Aujourd’hui, pour ma série de l’été, je vais vous raconter l’histoire complètement dingue de Marcus Hutchins, le britannique qui a sauvé le monde d’une catastrophe et ça lui a coûté seulement 10,69 dollars. Mais attention, ce n’est pas juste l’histoire d’un héros. C’est aussi celle d’un ancien créateur de malware, d’exploits volés à la NSA, de hackers nord-coréens, et d’un kill switch découvert par accident un vendredi après-midi de mai 2017.

Du héros au criminel, du criminel au héros, l’histoire de Marcus Hutchins ressemble à un scénario de film qu’Hollywood n’oserait même pas écrire tellement c’est gros. Accrochez-vous, car on va explorer ensemble comment un surfeur de 22 ans vivant chez ses parents a stoppé la plus grande cyberattaque de l’histoire… avant de se faire coffrer par le FBI trois mois plus tard.

Marcus Hutchins, alias MalwareTech - Le hacker qui a sauvé Internet

Marcus Hutchins naît le 2 juin 1994 à Bracknell, une ville tranquille du Berkshire, en Angleterre. Sa famille déménage ensuite à Ilfracombe, une petite station balnéaire du Devon où il passe son enfance. Un coin paumé du sud-ouest anglais où il ne se passe pas grand-chose… le genre d’endroit où un gamin intelligent peut vite s’ennuyer et chercher des trucs à faire sur Internet.

Dès l’âge de 6 ans, Marcus montre des signes d’une intelligence au-dessus de la moyenne. Il apprend à lire tout seul, dévore les livres, et se passionne pour les ordinateurs dès qu’il peut en toucher un. Mais socialement, c’est compliqué. Marcus est le genre de gosse brillant mais inadapté, celui qui préfère passer ses récréations à coder plutôt qu’à jouer au foot avec les autres. Il souffre de TDAH non diagnostiqué, ce qui complique encore plus son intégration sociale.

Ilfracombe, Devon - Où tout a commencé pour le futur MalwareTech

À 13 ans, Marcus découvre le hacking et pas par hasard. Il cherche des moyens de contourner les restrictions parentales sur son ordinateur, pour accéder à des sites bloqués… bref, les trucs classiques d’un ado curieux. Il tombe alors sur HackForums et d’autres communautés underground, et là, c’est la révélation. Il découvre un monde où son intelligence et sa curiosité sont valorisées, et où être différent est un atout.

Marcus commence doucement. Il apprend le C++, le Python, l’assembleur. Il passe ses nuits sur les forums, absorbe tout ce qu’il peut sur la sécurité informatique. À 14 ans, il écrit déjà ses premiers exploits et commence à se faire un nom dans la communauté sous le pseudo MalwareTech. Ses parents s’inquiètent de le voir passer autant de temps devant son écran, mais bon, au moins il ne traîne pas dans la rue, pas vrai ?

Entre 14 et 16 ans, Marcus plonge de plus en plus profondément dans le monde du malware. Il commence par analyser des virus existants, les désassemble, comprend comment ils fonctionnent. Puis il se met à créer ses propres outils. Rien de méchant au début, juste des proof-of-concept pour impressionner ses potes sur les forums.

Mais rapidement, la frontière entre l’expérimentation et la criminalité devient floue. Marcus commence à vendre ses créations sur des forums underground. Un rootkit par-ci, un crypter par-là. Il se fait de l’argent de poche en créant des outils que d’autres utilisent pour des activités criminelles. Pour lui, c’est juste un jeu, un moyen de prouver ses compétences et de gagner un peu d’argent.

En 2012, à 18 ans, Marcus développe ce qui deviendra son plus gros problème : UPAS Kit, un malware sophistiqué capable de voler des informations bancaires. Il vend le code source pour quelques milliers de dollars à un acheteur anonyme sur un forum russe. L’argent c’est cool, et Marcus ne pense pas vraiment aux conséquences. C’est là qu’il rencontre “Vinny”, un cybercriminel expérimenté qui voit le potentiel du code de Marcus.

Entre 2012 et 2015, Marcus et Vinny développent Kronos, une version améliorée d’UPAS Kit. Kronos est un cheval de Troie bancaire redoutable, capable d’intercepter les identifiants bancaires, de contourner l’authentification à deux facteurs, et de voler des millions. Marcus code, Vinny vend. Le malware se retrouve alors sur AlphaBay et d’autres marchés du dark web, vendu 7000 dollars la licence. Comme Zeus avant lui, Kronos utilise une combinaison de keylogging et d’injection web pour voler les identifiants bancaires directement depuis les sessions de navigation.

Le code source de Kronos - L’erreur de jeunesse qui coûtera cher

Mais en 2015, Marcus a une prise de conscience. Il réalise que son code est utilisé pour ruiner de vraies personnes, voler leurs économies, détruire des vies. Il décide donc d’arrêter, il coupe les ponts avec Vinny, abandonne ses activités criminelles, et décide de passer du côté lumineux de la Force.

Marcus lance alors le blog MalwareTech.com et commence à publier des analyses détaillées de malwares. Ses articles sont brillants, techniques, et il est rapidement remarqués par la communauté de la cybersécurité. En 2016, il décroche alors un job chez Kryptos Logic, une boîte de cybersécurité basée à Los Angeles. Pour la première fois de sa vie, Marcus a un vrai travail, légal, où ses compétences sont utilisées pour protéger plutôt que pour attaquer.

Personne ne sait rien de son passé. Pour tous, MalwareTech est juste un jeune chercheur talentueux qui a appris sur le tas. Marcus garde son secret, espère que son passé ne le rattrapera jamais. Il travaille dur, publie des recherches de qualité, aide à stopper des campagnes de malware. La rédemption semble à portée de main.

Le siège de la NSA - D’où vont fuiter les cyberarmes

Pendant que Marcus reconstruit sa vie, de l’autre côté de l’Atlantique, la NSA développe ses propres outils. Parmi eux, un exploit particulièrement vicieux baptisé EternalBlue. Cet exploit exploite une vulnérabilité dans le protocole SMBv1 de Windows, permettant d’exécuter du code à distance sur n’importe quelle machine Windows vulnérable, sans aucune interaction de l’utilisateur.

EternalBlue, c’est la Rolls-Royce des exploits. Vous êtes connecté au même réseau qu’une machine vulnérable ? Boum, vous pouvez la contrôler. C’est l’outil parfait pour l’espionnage. Le problème, c’est que la NSA garde cet exploit secret pendant des années. Au lieu de prévenir Microsoft pour qu’ils corrigent la faille, ils préfèrent garder leur jouet pour leurs opérations.

En 2016, un groupe mystérieux appelé les Shadow Brokers fait son apparition. Personne ne sait vraiment qui ils sont… des hackers russes ? Des insiders de la NSA ? Le mystère reste entier. Ce qui est sûr, c’est qu’ils ont mis la main sur les outils de l’équipe d’élite de la NSA, l’Equation Group.

Les Shadow Brokers tentent d’abord de vendre ces outils aux enchères pour 1 million de bitcoins. Personne ne mord à l’hameçon. Le 14 avril 2017, frustrés de ne pas avoir trouvé d’acheteurs, ils balancent tout gratuitement sur Internet. Dans le lot : EternalBlue, DoublePulsar, et une collection d’autres cyberarmes. C’est comme si quelqu’un venait de publier les plans d’une bombe atomique numérique.

Microsoft avait été prévenu alors un mois avant la publication par les Shadow Brokers, le 14 mars 2017, ils sortent le patch MS17-010. La faille est corrigée pour toutes les versions de Windows encore supportées. Mais voilà le problème… des millions de machines tournent encore sous Windows XP, Windows Server 2003, des systèmes qui ne reçoivent plus de mises à jour depuis des années. Et puis y’a tous ceux qui ne patchent jamais.

Quelque part en Corée du Nord, le Lazarus Group voit une opportunité. Ces hackers d’élite du régime de Kim Jong-un (les mêmes qui ont hacké Sony Pictures en 2014 et volé 81 millions à la banque du Bangladesh en 2016) décident d’utiliser EternalBlue pour créer quelque chose de nouveau : un ransomware capable de se propager tout seul.

Le 12 mai 2017, à 7h44 UTC, l’attaque commence et les premières victimes sont en Asie, probablement parce que l’attaque a été lancée pendant les heures de bureau là-bas. WannaCry (aussi appelé WannaCrypt, WanaCrypt0r 2.0, ou Wanna Decryptor) n’est pas un ransomware ordinaire. C’est un ver qui scanne le réseau local et Internet à la recherche d’autres victimes vulnérables sur le port 445 (SMB).

L’écran de la mort WannaCry - “Oops, your files have been encrypted!”

Le ransomware chiffre les fichiers de la victime avec un algorithme RSA-2048. Les documents, photos, vidéos, tout y passe, puis il affiche son fameux écran rouge demandant 300$ en Bitcoin, doublé à 600$ après trois jours. Si vous ne payez pas dans la semaine, vos fichiers sont perdus pour toujours. Mais le plus vicieux, c’est la vitesse de propagation car chaque machine infectée devient immédiatement un nouveau vecteur d’infection. Une machine en infecte dix, qui en infectent cent, qui en infectent mille…

En quelques heures, c’est la panique mondiale. En Espagne, Telefónica est touché, en Russie, c’est le ministère de l’Intérieur qui est frappé avec plus de 1000 ordinateurs infectés. FedEx est paralysé, leur filiale TNT Express doit revenir aux opérations manuelles et Renault doit arrêter la production dans plusieurs usines.

Mais c’est au Royaume-Uni que l’impact est le plus dramatique. Le NHS, le service de santé public britannique, est frappé de plein fouet. 81 des 236 fiducies du NHS sont touchés ainsi que plus de 595 cabinets de médecins généralistes. Les conséquences sont immédiates et terrifiantes.

Les hôpitaux britanniques paralysés par WannaCry

Les médecins ne peuvent plus accéder aux dossiers des patients, les systèmes de rendez-vous sont hors service, les résultats de tests sanguins, inaccessibles. Les scanners et IRM dans certains hôpitaux ne fonctionnent plus. Des ambulances doivent être détournées vers d’autres hôpitaux. 19 000 rendez-vous sont annulés, des opérations non urgentes reportées. Le coût pour le NHS est de 92 millions de livres sterling soit 20 millions en perte d’activité immédiate et 72 millions pour restaurer les systèmes.

Un médecin raconte : “C’était le chaos total. On avait des Post-it partout pour noter les informations vitales. On faisait des allers-retours entre les services pour transmettre les résultats de tests à la main. C’était comme revenir 30 ans en arrière, mais sans y être préparé.”

Pendant ce temps, à Ilfracombe dans le Devon, Marcus Hutchins se réveille. Il est en vacances, censé se détendre et faire du surf. Mais les alertes sur son téléphone lui disent que quelque chose de grave se passe. Marcus a maintenant 22 ans, et il travaille depuis sa chambre d’enfance sur un setup à trois écrans. Il interrompt son déjeuner et se met au travail.

Marcus télécharge un échantillon du malware et le fait tourner dans une sandbox, et là, il remarque quelque chose d’étrange. Avant de chiffrer les fichiers, le malware essaie de contacter un domaine : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Un nom de domaine complètement random, 42 caractères de charabia. Marcus vérifie et constate que le domaine n’existe pas.

Par curiosité professionnelle et réflexe d’analyse, Marcus décide alors d’enregistrer le domaine pour tracker l’infection. Ça lui coûte 10,69 dollars sur NameCheap et il configure quelques serveurs pour logger les connexions, une pratique courante appelée “sinkholing”. Et à 15h03 UTC, le domaine est actif.

Ce que Marcus ne réalise pas immédiatement, c’est qu’il vient de sauver le monde. En enregistrant ce domaine, il a activé sans le savoir le “kill switch” de WannaCry car le malware était programmé pour s’arrêter si ce domaine existait.

Pourquoi ce kill switch ? La théorie la plus probable c’est que c’était un mécanisme d’anti-analyse. Les sandboxes répondent souvent positivement à toutes les requêtes DNS pour tromper les malwares. Comme ça, si le domaine existe, WannaCry pense qu’il est dans une sandbox et s’arrête pour ne pas révéler son comportement aux chercheurs. Sauf que cette fois, c’est dans le monde réel qu’il obtient une réponse.

10,69$ - Le prix pour sauver le monde

Marcus publie immédiatement ses découvertes sur Twitter et son blog. Il écrit : “Je dois avouer que je ne savais pas qu’enregistrer le domaine stopperait le malware jusqu’à ce que je l’enregistre, donc au départ c’était accidentel.” La nouvelle se répand comme une traînée de poudre. Un inconnu vient de stopper la plus grande cyberattaque de l’histoire !

Comme d’hab, les médias s’emballent. Mais qui est ce mystérieux @MalwareTechBlog ? Les journalistes britanniques ne mettent pas longtemps à découvrir l’identité de Marcus et le Daily Mail titre : “Le surfeur qui a sauvé le monde”. Des reporters campent devant la maison de ses parents et Marcus doit escalader la clôture du jardin pour aller chercher à manger sans se faire harceler.

L’impact de la découverte de Marcus est énorme car sans le kill switch, WannaCry aurait continué à se propager pendant des jours, voire des semaines, infectant potentiellement des millions de machines supplémentaires. Les dégâts, déjà estimés à 4-8 milliards de dollars au global, auraient pu être dix fois pires. Des vies ont littéralement été sauvées.

Mais le répit est de courte durée et les créateurs de WannaCry tentent de contre-attaquer avec de nouvelles variantes utilisant des kill switches différents. Les chercheurs en sécurité jouent alors au chat et à la souris, enregistrant chaque nouveau domaine. Le 19 mai, quelqu’un tente même d’utiliser un botnet Mirai pour attaquer le domaine de Marcus en DDoS, espérant le faire tomber et réactiver WannaCry. Marcus bascule sur CloudFlare et le kill switch tient bon.

Les autorités du monde entier cherchent les coupables. Les indices pointent rapidement vers la Corée du Nord car le code de WannaCry partage des similitudes avec d’autres malwares du Lazarus Group. En décembre 2017, les États-Unis et le Royaume-Uni accusent officiellement la Corée du Nord, puis en septembre 2018, le département de la Justice américain inculpe Park Jin Hyok, un programmeur nord-coréen travaillant pour Chosun Expo, une société front du renseignement militaire.

L’aspect financier de WannaCry est particulièrement pathétique. Pour une attaque d’une telle ampleur, seulement environ 1000 victimes ont payé la rançon, pour un total de 140 000 dollars en Bitcoin. Pourquoi si peu ? Et bien le système de paiement était mal conçu… Il n’y avait pas pas de mécanisme automatique pour identifier qui avait payé. C’est con ! Et surtout, pour une fois, les gens ont écouté les experts qui déconseillaient de payer.

Marcus devient alors une célébrité malgré lui. La BBC, CNN, le Guardian, tous veulent l’interviewer et il refuse la plupart des demandes, mal à l’aise avec l’attention médiatique. Sur Twitter, ses followers explosent, la communauté de la cybersécurité le félicite, les entreprises veulent l’embaucher, mais Marcus sait que quelque part, son passé est toujours là, tapi dans l’ombre.

DEF CON 2017 - Le début de la fin pour Marcus

En juillet 2017, Marcus décide d’aller à DEF CON à Las Vegas. C’est la Mecque des hackers, l’endroit où toute la communauté se retrouve chaque année. Pour Marcus, c’est l’occasion de rencontrer en personne des gens qu’il ne connaît que par pseudos interposés, et surtout de célébrer son statut de héros de WannaCry.

La conférence se passe bien, Marcus donne des talks, participe à des panels, fait la fête avec d’autres chercheurs. Pour la première fois depuis longtemps, il se sent accepté, faire partie d’une communauté. Le 3 août 2017, dernier jour de la conférence, Marcus fait ses bagages à l’hôtel. Il prend un Uber pour l’aéroport McCarran, check-in ses bagages, passe la sécurité.

Et c’est là que tout bascule. Plusieurs agents du FBI l’entourent près de sa porte d’embarquement. “Marcus Hutchins ?” Il confirme. Ils lui montrent leurs badges, lui demandent de les suivre. Marcus sent son sang se glacer car il sait immédiatement pourquoi ils sont là : Kronos. Son passé vient de le rattraper.

Les agents l’emmènent dans une salle d’interrogatoire de l’aéroport. Ils lui lisent ses droits de garder le silence et d’avoir un avocat (ça s’appelle les droits Miranda), lui expliquent qu’il est arrêté pour conspiration en vue de commettre des fraudes informatiques. Marcus demande un avocat, refuse de parler et les agents confisquent son matériel : Laptop, téléphones, et tout son équipement de chercheur en sécurité.

L’aéroport de Las Vegas - Où notre héros devient un suspect

Marcus est alors transféré dans une prison fédérale du Nevada. Pour le gamin d’Ilfracombe qui n’avait jamais eu d’ennuis avec la justice, c’est le choc total. Il partage une cellule avec des criminels endurcis, et découvre la réalité brutale du système carcéral américain. Le héros de WannaCry est maintenant un détenu fédéral.

L’arrestation de Marcus fait l’effet d’une bombe dans la communauté de la cybersécurité. Comment le héros de WannaCry peut-il être un criminel ? Quand les détails de l’accusation sortent, à savoir la création d’UPAS Kit en 2012 et de Kronos entre 2012 et 2015, c’est la stupéfaction. Un mouvement de soutien s’organise et une cagnotte pour ses frais d’avocat récolte des centaines de milliers de dollars en quelques jours.

Après quelques jours en détention, Marcus est finalement libéré sous caution d’une valeur de 30 000 dollars et les conditions sont assez strictes : bracelet électronique GPS, interdiction de quitter le pays, couvre-feu, et limitation de l’usage d’Internet. Il s’installe à Los Angeles chez un ami, commence une longue bataille juridique qui durera presque deux ans.

La stratégie de défense de Marcus est très compliquée car les preuves contre lui sont accablantes. En effet, le FBI a des logs de conversations, des traces de paiements, des échantillons de code. Difficile de nier avoir créé Kronos. Il est donc d’abord inculpé pour six chefs d’accusation, puis voit quatre charges supplémentaires ajoutées, incluant la création d’UPAS Kit et des mensonges au FBI. Il risque jusqu’à 40 ans de prison.

Pendant près de deux ans, Marcus vit dans les limbes juridiques. Il continue à travailler pour Kryptos Logic depuis Los Angeles, publie des recherches, analyse des malwares. Mais le bracelet électronique à sa cheville lui rappelle constamment que sa liberté est provisoire. Il ne peut pas rentrer en Angleterre voir sa famille et la pression psychologique est énorme. Marcus souffre de dépression, d’anxiété et il pense parfois au suicide.

Le 2 mai 2019, Marcus prend une décision difficile : plaider coupable. Ses avocats ont négocié un deal. S’il plaide coupable pour 2 chefs d’accusation à savoir conspiration en vue de commettre des fraudes informatiques et création d’un dispositif d’interception de communications, en échange, ce sont huit autres charges qui sont abandonnées.

Dans sa déclaration au tribunal, Marcus assume pleinement ses actes. “Je regrette profondément mes actions et j’accepte l’entière responsabilité de mes erreurs”, écrit-il. Il explique comment il a créé UPAS Kit et Kronos entre 2012 et 2015, comment il a travaillé avec Vinny pour vendre le malware.

Le 26 juillet 2019, jour du jugement. La salle d’audience est pleine. Marcus, en costume, fait face au juge J.P. Stadtmueller. Les procureurs demandent une peine de prison. La défense plaide la clémence, rappelant que Marcus a arrêté de lui-même ses activités criminelles, et qu’il a littéralement sauvé le monde de WannaCry.

Le jour du jugement - 26 juillet 2019

Puis vient le moment où le juge Stadtmueller prend la parole. Et là, surprise. Le juge reconnaît la gravité des crimes de Marcus, mais aussi l’importance de ses contributions positives. “Il faudra des gens avec vos compétences pour trouver des solutions”, dit-il à Marcus, “parce que c’est la seule façon d’éliminer ce problème des protocoles de sécurité terriblement inadéquats.”

Le verdict tombe : time served (peine purgée) et un an de liberté surveillée. Pas de prison supplémentaire. Marcus n’en croit pas ses oreilles. La salle d’audience explose en applaudissements. Pour la première fois depuis son arrestation, il peut enfin respirer. Le juge ajoute que Marcus devra probablement retourner au Royaume-Uni et qu’il n’est pas certain qu’il puisse revenir aux États-Unis.

En juillet 2020, sa liberté surveillée prend fin. Marcus retourne enfin au Royaume-Uni, retrouve sa famille à Ilfracombe après trois ans d’absence forcée. C’est un retour doux-amer. Il est libre, mais sa vie a été bouleversée. Il a perdu trois ans, sa santé mentale est fragile, son futur incertain. Il ne peut plus voyager aux États-Unis, limitant ses opportunités professionnelles.

Juillet 2020 - Le retour au pays après trois ans d’exil forcé

Mais Marcus est résilient. Il relance son blog MalwareTech.com, reprend ses analyses de malware, publie des recherches de pointe. Il devient consultant en cybersécurité, travaille avec des entreprises pour améliorer leur sécurité. Doucement, il reconstruit sa vie et sa carrière.

Aujourd’hui, en 2025, Marcus Hutchins est devenu une figure respectée de la cybersécurité mondiale. Il travaille toujours pour Kryptos Logic, publie régulièrement des analyses techniques pointues. Ses recherches sur les vulnérabilités Windows, les techniques de contournement d’EDR, et les malwares sophistiqués sont lues par des milliers de professionnels.

Le site de Marcus

Dans ses écrits récents, Marcus réfléchit souvent sur son parcours. “Si je pouvais revenir en arrière, je ferais les choses différemment”, écrit-il. “Mais je ne peux pas changer le passé. Tout ce que je peux faire, c’est utiliser mes compétences pour le bien, aider à protéger les gens contre les menaces que j’ai aidé à créer.”

L’impact de WannaCry a montré notre vulnérabilité collective à savoir des infrastructures critiques tournant sur des systèmes obsolètes, des entreprises qui ne patchent pas, et une dépendance totale à des systèmes informatiques sans plan B. Cependant, il faut noter que Microsoft a réagi de manière remarquable puisque le lendemain de l’attaque, ils ont fait quelque chose d’inédit : publier des patchs gratuits pour Windows XP, Windows 8 et Windows Server 2003, des systèmes “end-of-life” depuis des années.

Et WannaCry n’était que le début car un mois plus tard, NotPetya frappe, utilisant aussi EternalBlue mais causant encore plus de dégâts. Aujourd’hui, en 2025, EternalBlue est toujours actif et 8 ans après, des millions de machines restent vulnérables. C’est déprimant mais c’est la réalité…

Voilà l’histoire complète de Marcus Hutchins… Une histoire de chute et de rédemption qui montre que dans la vie, rien n’est jamais simple, rien n’est jamais définitif.

Sources : Marcus Hutchins - Wikipedia, WannaCry ransomware attack - Wikipedia, DOJ - Marcus Hutchins Pleads Guilty, Krebs on Security - Marcus Hutchins Pleads Guilty, MalwareTech Blog, WannaCry cost NHS £92m, NAO - WannaCry cyber attack and the NHS, How to Accidentally Stop a Global Cyber Attack, CyberScoop - Marcus Hutchins Sentenced, Cloudflare - WannaCry Ransomware

Voici aujourd’hui, l’histoire du groupe de hackers le plus mystérieux et le plus dévastateur de la décennie. Les Shadow Brokers. C’est le nom qu’ils se sont donné, probablement en référence au personnage de Mass Effect qui trafique de l’information au plus offrant, sauf qu’eux, ils n’ont pas volé n’importe quelle information, non. Ils ont réussi l’impossible : pirater la NSA, l’agence de renseignement la plus puissante du monde.

Entre août 2016 et juillet 2017, ils ont ainsi méthodiquement déversé sur Internet l’arsenal cyber secret de l’Amérique, déclenchant au passage WannaCry et NotPetya, des ransomwares qui ont causé des milliards de dollars de dégâts.

Et le pire c’est que personne ne sait vraiment qui ils sont.

C’est le 13 août 2016, une nuit d’été humide dans le Maryland. Pendant que l’Amérique débat de Clinton contre Trump, un événement sismique se déroule discrètement sur Internet. Un message bizarre, écrit dans un anglais tout pété presque ridiculement comique, vient d’apparaître sur GitHub et Pastebin. Au premier coup d’œil, ça ressemble à une blague, peut-être un troll cherchant l’attention, mais pour le petit cercle des experts en cybersécurité qui le lisent, c’est l’équivalent numérique d’une bombe atomique : la NSA vient d’être piratée.

Le message commence ainsi : “!!! Attention government sponsors of cyber warfare and those who profit from it !!!! How much you pay for enemies cyber weapons?” Les Shadow Brokers viennent de faire leur entrée sur la scène mondiale, et ils n’arrivent pas les mains vides. Ils prétendent avoir volé des cyberarmes à l’Equation Group, le nom de code donné par Kaspersky Lab au groupe de hackers d’élite de la NSA. Et pour prouver leurs dires, ils font quelque chose d’inédit : ils mettent une partie du butin en libre accès.

Les fichiers téléchargeables pèsent environ 300 mégaoctets ce qui n’est pas grand-chose en apparence, mais quand les chercheurs en sécurité commencent à analyser le contenu, leur sang se glace. C’est authentique. Des exploits zero-day, des payloads sophistiqués, des outils d’intrusion qui portent la signature indéniable de la NSA. EXTRABACON, un exploit contre les pare-feu Cisco ASA capable de prendre le contrôle à distance. EPICBANANA et JETPLOW, des backdoors pour différents systèmes. Des noms de code typiques de l’agence, cette obsession des fruits et des références loufoques que seuls les initiés connaissent.

Petite précision technique au passage, EXTRABACON exploite la CVE-2016-6366, une vulnérabilité zero-day dans le code SNMP des pare-feu Cisco qui permet l’exécution de code arbitraire sans authentification. EPICBANANA quand à lui, utilise la CVE-2016-6367, nécessite un accès SSH ou Telnet, mais permet ensuite une persistance totale. Et JETPLOW ? C’est tout simplement la version stéroïdée d’EPICBANANA, une backdoor firmware persistante que même un reboot ne peut pas virer.

Mais les Shadow Brokers ne s’arrêtent pas là en annonçant détenir bien plus : un fichier chiffré contenant “les meilleures cyberarmes” de la NSA, disponible au plus offrant. Le prix ? Un million de bitcoins, soit environ 568 millions de dollars à l’époque. Une somme astronomique qui suggère soit une méconnaissance totale du marché, soit un objectif autre que l’argent. “We auction best files to highest bidder. Auction files better than stuxnet,” promettent-ils avec leur anglais approximatif caractéristique.

Aujourd’hui, l’identité des Shadow Brokers reste encore l’un des plus grands mystères du monde cyber. Leur mauvais anglais suggère des locuteurs russes essayant de masquer leur origine. Des phrases comme “TheShadowBrokers is wanting that someone is deciding” ou “Is being like a global cyber arms race” sont grammaticalement douloureuses mais est-ce une tentative délibérée de brouiller les pistes ? Matt Suiche, expert en sécurité qui analyse leurs communications de près, pense que oui : “Le langage était probablement une tactique d’OpSec pour obscurcir les vraies identités des Shadow Brokers.”

Edward Snowden est évidemment l’un des premiers à réagir publiquement. Le 16 août 2016, il tweete : “Les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe.” et pour lui, c’est un avertissement, une façon pour Moscou de dire à Washington : “Nous savons ce que vous faites, et nous pouvons le prouver.” Le timing est d’ailleurs suspect car on est 3 mois avant l’élection présidentielle américaine, juste après le hack du Parti Démocrate attribué à la Russie. Coïncidence ? C’est peu probable…

Mais d’autres théories émergent rapidement. James Bamford, journaliste spécialiste de la NSA, penche pour un insider, “possiblement quelqu’un assigné aux Tailored Access Operations hautement sensibles”. Puis en octobre 2016, le Washington Post révèle que Harold T. Martin III, un contracteur de Booz Allen Hamilton, est le suspect principal.

Alors là, prenez une grande inspiration avant de poursuivre votre lecture car l’histoire de Harold Martin, c’est du délire. Le mec travaille pour Booz Allen Hamilton (oui, la même boîte qu’Edward Snowden), est assigné à la NSA de 2012 à 2015, et bosse effectivement avec les Tailored Access Operations. Quand le FBI débarque chez lui en août 2016, ils découvrent… 50 téraoctets de données classifiées. C’est l’équivalent de millions de documents, qu’ils trouvent bien planqués dans sa baraque, mais aussi dans un abri de jardin non verrouillé, et même dans sa bagnole.

Le FBI pense alors tenir leur homme. Équipe SWAT, barrages routiers, porte défoncée au bélier, grenades flashbang… Ils sortent le grand jeu pour arrêter Martin, sauf que voilà, petit problème : les Shadow Brokers continuent à poster des messages cryptographiquement signés pendant que Martin croupit en taule. En 2019, il écope de neuf ans de prison, mais les procureurs confirment qu’aucune des données qu’il avait volées n’a été divulguée. L’identité des Shadow Brokers reste donc un mystère.

David Aitel, ancien de la NSA, résume parfaitement la situation telle qu’elle était en 2019 : “Je ne sais pas si quelqu’un sait, à part les Russes. Et on ne sait même pas si ce sont les Russes.” Matt Suiche, lui, a une théorie différente car pour lui, les Shadow Brokers sont des insiders américains mécontents, peut-être des contractuels du renseignement frustrés. Les indices c’est surtout leur connaissance intime de TAO, leurs références culturelles américaines, et leur timing politique…

Et le 31 octobre 2016, juste avant Halloween, les Shadow Brokers frappent à nouveau. Cette fois, ils publient une liste de serveurs prétendument compromis par l’Equation Group, accompagnée de références à sept outils jusqu’alors inconnus : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOICSURGEON. La communauté de la cybersécurité découvre alors l’ampleur de l’arsenal de la NSA. Chaque nom de code représente des années de développement, des millions de dollars investis, des capacités offensives soigneusement gardées secrètes.

L’enchère Bitcoin, pendant ce temps, est un échec total. Quelques plaisantins envoient des fractions de bitcoin (genre 0.001 BTC, les comiques), mais personne ne tente sérieusement d’atteindre le million demandé. Les Shadow Brokers semblent déçus mais pas surpris. En janvier 2017, ils changent alors de stratégie : “TheShadowBrokers is trying auction. Peoples no like auction, auction no work. Now TheShadowBrokers is trying direct sales.”

Du coup, ils créent une boutique en ligne sur le dark web, catégorisant leurs marchandises comme un vrai e-commerce du crime : “Exploits”, “Trojans”, “Payloads”. Les prix vont de 1 à 100 bitcoins selon la sophistication de l’outil. C’est surréaliste. Les cyberarmes les plus dangereuses de la planète sont en vente comme des t-shirts sur Amazon. Un exploit pour compromettre un serveur Linux ? 10 bitcoins. Un implant pour espionner les communications ? 50 bitcoins. Le menu est à la carte.

Mais le véritable tournant arrive le 8 avril 2017. Dans un post Medium intitulé “Don’t Forget Your Base”, les Shadow Brokers lâchent une bombe et révèlent le mot de passe pour déchiffrer le fichier mystérieux publié huit mois plus tôt : “CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN". Un mot de passe de 32 caractères qui va changer les choses.

Le timing est tout sauf innocent car le post fait explicitement référence à l’attaque de Trump contre une base aérienne syrienne le 7 avril, utilisée aussi par les forces russes. “Respectfully, what we do not agree with is abandoning ‘your base’, double dealing, saying one thing and doing another,” écrivent les Shadow Brokers. Le message est clair : vous nous avez trahis, voici les conséquences.

Et ce que contient ce fichier dépasse les pires cauchemars de la NSA. Des dizaines d’exploits zero-day, des payloads sophistiqués, des outils de surveillance massive, mais le plus dévastateur s’appelle EternalBlue. Il s’agit d’un exploit contre le protocole SMB de Windows qui permet de prendre le contrôle total d’une machine à distance. Microsoft a secrètement patché la vulnérabilité MS17-010 en mars 2017, un mois avant la révélation, suggérant que la NSA a prévenu l’entreprise mais des millions de systèmes restent vulnérables.

Et le 14 avril 2017, c’est l’apocalypse. Les Shadow Brokers publient leur dump le plus massif, baptisé “Lost in Translation”. FUZZBUNCH, une plateforme d’exploitation comparable à Metasploit mais développée par la NSA, un véritable framework pour charger des exploits sur les systèmes cibles. DARKPULSAR, ETERNALROMANCE, ETERNALSYNERGY, ETERNALCHAMPION… La liste semble interminable. Mais c’est ETERNALBLUE qui va entrer dans l’histoire.

Petite parenthèse technique quand même, DoublePulsar, c’est le complément parfait d’EternalBlue. Une backdoor kernel ultra-furtive qui ne crée aucun nouveau port, se cache dans les appels SMB non implémentés, et répond avec STATUS_NOT_IMPLEMENTED pour rester invisible. FUZZBUNCH quand à lui permet d’uploader des exécutables directement dans DoublePulsar via SMB. Bref, le combo mortel.

Les experts sont une nouvelle fois sous le choc. Nicholas Weaver écrit sur le blog Lawfare : “Ceci pourrait bien être le dump le plus dommageable contre la NSA à ce jour, et c’est sans aucun doute la révélation la plus désastreuse post-Snowden.” Jake Williams, fondateur de Rendition Security et ancien de la NSA, est encore plus direct : “C’est un putain de désastre.”

Les révélations incluent aussi la preuve que la NSA a compromis le système SWIFT, le réseau bancaire international. Les Shadow Brokers montrent ainsi que l’agence a infiltré EastNets, un bureau de service SWIFT gérant les transactions bancaires au Moyen-Orient et si c’est vrai, la NSA peut théoriquement surveiller, voire manipuler, les transferts financiers internationaux. Bref, les implications sont vertigineuses.

Moins d’un mois plus tard, le 12 mai 2017, le monde découvre alors le vrai prix de ces révélations. WannaCry, un ransomware utilisant EternalBlue (et DoublePulsar pour la persistance), se propage comme une traînée de poudre. En quelques heures, plus de 200 000 ordinateurs dans 150 pays sont infectés à une vitesse hallucinante de 10 000 machines par heure.

Et là, bonjour les dégâts ! Le National Health Service britannique ? Complètement paralysé soit 81 hôpitaux sur 236 touchés, 19 000 rendez-vous annulés, 1 100 admissions aux urgences en moins, des opérations reportées. Le coût pour le NHS ? 92 millions de livres sterling (20 millions en perte d’activité, 72 millions pour restaurer les systèmes). Des patients ne peuvent pas recevoir leurs traitements à temps, des services d’urgence doivent fonctionner à l’aveugle. Des IRM, des frigos pour stocker le sang, des équipements de bloc opératoire… 70 000 appareils touchés au total.

Mais WannaCry n’est que l’apéritif car le 27 juin 2017, NotPetya frappe, utilisant encore EternalBlue mais cette fois avec une particularité : ce n’est pas vraiment un ransomware. C’est une arme de destruction déguisée en ransomware. Même si vous payez, vos fichiers sont perdus pour toujours. L’adresse email pour récupérer la clé de déchiffrement est bloquée par le provider dans l’heure. C’est conçu pour détruire, pas pour extorquer.

NotPetya cause ainsi plus de 10 milliards de dollars de dégâts. Maersk, le géant du transport maritime danois subit 300 millions de pertes, 4 000 serveurs et 45 000 PC à reconstruire, 17 terminaux portuaires paralysés pendant des jours. FedEx via sa filiale TNT Express ? 300 à 400 millions. Merck Pharmaceuticals ? 870 millions de dollars après que 15 000 de leurs machines Windows sont détruites. En 90 secondes. Oui, c’est le temps qu’il a fallu pour mettre à genoux une des plus grandes entreprises pharmaceutiques du monde.

Et pendant ce chaos planétaire, les Shadow Brokers continuent leur étrange performance. En juin 2017, ils menacent de révéler l’identité d’un ancien employé de TAO qu’ils surnomment “Doctor”. “’Doctor’ person is writing ugly tweets to theshadowbrokers,” écrivent-ils. “TheShadowBrokers is thinking ‘doctor’ person is former EquationGroup developer who built many tools and hacked organization in China.”

La menace est sans précédent et révéler l’identité d’agents de renseignement et leurs opérations spécifiques, c’est franchir une nouvelle ligne rouge. Jake Williams avertit : “Publier ces données menacera la sécurité (et la liberté) d’anciens opérateurs de TAO voyageant à l’étranger.” Le “Doctor” en question, paniqué, finit par se doxxer lui-même le 29 juin pour “protéger les innocents”, niant être un employé de la NSA. Évidemment, personne ne le croit.

Les Shadow Brokers semblent avoir une vraie connaissance intime de TAO car ils connaissent les surnoms, les projets, les personnes… Dans un de leurs messages, ils prétendent même avoir fait partie du “Deep State” américain.

“TheShadowBrokers is being like the Oracle of the Matrix. TheShadowBrokers is not being the Architect,” écrivent-ils, dans une référence geek qui fait écho à leur nom emprunté à Mass Effect.

Leur dernier message public date de juillet 2017. Ils annoncent un service d’abonnement mensuel où pour 400 Zcash (une cryptomonnaie axée sur la confidentialité), vous pouvez devenir VIP et recevoir chaque mois de nouveaux exploits de la NSA. “Is being like wine of month club,” plaisantent-ils. “Each month peoples can be paying membership fee, then getting members only data dump each month.”

Puis, silence radio. Les Shadow Brokers disparaissent aussi mystérieusement qu’ils sont apparus. Ont-ils été arrêtés ? Ont-ils décidé qu’ils en en avaient fait assez ? Ont-ils été éliminés ? Personne ne le sait. Leur compte Twitter @shadowbrokerss reste muet, leur blog Medium n’est plus mis à jour et leur compte Steemit, pareil. Comme leur homonyme dans Mass Effect, ils s’évanouissent dans l’ombre.

Mais l’impact des Shadow Brokers sur la cybersécurité mondiale est difficile à surestimer car ils ont vraiment exposé la vulnérabilité fondamentale de l’accumulation d’armes cyber, qui peuvent être volées et retournées contre ceux qui les ont créées. Ils ont ainsi forcé un gros débat sur la responsabilité des agences de renseignement dans la découverte et la non-divulgation de vulnérabilités zero-day. D’ailleurs, combien de WannaCry et NotPetya dorment encore dans les serveurs de la NSA, de la DGSE, du FSB, du MSS chinois ?

Brad Smith, président de Microsoft, a même publié un plaidoyer passionné après WannaCry : “Les gouvernements du monde devraient traiter cette attaque comme un signal d’alarme. Un équivalent conventionnel de cet événement serait l’armée américaine se faisant voler des missiles Tomahawk.” Il appelle à une “Convention de Genève numérique” pour limiter la cyberguerre. 8 ans plus tard, on l’attend toujours. Comme d’habitude, les gouvernements s’en foutent.

Toutefois, les théories sur l’identité des Shadow Brokers continuent de proliférer. Insiders, hackers russe… Il y a même une théorie marginale mais fascinante qui suggère que c’est la NSA elle-même, brûlant des outils compromis de manière contrôlée pour éviter qu’ils ne soient utilisés contre eux.

En 2025, près d’une décennie après leur apparition, l’ombre des Shadow Brokers plane toujours. Les exploits qu’ils ont révélés circulent encore et des variantes d’EternalBlue sont toujours utilisées dans des attaques.

En tout cas, quand je vois qu’une nouvelle vulnérabilité zero-day a été patchée, je me demande toujours qui d’autre la connaissait avant et l’utilisait…

Sources : The Shadow Brokers - Wikipedia, EternalBlue - Wikipedia, WannaCry ransomware attack - Wikipedia, Shadow Brokers Threaten to Expose Identity of Former NSA Hacker - BleepingComputer, The Shadow Brokers Leaked Exploits Explained - Rapid7, Shadow Brokers: How the NSA Leak Affects Your Business - A10 Networks, Who are the Shadow Brokers? - HYPR Security Encyclopedia, Unveiling the Mystery Behind The Shadow Brokers - Security Outlines, NotPetya Ransomware Explained: The Billion Nation-State Cyberattack - Victor Nthuli, Shadow Brokers Twitter History - GitHub, Shadow Brokers Group Releases More Stolen NSA Hacking Tools - The Hacker News, NSA’s TAO Division Codewords - Electrospaces, What Is EternalBlue and Why Is the MS17-010 Exploit Still Relevant? - Avast, EXPOSED: Inside the Greatest Hack in History - The Shadow Brokers NSA Breach - Merge Society, The Shadow Brokers EPICBANANA and EXTRABACON Exploits - Cisco Blogs, Harold T. Martin - Wikipedia, Investigation: WannaCry cyber attack and the NHS - NAO, NotPetya Costs Merck, FedEx, Maersk 0M - CSHub