme de destruction déguisée en ransomware. Même si vous payez, vos fichiers sont perdus pour toujours. L’adresse email pour récupérer la clé de déchiffrement est bloquée par le provider dans l’heure. C’est conçu pour détruire, pas pour extorquer.
NotPetya cause ainsi plus de 10 milliards de dollars de dégâts. Maersk, le géant du transport maritime danois subit 300 millions de pertes, 4 000 serveurs et 45 000 PC à reconstruire, 17 terminaux portuaires paralysés pendant des jours. FedEx via sa filiale TNT Express ? 300 à 400 millions. Merck Pharmaceuticals ? 870 millions de dollars après que 15 000 de leurs machines Windows sont détruites. En 90 secondes. Oui, c’est le temps qu’il a fallu pour mettre à genoux une des plus grandes entreprises pharmaceutiques du monde.
Et pendant ce chaos planétaire, les Shadow Brokers continuent leur étrange performance. En juin 2017, ils menacent de révéler l’identité d’un ancien employé de TAO qu’ils surnomment “Doctor”. “’Doctor’ person is writing ugly tweets to theshadowbrokers,” écrivent-ils. “TheShadowBrokers is thinking ‘doctor’ person is former EquationGroup developer who built many tools and hacked organization in China.”
La menace est sans précédent et révéler l’identité d’agents de renseignement et leurs opérations spécifiques, c’est franchir une nouvelle ligne rouge. Jake Williams avertit : “Publier ces données menacera la sécurité (et la liberté) d’anciens opérateurs de TAO voyageant à l’étranger.” Le “Doctor” en question, paniqué, finit par se doxxer lui-même le 29 juin pour “protéger les innocents”, niant être un employé de la NSA. Évidemment, personne ne le croit.
Les Shadow Brokers semblent avoir une vraie connaissance intime de TAO car ils connaissent les surnoms, les projets, les personnes… Dans un de leurs messages, ils prétendent même avoir fait partie du “Deep State” américain.
“TheShadowBrokers is being like the Oracle of the Matrix. TheShadowBrokers is not being the Architect,” écrivent-ils, dans une référence geek qui fait écho à leur nom emprunté à Mass Effect.
Leur dernier message public date de juillet 2017. Ils annoncent un service d’abonnement mensuel où pour 400 Zcash (une cryptomonnaie axée sur la confidentialité), vous pouvez devenir VIP et recevoir chaque mois de nouveaux exploits de la NSA. “Is being like wine of month club,” plaisantent-ils. “Each month peoples can be paying membership fee, then getting members only data dump each month.”
Puis, silence radio. Les Shadow Brokers disparaissent aussi mystérieusement qu’ils sont apparus. Ont-ils été arrêtés ? Ont-ils décidé qu’ils en en avaient fait assez ? Ont-ils été éliminés ? Personne ne le sait. Leur compte Twitter @shadowbrokerss reste muet, leur blog Medium n’est plus mis à jour et leur compte Steemit, pareil. Comme leur homonyme dans Mass Effect, ils s’évanouissent dans l’ombre.
Mais l’impact des Shadow Brokers sur la cybersécurité mondiale est difficile à surestimer car ils ont vraiment exposé la vulnérabilité fondamentale de l’accumulation d’armes cyber, qui peuvent être volées et retournées contre ceux qui les ont créées. Ils ont ainsi forcé un gros débat sur la responsabilité des agences de renseignement dans la découverte et la non-divulgation de vulnérabilités zero-day. D’ailleurs, combien de WannaCry et NotPetya dorment encore dans les serveurs de la NSA, de la DGSE, du FSB, du MSS chinois ?
Brad Smith, président de Microsoft, a même publié un plaidoyer passionné après WannaCry : “Les gouvernements du monde devraient traiter cette attaque comme un signal d’alarme. Un équivalent conventionnel de cet événement serait l’armée américaine se faisant voler des missiles Tomahawk.” Il appelle à une “Convention de Genève numérique” pour limiter la cyberguerre. 8 ans plus tard, on l’attend toujours. Comme d’habitude, les gouvernements s’en foutent.
Toutefois, les théories sur l’identité des Shadow Brokers continuent de proliférer. Insiders, hackers russe… Il y a même une théorie marginale mais fascinante qui suggère que c’est la NSA elle-même, brûlant des outils compromis de manière contrôlée pour éviter qu’ils ne soient utilisés contre eux.
En 2025, près d’une décennie après leur apparition, l’ombre des Shadow Brokers plane toujours. Les exploits qu’ils ont révélés circulent encore et des variantes d’EternalBlue sont toujours utilisées dans des attaques.
En tout cas, quand je vois qu’une nouvelle vulnérabilité zero-day a été patchée, je me demande toujours qui d’autre la connaissait avant et l’utilisait…
Sur Windows, comment déléguer les droits admin à des utilisateurs pour installer des logiciels ? Voici la promesse d'Endpoint Privilege Management d'Intune.
Microsoft vient de lever le voile sur un truc assez cool : Project IRE !
C’est un agent IA qui analyse et détecte les malwares en parfait autonomie. Plus besoin d’un expert humain pour décortiquer chaque fichier suspect, c’est l’IA qui s’en charge et elle le fait plutôt bien avec 98% de précision et seulement 2% de faux positifs sur un dataset de drivers Windows.
C’est du lourd car au lieu de se contenter d’une simple analyse par signatures comme les antivirus classiques, Project IRE fait de la vraie reverse engineering. L’agent décompile le code, reconstruit le graphe de flux de contrôle (control flow graph pour les intimes), analyse chaque fonction et génère un rapport détaillé expliquant pourquoi le fichier est malveillant ou non.
Pour faire tout ça, Microsoft s’appuie sur Azure AI Foundry et des outils de reverse engineering bien connus comme angr et Ghidra. Le processus commence ainsi par un triage automatique pour identifier le type de fichier et sa structure. Ensuite, l’IA reconstruit comment le programme s’exécute, analyse chaque fonction avec des modèles de langage spécialisés et compile tout dans une “chaîne de preuves” (chain of evidence).
Cette transparence est cruciale car elle permet aux équipes de sécurité de vérifier le raisonnement de l’IA et comprendre comment elle est arrivée à ses conclusions. Et surtout, les tests en conditions réelles sont prometteurs car sur 4000 fichiers que les systèmes automatisés de Microsoft n’arrivaient pas à classifier, Project IRE a correctement identifié 89% des fichiers malveillants avec seulement 4% de faux positifs.
Le seul bémol c’est le taux de détection global qui n’est que de 26%, ce qui signifie que l’IA rate encore pas mal de malwares. Mais comme le soulignent les chercheurs, cette combinaison de haute précision et faible taux d’erreur montre un vrai potentiel pour un déploiement futur.
Mike Walker, Research Manager chez Microsoft, raconte que dans plusieurs cas où l’IA et l’humain n’étaient pas d’accord, c’est l’IA qui avait raison. Ça montre bien que les forces complémentaires de l’humain et de l’IA peuvent vraiment améliorer la protection. Pour valider ses trouvailles, Project IRE utilise un outil de validation qui vérifie les affirmations du rapport contre la chaîne de preuves.
Cet outil s’appuie sur des déclarations d’experts en reverse engineering de l’équipe Project IRE et en combinant ces preuves et son modèle interne, le système produit un rapport final et classe le fichier comme malveillant ou bénin. L’objectif à terme est ambitieux puisqu’il s’agit de détecter automatiquement de nouveaux malwares directement en mémoire, à grande échelle.
Ce serait vraiment cool d’identifier des menaces avancées (APT) sans qu’un humain ait besoin d’intervenir. D’ailleurs, Project IRE a déjà réussi à créer le premier cas de conviction pour un malware APT chez Microsoft, sans aide humaine.
Pour l’instant, ça reste un prototype qui sera intégré plus tard dans Microsoft Defender comme outil d’analyse binaire mais les implications sont déjà énormes car les malwares deviennent de plus en plus sophistiqués et nombreux, et avoir une IA capable de les analyser automatiquement pourrait changer pas mal la lutte contre ces saloperies.
Alors oui, on n’est pas encore au point où l’IA remplace complètement les experts en sécurité mais on s’en rapproche et vu la pénurie de talents en cybersécurité et l’explosion du nombre de menaces, c’est plutôt une bonne nouvelle.
Aujourd’hui mes amis, voici l’histoire du plus vieux groupe de hackers encore en activité. 41 ans d’existence, c’est pas rien quand même. Alors oui, le Cult of the Dead Cow, ça peut faire peur comme nom, mais derrière cette appellation qui fleure bon le metal des années 80, y’a une bande de petits génies qui ont inventé l’hacktivisme moderne. Du coup, on va causer de vaches mortes, de hackers texans, et de comment ces quelques geeks ont changé le monde depuis un abattoir pourri.
Le culte de la vache morte version ASCII
Je vais prendre un exemple concret pour que vous compreniez bien l’ampleur du truc. Juin 1984, Lubbock, Texas. Pendant qu’on découvrait les Transformers et qu’on se battait pour avoir une NES, six gamins se retrouvent dans un abattoir désaffecté appelé Farm Pac. L’endroit pue la mort, les mouches font la java, des carcasses de vaches pourries traînent partout. C’est dans cette ambiance digne d’un film de Tobe Hooper que naît le Cult of the Dead Cow.
Le cerveau derrière tout ça ? Kevin Wheeler, 14 ans à peine, qui se fait appeler Grandmaster Ratte’ (avec l’accent aigu, s’il vous plaît car le mec avait déjà le sens du spectacle). Né en avril 1970, Wheeler avait déjà monté son propre BBS et passait ses nuits à explorer les systèmes téléphoniques. Avec lui, il y avait Bill Brown alias Franken Gibe, un mec surnommé Sid Vicious (rien à voir avec les Sex Pistols), et trois autres opérateurs de BBS locaux dont les noms se sont perdus dans les brumes du temps.
Grandmaster Ratte'
Wheeler deviendra par la suite « l’Imperial Wizard of ExXxtasy » du groupe. Oui, avec trois X, parce que pourquoi pas. Le mec avait une personnalité complexe, flamboyant et théâtral en public, mais terriblement reclus dans la vraie vie. Le genre de type qui fait le show sur scène mais qui disparaît dès que les projecteurs s’éteignent. Un vrai paradoxe ambulant.
Pour les plus jeunes qui lisent ça, laissez-moi vous expliquer ce qu’était un BBS. C’était l’ancêtre d’Internet… vous composiez un numéro de téléphone avec votre modem 2400 bauds (oui, 2400 bauds, pas 2400 Mbps), et après 3 minutes de bruits de robot qui agonise, vous vous connectiez sur le serveur d’un passionné. Télécharger un fichier de 1 Mo prenait 6 heures et votre mère vous engueulait parce que la ligne était occupée et qu’elle attendait un appel de tante Germaine. C’était ça, l’informatique des années 80 !
Le truc marquant avec ces gars du cDc (c’est leur petit nom, prononcez “see-dee-see”), c’est qu’ils ont compris très tôt que la technologie n’était pas neutre. Alors que la plupart des hackers de l’époque s’amusaient à craquer WordPerfect pour l’avoir gratos ou à explorer des systèmes VAX par pure curiosité, eux ils avaient une vision. C’était nouveau pour l’époque où Reagan était président et où tout le monde pensait que l’informatique c’était juste pour faire des tableaux Excel.
Dans les années 80, le groupe s’organise alors autour d’un réseau de BBS affiliés. C’était comme une franchise underground où chaque BBS avait sa spécialité. Les noms étaient complètement barrés : “Demon Roach Underground” (géré par un certain Swamp Rat), “The Works”, “Face of the Beyond”, “TacoLand” (où officiait un certain Beto O’Rourke, mais on y reviendra)…
Petit fun fact en passant, ce sont eux qui ont inventé le terme “31337” pour désigner quelqu’un de doué. Aujourd’hui on dit “il gère” ou “c’est un crack”, mais à l’époque, être “31337” c’était le summum. Ce nombre fait référence à “ELEET” (élite) écrit en caractères ASCII, et le port 31337 deviendra plus tard celui utilisé par Back Orifice. Hé oui, ces mecs avaient le sens du détail !
Aussi, les “t-files” du cDc, c’était quelque chose. Un mélange entre Vice Magazine, 2600, et les délires d’un ado sous acide. Et ils publiaient de tout : des guides techniques pour hacker, des manifestes anarchistes, des parodies religieuses comme le “Book of Cow” (une parodie biblique de 1100 mots), et même de la fiction bizarre. Leur article le plus controversé ? “Sex with Satan” de 1988, qui leur a valu d’être traités de “bunch of sickos” par Geraldo Rivera en direct à la télé nationale en 1994. Mdr !
Le site du cDc
En décembre 1990, un membre du groupe va alors dépoussiérer les conférences hacker. Jesse Dryden (pseudo : Drunkfux ou dFx), crée HoHoCon dans un motel miteux près de l’aéroport de Houston. Le mec avait un pedigree de ouf, fils de Spencer Dryden, le batteur de Jefferson Airplane (celui qui a joué à Woodstock !), et petit-neveu de Charlie Chaplin himself. Ses potes le comparaient aux Merry Pranksters de Ken Kesey, sauf qu’au lieu de distribuer de l’acide, il distribuait des exploits zero-day.
HoHoCon était révolutionnaire parce que Dryden a eu les couilles d’inviter tout le monde : hackers, journalistes et même les flics ! Imaginez la tension… d’un côté des mecs recherchés par le FBI, de l’autre des agents fédéraux, et au milieu Dryden qui fait le médiateur avec son charisme légendaire. Il organisera comme ça 5 éditions au total, créant un modèle pour toutes les conférences de sécurité modernes.
Mais le vrai game changer arrive en 1996. Un membre surnommé Omega (Misha Kubecka de son vrai nom) envoie un email interne avec un mot qu’il vient d’inventer : “hacktivism”. La fusion entre “hacking” et “activism”. Dans son email, il écrivait : “We are hacktivists. We hack for a cause.” Simple, direct, efficace !
Cette même année, le groupe crée sa “Ninja Strike Force”. Le nom fait sourire aujourd’hui (c’était les années 90, tout le monde voulait être un ninja), mais l’idée était novatrice. Il s’agissait de créer une équipe dédiée aux actions concrètes pour défendre leurs idées. Parmi les membres : RaD Man (fondateur d’ACiD Productions), Mark Hinge (The Syndicate Of London), et d’autres légendes de la scène. Notez qu’après le 11 septembre, certains membres sont partis bosser pour le gouvernement et ça a créé des tensions, mais ça c’est une autre histoire…
Back Orifice - Simple mais terriblement efficace
Le 1er août 1998, c’est l’apocalypse. À la DEF CON 6 à Las Vegas, dans une salle bondée du Plaza Hotel, le cDc présente Back Orifice. Créé par Sir Dystic (Josh Buchbinder), c’est un outil de prise de contrôle à distance pour Windows qui fait tout péter. Le nom est un jeu de mots génial sur “BackOffice” de Microsoft.
L’outil utilisait le port 31337 (vous avez la référence maintenant), pesait seulement 124 Ko, et permettait de prendre le contrôle total d’un PC Windows 95/98. Microsoft panique, CNN en parle en boucle, et le gouvernement comprend que ces hackers texans ne rigolent plus. Le plus ouf pour l’époque c’est qu’ils l’ont distribué gratuitement avec le code source complet et 50 pages de doc ! J’avoue qu’à l’époque je l’ai beaucoup utilisé principalement pour m’amuser sans jamais rien détruire ni voler. Juste faire des blagues façon « Ton PC est hanté ». C’était illégal bien sûr mais c’était tellement grisant.
L’année suivante, le 10 juillet 1999, ils remettent ça avec Back Orifice 2000 (BO2k) à la DEF CON 7. Cette fois c’est DilDog (Christien Rioux) qui mène le développement. Compatible avec Windows NT/2000/XP, chiffrement 3DES, système de plugins, capacité de changer de PID pour éviter la détection… Du grand art ! DilDog avait bossé comme un malade pendant des mois et le résultat était bluffant.
Mais ils ne s’arrêtent pas là et le cDc sort toute une panoplie d’outils : NBName (DoS sur NetBIOS), SMBRelay (pour voler les hashes NTLM), Camera/Shy (rebaptisé Peek-a-Booty pour contourner la censure en Chine et Iran). Et chaque outil incluait une doc technique qui expliquait comment s’en protéger. La classe totale !
Et en 1997, coup de génie avec les “Hong Kong Blondes”, un groupe fictif de hackers dissidents chinois inventé de toutes pièces. L’histoire était si bien ficelée que des médias internationaux ont publié des articles sur ce groupe qui n’existait pas ! Du pur cDc : action directe + désinformation créative + humour décalé = message politique qui passe.
Les membres du cDc à la DEFCON 1999
En 1999, s’en suit la création d’Hacktivismo, branche dédiée aux droits humains. Menée par Oxblood Ruffin (Laird Brown), musicien classique canadien et “Ministre des Affaires étrangères” autoproclamé du cDc. Leur mission est de développer des outils pour les dissidents et les journalistes sous régimes oppresseurs. Plus question de hacker pour le fun, maintenant c’est du militantisme pur jus.
Parlons maintenant des destins incroyables des membres. Mudge (Peiter Zatko), diplômé de Berklee en musique, auteur du légendaire L0phtCrack, finit par briefer Bill Clinton en personne sur la sécurité Internet en février 2000. Et le mec enchaîne : @stake, BBN, DARPA (où il lance Cyber Fast Track), Google, puis head of security chez Twitter en 2020.
Mudge - Peiter Zatko
En 2022, gros plot twist, Mudge devient whistleblower et balance Twitter dans une plainte de 84 pages, révélant les failles béantes de sécurité juste avant le rachat par Musk. Son témoignage devant le Congrès en septembre 2022 était du pur Mudge : technique, précis, implacable. Et en 2024, retour à la DARPA comme CIO. De hacker à conseiller gouvernemental à lanceur d’alerte, quelle trajectoire !
Mais le plus fou, c’est Beto O’Rourke. Si si, l’ancien congressman du Texas qui s’est présenté à la présidentielle 2020 ! Il était membre du cDc ado sous le pseudo “Psychedelic Warlord” (tiré d’une chanson de Hawkwind). Il gérait le BBS “TacoLand” et a même écrit des t-files, dont “The Song of the Cow” en 1988.
Beto O’Rourke quand il était actif dans cDc (lors d’une DEFCON)
Le truc génial c’est que O’Rourke militait déjà pour plus de femmes dans le groupe et grâce à lui, des hackeuses comme Lady Carolin (Carrie Campbell) les ont rejoint. Quand Reuters a sorti l’info sur son passé en 2019, les républicains ont crié au cyber-terroriste. O’Rourke a assumé : “C’était formateur, j’ai appris l’importance de la liberté d’expression.” Respect !
Les membres du cDc ont protégé son secret pendant 30 ans et cela même quand des journalistes fouinaient, ou que cela aurait pu leur apporter de la notoriété. Respect la famille, comme on dit. Une fois dedans, t’es protégé à vie. C’est beau non ?
D’autres parcours de ouf c’est aussi Chris Wysopal (Weld Pond) qui co-fonde Veracode, vendue 950 millions en 2017. Count Zero (John Lester) qui devient ponte chez Linden Lab (Second Life). Ou encore Window Snyder (proche du milieu) qui devient CSO d’Intel puis d’Apple. Leur influence est partout.
Dans les années 2000, le cDc se fait alors plus discret. Normal, les membres ont grandi, fondé des boîtes, rejoint le corporate ou le gouvernemental. Mais Hacktivismo continue : Six/Four System (2003, un proxy anti-censure dont le nom est une référence à Tiananmen), ScatterChat (2006, une messagerie chiffrée), campagne Goolag (2006) contre la complicité de Google avec la censure chinoise.
Et en août 2023, surprise totale : le cDc revient avec Veilid (prononcez “vay-lid”) à la DEF CON 31. Présenté par Katelyn “medus4” Bowden (membre depuis 2020, ex-CEO de BADASS) et DilDog. 3-4 ans de dev secret pour créer un logiciel qui fait “comme si Tor et IPFS avaient eu un bébé”.
Veilid - Le futur d’Internet selon le cDc
Veilid c’est donc leur réponse aux GAFAM : un framework pour créer des apps sans collecter AUCUNE donnée. Tout est chiffré, décentralisé, P2P, résistant à la NSA. Pas de nœuds de sortie comme Tor, des clés 256-bit et c’est développé en Rust. Et ça tourne sur tout : Linux, macOS, Windows, Android, iOS, et même le navigateur via WebAssembly !
Une fondation gère le truc et lance un premier projet : VeilidChat, une messagerie ultra-sécurisée. Après 40 ans à critiquer les failles, ils proposent enfin leur vision d’Internet : privé par design, résistant à la censure, hors de portée des gouvernements et autres corporations.
Ce qui est fou avec le cDc, c’est la continuité. Ces mecs ont 50-60 ans pour les plus vieux, mais ils continuent le combat en nous prouvant 41 ans après l’abattoir texan, que la surveillance de masse n’est pas une fatalité. J’ai un grand respect pour l’ensemble de leur œuvre.
Et le groupe continue de recruter. Admission par cooptation, faut avoir fait ses preuves et partager les valeurs et une fois dedans, on est membre à vie. Ils ont des réunions annuelles secrètes où anciens et nouveaux se retrouvent pour échanger, planifier, et sûrement boire des bières en se rappelant le bon vieux temps.
Ce que je remarque surtout c’est que l’héritage du cDc est partout. Chaque fois qu’Anonymous lance une op, qu’un dev chiffre par défaut, qu’un journaliste utilise SecureDrop, qu’un dissident utilise Signal, c’est l’esprit cDc qui survit. L’hacktivisme qu’ils ont inventé en 1996 est maintenant devenu mainstream. Il n’y a qu’à voir les actions contre la Russie depuis 2022 !
Leur leçon surtout c’est que le hacking ce n’est pas juste de la technique. C’est une posture éthique où chaque ligne de code est un acte politique. Et 41 ans plus tard, cette guerre fait rage plus que jamais… IA, metaverse, crypto, surveillance biométrique, 5G… on est en plein dedans et leur message n’a pas pris une ride : la technologie peut être un outil de libération, et il suffit de quelques personnes déterminées pour changer le monde. Ou comme ils disaient : “Bovine Freedom Through Digital Anarchy”. La liberté bovine par l’anarchie numérique. 🐄
Bref, vu comment ça part avec les IA qui aspirent tout, les gouvernements qui scannent nos messages “pour protéger les enfants”, et les GAFAM qui construisent leur dystopie, on a intérêt à écouter les vaches mortes. HACK THE PLANET!
Exécutez Kali Linux sur Mac grâce à Apple Container, à condition d'avoir macOS Sequoia et un Mac avec une puce Apple Silicon. Voici comment l'installer.
Connexion
