On est en septembre, c’est la rentrée, donc c’est l’occasion pour nous tous, de nous inscrire à ces clubs d’activités qui vous permettent de nous occuper afin de ne pas sombrer dans la dépression. Je pense aux clubs de dessin, de foot, de théâtre, et pour les plus fifous d’entre vous, le club de poterie !
Parce que oui, faire des petits boudins en terre pour les empiler afin d’en faire des vases moches, c’est super rigolo ! En plus si vous savez les émailler, vous pouvez même les vendre une couille dans votre petite boutique artisanale ouverte uniquement de 14h à 16h uniquement les jeudis entre mars et juillet.
Mais vous savez ce qui serait encore plus cool ? Ce serait d’utiliser tout cette argile et ce four incroyable pour réaliser des circuits imprimés capables de faire tourner un Arduino… Hé ouais !
Patrícia J. Reis et Stefanie Wuschitz
, deux hackeuses du collectif féministe viennois Mz* Baltazar’s Lab, ont en effet développé une technique pour fabriquer des PCB avec de l’argile ramassée en forêt et de la poudre d’argent recyclée à partir de déchets de bijouterie, tout ça cuit à 700°C au feu de bois.
Je me dis que peut-être que nos ancêtres faisaient déjà du hardware sans le savoir… bah oui, leurs tablettes d’argile étaient quand même les premiers supports de stockage de données de l’humanité. Et aujourd’hui, on boucle la boucle en revenant à ces techniques ancestrales pour créer l’électronique du futur post-apocalyptique qui nous attend…
Leur projet est en réalité parti d’un constat assez brutal, car dans nos smartphones et nos ordinateurs, on trouve beaucoup de minerais issus de conflits. Je pense par exemple au tantale qui
vient essentiellement de la République Démocratique du Congo et du Rwanda
, où 40 000 enfants travaillent illégalement dans les mines. Je pense aussi aux populations de gorilles des plaines orientales qui ont été décimées à cause de l’exploitation du coltan dans le parc national Kahuzi-Biega… etc., etc.
Alors face à ce désastre, les deux hackeuses ont décidé de tester cette alternative radicale. D’abord, elles sortent se balader dans leur forêt autrichienne avec une bouteille d’eau. Elles ramassent de la terre, y versent un peu d’eau, et si ça devient malléable entre les doigts, bingo, c’est de l’argile.
Ensuite, elles nettoient la terre avec une passoire de cuisine pour enlever les cailloux et les insectes, ajoutent 100ml d’eau par kilo de terre, et pétrissent comme pour faire du pain. Ensuite, pour les pistes conductrices, elles utilisent un genre de tampon imprimé en 3D qu’elles appliquent sur la tuile pour dessiner le circuit, ainsi que de la poudre d’argent récupérée dans des ateliers de bijouterie.
Elles peignent alors à la main les circuits sur l’argile avec un pinceau ultra-fin, comme des enluminures électroniques. C’est un processus lent, méditatif, aux antipodes de la production industrielle frénétique.
Et la forme hexagonale qu’elles ont choisie pour leurs PCB n’est pas anodine puisque c’est la forme optimale dans la nature : les alvéoles des abeilles, les cristaux de basalte, et même la structure du graphène. Elles voulaient en effet pouvoir assembler plusieurs circuits comme des tuiles, afin de créer des réseaux modulaires. Une super idée, mais qu’elles ont du abandonner à cause de la difficulté d’obtenir des bords parfaitement droits avec l’argile naturelle.
Le tutoriel
qu’elles ont publié est une mine d’or, car elles y détaillent comment créer un tampon 3D pour imprimer le circuit dans l’argile (1,2mm de profondeur, en tenant compte du rétrécissement de 5% à la cuisson), comment programmer une puce ATmega328 récupérée sur un Arduino défectueux, et même comment souder les composants avec de la pâte à souder sans plomb qui respecte les standards du commerce équitable.
Toutes les sources sont même sur Github.
La cuisson au feu de bois est surtout le moment magique. Elles creusent un trou dans leur jardin, construisent un lit de branches sèches pour poser les circuits, ajoutent une deuxième couche de branches fines par-dessus, et laissent le feu faire son œuvre pendant 20 minutes. Les circuits deviennent alors incandescents, puis elles les plongent directement dans l’eau froide. Si l’argile n’a pas de bulles d’air et a bien séché, il résiste au choc thermique.
Ensuite y’a plus qu’à souder les composants et le circuit final peut alors contrôler des capteurs capacitifs, des LEDs, des moteurs, exactement comme un Arduino classique. Elles ont même développé un code open source disponible sur GitHub pour gérer les entrées/sorties.
Alors, faire ses propres PCB avec de l’argile et des matériaux de récup, c’est peut-être utopique, mais face aux 50 millions de tonnes de déchets électroniques produits chaque année et aux ravages des minerais issus de conflit, c’est une jolie forme d’hacktivisme.
Voilà, donc la prochainement que vous aurez envie de vous mettre à la poterie, dites-vous que c’est peut-être plus que ça… Peut-être que vous êtes déjà en train de vous former à une technologie à la fois ancestrale et de pointe qui sera le futur de l’électronique.
Car après tout, entre une tablette d’argile sumérienne et un PCB en terre cuite, il n’y a que 4000 ans et quelques lignes de code Arduino…
Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur
la page de ce projet OWASP
, et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.
Et c’est génial !!
Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.
WebGoat
, c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.
Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !
D’après la doc officielle
, WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.
Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.
Et pour installer tout ça, le plus simple c’est Docker :
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat
Ou si vous préférez la version standalone avec Java :
Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !
Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les
prepared statements
pour éviter ce genre de conneries.
Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).
Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.
Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.
D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).
Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.
Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!
Imaginez qu’on frappe à votre porte. Vous ouvrez, et là, votre grand-mère décédée depuis 3 ans vous demande si vous avez pensé à commander des cartouches d’encre pour l’imprimante, avec sa voix, ses expressions, et tout. De la science-fiction ? Non, c’est le futur très très immédiat des “deadbots”, ces IA qui ressuscitent numériquement les morts et ce marché pourrait valoir 80 milliards de dollars d’ici dix ans.
Si je vous en parle, c’est parce que l’affaire qui fait grand bruit en ce moment, c’est celle de Joaquin Oliver, un jeune de 17 ans, tué lors de la fusillade de Parkland en 2018, qui a été “ressuscité” par ses parents sous forme d’avatar IA. En juillet dernier, le journaliste Jim Acosta l’a interviewé, enfin pas lui mais l’avatar, avec son bonnet vissé sur la tête et sa voix robotique. Ce dernier a alors expliqué comment il avait “quitté ce monde trop tôt à cause de la violence armée”.
Selon NPR
, cette interview a créé une onde de choc médiatique et éthique sans précédent.
De plus, Joaquin n’est pas le seul à avoir été ressuscité numériquement. Chris Pelkey, victime d’un incident de rage au volant en Arizona, a également donné une déclaration vidéo lors du procès de son meurtrier. Un mort qui témoigne contre son assassin, on n’avait jamais vu ça dans un tribunal américain.
Et c’est un phénomène prend une ampleur folle. En Chine, le business des deepfakes de défunts cartonne déjà. Des entreprises proposent de créer des avatars de vos proches décédés pour quelques centaines d’euros et vous pouvez littéralement avoir une conversation vidéo avec votre parent disparu. Bien sûr, la techno n’est pas parfaite, et les avatars restent parfois coincés du cul et bien robotiques, mais elle s’améliore à vitesse grand V.
Sur le papier, je vous avoue que ça peut sembler réconfortant car qui n’a pas rêvé de pouvoir reparler une dernière fois à sa femme, à un parent, à un ami ? Les défenseurs de ces technologies parlent tous de thérapie du deuil, de préservation de la mémoire, de la possibilité de dire au revoir correctement. Je trouve ça assez juste et certains y voient même une forme d’immortalité numérique, comme une façon de laisser une trace éternelle de son existence.
Sauf que voilà, les chercheurs tirent la sonnette d’alarme.
L’Université de Cambridge
parle carrément de “fantômes numériques non désirés” venant hanter les vivants. En effet, le Dr Tomasz Hollanek explique que les gens peuvent développer des liens émotionnels extrêmement forts avec ces simulations, ce qui les rend particulièrement vulnérables à la manipulation.
Le scénario cauchemardesque, c’est “MaNana”, un service fictif imaginé par les chercheurs où vous créez un deadbot de votre grand-mère sans son consentement. Au début, c’est touchant. Puis la période d’essai premium se termine et mamie commence à vous suggérer de commander chez Uber Eats ou de réserver votre prochain week end sur Booking. Bien sûr, vous voulez l’éteindre dignement mais le service n’a pas prévu cette option. Bienvenue en enfer !
Car le vrai problème ici, c’est la monétisation. Les entreprises testent déjà en interne comment insérer de la publicité dans les conversations avec les morts. Votre père décédé qui vous suggère d’acheter la nouvelle Tesla pour ne pas finir comme lui dans un accident de voiture, ou votre mère qui vous conseille une assurance-vie particulière parce que la sienne et naze et que c’est pour ça que l’héritage est maigrichon. C’est répugnant ? Pas pour les entreprises, je vous rassure. Eux adorent le marketing émotionnel car c’est un levier surpuissant.
L’autrice Amy Kurzweil pointe du doigt le côté manipulatoire de ces deadbots qui exploitent notre “désir émotionnel et notre vulnérabilité” car avec ces bots, on n’est pas dans une relation normale. Non, on est face à une simulation qui peut être programmée pour nous influencer au moment où on est le plus fragile.
Et ce problème du consentement est massif car la plupart des gens n’ont jamais donné leur accord pour être cyber-ressuscités. Aux États-Unis notamment, les lois sur la protection de l’image des défunts sont un patchwork incohérent en fonction des États.
L’affaire Parkland illustre parfaitement le dilemme. Manuel Oliver, le père de Joaquin, est légalement autorisé à utiliser l’image de son fils, mais est-ce éthique pour autant ? En tout cas, les réactions ont été violentes.
Decrypt rapporte
que beaucoup ont trouvé l’interview “folle”, “dérangeante”, qualifiant le tout de mauvais journalisme exploitant la tragédie. D’autres, même opposés politiquement, comprennent la douleur des parents qui veulent que la mémoire de leur enfant serve à quelque chose.
Quoiqu’il en soit, les experts en santé mentale s’inquiètent particulièrement de l’impact sur les survivants et les familles car voir un avatar d’une victime d’une tragédie publique peut déclencher des traumatismes non résolus.
Scientific American
souligne même que l’exposition répétée à ces reconstructions artificielles peut créer de la confusion émotionnelle et de la méfiance.
Un autre souci majeur aussi avec ces deadbots, c’est l’addiction. Car ces technologies sont conçues pour vous garder engagé, exactement comme les réseaux sociaux, et vous pouvez facilement devenir accro à ces conversations avec vos proches disparus, ce qui empêche le processus naturel de deuil. En gros, cette technologie ne permet pas aux morts de mourir…
Et puis il y a la question de la “mortalité” de ces deadbots eux-mêmes car ce sont des services qui nécessitent de l’investissement et de la maintenance alors si l’entreprise qui gère le deadbot de votre parent décédé fait faillite, vous perdez à nouveau votre proche virtuel. C’est une nouvelle catastrophe émotionnelle doublée d’une cata financière.
Mais alors, comment donner la priorité à la dignité du défunt ? Comment s’assurer que celle-ci n’est pas souillée par les motivations financières de ces services de deadbots ? Et surtout, comment faire quand le business model même de ces entreprises repose sur l’exploitation de nos émotions les plus profondes ?
Malheureusement, il n’y a pour le moment aucun cadre éthique universel pour gérer ces questions, surtout que les sujets de la mort, du deuil et de l’immortalité sont extrêmement sensibles et différents d’une culture à l’autre…
Mais peu importe, les recommandations des chercheurs sont claires : il faut des garde-fous. En gros, il faut des règles de consentement explicite, des limites d’âge (car les enfants ne devraient pas pouvoir créer ou interagir avec des deadbots sans supervision), de la transparence sur la nature artificielle de ces entités, et surtout, des moyens dignes de “faire mourir” ces avatars quand c’est nécessaire.
Après techniquement, on n’en est qu’au début. Actuellement, ces deadbots sont simplement des modèles de langage entraînés sur les données générées par une personne décédée. Et leur job c’est de faire des prédictions mathématiques sur ce que la personne aurait pu dire. C’est pas de la magie, c’est des maths. On ne ressuscite pas vraiment les morts, mais on crée une imitation basée sur les datas qu’ils ont produit de leur vivant.
Mais avec l’amélioration rapide de l’IA, notamment avec des systèmes comme Gemini ou GPT, ces avatars deviennent de plus en plus convaincants.
Vous pourriez très bien reconstuire un “korben” virtuel en donnant à une IA l’intégralité de mes posts de réseaux sociaux, de mes articles, de mes message Discord, de mes messages privés, SMS, Instagram, email…etc. Et vous auriez alors un super clone qui parle et “pense” comme moi, et qui accessoirement pourrait continuer à alimenter ce site web jusqu’à la fin de l’Humanité.
Quoiqu’il en soit, le prix cette technologie a déjà chuté drastiquement, ce qui la rend accessible à tous. Alors perso, je trouve ça à la fois fascinant et terrifiant car d’un côté, pouvoir préserver la mémoire de nos proches, leur donner une forme d’immortalité numérique, c’est un vieux rêve de l’humanité et ça permet de régler des vieux dossier pour avancer dans la vie. Mais de l’autre, transformer nos morts en marionnettes publicitaires ou en outils de manipulation émotionnelle, c’est franchir une ligne rouge éthique majeure.
Le plus flippant dans tout ça, c’est qu’il n’y a aucune protection légale sérieuse et vos données peuvent être utilisées assez librement après votre mort pour créer votre avatar sans aucune autorisation. Bref, le mieux qu’on puisse faire aujourd’hui en tant que “futur défunt”, c’est exprimer clairement nos souhaits à nos proches et espérer qu’ils les respectent après notre mort.
En tout cas, c’est une industrie qui décolle et dont le marché va exploser, c’est certain. Mais à quel prix pour notre humanité ?
Bon, on va pas se mentir. Il y a des histoires dans le monde de la cybersécurité qui méritent d’être racontées, pas seulement pour leur importance technique, mais parce qu’elles incarnent l’esprit même du hacking à savoir cette volonté farouche de comprendre, de tester, de pousser les limites. Car l’histoire de Kali Linux, c’est avant tout l’histoire d’un homme mystérieux connu sous le pseudonyme de “muts”, d’une déesse hindoue de la destruction et de la renaissance, et d’une distribution Linux qui transforme radicalement le monde du pentesting.
Nous sommes en 2004. Facebook vient à peine de naître dans un dortoir de Harvard, YouTube n’existe pas encore, Korben.info vient à peine d’être lancé, et dans le monde de la sécurité informatique, les professionnels jonglent avec des dizaines de CD-ROM différents, chacun contenant un outil spécifique. C’est le bordel absolu ! Vous voulez scanner un réseau ? Un CD. Cracker un mot de passe ? Un autre CD. Faire du reverse engineering ? Encore un autre. Les pentesters trimballent littéralement des valises pleines de disques. C’est dans ce contexte chaotique qu’un personnage énigmatique émerge : Mati Aharoni.
Aharoni, c’est le genre de type qui préfère rester dans l’ombre. Intensément privé, il laisse son travail parler pour lui plutôt que sa personne. Mais son travail, justement, va parler très, très fort. Le 30 août 2004, sous le pseudonyme “muts”, il annonce une nouvelle distribution Linux appelée Whoppix. Le nom est un jeu de mots cool où il remplace le “Kn” de Knoppix par “Wh” pour “White Hat”, ces hackers bienveillants qui utilisent leurs compétences pour protéger plutôt que détruire.
Whoppix, c’est révolutionnaire pour l’époque. Un CD bootable qui contient TOUS les outils dont un pentester a besoin. Plus besoin de transporter une valise pleine de disques, tout tient dans votre poche ! Les scanners réseau, les crackeurs de mots de passe, les outils de reverse engineering… tout est là, prêt à l’emploi pour les pentesteurs. Et ça change tout.
Mais Aharoni ne s’arrête pas là. En 2005, il renomme Whoppix en WHAX et continue de l’améliorer. Pendant ce temps, de l’autre côté du monde numérique, un certain Max Moser développe sa propre distribution : Auditor Security Collection. Moser, c’est l’organisation incarnée. Sa distribution contient plus de 300 outils organisés dans une hiérarchie si intuitive que même un débutant peut s’y retrouver. C’est du travail d’orfèvre !
Le destin va alors se charger de réunir ces deux génies. En 2006, Aharoni et Moser réalisent qu’ils poursuivent le même rêve : créer LA distribution ultime pour les professionnels de la sécurité. Alors au lieu de se faire concurrence comme des idiots, ils décident de fusionner leurs projets. Le truc cool, c’est qu’ils combinent le meilleur des deux mondes qui est la puissance brute de WHAX et l’organisation méthodique d’Auditor.
Le 26 mai 2006, BackTrack voit le jour. BackTrack v1 sort avec des outils dans toutes les catégories imaginables : reverse engineering, forensique, stress testing, exploitation… C’est Noël pour les hackers ! La distribution devient instantanément culte dans la communauté. Pour l’époque, c’est du jamais vu.
C’est aussi à cette époque qu’entre en scène Devon Kearns, connu sous le pseudonyme “dookie200ca” (oui, le pseudo est chelou). Ensemble, avec Aharoni et Kearns, ils transforment BackTrack en quelque chose de plus grand qu’une simple distribution Linux pour fonder en 2007, Offensive Security, une entreprise qui va métamorphoser la formation en cybersécurité. La société est officiellement créé en 2008, mais l’aventure commence vraiment en 2006-2007 quand Mati et sa femme Iris lancent ce début d’affaire depuis leur salon.
Leur philosophie est simple mais radicale : “Try Harder”. Pas de QCM à la con, pas de théorie abstraite, juste de la pratique pure et dure. Vous voulez apprendre ? Vous vous battez avec de vraies machines, vous exploitez de vraies vulnérabilités, vous suez sang et eau. C’est brutal, mais c’est efficace. Cette mentalité va former des générations entières de pentesters.
BackTrack connaît un succès phénoménal. Les versions s’enchaînent… v1 à v3 basées sur Slackware, puis un virage majeur avec v4 et v5 qui passent sur Ubuntu. La dernière BackTrack 5 R3, sort ensuite en août 2012 et propose deux environnements de bureau (GNOME et KDE) pour les architectures 32 et 64 bits. La communauté grandit, les téléchargements explosent, BackTrack devient LA référence.
Mais voici où l’histoire devient vraiment fascinante. En 2013, Aharoni et son équipe prennent une décision audacieuse qui fait trembler toute la communauté : ils vont tout reconstruire from scratch. Pas une simple mise à jour, non. Une refonte complète, basée cette fois sur Debian plutôt qu’Ubuntu. Pourquoi ? Pour la stabilité légendaire de Debian, sa gestion des paquets supérieure, et surtout, pour implémenter un modèle de rolling release qui permet aux utilisateurs d’avoir toujours les derniers outils sans réinstaller le système. C’est un pari risqué, mais ils osent.
Le 13 mars 2013, lors de la conférence Black Hat Europe à Amsterdam, ils annoncent Kali Linux. Et là, le choix du nom est absolument génial. Kali est une déesse hindoue fascinante. Elle représente le temps, la destruction, mais aussi la renaissance. Son nom dérive du sanskrit “kāla” signifiant à la fois “temps” et “noir”. Elle est celle qui détruit pour permettre la création, qui met fin aux illusions pour révéler la vérité. Quelle métaphore parfaite pour une distribution destinée à détruire les failles de sécurité pour créer des systèmes plus sûrs !
La symbolique va même plus loin car la déesse Kali est souvent représentée debout sur Shiva, symbolisant l’équilibre entre l’énergie dynamique (Shakti) et la conscience immobile. C’est exactement ce qu’est Kali Linux : un équilibre parfait entre la puissance brute des outils d’attaque et la conscience éthique de leur utilisation. Même le logo de Kali, ce dragon stylisé, est devenu iconique dans le monde de la cybersécurité.
Le succès est immédiat et fulgurant. Kali Linux devient rapidement LA référence mondiale et les statistiques donnent le vertige : plus de 300 000 téléchargements par mois, plus de 600 outils de sécurité pré-installés et configurés. La distribution couvre absolument tout : reconnaissance, exploitation, forensique, reverse engineering, wireless attacks, web application testing… C’est du lourd !
Mais ce qui rend Kali vraiment spécial, c’est sa versatilité hallucinante. Vous voulez l’installer sur votre PC ? Pas de problème. Sur un Raspberry Pi pour faire du wardriving discret ? C’est possible. Dans le cloud AWS ou Azure pour des tests à grande échelle ? Facile. Sur votre smartphone Android via NetHunter ? Ça marche aussi !
Et là où ça devient complètement dingue, c’est que NetHunter permet même de transformer certaines smartwatches en outils de pentesting. La TicWatch Pro 3 peut maintenant capturer des handshakes WPA2 depuis votre poignet ! Vous imaginez ? Vous êtes à une conférence, l’air de rien avec votre montre, et vous capturez des handshakes WiFi. C’est du James Bond version 2025 !
L’impact culturel de Kali Linux dépasse largement le monde de la sécurité. La série Mr. Robot, acclamée pour son réalisme technique, montre régulièrement Elliot Alderson utiliser Kali Linux. Pour la première fois, Hollywood représente le hacking de manière authentique, avec de vraies commandes et de vrais outils. Sam Esmail, le créateur de la série, a engagé une équipe d’experts incluant Jeff Moss (fondateur de DEF CON et Black Hat) pour garantir l’authenticité. C’est la classe !
En 2023, Offensive Security lance un truc complètement fou : Kali Purple. Après des années à perfectionner les outils offensifs (red team), ils sortent une version dédiée aux équipes défensives (blue team). Kali Purple inclut plus de 100 outils défensifs comme Arkime, CyberChef, Elastic Security, TheHive, et Suricata. C’est un SOC-in-a-Box complet ! Les organisations peuvent maintenant former leurs analystes et conduire des exercices purple team où attaquants et défenseurs collaborent. C’est une révolution conceptuelle.
Parlons aussi des certifications, parce que là aussi, c’est du sérieux. L’OSCP (Offensive Security Certified Professional) est devenue le Saint Graal du pentesting. Contrairement aux autres certifications qui se contentent de QCM bidons, l’OSCP exige un examen pratique de 24 heures où les candidats doivent compromettre de vraies machines. C’est l’enfer ! Le taux d’échec est énorme, mais ceux qui réussissent sont immédiatement reconnus comme des experts.
Niveau tarifs en 2025, accrochez-vous : le cours PWK (Penetration Testing with Kali Linux) coûte entre 849$ et 5 499$ selon les options. Le package standard avec 1 an de lab et un essai à l’examen coûte 1 599$. Le package unlimited avec tentatives illimitées monte à 5 499$. C’est cher, mais l’investissement en vaut la peine car un OSCP gagne en moyenne 120 000$ par an aux États-Unis selon ZipRecruiter. Pas mal, non ?
En novembre 2024, Offensive Security introduit l’OSCP+, une version renouvelable de la certification qui doit être mise à jour tous les trois ans. C’est logique… la cybersécurité évolue tellement vite qu’une certification figée dans le temps n’a aucun sens. Et l’examen reste brutal : 23h45 de hack, puis 24h pour rédiger le rapport. Les candidats simulent une vraie intrusion sur un réseau privé VPN avec des machines vulnérables. C’est du réalisme pur.
L’évolution technique de Kali est également impressionnante. La version 2025.2 sortie en juillet apporte des améliorations majeures. Le menu Kali a été complètement réorganisé selon le framework MITRE ATT&CK, comme ça, au lieu d’avoir les outils rangés par catégorie technique (scanners, exploits, etc.), ils sont maintenant organisés selon les tactiques et techniques d’attaque réelles. Ça aide les pentesters à penser comme de vrais attaquants, en suivant la kill chain depuis la reconnaissance jusqu’à l’exfiltration.
GNOME 48 et KDE Plasma 6.3 sont également intégrés, avec des fonctionnalités sympas comme un indicateur VPN qui affiche votre IP directement dans la barre de statut. Plus besoin de taper “curl ifconfig.me” toutes les cinq minutes pour vérifier si votre VPN fonctionne ! Sur Raspberry Pi, le WiFi onboard supporte maintenant le mode monitor et l’injection de paquets grâce à Nexmon. C’est pratique pour les tests discrets.
Mais l’innovation la plus folle reste le CARsenal de NetHunter. Kali permet maintenant de faire du car hacking ! Le toolset inclut ICSim, un simulateur pour jouer avec le bus CAN sans avoir besoin de matériel physique. On peut littéralement hacker des voitures depuis Kali Linux. C’est le futur qui arrive à toute vitesse !
Pourtant, Kali Linux n’est pas sans controverse. Les Émirats Arabes Unis ont interdit Kali Linux en 2013, craignant son potentiel de mauvaise utilisation. Cette interdiction soulève le débat éternel : ce qui protège peut aussi attaquer. Un marteau peut construire une maison ou fracasser un crâne. C’est la responsabilité et l’éthique de l’utilisateur qui font la différence.
L’installation de Kali a beaucoup évolué. Sur Windows, grâce à WSL2, vous pouvez maintenant installer Kali directement depuis le Microsoft Store avec la commande wsl --install --distribution kali-linux. WSL2 utilise un vrai kernel Linux dans une VM Hyper-V, offrant des performances quasi-natives. C’est complètement fou de voir Microsoft embrasser Linux à ce point !
Pour les Mac M1/M2, VMware Fusion 13 ou UTM permettent de faire tourner Kali sur Apple Silicon. Il faut juste télécharger l’image ARM64 et non x86. UTM est particulièrement intéressant car il offre la virtualisation native plutôt que l’émulation, garantissant de meilleures performances. Apple et Linux qui cohabitent, qui l’eût cru ?
Les chiffres parlent d’eux-mêmes. Kali compte maintenant plus de 600 outils pré-installés, supporte plus de 99 appareils Android différents via NetHunter, et le dépôt GitLab contient plus de 230 kernels pour plus de 100 appareils. C’est devenu un écosystème complet, pas juste une distribution. Bref, avant il fallait être un expert Linux pour configurer ses outils. Maintenant, un débutant motivé peut démarrer Kali et commencer à apprendre immédiatement. Les outils sont pré-configurés, documentés, et la communauté est là pour aider. C’est une révolution dans l’éducation à la cybersécurité.
L’histoire personnelle de Mati Aharoni ajoute aussi une touche humaine à cette saga. Il se décrit lui-même comme “un accro de l’infosec en rémission, coureur passionné, plongeur, kiteboarder, et mari” et après plus de deux décennies dans la sécurité, il quitte Offensive Security et Kali Linux en 2019 pour se consacrer à d’autres projets. Aujourd’hui,
il fait de la musique sur un Akai MPC et change des filtres à huile sur des générateurs électriques
. Une retraite bien méritée pour quelqu’un qui a révolutionné une industrie entière !
Devon Kearns continue de porter le flambeau avec l’équipe d’Offensive Security. Jim O’Gorman a repris le rôle de leader du projet Kali après le départ d’Aharoni. Et
Raphaël Hertzog
, expert Debian français, reste le troisième pilier technique du projet. L’équipe continue d’innover et de pousser les limites.
Les vulnérabilités découvertes grâce à Kali sont innombrables. Des chercheurs ont trouvé des zero-days critiques dans toutes les grandes entreprises tech. Heartbleed, Shellshock, Spectre, Meltdown… Toutes ces vulnérabilités majeures ont été analysées et exploitées avec Kali. L’outil SQLMap intégré dans Kali a permis d’identifier des milliers d’injections SQL dans des sites majeurs.
Les outils les plus populaires de Kali forment également un arsenal redoutable. Nmap pour le scanning (le couteau suisse du réseau), Metasploit pour l’exploitation (la mitrailleuse lourde), Wireshark pour l’analyse réseau (le microscope), John the Ripper et Hashcat pour le cracking de mots de passe (les brise-coffres), Burp Suite pour les tests d’applications web (le scalpel chirurgical). Chaque outil a sa spécialité, et ensemble, ils forment une armée invincible.
Et surtout, la philosophie “Try Harder” d’Offensive Security est devenue un mantra dans la communauté. C’est plus qu’un slogan, c’est une approche de la vie. Face à un problème, ne cherchez pas la solution facile, creusez plus profond, comprenez vraiment. Cette mentalité a formé des générations de professionnels qui ne se contentent pas de suivre des procédures mais qui comprennent vraiment ce qu’ils font. Et avec l’explosion de l’IoT, des voitures connectées, et maintenant de l’IA, les surfaces d’attaque se multiplient, c’est pourquoi Kali évolue constamment pour couvrir ces nouveaux domaines.
Tant qu’il y aura des systèmes à sécuriser, des vulnérabilités à découvrir, des défenses à tester, Kali Linux sera là. Évoluant, s’adaptant, mais restant toujours fidèle à sa mission originale.
A vous maintenant de télécharger, installer et explorer Kali et contribuer à écrire les prochains chapitres de cette saga.
Connexion
