Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Le grand retour des blogs

Par : Korben
5 septembre 2025 à 19:37

En ce moment, tout le monde s’extasie sur le grand retour des blogs et j’ai vraiment envie de leur dire : “Mais hé je ne suis jamais parti bande de nazes !

Faut dire que j’étais déjà là avant que le mot “blog” existe, quand on appelait ça des sites perso et qu’on codait notre HTML à la main dans Notepad (je suis un menteur, j’utilisais Dreamweaver). Et voilà, je suis toujours là, 28 ans plus tard (oui j’ai lancé mon premier site perso en 1997), pendant que les plateformes et les médias naissent et meurent autour de moi comme des petites fleurs délicates.

Le truc, c’est que je suis un peu maudit dans cette histoire. Ni vraiment blog, ni vraiment média. Je suis comme un ornithorynque du web, une cyber-anomalie qui perturbe vos envies de classifications. J’suis pas assez institutionnel pour bénéficier des avantages fiscaux de la presse et j’suis trop imposant pour être un simple blog perso. Alors je suis quoi au final ? Bah je pense que je suis ce que j’ai toujours été… Un webmaster quoi… Un mec avec son site web sur lequel il met ce qu’il veut, quand il veut, comme il veut. En totale liberté !

Et c’est exactement ça que les gens redécouvrent aujourd’hui. La liberté. Cette putain de liberté qu’on a perdue en allant tous s’entasser dans les jardins clos de Facebook, Twitter et autres conneries. Alors maintenant que X est devenu un champ de bataille toxique et que Blusky est en train de suivre le même chemin, je vois de plus en plus de monde réaliser enfin ce qu’on a sacrifié.

Et le ooh.directory l’a bien compris. Il s’agit d’un annuaire web qui recense au moment où j’écris ces lignes, 2351 blogs actifs sur tous les sujets possibles. Son créateur l’a lancé pour prouver que “nobody blogs anymore” est une connerie monumentale. Car des blogs personnels, il y en a des tonnes. Par exemple, des gens comme Anil Dash avec son “ blog about making culture ”, Aaron Parecki qui a co-fondé l’IndieWebCamp, ou Andy Baio avec Waxy.org que j’aime beaucoup. Tous ces gens qui continuent à écrire, à partager, à créer sur LEUR petite parcelle de web.

Alors pourquoi c’est mieux d’avoir son site que d’être sur X ou Bluesky ? C’est simple. Sur votre blog, vous êtes chez vous. Pas d’algo qui décide si votre contenu mérite d’être vu. Pas de modération aléatoire qui vous suspend parce que vous avez dit “merde”. Pas de limite à 280 ou même 300 caractères. Si vous voulez écrire 35000 mots sur l’histoire des cartes graphiques, let’s go pépito ! Et si vous voulez partager votre recette de cookies de Noël entre 2 posts sur Rust, c’est tout à fait possible !

Puis c’est pas le même public. Sur les blogs, c’est un public de gens qui viennent vous lire pour le plaisir, pour apprendre des choses, se marrer ou juste confronter leurs points de vue, et pousser la réflexion sur certains sujets. Sur les plateformes de micro blogging comme X ou Bluesky, c’est pas la même ambiance. Là-bas c’est majoritairement n’importe qui, qui dit n’importe quoi en 2 secondes chrono, condamnant, critiquant, détruisant, jugeant, sans même lire au delà du titre, le texte que vous avez pris le temps de rédiger avec tout votre cœur.

L’ IndieWeb dont je vous ai parlé il y a peu porte d’ailleurs ce message depuis 15 ans maintenant. Leur principe c’est d’être propriétaire de votre domaine, de publier d’abord sur votre propre site (ce qu’on appelle POSSE ), et d’être propriétaire de votre contenu. Ce n’est donc pas juste du blogging, c’est une philosophie, une résistance contre la corporatisation du web .

Sur les réseaux sociaux, vous construisez votre maison sur le terrain de quelqu’un d’autre et un jour, le propriétaire décidera de changer les règles, de monétiser votre contenu, de favoriser certains contenus au détriment du votre, ou carrément de fermer votre boutique. Et voilà, des années de contenu, de connexions, de communauté qui disparaissent. Ça s’est vu avec Google+, avec Vine, et ça se verra encore. Les Youtubeurs, vous connaissez aussi très bien ça.

Mon site à moi a survécu à Friendster, MySpace, Digg (qui revient bientôt d’ailleurs), StumbleUpon, Google Reader (RIP), et il survivra probablement à X et Bluesky (oui, je sais c’est décentralisé, mais je ne pense pas que vous ayez pris le temps de l’héberger chez vous… Donc vous squattez encore la prairie de quelqu’un d’autre qui a probablement un sacré complexe de dieu ).

Voilà, je trouve que ce qui est génial avec cette renaissance des blogs, c’est qu’elle s’accompagne d’outils modernes. Le RSS n’est pas mort (malgré ce que Google a essayé de faire), les webmentions permettent des interactions entre sites, les générateurs de sites statiques comme celui que j’utilise rendent la publication super simple. Et des initiatives comme ooh.directory facilitent carrément la découverte de nouveaux blogs.

Bref, avoir votre propre espace sur le Net, pensez-y ! C’est quelque de chose de très agréable, je vous assure. C’est ça la vraie liberté du web, celle de publier ce qu’on veut, quand on veut, sans filtre, sans intermédiaire, sans bullshit (coucou les clones en cravate de LinkedIn)

Et puis si vous cherchez de l’inspiration, allez faire un tour sur ooh.directory . Vous y trouverez des centaines de blogs actifs, des gens passionnés qui écrivent sur tout et n’importe quoi. C’est ça, le vrai web. Pas les threads toxiques de X, pas les algorithmes opaques de Meta… mais les vraies gens qui partagent leurs passions sur leurs propres espaces.

Et un grand merci à Lilian de m’avoir envoyé ce lien !

YouTube vous balance une dose de vidéos marrantes parce que vous êtes trop sérieux

Par : Korben
2 septembre 2025 à 07:42

Comme tous les jours, vous êtes sur YouTube, très concentré en plein marathon de vidéos sur les élections ou les conflits géopolitiques, et SOUDAIN, l’algorithme décide de vous offrir une pause. Mais pas une simple pause publicitaire, non. Une pause thérapeutique ! Vous vous retrouvez alors devant une compilation de chiens qui sautent et se gamellent ou un best-of de foirages en skateboard.

C’est une étude menée par l’Université de l’Arkansas qui a analysé pas moins de 685 842 vidéos courtes. Les chercheurs se sont ainsi concentrés sur trois thèmes politiques : les élections de 2024 à Taiwan, le conflit en mer de Chine méridionale et une catégorie générale de contenus politiques. Et vous savez quoi ? Il semblerait que YouTube Shorts guide activement les utilisateurs du contenu politique vers des vidéos de divertissement.

En gros, l’algorithme joue le rôle de baby-sitter numérique et décide que vous avez eu votre dose de sérieux pour la journée.

Pour réalisé cette étude, les chercheurs ont collecté 2 800 vidéos et testé trois scénarios de visionnage : 3 secondes (le scroll rapide), 15 secondes (l’intérêt modéré), et le visionnage complet (vous êtes vraiment accro). Ensuite, ils ont utilisé GPT-4o d’OpenAI pour classer les titres et les transcriptions par sujet, pertinence et ton émotionnel. L’IA qui analyse l’IA qui nous manipule… On vit vraiment dans le futur, les amis.

Mais pourquoi YouTube fait ça ? Les chercheurs pensent que ce n’est pas de la censure intentionnelle. Non, c’est plus basique que ça… En fait, ça augmente l’engagement et ça rapporte plus d’argent car une personne qui regarde des vidéos de chatons reste plus longtemps sur la plateforme qu’une personne déprimée par les actualités politiques. Et donc plus vous restez, plus YouTube gagne de pognon.

Récemment, YouTube a assoupli ses politiques de modération, doublant carrément le seuil de contenu problématique autorisé avant suppression. Auparavant, un quart de contenu douteux suffisait pour dégager une vidéo mais maintenant, il en faut la moitié. YouTube cherche donc un équilibre où il y aurait plus de tolérance pour le contenu politique controversé, mais avec un système de “décompression” par le divertissement.

D’un autre côté, les recherches de UC Davis montrent un aspect plus sombre de la plateforme. Leurs “sock puppets” (100 000 comptes automatisés créés pour l’étude) ont regardé près de 10 millions de vidéos. Et ce qu’il en ressort c’est que l’algorithme peut créer un “effet de boucle” où les utilisateurs se retrouvent piégés dans du contenu de plus en plus extrême. Mais du coup, il semblerait que YouTube ait trouvé la solution en cassant la boucle avec des vidéos de pandas qui éternuent.

Voilà, alors pendant que certains s’inquiètent de la radicalisation politique sur les réseaux sociaux, YouTube a apparemment décidé de jouer les psychologues amateurs, proposant automatiquement du contenu humoristique aux utilisateurs qui consomment beaucoup de vidéos politiques. C’est mignon, non ?

Alors est-ce que YouTube a vraiment le droit de décider de quand nous avons eu assez de politique ? Est-ce que c’est de la manipulation bienveillante, du bon vieux paternalisme algorithmique ? Et surtout, est-ce que ça marche vraiment ?

Je passe très peu de temps à regarder des vidéos sur Youtube, donc je peux pas trop vous dire… Surtout que les news déprimantes ET les best-of de chutes spectaculaires ou de chaton mignon, c’est pas des trucs que je regarde…

Maintenant, peut-être que YouTube a raison… Peut-être qu’on a tous besoin qu’un algo nous rappelle de faire une pause dans tout ce contenu stressant de merde et de regarder quelque chose de plus léger… un peu d’humour forcé, ça ne peut pas faire de mal. Faudrait que Twitter et BlueSky fasse la même, parce que quand je vois la quantité de grincheux là bas, je me dis qu’ils ont aussi besoin de se marrer un peu de temps en temps, les pauvres… ^^

Bref, la prochaine fois que YouTube vous propose une vidéo compilation de conneries après votre marathon d’analyses politiques, vous saurez que ce n’est pas un hasard. C’est l’algorithme qui prend soin de votre santé mentale pour que vous restiez encore plus longtemps pour voir encore plus de pubs !!

Source

Equifax - Comment "admin/admin" et un certificat SSL expiré ont exposé les données de 147 millions d'Américains

Par : Korben
30 août 2025 à 13:37
Cet article fait partie de ma série de l’été spécial hackers . Bonne lecture !

Je me souviens encore de ce 7 septembre 2017 quand j’ai vu l’annonce du hack d’Equifax débouler dans mes flux RSS. 143 millions d’Américains touchés avec leurs numéros de sécurité sociale, leurs dates de naissance, leurs adresses…etc… tout était dans la nature. Mais le pire dans cette histoire, c’est que ce n’était pas juste une faille technique. C’était un concentré de négligence, d’incompétence et de cupidité qui allait devenir le cas d’école de tout ce qu’il ne faut pas faire en cybersécurité. Trêve de blabla, je vous raconte tout ça tout de suite !

Pour comprendre l’ampleur du désastre, il faut d’abord comprendre ce qu’est Equifax. Fondée en 1899 sous le nom de Retail Credit Company (oui, cette entreprise est plus vieille que le FBI), c’est l’une des trois grandes agences de crédit américaines avec Experian et TransUnion. Ces entreprises collectent des informations sur pratiquement tous les Américains adultes telles que l’historique de crédit, dettes, paiements, emplois… Bref, tout ce qui permet de calculer votre score de crédit, ce fameux nombre qui détermine si vous pouvez avoir un prêt, louer un appartement, ou même décrocher certains jobs.

Le truc avec Equifax, c’est que vous n’avez jamais demandé à être leur client. Ils collectent vos données que vous le vouliez ou non. En 2017, ils avaient des dossiers sur environ 820 millions de consommateurs dans le monde, dont 147 millions rien qu’aux États-Unis. C’est comme si une entreprise privée détenait le dossier médical de chaque citoyen, sauf que là, c’est votre vie financière. John Oliver l’a parfaitement résumé pendant son émission : “Nous ne sommes pas les clients d’Equifax. On n’est pas le gars qui achète le bucket de poulet… On est les putains de poulets !

Richard Smith en était le CEO depuis 2005. Un vétéran de General Electric où il avait passé 22 ans, grimpant les échelons jusqu’à devenir Corporate Officer en 1999. Diplômé de Purdue University en 1981, Smith était le parfait exemple du CEO corporate américain : costard impeccable, sourire Colgate et salaire de base de 1,45 million de dollars par an, plus des bonus qui pouvaient tripler ce montant. Sous sa direction, Equifax était devenue une machine à cash, avec des revenus dépassant les 3 milliards de dollars par an et une capitalisation boursière qui était passée de 3 à 20 milliards.

Mais derrière cette façade de réussite, l’infrastructure IT de l’entreprise était un véritable château de cartes…

Richard Smith lors de son témoignage devant le Congrès américain en octobre 2017

Tout commence donc le 7 mars 2017. Ce jour-là, Apache Software Foundation publie un bulletin de sécurité critique estampillé CVE-2017-5638. C’est une vulnérabilité dans Apache Struts, un framework Java utilisé par des milliers d’entreprises pour leurs applications web. La faille est sérieuse car elle permet l’exécution de code à distance via une manipulation du header Content-Type dans les requêtes HTTP. En gros, un hacker peut injecter des commandes OGNL (Object-Graph Navigation Language) et prendre le contrôle total du serveur.

Bref, si vous avez une application vulnérable exposée sur Internet, n’importe qui peut devenir root sur votre machine…

Apache publie alors un patch le jour même. C’est là que les choses deviennent intéressantes car le 8 mars, le Department of Homeland Security envoie une alerte à toutes les grandes entreprises américaines, dont Equifax. “Patchez immédiatement”, dit le message. Le 9 mars, l’équipe sécurité d’Equifax fait suivre l’alerte en interne avec pour instruction de patcher tous les systèmes vulnérables sous 48 heures. Graeme Payne, le Chief Information Officer responsable des plateformes globales, supervise l’opération.

Sauf que voilà, Equifax, c’est une entreprise avec des milliers de serveurs, des centaines d’applications, et une dette technique monumentale. Le portail ACIS (Automated Consumer Interview System) datant des années 1970, et utilisé pour gérer les litiges des consommateurs sur leur crédit, tourne aujourd’hui sur une vieille version d’Apache Struts, et devinez quoi ? Personne ne le patche. Les scans de sécurité lancés le 15 mars ne trouvent rien.

Pourquoi ?

Et bien parce que l’outil de scan n’était pas configuré pour vérifier le portail ACIS. En gros, c’est comme chercher ses clés partout sauf dans la poche où elles sont.

Apache Struts, le framework vulnérable au cœur du hack d’Equifax

Le 10 mars 2017, trois jours après la publication du patch, les premiers hackers frappent. Ce ne sont pas encore les gros poissons, juste des opportunistes qui scannent Internet avec des outils automatisés. Des kits d’exploitation de CVE-2017-5638 circulent déjà sur le dark web, et Metasploit a même sorti un module le 7 mars à 6h21 UTC. Les premiers intrus trouvent alors le portail ACIS d’Equifax grand ouvert.

Les logs montreront plus tard que ces premiers hackers étaient probablement des amateurs. Ils se baladent un peu dans le système, réalisent qu’ils sont chez Equifax, mais ne vont pas plus loin. Pourquoi ? Probablement parce qu’ils ne réalisent pas la mine d’or sur laquelle ils sont tombés. Ou peut-être qu’ils ont eu peur. Toujours est-il qu’ils font ce que font tous les petits hackers quand ils trouvent un gros poisson : ils vendent l’accès.

C’est là qu’entrent en scène nos véritables protagonistes : l’unité 54th Research Institute de l’Armée Populaire de Libération chinoise. Wu Zhiyong, Wang Qian, Xu Ke et Liu Lei. Quatre officiers de l’armée chinoise spécialisés dans le cyber-espionnage économique. Ces types, c’est pas des script kiddies qui utilisent des outils trouvés sur GitHub. Non, ils font partie de l’élite cyber de la Chine, formés et financés par l’État pour voler les secrets économiques de l’Occident. Le 54th Research Institute, c’est le cousin moins connu mais tout aussi dangereux de la fameuse Unit 61398 (APT1) basée à Shanghai dont je vous parlais il y a quelques jours.

Les hackers chinois commencent leur travail mi-mai. Ils sont méthodiques, patients. D’abord, ils installent 30 web shells, des portes dérobées qui leur permettent de revenir quand ils veulent. Puis ils commencent à explorer le réseau. Et c’est là qu’ils tombent sur le jackpot, un truc tellement énorme qu’ils ont dû se pincer pour y croire.

Dans un répertoire non protégé, ils trouvent un fichier texte. Un simple fichier texte contenant… les identifiants et mots de passe de dizaines de serveurs. En clair. Pas chiffrés. Juste là, comme ça…

Parmi ces identifiants, plusieurs utilisent la combinaison sophistiquée “admin/admin”. Oui, vous avez bien lu. Une entreprise qui gère les données financières de 147 millions d’Américains utilisait “admin” comme nom d’utilisateur et “admin” comme mot de passe. C’est le genre de truc qu’on voit dans les films où on se dit “c’est trop gros, personne n’est aussi con”. Eh bien si.

Mais attendez, ça devient encore mieux.

Susan Mauldin, la Chief Security Officer d’Equifax à l’époque n’a aucun background en sécurité informatique. Elle a juste un Bachelor et un Master en… composition musicale de l’Université de Géorgie. Oui, la personne responsable de la sécurité des données de 147 millions d’Américains avait fait des études de musique. Certes, elle avait travaillé chez HP, SunTrust Banks et First Data avant d’arriver chez Equifax en 2013, mais son profil LinkedIn (qu’elle a rapidement rendu privé après le hack en changeant son nom en “Susan M.”) ne mentionnait aucune formation en sécurité. Dans une interview supprimée depuis, elle avait déclaré : “On peut apprendre la sécurité”.

Visiblement, pas assez bien…

Avec ces identifiants “admin/admin”, les hackers peuvent maintenant se balader dans le réseau d’Equifax comme chez eux. Ils accèdent à trois bases de données ACIS, puis à 48 autres bases de données. Au total, ils vont exécuter plus de 9 000 requêtes SQL sur une période de 76 jours. Plus de deux mois durant lesquels nos quatre militaires chinois pillent les données les plus sensibles de la moitié de la population américaine, et personne ne s’en aperçoit.

Mais comment c’est possible ? Comment une entreprise de cette taille peut-elle ne pas voir que des téraoctets de données sortent de ses serveurs ? Et bien la réponse tient en deux mots : certificat expiré.

Equifax avait bien des outils de monitoring réseau. Des trucs sophistiqués qui analysent le trafic, détectent les anomalies, sonnent l’alarme quand quelque chose cloche. Sauf que ces outils ont besoin de déchiffrer le trafic SSL pour voir ce qui se passe. Et pour ça, il leur faut un certificat SSL valide. Sauf que le certificat d’Equifax avait expiré… 10 mois plus tôt. Personne ne l’avait renouvelé, du coup, tout le trafic chiffré passait sans être inspecté. Les hackers pouvaient donc exfiltrer des gigaoctets de données chaque jour, et c’était invisible pour les systèmes de sécurité.

Dommage…

Et les hackers sont malins. Ils ne veulent pas se faire repérer, alors ils procèdent méthodiquement. Ils compressent les données en petits paquets de 10 MB. Ils utilisent 34 serveurs relais dans 20 pays différents pour masquer leur origine. Ils effacent les logs au fur et à mesure. C’est du travail de pro, le genre d’opération que seul un État peut financer et organiser.

Entre mai et juillet 2017, ils aspirent tout : 145,5 millions de numéros de sécurité sociale, 147 millions de noms et dates de naissance, 99 millions d’adresses, 209 000 numéros de cartes de crédit avec leurs dates d’expiration, 182 000 documents personnels contenant des informations sur les litiges de crédit. Sans oublier les permis de conduire de 10,9 millions d’Américains et les données de 15,2 millions de Britanniques et 19 000 Canadiens. C’est le casse du siècle, version numérique.

Pendant ce temps, la vie continue chez Equifax. Richard Smith touche son bonus de 3 millions de dollars pour l’année 2016. Susan Mauldin, la Chief Musician Security Officer, gère la sécurité de l’entreprise tranquillou. Les affaires tournent, l’action monte. Tout va bien dans le meilleur des mondes. C’est déjà le troisième incident de sécurité majeur depuis 2015, mais bon, qui compte ?

L’action Equifax continuait de grimper pendant que les hackers pillaient les données

Puis le 29 juillet 2017, un samedi, un administrateur système décide enfin de renouveler ce fameux certificat SSL expiré. Probablement un stagiaire qui s’ennuyait ou un admin consciencieux qui faisait du ménage. Dès que le nouveau certificat est installé, les outils de monitoring se remettent à fonctionner, et là, c’est la panique ! Le système détecte immédiatement du trafic suspect vers la Chine avec des gigaoctets de données qui sortent du réseau.

L’équipe sécurité est alors appelée en urgence. Ils coupent l’accès au portail ACIS, analysent les logs (ceux qui n’ont pas été effacés), et commencent à réaliser l’ampleur du désastre. Le 30 juillet, ils appellent Mandiant, la Rolls-Royce des entreprises de sécurité informatique rachetée par FireEye, spécialisée dans les incidents de ce type et qui avait déjà enquêté sur les attaques de l’Unit 61398.

Et le 31 juillet, Graeme Payne informe Richard Smith de la situation. Le CEO comprend immédiatement que c’est une catastrophe. Smith dira plus tard au Congrès : “J’étais ultimement responsable de ce qui s’est passé sous ma surveillance.” Mais au lieu d’informer immédiatement le public, la direction décide d’abord de… “gérer la situation en interne”.

Et c’est là que l’histoire devient vraiment sale. Le 1er et 2 août, alors que seule une poignée de dirigeants connaît l’ampleur de la fuite, trois executives d’Equifax vendent pour 1,8 million de dollars d’actions. Le CFO John Gamble vend pour 946 000$, le président de l’unité US Information Solutions Joseph Loughran pour 584 000$, et le président de Workforce Solutions Rodolfo Ploder pour 250 000$. Pure coïncidence, bien sûr.

Plus tard, une enquête interne conclura qu’ils n’étaient pas au courant de la fuite au moment de la vente. Smith témoignera devant le Congrès : “Nous avons notifié le FBI et engagé un cabinet d’avocats le 2 août. À ce moment-là, nous ne voyions qu’une activité suspecte. Les trois individus ont vendu leurs actions les 1er et 2 août. Nous n’avions aucune indication de brèche de sécurité à ce moment.” Permettez-moi d’être sceptique car c’est une sacrée coïncidence de vendre ses actions juste avant l’annonce d’une catastrophe qui va faire chuter le cours de 35%.

Pendant ce temps, Mandiant mène son enquête. Leurs experts reconstituent le puzzle, identifient la vulnérabilité Apache Struts, découvrent les fichiers de mots de passe en clair, tracent les connexions vers la Chine via les 34 serveurs relais. Le rapport est accablant : négligence à tous les niveaux, absence de segmentation réseau, données sensibles non chiffrées, monitoring défaillant, 120 millions de numéros de sécurité sociale stockés en clair, données de cartes de crédit dans des fichiers Excel sans protection. C’est un manuel de ce qu’il ne faut pas faire en sécurité informatique.

Le 7 septembre 2017, six semaines après la découverte, Equifax annonce enfin publiquement la faille. Le communiqué est un chef-d’œuvre de langue de bois corporate : “Equifax a subi un incident de cybersécurité potentiellement impactant environ 143 millions de consommateurs américains.” Potentiellement ? 143 millions, c’est 44% de la population des États-Unis !

La réaction est immédiate et brutale. L’action chute en bourse de 13% en quelques heures, passant de 142$ à 92$ en quelques jours. Les médias s’emparent de l’affaire et John Oliver dédie un segment entier de “Last Week Tonight” au désastre, expliquant que si ça n’était pas arrivé pendant une période où chaque jour les gros titres étaient “Tout Part en Couilles Encore Aujourd’hui”, le hack d’Equifax aurait été LA nouvelle du mois. Les politiciens demandent des comptes et plus de 52 000 plaintes sont déposées. Les class actions pleuvent.

Et les 147 millions de victimes ? Elles découvrent qu’elles sont peut-être victimes d’un vol d’identité sans avoir jamais entendu parler d’Equifax.

Mais attendez, ça devient encore pire car Equifax met en place un site web pour que les gens puissent vérifier s’ils sont affectés : equifaxsecurity2017.com. Sauf que le site est tellement mal fait que les experts en sécurité pensent que c’est un site de phishing ! Brian Krebs, expert renommé en sécurité, qualifie la réponse d’Equifax de “dumpster fire” (feu de poubelle)et un développeur, Nick Sweening, achète même le domaine securityequifax2017.com pour démontrer à quel point c’est facile de créer un site de phishing crédible.

Et vous voulez savoir le plus drôle ?

Le compte Twitter officiel d’Equifax tweetera huit fois le lien vers le FAUX site !

En plus, les termes et conditions du site incluent une clause d’arbitrage qui stipule que si vous utilisez le site pour vérifier si vous êtes affecté, vous renoncez à votre droit de poursuivre Equifax en justice ! La grogne est telle qu’ils doivent retirer cette clause après quelques jours. Sans compter que le site retourne des résultats apparemment aléatoires. Par exemple, des journalistes testent avec des fausses données et obtiennent quand même des réponses.

Le 15 septembre, à peine une semaine après l’annonce publique, Susan Mauldin, la CSO, “prend sa retraite”. David Webb, le CIO, fait de même. Et leurs profils LinkedIn disparaissent comme par magie. Même leurs interviews sont retirées d’Internet. Equifax utilise d’ailleurs le mot “retraite” plutôt que “licenciement”, ce qui signifie qu’ils partent probablement avec de confortables indemnités.

Et le 26 septembre, c’est au tour de Richard Smith. Le CEO “prend sa retraite” lui aussi, mais contrairement à ses subordonnés, on connaît exactement ce qu’il emporte : 90 millions de dollars. Oui, vous avez bien lu. 90 millions. 72 millions pour 2017 (salaire + stocks + options), plus 18,4 millions de retraite. Pendant que 147 millions d’Américains vont devoir surveiller le montant de leurs crédits pour le reste de leur vie, lui part avec l’équivalent de 61 cents par victime.

Techniquement, il ne touche pas de prime de départ puisqu’il “démissionne”. Mais il garde toutes ses stock-options et ses droits à la retraite. C’est beau, le capitalisme américain, quand même non ?

Richard Smith est parti avec un parachute doré de 90 millions de dollars

Pendant ce temps, Graeme Payne, le CIO qui avait supervisé les scans de sécurité ratés, se fait virer le 2 octobre. Pas de retraite dorée pour lui. Il est désigné comme bouc émissaire pour ne pas avoir fait suivre un email sur la vulnérabilité Apache Struts. Dans son témoignage au Congrès, il dira : “Dire qu’un vice-président senior devrait faire suivre chaque alerte de sécurité à des équipes trois ou quatre niveaux en dessous… ça n’a aucun sens. Si c’est le processus sur lequel l’entreprise doit compter, alors c’est ça le problème.

L’enquête du Congrès est un spectacle en soi. Le 4 octobre 2017, pendant que Smith témoigne devant le Senate Banking Committee, une activiste nommée Amanda Werner, déguisée en Rich Uncle Pennybags (le Monopoly Man), s’assoit juste derrière lui.

Pendant toute l’audition, elle essuie son front avec des faux billets de 100$, ajuste son monocle et twirle sa moustache. Les images deviennent virales instantanément. Werner expliquera plus tard : “Je suis habillée en Monopoly Man pour attirer l’attention sur l’utilisation par Equifax et Wells Fargo de l’arbitrage forcé comme carte ‘sortie de prison gratuite’ pour leurs méfaits massifs.

Amanda Werner déguisée en Monopoly Man trollant l’audition au Sénat

Le témoignage de Smith devant le Congrès révèle l’ampleur de l’incompétence. Les sénateurs, notamment Elizabeth Warren, le grillent sur le timing suspect des ventes d’actions et les failles de sécurité. Warren est particulièrement féroce, demandant pourquoi Equifax a obtenu un contrat de sécurité avec l’IRS après le hack.

Le rapport du Government Accountability Office qui s’en suivra est cinglant : “Equifax n’a pas segmenté ses bases de données pour limiter l’accès, n’a pas chiffré les données sensibles, et n’a pas maintenu à jour ses certificats de sécurité.” En gros, ils ont fait absolument tout ce qu’il ne fallait pas faire. Le rapport révèle aussi que le système ACIS datait littéralement des années 1970 et n’avait jamais été vraiment modernisé.

Mais le plus fou dans tout ça, c’est que malgré l’ampleur du désastre, les conséquences pour Equifax ont été… limitées. En juillet 2019, ils acceptent un accord avec la FTC de 575 millions de dollars, extensibles à 700 millions. Ça paraît énorme, mais divisé par 147 millions de victimes, ça fait moins de 4 dollars par personne.

Les victimes peuvent réclamer jusqu’à 125$ en cash, ou 10 ans de monitoring de crédit gratuit. Mais y’a un hic que personne n’a vu venir… le fond prévu pour les paiements n’est que de 31 millions. Avec 147 millions de victimes potentielles, si seulement 248 000 personnes demandent les 125$, le fond est vide. Au final, 4,5 millions de personnes réclament le cash. Alors la plupart des gens qui demandent cet argent cash reçoivent… 7 dollars. Pas 21 cents comme initialement calculé par les pessimistes, mais pas 125$ non plus. Sept malheureux dollars pour avoir eu toute leur vie financière exposée.

Pendant ce temps, Equifax se porte bien. Leur action, qui était tombée à 92$ après le hack, est remontée à plus de 240$ en 2025. Ils ont même eu le culot d’essayer de vendre des services de protection d’identité TrustedID Premier aux victimes. “Vos données ont été volées à cause de notre négligence, mais pour 19,99$ par mois, on peut surveiller si quelqu’un les utilise !” Le cynisme à l’état pur. Sans compter que les termes d’utilisation de TrustedID incluaient initialement une clause d’arbitrage forcé où en vous inscrivant, vous renonciez à votre droit de les poursuivre.

Et les hackers chinois ?

En février 2020, le département de Justice inculpe officiellement Wu Zhiyong, Wang Qian, Xu Ke et Liu Lei. Les charges sont fraude informatique, espionnage économique, fraude électronique. Le grand jury d’Atlanta retient neuf chefs d’accusation contre eux mais c’est symbolique car comme vous le savez, ils sont en Chine, intouchables. Ils ne seront jamais extradés ni jugés et cela même si le FBI a bien mis leurs photos sur son site “Wanted”, avec une récompense pour toute information… Mais tout le monde sait que c’est du théâtre.

L’ironie, c’est que malgré le vol de 147 millions d’identités, y’a eu étonnamment peu de cas de fraude directement liés au hack Equifax. Une étude de Carnegie Mellon University l’a même confirmé.

Pourquoi ? Et bien parce que les hackers étaient des espions du 54th Research Institute, et pas des criminels de droit commun. Leur but n’était donc pas de vendre les données sur le dark web ou de vider des comptes bancaires. C’était de l’espionnage d’État, probablement pour identifier des cibles potentielles pour le recrutement, des agents à retourner, ou simplement pour constituer une base de données géante sur la population américaine pour de futures opérations.

Mais ça ne rend pas la situation moins grave, au contraire car quelque part en Chine, y’a une base de données avec les informations personnelles et financières de la moitié de la population américaine. Et ces données ne périment pas… Dans 10, 20, 30 ans, elles seront toujours utilisables puisque les numéros de sécurité sociale ne changent pas. C’est donc une épée de Damoclès permanente au-dessus de la tête de 147 millions de personnes.

Ce hack a eu pour effet d’accélérer l’adoption de lois sur la protection des données. Le CCPA (California Consumer Privacy Act) et d’autres réglementations similaires sont en partie une réponse au hack d’Equifax. L’idée que des entreprises puissent collecter et stocker des données sensibles sans le consentement explicite des consommateurs et sans protection adéquate est devenue inacceptable. Smith lui-même a suggéré dans son témoignage de remplacer les numéros de sécurité sociale par un système plus sécurisé, proposant un “partenariat public-privé pour évaluer comment mieux protéger les données des Américains”.

Mais fondamentalement, le modèle n’a pas changé. Equifax, Experian et TransUnion continuent de collecter les données des américains sans leur permission. Elles continuent de les vendre à qui veut payer. Et elles continuent d’être des cibles de choix pour les hackers du monde entier. D’ailleurs, hasard de la publication, TransUnion vient en 2025 d’être victime d’un hack, exposant les numéros de sécu de 4,4 millions d’américains. L’histoire se répète…

Bref, ce hack d’Equifax, c’est l’histoire de la faillite d’un système. Un système où des entreprises privées ont un pouvoir démesuré sur des vies, sans avoir de comptes à rendre. Un système où la négligence criminelle est punie par une tape sur les doigts et un golden parachute de plusieurs millions de dollars. Un système où les victimes sont laissées à leur compte pendant que les responsables s’en tirent….

Mais c’est aussi une leçon sur le danger de la dette technique accumulée depuis les années 1970. Sur la nécessité de régulations strictes pour protéger les données personnelles. Et surtout, sur le fait qu’aucune entreprise n’est “too big to fail” quand il s’agit de cybersécurité. Si vous pouvez être hacké avec “admin/admin”, vous méritez presque de couler, d’ailleurs…

Aujourd’hui, en 2025, Equifax a un nouveau CEO, Mark Begor, un nouveau CISO (un vrai cette fois), Jamil Farshchi, ancien de Visa et Time Warner, et des procédures de sécurité renforcées.

Quoiqu’il en soit, dans le monde de la collecte de données, nous ne sommes pas des clients. Nous sommes le produit. Et quand le produit est volé, c’est encore nous qui en payons encore le prix.

Et c’est ça, le vrai scandale.

Sources : Rapport officiel du Congrès américain sur le breach Equifax (2018) , Inculpation du Department of Justice contre les hackers chinois (2020) , Rapport du Government Accountability Office , Témoignage de Richard Smith devant le Congrès (2017) , Analyse technique de la vulnérabilité Apache Struts CVE-2017-5638 , Settlement FTC-Equifax (2019) , Rapport Mandiant sur l’investigation forensique , Timeline détaillée du breach - CSO Online , John Oliver sur Last Week Tonight , Interview d’Amanda Werner, le “Monopoly Man”

Microsoft dit que Windows ne transforme pas vos SSD en gruyère (oups !)

Par : Korben
30 août 2025 à 06:56

Bon, alors voilà. Il faut que je vous parle d’un truc un peu gênant. Vous vous souvenez de mon article bien trollesque sur Windows qui transformait vos SSD en gruyère de Schrödinger ? Bah il semblerait que j’aie un peu… comment dire… trollé trop fort sur ce coup-là.

Hé oui car Microsoft vient de sortir un démenti officiel dans lequel ils déclarent qu’après investigation, ils n’ont trouvé “aucune connexion entre la mise à jour de sécurité Windows d’août 2025 et les types de pannes de disques durs rapportés sur les réseaux sociaux.

Oups.

Donc voilà ce qui s’est passé… des utilisateurs, principalement japonais, avaient signalé que leurs SSD disparaissaient mystérieusement après avoir installé la mise à jour KB5063878. Sur le papier, ça semblait crédible puisqu’il y avait des témoignages précis, des modèles de SSD identifiés (Western Digital SA510, Corsair Force MP600), des contrôleurs spécifiques mentionnés (Phison, Maxio). Même Phison avait réagi en reconnaissant des “effets à l’échelle industrielle”.

Mais Microsoft, de son côté, a fait ses propres tests avec ses partenaires fabricants de stockage et résultat, leur télémétrie interne n’a montré aucune augmentation des pannes de disque. Et leurs tests en labo n’ont rien révélé non plus de probant.

L’histoire avait commencé avec un utilisateur Twitter @Necoru_cat qui avait signalé le problème, repris ensuite par les médias japonais puis internationaux. Toutefois, malgré le communiqué de Microsoft, Phison continue de dire qu’ils “travaillent avec Microsoft pour résoudre le problème”. Donc soit ils sont très diplomatiques, soit il y a encore des zones grises… mais bon, face au démenti catégorique de Microsoft avec tests à l’appui, je dois reconnaître que mon article bien trolling était basé sur des informations incomplètes au moment où je l’ai rédigé.

Bref, tout ça pour vous dire que je fais mon mea culpa. J’ai relayé pour l’amour du lol, une info qui semblait solide mais qui finalement s’est révélée inexacte. Ça arrive, même aux meilleurs (dont je fais sans aucun doute partie ^^). Notez que Microsoft a demandé aux utilisateurs qui pensent avoir été affectés de leur faire des retours pour creuser davantage, mais leur position officielle reste claire : Il n’y a pas de lien établi entre KB5063878 et les pannes SSD.

Source

TwitterViewer - L'outil pour espionner X sans donner un centime à Elon

Par : Korben
29 août 2025 à 09:43

Vous vous souvenez de l’époque où on pouvait consulter Twitter sans avoir de compte ? Ah, c’était le bon temps mais depuis qu’ Elon Musk a instauré son login wall “temporaire” en juillet 2023 , impossible de jeter un œil à un profil ou un thread sans passer par la case inscription.

Alors oui je sais, les réseaux sociaux avec Twitter en tête (pardon X), c’est devenu de la merde. L’effet de foule stupide & agressive y est devenu légion et c’est pourquoi j’ai arrêté d’y aller et de partager mes articles sur ces plateformes via mon compte @Korben . Mais faut reconnaître que sur certains comptes bien spécifiques qui se comptent sur les doigts d’une main, c’est quand même sympa pour la veille. Petite parenthèse, c’est d’ailleurs super dommage que ces gens qui font ce travail de veille la filent gratos à Elon Musk plutôt que de se faire un vrai site web, une newsletter ou un flux RSS. Bref, quelque chose qui leur appartient vraiment.

Heureusement, des développeurs malins ont créé des solutions pour contourner ce mur de connexion forcée. TwitterViewer en fait partie et c’est plutôt efficace. Le principe est simple puisque c’est un proxy qui se connecte à votre place et vous retransmet le contenu public des profils X. Vous entrez un nom d’utilisateur, et hop, vous avez accès à ses tweets, ses médias, et aux infos du profil, le tout de manière 100% anonyme.

Ça reste plus rapide que de créer un compte jetable à chaque fois qu’on veut vérifier un truc et le service se présente comme respectueux de la vie privée. Votre IP reste cachée, vos données de navigation ne sont pas collectées, et vous n’alimentez pas les algorithmes de X avec votre comportement.

Un compte bien vide… ^^

Mais TwitterViewer n’est pas seul sur ce créneau. Je pense par exemple à Nitter , une alternative open source historique déclarée morte en février 2024 qui a finalement ressuscité miraculeusement le 6 février dernier. Cette solution reste la plus complète si vous cherchez une interface épurée sans JavaScript ni trackers.

Il y a aussi Tweet Binder qui permet de suivre des hashtags et mots-clés sans compte, ce qui est pratique pour surveiller les tendances. Twillot propose également des extensions Chrome et des apps mobiles pour iOS et Android. Et si vous êtes vraiment désespéré, Google reste votre ami : tapez “site:x.com” suivi du nom d’utilisateur qui vous intéresse et vous aurez accès aux tweets indexés.

Musk avait quand même vendu son login wall comme une mesure d’urgence contre les scrapers de données mais au final, ces scrapers ont trouvé d’autres moyens d’accéder aux données, tandis que les utilisateurs lambda, eux, sont toujours bloqués. Même les développeurs tiers ont été éjectés avec l’augmentation délirante des prix de l’API, et maintenant on se retrouve avec un écosystème parallèle d’outils pour simplement consulter du contenu public.

Je trouve que TwitterViewer et ses alternatives représentent une sorte de résistance face à ce renfermement progressif des plateformes sociales. Et surtout, pourquoi est ce qu’on devrait se créer un compte sur ce site de nazⁱe juste pour lire un fois ou deux des tweets publics ?

❌
❌