Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.

Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.

Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.

Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.

Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.

En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !

Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.

Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !

Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.

Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !

Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.

La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…

…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.

Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.

Et ils vont prendre tout leur temps.

Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.

Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !

Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.

À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.

NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…

Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !

D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!

NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.

Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.

Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !

Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.

Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !

Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.

Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.

À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur C:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.

Un employé de l’IT raconte : “On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu

Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !

Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.

À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.

Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !

Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.

Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.

Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.

Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !

Un employé se souvient : “Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.” Franchement, on peut dire qu’ils ont eu du bol !

Mais le serveur est au Ghana, et les données doivent être rappatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.

Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.

Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.

L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !

Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !

Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.

Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !

Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !

Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…

Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.

FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !

Le PDG de FedEx déclare lors d’une conférence : “On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.” Ça résume bien la situation…

Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !

Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte : “On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.” Métaphore pas très joyeuse, un peu gore, mais très parlante.

Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix. Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !

Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.

En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !

Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.

Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.

L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !

Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même : “Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.” La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…

Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste : “Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.” et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !

Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.

Avec. NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?

Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…

L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…

Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…

Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.

Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !

Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !

Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.

On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.

À bon entendeur, salut !

Sources : Wikipedia - 2017 Ukraine ransomware attacks, US Department of Justice - Six Russian GRU Officers Charged, Microsoft Security Blog - New ransomware, old techniques, Control Engineering - How NotPetya Took Down Maersk, Phishing for Answers - How Ghana Saved a Global Conglomerate, MITRE ATT&CK - Sandworm Team

Une faille de type clickjacking affecte les extensions des gestionnaires de mots de passe les plus populaires, exposant les identifiants et les codes 2FA.

The post Le clickjacking menace les données des gestionnaires de mots de passe les plus populaires ! first appeared on IT-Connect.

Apple a publié un nouveau correctif pour combler une faille zero-day dans Image I/O. Elle est exploitée dans des attaques jugées "extrêmement sophistiquées".

The post Apple corrige une nouvelle faille zero-day exploitée dans des attaques ciblées : CVE-2025-43300 first appeared on IT-Connect.

Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.

Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.

Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.

Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.

Voici une démo avec le piège :

Vous n’avez rien vu ?

Alors regardez cette vidéo maintenant :

D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.

Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.

Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.

Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.

Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.

Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…

Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.

Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !

La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.

Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.

Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.

Dans les deux cas, ça prend cinq minutes.

En mars 2023, la CISA avait déjà signalé l’exploitation active d’une faille RCE vieille de trois ans (CVE-2020-5741) qui permettait l’exécution de code à distance. Cette faille avait notamment été utilisée dans l’attaque contre LastPass en 2022. Et en 2018, SEC Consult avait révélé plusieurs vulnérabilités incluant des attaques XXE permettant l’accès aux fichiers système et des élévations de privilèges.

C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.

Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !

Source

L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.

C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.

L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.

A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.

Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.

Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.

Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.

Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).

Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.

Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.

Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.

L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).

Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.

Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.

Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.

Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).

Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies

Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.

La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.

Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.

Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.

Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.

Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.

Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.

Sources : Washington Post – Stuxnet (2012) ; The Guardian – Olympic Games (2012) ; The Guardian – Lettre des 43 (2014) ; TechCrunch – 8200 → Silicon Valley ; GBH – Magshimim.

Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.

Le groupe Storm-2460 exploite la faille de sécurité CVE-2025-29824 présente dans Windows pour déployer la porte dérobée PipeMagic sur les PC du monde entier.

The post Cette faille Windows est exploitée pour déployer la porte dérobée PipeMagic first appeared on IT-Connect.

Vous vous souvenez de cette époque où partir en voyage signifiait acheter une carte SIM locale dans une boutique douteuse à l’aéroport ? Aujourd’hui, si on sort d’Europe, on active une eSIM en deux clics depuis son canapé et hop, on a internet à l’étranger. C’est pratique, non ? Sauf que voilà, une étude menée par des chercheurs de Northeastern University vient de révéler un truc assez hallucinant : Vos données personnelles pourraient bien faire le tour du monde sans que vous le sachiez.

Par exemple, si vous êtes à Rome en train de poster votre photo de pizza sur Instagram, vous pensez surement que vos données passent par un opérateur italien, puis rentrent directement chez vous. Je le croyais aussi alors qu’en réalité, elles pourraient faire un petit détour par Hong Kong, transiter par Singapour, et revenir par la Chine avant d’arriver à destination. Sympa le petit voyage organisé pour vos données perso, vous ne trouvez pas ?

Les chercheurs ont donc testé 25 fournisseurs d’eSIM et le constat est sans appel. Prenez Holafly par exemple, une entreprise basée en Irlande. Vous achetez leur eSIM en pensant avoir affaire à une société européenne, soumise au RGPD et tout le tralala. Sauf que dans les faits, vos connexions passent par le réseau de China Mobile. L’adresse IP qu’ils ont obtenue lors de leurs tests (223.118.51.96 pour les curieux) était directement allouée à China Mobile International Limited à Hong Kong.

En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.

Alors comment on fait pour protéger sa vie privée quand on voyage ? Et bien l’utilisation d’un VPN reste la meilleure solution (lien affilié), surtout si vous utilisez des réseaux WiFi publics. En effet, le VPN va chiffrer votre connexion et empêcher que vos données soient interceptées, peu importe par quel pays elles transitent. Certains fournisseurs comme Saily, créé par l’équipe derrière NordVPN, proposent même des eSIM avec VPN intégré. C’est un peu la ceinture et les bretelles de la sécurité.

Ce qui est vraiment problématique je trouve, c’est le manque total de transparence car quand vous achetez une eSIM, personne ne vous dit “au fait, vos données vont passer par la Chine”. Et chaque pays a ses propres lois sur la protection des données… En Chine du coup, les autorités peuvent légalement accéder à toutes les données qui transitent par leurs infrastructures. Vous voyez le problème ?

C’est pourquoi les chercheurs recommandent la mise en place d’un cadre réglementaire plus strict, avec une obligation de transparence pour les fournisseurs d’eSIM. Ils devraient par exemple au minimum indiquer clairement par quels pays vos données vont transiter. En attendant, leur méthodologie de recherche complète sera bientôt publiée sur GitHub pour que d’autres puissent reproduire et étendre leurs travaux.

Au final, les eSIM restent super pratiques pour voyager, mais faut être conscient des risques…

Source

Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.

Et tout ça avec un simple email qui disait “Je t’aime”.

On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.

Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.

Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”

La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?

Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.

C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.

Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.

Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.

Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.

Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.

Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.

Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.

Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.

Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.

Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.

Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.

Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…

Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.

Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.

Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”

Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.

De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”

L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.

Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.

En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.

Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.

Sources : BBC - Love Bug’s creator tracked down to repair shop in Manila, Computer Weekly - The man behind the first major computer virus pandemic, Geoff White - Crime Dot Com, Wikipedia - ILOVEYOU, CNN - How a badly-coded computer virus caused billions in damage, F-Secure Labs - Email-Worm:VBS/LoveLetter

Ça vous dirait d’en savoir plus sur le gang de ransomware le plus innovant et le plus traître de l’histoire du cybercrime moderne ? BlackCat, aussi connu sous le nom d’ALPHV, c’est le groupe qui a sorti le premier ransomware majeur entièrement écrit en Rust, un langage de programmation que même les hipsters de la Silicon Valley trouvent cool. Mais leur véritable coup de maître ça a été d’avoir arnaqué leurs propres affiliés pour 22 millions de dollars avant de disparaître dans la nature comme des voleurs… de voleurs. Si vous pensiez que l’honneur entre criminels existait encore, et bien BlackCat va vous faire réviser votre jugement de fond en comble.

Pour comprendre l’ampleur de cette trahison, faut s’imaginer la scène. Vous êtes un cybercriminel chevronné, vous avez infiltré la plus grosse plateforme de paiement de santé américaine et vous êtes en train de négocier une rançon de 22 millions de dollars avec des semaines d’efforts, quand au moment de toucher votre part de 80%… pouf magie, magie, votre patron disparaît avec tout le fric et vous bloque de tous ses serveurs. Et bien c’est exactement ce qui est arrivé à l’affilié “Notchy” en mars 2024. Mais bon, je m’avance un peu, laissez-moi reprendre depuis le début de cette saga digne d’un polar cyberpunk.

Tout commence le 21 novembre 2021. À cette époque, le monde du ransomware sort à peine du chaos provoqué par les attaques contre Colonial Pipeline et la fermeture brutale de REvil par les autorités russes. C’est dans ce contexte tendu qu’un nouveau groupe fait son apparition sur les forums du dark web, précisément sur RAMP (Russian Anonymous Marketplace). Leur nom ? BlackCat. Leur proposition ? Un ransomware entièrement codé en Rust, ce langage de programmation moderne que Mozilla a développé pour remplacer le C++ vieillissant. C’est du jamais vu dans l’écosystème criminel !

Alors pourquoi Rust, vous allez me dire ? Bah, c’est simple, d’abord, c’est moderne, rapide comme l’éclair, et sûr au niveau mémoire… Comme ça, pas de plantages foireux comme avec du C++ mal écrit. Ensuite, et c’est là le génie, la plupart des antivirus n’avaient aucune idée de comment analyser du code Rust en 2021. Les signatures de détection étaient Inexistantes et les outils d’analyse statique totalement en galère. Du coup, leur ransomware passe entre les mailles du filet durant des mois.

Les experts en sécurité sont littéralement bluffés quand ils mettent la main sur les premiers échantillons. Le code est propre, modulaire, optimisé. BlackCat peut tourner sur Windows, Linux, et même VMware ESXi… C’est du cross-platform de qualité industrielle. Et c’est un ransomware, personnalisable via des fichiers JSON. Comme ça, si vous voulez chiffrer seulement certains types de fichiers, ou encore éviter certains pays pour pas se faire taper sur les doigts par les autorités locales ? C’est pas un problème car c’est littéralement du ransomware à la carte, conçu comme un produit SaaS légitime.

Mais qui se cache derrière cette prouesse technique ?

Selon les analyses des chercheurs en cybersécurité, tous les indices pointent vers d’anciens membres de REvil, DarkSide et BlackMatter, c’est à dire la crème de la crème du ransomware russe. Ces mecs ont visiblement appris de leurs erreurs passées… Fini les attaques tape-à-l’œil contre les infrastructures critiques qui font réagir les gouvernements, et place à un profil bas et à une approche business plus subtile. Ils ont compris qu’il faut savoir rester dans l’ombre pour durer.

Leur modèle économique, justement, c’est une révolution dans l’écosystème RaaS (Ransomware-as-a-Service) car là où la concurrence prend 30 à 40% des rançons, comme REvil qui prenait 40%, BlackCat ne prend que 10 à 20% selon le niveau d’expérience de l’affilié. Pour les cybercriminels, c’est carrément Noël en novembre ! Et ce groupe leur fournit tout un écosystème clé en main : le ransomware personnalisable, les outils d’exfiltration de données, l’infrastructure de négociation hébergée sur Tor, un blog de leak pour faire pression sur les victimes, même un service client disponible 24h/24. L’affilié n’a qu’une chose à faire : Trouver une victime et déployer le malware.

L’infrastructure technique développée par BlackCat est très impressionnante, même selon les standards du métier car ils utilisent une architecture décentralisée basée sur Tor et I2P, avec une redondance digne d’AWS. Chaque victime reçoit un site de négociation unique, généré automatiquement et hébergé sur plusieurs serveurs miroirs. Si le FBI ferme un site, dix autres prennent instantanément le relais. Ils ont même développé “Searcher”, un outil custom qui fouille automatiquement dans les téraoctets de données exfiltrées pour identifier les documents les plus compromettants tels que des contrats confidentiels, des données personnelles sensibles, des correspondances avec les avocats…etc. Un moteur de recherche pour le chantage, quoi.

Dès décembre 2021, les premières victimes tombent comme des dominos. Moncler, la marque de luxe italienne qui se retrouve avec ses données étalées sur le dark web. Swissport, qui gère la logistique dans plus de 300 aéroports mondiaux et voit ses opérations paralysées. Des cabinets d’avocats de prestige, des hôpitaux, des universités… BlackCat ne fait pas dans la discrimination sociale, tant que la victime peut payer une rançon substantielle. Les montants varient de quelques centaines de milliers à plusieurs millions de dollars selon la taille et l’impact de l’attaque. Un business en pleine explosion !

Mais c’est en 2023 que BlackCat passe vraiment à la vitesse supérieure en nouant une alliance diabolique avec Scattered Spider, un groupe de jeunes hackers dont certains sont encore des adolescents de 17 à 22 ans, spécialisés dans l’ingénierie sociale. Ces gamins, principalement américains et britanniques, sont issus des communautés de gaming toxiques (Roblox, Minecraft) et ont évolué du SIM swapping vers le ransomware professionnel.

La méthode de Scattered Spider est redoutable mais imparable. D’abord, ils font de l’OSINT (Open Source Intelligence) intensif sur LinkedIn, Instagram, les sites d’entreprise. En gros, ils identifient des employés avec des accès privilégiés, c’est à dire les administrateurs système, les responsables IT, les managers avec des droits élevés. Puis ils les appellent directement, souvent en spoofant le numéro du support IT interne de l’entreprise grâce à des services VoIP. Le script est bienrodé : “Bonjour, ici le help desk de [NomEntreprise], on a détecté une activité suspecte sur votre compte, on doit procéder à un reset de sécurité de votre authentification multi-facteurs.”

Les employés, conditionnés à faire confiance au support IT et souvent sous pression dans leur travail quotidien, donnent alors leurs codes d’accès ou acceptent le reset. Et en 10 minutes chrono, Scattered Spider est dans le système avec des droits d’administrateur sur Active Directory, Okta, ou Azure. Une fois à l’intérieur, ils déploient BlackCat en mode silencieux, exfiltrent les données sensibles, et ne déclenchent le chiffrement qu’une fois certains d’avoir récupéré tout ce qui les intéresse. C’est la combinaison parfaite entre l’ingéniosité sociale des digital natives et la puissance technique du ransomware nouvelle génération.

Le 11 septembre 2023, c’est l’apothéose. MGM Resorts, l’empire des casinos de Las Vegas qui pèse des milliards, tombe en 10 minutes. Un simple coup de fil de Scattered Spider au help desk où ils se font passer pour un employé trouvé sur LinkedIn, et boom, voilà que tout l’écosystème tech de MGM s’effondre comme un château de cartes. BlackCat se déploie méthodiquement sur plus de 100 hyperviseurs VMware ESXi. Les casinos sont littéralement paralysés… les machines à sous affichent des écrans bleus, les systèmes de réservation rendent l’âme, même les clés électroniques des chambres d’hôtel ne fonctionnent plus.

Les images sont complètement surréalistes… On voit des files d’attente interminables de touristes devant les bureaux d’enregistrement qui sont obligés de repasser au papier et au crayon. Des clients bloqués dans les couloirs d’hôtel, incapables d’ouvrir leur porte. Des croupiers contraints de revenir aux jetons physiques et aux calculs faits main comme dans les années 1970. Le Bellagio, le MGM Grand, le Mandalay Bay, tous les joyaux de Sin City touchés simultanément. Les pertes opérationnelles sont estimées à 100 millions de dollars pour le seul troisième trimestre 2023.

Mais MGM, dirigé par des cadres qui ont des couilles en acier, refuse catégoriquement de payer. Ils préfèrent tout reconstruire from scratch plutôt que de céder au chantage. C’est un pari financier et stratégique risqué qui leur coûtera une fortune, mais ils tiennent bon. BlackCat publie évidemment une partie des données volées sur leur blog de leak pour faire pression, mais l’impact reste gérable. MGM survit à l’épreuve, même si ça fait mal au porte-monnaie et à l’ego.

Mais Caesars Entertainment, l’autre mastodonte des casinos frappé quelques jours avant MGM, fait un choix diamétralement opposé. Plutôt que d’affronter des semaines de chaos opérationnel, ils choisissent la voie de la négociation pragmatique. La demande initiale de BlackCat était alors de 30 millions de dollars. Après des discussions tendues avec les négociateurs professionnels du groupe, ils s’accordent sur 15 millions. Dans l’univers impitoyable du ransomware, payer 50% de la demande initiale est considéré comme une victoire diplomatique. Caesars récupère ses systèmes, évite la publication d’informations sensibles sur des millions de clients, et reprend ses opérations quasi normalement.

Cette différence de stratégie entre MGM et Caesars devient immédiatement un cas d’école dans les universités et les formations en cybersécurité. D’un côté, MGM qui refuse de payer et met des semaines à récupérer complètement, avec des pertes financières massives mais un message moral fort. De l’autre, Caesars qui paie et repart en quelques jours, avec un coût maîtrisé mais l’amertume d’avoir financé le crime organisé. Les experts en sécurité restent profondément divisés sur la “bonne” approche. Payer encourage indéniablement les criminels à continuer, mais ne pas payer peut littéralement détruire votre business si vous n’avez pas les reins suffisamment solides.

Quoiqu’il en soit, BlackCat ne se repose jamais sur ses lauriers et continue d’innover à un rythme effréné. Nouvelle version 2.0 du ransomware avec chiffrement intermittent, c’est à dire qui ne chiffre qu’une partie des fichiers pour aller plus vite tout en gardant une bonne efficacité. Un nouvel outil d’exfiltration qui compresse automatiquement les données à la volée pour optimiser les transferts. Un nouveau système de paiement qui accepte Monero en plus de Bitcoin pour plus d’anonymat. Bref, ils ont systématiquement un coup d’avance sur la concurrence et surtout sur les forces de l’ordre.

Mais leur innovation la plus controversée (et, géniale, je trouve) c’est le lancement d’une API publique pour les chercheurs en sécurité. Oui, vous avez bien lu ! BlackCat développe une interface de programmation qui permet aux entreprises de vérifier automatiquement si leurs données ont été volées et leakées. L’idée est diabolique : Pourquoi négocier dans l’ombre quand on peut automatiser le processus de vérification et de chantage ? Les victimes potentielles peuvent alors checker leurs données, voir exactement ce qui a fuité, évaluer l’impact, et décider en connaissance de cause s’il faut payer ou non.

Cette API devient rapidement populaire, y compris auprès d’utilisateurs légitimes. Les chercheurs en cybersécurité s’en servent pour tracker les victimes et comprendre les modes opératoires. Les journalistes l’utilisent pour leurs enquêtes sur le cybercrime. Même des concurrents de BlackCat viennent étudier le code pour s’en inspirer. Un groupe criminel qui fournit un service d’utilité publique et démocratise l’accès à l’information sur ses propres crimes, c’est encore du jamais vu !

Puis le 19 décembre 2023, un coup de théâtre qui va chambouler tout l’écosystème BlackCat. Le FBI, en collaboration avec Europol et des agences de plusieurs pays, annonce officiellement avoir saisi l’infrastructure du groupe. Le site principal de BlackCat affiche une bannière “This site has been seized by the FBI” avec le sceau officiel. Les affiliés paniquent totalement, les victimes en cours de négociation ne savent plus à qui payer, c’est le chaos absolu dans l’empire cybercriminel. Les forums du dark web s’enflamment, et tout le monde spécule sur l’ampleur réelle de l’opération.

Sauf que… quelque chose cloche dans cette histoire de saisie. Les serveurs de négociation individuels continuent mystérieusement de fonctionner. Le blog de leak reste accessible via des URLs alternatives. Les affiliés peuvent toujours télécharger le ransomware et déployer leurs attaques. Est-ce vraiment une saisie complète par le FBI ou juste une opération de communication pour déstabiliser le groupe ? La réalité s’avère plus nuancée et moins glorieuse que les communiqués officiels.

Les détails de l’opération révèlent que le FBI a effectivement eu accès à certains serveurs BlackCat grâce à un informateur infiltré qui avait obtenu le statut d’affilié. Ils ont ainsi récupéré 946 paires de clés publiques/privées et développé un outil de déchiffrement distribué gratuitement à plus de 500 victimes, leur évitant ainsi de payer environ 68 millions de dollars de rançons cumulées. Mais c’est un succès partiel car BlackCat conserve le contrôle de l’essentiel de son infrastructure grâce à l’architecture décentralisée qu’ils avaient intelligemment mise en place dès le début.

La réaction de BlackCat à cette “saisie” est brutale et révèle leur véritable nature. Dans un message vengeur publié sur leur blog, ils déclarent la guerre totale aux autorités américaines et annoncent la levée de toutes leurs restrictions auto-imposées. Plus aucune limite morale ou géopolitique. Les hôpitaux, les infrastructures critiques, les centrales électriques, même les installations nucléaires deviennent des cibles légitimes. “Le FBI a franchi une ligne rouge en s’attaquant à nous”, écrivent-ils dans un communiqué rageur. “Nous franchissons la nôtre aussi. Que les conséquences retombent sur eux.”

C’est dans ce climat de guerre ouverte entre BlackCat et les autorités américaines qu’éclate l’affaire Change Healthcare en février 2024. Un affilié expérimenté surnommé “Notchy”, probablement lié à des groupes chinois selon des analystes en renseignement, réussit à infiltrer le système de cette entreprise absolument stratégique. Change Healthcare, c’est pas n’importe qui puisqu’ils traitent 15 milliards de transactions médicales par an, soit environ un tiers de tous les paiements de santé aux États-Unis. C’est littéralement le système nerveux financier de la médecine américaine.

L’impact de l’attaque est proprement catastrophique car du jour au lendemain, des milliers de pharmacies ne peuvent plus traiter les ordonnances électroniques. Les hôpitaux se retrouvent incapables de facturer les compagnies d’assurance. Les patients diabétiques ou cardiaques ne peuvent plus obtenir leurs médicaments. Bref, c’est une crise sanitaire nationale d’une ampleur inédite. Change Healthcare n’a littéralement aucune marge de manœuvre et doivent payer pour éviter l’effondrement du système de santé américain. Ils n’ont pas le choix.

La négociation entre Notchy et Change Healthcare se déroule pendant plusieurs semaines dans une atmosphère de crise absolue. La demande initiale est de 60 millions de dollars, soit une des plus grosses rançons jamais exigées. Change Healthcare contre-propose désespérément 15 millions mais après des jours de marchandage intense avec les négociateurs professionnels de BlackCat, qui je vous le rappelle, ont des équipes dédiées disponibles 24h/24 dans plusieurs fuseaux horaires, ils finissent par s’accorder sur 22 millions de dollars. Le 1er mars 2024, Change Healthcare envoie alors 350 Bitcoin (valeur de l’époque, environ 22 millions de dollars) à l’adresse crypto fournie par l’organisation BlackCat.

Et là, c’est le drame qui va révéler la véritable nature de BlackCat et bouleverser tout l’écosystème du ransomware moderne. Notchy, qui a passé des mois sur cette opération complexe et attend “légitimement” sa part de 80% selon l’accord d’affiliation standard (soit environ 17,6 millions de dollars), se retrouve face à un silence radio total. Un jour passe sans nouvelles. Puis deux. Puis une semaine entière. Le 3 mars, pris d’un mauvais pressentiment, Notchy tente de se connecter au panel d’administration de BlackCat pour vérifier le statut de sa mission. Message affiché : “Accès refusé”. Il essaie alors de contacter les administrateurs via les canaux Tox sécurisés habituels mais pas de réponse. Il tente ensuite les serveurs de backup, les channels Discord privés, et même les anciens moyens de communication d’urgence.

Le vide absolu.

C’est à ce moment-là que la réalité frappe Notchy comme un uppercut. Il vient de se faire arnaquer par ses propres patrons. Les administrateurs de BlackCat ont tout simplement empoché les 22 millions de dollars et l’ont éjecté du système. Dans le monde du crime organisé traditionnel, ça s’appelle “se faire buter après le casse”. Dans l’univers cybercriminel, c’est un exit scam d’une ampleur légendaire !

La réaction de Notchy est explosive et va marquer un tournant dans l’histoire du cybercrime car il débarque en rage sur les forums RAMP et BreachForums et balance absolument tout ce qu’il sait. Screenshots des négociations avec Change Healthcare, preuves du paiement de 350 Bitcoin, messages ignorés avec les admins BlackCat, même les details techniques de l’infiltration. “BlackCat m’a volé 22 millions de dollars et vous êtes les prochains !”, hurle-t-il dans un post de 15 pages qui fait l’effet d’une bombe dans la communauté cybercriminelle.

L’onde de choc est immédiate et titanesque. La communauté cybercriminelle mondiale, habituée aux coups fourrés entre gangs rivaux, est en état de sidération totale. Un groupe de ransomware qui arnaque ses propres affiliés avec qui il partage les risques et les bénéfices ?? C’est du jamais vu dans l’histoire du cybercrime organisé. C’est comme si la mafia sicilienne décidait soudainement de buter tous ses capos après chaque opération réussie. Les règles non-écrites du milieu volent alors en éclats.

Mais tout ceci n’est que le début du feuilleton car le 5 mars, BlackCat publie un message laconique sur leur blog qui va rester dans les annales : “Nous fermons définitivement nos opérations. Les pressions du FBI ont rendu notre business model intenable. Merci à tous nos affiliés pour leur collaboration. Bonne chance pour la suite.” Et puis… plus rien. Silence radio total. Les serveurs s’éteignent méthodiquement un par un, le code source du ransomware disparaît des dépôts privés, les administrateurs s’évaporent de tous les canaux de communication.

BlackCat cesse purement et simplement d’exister.

L’analyse forensique de la blockchain Bitcoin révèlera l’ampleur de l’arnaque et la préméditation de l’opération. Les 350 Bitcoin de Change Healthcare ont été immédiatement fragmentés et dispersés à travers un réseau complexe de plus de 50 adresses intermédiaires, puis passés dans des mixers automatisés avant d’être reconvertis en Monero pour une anonymisation totale. Les administrateurs de BlackCat ont mis en place un système de blanchiment digne des plus grandes organisations criminelles et n’ont pas gardé un seul satoshi pour Notchy. C’est le parfait exit scam, minutieusement planifié et exécuté avec une froideur industrielle.

La communauté cybercriminelle mondiale explose alors littéralement. Sur RAMP, XSS, BreachForums, c’est la guerre civile numérique. Certains anciens affiliés défendent encore BlackCat : “Le FBI les a forcés à fermer, ils ont fait ce qu’ils pouvaient.” et d’autres crient à la trahison absolue : “Ils ont détruit 30 ans de confiance dans le modèle RaaS, ces enfoirés nous ont tous niqués.” Les modérateurs des forums, d’habitude neutres, prennent même position de manière inédite : BlackCat est officiellement banni de tous les espaces de discussion, leurs anciens comptes sont fermés, leur réputation est définitivement détruite. Même entre voleurs, il y a des limites à ne pas franchir.

Notchy, l’affilié floué qui se retrouve avec des mois de travail pour rien et 22 millions de dollars envolés, ne se laisse évidemment pas faire. Il lance un ultimatum public sur tous les forums… soit les admins disparus de BlackCat lui versent sa part dans les 48 heures, soit il publie l’intégralité des 6 téraoctets de données volées chez Change Healthcare. Données qui incluent des informations médicales ultra-sensibles sur des millions d’Américains, des militaires couverts par Tricare, des employés CVS, MetLife, des dizaines d’autres assureurs. Change Healthcare se retrouve alors dans une position impossible : ils ont déjà payé 22 millions, et maintenant on leur demande implicitement de payer encore pour éviter le leak.

Épuisé par des semaines de crise et refusant de céder une nouvelle fois au chantage, ils choisissent alors de ne plus négocier. Puis le 20 mars 2024, un mystérieux nouveau groupe appelé RansomHub, qui ressemble étrangement à une reconversion de Notchy ou d’anciens affiliés BlackCat, publie effectivement les données de Change Healthcare sur leur blog de leak. 4 téraoctets d’informations médicales ultra-confidentielles, des millions de patients impactés, un scandale sanitaire d’ampleur historique. Mais qui se cache réellement derrière RansomHub ? Notchy ? Un autre ancien affilié de BlackCat ? Des opportunistes qui ont récupéré les données ? Le mystère reste entier encore à ce jour, mais à ce moment là, le chaos est total.

L’impact de l’exit scam de BlackCat va bien au-delà des 22 millions de dollars volés et ébranle les fondements mêmes du modèle économique du Ransomware-as-a-Service, qui avait pourtant fait ses preuves depuis 2019 avec des groupes comme REvil ou LockBit, qui se retrouve remis en question. Si même les gangs les plus établis et respectés peuvent arnaquer leurs propres affiliés sans préavis, qui peut-on encore croire dans cet écosystème ?

La méfiance s’installe alors durablement dans tous les forums du dark web. Les nouveaux affiliés exigent désormais des garanties financières, des comptes escrow gérés par des tiers de confiance, des preuves de bonne foi, des références vérifiables. Certains demandent même des cautions de plusieurs millions de dollars avant d’accepter de travailler avec un nouveau groupe RaaS. L’époque de la confiance aveugle basée sur la réputation est révolue.

Certains experts de la cybersécurité y voient même la fin d’une époque dorée pour les cybercriminels, car quand la confiance, paradoxalement essentielle même entre criminels, disparaît complètement, tout ce système collaboratif s’effondre. D’autres experts prédisent au contraire une consolidation darwinienne où seuls les groupes avec une vraie réputation historique et des garanties financières béton survivront.

Mais où sont donc passés les mystérieux administrateurs de BlackCat avec leurs 22 millions de dollars ?

Les théories du complot abondent sur les forums spécialisés où certains pensent qu’ils ont été discrètement recrutés par les services de renseignement russes pour développer des cyberarmes d’État. D’autres qu’ils se sont reconvertis dans la crypto-fraude ou les arnaques DeFi, secteurs moins risqués et tout aussi lucratifs. Les plus cyniques suggèrent qu’ils préparent déjà leur prochain coup sous une nouvelle identité, avec un ransomware encore plus sophistiqué et un business model “amélioré”.

En tout cas, BlackCat avait absolument tout pour devenir le LockBit ou le Conti de leur génération et dominer l’écosystème ransomware pendant des années… Mais l’appât du gain immédiat et la cupidité pure ont été plus forts que la vision stratégique. Pour 22 petits millions de dollars soit même pas 6 mois de revenus à leur rythme de croissance, ils ont détruit un business potentiel de plusieurs milliards.

BlackCat laisse un héritage amer mais instructif car ils ont définitivement prouvé que les attaques par ingénierie sociale restaient terriblement efficaces malgré toutes les formations de sensibilisation et que la technologie de chiffrement la plus sophistiquée ne valait absolument rien face à la naïveté humaine et aux processus IT mal sécurisés.

L’épilogue de cette histoire tragique continue de s’écrire en temps réel. Notchy se balade encore sur les forums quand il n’a pas de nouvelles opérations en cours, Change Healthcare panse toujours ses plaies financières et répare péniblement sa réputation et le FBI continue ses investigations pour identifier et arrêter les administrateurs disparus, sans grand succès pour l’instant. Y’a même une récompense de 10 millions de dollars si vous avez des infos.

Et quelque part, peut-être sur une plage paradisiaque des Caraïbes ou dans un penthouse de Dubaï, les cerveaux de BlackCat sirotent probablement des cocktails hors de prix achetés avec les 22 millions de dollars de leur ultime trahison.

La morale de cette histoire, si tant est qu’il puisse y en avoir une dans l’univers du ransomware, c’est que personne n’est jamais digne d’une confiance absolue, surtout pas les criminels. Donc si vous êtes un affilié RaaS qui lisez ceci, méfiez-vous car le prochain exit scam pourrait bien vous viser personnellement…

Sources : ALPHV BlackCat - Wikipedia, BlackCat Ransomware Analysis - Microsoft Security, Exit Scam Analysis - KrebsOnSecurity, Notchy Affiliate Drama - DarkReading, BlackCat Alphv Ransomware - Heimdal, This year’s most sophisticated ransomware, Story of Cyberattack – Change Healthcare

EncryptHub mène des attaques qui combinent l'ingénierie sociale via Microsoft Teams et l'exploitation d'une vulnérabilité dans Windows : CVE-2025-26633.

The post Windows : EncryptHub exploite la faille MSC EvilTwin pour déployer le malware Fickle Stealer first appeared on IT-Connect.

Si je vous dis qu’une ex-Miss Jordanie est devenue cyber-terroriste, vous allez buguer. Mais rassurez-vous, c’est l’inverse ! Elle combat les terroristes avec des pubs pour du Prozac ! Voici aujourd’hui, l’histoire de Ghost Security Group, qui est comme un film de Tarantino écrit par des geeks sous substances illicites et c’est exactement ce dont on avait besoin pour mieux comprendre cette décennie de hacktivisme complètement barrée.

Je vous avoue que quand j’ai découvert cette histoire il y a 10 ans, j’ai d’abord cru à un canular. Des hackers qui remplacent des sites de propagande ISIS (Etat Islamique) par des publicités pour des antidépresseurs et du Viagra ? C’était tellement absurde que ça ne pouvait qu’être vrai…

Ghost Security Group, ou GhostSec pour les intimes, c’est donc l’histoire d’une bande d’ex-militaires américains et de professionnels de l’IT qui ont décidé qu’Anonymous n’était pas assez structuré pour combattre efficacement le terrorisme en ligne, alors ils s’y sont collés ! Comme l’expliquait McKenzie Wark dans son Hacker Manifesto (à ne pas confondre avec celui de The Mentor) : “Les hackers créent la possibilité que de nouvelles choses entrent dans le monde. Pas toujours de grandes choses, ou même de bonnes choses, mais de nouvelles choses”. Et GhostSec, c’était définitivement quelque chose de nouveau.

Tout commence donc le 7 janvier 2015. Vous vous souvenez de Charlie Hebdo ? Moi, j’étais à Las Vegas pour le CES et comme des millions de personnes, ça m’a foutu la rage. Sauf que contrairement à nous, certains avaient les compétences pour transformer cette colère en action. C’est pourquoi des membres d’Anonymous, déjà habitués aux opérations de désobéissance civile en ligne, ont décidé que cette fois, il fallait faire plus que des DDoS ponctuels.

Anonymous avait lancé l’#OpCharlieHebdo avec cette déclaration : “Nous vous traquerons partout sur la planète, nulle part vous ne serez en sécurité. Nous sommes Anonymous. Nous sommes légion. Nous n’oublions pas. Nous ne pardonnons pas. Ayez peur de nous, État islamique et Al-Qaïda, vous aurez notre vengeance”. Du bon gros style Anonymous qu’on connaît !

John Chase, l’un des futurs fondateurs de GhostSec, a expliqué plus tard que Charlie Hebdo était son point de rupture car le problème avec Anonymous, c’est que c’est génial pour mobiliser les foules, mais niveau coordination tactique, c’est le bordel total. Essayez un peu d’organiser une cyber guerre avec 4chan… Bref, vous voyez l’idée.

C’est là qu’intervient le concept de Ghost Security. Pas un nouveau groupe à proprement parler, mais plutôt une cellule spécialisée d’Anonymous, focus à 100% sur l’anti-terrorisme et leur idée c’est d’appliquer les méthodes hacktivistes avec la discipline militaire. Et croyez-moi, ça change TOUT. Comme l’a dit un membre de GhostSec sous le pseudo Ransacker : “Le FBI a admis à plusieurs reprises [son incapacité]. Alors, nous nous sommes impliqués dans #OpISIS pour ralentir considérablement ISIS sur le recrutement et la propagande. Nous voulions aussi pouvoir déjouer des attaques en collectant des renseignements et en les transmettant aux forces de l’ordre”.

Alors, qui compose cette dream team du hacktivisme ? Et bien il faut d’abord comprendre que GhostSec n’était pas votre collectif de script kiddies moyen. Non, ce sont des ex-militaires américains, des experts informatiques, et même des journalistes spécialisés. Les membres principaux étaient AnonCyberGost, WauchulaGhost, DigitaShadow, Comedianon, TorReaper, ISHunter, et GhostSecPI. Du bon gros level là-dedans !

Et il y avait une vraie division du travail dans le groupe. Certains membres s’occupaient de la collecte de renseignements pendant que d’autres “ghosts” se concentraient sur le côté technique de la chasse à ISIS. Un membre gérait les demandes médias et publiait même un site GhostSec Update sur Medium. Le projet était coordonné via des applications de messagerie chiffrées, des emails cryptés, et plus publiquement, sur Twitter.

Mais le personnage le plus fascinant, c’est sans doute Lara Abdallat. Ex-Miss Jordanie 2010, première dauphine Miss Monde Arabe 2011, musulmane convaincue et accessoirement l’une des hackeuses les plus redoutables de la planète. Elle rejoint GhostSec en novembre 2014, mais s’active vraiment après qu’ISIS ait brûlé vif le pilote jordanien Muath al-Kasaesbeh. Sa motivation comme elle l’écrira c’est que “Les gouvernements du monde entier n’en faisaient pas assez pour lutter contre la menace insidieuse que représentait l’État islamique.”

Lara maîtrisait parfaitement l’arabe, ce qui lui permettait de s’infiltrer dans les communications ISIS pour collecter du renseignement et je pense que ces terroristes ne s’attendaient pas à se faire piéger par quelqu’un qui avait défilé en bikini quelques années plus tôt. Le plus fort, c’est qu’elle est, encore aujourd’hui, la seule membre de Ghost Security Group dont l’identité a été rendue publique.

WauchulaGhost, lui, c’était l’artiste du groupe. Son truc c’est le defacement créatif. Il remplaçait les sites ISIS par des images de chèvres et des visuels pro-LGBTQ+. Son slogan : “Tout ce que je fais, c’est pour les gens… c’est un service gratuit”. Bref, un Robin des Bois numérique avec un sens de l’humour douteux, soit exactement ce qu’il fallait à cette cause. Plus tard, quand le groupe se divisera, il restera fidèle à l’esprit Anonymous sous le nom de #GhostofNoNation.

DigitaShadow, lui, était le cerveau tactique. Ex-militaire avec une compréhension fine des enjeux géopolitiques, il avait cette capacité rare de transformer la colère hacktiviste en stratégie cohérente. C’est lui qui développe les méthodes de collaboration avec les agences de renseignement… un concept révolutionnaire pour Anonymous à l’époque.

Les méthodes de GhostSec à l’époque étaient un mélange de techniques classiques et d’innovations tactiques. DDoS pour surcharger les serveurs ISIS, SQL injection pour compromettre leurs bases de données, defacement pour humilier publiquement leurs supporters. Mais leur vraie spécialité, c’était la collecte de renseignements. Et là, ils étaient forts !

Car contrairement aux Anonymous classiques qui font du bruit, GhostSec privilégiait l’infiltration discrète. Ils s’incrustaient dans les forums ISIS, interceptaient les communications, collectaient du renseignement afin d’identifier des attaques planifiées pour les transmettre aux autorités. Et ça fonctionne !!

Le processus était bien rodé… d’abord, ils signalaient le site à l’hébergeur. Si rien n’était fait, alors GhostSec passait à l’attaque d’abord en tentant de pirater le site, puis par DDoS en dernier recours. Les attaques de piratage incluaient l’injection SQL, les attaques XSS et les attaques par force brute. Le groupe revendiquait avoir supprimé plus de 57,000 comptes de réseaux sociaux et plus de 100 sites web utilisés par Daesh dès 2015. Selon certaines estimations, ils auraient réduit la capacité d’ISIS à diffuser son message en dehors de son public principal, réduisant la capacité de l’organisation à manipuler l’opinion publique et à attirer de nouvelles recrues.

En juillet 2015, ils interceptent des communications relatives à un attentat prévu sur un marché tunisien, un copycat de l’attaque qui avait tué 38 touristes dans un hôtel de bord de mer. L’info est alors remontée via Kronos Advisory Group (une boîte de sécurité privée dirigée par Michael Smith II) jusqu’au FBI et le résultat est plutôt satisfaisant puisque l’attentat est déjoué avec à la clé 17 arrestations. Pareil pour des projets d’attaques à New York…etc. GhostSec a probablement sauvé des vies sans que personne ne le sache jamais.

Mais l’anecdote qui restera dans l’histoire, c’est le hack du 25 novembre 2015 d’un site ISIS sur le dark web, probablement un WordPress mal sécurisé (ça c’est du classique !). GhostSec y pénètre et remplace tout le contenu par… une publicité pour CoinRX.com, une pharmacie en ligne vendant du Prozac et du Viagra.

Le message laissé était bien trollesque : “Trop d’ISIS. Augmentez votre calme. Il y a trop de gens s’intéressent à cette histoire d’ISIS. Alors regardez cette jolie publicité afin que nous puissions améliorer notre infrastructure et vous offrir le contenu ISIS dont vous rêvez tous si désespérément”. Et s’en suivait alors une publicité pour “la première pharmacie en ligne bitcoin” avec une sélection de médocs allant du Viagra au Prozac. Des terroristes qui prônent la mort et la destruction se retrouvent avec de la pub pour des antidépresseurs !

C’était tellement surréaliste que ça avait fait le tour du web. Imaginez la tête des recruteurs ISIS qui arrivent sur leur site de propagande et tombent sur “Achetez votre Viagra avec Bitcoin”. C’était ça la philosophie GhostSec, utiliser l’humour et la dérision pour désacraliser la propagande terroriste. Pas juste détruire, mais ridiculiser. Et c’est infiniment plus efficace psychologiquement. Comme ils le disaient, cette approche visait à “déterritorialiser” l’espace de communication qu’ISIS avait territorialisé pour la violence.

Mais comme toutes les belles histoires de hacktivisme, celle-ci tourne au vinaigre à cause de divergences philosophiques. En novembre 2015, 3 membres clés - DigitaShadow, ISHunter et GhostSecPI quittent le groupe pour créer Ghost Security Group (GSG), une entité séparée d’Anonymous.

Leur argument c’est que pour être vraiment efficaces contre ISIS, il faut collaborer officiellement avec le gouvernement américain. Exit l’anonymat, exit la désobéissance civile. Place à la coopération institutionnelle via des contrats avec des agences comme Kronos Advisory Group. Du coup, ils deviennent “légitimes” mais perdent leur âme.

Les autres membres du groupe ont mal pris la chose. TorReaper, notamment, reproche à l’équipe dissidente de transformer le renseignement en “marchandise” à protéger plutôt qu’à partager avec la communauté. Pour lui, c’était une trahison des valeurs d’Anonymous : “Le renseignement… est devenu une marchandise qui devait être protégée et a donc cessé d’être partagé avec les followers du groupe”. Bref, ça sent la séparation qui pique.

Mais peut-on changer le système de l’intérieur sans se faire corrompre par lui ?

DigitaShadow avait 14 spécialistes dans son équipe GSG, avec un financement stable et un accès direct aux décideurs. Mais il avait perdu l’âme anarchiste qui faisait la force d’Anonymous. C’est pourquoi TorReaper et les autres maintiennent le nom GhostSec sous bannière Anonymous, reconstruisant le groupe avec moins de hiérarchie et plus d’indépendance.

Pendant quelques années, les deux groupes coexistent. Ghost Security Group travaille avec les agences gouvernementales, GhostSec continue ses opérations indépendantes. Mais maintenir une infrastructure hacktiviste coûte cher. Serveurs, VPN, outils de chiffrement, tout ça représente un budget conséquent.

En 2016, le flux de propagande ISIS sur les réseaux sociaux devient si énorme que GhostSec change de stratégie. Au lieu de faire tomber des sites web, ils se concentrent sur la recherche de menaces directes, propagande, etc. Tout renseignement exploitable qu’ils peuvent ensuite transmettre aux agences de maintien de l’ordre américaines. Pour cela, ils se focalisent presque exclusivement sur les comptes Twitter.

Fin été 2016, nouveau tournant, GhostSec fusionne avec BlackOps Cyber, un groupe privé affilié à la corporation internationale BlackOps Partners. Avec cette fusion, GhostSec abandonne son masque Anonymous pour devenir partie intégrante d’une équipe de contre-terrorisme CyberHUMINT. Cette transformation signifiait des connexions plus profondes avec les forces de police internationales, Interpol, MI5, et autres. Pendant ce temps, WauchulaGhost garde sa position Anonymous pour combattre seul sous le nom de #GhostofNoNation, continuant ainsi la tradition du trolling créatif qu’il avait initiée.

Alors en 2022, GhostSec commence à diversifier ses activités. D’abord, ils s’attaquent aux infrastructures russes pour soutenir l’Ukraine comme en avril 2022, où ils paralysent le système ferroviaire de Metrospetstekhnika, empêchant le transport de matériel militaire via la Biélorussie.

Mais progressivement, la nécessité financière pousse le groupe vers des activités moins nobles. En juillet 2022, ils lancent “GhostSec Mafia Premium”, un service de cybercriminalité à la demande. L’idée c’est d’utiliser leurs compétences pour financer les opérations hacktivistes. Moralement discutable, mais stratégiquement cohérent.

Puis le 28 août 2023, GhostSec forme une alliance appelée “The Five Families” avec d’autres groupes : ThreatSec, Stormous, Blackforums, et SiegedSec. L’objectif selon eux, l’objectif c’est “Établir une meilleure unité et de meilleures connexions pour tous les acteurs du monde souterrain d’Internet, afin d’étendre et de développer notre travail et nos activités”. Et deux mois plus tard, ils lancent GhostLocker, un ransomware-as-a-service qui va faire parler de lui.

GhostLocker, c’était du solide. Interface de gestion complète pour les affiliés, système de double extorsion (chiffrement + vol de données), ciblage international. Ils frappent dans 16 pays : Cuba, Argentine, Pologne, Chine, Liban, Israël, Ouzbékistan, Inde, Afrique du Sud, Brésil, Maroc, Qatar, Turquie, Égypte, Vietnam, Thaïlande, Indonésie. Du bon gros niveau international !

Les secteurs visés sont la technologie, l’éducation, l’industrie, le gouvernement, le transport, l’énergie, le juridique, l’immobilier, et les télécoms. Du beau travail, malheureusement pas du bon côté de la barrière. La version de leur ransomware était codée en Python et compilée avec Nuitka, avec du chiffrement AES via la librairie Fernet.

En janvier 2024, ils sortent GhostLocker 2.0 écrit en Go avec des améliorations techniques significatives. Interface redesignée, meilleure gestion des campagnes, système de paiement optimisé. Le ransomware chiffre les fichiers et y ajoute l’extension “.ghost”… au moins ils assument leur identité !

En février 2024, GhostSec et Stormous lancent STMX_GhostLocker, un programme RaaS plus sophistiqué proposé à 269,99$ par mois. S’en suit une attaque de haut niveau en mars 2024 contre la brasserie belge Duvel Moortgat qui se fait dérober 88 GB de données et met à l’arrêt des lignes de production en Belgique et aux États-Unis. C’est là qu’on réalise l’ampleur du truc.

Puis le 15 mai 2024, GhostSec annonce officiellement son retrait des activités criminelles et son retour au hacktivisme. Sebastian Dante Alexander, le leader du groupe, forward un message depuis leur canal Telegram annonçant leur sortie de The Five Families et leur retour aux sources. D’après eux, ils avaient obtenu suffisamment de financement via les ransomwares pour soutenir leurs opérations hacktivistes à long terme.

En gros, ils ont fait du crime pour financer leur idéalisme. C’est totalement discutable moralement, mais stratégiquement ça a fonctionné. En tout cas, c’est du jamais vu dans l’histoire du hacktivisme ! Toutes les opérations GhostLocker sont alors transférées à Stormous, qui continue le programme RaaS. GhostSec, lui, revient à ses fondamentaux c’est à dire la surveillance du terrorisme en ligne, les opérations géopolitiques, et le bon vieil hacktivisme traditionnel. Alexander annonce également que leurs futures cibles incluront les organisations et agences gouvernementales israéliennes, ainsi que l’exposition de données relatives aux cartels mexicains.

Alors aujourd’hui, que reste-t-il de toute cette aventure ? Et bien GhostSec a probablement empêché des attentats, démantelé des réseaux de propagande, et sauvé des vies.

Mais leur parcours illustre aussi les dilemmes moraux du hacktivisme car quand vous avez les compétences pour améliorer le monde, comment est-ce que vous vous financez ? Comment est-ce que vous restez indépendants ? Et surtout, la fin justifie-t-elle tous les moyens ?

La transformation de GhostSec → cybercriminalité → retour au hacktivisme est unique dans l’histoire du hack car c’est la première fois qu’un groupe reconnaît explicitement avoir fait du crime pour financer son idéalisme, puis arrête quand l’objectif est atteint. Et bien sûr, ça fait débat dans la communauté hacker.

Mais au-delà de l’aspect moral, GhostSec pose une question fondamentale : les actions du groupe s’attaquaient-elles vraiment aux causes profondes du terrorisme, ou ne faisaient-elles que reproduire les mêmes structures étatiques que les terroristes combattent ? Étaient-ils des pirates créant des “zones autonomes temporaires” au nom des droits humains, ou simplement des corsaires générant du profit dans la guerre mondiale contre le terrorisme ?

Mais parlons un peu technique, parce que c’est là que GhostSec excelle vraiment. Leurs méthodes combinent sophistication technologique et intelligence humaine de façon magistrale.

Infiltration sociale : Grâce à des membres arabophones comme Lara Abdallat, ils s’incrustaient dans les forums et groupes Telegram ISIS. Ils se faisaient passer pour des sympathisants, collectaient des informations sur les recruteurs, les méthodes de propagande, les projets d’attaques. Du bon gros HUMINT (Human Intelligence).

SQL injection avancée : Pour compromettre les sites ISIS, ils utilisent des techniques d’injection SQL sophistiquées, permettant d’accéder aux bases de données complètes. Ils récupèrent ainsi les listes d’utilisateurs, les communications privées, les documents stratégiques. Classique mais efficace.

DDoS coordonnés : Contrairement aux attaques DDoS anarchiques d’Anonymous, GhostSec orchestre des campagnes ciblées et temporisées. L’objectif n’est pas juste de faire tomber un site, mais de perturber des opérations spécifiques à des moments stratégiques.

10 ans après Charlie Hebdo, GhostSec a effectivement tenu sa promesse de retour au hacktivisme avec une expertise accrue grâce à leur expérience de la décennie écoulée. Ghost Security Group (la branche gouvernementale) continue ses activités de conseil auprès des agences américaines. Et Lara Abdallat travaille désormais ouvertement avec les autorités jordaniennes sur les questions de cybersécurité.

L’évolution de GhostSec, d’Anonymous à groupe semi-gouvernemental, puis à cybercriminels, et retour au hacktivisme, illustre parfaitement les paradoxes du monde numérique moderne. Leur histoire montre qu’il n’existe pas de frontière claire entre le bien et le mal dans le cyberespace, seulement des nuances de gris dans un monde en perpétuelle mutation.

Après avoir écrit tout ça, en tout cas, j’ai très envie de savoir ce qu’ils préparent pour la suite, parce que connaissant leur capacité à nous surprendre, on n’a pas fini d’entendre parler d’eux.

Sources : Wikipedia - Ghost Security, Mic.com - Anonymous Divided: Inside the Two Warring Hacktivist Cells Fighting ISIS Online, Washington Times - Ghost Sec hacks ISIS site on deep web with Viagra, Prozac ad, Wikipedia - Lara Abdallat, The Sec Master - GhostSec: From Hacktivism to Cybercrime Evolution, The Cyber Express - GhostSec Returns To Hacktivism After Ransomware Ops, SOCRadar - The Five Families: Hacker Collaboration Redefining the Game, Robert Tynes - When GhostSec Goes Hunting (Limn Magazine)

Boston, 1992. Dans un loft miteux du South End qui ressemble plus à un squat qu’à un labo, une bande de hackers bidouille tranquillement. On est dans la cave de la cave du 59 Hamilton Street, à côté du Boston Ballet. Le loyer est de 150 dollars par mois et le bail au nom d’un certain Brian Hassick qui squatte le lieu pour l’art et la musique. L’équipement qu’on y trouve, ce sont surtout des cables Ethernet coaxiaux de récup, des ordinateurs dépareillés et un T1 piraté sur un routeur Cisco mal configuré d’une boîte voisine. C’est là que naît L0pht Heavy Industries, avec un zéro à la place du O, parce que c’est plus l33t speak, vous comprenez.

Le groupe rassemble les meilleurs hackers de la côte Est. D’abord, y’a Count Zero (John Tan) qui loue l’espace pour 300 balles par mois et le sous-loue aux autres. Un type discret qui préfère rester dans l’ombre mais qui connaît les systèmes Unix comme sa poche. Ensuite arrive Mudge (Peiter Zatko), un mec qui a bossé sur BBN Technologies et qui comprend le protocole TCP/IP mieux que ceux qui l’ont inventé. Space Rogue (Cris Thomas), barbu et sarcastique, spécialiste des failles web avant même que le web existe vraiment. Weld Pond (Chris Wysopal), le mec qui peut transformer n’importe quelle ligne de commande en interface graphique Windows. Kingpin (Joe Grand), le génie du hardware qui peut souder les yeux fermés. Stefan von Neumann, le cryptographe. Brian Oblivion, l’énigmatique. Et plus tard, Dildog (Christien Rioux), le gars qui code en assembleur pour le fun et qui créera Back Orifice, le trojan qui fera trembler Microsoft.

Pendant que les script kiddies s’amusent avec leurs outils téléchargés sur les BBS, les mecs de L0pht développent des outils qui vont révolutionner la sécurité informatique. Leur philosophie ? “Making the theoretical practical.” On pourrait traduire ça comme : on prend les vulnérabilités théoriques que les chercheurs trouvent dans leurs labos universitaires, et on code des exploits qui marchent vraiment. C’est de la recherche appliquée niveau cyber street cred !

La première bombe de L0pht, c’est L0phtCrack, sorti au printemps 1997. Mudge développe les algos de dictionnaire et de brute force dans un outil en ligne de commande. Le truc de base, quoi. Mais là où ça devient génial, c’est quand Weld Pond ajoute une interface graphique pour Windows. Parce que les admins Windows de l’époque, ils savent pas ce que c’est qu’un terminal. Et Dildog ? Il optimise tout en assembleur à la main. Du coup, un Pentium II 400 MHz de 1998 peut casser un mot de passe Windows NT de 8 caractères alphanumériques en une journée.

Le secret de L0phtCrack c’est qu’il exploite la faiblesse monumentale du hash LANMAN que Microsoft continue d’utiliser pour la rétrocompatibilité. Cette merde de protocole datant de l’époque où Steve Ballmer avait encore des cheveux divise les mots de passe en chunks de 7 caractères, les met en majuscules et les hashe séparément. Autant dire que niveau sécurité, c’est comme protéger Fort Knox avec un cadenas de vélo. Et le pire c’est que Microsoft stocke le hash LANMAN faible juste à côté du hash NTLM plus fort. Autant mettre la clé de chez vous sous le paillasson avec un panneau sur lequel il est écrit “La clé est ici”.

Bien sûr, Microsoft flippe sa race. Tellement que L0phtCrack les force finalement à désactiver LANMAN par défaut dans les versions ultérieures de Windows. Mais entre-temps, L0pht vend des milliers de licences de L0phtCrack à 100 dollars pièce. Les admins sys l’achètent pour “auditer” leurs réseaux… Et les hackers aussi, mais eux c’est pour “auditer” les réseaux des autres. Business is business !

Et le loft devient alors rapidement LE lieu de rassemblement de la scène hacker de Boston. Les mecs organisent des réunions hebdomadaires où ils partagent leurs découvertes. Mudge publie des papiers sur les buffer overflows qui deviendront des références et Space Rogue lance Hacker News Network (HNN) en 1998, l’un des premiers sites d’actualités sur la sécurité informatique. C’est l’ancêtre spirituel de tous les blogs sécu actuels.

Mais le moment qui fait entrer L0pht dans la légende, c’est le 19 mai 1998. Les sept membres sont convoqués devant le Comité sénatorial sur les affaires gouvernementales pour témoigner sur le thème “Weak Computer Security in Government”. Les sénateurs s’attendent à un show de geeks intimidés mais ce qu’ils obtiennent, c’est un électrochoc.

Le sénateur Fred Thompson (républicain du Tennessee et futur acteur dans Law & Order) pose LA question : “Pourriez-vous rendre Internet inutilisable pour toute la nation ?” Sans hésiter, Mudge répond : "C’est juste oui. En fait, l’un d’entre nous pourrait le faire avec juste quelques envois de paquets." Silence de mort dans la salle. Mudge continue : “L’Internet lui-même pourrait être mis hors service par n’importe lequel des sept individus assis devant vous avec 30 minutes de frappes bien orchestrées.”

La vulnérabilité en question dont parle Mudge ?

Une faille dans le protocole BGP (Border Gateway Protocol) que L0pht a découverte quelques temps avant. BGP, c’est le protocole qui permet aux routeurs d’Internet de savoir où envoyer les données. La faille permettrait de créer un effet boule de neige où quand un routeur tombe, il envoie des infos foireuses au suivant avant de mourir, qui les transmet au suivant avant de mourir, et ainsi de suite. En moins de 30 minutes, tout Internet s’effondrerait comme un château de cartes. Heureusement, les constructeurs ont déjà été prévenus et ont patché, mais la majorité des routeurs en production sont toujours vulnérables.

Space Rogue se souvient : “C’était l’idée de Mudge de lâcher cette bombe pendant le témoignage. On s’est dit que ça ferait réagir.” Et ça marche puisque ça fait beaucoup plus que réagir. Les médias s’emballent. CNN, NBC, tous les journaux en parlent. Pour la première fois, le grand public réalise qu’Internet, c’est pas juste magique, c’est aussi fragile. Et que des mecs en t-shirt Metallica peuvent le faire tomber depuis leur sous-sol.

Les sénateurs sont tellement impressionnés qu’ils demandent alors aux membres de L0pht de devenir consultants pour le gouvernement. John Tan raconte : “Ils nous ont proposé des badges et tout. On a dit qu’on préférait rester indépendants.” Mais l’impact est énorme et ce témoignage de L0pht marque le début de la prise de conscience sur la cybersécurité au niveau gouvernemental.

En parallèle de leur témoignage, Dildog travaille sur un projet qui va faire encore plus de bruit : Back Orifice. Présenté à DEF CON 6 en août 1998, c’est un outil d’administration à distance pour Windows qui fait exactement ce que fait le produit commercial de Microsoft (SMS - Systems Management Server), sauf qu’il est gratuit et qu’il peut être utilisé comme backdoor. Le nom est un jeu de mots sur Microsoft BackOffice. Très subtil.

Back Orifice permet donc de prendre le contrôle total d’une machine Windows 95/98/NT à savoir, voir l’écran, enregistrer les frappes clavier, transférer des fichiers, lancer des programmes. Le tout en 120 Ko. Microsoft pète un câble et qualifie ça de “malware”. Dildog répond : “C’est exactement ce que fait votre produit à 5000 dollars, sauf que le nôtre est gratuit et mieux codé.” Et paf, dans les dents !

La version 2000 de Back Orifice, sortie en 1999, est encore plus délirante. Elle supporte les plugins, le chiffrement, et peut même se cacher dans d’autres processus. Plus de 100 000 téléchargements en quelques semaines et les antivirus la détectent, mais Dildog sort des mises à jour plus vite qu’ils ne peuvent suivre. C’est le jeu du chat et de la souris, sauf que la souris code comme une dingue en assembleur.

Tout ce bordel attire alors l’attention des investisseurs et en 1999, le loft déménage dans de vrais bureaux à Watertown. Fini le T1 piraté, ils ont enfin une vraie connexion Internet maintenant et les membres commencent à gagner leur vie avec des consultations en sécurité. Mudge facture 1000 dollars de l’heure pour auditer des systèmes. Space Rogue vend des formations. Kingpin conçoit des badges électroniques sécurisés pour la DEF CON.

Et le 10 janvier 2000, c’est le tournant ! L0pht fusionne avec @stake, une startup de conseil en sécurité fondée par des anciens de Cambridge Technology Partners et leur idée c’est de combiner l’expertise technique de L0pht avec le côté business de @stake. Sur le papier, c’est génial. Dans la réalité, c’est le début de la fin.

Le moins qu’on puisse dire c’est que la transition est brutale. Space Rogue est viré du département marketing après quelques mois. “Ils voulaient que je porte un costume et que j’arrête de dire ‘fuck’ dans les réunions. J’ai dit que c’était pas négociable”. Et Mudge craque complètement. Il passe six mois en arrêt maladie pour dépression et quitte @stake après seulement deux ans. “On est passé de hackers qui changent le monde à consultants qui remplissent des PowerPoints. C’était déprimant.”

Les autres membres partent alors un par un. Kingpin retourne à l’électronique et devient une star de l’émission “Prototype This!” sur Discovery Channel. Stefan von Neumann disparaît dans la nature. Brian Oblivion aussi. Seul Nash reste jusqu’au bout, quand Symantec rachète @stake en 2004 pour 49 millions de dollars. À ce moment-là, il ne reste plus rien de l’esprit L0pht.

Mais certains rebondissent. Weld Pond et Dildog fondent Veracode en 2006, une boîte d’analyse de code qui cartonne qui est ensuite rachetée par Broadcom en 2018 pour 950 millions de dollars. Pas mal pour des anciens squatteurs ! Mudge rejoint la DARPA comme program manager où il lance le Cyber Fast Track, un programme pour financer la recherche en sécurité. Et il bosse ensuite chez Google, puis Stripe, puis Twitter comme chef de la sécurité (jusqu’à ce qu’Elon Musk le vire en 2022 après le rachat).

Space Rogue devient quant à lui strategist chez IBM X-Force. Il continue son blog et reste actif sur Twitter où il balance régulièrement sur l’industrie de la cybersécurité. “La moitié des boîtes de sécu actuelles vendent de la poudre de perlimpinpin. Au moins, nous, on cassait vraiment des trucs.”

Le 22 mai 2018, exactement 20 ans après leur témoignage historique, quatre membres originaux (Space Rogue, Weld Pond, Kingpin et Mudge) retournent à Washington pour un briefing intitulé “A Disaster Foretold - And Ignored”. Organisé par le Congressional Internet Caucus Academy et streamé sur Facebook (l’ironie !), ils font le bilan : “Internet était très fragile. Il est toujours très fragile. Et il y a probablement plus d’une façon de causer des problèmes similaires aujourd’hui qu’à l’époque.”

Mudge enfonce le clou : “En 1998, on parlait de 30 minutes pour faire tomber Internet. Aujourd’hui, avec l’IoT, les infrastructures critiques connectées, les voitures autonomes, on peut faire bien pire en bien moins de temps. Mais personne n’écoute vraiment. Les entreprises préfèrent investir dans le marketing que dans la sécurité.”

L’héritage de L0pht est immense. Ils ont montré qu’on pouvait être hacker ET légitime. Qu’on pouvait casser des systèmes pour les améliorer. Ils ont forcé Microsoft à revoir sa sécurité. Ils ont réveillé le gouvernement américain sur les cyber-menaces et ont inspiré toute une génération de chercheurs en sécurité.

Et aujourd’hui, L0phtCrack existe toujours !! Après plusieurs changements de propriétaire (Symantec, puis rachat par les auteurs originaux, puis Terahash, puis reprise pour défaut de paiement), il est devenu open source en 2022. La version 7 sortie en 2016 peut même casser les hash Windows 10 en quelques heures sur un GPU moderne. Et la version 8, encore en développement, promet de casser n’importe quel mot de passe Windows en moins d’une heure avec les bonnes ressources. Bref, 25 ans après sa création, l’outil reste une référence.

Le loft du 59 Hamilton Street n’existe plus évidemment. L’immeuble a été rénové et transformé en condos de luxe à 2 millions de dollars. Une plaque commémorative ? Non, rien. Pas même une mention sur Wikipedia de l’adresse exacte. C’est comme si l’histoire avait été effacée. Mais pour ceux qui savent, c’est là que tout a commencé, depuis un sous-sol pourri.

Aujourd’hui, la cybersécurité est une industrie de 200 milliards de dollars et des entreprises comme CrowdStrike valent plus que General Motors. Les bug bounties peuvent rapporter des millions, les hackers éthiques sont des rock stars qui donnent des conférences TED et tout ça, c’est aussi grâce à des pionniers comme L0pht qui ont montré que la sécurité informatique n’était pas un luxe mais une nécessité.

L0pht Heavy Industries, c’était l’âge d’or du hacking, quand on pouvait encore croire qu’on allait changer le monde avec du code et de l’idéalisme. C’était avant que tout devienne business, mise en conformité et certifications. C’était l’époque où être hacker voulait encore dire quelque chose et où “transformer le théorique en pratique”, n’était pas juste un slogan marketing mais une philosophie de vie.

Bref, L0pht, c’était les vrais, les OG, les hackers avant que ce soit cool. À vous de voir maintenant si vous préférez cette époque où on cassait des systèmes pour le fun et la gloire, ou aujourd’hui où on remplit des rapports de conformité pour des clients qui ne comprennent rien…

Sources : Washington Post - Net of Insecurity: A Disaster Foretold and Ignored, Space Rogue - Transcription of L0pht Testimony, Wikipedia - L0pht, Wikipedia - L0phtCrack, The Parallax - L0pht Hackers Return with Dire Warnings

Vous croyez qu’un agent secret russe du GRU peut oublier d’allumer son VPN comme votre grand-père oublie ses lunettes ? Bah oui, ça peut arriver et c’est exactement comme ça qu’on a chopé Guccifer 2.0. Une seule fois, un seul petit oubli, et voilà… adresse IP tracée direct au siège du renseignement militaire russe sur Grizodubovoy Street à Moscou. Pas très discret pour un espion censé manipuler une élection présidentielle américaine…

L’histoire de Guccifer 2.0, c’est un mélange fascinant entre James Bond et Mr. Bean. D’un côté, on a une opération de cyberespionnage d’une sophistication redoutable orchestrée par deux unités d’élite du GRU qui a réussi à pirater le Comité national démocrate américain et à exfiltrer plus de 70 Go de données. Et de l’autre, une succession de bourdes techniques tellement grossières qu’on se demande comment ces gars-là ont eu leur diplôme d’espion.

Bref, toute cette histoire est un bon gros délire, vous allez voir.

Commençons par le commencement. En 2013, un hacker roumain du nom de Marcel Lehel Lazar s’était fait une petite réputation sous le pseudonyme de “Guccifer”. Ce chauffeur de taxi au chômage de 40 ans avait réussi à pirater les comptes emails de célébrités et d’hommes politiques américains, dont Sidney Blumenthal, un conseiller d’Hillary Clinton.

Sa technique ? Rien de très sophistiqué… il trouvait des infos personnelles sur ses cibles sur Facebook et devinait leurs questions de sécurité. Basique mais efficace. Il avait même publié des autoportraits de George W. Bush pris sous la douche, c’est dire !

Alors quand le 15 juin 2016, quelques heures seulement après que le Washington Post révèle que des hackers russes avaient infiltré le DNC, un nouveau personnage débarque sur WordPress.com en se faisant appeler “Guccifer 2.0”. Notre mystérieux Guccifer 2.0 sort de nulle part pour revendiquer le hack. “Non non, c’est pas les Russes, c’est moi, un hacker roumain solitaire qui veut dénoncer l’Illuminati !”

Sympa l’hommage au Guccifer original, mais il y avait juste un petit problème : Marcel Lazar était en taule fédérale aux États-Unis à ce moment-là, condamné à 52 mois de prison. Dur de pirater quoi que ce soit depuis sa cellule. Mais bon, les détails, hein. Et puis franchement, le timing était trop parfait… quelques heures après l’article du Washington Post ? Sérieusement ?

L’affaire commence donc vraiment le 19 mars 2016 quand John Podesta, le directeur de campagne d’Hillary Clinton, reçoit un email qui ressemble à une alerte de sécurité Google. Vous savez, le genre de truc qu’on reçoit tous et qu’on ignore généralement. L’email avait pour objet “Someone has your password” et prétendait qu’une tentative de connexion avait eu lieu depuis l’Ukraine. Sauf que cette fois, c’était du spear-phishing de compétition, orchestré par l’unité 74455 du GRU russe (aussi connue sous le nom de Main Center for Special Technology).

Et là, c’est le drame. L’assistant de Podesta transfère l’email au support IT de la campagne. Un technicien répond avec une faute de frappe monumentale : au lieu d’écrire “This is an illegitimate email”, il tape “This is a legitimate email”. Oups ! L’assistant de Podesta, suivant les instructions, clique sur le lien malveillant via Bitly et saisit les identifiants. Et c’est terminé ! Le lien a même été cliqué deux fois. Les Russes venaient de s’offrir un accès VIP aux coulisses de la campagne Clinton.

Pendant ce temps, deux groupes de hackers russes, surnommés “Fancy Bear” (APT28, unité 26165 du GRU) et “Cozy Bear” (APT29, probablement le SVR) par les experts en cybersécurité, s’amusaient déjà dans les serveurs du DNC depuis 2015. L’unité 26165, basée au 20 Komsomolskiy Prospekt à Moscou et dirigée par Viktor Netyksho, s’était même payé le luxe d’installer des keyloggers et de prendre des captures d’écran des ordinateurs des employés. Au total, ils ont exfiltré plus de 70 Go de données du DNC et 300 Go des serveurs de la campagne Clinton. Y’a pas à dire, ils sont forts chez les Russes !

Mais voilà, pirater c’est bien, mais il faut aussi savoir valoriser sa marchandise. Et c’est là qu’intervient notre star, Guccifer 2.0, géré par l’unité 74455 basée au 22 Kirova Street à Khimki (dans un bâtiment que les agents du GRU appellent “la Tour”) et dirigée par Aleksandr Osadchuk.

Le 15 juin 2016, Guccifer 2.0 fait donc son grand débarquement avec un post de blog sur WordPress dans lequel il se présente comme un hacker roumain patriote qui a agi seul pour “exposer la corruption”. Il balance même quelques documents du DNC pour prouver sa bonne foi, dont un dossier d’opposition research de 200 pages sur Donald Trump qu’il envoie à Gawker et The Smoking Gun.

Le problème, c’est que personne n’y croit. Déjà, le timing est trop parfait, et puis surtout, quand les journalistes de Motherboard commencent à creuser, ça sent le roussi à plein nez.

L’interview qui a tout fait capoter, c’est celle de Lorenzo Franceschi-Bicchierai en juin 2016. Le journaliste demande à Guccifer 2.0 de répondre en roumain, histoire de vérifier ses origines. Et là, c’est la catastrophe totale ! Notre prétendu Roumain sort un charabia qui ressemble plus à du Google Translate qu’à du roumain natif. Il utilise des mots comme “filigran” pour “watermark”, une traduction littérale que seul un non-Roumain utiliserait. Les vrais Roumains disent “filigram” !

Pire encore, après quelques échanges laborieux où il écrit des trucs du genre “Îmi pare rău” (désolé) avec une grammaire bancale, Guccifer 2.0 refuse de continuer en roumain sous prétexte qu’il ne veut pas “perdre son temps”. Vraiment très convaincant pour quelqu’un qui prétend être né à Bucarest.

Mais les vrais clous du cercueil, ce sont les détails techniques. Parce que nos espions russes, aussi doués soient-ils pour pirater des serveurs, ont visiblement séché les cours de nettoyage de métadonnées.

Premier indice : Les documents publiés par Guccifer 2.0 contenaient des métadonnées en cyrillique, notamment un utilisateur nommé “Феликс Эдмундович” (Felix Edmundovich en alphabet russe). Pour ceux qui ne captent pas la référence, Felix Edmundovich Dzerzhinsky, c’est le fondateur de la Tcheka en 1917, c’est à dire l’ancêtre du KGB. Autant signer ses documents “Agent 007” directement. Le plus beau là-dedans, c’est qu’un autre document avait aussi “Che Guevara” dans les métadonnées… ils sont forts pour la discrétion !

Deuxième indice : Les liens cassés dans les documents généraient des messages d’erreur… en russe. Les documents montraient clairement qu’ils avaient été édités sur une version russe de Microsoft Word. Quelle coïncidence troublante pour un hacker roumain ! Des messages comme “Ошибка! Недопустимый объект гиперссылки” (Erreur ! Objet de lien hypertexte invalide) apparaissaient dans les docs.

Troisième indice : L’analyse linguistique de Shlomo Engelson-Argamon de l’Illinois Institute of Technology a montré que Guccifer 2.0 était “très probablement un Russe prétendant être Roumain” car son anglais présentait des structures syntaxiques typiquement russes, sans les articles définis et indéfinis qu’un Roumain natif utiliserait naturellement. Par exemple, il écrivait “I hacked server” au lieu de “I hacked the server”.

Mais la gaffe monumentale, celle qui a permis aux enquêteurs américains d’identifier précisément qui se cachait derrière Guccifer 2.0, c’est l’oubli du VPN. Un jour de mars 2018, probablement pressé ou distrait (ou après une vodka de trop ?), l’agent du GRU a oublié d’activer son client VPN avant de se connecter à un réseau social américain.

Résultat, une adresse IP bien réelle, tracée directement au quartier général du GRU sur Grizodubovoy Street à Moscou. Les enquêteurs américains ont pu alors identifier un officier particulier du GRU travaillant depuis le siège de l’agence. D’après les sources, l’IP provenait d’un bâtiment du GRU situé dans le district de Khoroshevsky à Moscou.

C’est ce genre d’erreur qui vous fait passer de “super-espion international” à “stagiaire qui a foiré son stage” en une fraction de seconde. J’imagine pas la tête du chef quand il a appris ça au briefing du matin. “Alors, Dimitri, tu peux m’expliquer comment tu as oublié le VPN ?” Bref, du grand art !

L’histoire devient encore plus croustillante quand on découvre les liens entre Guccifer 2.0, WikiLeaks et Roger Stone, le conseiller de Trump aux tatouages de Nixon dans le dos. Le 22 juin 2016, WikiLeaks contacte directement Guccifer 2.0 sur Twitter : “Salut ! Vous pourriez nous envoyer tout nouveau document ici pour un impact plus important que ce que vous pourriez avoir. Plus de gens vous suivront.”

Et effectivement, le 18 juillet, WikiLeaks confirme avoir reçu “les archives d’environ 1 Go” et annonce qu’ils vont tout publier cette semaine-là. Le 22 juillet 2016, pile avant la Convention nationale démocrate, WikiLeaks balance alros près de 20 000 emails du DNC. Timing parfait, encore une fois !

Côté Roger Stone, l’histoire est encore plus dingue car entre août et septembre 2016, Stone et Guccifer 2.0 échangent plusieurs messages privés sur Twitter. Le 15 août, Guccifer 2.0 demande : “do you find anything interesting in the docs i posted?” puis le 17 août : “please tell me if i can help u anyhow”. Stone leur envoie même un article qu’il a écrit sur la manipulation des machines à voter.

Puis le 21 août 2016, Stone tweete : “Trust me, it will soon be Podesta’s time in the barrel” (Croyez-moi, ce sera bientôt le tour de Podesta d’être dans le pétrin). Le problème, c’est qu’à cette date, personne ne savait publiquement que les emails de Podesta avaient été piratés. WikiLeaks ne les publiera qu’en octobre. Donc soit Stone est voyant, soit il était au courant de quelque chose.

Stone prétendra plus tard qu’il parlait d’un article à venir sur les liens entre John et Tony Podesta. Il niera d’abord tout contact avec Guccifer 2.0, puis qualifiera les échanges de “parfaitement anodins” quand The Smoking Gun les publiera en mars 2017. Il dira même que ses déclarations sur Julian Assange étaient “une blague” pour raccrocher au nez de Sam Nunberg. Ouin !

L’enquête de Robert Mueller a alors fini par démanteler toute l’opération et le 13 juillet 2018, le Département de la Justice américain inculpe 12 officiers du renseignement militaire russe et révèle officiellement que Guccifer 2.0 était une identité utilisée par le GRU. C’est pourquoi on peut maintenant raconter toute cette histoire avec certitude.

Les 12 agents appartenaient à deux unités distinctes :

• L’unité 26165 (Fancy Bear/APT28) : spécialisée dans l’infiltration et le vol de données, basée au 20 Komsomolskiy Prospekt, dirigée par Viktor Netyksho

• L’unité 74455 : chargée de la diffusion et de la manipulation des informations volées via DCLeaks et Guccifer 2.0, basée dans “la Tour” au 22 Kirova Street à Khimki, dirigée par Aleksandr Osadchuk

L’acte d’accusation détaille tout : les techniques de spear-phishing utilisées, les serveurs loués en Malaisie et en Illinois, les bitcoins minés pour payer l’infrastructure (ils avaient même une opération de minage !), et même les noms de code des opérations. L’unité 74455 avait aussi piraté les systèmes électoraux de l’Illinois, volant les données de 500 000 électeurs incluant noms, adresses, numéros de sécurité sociale partiels et permis de conduire. D’après les enquêteurs américains, c’est du travail d’orfèvre.

Selon les sources proches de l’enquête, au moins deux personnes se cachaient derrière l’identité Guccifer 2.0. Après un début chaotique avec le fameux “Roumain” qui ne parlait pas roumain, l’opération a été confiée à un officier du GRU plus expérimenté. D’ailleurs, les derniers posts de Guccifer 2.0 en janvier 2017 montrent une maîtrise de l’anglais bien supérieure aux premiers. Comme si quelqu’un avait dit “Ok, on arrête les conneries, je reprends le dossier”.

L’affaire Guccifer 2.0 a vraiment marqué un tournant dans la guerre informatique moderne car pour la première fois, une opération d’influence cyber de cette ampleur était documentée dans ses moindres détails, avec noms, prénoms, adresses et même les heures de connexion des responsables. Les métadonnées, c’est vraiment la plaie des espions modernes !

L’impact sur l’élection de 2016 est très difficile à quantifier, mais les 58 000 emails de Podesta publiés par WikiLeaks entre octobre et novembre 2016 ont indéniablement nui à la campagne Clinton. Ils révélaient des détails embarrassants sur les coulisses de la campagne, les discours payés à Wall Street (225 000$ chez Goldman Sachs !), et même le fait que Donna Brazile de CNN avait transmis les questions de débat à l’avance.

Et côté relations internationales, l’affaire a entraîné l’expulsion de 35 diplomates russes en décembre 2016, de nouvelles sanctions économiques, et la fermeture de deux complexes diplomatiques russes aux États-Unis. Elle a aussi poussé les pays occidentaux à repenser leur approche de la cybersécurité et de la désinformation. L’OTAN a également créé un centre d’excellence en cyberdéfense à Tallinn, et l’UE a mis en place une task force contre la désinformation russe.

Au final, Guccifer 2.0 restera comme un cas d’école de ce qu’il ne faut pas faire en matière de sécurité opérationnelle. Malgré des moyens considérables et une planification sophistiquée, l’opération a échoué à maintenir sa couverture à cause d’erreurs basiques :

• Oubli d’activation du VPN (la bourde ultime qui leur a coûté toute l’opération)

• Métadonnées compromettantes non nettoyées (Felix Edmundovich, vraiment ?)

• Couverture linguistique insuffisamment préparée (un Roumain qui ne parle pas roumain…)

• Références culturelles trop évidentes (nommer ses fichiers d’après le fondateur de la police secrète soviétique, subtil !)

• Timing trop parfait pour être crédible (quelques heures après l’article du Washington Post ? Allô ?)

• Utilisation de la même infrastructure que d’autres opérations du GRU (réutilisation des serveurs et des comptes Bitcoin)

Certains experts suggèrent que les métadonnées russes étaient peut-être volontairement laissées, soit comme false flag, soit par arrogance ("on s’en fout, ils ne peuvent rien nous faire"). Mais l’oubli du VPN, ça, c’était clairement pas prévu. Comme quoi, même les meilleurs font des boulettes, et dans le cyberespace, une seule erreur peut tout faire capoter.

Bref, avant de publier des documents volés en vous faisant passer pour un hacker roumain, apprenez le roumain, nettoyez vos métadonnées, et surtout, SURTOUT, n’oubliez pas votre VPN. Sinon vous finirez comme Guccifer 2.0, une légende du fail !

Sources : Department of Justice - Indictment of 12 Russian GRU Officers (2018), The Daily Beast - Guccifer 2.0 IP Address Revelation, Motherboard - Guccifer 2.0 Romanian Interview, Washington Post - How Russians Hacked the DNC, CBS News - The Podesta Phishing Email, Wikipedia - Guccifer 2.0

Microsoft a mis en ligne son Patch Tuesday d'août 2025, avec au programme des correctifs pour 107 vulnérabilités, dont 1 faille zero-day dans Windows Kerberos.

The post Patch Tuesday – Août 2025 : Microsoft corrige 107 vulnérabilités, dont 1 faille zero-day dans Kerberos first appeared on IT-Connect.

Une mise à jour de sécurité affecte Plex Media Server : les utilisateurs sont invités à l’installer rapidement, malgré peu de détails techniques.

The post Patchez Plex Media Server : protégez votre serveur de cette faille de sécurité first appeared on IT-Connect.

Une nouvelle faille critique a été découverte dans Cisco Secure FMC (CVE-2025-20265) : exécution de code arbitraire à distance avec privilèges élevés.

The post Cisco Secure Firewall Management Center : une nouvelle faille critique liée à RADIUS first appeared on IT-Connect.

Vous savez ce qui différencie un grand chef d’un cuistot lambda ? Le grand chef invente les recettes que tout le monde copiera pendant des décennies. Aaron Swartz, c’est un peu le Escoffier du web, sauf qu’au lieu de codifier la sauce hollandaise, il a inventé RSS, co-fondé Reddit et co-créé Markdown avant même d’avoir son permis de conduire. Et comme tous les révolutionnaires, il a fini par déranger le pouvoir en place jusqu’à en mourir.

Je connaissais Aaron Swartz de réputation depuis des années, mais c’est en lisant son histoire après sa mort que j’ai réalisé à quel point ce gamin était un phénomène.

L’histoire d’Aaron Swartz, c’est celle d’un gamin né le 8 novembre 1986 à Highland Park, à 40 kilomètres au nord de Chicago, dans une famille juive où la tech coule dans les veines. Son père Robert avait fondé la boîte de logiciels Mark Williams Company (créateurs du compilateur C Coherent), sa mère Susan était consultante et il a deux frères plus jeunes, Noah et Ben. Bref, l’environnement parfait pour éclore en tant que prodige de l’informatique. Mais Aaron, c’était pas juste un nerd qui collectionnait les lignes de code comme d’autres collectionnent les cartes Pokémon. Dès le début, il avait cette vision révolutionnaire que la technologie devait servir à libérer l’humanité, pas à l’enfermer.

À 3 ans donc, pendant que les autres gamins découvraient les joies du pot, Aaron découvrait les joies du clavier. Ses parents racontent qu’il passait des heures devant l’écran, pas pour jouer, mais pour comprendre comment ça marchait. Le genre de gosse qui démonte son réveil pour voir ce qu’il y a dedans, mais version 2.0. Et ça n’a jamais cessé puisqu’à 12 ans, en 1999, il lance The Info Network, une encyclopédie collaborative où n’importe qui pouvait ajouter ou modifier du contenu. Vous me direz, c’est exactement le principe de Wikipedia… sauf que Wikipedia n’a été lancé qu’en janvier 2001. Aaron avait donc 2 ans d’avance sur l’un des sites les plus connus du web.

Ce projet lui vaut d’ailleurs le prix ArsDigita en 1999, récompensant les jeunes qui créent des sites “utiles, éducatifs et collaboratifs”. À 13 ans, il était déjà reconnu comme un talent exceptionnel mais le meilleur restait à venir…

En 2000, à 14 ans, Aaron rejoint le RSS-DEV Working Group qui développe la spécification RSS 1.0. Pour ceux qui ont vécu l’époque où on devait aller vérifier manuellement chaque site pour voir s’il y avait du nouveau contenu, RSS c’était la révolution absolue. Fini de faire le tour de 20 sites web tous les matins, les flux RSS amenaient directement l’info dans votre lecteur. C’est Aaron qui a participé à créer ça. À cet age, il devient même membre du World Wide Web Consortium (W3C) pour aider à développer les formats de données communs utilisés sur le web.

Un an plus tard, à 15 ans (j’insiste sur les âges parce que c’est hallucinant) il bosse avec Lawrence Lessig, professeur de droit à Harvard, sur l’architecture technique de Creative Commons. Vous savez, ces licences qui permettent aux créateurs de partager leurs œuvres sans se faire bouffer par le copyright traditionnel ? Et bien c’est Aaron qui code littéralement la couche logicielle des licences Creative Commons qui sont maintenant utilisées dans le monde entier. Des millions de créateurs utilisent aujourd’hui ce système pour libérer leurs contenus.

En parallèle, avec John Gruber, il co-crée Markdown en 2004, ce langage de balisage simple que vous utilisez probablement sans le savoir si vous traînez sur GitHub, Reddit, Discord ou même certains CMS. Par exemple, cette page que vous êtes en train de lire à été transformée en HTML à partir d’un fichier markdown. Cette syntaxe Markdown a été influencée par le langage atx qu’Aaron avait créé en 2002. Markdown, c’est donc cette syntaxe géniale qui permet d’écrire de l’hypertexte mis en forme, sans se prendre la tête avec les balises. Encore une fois, Aaron était sur le coup.

Et puis il y a Reddit.

Alors attention, l’histoire est un peu tordue parce qu’officiellement, Reddit a été fondé par Steve Huffman et Alexis Ohanian en 2005. Mais Aaron arrive dans l’histoire quand sa boîte Infogami (qu’il avait lancée avec son framework web.py) fusionne avec Reddit chez Y Combinator en novembre 2005. Du jour au lendemain, il devient cofondateur et se retrouve à recoder entièrement Reddit depuis le langage Lisp vers Python avec son framework web.py qu’il avait développé et qu’il release en open source.

Et Reddit, c’est pas juste un site de partage de liens, hein… c’est devenu LE lieu de débat d’Internet avec 430 millions d’utilisateurs actifs en 2025. Et Aaron était là dès le début, même si Condé Nast l’a racheté en 2006 pour une somme entre 10 et 20 millions de dollars, faisant d’Aaron un millionnaire avant même qu’il puisse légalement acheter une bière.

Et Aaron n’était pas juste un développeur brillant, c’était un visionnaire. Il voyait déjà Internet comme un outil d’émancipation démocratique alors quand les autres codaient pour faire du fric ou pour le fun, lui codait pour changer le monde. D’ailleurs, il quittera Reddit en janvier 2007, frustré par la culture corporate après le rachat par Condé Nast.

Sa philosophie, Aaron l’a formalisée en juillet 2008 dans son Guerilla Open Access Manifesto, écrit lors d’une rencontre entre bibliothécaires en Italie. Un texte court mais percutant qui commence par cette phrase mythique : “Information is power. But like all power, there are those who want to keep it for themselves.” L’information, c’est le pouvoir. Mais comme tout pouvoir, il y a ceux qui veulent le garder pour eux. Le manifeste continue : “L’ensemble du patrimoine scientifique et culturel mondial, publié au fil des siècles dans des livres et des revues, est de plus en plus numérisé et verrouillé par une poignée d’entreprises privées.” C’était son credo, son combat de toute une vie.

Parce qu’Aaron, il avait compris un truc que beaucoup n’ont toujours pas pigé. Dans une société de l’information, celui qui contrôle l’accès au savoir contrôle tout le reste. Les éditeurs scientifiques comme Elsevier ou Springer qui verrouillent la recherche derrière des paywalls de 30-40$ par article, pour Aaron, c’était de la pure extorsion. La recherche scientifique étant financée par l’argent public via les universités et les bourses de recherche (NSF, NIH, etc.), les résultats devraient appartenir au public. Point barre. Il écrivait alors dans son manifeste : “Nous devons récupérer les informations, où qu’elles soient stockées, en faire des copies et les partager avec le monde entier.”

C’est donc exactement ce raisonnement qui l’a mené à lancer Open Library en 2007 avec l’Internet Archive de Brewster Kahle. Le projet était dingue. Il s’agissait de créer une bibliothèque numérique universelle qui référencerait tous les livres existants, “une page pour chaque livre” et pas juste les cataloguer. Non, il voulait les rendre accessibles. Aaron bossait pour l’Internet Archive à l’époque, et il était déterminé à numériser le patrimoine littéraire mondial pour le rendre libre d’accès.

Le projet continue aujourd’hui avec des millions de livres numérisés.

Moi qui galère parfois à trouver des bouquins techniques récents sans me ruiner, je peux vous dire que l’idée d’Aaron me parlait énormément. Combien de fois j’ai eu besoin d’un article spécialisé et je me suis retrouvé face à un paywall à 39$ pour 8 pages PDF ? C’est rageant, surtout quand on sait que les chercheurs qui ont écrit ces articles ne touchent généralement pas un centime sur ces ventes… Ils font même du peer-review gratuitement !

Aaron développait aussi en parallèle d’autres projets révolutionnaires. En 2011-2012, avec Kevin Poulsen (ancien hacker devenu journaliste chez Wired) et James Dolan, il bossait sur DeadDrop, un système ultra-sécurisé permettant aux sources anonymes de transmettre des documents aux journalistes sans risquer d’être identifiées. Le projet utilisait Tor et un chiffrement avancé pour protéger les lanceurs d’alerte. Après la mort d’Aaron, la Freedom of the Press Foundation a repris le projet sous le nom SecureDrop.

Le premier déploiement a eu lieu au New Yorker le 15 mai 2013 sous le nom “Strongbox” et aujourd’hui, des médias comme The Guardian, The New York Times, The Washington Post, ProPublica ou The Intercept utilisent SecureDrop pour recevoir des documents confidentiels en toute sécurité. C’est grâce à ce système que des révélations majeures ont pu être publiées.

Politiquement, Aaron était aussi très engagé. Il a cofondé Demand Progress et le Progressive Change Campaign Committee pour soutenir des candidats progressistes au Congrès américain. Il s’est battu contre SOPA (Stop Online Piracy Act), cette loi scélérate qui aurait donné des pouvoirs de censure énormes aux ayants droit. Je me souviens encore du blackout de Wikipedia le 18 janvier 2012 pour protester contre SOPA… Aaron était sur tous les fronts de cette bataille, organisant des campagnes qui ont généré des millions d’appels au Congrès. La loi a finalement été abandonnée grâce à cette mobilisation.

Mais avant ça, en 2008, Aaron avait déjà frappé un grand coup avec PACER. Pour ce projet, il téléchargera légalement 2,7 millions de documents judiciaires fédéraux depuis une bibliothèque publique offrant un accès gratuit temporaire, et les rendra ensuite disponibles gratuitement alors que PACER facturait 8 cents la page. Le FBI ouvre une enquête mais la ferme rapidement car Aaron n’avait techniquement rien fait d’illégal.

Mais c’est son combat pour l’open access qui va lui coûter la vie. Entre septembre 2010 et janvier 2011, Aaron mène sa dernière grande opération de libération de l’information. Il se rend régulièrement au MIT, se connecte au réseau de l’université avec un compte invité légitime, et télécharge massivement des articles de JSTOR, cette base de données qui stocke des millions d’articles académiques derrière des paywalls. Il utilise pour cela un script Python appelé “keepgrabbing.py” depuis un ordinateur portable qu’il cache dans une armoire réseau non verrouillée du bâtiment 16 du MIT.

Au total, Aaron récupère 4,8 millions d’articles soit environ 80% de la base JSTOR, dont 1,7 million étaient disponibles via le “Publisher Sales Service” de JSTOR.

Son plan était de les rendre publics, évidemment. Pour lui, c’était logique car ces articles décrivent des recherches financées par l’argent public, et doivent donc être accessibles au public. C’était l’application pratique de son manifeste de 2008.

Sauf que le système ne l’entendait pas de cette oreille. Le 6 janvier 2011, Aaron est arrêté par la police du MIT et un agent des services secrets américains près du campus de Harvard alors qu’il venait récupérer son ordinateur dans le placard où il l’avait planqué. Les charges fédérales tombent alors comme un couperet en juillet 2011 : 4 chefs d’accusation initiaux, puis 13 au total, soit 2 pour fraude électronique et 11 violations du Computer Fraud and Abuse Act de 1986. Au total, il risque 35 ans de prison, 1 million de dollars d’amende, la confiscation de ses biens, des dommages-intérêts et une liberté surveillée.

35 ans de prison pour avoir voulu libérer des articles scientifiques. Je vais être franc avec vous, quand j’ai découvert ces chiffres, j’ai eu envie de vomir On parle quand même d’un gamin de 24 ans qui n’a jamais fait de mal à personne, et qui a consacré sa vie à améliorer Internet et la société. Et le système judiciaire américain, mené par la procureure Carmen Ortiz et le procureur adjoint Stephen Heymann, veut l’enfermer plus longtemps que certains meurtriers. Ortiz déclare même : “Voler, c’est voler, que ce soit à l’aide d’une commande informatique ou d’un pied-de-biche.”

L’ironie, c’est que JSTOR eux-mêmes n’ont pas porté plainte civile. Ils ont récupéré leurs articles et publié un communiqué disant qu’ils considéraient l’affaire close, même s’ils jugeaient l’accès d’Aaron comme un “significant misuse” (un abus manifeste) fait de manière non autorisée. Mais les procureurs fédéraux ont décidé d’en faire un exemple. Il fallait montrer aux hacktivistes qu’on ne plaisantait pas avec la propriété intellectuelle. Les cons.

Les négociations de plaider-coupable traînent en longueur. Aaron refuse un deal qui l’enverrait 6 mois en prison car pour lui, accepter équivaudrait à admettre qu’il a eu tort de vouloir libérer l’information. Son avocat Marty Weinberg raconte qu’il était sur le point de négocier un accord où Aaron n’aurait pas fait de prison du tout. JSTOR était d’accord, mais le MIT a refusé de signer une déclaration de soutien et est resté “neutre”… une neutralité qui ressemblait fort à une condamnation.

Pendant ce temps, Aaron déprime. Ses amis racontent qu’il était de plus en plus isolé, de plus en plus désespéré par l’acharnement judiciaire dont il était victime. Il souffrait de dépression depuis des années et avait déjà écrit sur son blog “Raw Thought” à ce sujet. L’avocat Andy Good, qui s’occupait initialement de l’affaire, a même dit au procureur Heymann qu’Aaron était suicidaire. La réponse du procureur ? “Fine, we’ll lock him up.” (Très bien, on l’enfermera.)

Le 9 janvier 2013, deux jours avant sa mort, JSTOR annonce ironiquement qu’ils vont rendre accessibles gratuitement plus de 4,5 millions d’articles datant d’avant 1923 aux États-Unis et d’avant 1870 ailleurs via leur service “Register & Read”. Une partie de ce qu’Aaron voulait accomplir, mais trop peu, trop tard.

Puis le 11 janvier 2013, sa compagne Taren Stinebrickner-Kauffman (directrice exécutive de SumOfUs) le retrouve pendu dans leur appartement de Crown Heights, Brooklyn. Aaron Swartz est mort à 26 ans, 2 jours après que les procureurs aient rejeté sa dernière contre-proposition de plaidoyer. Il n’a pas laissé de mot d’adieu.

Sa famille publiera un communiqué bouleversant : “La mort d’Aaron n’est pas seulement une tragédie personnelle. Elle est le résultat d’un système judiciaire pénal marqué par l’intimidation et les abus du ministère public. Les décisions prises par les responsables du bureau du procureur fédéral du Massachusetts et du MIT ont contribué à sa mort.” Ils accusent directement les procureurs d’avoir poussé Aaron au suicide par leur acharnement.

Moi qui ai parfois des coups de blues quand l’un de mes projets plante ou qu’un cyber-gland m’insulte, je n’arrive même pas à imaginer la pression qu’Aaron a dû ressentir. Se retrouver face à 35 ans de prison pour avoir voulu partager de la connaissance, c’est d’une violence inouïe. Surtout pour quelqu’un qui avait consacré sa vie entière à améliorer le monde.

La mort d’Aaron provoque un tollé international. Des mémoriaux sont organisés dans le monde entier, y compris au MIT. Ses funérailles ont lieu le 15 janvier 2013 à la Central Avenue Synagogue de Highland Park et le mouvement Anonymous lance l’Opération Last Resort avec des cyberattaques contre le site du MIT et du département de Justice en protestation. Une pétition demandant le limogeage de la procureure Carmen Ortiz recueille même plus de 60 000 signatures sur We the People.

Plus important, les représentants Zoe Lofgren et Ron Wyden introduisent au Congrès une révision du Computer Fraud and Abuse Act, surnommée “Aaron’s Law”, pour éviter que d’autres hacktivistes subissent le même sort. La loi vise à empêcher les poursuites pour violation de conditions d’utilisation. Malheureusement, elle n’a jamais été votée et à l’heure où j’écris ces lignes, les mêmes excès du système judiciaire américain persistent.

En août 2013, Aaron est intronisé à titre posthume au Internet Hall of Fame. En 2014, Lawrence Lessig mène une marche à travers le New Hampshire en son honneur, militant pour la réforme du financement des campagnes électorales.

Mais l’héritage d’Aaron est immense ca chaque jour, des millions de personnes utilisent ses créations sans le savoir. Les flux RSS alimentent encore une bonne partie du web et les vrais passionnés utilisent toujours des lecteurs RSS. Reddit est devenu un des 10 sites les plus visités au monde avec 430 millions d’utilisateurs actifs mensuels et une valorisation de 10 milliards de dollars. Markdown est utilisé par tous les développeurs sur GitHub, GitLab, Stack Overflow, Discord et une myriade d’autres plateformes et c’est devenu LE standard de facto pour la documentation technique.

SecureDrop, son dernier projet, protège aujourd’hui des centaines de sources et de journalistes à travers le monde. Plus de 75 organisations médiatiques l’utilisent. Des révélations majeures comme les Panama Papers ou les Paradise Papers ont pu être publiées grâce à ce type de systèmes qu’Aaron avait imaginé pour protéger les lanceurs d’alerte. Et chaque fois qu’un gouvernement corrompu ou une entreprise véreux se font épingler grâce à des fuites sécurisées, c’est un peu l’esprit d’Aaron qui gagne.

Creative Commons a également libéré des millions d’œuvres créatives… On compte plus de 2 milliards d’œuvres sous licence CC en 2025 et Open Library continue de numériser et de rendre accessibles des livres du monde entier avec plus de 20 millions d’ouvrages référencés. Et surtout, ses idées sur l’open access ont fini par s’imposer et de plus en plus d’universités et d’organismes de recherche exigent que les publications financées par l’argent public soient librement accessibles. L’Union Européenne a aussi rendu l’open access obligatoire pour toutes les recherches financées par Horizon Europe et même PubMed Central aux États-Unis contient maintenant plus de 8 millions d’articles en libre accès.

Alexandra Elbakyan, inspirée par Aaron, a créé Sci-Hub en 2011 qui donne accès à plus de 85 millions d’articles scientifiques gratuitement. Elle dédie explicitement son travail à la mémoire d’Aaron. “Je pense qu’Aaron a fait un excellent travail en téléchargeant des millions d’articles de JSTOR. C’est un acte héroïque”, a-t-elle déclaré.

En février 2025, l’Internet Archive a même inauguré une statue d’Aaron dans son auditorium. Ils ont choisi cette date symbolique pour marquer les 12 ans de sa disparition et rappeler que son combat continue. Parce que oui, le combat continue.

Regardez ce qui se passe aujourd’hui avec l’IA générative et les droits d’auteur. Les grands modèles sont entraînés sur des milliards de textes récupérés sur Internet, et les éditeurs crient au scandale. Ils voudraient qu’on paye des licences pour chaque bout de texte utilisé pour entraîner un modèle IA.

Je pense qu’Aaron aurait été en première ligne de ce débat, défendant l’idée que la connaissance doit être libre pour permettre l’innovation. Il aurait aussi été horrifié de voir comment les GAFAM ont verrouillé Internet. Meta qui décide de ce que vous avez le droit de voir, Google qui filtre les résultats de recherche selon ses intérêts commerciaux, Apple qui contrôle tout ce qui peut tourner sur iOS avec son App Store… Aaron avait prévu cette dérive et s’y opposait déjà quand les autres trouvaient ça cool d’avoir des plateformes “gratuites”.

Le mouvement pour la neutralité du net, qu’Aaron soutenait déjà en 2010, est plus d’actualité que jamais. Aux États-Unis, elle a été supprimée sous Trump, rétablie sous Biden, et qui sait ce qui se passera ensuite. Aaron avait vu juste. Sans neutralité du net, Internet devient un outil de contrôle au service des plus riches.

Ce qui me frappe le plus dans l’histoire d’Aaron, c’est à quel point il était en avance sur son temps. Il parlait déjà d’éthique de l’IA quand la plupart des gens découvraient à peine Facebook, il défendait la transparence algorithmique quand Google était encore “Don’t be evil” (motto abandonné en 2018…) et il voulait démocratiser l’accès à l’information quand les autres ne voyaient Internet que comme un nouveau marché à conquérir.

Je pense souvent à ce qu’il aurait pu accomplir s’il avait vécu. À bientôt 39 ans (le 8 novembre 2025), il serait probablement à la tête d’organisations luttant contre la surveillance de masse, pour la protection des données personnelles, pour un Internet décentralisé. Il aurait peut-être créé des alternatives libres aux GAFAM (Imaginez un Aaron Swartz travaillant sur le Fediverse ou sur des protocoles vraiment décentralisés), et il se serait battu pour que les bienfaits de l’IA profitent à tous, et pas juste aux actionnaires de quelques boîtes californiennes.

Mais même absent, Aaron continue d’inspirer. Chaque développeur qui publie son code en open source, chaque chercheur qui rend ses publications librement accessibles sur arXiv ou bioRxiv, chaque journaliste qui utilise SecureDrop pour protéger ses sources perpétue son héritage. Chaque fois que quelqu’un refuse de céder aux sirènes du verrouillage propriétaire et choisit la liberté, Aaron gagne un peu.

Parce que c’est ça, le vrai message d’Aaron Swartz : L’information libre n’est pas un luxe de geek, c’est un droit fondamental. Dans une société démocratique, l’accès au savoir ne peut pas dépendre de votre capacité à payer des abonnements. La connaissance appartient à l’humanité entière, pas aux éditeurs qui la verrouillent ou aux gouvernements qui la censurent.

Alors oui, Aaron Swartz était un révolutionnaire. Pas le genre qui pose des bombes ou qui renverse des gouvernements, mais le genre qui change le monde ligne de code après ligne de code. Le genre qui comprend que dans l’ère numérique, la liberté passe par la libre circulation de l’information.

Et comme tous les vrais révolutionnaires, il a fini martyr de sa cause.

Mais contrairement aux révolutionnaires d’antan dont on ne se souvient que dans les livres d’histoire, l’héritage d’Aaron est vivant et tangible et le 8 novembre, jour de son anniversaire, des hackatons sont organisés dans le monde entier pour l’Aaron Swartz Day. Des développeurs, des militants, des chercheurs se réunissent pour faire avancer des projets dans l’esprit d’Aaron, à savoir rendre l’information plus libre, plus accessible, plus démocratique.

Parce que finalement, c’est ça le plus grand hommage qu’on puisse rendre à Aaron Swartz : Continuer son combat en refuser les paywalls absurdes, en soutenant l’open source, en défendant la neutralité du net, en protégeant les lanceurs d’alerte, utiliser et en promouvant les licences Creative Commons.

Chaque fois qu’on choisit la liberté plutôt que la facilité, l’ouverture plutôt que le contrôle, l’information libre plutôt que le profit, on honore sa mémoire.

Bref, Aaron Swartz était le héros dont Internet avait besoin, mais pas celui qu’il méritait.

Sources : Wikipedia - Aaron Swartz, Wikipedia - United States v. Swartz, Guerilla Open Access Manifesto (2008), Internet Hall of Fame - Aaron Swartz, JSTOR Evidence in United States vs. Aaron Swartz, MIT Report on Aaron Swartz, Aaron Swartz Day

Vous avez déjà tenté de brancher votre vieux NAS un dimanche matin, café à la main, en vous disant « deux minutes, je jette un œil aux logs » ? Résultat : 472 connexions SSH depuis le Kazakhstan en moins de trois heures, un mot de passe « admin2025 » qui traînait encore et un petit script russe en train de jouer à la roulette avec vos sauvegardes. Le pire ? Vous étiez encore en pyjama. Depuis, vous avez appris la leçon : les pirates ne font pas grasse mat’. Et comme ils bossent 24/7, votre protection non plus n’a pas le droit de roupiller. C’est là que Surfshark One entre en scène : pas une armure blindée façon entreprise, juste quatre potes qui montent la garde à tour de rôle, même quand vous ronflez.

Dans les lignes qui suivent, on va parler de la suite de sécurité de Surfshark comme si on causait autour d’un kebab à 2 h du mat : sans langue de bois, avec de vrais cas concrets et, surtout, avec la certitude que demain matin à 4 h 17, un bot quelque part tentera encore de se faufiler dans votre vie numérique.

On commence par l’élément que tout le monde connaît déjà : le VPN. Sauf que, chez Surfshark, il ne se contente pas de changer votre IP pour binge Netflix US. Il chiffre tout, tout le temps, et surtout sans nombre limite de connexions. Vous pouvez l’installer sur votre PC de boulot, votre téléphone, la tablette de votre ado, le Chromecast du salon et le vieux Linux qui sert de seedbox dans le garage. Résultat : même si un voisin mal intentionné sniff le Wi-Fi de l’immeuble, il récupère juste du charabia AES-256.

Le petit truc en plus vraiment cool, c’est le mode CleanWeb activé par défaut. Adios pubs YouTube, trackers Facebook et pop-ups de consentement cookies. Votre page charge plus vite, votre CPU respire, et vous économisez des Mo sur votre forfait 4G. Votre connexion se dope aux vitamines. Ensuite, y’a le multi-hop : vos données passent par deux serveurs VPN à la suite. C’est pas indispensable tous les jours, mais quand vous vous connectez depuis l’aéroport d’Istanbul et que vous ne voulez pas que Big Brother sache que vous aimez les vidéos de cuisine coréenne, c’est royal. Je passe en vitesse sur le mode camouflage (même votre FAI vous a perdu de vue), la possibilité de whitelister certains sites, etc.

La dernière nouveauté : Everlink

Toujours à la pointe le VPN requin vient d’annoncer Surfshark Everlink. Grâce à ce dernier, même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous faire attendre. Grâce à une infrastructure brevetée, Surfshark redirige automatiquement le tunnel vers un serveur sain ; vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Toujours en ligne, toujours invisible.

Contrairement au classique « kill switch » qui coupe la connexion quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux.
Disponible par défaut avec le protocole WireGuard sur tous vos appareils, sans surcoût, c’est la sécurité qui roule en pilote automatique.

Surfshark One intègre aussi le moteur antivirus signé Avira (l’un des plus reconnus du marché). Rien de révolutionnaire, mais il ne râle jamais. Pas de pop-up toutes les dix minutes pour vous dire que le fichier setup.exe de 1998 est dangereux. Il scanne en arrière-plan, signale rapidement si un téléchargement sent mauvais, et hop, au suivant. Vous pouvez même planifier un scan complet tous les dimanches à 8 h du matin, histoire de vérifier que votre PC n’a pas chopé un cheval de Troie pendant votre binge de The Office. Par contre, ne cherchez pas la quarantaine manuelle ou l’analyse heuristique poussée : c’est volontairement minimaliste. Si vous voulez un antivirus façon Fort Knox, il faudra une autre solution. Mais si vous voulez juste stopper les saloperies sans vous prendre la tête, Surfshark suffit.

L’outil a obtenu un score de 17,5/18 chez AV-Test, ce qui veut dire que si un malware tente de se faufiler, il finira quasi à coup sûr en quarantaine. Pas mal pour une solution qui coûte 0.6€ de plus par mois (par rapport au VPN seul).

Google, c’est pratique, mais il vous suit partout. Surfshark Search, c’est l’inverse : pas d’historique, pas de pubs, pas de profilage. Les résultats sont fournis par une API tierce, donc pas de bulle de filtres. Vous tapez « meilleur VPN 2025 », vous tombez sur des comparatifs, pas sur des pubs déguisées. Ainsi, vous évitez les suggestions personnalisées qui vous font croire que tout le monde pense comme vous. C’est reposant, et ça évite les échos algorithmiques.

Vous souvenez-vous de la fois où votre mot de passe Pizza2023! est apparu sur Pastebin ? Non ? Surfshark Alert, lui, oui. Dès qu’une adresse mail ou un numéro de carte bancaire fuite dans une base de données, vous recevez une notif. Pas une alerte anxiogène façon « PANIQUEZ-VOUS », juste un petit message : « Ton mail est dans la nature, change le mdp ». Ensuite, il vous suffit de cliquer sur le lien fourni, vous changez le mot de passe, et vous archivez l’alerte. Votre pote insomniaque qui scrute le dark web pour vous et vous réveille en cas de pépin continuera à bosser. Pour aller plus loin, vous pouvez surveiller plusieurs adresses mails, vos cartes bancaires, et même votre numéro de sécu (US, Lituanie, Bulgarie uniquement pour l’instant). C’est gratuit avec l’abo, donc autant en profiter.

Alternative ID c’est la fonction bonus que personne n’attendait, mais que tout le monde finit par adorer. Surfshark génère une identité complète : nom, prénom, adresse, date de naissance, et mail. Vous pouvez même choisir le pays (US, Allemagne, Australie, etc.). C’est pratique pour s’inscrire sur un site douteux sans balancer votre vraie vie. Pourtant, ne vous faites pas d’illusion : c’est un alias, pas une carte d’identité officielle. Ça suffit pour éviter le spam, pas pour ouvrir un compte bancaire offshore.

Le prix, la facilité, la conclusion

Ajouter Surfshark One à votre abonnement VPN coûte 60 centimes. Pas 6€ … 60 centimes … par mois (2.38€/mois le VPN seul, 2.98€ pour la suite One en complément). Pour ce prix, vous obtenez un antivirus, un chasseur de leak, un moteur de recherche privé et un générateur d’alias. C’est moins cher que de passer de la petite à la grande frite sur votre menu kebab, pour avoir une équipe de sécurité 24/7.

En résumé, si vous cherchez une solution plug-and-play pour dormir sur vos deux oreilles (et vos deux yeux), Surfshark One fait le job. Pas de console d’admin complexe, pas de lignes de commande à taper à 3 h 14. Juste quatre services qui montent la garde pendant que vous rêvez de moi code et de conquête du monde. Donc, la prochaine fois qu’un bot tentera de se faufiler dans votre vie numérique à l’aube, vous serez déjà protégé. Et lui, il repartira bredouille.