Le 22 août, un groupe de hackers nommé Lab-Dookhtegan a revendiqué une cyberattaque d'une ampleur spectaculaire : les hacktivistes auraient coupé la communication de 39 tankers et 25 cargos d'entreprises iraniennes. Les pirates auraient infiltré un des partenaires commerciaux des entreprises maritimes.
Le 22 août, un groupe de hackers nommé Lab-Dookhtegan a revendiqué une cyberattaque d'une ampleur spectaculaire : les hacktivistes auraient coupé la communication de 39 tankers et 25 cargos d'entreprises iraniennes. Les pirates auraient infiltré un des partenaires commerciaux des entreprises maritimes.
Je me souviens de la première fois où j’ai entendu parler de The Grugq.
C’était en 2006, via un PDF qui expliquait aux hackers comment ne pas se faire choper par les flic. Puis un peu plus tard, en 2012, je l’ai redécouvert vie un article de Forbes qui racontait comment un mystérieux Sud-Africain basé à Bangkok gagnait plus d’un million de dollars par an en vendant des failles zero-day aux agences de renseignement.
Pas en exploitant lui-même les failles, non. Juste en servant d’intermédiaire entre les hackers qui les découvraient et les gouvernements prêts à payer des fortunes pour les acquérir. Il prenait à l’époque 15% de commission sur des ventes qui pouvaient atteindre 250 000 dollars pour un seul exploit iOS. Le calcul était vite fait.
The Grugq expert en sécurité informatique et OPSEC
Puis j’ai découvert que ce type était bien plus qu’un simple marchand d’armes numériques. C’était LE gourou de l’OPSEC, celui qui avait littéralement créé le domaine de l’anti-forensics. Celui qui répétait sans cesse “shut the fuck up” comme mantra ultime de survie. Voici donc aujourd’hui, l’histoire de Thaddeus Grugq, l’homme qui a appris au monde entier l’art de disparaître.
Thaddeus Grugq est né en Afrique du Sud, quelque part dans les années 70. Les détails exacts ? Mystère complet. Et c’est totalement voulu car The Grugq pratique ce qu’il prêche. La première règle de l’OPSEC, c’est de contrôler l’information sur soi-même. Pas d’année de naissance précise dans les bios officielles. Pas de ville natale. Pas de vrais noms de famille. Juste “The Grugq”, un pseudonyme qui est devenu une marque dans le monde de la sécurité.
Ce qu’on sait, c’est qu’il a grandi dans l’Afrique du Sud de l’apartheid. Un pays où la surveillance était omniprésente, où les communications étaient espionnées, et où la paranoïa était justifiée. Du coup, c’est dans ce contexte qu’il développe très jeune une fascination pour les systèmes, pour comprendre comment ils fonctionnent, et surtout, comment contourner leur sécurité. L’environnement idéal pour forger un futur expert en contre-surveillance !
En 1998, à peine sorti de l’adolescence, il débarque dans le monde de la sécurité informatique. L’industrie en est encore à ses balbutiements. Les grandes entreprises commencent tout juste à comprendre qu’Internet n’est pas qu’un gadget et que la sécurité, ce n’est pas optionnel. The Grugq trouve alors un job dans une Fortune 100. Laquelle ? Il ne le dira jamais. OPSEC, toujours.
Mais rapidement, la vie en entreprise l’ennuie. Les réunions interminables, les politiques internes, les limitations imposées par la hiérarchie… C’est pas pour lui. Il veut explorer, casser des choses, comprendre les limites des systèmes. Alors quand l’opportunité se présente de rejoindre @stake, l’une des boîtes de sécurité les plus prestigieuses de l’époque, il saute dessus. Et on peut dire que c’était le bon moment !
@stake, c’était le graal pour tout hacker qui se respectait. Fondée par des légendes issues de L0pht Heavy Industries (ces mecs qui avaient fait trembler le Congrès américain en 1998 en déclarant pouvoir “éteindre Internet en 30 minutes”), la boîte attirait les meilleurs talents. Ils faisaient du pentest pour les plus grandes entreprises, découvraient des vulnérabilités critiques, conseillaient les gouvernements. C’était l’élite de l’élite !
The Grugq s’y épanouit totalement. Il reverse tout ce qui lui tombe sous la main. Il développe des exploits. Il apprend des meilleurs du milieu. Mais surtout, il commence à s’intéresser à un domaine encore vierge : l’anti-forensics. Comment effacer ses traces numériques ? Comment rendre l’analyse post-mortem impossible ? Comment disparaître sans laisser de preuves ?
Son mentor chez @stake lui donne alors un conseil qui va changer sa vie : “If you know how to do anti-forensics, you probably don’t need anti-forensics.” En d’autres termes, si tu maîtrises l’art d’effacer tes traces, c’est que tu es déjà assez bon pour ne pas en laisser. C’est le début de sa philosophie de l’OPSEC préventive.
En 2002, The Grugq décide de partager ses connaissances avec la communauté. Il écrit un article pour Phrack, la bible underground du hacking. Le titre : “Defeating Forensic Analysis on Unix”. Dans cet article, il détaille méthodiquement comment compromettre les outils d’analyse forensique. Et c’est pas de la blague !
L’article présente une panoplie d’outils révolutionnaires : RuneFS pour cacher des données dans les bad blocks, The Defiler’s Toolkit avec ses composants Necrofile et Klismafile pour modifier directement le système de fichiers, KY FS pour stocker des données dans les répertoires, et Data Mule FS pour utiliser l’espace réservé des inodes. C’est de la technique de haut vol !
L’article fait l’effet d’une bombe atomique car pour la première fois, quelqu’un expose publiquement des techniques qui étaient jusqu’alors réservées aux agences de renseignement et aux criminels les plus pointus. The Grugq justifie sa démarche en expliquant que c’est pour “pousser l’industrie de la sécurité à développer des outils efficaces”. Il espère que “la prochaine génération d’outils d’investigation numérique donnera ainsi aux défenseurs quelque chose de fiable pour combattre efficacement les attaquants”.
Noble intention… Mais @stake ne voit pas les choses du même œil car pour eux, publier ces techniques dans Phrack, c’est donner des armes aux méchants. C’est irresponsable et surtout contraire à l’éthique de l’entreprise. The Grugq est viré. Forcé de démissionner, comme ils disent poliment. Bref, l’histoire classique du lanceur d’alerte qui se fait blacklister !
Le licenciement est un coup dur pour lui, mais également une libération totale. The Grugq devient alors consultant indépendant, et là, il découvre un marché en pleine explosion. Celui des vulnérabilités zero-day. Le timing est parfait !
En effet, début des années 2000, les gouvernements commencent à comprendre que les cyberarmes sont l’avenir de l’espionnage et du sabotage. Pas besoin d’envoyer des agents sur le terrain quand on peut compromettre un système à distance. Pas la peine de risquer des vies humaines quand un exploit bien placé peut faire le job. Le problème, c’est que les agences de renseignement ne sont pas forcément les meilleures pour trouver ces vulnérabilités. Elles ont des analystes brillants, mais pas forcément la créativité et la liberté des hackers indépendants. D’où l’idée d’acheter les exploits à ceux qui savent les trouver.
The Grugq voit alors l’opportunité et la saisit. Il a des contacts dans le milieu du hacking, il connaît les meilleurs chercheurs, ceux qui trouvent les bugs que personne d’autre ne voit. Et de l’autre côté, grâce à son passage chez @stake et ses activités de consultant, il a des contacts dans les agences gouvernementales. NSA, CIA, et leurs équivalents européens. C’est le middleman parfait !
Il devient alors broker. On dit aussi intermédiaire. Il est l’homme entre deux mondes qui ne peuvent pas se parler directement.
Comme ça, si un chercheur trouve une faille dans iOS, The Grugq sait à qui la vendre pour 250 000 dollars. Une agence cherche un exploit pour Android ? The Grugq sait qui peut le fournir pour 80 000 à 120 000 dollars. C’est du business !
Sa commission standard est de 15% donc par exemple sur une vente à 250 000 dollars, ça fait 37 500 dollars. Sans écrire une ligne de code. Sans prendre le risque de l’exploitation. Juste en mettant en relation les bonnes personnes. C’est rentable !
Mais The Grugq n’est pas qu’un simple intermédiaire. Il apporte aussi une vraie valeur ajoutée professionnelle. D’abord, il vérifie la qualité des exploits car pas question de vendre de la camelote à des clients qui paient des fortunes. Et ensuite, il garantit l’anonymat des deux parties. Le chercheur ne sait pas à qui il vend et l’acheteur ne sait pas d’où vient l’exploit. The Grugq est donc le seul à connaître les deux bouts de la chaîne.
C’est là que son expertise en OPSEC devient absolument cruciale car comment transférer des exploits qui valent des centaines de milliers de dollars sans laisser de traces ? Et comment recevoir des paiements sans que le fisc ou d’autres acteurs s’en mêlent ? Comment, même, communiquer avec des agences de renseignement sans se faire repérer par d’autres agences de renseignement ?
Une vraie prise de tête. Alors The Grugq développe tout un système sophistiqué. Communications chiffrées, bien sûr. Mais pas que. Il utilise des chains de proxies, des VPNs en cascade, des systèmes de dead drops numériques. Il change régulièrement d’identité, de méthodes de communication, de patterns de comportement. Un vrai fantôme numérique !
“Il est judicieux de migrer régulièrement l’infrastructure de communication et de changer régulièrement d’identité », expliquera-t-il plus tard. « Cela crée des silos d’informations compartimentés chronologiquement qui limitent l’impact d’une compromission.”
Et en quelques années, le business explose littéralement. 2010, 2011, 2012… Les prix des zero-days s’envolent. Ce qui se vendait 10 000 dollars en 2005 vaut maintenant 100 000. Un exploit iOS complet peut atteindre 250 000 dollars. Pour Windows, c’est 60 000 à 120 000. Et pour les navigateurs populaires (Chrome, Firefox, Safari), on parle de 80 000 dollars pour un RCE + sandbox escape. Le business est en feu et The Grugq est au milieu de tout ça. Il connaît les prix, les acheteurs, les vendeurs. Il sait quelle agence cherche quoi, quel chercheur a trouvé quoi. C’est une position de pouvoir incroyable. Et lucrative. Très, très lucrative.
En mars 2012, Forbes publie un article au sujet du marché des zero-days. Écrit par Andy Greenberg et intitulé “Shopping for Zero-Days: A Price List for Hacker’s Secret Software Exploits”, cet article expose pour la première fois publiquement ce marché secret. The Grugq y est cité, sous pseudonyme bien sûr. Et il révèle qu’il a pour projet de gagner plus d’un million de dollars cette année-là. Rien qu’en commissions. Le journaliste n’en croit pas ses oreilles. Un million de dollars pour mettre des gens en relation ?
Mais The Grugq hausse les épaules. C’est le marché, simple loi de l’offre et la demande. Surtout que les gouvernements ont des budgets illimités pour l’espionnage numérique. Par exemple, la NSA dépense 25,1 millions de dollars par an juste pour acheter des vulnérabilités selon les documents de Snowden. Ça représente entre 100 et 625 exploits par an, selon les prix du marché. Et c’est rien que la NSA !
Ajoutez à ça la CIA, le FBI, le Pentagone. Puis les Britanniques, les Français, les Allemands, les Israéliens. Tous veulent leur part du gâteau. Tous ont besoin d’exploits pour espionner, saboter, et protéger. Toutefois, The Grugq limite ses ventes aux agences américaines et européennes “pas uniquement pour des raisons éthiques, mais aussi parce qu’ils paient plus”. Pragmatique le garçon !
The Grugq estime le marché total à moins de 5 millions de dollars par an. D’autres parlent de 50 millions. Personne ne sait vraiment car c’est un marché opaque par nature, mais une chose est sûre…c’est hyper lucratif pour ceux qui savent naviguer dans ces eaux troubles.
Et surtout, même pendant cette période dorée de l’achat/revente, The Grugq ne se contente pas de faire du business. Il continue ses recherches, ses expérimentations et s’intéresse particulièrement à l’intersection entre le tradecraft traditionnel (les techniques d’espionnage classiques) et les compétences des hackers. Il dévore les manuels de la CIA déclassifiés, les mémoires d’anciens espions, les techniques du KGB et de la SOE (Special Operations Executive britannique). Il étudie comment les organisations clandestines opèrent depuis des siècles et surtout comment adapter toutes ces méthodes au monde numérique.
C’est de là que naît sa philosophie de l’OPSEC moderne. Pour lui, la sécurité opérationnelle n’est pas qu’une affaire technique. C’est avant tout une discipline mentale. Une façon de penser, de vivre, d’interagir avec le monde. Une philosophie de vie !
Sa règle numéro un, qu’il répétera ad nauseam dans toutes ses conférences : “Shut the fuck up.” Fermez-la. Ne parlez pas. Ne vous vantez pas. Ne partagez pas. C’est brutal, c’est direct, mais c’est efficace.
Car c’est là que 90% des gens échouent. Ils ne peuvent pas s’empêcher de parler. De tweeter. De se vanter. De laisser des indices. The Grugq a vu des dizaines de hackers brillants se faire prendre parce qu’ils n’ont pas su se taire.
Hé oui, l’ego, ça tue !
En parallèle de ses activités de broker, The Grugq commence aussi à enseigner. D’abord dans des conférences underground, puis dans les grands événements de sécurité. Black Hat, DefCon, CanSecWest, HITB… Il devient rapidement une star absolue du circuit et ses talks sont de véritables événements !
Pas de PowerPoints ennuyeux remplis de bullet points, The Grugq raconte des histoires captivantes. Il mélange technique et anecdotes, théorie et pratique. Il cite Sun Tzu et les manuels de la Special Operations Executive britannique. Il parle de hackers russes et d’espions de la Guerre Froide. Un storytelling incroyable qui captive !
Un de ses talks les plus célèbres est “OPSEC for Hackers” présenté à HITB 2012 où pendant une heure, il détaille comment les hackers se font prendre. Les erreurs classiques, les pièges à éviter. Il analyse des cas réels, décortique les échecs, explique ce qui aurait pu être fait différemment. Une vraie masterclass !
Et son message est clair comme du crystal : La technique ne suffit pas. Tu peux être le meilleur hacker du monde, si ton OPSEC est pourrie, tu finiras en prison.
“Donnez à un homme un 0day et il aura un accès pendant une journée, apprenez-lui à hameçonner et il aura un accès à vie.” De la sagesse hacker !
The Grugq développe comme ça toute une philosophie autour de l’OPSEC. Pour lui, c’est un art, pas une science, où chaque situation est unique. Les règles changent constamment. “Le cyberespace, c’est comme le calvinball. La seule règle, c’est qu’on ne joue jamais deux fois de la même manière.” Une jolie référence à Calvin & Hobbes qui fait mouche !
Il emprunte également beaucoup au monde du renseignement traditionnel. La compartimentation, par exemple, c’est à dire ne jamais mélanger les identités, ne jamais croiser les flux d’information, et créer de silos étanches qui limitent les dégâts en cas de compromission. En gros, du cloisonnement militaire appliqué au hacking !
Ou encore tout ce qui est désinformation. “Si vous voulez dissimuler quelque chose, ne faites pas jurer aux gens de garder le silence, racontez autant d’histoires alternatives que possible.” Une règle de la SOE britannique pendant la Seconde Guerre mondiale, toujours valable à l’ère numérique. Il fait du recyclage de techniques éprouvées qu’il adapte au monde moderne.
Il insiste particulièrement sur l’aspect humain. “On ne peut pas lutter contre un mème avec un exploit” car la technologie ne résout pas tout. Les failles les plus dangereuses sont souvent humaines et l’ingénierie sociale, la manipulation, la psychologie… C’est là que se gagnent les vraies batailles. L’humain, toujours l’humain !
Vers 2013, The Grugq sent alors que le vent tourne dans le business des exploits. Les prix deviennent complètement fous. La concurrence s’intensifie dangereusement. De nouvelles boîtes comme Vupen (qui deviendra Zerodium en 2015) ou Netragard entrent agressivement sur le marché. Les gouvernements commencent à acheter directement, sans passer par des intermédiaires. Le marché se professionnalise !
Plus important encore, l’éthique de tout ça commence sérieusement à le déranger. Ces exploits qu’il vend, ils servent à quoi exactement ? Espionner des dissidents ? Saboter des infrastructures ? Surveiller des journalistes ? The Grugq n’est pas naïf, il sait que ses clients ne sont pas des enfants de chœur, mais voir l’escalade, la militarisation du cyberespace, ça le fait réfléchir profondément.
Il décide alors de changer de cap radicalement. Exit la revente d’exploits et place à l’enseignement, la recherche, et le conseil. Il a assez d’argent pour vivre confortablement jusqu’à la fin de ses jours et il a prouvé ce qu’il avait à prouver. Maintenant, il veut transmettre. C’est, je trouve, une noble reconversion !
Il s’installe alors définitivement à Bangkok. Alors pourquoi Bangkok, me direz-vous ? Et bien “parce que c’est loin de tout”, dit-il en rigolant. Mais c’est plus profond que ça car Bangkok, c’est un hub international, connecté au monde entier mais en dehors des radars occidentaux. C’est facile d’y disparaître, d’y vivre anonymement… et puis, la bouffe est excellente et pas chère.
De Bangkok, The Grugq continue ses activités, mais autrement. Il donne des formations privées à des entreprises, des gouvernements (les gentils, précise-t-il avec ironie). Il écrit, beaucoup, notamment des articles, des guides, des analyses et devient le philosophe de l’OPSEC moderne, le Socrate de la sécurité opérationnelle !
Sa présence sur Twitter (@thegrugq) devient absolument culte. Chaque tweet est une leçon de vie. Parfois technique, parfois philosophique, toujours pertinent. Il commente l’actualité de la sécurité, analyse les échecs, dispense ses conseils. Le tout avec un humour noir bien caractéristique. C’est du contenu premium !
“Si un État-nation vous poursuit, vous allez passer un mauvais quart d’heure.” est un de ses tweets les plus célèbres, qui résume sa vision réaliste de la sécurité. Pas de faux espoirs. Pas de solutions miracles. Juste la vérité crue : contre certains adversaires, vous ne pouvez pas gagner. Point final.
Mais ça ne veut pas dire qu’il faut abandonner. Au contraire. The Grugq prêche la préparation, la discipline, la rigueur. “Pour bien maîtriser l’OPSEC, il faut intérioriser les changements de comportement nécessaires pour maintenir en permanence une posture de sécurité solide.” C’est un mode de vie, pas un hobby, je vous l’ai déjà dit !
Par exemple, en 2017, l’affaire Reality Winner éclate et devient un cas d’école parfait. Cette contractante de la NSA a leaké un document classifié au journal The Intercept. Elle est alors arrêtée quasi immédiatement.
Un cas d’école d’échec OPSEC que The Grugq va analyser dans son article Medium “Real Talk on Reality”. Car c’est un festival d’erreurs catastrophiques. Winner a par exemple imprimé le document depuis son poste de travail. Et comme les imprimantes laissent des micro-points invisibles qui permettent de tracer exactement quand et où un document a été imprimé, ça a été son erreur numéro 1. Surtout que c’était le seul document qu’elle avait imprimé ce mois-là !
Elle a ensuite accédé au document alors qu’elle n’avait aucune raison professionnelle de le faire. Dans une agence où tout est loggé en permanence, c’est un red flag immédiat. Erreur numéro 2, très grossière !
Mais attendez, c’est pas fini ! Elle avait déjà contacté The Intercept depuis son ordinateur professionnel. Alors quand l’enquête a commencé, son nom est ressorti immédiatement. Erreur numéro 3, fatale !
Et The Intercept ? Et bien ils ont envoyé une copie du document à la NSA pour vérifier son authenticité. Et avec les micro-points bien visibles. Ils ont littéralement donné à la NSA tout ce dont elle avait besoin pour identifier la source. Erreur numéro 4, 5, 6… La liste est longue !
The Grugq est sans pitié dans son analyse. “Mme Winner était condamnée, indépendamment des mesures prises par The Intercept pour protéger sa source qui, en réalité, étaient inexistantes.” Winner a violé toutes les règles de base de l’OPSEC. Elle a laissé des logs partout : Accès au document, impression, communications… Chaque action a créé une trace indélébile.
Mais il ne blâme pas que Winner car The Intercept a failli tragiquement à son devoir de protection des sources. Tout journaliste qui traite des documents sensibles devrait connaître les bases : micro-points, métadonnées, techniques de traçage. C’est de la négligence criminelle, selon lui.
“OPSEC is not a joke”, martèle-t-il. “Ce n’est pas facultatif. Ce n’est pas quelque chose que l’on fait quand on a le temps. C’est une discipline. Un mode de vie. Sinon, on finit comme Reality Winner : condamné à plusieurs décennies de prison pour avoir essayé de faire ce qui était juste, mais de la mauvaise manière.” Leçon douloureuse mais essentielle !
Au fil des ans, The Grugq devient une véritable institution dans le monde de la sécurité. “The most quoted man in infosec”, comme on l’appelle affectueusement. Pas une conférence sans qu’un speaker cite une de ses maximes. Pas un article sur l’OPSEC sans référence à ses enseignements. Une notoriété bien méritée !
Il publie régulièrement sur Medium, sur son blog, sur GitHub. Des guides pratiques, des analyses théoriques, des réflexions philosophiques… Et tout est disponible gratuitement. The Grugq ne vend pas ses connaissances OPSEC. Il les partage généreusement. C’est sa façon de rendre à la communauté.
Son blog “Hacker OPSEC” devient LA référence absolue. Des dizaines de pages détaillant chaque aspect de la sécurité opérationnelle. Comment choisir ses outils. Comment créer des identités. Comment communiquer. Comment disparaître. Mais surtout il met en garde car lire ne suffit absolument pas.
Il faut pratiquer, s’entraîner, développer les réflexes car l’OPSEC, c’est 10% de connaissances et 90% de discipline. Et la discipline, ça se travaille !
Ces dernières années, The Grugq s’est considérablement diversifié. Il dirige maintenant le Glasshouse Center, un think tank dédié aux cybermenaces émergentes et à la stratégie cyber. Il publie “The Grugq’s Newsletter”, une newsletter suivie par des dizaines de milliers d’abonnés. Il y commente l’actualité, analyse les tendances, partage ses réflexions sur l’évolution du paysage numérique.
Car le monde a radicalement changé depuis ses débuts dans les années 90. Les exploits zero-day se vendent maintenant des millions (Zerodium offre jusqu’à 2,5 millions pour certains exploits iOS). Les États-nations ont des armées entières de hackers. La surveillance est omniprésente. Mais les principes de base restent exactement les mêmes. Discipline. Compartimentation. Et surtout silence.
Car dans un monde où tout est enregistré, où chaque bit peut devenir une preuve, ce silence est littéralement d’or.
Aujourd’hui, The Grugq reste un mystère complet. Après plus de 25 ans dans le milieu, peu de gens connaissent son vrai visage. Encore moins ont son vrai numéro de téléphone. Il apparaît dans les conférences, donne ses talks brillants, puis disparaît. Comme un fantôme. Comme il l’a toujours fait. Comme il continuera de le faire.
C’est ça, le vrai OPSEC. Pas des outils fancy ou des techniques ultra-complexes. Juste cette discipline de rester dans l’ombre et de contrôler l’information sur soi-même. Il ne faut jamais baisser la garde même quand personne ne regarde.
Alors la prochaine fois que vous êtes tenté de tweeter ce truc super cool que vous venez de hacker, rappelez-vous The Grugq et de son mantra :
“Shut the fuck up.”
Sources : Medium officiel de The Grugq, Twitter @thegrugq, Phrack #59 - “Defeating Forensic Analysis on Unix”, Schneier on Security - The Grugq on Reality Winner, Medium - “Real Talk on Reality” par The Grugq, Blogs of War - Interview Hacker OPSEC, GitHub officiel, Okta Security - Profil The Grugq, Vice - Interview ancien broker exploits, The Info Op Newsletter Substack, Privacy PC - Guide OPSEC, Wikipedia - Marché des exploits zero-day, Glasshouse Center
Depuis la fin juillet 2025, le Muséum national d’Histoire naturelle (MNHN) de Paris, l’une des institutions majeures en recherche et patrimoine naturel dans le monde, est la cible d’une cyberattaque d’une ampleur inédite. L'organisation ne parvient plus à accéder à de nombreuses bases de données destinées à la recherche scientifique.
Dans une étude publiée fin juillet 2025, les chercheurs de Sonatype annoncent avoir détecté une vaste campagne d’espionnage menée au sein des écosystèmes open source. Aux commandes : Lazarus, un groupe cybercriminel affilié à l’État nord-coréen, connu depuis plus d’une décennie pour des détournements spectaculaires de crypto-monnaies au profit du régime de Pyongyang.
Depuis fin juillet, des centaines de pharmacies russes n'accueillent plus aucun patient. La raison ? Deux des plus grands réseaux d'officines du pays sont victimes d'une cyberattaque majeure. Réservation de médicaments en ligne indisponible, personnel mis au chômage forcé : un nouveau pan de l'économie russe est visé par les hackers.
Une campagne d’arnaque aux chèques-vacances ANCV circule dans les boîtes mail des Français, en ce mois de juillet 2025. Prétextant l’expiration imminente des titres, des cybercriminels essaient de piéger leurs victimes en les redirigeant vers un site frauduleux.
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
La première fois où j’ai entendu parler de Charlie Miller c’était en 2008, juste après qu’il ait défoncé un MacBook Air flambant neuf en moins de 2 minutes au concours Pwn2Own. 10 000 dollars de prime et la gloire éternelle.
À l’époque, c’était impressionnant qu’un mec puisse compromettre une machine Apple aussi vite mais ce que je ne savais pas encore, c’est que derrière ce hack spectaculaire se cachait l’histoire d’un gamin du Missouri, orphelin très tôt et qui a transformé sa solitude en génie mathématique. Un chercheur qui allait devenir tellement doué pour casser les produits Apple qu’ils finiraient par se faire bannir de leur écosystème. Voici l’histoire de Charlie Miller, l’homme que Foreign Policy a classé dans son Top 100 des penseurs mondiaux et surnommé “l’un des hackers les plus techniquement compétents sur Terre”.
Charlie Miller lors d’une présentation à la Truman State University
Charles Alfred Miller est né le 6 mai 1973 à St. Louis, dans le Missouri et son enfance à Affton n’a rien d’un conte de fées. Quand il a 7 ans, sa mère Géraldine meurt d’un cancer. Pour un gamin de cet âge, c’est un tsunami émotionnel et Charlie se retrouve à passer beaucoup de temps seul. Cette solitude forcée, il va la transformer en quelque chose de productif : une passion dévorante pour les mathématiques et la logique. “J’ai passé beaucoup de temps tout seul”, confiera-t-il plus tard dans une interview au St. Louis Magazine. C’est cette solitude qui l’a poussé à se plonger dans les chiffres et les équations… un monde où tout avait du sens, contrairement au chaos émotionnel provoqué par la perte de sa mère.
Au lycée, Charlie n’est pas le geek cliché qu’on imagine. Il fait du vélo de compétition et devient même champion de l’État du Missouri. Un athlète matheux, y’a pas beaucoup de gens comme ça mais c’est dans les maths qu’il trouve vraiment sa voie. Il est tellement doué qu’il décroche une bourse complète pour Northeast Missouri State University (aujourd’hui Truman State), où il obtient un bachelor en mathématiques avec une spécialisation secondaire en philosophie. La combinaison est intéressante : les maths pour la rigueur logique et la philo pour questionner le monde. D’ailleurs, cette double approche analytique et réflexive deviendra sa marque de fabrique dans le hacking.
Mais Charlie voit plus grand. Il veut un doctorat, alors direction l’Université de Notre Dame, l’une des meilleures facs catholiques du pays. Là, il se plonge dans les équations aux dérivées partielles non linéaires qui décrivent la propagation de la lumière dans les fibres optiques. C’est du très haut niveau, le genre de trucs que seule une poignée de personnes dans le monde comprend vraiment. Sa thèse porte sur les solitons optiques, ces ondes qui se propagent sans se déformer dans les fibres. Puis en 2000, après des années de travail acharné, il soutient sa thèse et devient officiellement Dr. Charlie Miller. Et honnetement, à ce moment-là, il pense que sa vie est toute tracée : la recherche, l’enseignement, et peut-être un prix Nobel un jour. Qui sait ?
L’Université de Notre Dame où Charlie Miller a obtenu son doctorat en mathématiques
C’est là que l’histoire prend un tournant complètement dingue. Charlie a toujours rêvé d’être astronaute. Sérieusement. Depuis gamin, il regarde les étoiles et s’imagine flotter dans l’espace. Avec son PhD en maths de Notre Dame, il pense avoir le profil parfait pour la NASA. Il envoie alors candidature sur candidature. Il remplit des formulaires de 50 pages, passe des tests médicaux, rédige des essais sur sa motivation. Mais à chaque fois, c’est le silence radio. La NASA ne lui répond même pas. Pas un accusé de réception, rien.
Pour un type brillant comme lui, habitué à réussir tout ce qu’il entreprend, c’est une claque monumentale. “Mon rêve de devenir astronaute n’est resté qu’un rêve parce que la NASA a ignoré mes nombreuses candidatures après mes études supérieures.”, dira-t-il plus tard avec une pointe d’amertume qui ne l’a jamais vraiment quitté.
“Mis à part dans le milieu universitaire, il n’y a pas beaucoup d’emplois pour un mathématicien titulaire d’un doctorat.”, réalisera-t-il brutalement. C’est vrai, et c’est le drame de beaucoup de docteurs en sciences fondamentales. Quand vous avez passé des années à étudier des équations différentielles partielles non linéaires appliquées aux solitons optiques, vos options de carrière sont… limitées.
Prof d’université ? Il n’a pas envie de passer sa vie à publier des papers que personne ne lira sur un sujet ultra-niche qui ne le passionne plus vraiment. Les labos de recherche privés ? Ils préfèrent les ingénieurs aux mathématiciens purs. Quant au secteur privé classique, peu d’entreprises ont besoin d’un expert en propagation d’ondes dans les fibres optiques. Wall Street peut-être ? Mais l’idée de devenir un quant pour optimiser des algorithmes de trading haute fréquence ne l’emballe pas.
C’est alors que la NSA entre en scène. L’agence de renseignement américaine la plus secrète au monde recrute des mathématiciens à tour de bras pour faire de la cryptographie et de la cryptanalyse. Pour eux, un PhD en maths de Notre Dame, c’est du pain béni car ils voient au-delà des solitons optiques : ils voient un cerveau capable de manipuler des concepts mathématiques abstraits complexes, soit exactement ce qu’il faut pour casser des codes. Charlie accepte l’offre, un peu par défaut, un peu par curiosité et en 2000, débarque à Fort Meade, dans le Maryland, au QG de l’agence qui écoute le monde entier. Le bâtiment est une forteresse de verre noir, entourée de barbelés et de checkpoints. Bienvenue dans le monde de l’espionnage.
Le quartier général de la NSA à Fort Meade, Maryland, où Charlie a travaillé de 2000 à 2005
À la NSA, Charlie est officiellement cryptographe dans la division mathématique. Son boulot officiel est de développer et casser des algorithmes de chiffrement, analyser des protocoles cryptographiques, chercher des failles dans les systèmes de communication ennemis. Mais rapidement, il découvre un nouveau terrain de jeu : la sécurité informatique opérationnelle. La NSA ne fait pas que de la crypto théorique, elle fait aussi du hacking offensif. Et pour ça, elle propose des formations internes dans tous les domaines : exploitation de vulnérabilités, reverse engineering, développement d’exploits, techniques d’intrusion avancées. Charlie s’inscrit à tout ce qu’il peut. Il est comme un gamin dans un magasin de bonbons.
“Même si j’ai été embauché comme mathématicien à la NSA, ils proposaient divers programmes de formation. J’ai commencé par suivre une formation en sécurité informatique et j’ai occupé des postes qui mettaient l’accent sur cette compétence.”, expliquera-t-il. Et c’est là que sa formation mathématique devient un atout majeur. Car là où d’autres voient du code, lui voit des patterns, des structures, des failles logiques. Son cerveau mathématique lui permet de comprendre intuitivement comment les systèmes peuvent être cassés. C’est alors le début d’une transformation radicale.
Le mathématicien théoricien devient hacker opérationnel. Et pas n’importe quel hacker : un hacker de la NSA, formé par les meilleurs, avec accès aux outils et aux connaissances les plus pointus du renseignement américain. L’équipe Tailored Access Operations (TAO), l’élite du hacking à la NSA, devient son terrain de jeu.
Alors durant cinq ans, Charlie va apprendre les ficelles du métier au plus haut niveau. Comment exploiter une faille de buffer overflow dans un système embarqué. Comment contourner l’ASLR et le DEP. Comment développer des exploits fiables qui marchent à tous les coups. Comment penser comme un attaquant tout en gardant l’objectif stratégique en tête.
La NSA, c’est l’école du hacking version hardcore, avec des moyens illimités. Pas de place pour les amateurs ou les script kiddies. Chaque jour, il côtoie des génies de la sécurité qui chassent des espions chinois, russes et iraniens dans le cyberespace. Il participe à des opérations dont il ne pourra jamais parler, développe des outils qui resteront classifiés pendant des décennies.
Mais en 2005, après cinq ans dans les entrailles de Big Brother, Charlie en a marre. Le monde de l’espionnage, c’est excitant les premiers mois, mais ça devient vite frustrant. Tout ce que vous faites est classifié Top Secret/SCI. Vous ne pouvez jamais parler de vos exploits, même à votre femme et vos découvertes restent enfermées dans des SCIFs (Sensitive Compartmented Information Facilities).
Vous trouvez une faille critique dans un système utilisé par des millions de personnes ? Tant mieux, on va l’exploiter pour espionner, pas la corriger et pour quelqu’un de créatif comme Charlie, qui aime partager ses connaissances et voir l’impact concret de son travail, c’est étouffant. “Je ne suis toujours pas en mesure de discuter des détails de mon passage à la NSA, à part quelques vagues références à des cibles étrangères et à la reconnaissance de réseaux informatiques.”, dira-t-il des années plus tard, toujours lié par son serment de confidentialité.
Il quitte alors la NSA et devient consultant principal en sécurité chez Independent Security Evaluators (ISE), une petite boîte de Baltimore fondée par des anciens de la NSA. Enfin libre ! Il peut maintenant hacker légalement et publiquement. Fini les opérations secrètes, place à la recherche en sécurité au grand jour. ISE fait du pentest pour des grandes entreprises, mais encourage aussi ses employés à faire de la recherche publique et c’est là que sa carrière explose vraiment.
Le 29 juin 2007, Apple lance l’iPhone et c’est une révolution. Un ordinateur Unix complet dans votre poche, avec un écran tactile. Le monde entier est en émoi et les files d’attente devant les Apple Store font le tour du monde. Charlie regarde ce bijou de technologie avec son œil de hacker et se dit : “Je parie que je peux le casser.” Il achète alors un iPhone le jour de la sortie (550 dollars quand même !), rentre chez lui et se met au boulot.
Il commence par analyser le système, chercher des vecteurs d’attaque… Safari Mobile semble prometteur… et quelques semaines plus tard, bingo ! Il trouve une faille dans le parseur TIFF de Safari Mobile qui permet de prendre le contrôle total de l’appareil via une image malveillante. Il devient officiellement le premier au monde à hacker publiquement l’iPhone. Apple n’est pas content du tout mais Charlie s’en fout royalement. Il a trouvé sa nouvelle vocation : casser les produits Apple pour les rendre plus sûrs. Et il est doué. Très, très doué.
Mars 2008, Vancouver. C’est l’heure du Pwn2Own, le championnat du monde officieux du hacking. Organisé par la Zero Day Initiative pendant la conférence CanSecWest, c’est LE concours où les meilleurs hackers de la planète viennent montrer leur talent. Les règles sont simples mais brutales : le premier qui réussit à compromettre complètement une machine via une vulnérabilité zero-day gagne le cash et la machine. Cette année-là, la cible star, c’est le MacBook Air qu’Apple vient de sortir deux mois plus tôt. Ultra-fin (1,94 cm le plus épais !), ultra-cher (1 799 dollars en version de base), ultra-sécurisé selon la Pomme. Souvenez-vous, Steve Jobs l’a présenté en le sortant d’une enveloppe en papier kraft. Encore un coup de génie marketing.
L’arène du Pwn2Own où les meilleurs hackers s’affrontent pour casser les systèmes les plus sécurisés
Charlie arrive tranquille, en jean et t-shirt, son laptop sous le bras. Il a passé des semaines à préparer son attaque en secret. Il a trouvé une faille dans la bibliothèque PCRE (Perl Compatible Regular Expressions) utilisée par Safari. Il s’agit d’une faille dans le traitement des expressions régulières qui était publique depuis février 2007 mais qu’Apple n’avait toujours pas corrigée un an plus tard. Négligence ou incompétence ? Peu importe, c’est du pain béni pour Charlie et pour cela, il a développé un exploit ultra-fiable qui contourne toutes les protections : ASLR, sandboxing, tout y passe.
Le jour J arrive enfin. La salle est bondée. Des journalistes, des chercheurs en sécurité, des représentants des vendeurs… Tout le monde retient son souffle. Charlie s’assoit devant le MacBook Air flambant neuf. Il lance Safari, tape l’URL de son serveur malveillant. La page se charge. Elle contient juste une ligne de texte : “PWNED”. Deux minutes chrono. Le MacBook Air est compromis. Charlie a un shell root et peut faire ce qu’il veut de la machine. Il lance Calculator.app pour prouver l’exécution de code. Game over. 10 000 dollars dans la poche et un MacBook Air gratuit. Une foule de geeks l’acclame, les flashs crépitent. Charlie Miller vient d’entrer dans la légende du hacking.
Mais Charlie reste modeste. “L’attaque a duré deux minutes, mais la recherche a pris beaucoup plus de temps.”, précisera-t-il plus tard. “J’ai passé de nombreux jours à faire des recherches et à rédiger l’exploit avant le jour de la compétition. C’est comme quand les gens regardent un match : ils voient le résultat, mais ils ne voient pas toutes les années d’entraînement...” C’est ça, le vrai hacking : 99% de préparation minutieuse, 1% d’exécution spectaculaire. Les médias ne montrent évidemment que la partie visible de l’iceberg.
L’année suivante, en 2009, rebelote. Charlie revient à Pwn2Own et défonce Safari sur Mac OS X 10.5.6 en quelques secondes cette fois. 5 000 dollars de plus (le prix a baissé, la crise est passée par là). La faille ? Un bug dans le parseur de polices de Safari. Puis en 2010, il récidive encore, exploitant cette fois une vulnérabilité dans le traitement des PDF. 10 000 dollars cette fois. Trois victoires d’affilée sur Mac. Du jamais vu dans l’histoire du concours. Même les organisateurs commencent à se demander s’il ne faudrait pas créer une catégorie “Charlie Miller” à part. Les médias le surnomment le “serial killer d’Apple”, le “cauchemar de Cupertino”.
Mais Charlie commence à en avoir sérieusement marre de ce petit jeu. Chaque année, il trouve des failles critiques, Apple les corrige (souvent après des mois de retard), et l’année suivante il en trouve d’autres. C’est un cycle sans fin qui n’améliore pas vraiment la sécurité fondamentale des produits. C’est du colmatage, pas de l’architecture sécurisée. Alors en 2010, après sa troisième victoire consécutive, il lance sa campagne provocatrice “NO MORE FREE BUGS” avec Dino Dai Zovi et Alex Sotirov.
“Les vulnérabilités ont une valeur marchande, il est donc absurde de travailler dur pour trouver un bug, écrire un exploit et ensuite le donner gratuitement.”, déclare-t-il lors d’une conférence de presse improvisée. Et il a totalement raison. Sur le marché gris et noir, une faille iOS zero-day peut se vendre entre 100 000 et 2 millions de dollars selon sa criticité. Des sociétés comme Zerodium ou Azimuth Security sont prêtes à payer des fortunes et les agences de renseignement aussi.
Alors pourquoi donner gratuitement ces failles à Apple qui fait des dizaines de milliards de bénéfices par trimestre et traite les chercheurs en sécurité comme des emmerdeurs ? La communauté est divisée. Certains l’accusent de mercantilisme, d’autres applaudissent son pragmatisme.
Mais le coup le plus spectaculaire et audacieux de Charlie contre Apple, c’est en 2011 quand il découvre une faille architecturale majeure dans iOS. Pour accélérer JavaScript dans Safari Mobile, Apple a créé une exception dans sa politique de signature de code, permettant au navigateur d’exécuter du code non signé avec des privilèges élevés. Charlie réalise qu’il peut exploiter cette exception depuis n’importe quelle app et pour le démontrer de manière spectaculaire, il crée une application appelée InstaStock. En apparence, c’est une app banale qui affiche des cours de bourse en temps réel. Interface minimaliste, fonctionnalités basiques. Le genre d’app qu’Apple valide sans même regarder. Et c’est exactement ce qui se passe : Apple l’approuve et la publie sur l’App Store en septembre 2011.
Sauf qu’InstaStock cache un terrible secret. Une backdoor sophistiquée. Une fois installée, l’app se connecte discrètement à un serveur C&C (Command & Control) chez Charlie, dans son sous-sol à St. Louis. De là, il peut télécharger et exécuter n’importe quel code arbitraire sur l’iPhone, contournant complètement le sandboxing iOS. Lire tous les contacts, activer le micro pour écouter les conversations, prendre des photos avec la caméra, tracker la position GPS, voler les mots de passe du trousseau… Apple a validé un cheval de Troie militarisé. Le loup est dans la bergerie.
Charlie attend patiemment. Septembre passe, octobre aussi… Et Apple ne remarque absolument rien. Des milliers d’utilisateurs téléchargent InstaStock puis en novembre, après deux mois d’attente, il en a marre de ce silence assourdissant. Il décide de forcer la main d’Apple et poste une vidéo sur YouTube où il montre comment il contrôle un iPhone à distance via son app. On le voit taper des commandes sur son laptop, et l’iPhone à côté réagit instantanément : lecture des SMS, activation du vibreur, accès aux photos… C’est la démonstration ultime que l’App Store n’est pas le jardin clos sécurisé qu’Apple prétend. Il prévient aussi Andy Greenberg de Forbes (le journaliste qui avait couvert ses exploits précédents) qui écrit alors un article explosif : “iPhone Hacker Charlie Miller Reveals His Apple App Store Spyware”.
La réaction d’Apple est immédiate, brutale et sans appel. Quelques heures seulement après la publication de l’article de Forbes, Charlie reçoit un email glacial du Developer Relations d’Apple : “La présente lettre constitue une notification de résiliation du Contrat de licence du programme pour développeurs iOS entre vous et Apple, avec effet immédiat. Vous ne pourrez plus soumettre de nouvelles applications ou mises à jour à l’App Store.”
Banni. Viré. Blacklisté. Persona non grata. Apple vient de kicker celui qui les a aidés à corriger des dizaines de failles critiques au fil des ans. L’ironie est mordante.
“Je suis en colère. Je leur signale tout le temps des bogues. Le fait de faire partie du programme des développeurs m’aide à le faire. Ils se font du mal à eux-mêmes et me rendent la vie plus difficile”, rage Charlie dans une série de tweets vengeurs. Mais Apple s’en contrefiche. Pour eux, Miller a franchi la ligne rouge en publiant délibérément une app malveillante et en l’exploitant publiquement. C’est une violation flagrante des conditions d’utilisation, peu importe qu’il l’ait fait pour démontrer une faille de sécurité critique.
La communauté de la sécurité est outrée. Comment Apple peut-il bannir quelqu’un qui les aide gratuitement à sécuriser leurs produits ? Mais Cupertino reste inflexible. Charlie Miller est désormais persona non grata dans l’écosystème iOS.
Apple a banni Charlie Miller de son programme développeur après l’incident InstaStock
Mais malgré cela, Charlie ne chôme pas. Avec Collin Mulliner, un chercheur allemand spécialisé dans la sécurité mobile qu’il a rencontré aux conférences, il s’attaque à un nouveau défi titanesque : la sécurité des SMS sur iPhone. Les SMS, c’est le talon d’Achille de tous les téléphones. Un protocole ancien, mal sécurisé, qui traite des données non fiables venant du réseau.
Le duo développe alors un outil de fuzzing sophistiqué capable de bombarder les téléphones de centaines de milliers de SMS malformés pour trouver des crashs exploitables. L’outil, qu’ils baptisent “SMS Fuzzer”, s’insère entre le processeur et le modem du téléphone, simulant la réception de SMS sans avoir à les envoyer réellement sur le réseau (ce qui coûterait une fortune et alerterait les opérateurs).
Après des mois de fuzzing intensif, bingo ! Ils découvrent une faille absolument terrifiante dans l’iPhone. Un bug dans le décodage des SMS PDU (Protocol Data Unit) qui provoque une corruption mémoire exploitable. Le bug est dans CommCenter, le daemon qui gère toutes les communications de l’iPhone. Game over une nouvelle fois pour Apple.
Et le potentiel est cauchemardesque puisqu’en envoyant une série de 512 SMS spécialement forgé (dont un seul apparaît à l’écran sous forme d’un simple carré), ils peuvent prendre le contrôle total de n’importe quel iPhone à distance. Pas besoin que la victime clique sur quoi que ce soit. Pas besoin qu’elle ouvre le message. Il suffit que son téléphone reçoive les SMS. C’est l’attaque parfaite : invisible, indétectable, imparable. Un véritable missile guidé numérique.
“Les SMS constituent un incroyable vecteur d’attaque pour les téléphones mobiles. Tout ce dont j’ai besoin, c’est de votre numéro de téléphone. Je n’ai pas besoin que vous cliquiez sur un lien, que vous visitiez un site web ou que vous fassiez quoi que ce soit.”, explique Charlie. C’est le hack ultime : totalement passif pour la victime, totalement actif pour l’attaquant. Avec cette faille, on peut espionner n’importe qui sur la planète du moment qu’on a son numéro. Chefs d’État, PDG, journalistes, activistes… Personne n’est à l’abri.
Juillet 2009, Las Vegas. Black Hat, la plus grande conférence de sécurité au monde. Le Mandalay Bay Convention Center grouille de hackers, de fédéraux et de vendeurs de solutions de sécurité. Charlie et Collin montent sur la scène principale pour présenter leur découverte. Il y a 3000 personnes dans la salle. “Fuzzing the Phone in Your Pocket”, annonce le titre sobre de leur présentation. Dans le public, Elinor Mills, une journaliste respectée de CNET, sert courageusement de cobaye. Elle a donné son numéro de téléphone et attend, iPhone 3GS à la main.
Black Hat, où Charlie et Collin ont démontré le hack SMS dévastateur de l’iPhone
Charlie lance alors l’attaque depuis son laptop. 512 SMS partent vers le téléphone d’Elinor. Sur scène, un écran géant montre les logs en temps réel. Le public voit les paquets partir, le réseau les acheminer. Soudain, l’iPhone d’Elinor se fige. L’écran devient noir. Puis il redémarre. Quand il revient à la vie, Charlie a le contrôle total. Il fait vibrer le téléphone à distance. Ouvre l’appareil photo. Lit les contacts. La salle est médusée. Certains filment avec leur propre iPhone, réalisant soudain la vulnérabilité de leur appareil.
“Un instant, je parle à Miller et l’instant d’après, mon téléphone est mort.”, raconte Mills, encore sous le choc. “Ensuite, il se rallume mais je ne peux pas passer d’appels. Il est complètement sous leur contrôle. C’était terrifiant.”
La démo est un triomphe total. Le public est en standing ovation. Twitter s’enflamme. La nouvelle fait le tour du monde en quelques heures et Apple, qui avait été prévenu un mois plus tôt mais n’avait rien fait (classique), se réveille enfin. Le lendemain matin, coup de théâtre : Apple sort iOS 3.0.1 en urgence absolue qui corrige la faille. Un patch d’urgence un samedi matin, du jamais vu chez Apple. La pression médiatique a payé.
Cette histoire SMS est typique de l’approche Charlie Miller. Il ne se contente pas de trouver des bugs mineurs. Il trouve des bugs critiques, architecturaux, qui remettent en question la sécurité fondamentale des systèmes. Il démontre leur dangerosité de manière spectaculaire et indéniable et il force les vendeurs à réagir en rendant ses recherches publiques. C’est du “responsible disclosure” version commando : on prévient discrètement, mais si rien ne bouge, on sort l’artillerie lourde.
En 2012, Twitter cherche désespérément à renforcer sa sécurité. La plateforme a été hackée plusieurs fois, des comptes de célébrités compromis, des données volées. Ils ont besoin du meilleur. Dick Costolo, le CEO, donne alors carte blanche pour recruter. Ils appellent Charlie. L’ironie est délicieuse : banni par Apple pour avoir trop bien fait son travail, il est recruté par Twitter pour exactement les mêmes raisons. Charlie rejoint donc l’équipe de sécurité produit comme chercheur principal et pentester. Son boulot : casser Twitter avant que les méchants ne le fassent. Trouver les failles, développer les exploits, proposer les corrections.
Twitter a recruté Charlie Miller après qu’Apple l’ait banni
Pendant trois ans, Charlie va bosser dans les bureaux de Twitter à San Francisco, au cœur de SoMa. Il trouve des dizaines de vulnérabilités critiques, améliore l’architecture de sécurité, forme les développeurs. Mais en 2015, un nouveau défi titanesque l’attend. Un défi qui va révolutionner non pas l’industrie tech, mais l’industrie automobile et changer à jamais notre perception de la sécurité des voitures modernes.
Charlie rencontre Chris Valasek à une conférence de sécurité. Chris, c’est son alter ego. Un autre génie de la sécurité, spécialisé dans les systèmes embarqués et l’IoT. Directeur de recherche chez IOActive, il a le même état d’esprit que Charlie : casser les trucs pour les rendre plus sûrs. Les deux compères se découvrent une passion commune complètement folle : et si on hackait des voitures ? Pas des vieilles caisses avec des systèmes simples, non, non, des voitures modernes, connectées, bourrées d’électronique et d’ordinateurs. Des data centers sur roues.
Ils commencent alors modestement en 2013. Avec une bourse de 80 000 dollars de la DARPA (l’agence de recherche du Pentagone), ils s’attaquent à une Ford Escape et une Toyota Prius de 2010. Ils achètent les voitures d’occasion, les démontent, analysent les systèmes. Avec des câbles OBD-II branchés directement sur le bus CAN (Controller Area Network), le réseau qui connecte tous les calculateurs de la voiture, ils arrivent à tout contrôler : direction, freins, accélération, tableau de bord… C’est flippant, mais il faut être physiquement dans la voiture avec un laptop et des câbles partout. Pas très pratique pour une attaque réelle. Leur paper “Adventures in Automotive Networks and Control Units” fait sensation à DEF CON, mais l’industrie automobile balaie leurs inquiétudes d’un revers de main. “Il faut un accès physique, ce n’est pas réaliste”, disent les constructeurs.
Charlie et Chris veulent alors aller plus loin. Beaucoup plus loin. Ils veulent prouver qu’on peut hacker une voiture à distance, sans fil, comme dans les films. Une attaque vraiment dangereuse. Ils passent des mois à étudier les voitures connectées du marché et leur choix se porte sur la Jeep Cherokee de 2014. Pourquoi ? Parce qu’elle a Uconnect, un système d’infodivertissement ultra-moderne connecté à Internet via le réseau cellulaire Sprint. GPS, streaming audio, hotspot Wi-Fi, diagnostics à distance… Bref, une voiture avec une adresse IP publique. Le rêve absolu de tout hacker. Ou le cauchemar de tout conducteur, selon le point de vue.
La Jeep Cherokee 2014, première voiture hackée à distance par Miller et Valasek
Pendant des mois, dans le garage de Chris, Charlie et lui dissèquent méthodiquement le système Uconnect. Ils dumpent le firmware, analysent les binaires, tracent les communications réseau. C’est un travail de titan car le système est complexe, avec plusieurs processeurs, des OS différents (QNX pour l’unité principale, ThreadX pour le modem), des protocoles propriétaires. Mais petit à petit, ils remontent la chaîne. Ils trouvent des ports ouverts (6667, 4321, 51966), des services mal configurés, des mots de passe par défaut, l’absence de signature sur les mises à jour firmware. Une vraie passoire. Harman, le fabricant du système, a fait du beau hardware mais a complètement négligé la sécurité logicielle.
D’abord, ils obtiennent l’accès au système d’infodivertissement et de là, ils découvrent qu’ils peuvent reflasher le firmware du chip V850 qui fait le pont avec le bus CAN. Une fois ce firmware modifié, ils ont accès en écriture au bus CAN de la voiture. Game over ! Ils peuvent envoyer n’importe quelle commande CAN, se faisant passer pour n’importe quel calculateur. Cela veut dire que si le calculateur de frein pense recevoir des ordres du calculateur central, et bien il obéit aveuglément. Pas d’authentification, pas de chiffrement, rien. Les voitures sont conçues en supposant que le bus CAN est de confiance. Grosse erreur !!
Été 2015. Après presque deux ans de recherche, ils sont enfin prêts pour la démo de leur vie. Ils contactent Andy Greenberg de Wired (oui, encore lui, c’est devenu leur journaliste attitré) et leur plan est simple mais terrifiant : Greenberg conduira une Jeep Cherokee sur l’autoroute pendant que Charlie et Chris la hackeront depuis le canapé de Charlie, à 10 miles de distance. Une attaque 100% remote, sans aucun accès physique préalable à la voiture. Du jamais vu.
Le jour J, Greenberg prend le volant. Il est nerveux, et on le comprend. Il roule sur l’Interstate 64 près de St. Louis, une autoroute à 4 voies où les camions foncent à 70 mph. Charlie et Chris sont dans le sous-sol de Charlie, devant leurs laptops. Ils se connectent à la Jeep via le réseau Sprint. D’abord, ils s’amusent. La clim se met à fond. La radio passe du hip-hop de Skee-lo à volume maximum. Les essuie-glaces s’activent, aspergeant le pare-brise de liquide lave-glace. Greenberg garde son calme. Il sait que c’est Charlie et Chris. Pour l’instant, c’est juste agaçant, pas dangereux.
Puis ça devient très, très sérieux. Sans prévenir, le moteur coupe. En pleine autoroute. À 70 mph. Greenberg appuie sur l’accélérateur. Rien. La Jeep de 2 tonnes commence à ralentir rapidement. Dans le rétroviseur, il voit un semi-remorque Mack qui arrive à toute vitesse. La panique monte. Il sue à grosses gouttes. Les mains crispées sur le volant, il se déporte sur la voie de droite, évitant de justesse de se faire emboutir. La Jeep continue de ralentir. 60 mph, 50, 40… Les voitures le doublent en klaxonnant furieusement. Certains conducteurs lui font des doigts d’honneur, pensant qu’il est saoul ou qu’il textote.
“Je vais m’arrêter !”, crie Greenberg dans son téléphone. “NON ! NON ! Continue de conduire !”, répondent Charlie et Chris. Ils veulent que la démo soit réaliste. Pas de complaisance. Finalement, après 30 secondes d’angoisse pure (qui ont dû paraître des heures), ils relancent le moteur. Greenberg peut à nouveau accélérer. Il tremble encore. “J’ai besoin d’une bière”, dira-t-il plus tard. On le comprend.
Mais Charlie et Chris ne sont pas sadiques. “Nous aurions pu être beaucoup plus méchants.”, confiera Charlie plus tard avec son sourire malicieux. “Nous aurions pu tourner le volant ou désactiver les freins à 110 km/h. Mais nous n’essayons pas de tuer quelqu’un, nous voulons juste prouver quelque chose.” Et quel preuve ! Ils viennent de démontrer qu’on peut assassiner quelqu’un à distance via Internet. Plus besoin de scier les câbles de frein ou de trafiquer la direction. Une connexion 3G suffit.
L’article de Wired, publié le 21 juillet 2015, fait alors l’effet d’une bombe atomique dans l’industrie automobile. “Hackers Remotely Kill a Jeep on the Highway - With Me in It”. Les médias du monde entier reprennent l’histoire. CNN, BBC, Fox News, Le Monde, Der Spiegel… Charlie et Chris sont partout. Les images de la Jeep incontrôlable sur l’autoroute font le tour du monde, et évidemment, les actions de Fiat Chrysler chutent. Les politiques s’en mêlent également. Les sénateurs Ed Markey et Richard Blumenthal déposent un projet de loi sur la cybersécurité automobile. Bref, c’est la panique totale à Detroit.
Wired Magazine a publié l’article explosif sur le hack de la Jeep qui a changé l’industrie
Fiat Chrysler réagit en mode crise absolue. Le 24 juillet 2015, trois jours après l’article, ils annoncent le rappel immédiat de 1,4 million de véhicules. 1,4 MILLION ! C’est le premier rappel de masse de l’histoire automobile pour un problème de cybersécurité. Pas de pièce défectueuse, pas de problème mécanique. Juste du code bugué. Ils envoient des clés USB à tous les propriétaires pour patcher le système Uconnect. Ils coupent aussi l’accès Sprint aux ports vulnérables côté réseau. Le coût total ? Plus de 500 millions de dollars entre le rappel, les patchs, les amendes et les procès. Sans compter les dégâts à leur réputation.
“C’est la première fois qu’un produit fabriqué en série fait l’objet d’un rappel physique en raison d’un problème de sécurité logiciel.”, note Charlie avec une pointe de fierté. Il a raison. C’est historique. Un moment charnière dans l’industrie automobile, qui se croyait à l’abri dans son monde de mécanique et d’ingénierie traditionnelle, et qui vient de réaliser brutalement qu’elle fait maintenant partie du monde numérique. Les voitures ne sont plus des objets mécaniques avec un peu d’électronique. Ce sont des ordinateurs sur roues, avec tous les risques que cela implique. Et comme tous les ordinateurs, elles peuvent être hackées. Par des ados dans leur chambre. Par des criminels. Par des services de renseignement. Par des terroristes.
La NHTSA (National Highway Traffic Safety Administration) inflige alors une amende record de 105 millions de dollars à Fiat Chrysler pour avoir mis en danger la vie des conducteurs. C’est d’ailleurs la plus grosse amende de l’histoire de l’agence et le message est clair : la cybersécurité automobile n’est plus optionnelle. C’est une question de vie ou de mort. Littéralement.
L’avis de rappel historique de 1,4 million de véhicules suite au hack de Miller et Valasek
Charlie et Chris deviennent instantanément les rock stars de la cybersécurité automobile. Tout le monde veut les recruter. Les constructeurs, terrifiés, réalisent qu’ils ont besoin de vrais experts en sécurité, pas juste des ingénieurs qui bricolent. Alors en août 2015, un mois après le hack de la Jeep, Uber les embauche tous les deux. La boîte de VTC mise gros sur les voitures autonomes avec son programme Advanced Technologies Group à Pittsburgh et ils ont besoin des meilleurs pour sécuriser leur future flotte de robotaxis. Alors qui de mieux que les deux mecs qui ont réveillé toute l’industrie ?
Chez Uber, Charlie et Chris deviennent les architectes de la sécurité des véhicules autonomes. Un défi colossal car si hacker une Jeep Cherokee est dangereux, imaginez hacker une flotte entière de voitures sans conducteur. C’est Terminator puissance 1000. Ils mettent en place des processus de sécurité drastiques : revue de code systématique, tests d’intrusion continus, architecture sécurisée by design, chiffrement de bout en bout, authentification mutuelle entre composants… Fini l’amateurisme de l’industrie automobile traditionnelle.
Mais le duo mythique ne reste pas longtemps ensemble. En mars 2017, après 18 mois chez Uber, Charlie reçoit une offre impossible à refuser. Didi Chuxing, le “Uber chinois” qui a racheté les opérations d’Uber en Chine, veut créer un lab de sécurité automobile aux États-Unis et ils lui proposent de le diriger, avec un salaire mirobolant et une équipe à rassembler. Charlie accepte et pour la première fois depuis le hack de la Jeep, les deux compères sont séparés. Chris, lui, reste chez Uber comme responsable de la sécurité véhicule.
Malheureusement, l’aventure Didi est courte. Très courte. Quatre mois seulement pour que Charlie réalise vite que bosser pour une boîte chinoise depuis la Californie, c’est mission impossible. Les différences culturelles sont énormes sans parler des réunions à 2h du matin pour s’aligner avec Beijing ou encore de la barrière de la langue (Charlie ne parle pas mandarin). Et surtout, les objectifs business sont flous. C’est une bureaucratie kafkaïenne alors en juillet 2017, il jette l’éponge. “Ce fut une expérience intéressante, mais qui ne me convenait finalement pas.”, dira-t-il diplomatiquement. Traduction : c’était l’enfer.
Mais Chris a un plan. Pendant que Charlie galérait chez Didi, il a négocié en secret avec Cruise Automation, la filiale de General Motors spécialisée dans les voitures autonomes. Rachetée pour plus d’un milliard de dollars en 2016, Cruise est le concurrent direct de Waymo (Google) et d’Uber dans la course aux robotaxis. Ils veulent construire l’équipe de sécurité la plus solide du secteur alorrs Chris leur dit : “Je viens, mais seulement si vous prenez Charlie aussi.” Deal. Et en juillet 2017, juste après que Charlie ait quitté Didi, ils annoncent rejoindre Cruise ensemble. Les “Jeep hackers” sont réunis. L’équipe de choc est reformée.
Chez Cruise, Charlie devient alors Principal Autonomous Vehicle Security Architect, et Chris Team Lead of Security et leur mission est de s’assurer que personne ne puisse faire aux voitures autonomes de GM ce qu’ils ont fait à la Jeep Cherokee. C’est un défi titanesque puisqu’un voiture autonome Cruise, c’est +40 calculateurs, des millions de lignes de code, des dizaines de capteurs (LiDAR, caméras, radars, ultrasons), des connexions permanentes au cloud pour les mises à jour et la télémétrie, de l’IA qui prend des décisions critiques 10 fois par seconde. Chaque composant est une porte d’entrée potentielle et chaque ligne de code est une vulnérabilité possible.
“Une fois que j’ai écrit un exploit capable de contrôler une automobile, j’ai compris que les choses devenaient sérieuses”, confie Charlie dans une rare interview. “Il ne s’agit plus de voler des cartes de crédit ou de défacer des sites web. Il s’agit de missiles de deux tonnes qui se déplacent tout seuls dans les villes.”
Et il a raison d’être inquiet car si quelqu’un hacke une flotte de robotaxis, c’est potentiellement un massacre. Imaginez 100 voitures autonomes qui accélèrent en même temps dans une foule. C’est le scénario cauchemardesque que Charlie et Chris doivent empêcher.
Le travail chez Cruise est fascinant mais ultra-confidentiel et Charlie ne peut plus faire de démos spectaculaires ou publier ses recherches. Il est redevenu, d’une certaine manière, l’agent secret qu’il était à la NSA. La différence ? Cette fois, il protège des vies humaines directement alors chaque faille qu’il trouve et corrige, c’est potentiellement un accident évité, des morts empêchées.
Le Cruise Origin, véhicule autonome sans volant ni pédales, sécurisé par l’équipe de Charlie Miller
Aujourd’hui, fin 2025, Charlie Miller continue de bosser chez Cruise. À 52 ans, il est une légende vivante de la cybersécurité. Le gamin solitaire d’Affton qui avait perdu sa mère trop tôt est devenu l’un des hackers les plus respectés et influents de la planète. Pas étonnant quand on voit son palmarès absolument hallucinant. Premier à hacker publiquement l’iPhone (2007). Premier à hacker Android - il a défoncé le T-Mobile G1 le jour même de sa sortie (2008). Quatre fois champion de Pwn2Own (2008, 2009, 2010, 2011) - un record encore inégalé. Des dizaines de failles critiques découvertes dans Safari, iOS, Mac OS X. Le hack SMS de l’iPhone qui a forcé Apple à patcher en urgence (2009). L’affaire InstaStock qui lui a valu son bannissement d’Apple (2011). Et bien sûr, LE hack de la Jeep Cherokee (2015) qui a changé pour toujours l’industrie automobile et créé le domaine de la cybersécurité automobile. Sans oublier ses contributions continues à la sécurité de Twitter, Uber, Didi et maintenant Cruise.
Mais ce qui frappe le plus chez Charlie, au-delà de ses exploits techniques, c’est sa philosophie. Il ne hacke pas pour la gloire, l’argent ou le chaos (même s’il ne crache pas sur les 10 000 dollars de Pwn2Own). Il hacke pour rendre le monde numérique plus sûr car chaque faille qu’il trouve et rapporte, c’est une faille que les vrais méchants (criminels, espions, terroristes…) ne pourront pas exploiter. Charlie est un white hat dans l’âme.
“J’ai essentiellement appris sur le tas, ce qui est une excellente façon de faire si vous le pouvez”, dit-il de ses débuts à la NSA. Cette humilité, c’est sa marque de fabrique car malgré son CV stratosphérique, Charlie reste accessible, drôle, humble. Sur Twitter (@0xcharlie), il partage ses réflexions sur la sécurité, plaisante avec la communauté, donne des conseils aux jeunes hackers. Pas de condescendance, pas d’élitisme.
@0xcharlie reste actif sur les réseaux sociaux pour partager ses connaissances avec la communauté
L’histoire de Charlie Miller, c’est aussi l’histoire de l’évolution du hacking et de la cybersécurité. Dans les années 2000, c’était encore un truc de geeks dans leur garage, un hobby pour étudiants en informatique et aujourd’hui, c’est un enjeu de sécurité nationale, un secteur qui pèse des milliards, une arme de guerre. Les voitures, les téléphones, les infrastructures critiques, les implants médicaux, les centrales nucléaires… tout est connecté, tout est hackable. Le monde physique et le monde numérique ont fusionné, avec toutes les opportunités et tous les dangers que cela implique.
Et Charlie a été pionnier dans cette transformation. Il a montré que le hacking n’était pas qu’une affaire de serveurs web et de bases de données SQL. Il a prouvé qu’on pouvait hacker des objets du quotidien (téléphones, voitures…etc) avec des conséquences potentiellement mortelles. Il a aussi forcé des industries entières à repenser leur approche de la sécurité. Avant lui, Apple pensait que l’obscurité était une défense suffisante. Avant lui, l’industrie automobile pensait que le bus CAN était un détail technique interne sans importance.
Il leur a prouvé qu’ils avaient tort. Brutalement.
Bref, la prochaine fois que vous déverrouillez votre iPhone d’un glissement de doigt, que vous montez dans votre voiture connectée, ou que vous installez une mise à jour de sécurité critique, pensez à Charlie Miller.
Et si vous croisez une Jeep Cherokee sur l’autoroute, gardez vos distances, on ne sait jamais… Charlie et Chris ont peut-être gardé quelques exploits dans leur manche, après tout, les meilleurs hackers ne révèlent jamais tous leurs secrets. 😉
Sources : Wikipedia - Charlie Miller, Wired - Hackers Remotely Kill a Jeep on the Highway, St. Louis Magazine - A Hacker’s Life, InfoSecurity Magazine - Interview Charlie Miller, Network World - Apple bans Charlie Miller, Kaspersky - Jeep Cherokee hack explained, CNBC - Miller and Valasek join Cruise, TechCrunch - Miller and Valasek at TC Sessions 2022
Ou comment les espions cherchent leurs futurs Mister Q.
Avis aux créateurs de contenus : de faux logiciels CapCut circulent pour vous piéger. Des cybercriminels ont créé de fausses versions du célèbre logiciel de montage, promettant de nouvelles fonctionnalités d’IA. Leur but ? Vous pousser à télécharger un fichier malveillant capable de prendre le contrôle total de vos appareils.
Le 4 juillet 2025, un informaticien de la société C&M Software est arrêté par la police de Sao Paulo. L'homme est suspecté d'avoir aidé des cybercriminels à infiltrer les systèmes de l'entreprise pour 15 000 réais, environ 2 300 euros. Le piratage de la société, qui assure l’interconnexion entre les banques et un système de paiement, aurait permis aux hackers de détourner près de 90 millions d’euros. Rentable.
L'Amazon Prime Day (qui s’étend sur 3 jours, malgré son nom) débute le 8 juillet 2025. L'occasion pour des millions de consommateurs de dénicher les bonnes affaires sur la plus grande marketplace du monde. C'est aussi un terrain de chasse privilégié pour les hackers qui souhaitent profiter de la frénésie ambiante.
Une étude de la société de cybersécurité Netcraft révèle que des cybercriminels exploitent les errances des LLMs comme ChatGPT ou Perplexity. Cette nouvelle méthode de piratage repose sur les faux liens renvoyés par les IA génératives.
Le FBI met le secteur aérien en état d’alerte. Les compagnies internationales et leurs partenaires sont ciblés par une nouvelle vague d’attaques informatiques, orchestrées par le groupe « Scattered Spider ». Ces hackers, déjà célèbres pour avoir frappé des casinos et de grandes entreprises américaines, semblent désormais avoir jeté leur dévolu sur l’aviation civile.
Fancy Bear, Brass Typhoon… Les noms des groupes APT (Advanced Persistant Threat) font régulièrement la Une. Mais derrière ces appellations obscures, se cache une réalité peu connue : dans la plupart des cas, ces groupes réputés pour être affiliés à des États ne choisissent pas leurs noms. Explications.
Son arrestation faisait l'objet de rumeurs depuis plusieurs mois, c'est désormais officiel : Kai West, alias « Intelbrocker », a été arrêté en février 2025 en France. Le FBI l'a annoncé dans un communiqué le mercredi 25 juin.
La scène cyber française vient de connaître un séisme : 4 jeunes hackers sont soupçonnés d’avoir administré le célèbre site cybercriminel Breach Forums. Ils ont été interpellés, le 25 juin 2025, par la Brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police de Paris.
Un groupe de hackers, supposément lié à Israël, revendique une cyberattaque majeure contre la banque Sepah, institution clé du système financier iranien. Ils assurent avoir « détruit toutes les données » de la banque.
Coinbase, l’une des plus grandes plateformes de cryptomonnaies au monde, a été victime d’un piratage sophistiqué. Face à une demande de rançon de 20 millions de dollars et une fuite de données sensibles, l’entreprise a décidé de retourner la menace contre ses auteurs : elle propose la même somme à quiconque permettra de les identifier.
Connexion
