Je me souviens de la première fois où j’ai entendu parler de The Grugq.

C’était en 2006, via un PDF qui expliquait aux hackers comment ne pas se faire choper par les flic. Puis un peu plus tard, en 2012, je l’ai redécouvert vie un article de Forbes qui racontait comment un mystérieux Sud-Africain basé à Bangkok gagnait plus d’un million de dollars par an en vendant des failles zero-day aux agences de renseignement.

Pas en exploitant lui-même les failles, non. Juste en servant d’intermédiaire entre les hackers qui les découvraient et les gouvernements prêts à payer des fortunes pour les acquérir. Il prenait à l’époque 15% de commission sur des ventes qui pouvaient atteindre 250 000 dollars pour un seul exploit iOS. Le calcul était vite fait.

Puis j’ai découvert que ce type était bien plus qu’un simple marchand d’armes numériques. C’était LE gourou de l’OPSEC, celui qui avait littéralement créé le domaine de l’anti-forensics. Celui qui répétait sans cesse “shut the fuck up” comme mantra ultime de survie. Voici donc aujourd’hui, l’histoire de Thaddeus Grugq, l’homme qui a appris au monde entier l’art de disparaître.

Thaddeus Grugq est né en Afrique du Sud, quelque part dans les années 70. Les détails exacts ? Mystère complet. Et c’est totalement voulu car The Grugq pratique ce qu’il prêche. La première règle de l’OPSEC, c’est de contrôler l’information sur soi-même. Pas d’année de naissance précise dans les bios officielles. Pas de ville natale. Pas de vrais noms de famille. Juste “The Grugq”, un pseudonyme qui est devenu une marque dans le monde de la sécurité.

Ce qu’on sait, c’est qu’il a grandi dans l’Afrique du Sud de l’apartheid. Un pays où la surveillance était omniprésente, où les communications étaient espionnées, et où la paranoïa était justifiée. Du coup, c’est dans ce contexte qu’il développe très jeune une fascination pour les systèmes, pour comprendre comment ils fonctionnent, et surtout, comment contourner leur sécurité. L’environnement idéal pour forger un futur expert en contre-surveillance !

En 1998, à peine sorti de l’adolescence, il débarque dans le monde de la sécurité informatique. L’industrie en est encore à ses balbutiements. Les grandes entreprises commencent tout juste à comprendre qu’Internet n’est pas qu’un gadget et que la sécurité, ce n’est pas optionnel. The Grugq trouve alors un job dans une Fortune 100. Laquelle ? Il ne le dira jamais. OPSEC, toujours.

Mais rapidement, la vie en entreprise l’ennuie. Les réunions interminables, les politiques internes, les limitations imposées par la hiérarchie… C’est pas pour lui. Il veut explorer, casser des choses, comprendre les limites des systèmes. Alors quand l’opportunité se présente de rejoindre @stake, l’une des boîtes de sécurité les plus prestigieuses de l’époque, il saute dessus. Et on peut dire que c’était le bon moment !

@stake, c’était le graal pour tout hacker qui se respectait. Fondée par des légendes issues de L0pht Heavy Industries (ces mecs qui avaient fait trembler le Congrès américain en 1998 en déclarant pouvoir “éteindre Internet en 30 minutes”), la boîte attirait les meilleurs talents. Ils faisaient du pentest pour les plus grandes entreprises, découvraient des vulnérabilités critiques, conseillaient les gouvernements. C’était l’élite de l’élite !

The Grugq s’y épanouit totalement. Il reverse tout ce qui lui tombe sous la main. Il développe des exploits. Il apprend des meilleurs du milieu. Mais surtout, il commence à s’intéresser à un domaine encore vierge : l’anti-forensics. Comment effacer ses traces numériques ? Comment rendre l’analyse post-mortem impossible ? Comment disparaître sans laisser de preuves ?

Son mentor chez @stake lui donne alors un conseil qui va changer sa vie : “If you know how to do anti-forensics, you probably don’t need anti-forensics.” En d’autres termes, si tu maîtrises l’art d’effacer tes traces, c’est que tu es déjà assez bon pour ne pas en laisser. C’est le début de sa philosophie de l’OPSEC préventive.

En 2002, The Grugq décide de partager ses connaissances avec la communauté. Il écrit un article pour Phrack, la bible underground du hacking. Le titre : “Defeating Forensic Analysis on Unix”. Dans cet article, il détaille méthodiquement comment compromettre les outils d’analyse forensique. Et c’est pas de la blague !

L’article présente une panoplie d’outils révolutionnaires : RuneFS pour cacher des données dans les bad blocks, The Defiler’s Toolkit avec ses composants Necrofile et Klismafile pour modifier directement le système de fichiers, KY FS pour stocker des données dans les répertoires, et Data Mule FS pour utiliser l’espace réservé des inodes. C’est de la technique de haut vol !

L’article fait l’effet d’une bombe atomique car pour la première fois, quelqu’un expose publiquement des techniques qui étaient jusqu’alors réservées aux agences de renseignement et aux criminels les plus pointus. The Grugq justifie sa démarche en expliquant que c’est pour “pousser l’industrie de la sécurité à développer des outils efficaces”. Il espère que “la prochaine génération d’outils d’investigation numérique donnera ainsi aux défenseurs quelque chose de fiable pour combattre efficacement les attaquants”.

Noble intention… Mais @stake ne voit pas les choses du même œil car pour eux, publier ces techniques dans Phrack, c’est donner des armes aux méchants. C’est irresponsable et surtout contraire à l’éthique de l’entreprise. The Grugq est viré. Forcé de démissionner, comme ils disent poliment. Bref, l’histoire classique du lanceur d’alerte qui se fait blacklister !

Le licenciement est un coup dur pour lui, mais également une libération totale. The Grugq devient alors consultant indépendant, et là, il découvre un marché en pleine explosion. Celui des vulnérabilités zero-day. Le timing est parfait !

En effet, début des années 2000, les gouvernements commencent à comprendre que les cyberarmes sont l’avenir de l’espionnage et du sabotage. Pas besoin d’envoyer des agents sur le terrain quand on peut compromettre un système à distance. Pas la peine de risquer des vies humaines quand un exploit bien placé peut faire le job. Le problème, c’est que les agences de renseignement ne sont pas forcément les meilleures pour trouver ces vulnérabilités. Elles ont des analystes brillants, mais pas forcément la créativité et la liberté des hackers indépendants. D’où l’idée d’acheter les exploits à ceux qui savent les trouver.

The Grugq voit alors l’opportunité et la saisit. Il a des contacts dans le milieu du hacking, il connaît les meilleurs chercheurs, ceux qui trouvent les bugs que personne d’autre ne voit. Et de l’autre côté, grâce à son passage chez @stake et ses activités de consultant, il a des contacts dans les agences gouvernementales. NSA, CIA, et leurs équivalents européens. C’est le middleman parfait !

Il devient alors broker. On dit aussi intermédiaire. Il est l’homme entre deux mondes qui ne peuvent pas se parler directement.

Comme ça, si un chercheur trouve une faille dans iOS, The Grugq sait à qui la vendre pour 250 000 dollars. Une agence cherche un exploit pour Android ? The Grugq sait qui peut le fournir pour 80 000 à 120 000 dollars. C’est du business !

Sa commission standard est de 15% donc par exemple sur une vente à 250 000 dollars, ça fait 37 500 dollars. Sans écrire une ligne de code. Sans prendre le risque de l’exploitation. Juste en mettant en relation les bonnes personnes. C’est rentable !

Mais The Grugq n’est pas qu’un simple intermédiaire. Il apporte aussi une vraie valeur ajoutée professionnelle. D’abord, il vérifie la qualité des exploits car pas question de vendre de la camelote à des clients qui paient des fortunes. Et ensuite, il garantit l’anonymat des deux parties. Le chercheur ne sait pas à qui il vend et l’acheteur ne sait pas d’où vient l’exploit. The Grugq est donc le seul à connaître les deux bouts de la chaîne.

C’est là que son expertise en OPSEC devient absolument cruciale car comment transférer des exploits qui valent des centaines de milliers de dollars sans laisser de traces ? Et comment recevoir des paiements sans que le fisc ou d’autres acteurs s’en mêlent ? Comment, même, communiquer avec des agences de renseignement sans se faire repérer par d’autres agences de renseignement ?

Une vraie prise de tête. Alors The Grugq développe tout un système sophistiqué. Communications chiffrées, bien sûr. Mais pas que. Il utilise des chains de proxies, des VPNs en cascade, des systèmes de dead drops numériques. Il change régulièrement d’identité, de méthodes de communication, de patterns de comportement. Un vrai fantôme numérique !

“Il est judicieux de migrer régulièrement l’infrastructure de communication et de changer régulièrement d’identité », expliquera-t-il plus tard. « Cela crée des silos d’informations compartimentés chronologiquement qui limitent l’impact d’une compromission.”

Et en quelques années, le business explose littéralement. 2010, 2011, 2012… Les prix des zero-days s’envolent. Ce qui se vendait 10 000 dollars en 2005 vaut maintenant 100 000. Un exploit iOS complet peut atteindre 250 000 dollars. Pour Windows, c’est 60 000 à 120 000. Et pour les navigateurs populaires (Chrome, Firefox, Safari), on parle de 80 000 dollars pour un RCE + sandbox escape. Le business est en feu et The Grugq est au milieu de tout ça. Il connaît les prix, les acheteurs, les vendeurs. Il sait quelle agence cherche quoi, quel chercheur a trouvé quoi. C’est une position de pouvoir incroyable. Et lucrative. Très, très lucrative.

En mars 2012, Forbes publie un article au sujet du marché des zero-days. Écrit par Andy Greenberg et intitulé “Shopping for Zero-Days: A Price List for Hacker’s Secret Software Exploits”, cet article expose pour la première fois publiquement ce marché secret. The Grugq y est cité, sous pseudonyme bien sûr. Et il révèle qu’il a pour projet de gagner plus d’un million de dollars cette année-là. Rien qu’en commissions. Le journaliste n’en croit pas ses oreilles. Un million de dollars pour mettre des gens en relation ?

Mais The Grugq hausse les épaules. C’est le marché, simple loi de l’offre et la demande. Surtout que les gouvernements ont des budgets illimités pour l’espionnage numérique. Par exemple, la NSA dépense 25,1 millions de dollars par an juste pour acheter des vulnérabilités selon les documents de Snowden. Ça représente entre 100 et 625 exploits par an, selon les prix du marché. Et c’est rien que la NSA !

Ajoutez à ça la CIA, le FBI, le Pentagone. Puis les Britanniques, les Français, les Allemands, les Israéliens. Tous veulent leur part du gâteau. Tous ont besoin d’exploits pour espionner, saboter, et protéger. Toutefois, The Grugq limite ses ventes aux agences américaines et européennes “pas uniquement pour des raisons éthiques, mais aussi parce qu’ils paient plus”. Pragmatique le garçon !

The Grugq estime le marché total à moins de 5 millions de dollars par an. D’autres parlent de 50 millions. Personne ne sait vraiment car c’est un marché opaque par nature, mais une chose est sûre…c’est hyper lucratif pour ceux qui savent naviguer dans ces eaux troubles.

Et surtout, même pendant cette période dorée de l’achat/revente, The Grugq ne se contente pas de faire du business. Il continue ses recherches, ses expérimentations et s’intéresse particulièrement à l’intersection entre le tradecraft traditionnel (les techniques d’espionnage classiques) et les compétences des hackers. Il dévore les manuels de la CIA déclassifiés, les mémoires d’anciens espions, les techniques du KGB et de la SOE (Special Operations Executive britannique). Il étudie comment les organisations clandestines opèrent depuis des siècles et surtout comment adapter toutes ces méthodes au monde numérique.

C’est de là que naît sa philosophie de l’OPSEC moderne. Pour lui, la sécurité opérationnelle n’est pas qu’une affaire technique. C’est avant tout une discipline mentale. Une façon de penser, de vivre, d’interagir avec le monde. Une philosophie de vie !

Sa règle numéro un, qu’il répétera ad nauseam dans toutes ses conférences : “Shut the fuck up.” Fermez-la. Ne parlez pas. Ne vous vantez pas. Ne partagez pas. C’est brutal, c’est direct, mais c’est efficace.

Car c’est là que 90% des gens échouent. Ils ne peuvent pas s’empêcher de parler. De tweeter. De se vanter. De laisser des indices. The Grugq a vu des dizaines de hackers brillants se faire prendre parce qu’ils n’ont pas su se taire.

Hé oui, l’ego, ça tue !

En parallèle de ses activités de broker, The Grugq commence aussi à enseigner. D’abord dans des conférences underground, puis dans les grands événements de sécurité. Black Hat, DefCon, CanSecWest, HITB… Il devient rapidement une star absolue du circuit et ses talks sont de véritables événements !

Pas de PowerPoints ennuyeux remplis de bullet points, The Grugq raconte des histoires captivantes. Il mélange technique et anecdotes, théorie et pratique. Il cite Sun Tzu et les manuels de la Special Operations Executive britannique. Il parle de hackers russes et d’espions de la Guerre Froide. Un storytelling incroyable qui captive !

Un de ses talks les plus célèbres est “OPSEC for Hackers” présenté à HITB 2012 où pendant une heure, il détaille comment les hackers se font prendre. Les erreurs classiques, les pièges à éviter. Il analyse des cas réels, décortique les échecs, explique ce qui aurait pu être fait différemment. Une vraie masterclass !

Et son message est clair comme du crystal : La technique ne suffit pas. Tu peux être le meilleur hacker du monde, si ton OPSEC est pourrie, tu finiras en prison.

“Donnez à un homme un 0day et il aura un accès pendant une journée, apprenez-lui à hameçonner et il aura un accès à vie.” De la sagesse hacker !

The Grugq développe comme ça toute une philosophie autour de l’OPSEC. Pour lui, c’est un art, pas une science, où chaque situation est unique. Les règles changent constamment. “Le cyberespace, c’est comme le calvinball. La seule règle, c’est qu’on ne joue jamais deux fois de la même manière.” Une jolie référence à Calvin & Hobbes qui fait mouche !

Il emprunte également beaucoup au monde du renseignement traditionnel. La compartimentation, par exemple, c’est à dire ne jamais mélanger les identités, ne jamais croiser les flux d’information, et créer de silos étanches qui limitent les dégâts en cas de compromission. En gros, du cloisonnement militaire appliqué au hacking !

Ou encore tout ce qui est désinformation. “Si vous voulez dissimuler quelque chose, ne faites pas jurer aux gens de garder le silence, racontez autant d’histoires alternatives que possible.” Une règle de la SOE britannique pendant la Seconde Guerre mondiale, toujours valable à l’ère numérique. Il fait du recyclage de techniques éprouvées qu’il adapte au monde moderne.

Il insiste particulièrement sur l’aspect humain. “On ne peut pas lutter contre un mème avec un exploit” car la technologie ne résout pas tout. Les failles les plus dangereuses sont souvent humaines et l’ingénierie sociale, la manipulation, la psychologie… C’est là que se gagnent les vraies batailles. L’humain, toujours l’humain !

Vers 2013, The Grugq sent alors que le vent tourne dans le business des exploits. Les prix deviennent complètement fous. La concurrence s’intensifie dangereusement. De nouvelles boîtes comme Vupen (qui deviendra Zerodium en 2015) ou Netragard entrent agressivement sur le marché. Les gouvernements commencent à acheter directement, sans passer par des intermédiaires. Le marché se professionnalise !

Plus important encore, l’éthique de tout ça commence sérieusement à le déranger. Ces exploits qu’il vend, ils servent à quoi exactement ? Espionner des dissidents ? Saboter des infrastructures ? Surveiller des journalistes ? The Grugq n’est pas naïf, il sait que ses clients ne sont pas des enfants de chœur, mais voir l’escalade, la militarisation du cyberespace, ça le fait réfléchir profondément.

Il décide alors de changer de cap radicalement. Exit la revente d’exploits et place à l’enseignement, la recherche, et le conseil. Il a assez d’argent pour vivre confortablement jusqu’à la fin de ses jours et il a prouvé ce qu’il avait à prouver. Maintenant, il veut transmettre. C’est, je trouve, une noble reconversion !

Il s’installe alors définitivement à Bangkok. Alors pourquoi Bangkok, me direz-vous ? Et bien “parce que c’est loin de tout”, dit-il en rigolant. Mais c’est plus profond que ça car Bangkok, c’est un hub international, connecté au monde entier mais en dehors des radars occidentaux. C’est facile d’y disparaître, d’y vivre anonymement… et puis, la bouffe est excellente et pas chère.

De Bangkok, The Grugq continue ses activités, mais autrement. Il donne des formations privées à des entreprises, des gouvernements (les gentils, précise-t-il avec ironie). Il écrit, beaucoup, notamment des articles, des guides, des analyses et devient le philosophe de l’OPSEC moderne, le Socrate de la sécurité opérationnelle !

Sa présence sur Twitter (@thegrugq) devient absolument culte. Chaque tweet est une leçon de vie. Parfois technique, parfois philosophique, toujours pertinent. Il commente l’actualité de la sécurité, analyse les échecs, dispense ses conseils. Le tout avec un humour noir bien caractéristique. C’est du contenu premium !

“Si un État-nation vous poursuit, vous allez passer un mauvais quart d’heure.” est un de ses tweets les plus célèbres, qui résume sa vision réaliste de la sécurité. Pas de faux espoirs. Pas de solutions miracles. Juste la vérité crue : contre certains adversaires, vous ne pouvez pas gagner. Point final.

Mais ça ne veut pas dire qu’il faut abandonner. Au contraire. The Grugq prêche la préparation, la discipline, la rigueur. “Pour bien maîtriser l’OPSEC, il faut intérioriser les changements de comportement nécessaires pour maintenir en permanence une posture de sécurité solide.” C’est un mode de vie, pas un hobby, je vous l’ai déjà dit !

Par exemple, en 2017, l’affaire Reality Winner éclate et devient un cas d’école parfait. Cette contractante de la NSA a leaké un document classifié au journal The Intercept. Elle est alors arrêtée quasi immédiatement.

Un cas d’école d’échec OPSEC que The Grugq va analyser dans son article Medium “Real Talk on Reality”. Car c’est un festival d’erreurs catastrophiques. Winner a par exemple imprimé le document depuis son poste de travail. Et comme les imprimantes laissent des micro-points invisibles qui permettent de tracer exactement quand et où un document a été imprimé, ça a été son erreur numéro. Surtout que c’était le seul document qu’elle avait imprimé ce mois-là !

Elle a ensuite accédé au document alors qu’elle n’avait aucune raison professionnelle de le faire. Dans une agence où tout est loggé en permanence, c’est un red flag immédiat. Erreur numéro 2, très grossière !

Mais attendez, c’est pas fini ! Elle avait déjà contacté The Intercept depuis son ordinateur professionnel. Alors quand l’enquête a commencé, son nom est ressorti immédiatement. Erreur numéro 3, fatale !

Et The Intercept ? Et bien ils ont envoyé une copie du document à la NSA pour vérifier son authenticité. Et avec les micro-points bien visibles. Ils ont littéralement donné à la NSA tout ce dont elle avait besoin pour identifier la source. Erreur numéro 4, 5, 6… La liste est longue !

The Grugq est sans pitié dans son analyse. “Mme Winner était condamnée, indépendamment des mesures prises par The Intercept pour protéger sa source qui, en réalité, étaient inexistantes.” Winner a violé toutes les règles de base de l’OPSEC. Elle a laissé des logs partout : Accès au document, impression, communications… Chaque action a créé une trace indélébile.

Mais il ne blâme pas que Winner car The Intercept a failli tragiquement à son devoir de protection des sources. Tout journaliste qui traite des documents sensibles devrait connaître les bases : micro-points, métadonnées, techniques de traçage. C’est de la négligence criminelle, selon lui.

“OPSEC is not a joke”, martèle-t-il. “Ce n’est pas facultatif. Ce n’est pas quelque chose que l’on fait quand on a le temps. C’est une discipline. Un mode de vie. Sinon, on finit comme Reality Winner : condamné à plusieurs décennies de prison pour avoir essayé de faire ce qui était juste, mais de la mauvaise manière.” Leçon douloureuse mais essentielle !

Au fil des ans, The Grugq devient une véritable institution dans le monde de la sécurité. “The most quoted man in infosec”, comme on l’appelle affectueusement. Pas une conférence sans qu’un speaker cite une de ses maximes. Pas un article sur l’OPSEC sans référence à ses enseignements. Une notoriété bien méritée !

Il publie régulièrement sur Medium, sur son blog, sur GitHub. Des guides pratiques, des analyses théoriques, des réflexions philosophiques… Et tout est disponible gratuitement. The Grugq ne vend pas ses connaissances OPSEC. Il les partage généreusement. C’est sa façon de rendre à la communauté.

Son blog “Hacker OPSEC” devient LA référence absolue. Des dizaines de pages détaillant chaque aspect de la sécurité opérationnelle. Comment choisir ses outils. Comment créer des identités. Comment communiquer. Comment disparaître. Mais surtout il met en garde car lire ne suffit absolument pas.

Il faut pratiquer, s’entraîner, développer les réflexes car l’OPSEC, c’est 10% de connaissances et 90% de discipline. Et la discipline, ça se travaille !

Ces dernières années, The Grugq s’est considérablement diversifié. Il dirige maintenant le Glasshouse Center, un think tank dédié aux cybermenaces émergentes et à la stratégie cyber. Il publie “The Grugq’s Newsletter”, une newsletter suivie par des dizaines de milliers d’abonnés. Il y commente l’actualité, analyse les tendances, partage ses réflexions sur l’évolution du paysage numérique.

Car le monde a radicalement changé depuis ses débuts dans les années 90. Les exploits zero-day se vendent maintenant des millions (Zerodium offre jusqu’à 2,5 millions pour certains exploits iOS). Les États-nations ont des armées entières de hackers. La surveillance est omniprésente. Mais les principes de base restent exactement les mêmes. Discipline. Compartimentation. Et surtout silence.

Car dans un monde où tout est enregistré, où chaque bit peut devenir une preuve, ce silence est littéralement d’or.

Aujourd’hui, The Grugq reste un mystère complet. Après plus de 25 ans dans le milieu, peu de gens connaissent son vrai visage. Encore moins ont son vrai numéro de téléphone. Il apparaît dans les conférences, donne ses talks brillants, puis disparaît. Comme un fantôme. Comme il l’a toujours fait. Comme il continuera de le faire.

C’est ça, le vrai OPSEC. Pas des outils fancy ou des techniques ultra-complexes. Juste cette discipline de rester dans l’ombre et de contrôler l’information sur soi-même. Il ne faut jamais baisser la garde même quand personne ne regarde.

Alors la prochaine fois que vous êtes tenté de tweeter ce truc super cool que vous venez de hacker, rappelez-vous The Grugq et de son mantra :

“Shut the fuck up.”

Sources : Medium officiel de The Grugq, Twitter @thegrugq, Phrack #59 - “Defeating Forensic Analysis on Unix”, Schneier on Security - The Grugq on Reality Winner, Medium - “Real Talk on Reality” par The Grugq, Blogs of War - Interview Hacker OPSEC, GitHub officiel, Okta Security - Profil The Grugq, Vice - Interview ancien broker exploits, The Info Op Newsletter Substack, Privacy PC - Guide OPSEC, Wikipedia - Marché des exploits zero-day, Glasshouse Center