Y'a des génies du crime, et puis y'a Peter Stokes, alias Bouquet, 19 ans, presque toutes ses dents, double nationalité américano-estonienne, et surtout membre de Scattered Spider, le collectif qui a déjà plumé MGM et Caesars.

Le mec a tellement bien réussi son coup qu'il est parti se payer des vacances à Tokyo, sauf que pour fêter ça, en bon teubé, il a posté sur Snapchat des selfies de sa grosse tête avec un tout nouveau bijou : un collier en diamants HACK THE PLANET. Comme dans le film de 1995 mais en plus bling bling !

Hé bien grâce à ça, le FBI a fini par le coffrer lors de son escale d'Helsinki.

Bouquet (oui, j'ai pas précisé mais c'est son pseudo) opérait donc dans le groupe Scattered Spider, ce collectif d'ados anglophones qui ne s'embête pas avec des failles zero-day parce que de toute façon, ils ne sauraient pas les utiliser.

À la place, ils ont leur propre méthode super technique vous allez voir... ils appellent le support IT de la cible et embobinent un pauvre mec pour qu'il reset le 2FA d'un admin.

Et voilà comment notre cher Bouquet a pu sortir 100 Go de données d'un revendeur de produits de luxe (la plainte désigne sobrement la "Company F", mais ça pue Harrods d'après la presse anglaise) en seulement quelques heures, réclamé 8 millions de rançon, et causé plus de 2 millions de dégâts.

Du coup, plainte fédérale à Chicago, 6 chefs (wire fraud, conspiracy, computer intrusion comme ils disent là-bas avec l'accent cowboy), + extradition vers les USA en cours. C'est le bouquet final pour lui ! (Oui, jeu de mots, roh roh roh).

Tyler Buchanan, 24 ans, autre membre du club, a de son côté déjà plaidé coupable d'avoir empoché 8 millions en crypto via du SMS phishing. Faut dire qu'en 2024, le groupe envoyait fièrement des messages genre "Fuck off, FBI" aux agents fédéraux qui enquêtaient sur eux.

Très rebelles nos kikoulool ! Enfin, comme vous le savez, qui fait le malin tombe dans le ravin, et qui fait le mariole avec un collier finit avec des bracelets ^^. (J'ai pas trouvé mieux, déso... lol)

Bref, Bouquet vient à lui seul d'écrire le chapitre 1 du manuel "Comment ne PAS être un cybercriminel à succès" et dont la règle n°1 est : "Si t'es recherché par le FBI, ne montre pas ton butin sur Snapchat"

Source

Énorme retournement de situation. ShinyHunters, le groupe qui avait piraté Rockstar via Anodot mi-avril et exigé une rançon, a fini par balancer ses données sur internet quand l'éditeur a refusé de payer. Le but était de faire mal financièrement à Take-Two, sauf que les chiffres révélés étaient si impressionnants que l'effet a été l'exact opposé. En effet, l'action Take-Two est passée d'environ 202 dollars à presque 208 dollars en une matinée, soit une capitalisation boursière qui a pris à peu près un milliard de dollars dans la foulée. C'est fou !

Ce que les hackers ont mis en ligne, c'est notamment que GTA Online génère plus d'un million de dollars par jour , soit autour de 500 millions par an. Et tout cela, 13 ans après le lancement sur 5 plateformes différentes, simplement grâce aux Shark Cards (les cartes prépayées du jeu). Pour un éditeur qui s'apprête à sortir son GTA 6 en novembre prochain, faut dire que ce genre de stats montre qu'ils ont les reins hyper solides, ce qui rassure les investisseurs.

Bref, au lieu de sanctionner Take-Two pour la fuite de données et la faille Anodot, Wall Street y a simplement vu la confirmation de ce que tout le monde soupçonnait : la machine à cash de Rockstar tourne à plein régime, et un éventuel GTA 6 au même niveau de monétisation, même partielle, ferait exploser les compteurs !!

Rockstar a également publié une déclaration courte et carrée pour dire que la violation n'aurait pas d'impact sur le studio ou le dev de GTA 6. Rien de plus...

C'est donc un retournement de situation assez fou côté où des hackers, en cherchant à frapper l'éditeur au portefeuille, lui ont en fait permis de gonfler sa capitalisation d'un milliard. Difficile de faire pire en termes de coup raté ^^. A moins que les gens de ShinyHunters aient fait un peu de délit d'initié en amont avant de leaker les données... allez savoir ??

Reste à voir si la SEC ou les autorités européennes voudront enquêter sur cette fuite, sachant qu'au passage des données salariés et de joueurs ont aussi été exposées. Quoiqu'il en soit, côté marché, c'est plié et le cours de l'action est resté bien haut !

Source

Fin de partie pour la riposte graduée. Le Conseil d'État a déclaré illégale, le 30 avril 2026, la phase la plus dure du dispositif anti-piratage Arcom, héritier de la Hadopi.

La décision s'applique immédiatement et décapite le système après 17 ans de chasse aux téléchargeurs sur les réseaux peer-to-peer. La Quadrature du Net, qui pilote le contentieux depuis 2019, a publié dans la foulée un bilan intitulé "Hadopi (2009-2026)".

Concrètement, deux failles ont été retenues. La juridiction a constaté que le décret de 2010 n'oblige nulle part les opérateurs à stocker les adresses IP dans "un compartiment totalement isolé", comme l'avait pourtant exigé la Cour de justice de l'Union européenne en avril 2024.

Et surtout, la troisième étape de la riposte graduée, celle qui transmet votre dossier au procureur après deux avertissements ignorés, ne prévoyait aucune autorisation judiciaire préalable. Du coup, les sanctions pénales, jusqu'à 1 500 euros d'amende et 3 000 euros en cas de récidive, ne peuvent plus être déclenchées.

Les deux premiers étages tiennent quand même encore debout. Si vous récupérez un torrent illégal demain, l'Arcom peut toujours vous envoyer un email d'avertissement, puis une lettre recommandée. Mais l'arme dissuasive, le passage devant le juge, exige désormais qu'un magistrat valide d'abord l'identification de l'abonné, et que les données aient été stockées dans le respect du droit européen.

Côté Arcom, l'institution prépare déjà une bascule sur le blocage de sites pirates et le déréférencement, c'est-à-dire la pression sur les intermédiaires plutôt que sur vous, particuliers.

Pour rappel, Hadopi a été lancée en 2009 sous le gouvernement Sarkozy, puis fusionnée avec le CSA en 2021 pour devenir l'Arcom. Le bilan ? Environ 13 millions d'avertissements envoyés et seulement 500 jugements rendus en 17 ans.

Soit un taux de conversion qui ferait glousser n'importe quel directeur commercial. La Quadrature, qui a mené le contentieux avec FDN et Franciliens.net, parle aujourd'hui d'une "victoire" pour les droits fondamentaux et appelle à ne pas ressusciter le dispositif sous une autre forme.

La Quadrature rappelle que le dispositif a surtout servi à criminaliser le partage culturel non-marchand entre internautes, sans jamais améliorer la rémunération des artistes ni endiguer le piratage à grande échelle.

Le streaming illégal, les plateformes IPTV, les sites de direct download : tout ça a continué à prospérer pendant que l'Autorité s'acharnait sur les utilisateurs de torrents. À côté, l'industrie culturelle a fini par s'adapter avec Spotify, Deezer ou Netflix, sans qu'on ait eu besoin de surveiller les abonnés de manière excessive.

Bref, on aura mis 17 ans à constater que ficher massivement les internautes sans contrôle judiciaire, c'est illégal, mais on s'en est toujours douté.

Source : La Quadrature du Net

Le Conseil d'État annule plusieurs dispositions du décret de 2010 qui permet à Hadopi de s'attaquer aux pirates en plusieurs étapes (le principe de riposte graduée, avec un envoi devant le juge au troisième mail). Saisie en 2019, la juridiction administrative juge que le cœur du dispositif anti-piratage n'est pas conforme au droit européen.

Le Conseil d'État annule plusieurs dispositions du décret de 2010 qui permet à Hadopi de s'attaquer aux pirates en plusieurs étapes (le principe de riposte graduée, avec un envoi devant le juge au troisième mail). Saisie en 2019, la juridiction administrative juge que le cœur du dispositif anti-piratage n'est pas conforme au droit européen.

Coup dur pour DNS4EU. Le résolveur DNS public co-financé par la Commission européenne, présenté il y a moins d'un an comme l'alternative souveraine à Google et Cloudflare, doit désormais bloquer une trentaine de domaines de streaming pirate, sur ordre du tribunal judiciaire de Paris.

La décision date du 17 avril, après deux ordonnances réclamées par Canal+ et restées sans réponse côté défense.

Concrètement, l'ordonnance vise 37 domaines au total, répartis entre 16 sites qui diffusaient illégalement le MotoGP et 21 autres qui faisaient pareil avec la Formule 1. On y retrouve des grands classiques de l'IPTV pirate comme daddylive3.com, iptvsupra.com ou king365tv.me.

Whalebone, la société tchèque qui opère DNS4EU pour le compte de l'Union européenne, doit donc rentrer ces noms de domaine dans son moteur de blocage et empêcher leur résolution depuis la France.

Sauf que la mesure déborde déjà du territoire français. Le blocage est appliqué même pour des utilisateurs basés hors de France, ce qui pose une vraie question de juridiction et de portée extraterritoriale d'une décision parisienne sur un service censé desservir 450 millions d'Européens. 

Bref, le DNS public européen finit par être plus restrictif que prévu, et pas vraiment dans le sens où Bruxelles l'avait vendu.

L'autre détail gênant : Whalebone n'a même pas comparu à l'audience du 19 février. Le tribunal a donc statué par défaut, en faveur de Canal+, sans le moindre argument contradictoire. Difficile de mieux perdre un procès.

La société tchèque, qui s'est vendue auprès de Bruxelles comme un acteur clé de la souveraineté numérique européenne, va devoir s'expliquer sur cette absence.

En pratique, ce genre de blocage DNS reste contournable en quelques minutes par n'importe quel utilisateur un peu débrouillard, qui n'a qu'à changer son résolveur dans les paramètres système pour pointer ailleurs. Mais la portée symbolique est assez moche, parce qu'elle inscrit DNS4EU dans la même logique de contrôle que les services qu'il prétendait justement remplacer.

Et ce n'est pas la première fois que la justice française élargit le périmètre. Depuis 2024, les ordonnances de blocage anti-piratage ont visé successivement les FAI, puis les résolveurs DNS de Google, Cloudflare et Cisco, puis les VPN comme NordVPN ou ExpressVPN, et désormais le DNS souverain européen lui-même.

Canal+ s'appuie à chaque fois sur l'article L.333-10 du Code du sport, qui permet de viser "toute personne susceptible de contribuer" à remédier au piratage.

Bref, un DNS public financé par l'UE pour protéger les Européens, qui finit forcé de filtrer hors de ses frontières par un tribunal national. C'est un peu n'importe quoi.

Source : TorrentFreak

Pour qui n'a jamais fouillé là-dedans, Denuvo est le système anti-piratage le plus utilisé sur les jeux PC depuis 2014. Édité par une boîte autrichienne, il s'ajoute aux jeux pour les empêcher de tourner sans autorisation, et il a longtemps été considéré comme imperforable.

Mauvaise nouvelle pour ses clients : le 27 avril, le fil Reddit qui suivait l'état des jeux Denuvo encore non cassés est tombé à zéro. Tous les jeux solo protégés par Denuvo ont désormais une version pirate qui marche, dont les blockbusters récents comme Resident Evil: Requiem.

Deux équipes ont fait le boulot avec deux approches différentes. Un collectif appelé MKDev, associé à un développeur sous le pseudo DenuvOwO, a publié fin 2025 un programme qui s'installe au plus bas niveau de Windows et fait croire à Denuvo qu'il dialogue normalement avec un système autorisé.

Pas besoin de modifier le jeu lui-même, le programme se positionne entre Denuvo et le système. En parallèle, un cracker connu sous le nom de voices38 a fait un travail plus radical en retirant carrément Denuvo de plusieurs jeux récents, dont le dernier Resident Evil. Ces versions ont été relayées par FitGirl, figure historique de la scène pirate.

Denuvo et 2K Games, l'éditeur de NBA 2K et de Marvel's Midnight Suns, n'ont pas attendu pour répliquer. Plusieurs jeux récents ont reçu une mise à jour qui ajoute une vérification en ligne tous les 14 jours. 

Concrètement, votre jeu reçoit une sorte de ticket numérique qui expire au bout de deux semaines. Quand le ticket arrive à expiration, le jeu refuse de se lancer tant que votre PC n'a pas reconnecté les serveurs Denuvo pour en obtenir un nouveau. C'est le retour des vérifications en ligne forcées sur des jeux solo, modèle qu'on croyait remisé au placard depuis le naufrage de SimCity en 2013, où le jeu refusait de se lancer sans connexion permanente alors qu'il se jouait pourtant en solo.

Pour éviter une vérification en ligne, il faut soit fabriquer de faux tickets signés (impossible sans la clé secrète des serveurs Denuvo), soit retirer entièrement le système de vérification du jeu, ce qui demande beaucoup plus de travail que la technique précédente. Les crackers vont devoir se remettre à l'ouvrage.

Sauf que voilà, la mesure punit en premier ceux qui ont payé leur jeu. Si vous êtes en déplacement professionnel sans Wi-Fi, en train, sur un bateau, dans un coin où la 4G ne passe pas, ou simplement si les serveurs Denuvo tombent un soir, vous ne pouvez plus lancer NBA 2K26 que vous avez acheté 70 euros. Les pirates qui passeront par une version débarrassée de Denuvo n'auront, eux, jamais ce souci. La logique habituelle des protections anti-piratage agressives donc.

Vous l'avez compris, Denuvo a perdu sa bataille technique et se rabat sur des contraintes en ligne qui dégradent l'expérience des clients réels. C'est pénible.

Source : Tom's Hardware

Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.

Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.

Vercel, c'est la plateforme d'hébergement web utilisée par des milliers de développeurs et d'entreprises pour déployer leurs sites et applications (c'est eux qui font Next.js, entre autres).

Un de leurs employés s'est inscrit sur Context.ai, un assistant IA pour la bureautique, en utilisant son compte professionnel Google. Au moment de l'installation, l'app a demandé l'accès à ses emails, ses fichiers, son agenda, bref tout le Google Workspace de la boîte. Il a cliqué "autoriser tout". Erreur classique.

Sauf que Context.ai s'est fait pirater en février. Un de leurs propres employés a chopé un malware (Lumma, un voleur de mots de passe) en téléchargeant des scripts de triche pour Roblox. Le genre de bêtise qui ouvre la porte à tout le reste.

L'attaquant a récupéré l'accès que Context.ai avait sur le Google Workspace de Vercel, avec des permissions très larges : emails, fichiers internes, infrastructure de déploiement.

ShinyHunters, un groupe de pirates connu, a revendiqué le coup sur un forum et mis en vente des clés d'accès, du code source, des données de bases et des clés API de Vercel.

Le PDG de Vercel estime que le nombre de clients touchés est "assez limité", sans donner de chiffres. Mais côté crypto, plusieurs projets hébergés sur la plateforme ont quand même lancé en urgence un changement de tous leurs mots de passe et clés d'accès, ce qui donne une idée de l'ambiance.

Ce qui rend cette affaire intéressante, c'est le mécanisme. Personne chez Vercel n'a été directement attaqué. C'est un outil tiers, un outil IA installé par un employé, qui a servi de pont. L'employé donne un accès large à un service externe, le service se fait pirater trois mois plus tard, et tout le contenu professionnel de l'entreprise se retrouve exposé.

C'est exactement le scénario que les experts en sécurité décrivent depuis un an quand ils parlent des outils IA qui demandent des permissions tentaculaires sur vos comptes pro.

Bref, le vrai problème n'est pas Vercel. C'est le "autoriser tout" sur un outil IA qu'un employé a installé sans se poser de questions.

Source : SecurityWeek

Dans un article de blog publié le 16 avril 2026, les chercheurs de Proofpoint retracent la manière dont ils ont infiltré un groupe criminel spécialisé dans le vol de marchandises physiques via des cyberattaques ciblant l’industrie du transport routier.

Dans un article de blog publié le 1er avril 2026, les chercheurs de Zscaler ThreatLabz ont mis en lumière une campagne cybercriminelle opportuniste : des acteurs malveillants ont exploité la récente fuite du code source de Claude Code pour piéger des développeurs et leur faire télécharger des infostealers.

Un épisode de la série suédoise High Chaparral, uploadé le 25 mars 2004 sur The Pirate Bay, est toujours partagé aujourd'hui. Vingt-deux ans plus tard, des pirates le seedent encore, non pas pour le contenu, mais juste pour le symbole. Un record de longévité qui en dit long sur la culture du torrent, et sur la résistance du site le plus traqué du web.

Un fichier devenu culte

Tout a commencé par un épisode d'une émission de télé suédoise, High Chaparral, avec un passage du célèbre Uri Geller. Le fichier a été uploadé sur The Pirate Bay le 25 mars 2004, quelques mois après le lancement du site. Et il est toujours là. Selon les données d'OpenTrackr.org, quatre seeders partagent encore le fichier complet en 2026. Personne ne le télécharge pour le contenu, on est d'accord.

C'est devenu un trophée, un petit monument du piratage. Quelques semaines après la mise en ligne, des utilisateurs se plaignaient déjà de rester bloqués à 99 %. Le fichier a failli disparaître, mais des irréductibles l'ont maintenu en vie, année après année.

Des torrents qui refusent de mourir

Le deuxième plus vieux torrent du site date du 31 mars 2004, six jours après. C'est une copie du documentaire Revolution OS, qui retrace l'histoire de Linux et du logiciel libre. Plus de 33 personnes le partagent encore activement. Son réalisateur, J.T.S. Moore, avait d'ailleurs exprimé son mécontentement face au piratage de son film, tout en reconnaissant que ça lui avait donné une longévité inattendue.

Et puis il y a The Fanimatrix, un fan-film inspiré de Matrix, créé en septembre 2003. Celui-là n'est pas hébergé sur The Pirate Bay mais il détient le record du plus vieux torrent actif au monde, avec des dizaines de seeders fidèles au poste. Tourné en Nouvelle-Zélande avec 800 dollars de budget, dont la moitié partie dans un blouson en cuir, il avait été téléchargé 70 000 fois la première semaine.

Si vous vous demandez pourquoi BitTorrent a eu autant de succès à l'époque, voilà un début de réponse : le protocole leur avait économisé environ 550 000 dollars de bande passante.

The Pirate Bay, le survivant

The Pirate Bay a enterré à peu près tous ses concurrents. TorrentSpy, Mininova, isoHunt, KickassTorrents, ExtraTorrent, RARBG, TorrentGalaxy, la liste est longue. Le site tourne encore, même si on ne peut pas dire qu'il soit en grande forme.

L'inscription ne fonctionne plus, les commentaires non plus, et l'interface n'a pas bougé depuis des années. Mais il reste debout, ce qui en soi est un exploit. Ses trois fondateurs, Gottfrid Svartholm, Fredrik Neij et Peter Sunde, ont tous été condamnés en 2009 à un an de prison et 30 millions de couronnes suédoises d'amende. Le site a changé de mains, de serveurs, de pays, mais il est toujours là.

Internet a changé dix fois depuis 2004, les services de streaming se sont multipliés, et des gens continuent de partager un épisode de télé suédoise que personne ne regarde. Juste parce que c'est le plus vieux. On est quelque part entre la résistance numérique et la collection de timbres, version geek. The Pirate Bay lui-même est devenu une sorte de vestige, un site qui fonctionne à moitié mais que personne n'arrive à faire disparaître. Difficile de ne pas trouver ça un peu fascinant.

Source : Torrent Freak

la Commission européenne a confirmé le 27 mars avoir été victime d'une cyberattaque visant l'infrastructure cloud de sa plateforme Europa.eu. Le groupe ShinyHunters revendique l'opération et affirme avoir exfiltré plus de 350 Go de données.

Le 15 mars 2026, un attaquant s'est introduit dans COMPAS, le système de gestion RH des enseignants stagiaires du ministère de l'Éducation nationale, en usurpant les identifiants d'un compte externe. Il a fallu quatre jours pour détecter l'intrusion. Entre-temps, les données personnelles de 243 000 agents avaient déjà été extraites, et une partie circulerait désormais en ligne.

Un agent IA autonome aurait piraté en moins de deux heures l'IA interne du cabinet de conseil McKinsey & Company. C'est en tout cas ce qu'affirme la startup de cybersécurité CodeWall, dont l'agent a pu avoir un accès total à la base de données de production. Sans mot de passe volé. Sans complice interne. Sans intervention humaine.

L'actualité de la semaine en trois mots-clés : compromission, paléontologie et automobile.