Alors là, j’avoue que l’info m’a fait sourire.

15 groupes de hackers qui annoncent leur retraite en même temps après 72 heures de silence radio, c’est, je crois, du jamais vu dans le milieu. Scattered Spider, ShinyHunters, Lapsus$ et une douzaine d’autres ont publié un manifeste commun sur BreachForums pour dire qu’ils raccrochaient les claviers. Voilà, terminé, ils partent “dans le silence” après avoir, je cite, “atteint leurs objectifs”

Du coup, j’ai envie de vous conter une histoire. Mais pas celle que tout le monde se raconte en ce moment sur cette “retraite”, mais plutôt celle d’une mise en scène qui nous en dit long sur ces artistes du chaos qui ont compris que leur plus grande œuvre, c’était peut-être leur propre légende.

D’après leur communiqué officiel , ils disent en effet avoir passé trois jours à “vérifier leurs plans” et à “passer du temps en famille”. Sérieux ? Qui peut croire ça ? Des cybercriminels endurcis qui synchronisent tous ensemble leurs agendas familiaux pour se faire un week-end détente avant d’annonce qu’ils arrêtent tout le lundi suivant… C’est beau comme récit non ?

Pompompurin, le créateur du forum, a fini par écoper de 3 ans de prison après avoir violé plusieurs fois ses conditions de liberté surveillée , notamment en utilisant un VPN pour accéder à Discord. De la surveillance 24h/24 à la prison ferme, le chemin a été super rapide, et pendant ce temps, ses petits copains montent sur scène pour leur grand final. Un timing parfait… trop parfait même.

En fait, tous ces groupes ont compris qu’à notre époque, la perception compte plus que la réalité. Ils ont quand même revendiqué de grosses attaques contre Jaguar, Google (4 tentatives quand même !), Salesforce et CrowdStrike et évidemment, les experts en sécurité restent sceptiques face à cette annonce de retraite.

Et perso, je pense qu’ils ont raison. ReliaQuest a même détecté une attaque sophistiquée de Scattered Spider sur une banque américaine APRÈS l’annonce de retraite.

Alors, vous y croyez toujours ?

En fait, j’ai l’impression qu’on assiste à la naissance d’un nouveau genre de cybercriminels où les mecs ne se contentent plus de voler des données, mais créent des récits montés de toutes pièces, des mythes. Et ce manifeste, c’est leur œuvre d’art. Ils y parlent de “leçons apprises à Langley” (siège de la CIA), évoquent leurs “millions accumulés” et leurs “golden parachutes”. Ça pue la comédie quand même…

Le plus drôle dans tout ça, c’est qu’ils auraient même prévu le coup des arrestations. Huit personnes sont en taule, dont quatre en France , et dans leur manifeste, ils les appellent “boucs émissaires”. Ils auraient donc volontairement laissé des fausses pistes bien en amont pour protéger les vrais acteurs et laisser des hommes de paille se faire attraper. Vous voyez le niveau de mise en scène ? C’est du Nolan avant l’heure.

Cette “retraite” et cette façon dont elle est scénarisée, c’est surtout, je pense, une stratégie de survie car la pression des autorités monte, les arrestations se multiplient, et annoncer qu’on arrête tout, c’est un bon moyen de calmer le jeu. Puis surtout, ce serait pas la première fois… On a déjà vu ça avec GandCrab en 2019 qui est revenu sous la forme de REvil. Les noms changent mais les personnes restent.

Au final, ce que je retiens de cette annonce, c’est que le cybercrime est devenu un spectacle. Ces groupes ne sont plus juste des criminels, ce sont des influenceurs qui savent jouer avec les médias, les autorités et même leurs propres victimes. Leur vraie force n’est plus seulement technique… elle est également narrative car vous le savez, contrôler le récit, c’est contrôler la réalité.

Alors voilà… quinze groupes de hackers prennent leur “retraite” mais vous le savez aussi bien que moi, même quand le rideau tombe, les acteurs sont toujours derrière, prêts pour attaquer le prochain acte. C’est pour cela que quelque chose me dit qu’on n’a pas fini d’entendre parler d’eux…

Dans un article publié fin août, la hackeuse éthique BobdaHacker décrit sa dernière opération de piratage. Elle vise une nouvelle fois le secteur de la restauration, moins de deux semaines après avoir révélé les failles de sécurité chez McDonald's.

Cet article fait partie de ma série de l’été spécial hackers et ce sera le dernier ! Je vais faire une petite pause maintenant même si j’en ai encore un bon paquet à écrire… Mais ce sera pour bientôt… Bonne lecture ! Et bonne reprise !

Pour ce dernier article de ma série de l’été, je vais vous raconter l’histoire d’un type absolument génial que vous ne connaissez peut-être pas mais qui, lui aussi, a mis sa pierre à l’édifice de la sécurité informatique. Thomas Dullien, plus connu sous le pseudo “Halvar Flake”, c’est un peu le MacGyver du reverse engineering, sauf qu’au lieu de désamorcer des bombes avec un trombone, il désamorce des malwares avec des graphes mathématiques.

Ce gars est surtout à l’origine de BinDiff , un outil légendaire capable de comparer des binaires, très utile par exemple pour comprendre ce que Microsoft a patché dans une mise à jour de sécurité. Cet outil peut vous sortir une analyse graphique qui vous montre exactement où se trouvent les différences entre l’ancienne et la nouvelle version. À l’époque, en 2005, cet outil c’était comme avoir des super-pouvoirs.

Mais commençons par le début. Thomas Dullien, c’est un mathématicien allemand qui a grandi à une époque où Internet commençait tout juste à exploser. Le gars était destiné à devenir avocat, mais à la dernière minute, il change d’avis et s’inscrit en maths à l’Université de Bochum. Best decision ever, comme on dit. Il finit par obtenir son Master en mathématiques en 2008, après avoir commencé un doctorat qu’il abandonne pour se concentrer sur son entreprise.

Son pseudo “Halvar Flake” vient d’un personnage de dessin animé. C’est le chef d’un village viking dans la série télé “Vicky le Viking”. Et l’anecdote est géniale quand il l’explique : “J’étais petit, gros, j’avais des cheveux longs, et je buvais beaucoup de bière, alors les gens m’appelaient Halvar”, raconte-t-il avec humour. Bon, aujourd’hui le nom est resté même si la description ne colle plus vraiment !

Dans les années 90, alors qu’il est encore adolescent, Thomas commence à s’intéresser au reverse engineering et à la gestion des droits numériques (DRM). À l’époque, c’est le Far West total. Les protections logicielles sont simplistes, les entreprises pensent que leur code est impénétrable, et de petits génies comme lui s’amusent à démonter tout ça pièce par pièce. Il écrit même son premier fuzzer à 19 ans, mais refuse de l’utiliser lui-même par fierté… en vrai il préfère trouver les bugs en lisant le code ! Des années plus tard, il admettra que c’était stupide et que le fuzzing est quand même une technique incroyablement efficace.

En 2000, à seulement 19-20 ans, il fait alors sa première présentation à Black Hat Amsterdam sur “Auditing binaries for security vulnerabilities”. En réalité, il voulait rencontrer un pote du Sri Lanka mais aucun des deux n’avait les moyens de payer le billet d’avion alors ils ont décidé de faire une présentation à la même conférence. C’est donc comme ça qu’il commence sa carrière de formateur en reverse engineering… une carrière qui durera plus de 20 ans.

Pendant les années qui suivent, Halvar devient alors LA référence en matière de reverse engineering. Il développe des techniques révolutionnaires comme l’exploitation des tas Windows ( heap exploitation ), le patch diffing (comparer des versions patchées et non patchées de logiciels), et plein d’autres trucs que les chercheurs en sécurité utilisent encore aujourd’hui. Il donne des talks sur l’analyse binaire basée sur les graphes à Blackhat USA 2002, Blackhat Asia 2002, et CanSecWest 2002, où il se plaint déjà qu’IDA Pro ne gère pas bien les fonctions non-contiguës !

Mais son coup de génie, c’est au printemps 2004 quand il fonde SABRE Security, qui deviendra rapidement zynamics. L’idée c’est qu’au lieu de comparer les binaires octet par octet comme tout le monde, il utilise la théorie des graphes. En gros il faut voir ça comme une carte routière avec des intersections (les fonctions) et des routes (les appels entre fonctions). Et chaque programme a la sienne. BinDiff compare alors ces cartes pour trouver les différences.

Cette approche est innovante parce qu’elle fonctionne même si les programmes sont compilés avec des options différentes ou des compilateurs différents. Entre la publication DIMVA de 2004 et début 2005, Rolf Rolles, un autre génie du reverse engineering, contribue au projet avec de nouvelles idées qui améliorent grandement la capacité de BinDiff à matcher les blocs de base.

Puis en 2005, ils publient ensemble “Graph-based comparison of executable objects” au SSTIC… une présentation que Thomas donne en français et qu’il décrit comme “la seule présentation de conférence que j’ai jamais donnée en français. Et parce que j’étais terrifié, c’est probablement aussi celle que j’ai le plus répétée de ma vie”.

En 2006, coup de tonnerre : zynamics remporte le prix Horst Görtz, avec une récompense de 100 000 euros, pour leur technologie de classification de malwares. C’est à l’époque le plus gros prix privé en sciences naturelles d’Allemagne ! Ce prix récompense leur travail sur la similarité de code basée sur les graphes et cet argent leur permet de rester indépendants sans avoir besoin de capital-risque. “Le capital-risque était trop restrictif”, explique Thomas, qui finissait alors son Master tout en dirigeant l’entreprise.

L’entreprise grandit alors jusqu’à une douzaine d’employés, tous des ninjas du reverse engineering. Ils développent non seulement BinDiff, mais aussi BinNavi (essentiellement un IDE pour le reverse engineering centré sur la visualisation interactive de graphes, l’analyse de couverture et le débogage différentiel) et VxClass , qu’ils décrivent comme “un laboratoire d’analyse antivirus dans une boîte”.

L’impact de BinDiff sur l’industrie est énorme. Le nom devient même un verbe… les gens disent “je vais bindiff ça” pour dire qu’ils vont comparer deux binaires. C’est un peu comme quand on dit “googler”… alors quand votre outil devient un verbe, vous savez que vous avez réussi !

Thomas Dullien

Mais l’histoire prend un tournant dramatique en juillet 2007. Halvar arrive aux États-Unis pour donner sa formation annuelle à Black Hat Las Vegas, une formation qu’il donne depuis 7 ans sans problème. Mais cette fois, catastrophe, les douanes américaines trouvent ses supports de présentation dans ses bagages et le retiennent pendant 4 heures et demie. “Si vous allez faire du profit en tant que conférencier individuel, vous avez besoin d’un visa différent”, lui disent-ils. Le problème c’est qu’il avait un contrat avec Black Hat Consulting en direct en tant qu’individu, pas en tant que représentant de son entreprise.

L’ironie de la situation c’est que la plupart des participants à ses formations sont des employés du gouvernement américain ! Mais ça ne change rien et ils le renvoient en Allemagne sur le prochain vol. “Vous n’avez aucun droit, parce que techniquement vous n’êtes pas encore dans le pays”, lui ont-ils dit. Le programme d’exemption de visa lui est désormais interdit à vie. La communauté Black Hat est furieuse, mais Thomas reste philosophe… il finit par obtenir un visa business et revient l’année suivante, plus fort que jamais.

VxClass devient alors rapidement le produit phare de zynamics. C’est une infrastructure capable de traiter automatiquement les nouveaux malwares en les classifiant automatiquement en familles en utilisant l’analyse de graphes de flux de contrôle. L’outil peut générer des signatures privées en octets (au format ClamAV) pour toute une famille de malwares. VxClass peut par exemple, à partir de 160 extraits de malwares, les classifier automatiquement comme une seule famille et générer un seul pattern pour trouver chaque variante. Mandiant annonce même l’intégration avec VxClass dans leur logiciel de forensique mémoire Memoryze.

Le chevauchement de 2 malwares de la même “famille”

Et en mars 2011, Google rachète zynamics. C’est la consécration ! C’est d’ailleurs probablement VxClass qui intéresse le plus Google dans ce deal, étant donné l’intérêt de l’entreprise pour classifier les malwares et les sites malveillants. Le prix de BinDiff passe alors de plusieurs milliers de dollars à seulement 200 dollars. Google veut démocratiser ces outils de sécurité, et Halvar se retrouve propulsé dans la cour des grands avec le titre de Staff Engineer.

Illustration du principe de l’attaque Rowhammer

Chez Google, il travaille d’abord sur l’intégration et le scaling de sa technologie, puis il retourne à la recherche pure et dure et c’est là qu’il tombe sur quelque chose d’absolument dingue : le Rowhammer.

Le Rowhammer avait été découvert en juin 2014 par des chercheurs de Carnegie Mellon et Intel Labs (Yoongu Kim et ses collègues) dans leur papier “Flipping Bits in Memory Without Accessing Them”. Mais là où les académiques voient un problème de fiabilité, Thomas et Mark Seaborn de l’équipe Project Zero de Google voient une faille de sécurité monumentale.

Le Rowhammer, c’est une de ces découvertes qui font dire “mais comment c’est possible ?!”. En gros, imaginez que la mémoire de votre ordinateur est comme un parking avec des places très serrées. Si vous ouvrez et fermez la portière de votre voiture des milliers de fois très rapidement (on appelle ça “marteler” une ligne de mémoire), les vibrations peuvent faire bouger les voitures garées à côté (les bits dans les lignes adjacentes). Plus concrètement, quand on accède sans arrêt à une même zone de la mémoire, ça crée des perturbations électriques qui peuvent modifier les données stockées juste à côté… un peu comme si l’électricité “débordait” sur les zones voisines.

En mars 2015, Thomas et Mark publient alors leur exploit sur le blog de Project Zero. Les contributions techniques de Thomas incluent une méthode pour attaquer la mémoire des deux côtés en même temps (le “double-sided hammering”… imaginez-vous en train de marteler un mur par les deux faces pour le faire céder plus vite) et une technique astucieuse (le “PTE spraying”) pour transformer cette faille en véritable exploit, même s’il admet modestement que Mark a fait 90% du travail.

Ils surnomment même affectueusement le premier ordinateur où l’exploit fonctionne “Flippy the laptop” ! Leur exploit fonctionne donc en utilisant le row hammering pour induire un bit flip (une inversion de bit) dans une entrée de table de pages (PTE) qui la fait pointer vers une page physique contenant une table de pages appartenant cette fois au processus attaquant. Ça donne alors au processus attaquant un accès en lecture-écriture à une de ses propres tables de pages, et donc à toute la mémoire physique. Les chercheurs rapportent des bit flips avec seulement 98 000 activations de lignes !

La présentation de leurs résultats à Black Hat 2015 fait alors l’effet d’une bombe. Hé oui, une faille qui existe dans pratiquement toute la RAM moderne, qui ne peut pas être patchée par du logiciel, et qui peut être exploitée même depuis JavaScript dans un navigateur ! C’est le cauchemar ultime des responsables sécurité. Cette découverte devient alors le point d’origine de toute une famille d’attaques hardware (RowPress, Half-Double, etc.).

En août 2015, Halvar reçoit le Pwnie Award pour l’ensemble de sa carrière. C’est l’Oscar de la sécurité informatique, avec un jury de chercheurs en sécurité renommés qui sélectionne les gagnants. Et ces derniers reçoivent des trophées “My Little Pony” dorés ! À seulement 34 ans, il est alors décrit comme un “gourou du reverse engineering ayant déjà révolutionné le domaine plusieurs fois”.

Le fameux trophée Pwnie Award - un “My Little Pony” doré remis aux légendes de la sécurité informatique

Quoi qu’il en soit, cette découverte du Rowhammer change profondément la vision de Thomas sur l’informatique. Il se passionne pour la physique informatique, c’est-à-dire ce qui se passe réellement dans le processus de fabrication des puces. “C’est le plus grand spectacle sur Terre”, dit-il, et tire plusieurs leçons importantes. La première c’est qu’on a besoin d’une vraie théorie de l’exploitation. Aussi, que le hardware n’est pas correctement analysé pour anticiper tout ce qui pourrait arriver de pire, et enfin que la recherche sur les défauts des puces dus aux variations de fabrication est extrêmement intéressante.

Après un congé sabbatique d’un an, il retourne alors chez Google en 2016 et rejoint Project Zero, l’équipe d’élite qui cherche les failles zero-day. Son travail se concentre sur la découverte automatique de fonctions de bibliothèques liées statiquement dans les binaires et sur des recherches de similarité ultra-efficaces sur d’énormes quantités de code.

Mais en janvier 2019, nouveau virage à 180 degrés. Thomas quitte Google et co-fonde Optimyze. Cette fois, il change complètement de domaine : fini la sécurité, place à la performance et à l’économie du cloud ! Après 20 ans passés à casser des trucs, il décide de les rendre plus efficaces.

L’idée d’Optimyze est géniale puisqu’avec la fin de la loi de Moore et le passage au SaaS/Cloud, l’efficacité logicielle redevient super importante. Leur produit est un profileur continu multi-runtime qui peut s’installer sur des milliers de machines Linux et vous dire exactement où votre flotte dépense ses cycles CPU, jusqu’à la ligne de code, peu importe le langage (C/C++, Java, Ruby, PHP, Perl, Python, etc.). Le tout avec une technologie eBPF qui permet un déploiement sans friction.

Thomas remarque en effet qu’il y a, je cite, “une quantité énorme de calculs inutiles partout”. Avec les coûts du cloud qui explosent et l’attention croissante sur le CO2 et l’efficacité énergétique, aider les entreprises à optimiser leur code devient crucial. “Avec la fin de la loi de Moore et de Dennard scaling, combinée avec le passage au cloud et la transformation digitale continue de la société, l’efficacité computationnelle va recommencer à compter”, explique-t-il.

En octobre 2021, Elastic rachète Optimyze. Leur idée c’est de combiner le profiling continu d’Optimyze avec les capacités d’analyse et de machine learning d’Elastic pour offrir une observabilité unifiée. Thomas devient alors Distinguished Engineer chez Elastic, où il continue à travailler sur l’efficacité à grande échelle.

Début 2024, après avoir intégré Optimyze dans l’écosystème Elastic, Thomas annonce à nouveau qu’il quitte l’entreprise pour prendre une pause prolongée. Il veut se reposer, et se consacrer à sa famille, sa santé et l’écriture. Mais il ne reste pas inactif longtemps puisque depuis 2019, il est aussi Venture Partner chez eCAPITAL, où il se concentre sur les investissements en cybersécurité et technologies climatiques. Enfin, depuis 2025, il dirige avec Gregor Jehle le groupe de projet Engineering au CNSS e.V.

Ces dernières années, on le voit donner des conférences passionnantes. Par exemple à QCon London en mars 2023, où il présente “Adventures in Performance”. Il y explique comment les choix de design des langages impactent les performances. Notamment comment la culture monorepo de Google et la culture “two-pizza team” d’Amazon affectent l’efficacité du code, et pourquoi la variance statistique est l’ennemi.

À ISSTA 2024 en septembre à Vienne, il donne une keynote intitulée “Reasons for the Unreasonable Success of Fuzzing”, où il analyse pourquoi le fuzzing marche si bien alors que théoriquement, ça ne devrait pas. Il raconte notamment comment dans la culture hacker des années 90, le terme “fuzz-tester” était utilisé comme une insulte pour ceux qui ne savaient pas trouver des bugs en lisant le code.

Une hackeuse professionnelle, connue sous le pseudonyme « Bobdahacker », raconte comment sa chasse aux vulnérabilités chez McDonald's, entamée par une simple commande de nuggets gratuits, a révélé d'autres failles de sécurité et conduit au licenciement d’une employée qui avait accepté de l’aider. Un rapport de sécurité qui déroule les étapes d’une enquête aussi efficace que surprenante.

Boston, 1992. Dans un loft miteux du South End qui ressemble plus à un squat qu’à un labo, une bande de hackers bidouille tranquillement. On est dans la cave de la cave du 59 Hamilton Street, à côté du Boston Ballet. Le loyer est de 150 dollars par mois et le bail au nom d’un certain Brian Hassick qui squatte le lieu pour l’art et la musique. L’équipement qu’on y trouve, ce sont surtout des cables Ethernet coaxiaux de récup, des ordinateurs dépareillés et un T1 piraté sur un routeur Cisco mal configuré d’une boîte voisine. C’est là que naît L0pht Heavy Industries, avec un zéro à la place du O, parce que c’est plus l33t speak, vous comprenez.

Le groupe rassemble les meilleurs hackers de la côte Est. D’abord, y’a Count Zero (John Tan) qui loue l’espace pour 300 balles par mois et le sous-loue aux autres. Un type discret qui préfère rester dans l’ombre mais qui connaît les systèmes Unix comme sa poche. Ensuite arrive Mudge (Peiter Zatko), un mec qui a bossé sur BBN Technologies et qui comprend le protocole TCP/IP mieux que ceux qui l’ont inventé. Space Rogue (Cris Thomas), barbu et sarcastique, spécialiste des failles web avant même que le web existe vraiment. Weld Pond (Chris Wysopal), le mec qui peut transformer n’importe quelle ligne de commande en interface graphique Windows. Kingpin (Joe Grand), le génie du hardware qui peut souder les yeux fermés. Stefan von Neumann, le cryptographe. Brian Oblivion, l’énigmatique. Et plus tard, Dildog (Christien Rioux), le gars qui code en assembleur pour le fun et qui créera Back Orifice, le trojan qui fera trembler Microsoft.

Pendant que les script kiddies s’amusent avec leurs outils téléchargés sur les BBS, les mecs de L0pht développent des outils qui vont révolutionner la sécurité informatique. Leur philosophie ? “Making the theoretical practical.” On pourrait traduire ça comme : on prend les vulnérabilités théoriques que les chercheurs trouvent dans leurs labos universitaires, et on code des exploits qui marchent vraiment. C’est de la recherche appliquée niveau cyber street cred !

La première bombe de L0pht, c’est L0phtCrack, sorti au printemps 1997. Mudge développe les algos de dictionnaire et de brute force dans un outil en ligne de commande. Le truc de base, quoi. Mais là où ça devient génial, c’est quand Weld Pond ajoute une interface graphique pour Windows. Parce que les admins Windows de l’époque, ils savent pas ce que c’est qu’un terminal. Et Dildog ? Il optimise tout en assembleur à la main. Du coup, un Pentium II 400 MHz de 1998 peut casser un mot de passe Windows NT de 8 caractères alphanumériques en une journée.

Le secret de L0phtCrack c’est qu’il exploite la faiblesse monumentale du hash LANMAN que Microsoft continue d’utiliser pour la rétrocompatibilité. Cette merde de protocole datant de l’époque où Steve Ballmer avait encore des cheveux divise les mots de passe en chunks de 7 caractères, les met en majuscules et les hashe séparément. Autant dire que niveau sécurité, c’est comme protéger Fort Knox avec un cadenas de vélo. Et le pire c’est que Microsoft stocke le hash LANMAN faible juste à côté du hash NTLM plus fort. Autant mettre la clé de chez vous sous le paillasson avec un panneau sur lequel il est écrit “La clé est ici”.

Bien sûr, Microsoft flippe sa race. Tellement que L0phtCrack les force finalement à désactiver LANMAN par défaut dans les versions ultérieures de Windows. Mais entre-temps, L0pht vend des milliers de licences de L0phtCrack à 100 dollars pièce. Les admins sys l’achètent pour “auditer” leurs réseaux… Et les hackers aussi, mais eux c’est pour “auditer” les réseaux des autres. Business is business !

Et le loft devient alors rapidement LE lieu de rassemblement de la scène hacker de Boston. Les mecs organisent des réunions hebdomadaires où ils partagent leurs découvertes. Mudge publie des papiers sur les buffer overflows qui deviendront des références et Space Rogue lance Hacker News Network (HNN) en 1998, l’un des premiers sites d’actualités sur la sécurité informatique. C’est l’ancêtre spirituel de tous les blogs sécu actuels.

Mais le moment qui fait entrer L0pht dans la légende, c’est le 19 mai 1998. Les sept membres sont convoqués devant le Comité sénatorial sur les affaires gouvernementales pour témoigner sur le thème “Weak Computer Security in Government”. Les sénateurs s’attendent à un show de geeks intimidés mais ce qu’ils obtiennent, c’est un électrochoc.

Le sénateur Fred Thompson (républicain du Tennessee et futur acteur dans Law & Order) pose LA question : “Pourriez-vous rendre Internet inutilisable pour toute la nation ?” Sans hésiter, Mudge répond : "C’est juste oui. En fait, l’un d’entre nous pourrait le faire avec juste quelques envois de paquets." Silence de mort dans la salle. Mudge continue : “L’Internet lui-même pourrait être mis hors service par n’importe lequel des sept individus assis devant vous avec 30 minutes de frappes bien orchestrées.”

La vulnérabilité en question dont parle Mudge ?

Une faille dans le protocole BGP (Border Gateway Protocol) que L0pht a découverte quelques temps avant. BGP, c’est le protocole qui permet aux routeurs d’Internet de savoir où envoyer les données. La faille permettrait de créer un effet boule de neige où quand un routeur tombe, il envoie des infos foireuses au suivant avant de mourir, qui les transmet au suivant avant de mourir, et ainsi de suite. En moins de 30 minutes, tout Internet s’effondrerait comme un château de cartes. Heureusement, les constructeurs ont déjà été prévenus et ont patché, mais la majorité des routeurs en production sont toujours vulnérables.

Space Rogue se souvient : “C’était l’idée de Mudge de lâcher cette bombe pendant le témoignage. On s’est dit que ça ferait réagir.” Et ça marche puisque ça fait beaucoup plus que réagir. Les médias s’emballent. CNN, NBC, tous les journaux en parlent. Pour la première fois, le grand public réalise qu’Internet, c’est pas juste magique, c’est aussi fragile. Et que des mecs en t-shirt Metallica peuvent le faire tomber depuis leur sous-sol.

Les sénateurs sont tellement impressionnés qu’ils demandent alors aux membres de L0pht de devenir consultants pour le gouvernement. John Tan raconte : “Ils nous ont proposé des badges et tout. On a dit qu’on préférait rester indépendants.” Mais l’impact est énorme et ce témoignage de L0pht marque le début de la prise de conscience sur la cybersécurité au niveau gouvernemental.

En parallèle de leur témoignage, Dildog travaille sur un projet qui va faire encore plus de bruit : Back Orifice. Présenté à DEF CON 6 en août 1998, c’est un outil d’administration à distance pour Windows qui fait exactement ce que fait le produit commercial de Microsoft (SMS - Systems Management Server), sauf qu’il est gratuit et qu’il peut être utilisé comme backdoor. Le nom est un jeu de mots sur Microsoft BackOffice. Très subtil.

Back Orifice permet donc de prendre le contrôle total d’une machine Windows 95/98/NT à savoir, voir l’écran, enregistrer les frappes clavier, transférer des fichiers, lancer des programmes. Le tout en 120 Ko. Microsoft pète un câble et qualifie ça de “malware”. Dildog répond : “C’est exactement ce que fait votre produit à 5000 dollars, sauf que le nôtre est gratuit et mieux codé.” Et paf, dans les dents !

La version 2000 de Back Orifice, sortie en 1999, est encore plus délirante. Elle supporte les plugins, le chiffrement, et peut même se cacher dans d’autres processus. Plus de 100 000 téléchargements en quelques semaines et les antivirus la détectent, mais Dildog sort des mises à jour plus vite qu’ils ne peuvent suivre. C’est le jeu du chat et de la souris, sauf que la souris code comme une dingue en assembleur.

Tout ce bordel attire alors l’attention des investisseurs et en 1999, le loft déménage dans de vrais bureaux à Watertown. Fini le T1 piraté, ils ont enfin une vraie connexion Internet maintenant et les membres commencent à gagner leur vie avec des consultations en sécurité. Mudge facture 1000 dollars de l’heure pour auditer des systèmes. Space Rogue vend des formations. Kingpin conçoit des badges électroniques sécurisés pour la DEF CON.

Et le 10 janvier 2000, c’est le tournant ! L0pht fusionne avec @stake, une startup de conseil en sécurité fondée par des anciens de Cambridge Technology Partners et leur idée c’est de combiner l’expertise technique de L0pht avec le côté business de @stake. Sur le papier, c’est génial. Dans la réalité, c’est le début de la fin.

Le moins qu’on puisse dire c’est que la transition est brutale. Space Rogue est viré du département marketing après quelques mois. “Ils voulaient que je porte un costume et que j’arrête de dire ‘fuck’ dans les réunions. J’ai dit que c’était pas négociable”. Et Mudge craque complètement. Il passe six mois en arrêt maladie pour dépression et quitte @stake après seulement deux ans. “On est passé de hackers qui changent le monde à consultants qui remplissent des PowerPoints. C’était déprimant.”

Les autres membres partent alors un par un. Kingpin retourne à l’électronique et devient une star de l’émission “Prototype This!” sur Discovery Channel. Stefan von Neumann disparaît dans la nature. Brian Oblivion aussi. Seul Nash reste jusqu’au bout, quand Symantec rachète @stake en 2004 pour 49 millions de dollars. À ce moment-là, il ne reste plus rien de l’esprit L0pht.

Mais certains rebondissent. Weld Pond et Dildog fondent Veracode en 2006, une boîte d’analyse de code qui cartonne qui est ensuite rachetée par Broadcom en 2018 pour 950 millions de dollars. Pas mal pour des anciens squatteurs ! Mudge rejoint la DARPA comme program manager où il lance le Cyber Fast Track, un programme pour financer la recherche en sécurité. Et il bosse ensuite chez Google, puis Stripe, puis Twitter comme chef de la sécurité (jusqu’à ce qu’Elon Musk le vire en 2022 après le rachat).

Space Rogue devient quant à lui strategist chez IBM X-Force. Il continue son blog et reste actif sur Twitter où il balance régulièrement sur l’industrie de la cybersécurité. “La moitié des boîtes de sécu actuelles vendent de la poudre de perlimpinpin. Au moins, nous, on cassait vraiment des trucs.”

Le 22 mai 2018, exactement 20 ans après leur témoignage historique, quatre membres originaux (Space Rogue, Weld Pond, Kingpin et Mudge) retournent à Washington pour un briefing intitulé “A Disaster Foretold - And Ignored”. Organisé par le Congressional Internet Caucus Academy et streamé sur Facebook (l’ironie !), ils font le bilan : “Internet était très fragile. Il est toujours très fragile. Et il y a probablement plus d’une façon de causer des problèmes similaires aujourd’hui qu’à l’époque.”

Mudge enfonce le clou : “En 1998, on parlait de 30 minutes pour faire tomber Internet. Aujourd’hui, avec l’IoT, les infrastructures critiques connectées, les voitures autonomes, on peut faire bien pire en bien moins de temps. Mais personne n’écoute vraiment. Les entreprises préfèrent investir dans le marketing que dans la sécurité.”

L’héritage de L0pht est immense. Ils ont montré qu’on pouvait être hacker ET légitime. Qu’on pouvait casser des systèmes pour les améliorer. Ils ont forcé Microsoft à revoir sa sécurité. Ils ont réveillé le gouvernement américain sur les cyber-menaces et ont inspiré toute une génération de chercheurs en sécurité.

Et aujourd’hui, L0phtCrack existe toujours !! Après plusieurs changements de propriétaire (Symantec, puis rachat par les auteurs originaux, puis Terahash, puis reprise pour défaut de paiement), il est devenu open source en 2022. La version 7 sortie en 2016 peut même casser les hash Windows 10 en quelques heures sur un GPU moderne. Et la version 8, encore en développement, promet de casser n’importe quel mot de passe Windows en moins d’une heure avec les bonnes ressources. Bref, 25 ans après sa création, l’outil reste une référence.

Le loft du 59 Hamilton Street n’existe plus évidemment. L’immeuble a été rénové et transformé en condos de luxe à 2 millions de dollars. Une plaque commémorative ? Non, rien. Pas même une mention sur Wikipedia de l’adresse exacte. C’est comme si l’histoire avait été effacée. Mais pour ceux qui savent, c’est là que tout a commencé, depuis un sous-sol pourri.

Aujourd’hui, la cybersécurité est une industrie de 200 milliards de dollars et des entreprises comme CrowdStrike valent plus que General Motors. Les bug bounties peuvent rapporter des millions, les hackers éthiques sont des rock stars qui donnent des conférences TED et tout ça, c’est aussi grâce à des pionniers comme L0pht qui ont montré que la sécurité informatique n’était pas un luxe mais une nécessité.

L0pht Heavy Industries, c’était l’âge d’or du hacking, quand on pouvait encore croire qu’on allait changer le monde avec du code et de l’idéalisme. C’était avant que tout devienne business, mise en conformité et certifications. C’était l’époque où être hacker voulait encore dire quelque chose et où “transformer le théorique en pratique”, n’était pas juste un slogan marketing mais une philosophie de vie.

Bref, L0pht, c’était les vrais, les OG, les hackers avant que ce soit cool. À vous de voir maintenant si vous préférez cette époque où on cassait des systèmes pour le fun et la gloire, ou aujourd’hui où on remplit des rapports de conformité pour des clients qui ne comprennent rien…

Sources : Washington Post - Net of Insecurity: A Disaster Foretold and Ignored, Space Rogue - Transcription of L0pht Testimony, Wikipedia - L0pht, Wikipedia - L0phtCrack, The Parallax - L0pht Hackers Return with Dire Warnings

Lors d'une conférence au Black Hat à Las Vegas, deux chercheurs allemands ont réalisé une démonstration marquante sur la cybersécurité spatiale. Pirater un satellite moderne pourrait s’avérer bien plus simple et bien moins coûteux que de le détruire avec un missile.

Une équipe de chercheurs en cybersécurité a démontré, à l’été 2025, les risques liés à l'intégration du LLM de Google Gemini au cœur des objets connectés du quotidien. Leur recherche, intitulée « Invitation Is All You Need », prouve que l'injection d'un simple prompt malveillant dans une invitation Google Calendar pourrait suffire à compromettre des systèmes censés rester sous le seul contrôle des utilisateurs.

Dell est au centre d'une alerte de cybersécurité depuis le 5 août 2025 et la découverte des failles « ReVault », qui touchent plus de 100 modèles de ses ordinateurs portables Latitude, Precision et XPS. Ces vulnérabilités dans la puce de sécurité ControlVault3 permettent à des attaquants d’accéder de façon persistante aux données sensibles et de contourner toutes les protections habituelles.