Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

C’est l’histoire d’une hackeuse qui a littéralement fait trembler Intel, Microsoft et toute l’industrie de la sécurité et qui a prouvé qu’on ne pouvait JAMAIS faire confiance à un ordinateur.

Je ne me souviens absolument pas du jour où j’ai découvert Blue Pill mais c’est en août 2006, lors de la présentation de Joanna Rutkowska à Black Hat, que le monde a découvert cet outil. Les forums de sécurité étaient en ébullition totale car une hackeuse polonaise de 25 ans venait de démontrer comment créer un rootkit 100% indétectable en utilisant de la virtualisation hardware. Les experts étaient alors partagés entre l’admiration et la terreur absolue.

Comment une chercheuse inconnue du grand public avait-elle pu mettre à genoux toute l’industrie et devenir quelques années plus tard, l’architecte de l’OS le plus sécurisé au monde ? Je vais tout vous raconter…

Joanna Rutkowska naît en 1981 à Varsovie, dans une Pologne encore sous régime communiste. Quand elle débarque sur Terre, Solidarność vient juste d’être interdit et le général Jaruzelski impose la loi martiale. C’est dans ce contexte politique super tendu qu’elle grandit, dans une ville où l’accès à la technologie occidentale reste un luxe rare.

En 1992, à 11 ans, Joanna découvre son premier ordinateur. Un PC/AT 286 avec un processeur à 16 MHz, 2 MB de RAM et un disque dur de 40 MB. Pour une gamine de cet âge dans la Pologne post-communiste, c’est comme trouver un trésor. Alors pendant que ses copines jouent à la poupée Barbie, Joanna passe ses journées devant l’écran monochrome, fascinée par ce monde binaire.

Elle commence par apprendre GW-BASIC, puis découvre Borland Turbo Basic. Les lignes de code défilent, les programmes prennent vie. C’est magique ! Elle passe des heures à créer des petits jeux, des utilitaires et tout ce qui lui passe par la tête. Mais très vite, le BASIC ne lui suffit plus. Elle veut comprendre comment fonctionne VRAIMENT la machine.

L’adolescence de Joanna est marquée par une curiosité dévorante pour les entrailles des systèmes. Elle se plonge dans la programmation assembleur x86, le langage le plus proche du hardware. C’est hardcore, c’est complexe, mais c’est exactement ce qu’elle cherche. Elle veut tout contrôler, tout comprendre, tout maîtriser jusqu’au dernier registre du processeur.

Alors elle ne se contente pas d’apprendre. Elle expérimente, crée ses premiers virus. Pas pour nuire hein, mais pour comprendre. Comment un programme peut-il se répliquer ? Comment peut-il se cacher ? Comment peut-il survivre ? Ces questions l’obsèdent. Elle passe ses nuits à désassembler des programmes, à tracer leur exécution instruction par instruction.

Et au milieu des années 90, quelque chose change. Les maths et l’intelligence artificielle commencent à la fasciner. Elle découvre les réseaux de neurones, les algorithmes génétiques, et tout ce qui touche à l’IA naissante. Elle dévore les whitepapers de recherche, implémente des prototypes. Et cette même passion qu’elle avait mise dans l’assembleur, elle la met maintenant dans l’IA.

Parallèlement, elle découvre Linux et le monde de l’open source et c’est une révélation totale ! Un système d’exploitation dont on peut lire le code source, c’est fou ! Elle peut enfin voir comment fonctionne vraiment un OS moderne. Elle compile son premier kernel, le modifie, le recompile. Elle apprend la programmation système, les drivers, les mécanismes de sécurité du kernel.

Puis à la fin des années 90, Joanna fait un choix crucial. Elle retourne à sa première passion : la sécurité informatique. Mais cette fois avec une approche différente. Elle ne veut plus créer des virus pour le fun, non, elle veut comprendre comment sécuriser les systèmes, comment les protéger, comment détecter les attaques les plus sophistiquées.

Alors elle s’inscrit à l’Université de Technologie de Varsovie (Warsaw University of Technology), l’une des meilleures facs d’informatique de Pologne et là, elle approfondit ses connaissances théoriques tout en continuant ses recherches personnelles sur les exploits Linux x86 et Win32 puis finit par se spécialiser dans la sécurité système, un domaine encore peu exploré à l’époque.

Son mémoire de master porte sur les techniques de dissimulation des malwares. Elle y développe des concepts qui préfigurent déjà ses futures recherches. Comment un programme malveillant peut-il se rendre totalement invisible ? Comment peut-il tromper les outils de détection les plus sophistiqués ? Ses profs sont bluffés par la profondeur de son analyse.

Diplômée, Joanna commence à bosser comme consultante en sécurité, mais très vite, elle réalise que le consulting ne la satisfait pas. Elle veut faire de la recherche pure et dure, explorer les limites de ce qui est possible, repousser les frontières de la sécurité informatique. Pas juste auditer des systèmes pour des clients corporate.

C’est à cette époque qu’elle commence à s’intéresser à la virtualisation. Intel et AMD viennent de sortir leurs nouvelles extensions de virtualisation hardware : VT-x et AMD-V. Pour la plupart des gens, c’est juste une amélioration technique pour faire tourner des VMs plus efficacement mais pour Joanna, c’est bien plus que ça. C’est une nouvelle surface d’attaque.

Elle passe des mois à étudier ces nouvelles technologies. Elle lit les manuels Intel de 3000 pages (oui, 3000 !), analyse chaque instruction, comprend chaque mécanisme. Les opcodes VMXON, VMXOFF, VMRESUME deviennent ses meilleurs amis et petit à petit, une idée germe dans son esprit génial.

Et si on pouvait utiliser la virtualisation non pas pour protéger, mais pour attaquer ? Et si on pouvait créer un hyperviseur malveillant qui prendrait le contrôle total d’un système sans que personne ne s’en aperçoive ? Un rootkit qui s’exécuterait à un niveau encore plus bas que le kernel, dans le ring -1 comme on dit.

L’idée est révolutionnaire car jusqu’alors, les rootkits devaient modifier le kernel, laissaient des traces, et étaient détectables d’une manière ou d’une autre. Mais avec la virtualisation hardware, on pourrait créer un rootkit qui contrôle le système d’exploitation lui-même sans jamais le toucher. Le rootkit parfait en somme…

En 2006, Joanna est prête. Elle a développé une preuve de concept qu’elle appelle “Blue Pill”, en référence à la pilule bleue de Matrix. Le nom est parfait car comme dans le film, le système d’exploitation continue de vivre dans une réalité virtuelle sans se douter qu’il est contrôlé par une entité supérieure. “Your operating system swallows the Blue Pill and it awakes inside the Matrix”, comme elle le dira.

À cette époque, Joanna bosse pour COSEINC Research, une boîte de sécurité basée à Singapour et ce sont eux qui financent ses recherches sur Blue Pill. Mais attention, Blue Pill n’est pas destiné à être vendu ou distribué. C’est exclusivement pour la recherche, simplement pour “prouver le concept” (PoC).

Le 3 août 2006, Las Vegas. C’est l’heure de la Black Hat, LA conférence de sécurité la plus prestigieuse au monde. Joanna monte sur scène, elle a 25 ans, elle est inconnue du grand public américain, et elle s’apprête à bouleverser le monde de la cybersécurité.

“The idea behind Blue Pill is simple”, commence-t-elle avec son accent polonais caractéristique, “Your operating system swallows the Blue Pill and it awakes inside the Matrix controlled by the ultra-thin Blue Pill hypervisor.”

La salle est bondée. Les experts sont venus voir cette jeune chercheuse polonaise qui prétend avoir créé un rootkit indétectable. Certains sont sceptiques. D’autres curieux. Personne ne s’attend à ce qui va suivre.

Joanna lance sa démo. En quelques secondes, elle installe Blue Pill sur un système Windows Vista en cours d’exécution. Pas de redémarrage. Pas de modification visible. Le système continue de fonctionner normalement, sauf qu’il est maintenant entièrement sous le contrôle de Blue Pill.

Elle montre alors comment Blue Pill peut intercepter tous les appels système, modifier les résultats, cacher des processus, des fichiers, des connexions réseau. Tout ça sans toucher à un seul octet du kernel Windows. Les outils de détection de rootkits ne voient rien, les antivirus sont aveugles et le système lui-même n’a aucune idée qu’il s’exécute dans la machine virtuelle.

Le plus fou c’est que Blue Pill n’exploite aucun bug dans AMD-V ou Intel VT-x. Il utilise uniquement les fonctionnalités documentées. Ce n’est pas un exploit, c’est une utilisation créative de la technologie. “Blue Pill does *not* rely on any bug in Pacifica neither in OS”, précise-t-elle.

La démonstration se termine. Un silence de cathédrale règne dans la salle. Puis les applaudissements explosent. Les experts présents réalisent qu’ils viennent d’assister à quelque chose d’historique. Joanna Rutkowska vient de prouver que la virtualisation hardware peut être “weaponisée”.

L’impact est immédiat et dévastateur et les médias s’emparent de l’histoire. eWeek Magazine la nomme parmi les “Five Hackers who put a mark on 2006”. Les forums de sécurité s’enflamment et les débats font rage. Est-ce vraiment indétectable ? Comment se protéger ? Faut-il interdire la virtualisation hardware ?

Microsoft est en panique totale. Leur nouveau Vista, qui devait être le système le plus sécurisé jamais créé, vient d’être compromis par une hackeuse de 25 ans et surtout, Intel n’est pas mieux car leur technologie VT-x, censée améliorer la sécurité, devient soudain une menace. Même AMD essaie de minimiser, publiant un communiqué disant que Blue Pill n’est pas vraiment “indétectable”.

Mais Joanna ne s’arrête pas là et dans les mois qui suivent, elle publie plus de détails techniques sur son blog “The Invisible Things”. Elle explique comment Blue Pill fonctionne, les défis techniques qu’elle a dû surmonter. Bien sûr, elle ne publie pas le code source complet (COSEINC garde ça pour leurs trainings), mais elle donne assez d’infos pour que d’autres chercheurs comprennent.

Et en 2007, la controverse atteint son paroxysme. Trois chercheurs en sécurité de renom, Thomas Ptacek de Matasano Security, Nate Lawson de Root Labs et Peter Ferrie de Symantec, défient publiquement Joanna. Ils prétendent avoir développé des techniques pour détecter Blue Pill et ils lui proposent un duel à Black Hat 2007.

Leur présentation s’intitule “Don’t Tell Joanna: The Virtualised Rootkit Is Dead”. Ils veulent prouver que Blue Pill n’est pas si indétectable que ça alors ils proposent un challenge : leur détecteur contre le rootkit de Joanna. Que le meilleur gagne !

Joanna accepte le défi, mais à une condition : Elle demande 384 000 dollars pour participer. Pas par cupidité, mais pour border le projet car ce qu’elle a maintenant, c’est un prototype et pour en faire quelque chose de vraiment “hard to detect”, il faudrait deux personnes à plein temps pendant six mois à 200 dollars de l’heure. Elle et Alexander Tereshkin ont déjà investi quatre mois-personnes et il en faudrait douze de plus pour avoir un vrai rootkit de production.

Certains disent qu’elle a peur de perdre, d’autres comprennent sa position et que le montant demandé représente le coût réel du développement d’un rootkit de production, et pas juste une preuve de concept académique.

Finalement, le duel n’aura pas lieu et les deux parties s’accordent sur le fait qu’en l’état actuel, Blue Pill n’est pas prêt pour un tel challenge. Mais les chercheurs présentent quand même leur talk. Joanna et Alexander Tereshkin contre-attaquent avec leur propre présentation, démontrant que les méthodes de détection proposées sont imprécises et facilement contournables.

En avril 2007, au milieu de cette tempête médiatique, Joanna prend alors une décision qui va changer sa vie. Elle fonde Invisible Things Lab (ITL) à Varsovie. L’idée est simple : créer un laboratoire de recherche indépendant, focalisé sur la sécurité système au plus bas niveau. Pas de produits commerciaux, pas de bullshit marketing. Juste de la recherche pure et dure.

ITL attire rapidement les meilleurs talents. Alexander Tereshkin, un génie russe de la sécurité hardware. Rafał Wojtczuk, un expert polonais des systèmes d’exploitation qui deviendra son bras droit pendant des années. Ensemble, ils forment une dream team de la sécurité offensive. Et leur première cible majeure c’est Intel Trusted Execution Technology (TXT).

C’est une technologie qui est censée garantir qu’un système démarre dans un état sûr, non compromis. C’est le Saint Graal de la sécurité à savoir un boot de confiance, vérifié par le hardware. Intel en fait la promotion comme LA solution contre les rootkits.

Alors en janvier 2009, Joanna et Rafał frappent fort et publient une attaque dévastatrice contre Intel TXT. Le point faible c’est le System Management Mode (SMM), un mode d’exécution spécial du processeur qui a plus de privilèges que tout le reste, y compris l’hyperviseur. C’est le ring -2, encore plus profond que le ring -1 de Blue Pill !

Leur découverte est brillante dans sa simplicité car TXT vérifie l’intégrité du système au démarrage, mais il ne vérifie pas le code SMM. Si un attaquant parvient à infecter le SMM avant le boot, il peut alors survivre au processus de démarrage sécurisé et compromettre le système “de confiance”. Pour prouver leur dires, ils créent un rootkit SMM qui s’installe via une vulnérabilité de cache poisoning et une fois en place, il peut compromettre n’importe quel système, même après un boot TXT “sécurisé”. Ils démontrent ainsi l’attaque en ajoutant une backdoor au hyperviseur Xen.

Game over pour Intel TXT.

Intel est furieux. Non seulement leur technologie phare vient d’être cassée, mais Joanna révèle que des employés Intel avaient alerté le management sur cette vulnérabilité dès 2005. Trois ans d’inaction. Trois ans pendant lesquels les clients ont cru être protégés alors qu’ils ne l’étaient pas. C’est un scandale.

Face au silence d’Intel, Joanna et Rafał décident de leur forcer la main. En mars 2009, ils annoncent qu’ils vont publier le code complet de leur exploit SMM. C’est un coup de poker risqué car publier un exploit aussi puissant pourrait être dangereux, mais c’est le seul moyen de forcer Intel à agir.

Heureusement, la stratégie fonctionne et Intel se met enfin au boulot pour pondre des correctifs. Mais le problème est complexe car il ne s’agit pas juste de patcher un bug. Il faut repenser toute l’architecture de confiance, développer un “SMM Transfer Monitor” (STM), convaincre les fabricants de BIOS de l’implémenter. Ça va prendre des années.

Pendant ce temps, Joanna continue d’explorer d’autres angles d’attaque. Elle s’intéresse particulièrement aux attaques physiques. C’est dans ce contexte qu’elle invente un concept qui va entrer dans l’histoire : l’attaque “Evil Maid”.

L’idée lui vient lors d’un voyage. Elle réalise que même avec le chiffrement intégral du disque, un laptop laissé dans une chambre d’hôtel reste vulnérable. Une femme de chambre malveillante (d’où le nom “Evil Maid”) pourrait booter l’ordinateur sur une clé USB, installer un keylogger dans le bootloader, et capturer le mot de passe de déchiffrement lors du prochain démarrage.

En 2009, elle publie alors une preuve de concept contre TrueCrypt, le logiciel de chiffrement le plus populaire de l’époque. L’attaque est élégante : une clé USB bootable qui modifie TrueCrypt pour enregistrer le mot de passe. L’utilisateur revient, tape son mot de passe, et hop, il est enregistré sur le disque. L’attaquant n’a plus qu’à revenir pour le récupérer.

Le terme “Evil Maid attack” entre immédiatement dans le vocabulaire de la sécurité car il capture parfaitement la vulnérabilité fondamentale des appareils laissés sans surveillance. Même avec les meilleures protections logicielles, un accès physique change tout. C’est devenu un classique, au même titre que “man-in-the-middle” ou “buffer overflow”. Mais Joanna ne se contente pas de casser des choses… Elle veut aussi construire et c’est là que naît son projet le plus ambitieux : Qubes OS.

L’idée de Qubes germe depuis longtemps dans son esprit, car après des années à découvrir faille sur faille, elle réalise une vérité fondamentale : aucun système n’est sûr. Il y aura toujours des bugs, toujours des vulnérabilités. La question n’est donc pas “si” mais “quand” un système sera compromis.

Alors plutôt que d’essayer de créer un système parfait (mission impossible), pourquoi ne pas créer un système qui assume qu’il sera compromis ? Un système où la compromission d’une partie n’affectera pas le reste ? C’est le concept de “security by compartmentalization”, la sécurité par compartimentation.

En 2010, elle s’associe avec Rafał Wojtczuk et Marek Marczykowski-Górecki pour concrétiser cette vision. Qubes OS est basé sur Xen, un hyperviseur bare-metal mais au lieu d’utiliser Xen pour faire tourner plusieurs OS complets, Qubes l’utilise pour créer des dizaines de machines virtuelles légères, chacune dédiée à une tâche spécifique. Vous voulez surfer sur des sites douteux ? Une VM dédiée isolée. Faire du banking en ligne ? Une autre VM. Travailler sur des documents sensibles ? Encore une autre VM. Chaque VM est isolée des autres, comma ça, si l’une est compromise par un malware, les autres restent safe. C’est loin d’être con !

Mais Qubes va encore plus loin. Il utilise des VMs spécialisées pour les tâches critiques. NetVM gère uniquement le réseau. USB VM gère les périphériques USB (super dangereux). AudioVM gère le son. Ainsi, même si un driver est compromis, il ne peut pas accéder au reste du système. L’isolation est totale.

Le développement de Qubes est un défi monumental car il faut repenser toute l’expérience utilisateur. Comment faire pour que l’utilisateur lambda puisse utiliser des dizaines de VMs sans devenir fou ? Comment gérer le copier-coller entre VMs de manière sécurisée ? Comment partager des fichiers sans compromettre l’isolation ?

Joanna et son équipe passent ainsi deux ans à résoudre ces problèmes. Ils créent des mécanismes élégants pour que tout soit transparent. Les fenêtres des différentes VMs s’affichent sur le même bureau, avec des bordures colorées pour indiquer leur niveau de sécurité (rouge pour non fiable, jaune pour perso, vert pour travail, etc.) et le copier-coller fonctionne, mais de manière contrôlée via des canaux sécurisés.

Puis le 3 septembre 2012, Qubes OS 1.0 est officiellement lancé. La réaction de la communauté sécurité est mitigée. Certains adorent le concept tandis que d’autres trouvent ça trop complexe, trop lourd, trop paranoïaque. “C’est overkill”, disent certains. “C’est le futur”, répondent d’autres. Mais Joanna a un supporter de poids…

En 2013, Edward Snowden fuit les États-Unis avec des téraoctets de documents classifiés de la NSA. Pour communiquer avec les journalistes de manière sécurisée, il a besoin d’un système ultra-sécurisé. Son choix ? Qubes OS.

Le 29 septembre 2016, Snowden tweete : “If you’re serious about security, @QubesOS is the best OS available today. It’s what I use, and free. Nobody does VM isolation better.” Pour Joanna, c’est une validation extraordinaire car si l’homme le plus recherché du monde fait confiance à Qubes pour sa sécurité, c’est que le système fonctionne.

Le soutien de Snowden propulse Qubes dans la lumière et, d’un coup, tout le monde veut comprendre ce système. Les journalistes qui travaillent sur des sujets sensibles l’adoptent (Laura Poitras, Glenn Greenwald), les activistes l’utilisent, les chercheurs en sécurité aussi.

Mais Joanna reste humble. “A reasonably secure operating system”, c’est comme ça qu’elle décrit Qubes. Pas “ultra-secure”, pas “unbreakable”. Juste “reasonably secure”. Cette humilité, cette reconnaissance des limites, c’est ce qui fait la force de son approche car elle sait qu’aucun système n’est parfait.

Au fil des ans, Qubes continue d’évoluer. Version 2.0 en 2014, 3.0 en 2015, 4.0 en 2018. Chaque version apporte des améliorations, des raffinements et l’équipe grandit. La communauté aussi. Qubes devient une référence dans le monde de la sécurité, utilisé par ceux qui ont vraiment besoin de protection.

Mais Joanna a une philosophie qui la distingue des autres, car elle refuse catégoriquement de déposer des brevets. “I proudly hold 0 (zero) patents”, affirme-t-elle sur ses réseaux. Pour elle, les brevets sont antithétiques à la sécurité et la sécurité doit être ouverte, vérifiable, accessible à tous et surtout pas enfermée dans des coffres légaux.

Cette philosophie s’étend à sa vision de la liberté individuelle. “I strongly believe that freedom of individuals is the most important value”, dit-elle car pour elle, la sécurité informatique n’est pas une fin en soi. C’est un moyen de préserver la liberté, de permettre aux individus de faire des choix, de protéger leur vie privée contre les États et les corporations.

En octobre 2018, après neuf ans à la tête de Qubes et d’ITL, Joanna surprend tout le monde. Elle annonce qu’elle prend un congé sabbatique. Elle veut explorer de nouveaux horizons, réfléchir à la suite. Qubes est entre de bonnes mains avec Marek Marczykowski-Górecki qui prend la relève.

Sa décision est mûrement réfléchie. “These are very important problems, in my opinion, and I’d like to work now on making the cloud more trustworthy, specifically by limiting the amount of trust we have to place in it”, explique-t-elle. Après avoir sécurisé les endpoints, elle veut maintenant s’attaquer au cloud.

Nouvelle surprise : Joanna rejoint Golem, un projet de blockchain visant à créer un “ordinateur décentralisé”. Elle devient Chief Strategy Officer et Chief Security Officer. Son passage de la sécurité des endpoints à la blockchain surprend beaucoup de monde. “Qu’est-ce qu’elle va faire dans la crypto ?”, se demandent certains.

Mais pour Joanna, c’est une évolution logique car après avoir passé des années à sécuriser des systèmes individuels, elle veut maintenant s’attaquer à la sécurité des systèmes distribués. Comment sécuriser un ordinateur composé de milliers de machines appartenant à des inconnus ? Comment garantir la confidentialité dans un système décentralisé ?

En juillet 2019, la Golem Foundation commence alors ses opérations et Joanna devient “Long-term navigator and Wildland chief architect”. Son projet le plus ambitieux chez Golem c’est Wildland, un système de fichiers décentralisé qui veut libérer les données des silos des GAFAM. L’idée de Wildland c’est de permettre aux utilisateurs de stocker leurs données où ils veulent (Amazon S3, Dropbox, leur propre serveur, IPFS…) tout en ayant une interface unifiée. Plus besoin de se souvenir où est stocké quoi. Plus de vendor lock-in. Vos données vous appartiennent vraiment.

Et surtout, Wildland va plus loin que le simple stockage. Il introduit des concepts innovants comme la “multi-catégorisation” (un fichier peut appartenir à plusieurs catégories simultanément) et le “cascading addressing” (possibilité de créer des hiérarchies complexes sans point central de confiance). C’est de la décentralisation pragmatique.

“What we believe we do in a non-standard way is we are more pragmatic”, explique Joanna. “We don’t tell the user: ditch any kind of data centers you use and only use a P2P network. We say: use anything you want.” Cette approche pragmatique, c’est du pur Joanna.

Le 24 juin 2021, Wildland 0.1 est lancé lors d’un meetup à Varsovie. Joanna présente le projet : “Wildland containers are similar to Docker containers, except that dockers are for code, and Wildland containers can store any type of information.” L’accueil est positif mais mesuré. Le projet est ambitieux, peut-être trop.

Pour Joanna, Wildland représente la suite logique de son travail sur Qubes. Si Qubes compartimente l’exécution pour la sécurité, Wildland compartimente les données pour la liberté. Les deux ensemble offrent une vision d’un futur où les utilisateurs reprennent le contrôle de leur vie numérique.

Aujourd’hui, Joanna continue son travail sur les systèmes décentralisés. Elle reste conseillère pour Qubes OS, participe aux décisions stratégiques et sur son profil GitHub, ces 2 mots résument sa philosophie : “Distrusts computers.” Cette méfiance fondamentale envers la technologie, paradoxale pour quelqu’un qui y a consacré sa vie, est en fait sa plus grande force.

C’est parce qu’elle ne fait pas confiance aux ordinateurs qu’elle peut les sécuriser. C’est parce qu’elle comprend leurs failles qu’elle peut les protéger. C’est parce qu’elle sait qu’ils nous trahiront qu’elle construit des systèmes qui limitent les dégâts.

Elle a montré que la virtualisation pouvait être une arme avec Blue Pill. Elle a prouvé qu’aucun système n’est inviolable avec ses attaques contre Intel TXT. Elle a inventé des concepts comme l’Evil Maid attack qui font maintenant partie du vocabulaire de base. Mais surtout, elle a créé Qubes OS, un système qui protège les plus vulnérables. Journalistes, activistes, lanceurs d’alerte… Tous ceux qui ont vraiment besoin de sécurité utilisent Qubes. C’est son œuvre majeure, sa contribution la plus importante à la liberté numérique.

Elle incarne aussi une certaine éthique du hacking. Pas le hacking pour la gloire ou l’argent (elle aurait pu se faire des millions avec des brevets), mais le hacking comme outil de liberté. Le hacking comme moyen de reprendre le contrôle. Le hacking comme acte de résistance contre les systèmes opaques et les monopoles technologiques.

Aujourd’hui, Joanna continue d’écrire, de chercher et de construire. Ses articles sur “Intel x86 Considered Harmful” et “State Considered Harmful” proposent des visions radicales de ce que pourrait être l’informatique. Un monde sans état persistant, sans les architectures x86 legacy, sans les compromis du passé.

Des rêves impossibles ? Peut-être pas…

Sources : Wikipedia - Joanna Rutkowska, Wikipedia - Blue Pill, The Invisible Things Blog, Black Hat 2006 - Blue Pill Presentation, Qubes OS Official Website, Edward Snowden Twitter, Wildland Project, Invisible Things Lab

Voici aujourd’hui, l’histoire du groupe de hackers le plus mystérieux et le plus dévastateur de la décennie. Les Shadow Brokers. C’est le nom qu’ils se sont donné, probablement en référence au personnage de Mass Effect qui trafique de l’information au plus offrant, sauf qu’eux, ils n’ont pas volé n’importe quelle information, non. Ils ont réussi l’impossible : pirater la NSA, l’agence de renseignement la plus puissante du monde.

Entre août 2016 et juillet 2017, ils ont ainsi méthodiquement déversé sur Internet l’arsenal cyber secret de l’Amérique, déclenchant au passage WannaCry et NotPetya, des ransomwares qui ont causé des milliards de dollars de dégâts.

Et le pire c’est que personne ne sait vraiment qui ils sont.

C’est le 13 août 2016, une nuit d’été humide dans le Maryland. Pendant que l’Amérique débat de Clinton contre Trump, un événement sismique se déroule discrètement sur Internet. Un message bizarre, écrit dans un anglais tout pété presque ridiculement comique, vient d’apparaître sur GitHub et Pastebin. Au premier coup d’œil, ça ressemble à une blague, peut-être un troll cherchant l’attention, mais pour le petit cercle des experts en cybersécurité qui le lisent, c’est l’équivalent numérique d’une bombe atomique : la NSA vient d’être piratée.

Le message commence ainsi : “!!! Attention government sponsors of cyber warfare and those who profit from it !!!! How much you pay for enemies cyber weapons?” Les Shadow Brokers viennent de faire leur entrée sur la scène mondiale, et ils n’arrivent pas les mains vides. Ils prétendent avoir volé des cyberarmes à l’Equation Group, le nom de code donné par Kaspersky Lab au groupe de hackers d’élite de la NSA. Et pour prouver leurs dires, ils font quelque chose d’inédit : ils mettent une partie du butin en libre accès.

Les fichiers téléchargeables pèsent environ 300 mégaoctets ce qui n’est pas grand-chose en apparence, mais quand les chercheurs en sécurité commencent à analyser le contenu, leur sang se glace. C’est authentique. Des exploits zero-day, des payloads sophistiqués, des outils d’intrusion qui portent la signature indéniable de la NSA. EXTRABACON, un exploit contre les pare-feu Cisco ASA capable de prendre le contrôle à distance. EPICBANANA et JETPLOW, des backdoors pour différents systèmes. Des noms de code typiques de l’agence, cette obsession des fruits et des références loufoques que seuls les initiés connaissent.

Petite précision technique au passage, EXTRABACON exploite la CVE-2016-6366, une vulnérabilité zero-day dans le code SNMP des pare-feu Cisco qui permet l’exécution de code arbitraire sans authentification. EPICBANANA quand à lui, utilise la CVE-2016-6367, nécessite un accès SSH ou Telnet, mais permet ensuite une persistance totale. Et JETPLOW ? C’est tout simplement la version stéroïdée d’EPICBANANA, une backdoor firmware persistante que même un reboot ne peut pas virer.

Mais les Shadow Brokers ne s’arrêtent pas là en annonçant détenir bien plus : un fichier chiffré contenant “les meilleures cyberarmes” de la NSA, disponible au plus offrant. Le prix ? Un million de bitcoins, soit environ 568 millions de dollars à l’époque. Une somme astronomique qui suggère soit une méconnaissance totale du marché, soit un objectif autre que l’argent. “We auction best files to highest bidder. Auction files better than stuxnet,” promettent-ils avec leur anglais approximatif caractéristique.

Aujourd’hui, l’identité des Shadow Brokers reste encore l’un des plus grands mystères du monde cyber. Leur mauvais anglais suggère des locuteurs russes essayant de masquer leur origine. Des phrases comme “TheShadowBrokers is wanting that someone is deciding” ou “Is being like a global cyber arms race” sont grammaticalement douloureuses mais est-ce une tentative délibérée de brouiller les pistes ? Matt Suiche, expert en sécurité qui analyse leurs communications de près, pense que oui : “Le langage était probablement une tactique d’OpSec pour obscurcir les vraies identités des Shadow Brokers.”

Edward Snowden est évidemment l’un des premiers à réagir publiquement. Le 16 août 2016, il tweete : “Les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe.” et pour lui, c’est un avertissement, une façon pour Moscou de dire à Washington : “Nous savons ce que vous faites, et nous pouvons le prouver.” Le timing est d’ailleurs suspect car on est 3 mois avant l’élection présidentielle américaine, juste après le hack du Parti Démocrate attribué à la Russie. Coïncidence ? C’est peu probable…

Mais d’autres théories émergent rapidement. James Bamford, journaliste spécialiste de la NSA, penche pour un insider, “possiblement quelqu’un assigné aux Tailored Access Operations hautement sensibles”. Puis en octobre 2016, le Washington Post révèle que Harold T. Martin III, un contracteur de Booz Allen Hamilton, est le suspect principal.

Alors là, prenez une grande inspiration avant de poursuivre votre lecture car l’histoire de Harold Martin, c’est du délire. Le mec travaille pour Booz Allen Hamilton (oui, la même boîte qu’Edward Snowden), est assigné à la NSA de 2012 à 2015, et bosse effectivement avec les Tailored Access Operations. Quand le FBI débarque chez lui en août 2016, ils découvrent… 50 téraoctets de données classifiées. C’est l’équivalent de millions de documents, qu’ils trouvent bien planqués dans sa baraque, mais aussi dans un abri de jardin non verrouillé, et même dans sa bagnole.

Le FBI pense alors tenir leur homme. Équipe SWAT, barrages routiers, porte défoncée au bélier, grenades flashbang… Ils sortent le grand jeu pour arrêter Martin, sauf que voilà, petit problème : les Shadow Brokers continuent à poster des messages cryptographiquement signés pendant que Martin croupit en taule. En 2019, il écope de neuf ans de prison, mais les procureurs confirment qu’aucune des données qu’il avait volées n’a été divulguée. L’identité des Shadow Brokers reste donc un mystère.

David Aitel, ancien de la NSA, résume parfaitement la situation telle qu’elle était en 2019 : “Je ne sais pas si quelqu’un sait, à part les Russes. Et on ne sait même pas si ce sont les Russes.” Matt Suiche, lui, a une théorie différente car pour lui, les Shadow Brokers sont des insiders américains mécontents, peut-être des contractuels du renseignement frustrés. Les indices c’est surtout leur connaissance intime de TAO, leurs références culturelles américaines, et leur timing politique…

Et le 31 octobre 2016, juste avant Halloween, les Shadow Brokers frappent à nouveau. Cette fois, ils publient une liste de serveurs prétendument compromis par l’Equation Group, accompagnée de références à sept outils jusqu’alors inconnus : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOICSURGEON. La communauté de la cybersécurité découvre alors l’ampleur de l’arsenal de la NSA. Chaque nom de code représente des années de développement, des millions de dollars investis, des capacités offensives soigneusement gardées secrètes.

L’enchère Bitcoin, pendant ce temps, est un échec total. Quelques plaisantins envoient des fractions de bitcoin (genre 0.001 BTC, les comiques), mais personne ne tente sérieusement d’atteindre le million demandé. Les Shadow Brokers semblent déçus mais pas surpris. En janvier 2017, ils changent alors de stratégie : “TheShadowBrokers is trying auction. Peoples no like auction, auction no work. Now TheShadowBrokers is trying direct sales.”

Du coup, ils créent une boutique en ligne sur le dark web, catégorisant leurs marchandises comme un vrai e-commerce du crime : “Exploits”, “Trojans”, “Payloads”. Les prix vont de 1 à 100 bitcoins selon la sophistication de l’outil. C’est surréaliste. Les cyberarmes les plus dangereuses de la planète sont en vente comme des t-shirts sur Amazon. Un exploit pour compromettre un serveur Linux ? 10 bitcoins. Un implant pour espionner les communications ? 50 bitcoins. Le menu est à la carte.

Mais le véritable tournant arrive le 8 avril 2017. Dans un post Medium intitulé “Don’t Forget Your Base”, les Shadow Brokers lâchent une bombe et révèlent le mot de passe pour déchiffrer le fichier mystérieux publié huit mois plus tôt : “CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN". Un mot de passe de 32 caractères qui va changer les choses.

Le timing est tout sauf innocent car le post fait explicitement référence à l’attaque de Trump contre une base aérienne syrienne le 7 avril, utilisée aussi par les forces russes. “Respectfully, what we do not agree with is abandoning ‘your base’, double dealing, saying one thing and doing another,” écrivent les Shadow Brokers. Le message est clair : vous nous avez trahis, voici les conséquences.

Et ce que contient ce fichier dépasse les pires cauchemars de la NSA. Des dizaines d’exploits zero-day, des payloads sophistiqués, des outils de surveillance massive, mais le plus dévastateur s’appelle EternalBlue. Il s’agit d’un exploit contre le protocole SMB de Windows qui permet de prendre le contrôle total d’une machine à distance. Microsoft a secrètement patché la vulnérabilité MS17-010 en mars 2017, un mois avant la révélation, suggérant que la NSA a prévenu l’entreprise mais des millions de systèmes restent vulnérables.

Et le 14 avril 2017, c’est l’apocalypse. Les Shadow Brokers publient leur dump le plus massif, baptisé “Lost in Translation”. FUZZBUNCH, une plateforme d’exploitation comparable à Metasploit mais développée par la NSA, un véritable framework pour charger des exploits sur les systèmes cibles. DARKPULSAR, ETERNALROMANCE, ETERNALSYNERGY, ETERNALCHAMPION… La liste semble interminable. Mais c’est ETERNALBLUE qui va entrer dans l’histoire.

Petite parenthèse technique quand même, DoublePulsar, c’est le complément parfait d’EternalBlue. Une backdoor kernel ultra-furtive qui ne crée aucun nouveau port, se cache dans les appels SMB non implémentés, et répond avec STATUS_NOT_IMPLEMENTED pour rester invisible. FUZZBUNCH quand à lui permet d’uploader des exécutables directement dans DoublePulsar via SMB. Bref, le combo mortel.

Les experts sont une nouvelle fois sous le choc. Nicholas Weaver écrit sur le blog Lawfare : “Ceci pourrait bien être le dump le plus dommageable contre la NSA à ce jour, et c’est sans aucun doute la révélation la plus désastreuse post-Snowden.” Jake Williams, fondateur de Rendition Security et ancien de la NSA, est encore plus direct : “C’est un putain de désastre.”

Les révélations incluent aussi la preuve que la NSA a compromis le système SWIFT, le réseau bancaire international. Les Shadow Brokers montrent ainsi que l’agence a infiltré EastNets, un bureau de service SWIFT gérant les transactions bancaires au Moyen-Orient et si c’est vrai, la NSA peut théoriquement surveiller, voire manipuler, les transferts financiers internationaux. Bref, les implications sont vertigineuses.

Moins d’un mois plus tard, le 12 mai 2017, le monde découvre alors le vrai prix de ces révélations. WannaCry, un ransomware utilisant EternalBlue (et DoublePulsar pour la persistance), se propage comme une traînée de poudre. En quelques heures, plus de 200 000 ordinateurs dans 150 pays sont infectés à une vitesse hallucinante de 10 000 machines par heure.

Et là, bonjour les dégâts ! Le National Health Service britannique ? Complètement paralysé soit 81 hôpitaux sur 236 touchés, 19 000 rendez-vous annulés, 1 100 admissions aux urgences en moins, des opérations reportées. Le coût pour le NHS ? 92 millions de livres sterling (20 millions en perte d’activité, 72 millions pour restaurer les systèmes). Des patients ne peuvent pas recevoir leurs traitements à temps, des services d’urgence doivent fonctionner à l’aveugle. Des IRM, des frigos pour stocker le sang, des équipements de bloc opératoire… 70 000 appareils touchés au total.

Mais WannaCry n’est que l’apéritif car le 27 juin 2017, NotPetya frappe, utilisant encore EternalBlue mais cette fois avec une particularité : ce n’est pas vraiment un ransomware. C’est une arme de destruction déguisée en ransomware. Même si vous payez, vos fichiers sont perdus pour toujours. L’adresse email pour récupérer la clé de déchiffrement est bloquée par le provider dans l’heure. C’est conçu pour détruire, pas pour extorquer.

NotPetya cause ainsi plus de 10 milliards de dollars de dégâts. Maersk, le géant du transport maritime danois subit 300 millions de pertes, 4 000 serveurs et 45 000 PC à reconstruire, 17 terminaux portuaires paralysés pendant des jours. FedEx via sa filiale TNT Express ? 300 à 400 millions. Merck Pharmaceuticals ? 870 millions de dollars après que 15 000 de leurs machines Windows sont détruites. En 90 secondes. Oui, c’est le temps qu’il a fallu pour mettre à genoux une des plus grandes entreprises pharmaceutiques du monde.

Et pendant ce chaos planétaire, les Shadow Brokers continuent leur étrange performance. En juin 2017, ils menacent de révéler l’identité d’un ancien employé de TAO qu’ils surnomment “Doctor”. “’Doctor’ person is writing ugly tweets to theshadowbrokers,” écrivent-ils. “TheShadowBrokers is thinking ‘doctor’ person is former EquationGroup developer who built many tools and hacked organization in China.”

La menace est sans précédent et révéler l’identité d’agents de renseignement et leurs opérations spécifiques, c’est franchir une nouvelle ligne rouge. Jake Williams avertit : “Publier ces données menacera la sécurité (et la liberté) d’anciens opérateurs de TAO voyageant à l’étranger.” Le “Doctor” en question, paniqué, finit par se doxxer lui-même le 29 juin pour “protéger les innocents”, niant être un employé de la NSA. Évidemment, personne ne le croit.

Les Shadow Brokers semblent avoir une vraie connaissance intime de TAO car ils connaissent les surnoms, les projets, les personnes… Dans un de leurs messages, ils prétendent même avoir fait partie du “Deep State” américain.

“TheShadowBrokers is being like the Oracle of the Matrix. TheShadowBrokers is not being the Architect,” écrivent-ils, dans une référence geek qui fait écho à leur nom emprunté à Mass Effect.

Leur dernier message public date de juillet 2017. Ils annoncent un service d’abonnement mensuel où pour 400 Zcash (une cryptomonnaie axée sur la confidentialité), vous pouvez devenir VIP et recevoir chaque mois de nouveaux exploits de la NSA. “Is being like wine of month club,” plaisantent-ils. “Each month peoples can be paying membership fee, then getting members only data dump each month.”

Puis, silence radio. Les Shadow Brokers disparaissent aussi mystérieusement qu’ils sont apparus. Ont-ils été arrêtés ? Ont-ils décidé qu’ils en en avaient fait assez ? Ont-ils été éliminés ? Personne ne le sait. Leur compte Twitter @shadowbrokerss reste muet, leur blog Medium n’est plus mis à jour et leur compte Steemit, pareil. Comme leur homonyme dans Mass Effect, ils s’évanouissent dans l’ombre.

Mais l’impact des Shadow Brokers sur la cybersécurité mondiale est difficile à surestimer car ils ont vraiment exposé la vulnérabilité fondamentale de l’accumulation d’armes cyber, qui peuvent être volées et retournées contre ceux qui les ont créées. Ils ont ainsi forcé un gros débat sur la responsabilité des agences de renseignement dans la découverte et la non-divulgation de vulnérabilités zero-day. D’ailleurs, combien de WannaCry et NotPetya dorment encore dans les serveurs de la NSA, de la DGSE, du FSB, du MSS chinois ?

Brad Smith, président de Microsoft, a même publié un plaidoyer passionné après WannaCry : “Les gouvernements du monde devraient traiter cette attaque comme un signal d’alarme. Un équivalent conventionnel de cet événement serait l’armée américaine se faisant voler des missiles Tomahawk.” Il appelle à une “Convention de Genève numérique” pour limiter la cyberguerre. 8 ans plus tard, on l’attend toujours. Comme d’habitude, les gouvernements s’en foutent.

Toutefois, les théories sur l’identité des Shadow Brokers continuent de proliférer. Insiders, hackers russe… Il y a même une théorie marginale mais fascinante qui suggère que c’est la NSA elle-même, brûlant des outils compromis de manière contrôlée pour éviter qu’ils ne soient utilisés contre eux.

En 2025, près d’une décennie après leur apparition, l’ombre des Shadow Brokers plane toujours. Les exploits qu’ils ont révélés circulent encore et des variantes d’EternalBlue sont toujours utilisées dans des attaques.

En tout cas, quand je vois qu’une nouvelle vulnérabilité zero-day a été patchée, je me demande toujours qui d’autre la connaissait avant et l’utilisait…

Sources : The Shadow Brokers - Wikipedia, EternalBlue - Wikipedia, WannaCry ransomware attack - Wikipedia, Shadow Brokers Threaten to Expose Identity of Former NSA Hacker - BleepingComputer, The Shadow Brokers Leaked Exploits Explained - Rapid7, Shadow Brokers: How the NSA Leak Affects Your Business - A10 Networks, Who are the Shadow Brokers? - HYPR Security Encyclopedia, Unveiling the Mystery Behind The Shadow Brokers - Security Outlines, NotPetya Ransomware Explained: The Billion Nation-State Cyberattack - Victor Nthuli, Shadow Brokers Twitter History - GitHub, Shadow Brokers Group Releases More Stolen NSA Hacking Tools - The Hacker News, NSA’s TAO Division Codewords - Electrospaces, What Is EternalBlue and Why Is the MS17-010 Exploit Still Relevant? - Avast, EXPOSED: Inside the Greatest Hack in History - The Shadow Brokers NSA Breach - Merge Society, The Shadow Brokers EPICBANANA and EXTRABACON Exploits - Cisco Blogs, Harold T. Martin - Wikipedia, Investigation: WannaCry cyber attack and the NHS - NAO, NotPetya Costs Merck, FedEx, Maersk 0M - CSHub