En tant que propriétaire très heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en découvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnérabilité de sécurité dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types équipés d’un appareil qui ressemble à une vieille Game Boy de Nintendo. C’est déjà assez rageant de devoir raquer un abonnement pour les mises à jour OTA (Over-The-Air), mais là on atteint des sommets.
Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un émulateur, c’est à dire un ensemble de matériel de transmission radio fourré dans une coque qui ressemble à la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marché noir et certains modèles russes se vendent même à 15 000 euros. Pour ce prix-là, vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.
Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sécurité des véhicules modernes. Quand vous touchez la poignée de votre Ioniq 5, la voiture se réveille et initie un protocole de handshake avec ce qu’elle pense être votre clé. C’est là que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clés légitime.
Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du système CAN (Controller Area Network) de votre voiture. Selon l’expert en sécurité Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du récepteur de clé intelligente de la voiture. Ces messages trompent alors le système de sécurité pour qu’il déverrouille le véhicule et désactive l’immobilisateur moteur.
Sur certaines voitures, les voleurs peuvent accéder au réseau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de là, ils peuvent ensuite manipuler n’importe quel dispositif électronique du véhicule. Les messages CAN n’ont aucune authentification ni sécurité et les récepteurs leur font simplement confiance.
Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non… Ce serait trop facile. A la place, il s’attaque au système de rolling code censé protéger votre clé. Normalement, chaque fois que vous utilisez votre porte-clés, le code change pour éviter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilà comment on déverrouille et démarre un Ioniq 5 en moins de 30 secondes.
Une fois votre voiture volée, les malfaiteurs retirent les modules de connectivité pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.
Face à cette menace, Hyundai a donc imaginé une super solution. Il s’agit d’un patch matériel qui améliore la technologie Ultra-Wideband (UWB) pour une détection plus sécurisée de la clé. L’UWB permet une authentification plus précise entre votre clé/téléphone et le véhicule, rendant beaucoup plus difficile pour les émulateurs de se faire passer pour des clés légitimes. La technologie mesure aussi précisément la distance entre la clé et la voiture, empêchant également les attaques par relais classiques.
Mais voilà le hic… Hyundai présente cette mise à jour comme une “amélioration volontaire” plutôt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a été développée et certifiée selon toutes les normes réglementaires, y compris les exigences de cybersécurité. Et comme cette menace est classifiée comme “évolutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnée” de 49 livres sterling (65 dollars US) pour le correctif.
Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sécurité béante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est très rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.
Et le problème va bien au-delà de Hyundai car cette vulnérabilité touche aussi les Kia EV6 et Genesis GV60, qui partagent la même plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont également vulnérables à des attaques similaires. C’est donc un problème systémique de l’industrie automobile qui a adopté une approche “coque dure/centre mou” où les composants internes sont considérés comme dignes de confiance.
La vraie solution serait donc d’adopter un framework “zero trust” où chaque composant du bus CAN devrait être ré-authentifié lors de son remplacement. Mais vous vous en doutez, ça coûterait une fortune à implémenter sur les véhicules existants. En attendant, certains propriétaires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulgué ces risques et d’autres prédisent que les assurances pourraient à l’avenir refuser de couvrir les véhicules non modifiés.
Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que même si ça me fait mal, entre payer pour un patch de sécurité à 65 balles et me retrouver sans voiture un matin, le choix est vite fait.
Mais cela n’empêche pas que c’est une pratique scandaleuse de la part de Hyundai…
Vous êtes tranquillement garé au supermarché, et pendant que vous faites vos courses, quelqu’un avec un Flipper Zero capture discrètement le signal de votre clé de bagnole. Dans certains cas extrêmes, votre clé pourrait effectivement devenir inutile, mais la plupart du temps, c’est plus subtil et presque plus inquiétant puisque l’attaquant pourrait revenir ouvrir votre voiture plus tard, tandis que votre clé continue de fonctionner tout à fait normalement.
Cette nuance, personne ne la fait et pourtant elle change tout dans la compréhension de cette faille.
L’histoire commence donc avec un firmware mystérieux qui circule dans les cercles underground du Flipper Zero. Vendu jusqu’à 1000 dollars, ce firmware exploite une vulnérabilité découverte par des chercheurs et la transforme en arme redoutablement efficace. Les youtubeurs Talking Sasquatch et 0dayCTF ont publié des démonstrations qui ont fait l’effet d’une bombe dans la communauté et c’est d’ailleurs comme ça que je l’ai découvert.
Mais revenons aux bases. Les codes tournants (rolling codes), c’est une technologie censée protéger nos voitures depuis les années 90. À chaque pression sur votre télécommande, un nouveau code unique est généré. Impossible à copier, disaient-ils. Jusqu’à ce que des chercheurs trouvent LA faille.
En 2015, on a donc vu débouler RollJam, une attaque complexe qui nécessitait de brouiller le signal tout en l’enregistrant. Techniquement possible, mais franchement galère sur le terrain. Puis en 2022, tout a changé avec l’attaque RollBack présentée à la Black Hat. Cette fois, plus besoin de brouillage. Il suffit de capturer quelques signaux (parfois deux, parfois cinq selon les modèles) et de les rejouer dans le bon ordre pour “rembobiner” l’état du récepteur.
Le plus sournois, c’est que dans la majorité des cas documentés par la recherche, votre télécommande continue de fonctionner. L’attaquant exploite en effet le mécanisme de resynchronisation pour ramener le système à un état antérieur où des codes déjà utilisés redeviennent valides. C’est ce qu’on appelle une attaque “time-agnostic” cqr elle peut être réutilisée n’importe quand après la capture initiale.
Attention toutefois aux généralisations car contrairement à ce qu’on lit partout, une seule capture ne suffit pas toujours. La CVE-2022-37305 publiée pour certains modèles Honda documente par exemple la nécessité de capturer cinq signaux consécutifs. Les détails varient énormément selon les marques, modèles, années et puces utilisées.
Parlons maintenant des véhicules concernés. SAN cite une liste incluant Chrysler, Dodge, Fiat, Ford, Hyundai, Jeep, Kia, Mitsubishi et Subaru. Mais attention, ce n’est pas une liste officielle. Les chercheurs derrière RollBack indiquent qu’environ 70% des modèles asiatiques testés présentaient une vulnérabilité, tandis que certains systèmes (notamment plusieurs Toyota avec des transpondeurs Texas Instruments) se sont montrés plutôt résistants.
Il existe quand même des cas où la clé devient réellement inutile, mais c’est l’exception plutôt que la règle. Un chercheur indépendant a documenté comment certains modèles Subaru 2004-2011 pouvaient voir leur compteur poussé si loin que la clé originale se désynchronisait définitivement. Mais c’est un cas particulier d’implémentation mal conçue, et pas la norme.
L’histoire derrière ce firmware est également fascinante je trouve car elle implique un développeur controversé (surnommé “Mr. Silly Pants” par la communauté), créateur original du firmware Unleashed, qui après un séjour en prison a voulu récupérer son projet que MMX avait fait grandir en son absence. Face à son refus, il a alors créé son propre firmware avec ces fameuses fonctionnalités de rolling code et tenté de le monétiser. C’est là qu’interviennent Rocket God et les Pirates Plunder Crew qui ont réussi à cracker la protection par numéro de série mise en place sur le firmware et commencé à faire circuler le code dans des cercles restreints de hackers et chercheurs en sécurité.
Alors, comment fonctionne cette attaque ?
Déjà, il faut savoir que les systèmes RKE (Remote Keyless Entry) utilisent un compteur couplé à une clé secrète. Le récepteur tolère ainsi une “fenêtre” de resynchronisation, soit environ 16 codes pour l’exécution immédiate et jusqu’à 32 000 pour la resynchronisation en double opération selon les datasheets HCS320 et HCS500. C’est fait pour rattraper les appuis manqués quand vous êtes trop loin de la voiture.
RollBack exploite intelligemment ce mécanisme en rejouant des trames valides dans le bon ordre pour forcer une resynchronisation vers un état antérieur. Dans certains cas avec les anciens systèmes KeeLoq, si la clé constructeur a fuité (ce qui est d’ailleurs arrivé via des attaques documentées dès 2008 par Biham et al. et Courtois/Kasper), alors oui, une seule capture peut suffire pour dériver les prochaines trames.
Ce fameux firmware de Mr. Silly Pant, reste entouré de mystère. Code non publié, méthodologie non documentée, résultats non reproductibles publiquement. Les vidéos montrent un Flipper qui écoute une ou plusieurs trames et émule ensuite toutes les fonctions de la télécommande. C’est impressionnant, mais la littérature scientifique sur RollBack reste pour l’instant la meilleure base technique vérifiable.
Alors, comment se protéger ?
Vos options restent limitées. On peut utiliser le verrouillage interne du véhicule quand possible, éviter les appuis multiples loin de la voiture, ranger sa clé dans une pochette qui bloque les ondes (ça limite les captures opportunistes), et surtout désactiver le Keyless “mains libres” si votre modèle le permet (même si c’est surtout efficace contre les attaques de relais, pas forcément contre RollBack).
La vraie solution nécessiterait en fait des mises à jour de l’ECU et de la clé (irréalistes à grande échelle) ou une refonte complète avec des protocoles modernes basés sur des timestamps ou de l’authentification multifacteur. Les constructeurs sont donc dans une impasse car un rappel massif serait économiquement catastrophique, et ces systèmes hardware ne peuvent pas être patchés comme un logiciel.
Maintenant pour les passionnés qui veulent explorer le Flipper Zero légalement, trois firmwares customs publics dominent : Unleashed qui reste la référence stable, Momentum qui a repris le flambeau d’Xtreme avec des fonctionnalités plutôt riches, et RogueMaster qui offre le plus d’options mais avec une stabilité qui se discute…. Le comparatif Awesome Flipper vous détaillera toutes leurs différences.
Cette affaire révèle surtout les tensions croissantes dans la communauté Flipper Zero, entre la recherche éthique et la monétisation agressive. Elle rappelle surtout que comme d’habitude, la sécurité par l’obscurité a ses limites. Ces codes tournants semblaient invulnérables jusqu’à ce qu’on trouve comment exploiter leur mécanisme de resynchronisation.
Le Flipper Zero n’est d’ailleurs pas le seul coupable. D’autres dispositifs SDR peuvent théoriquement réaliser la même attaque mais le Flipper a démocratisé ces techniques, les rendant accessibles à tous. Heureusement, de nouveaux systèmes de sécurité émergeront bientôt, j’en suis sûr, probablement basés sur des protocoles plus robustes mais comme vous le savez chaque protection finit par tomber. C’est juste une question de temps, de motivation et d’ingéniosité.
Maintenant, si vous croisez quelqu’un qui traine avec un Flipper Zero dans un parking, pas de panique et inutile de lui casser la gueule, car la majorité de la communauté reste éthique. Donc peu de chance que ce soit un voleur de voiture. Mais restez quand même vigilant, on ne sait jamais…
Putain mais c’est pas possible ! Encore une cyberattaque massive dans les télécoms français. Cette fois c’est Bouygues Telecom qui s’est fait défoncer avec 6,4 millions de comptes clients compromis selon France Info. Et le pire dans tout ça c’est que les attaquant ont même choppé les IBAN. Oui, vos coordonnées bancaires sont dans la nature. Woohoo \o/ !
L’attaque a été détectée le 4 août 2025, soit il y a trois jours seulement. Bouygues annonce fièrement que “la situation a été résolue dans les meilleurs délais” par leurs équipes techniques.
Alors qu’est-ce qui a fuité exactement ?
Et bien accrochez-vous bien, je vous fais la liste : toutes les informations de contact, les données contractuelles, l’état civil, les données d’entreprise pour les pros, et surtout, surtout… vos IBAN. Par contre, les numéros de carte bancaire et les mots de passe ne sont pas concernés. Ouf, on a eu chaud !
Mais attendez, le meilleur c’est que la page web dédiée à informer les victimes contenait une balise “noindex” cachée. Pour ceux qui ne connaissent pas, ça veut dire que Google ne peut pas indexer la page. En gros, si vous cherchez des infos sur la cyberattaque Bouygues sur Google, vous ne trouverez pas leur page officielle. C’est surement pour pas flinguer leur branding !
Le vrai danger maintenant, c’est qu’avec votre IBAN, un pirate motivé peut potentiellement mettre en place des prélèvements SEPA frauduleux. En usurpant votre identité et avec toutes les infos volées, il peut créer de faux mandats de prélèvement. Bouygues admet d’ailleurs ne pas exclure qu’un fraudeur parvienne à réaliser une telle opération en usurpant votre identité. Tu m’étonnes John.
Ce qui me fait vraiment halluciner, c’est qu’il y a 26,9 millions de clients mobile chez Bouygues Telecom. Ça veut dire qu’un client sur quatre s’est fait avoir. UN SUR QUATRE ! C’est pas une petite fuite de données, c’est un tsunami.
Bouygues a déposé plainte auprès des autorités judiciaires et signalé l’incident à la CNIL. Bon bah super, fallait le faire, mais ça va pas vraiment aider les 6,4 millions de clients qui vont devoir surveiller leur compte bancaire pendant les 10 prochaines années.
Pour “rassurer” les clients, un numéro gratuit a été mis en place : 0801 239 901. Ils ont aussi créé une page web dédiée (celle avec le noindex, vous vous souvenez ?) et une section spéciale sur Le Mag. Tous les clients concernés vont recevoir un email ou un SMS. Spoiler : si vous êtes client Bouygues, vous allez probablement le recevoir.
Le timing est particulièrement bon quand on sait qu’Orange aussi s’est aussi fait pirater récemment. Les télécoms français sont vraiment en mode open bar pour les hackers en ce moment. C’est la fête du slip niveau sécurité.
Mes conseils donc si vous êtes client Bouygues :
Surveillez vos comptes bancaires comme le lait sur le feu
Méfiez-vous de TOUS les emails et appels qui vous demandent des infos
Changez vos mots de passe partout (même s’ils disent qu’ils n’ont pas été touchés)
Activez l’authentification à deux facteurs partout où c’est possible
Et surtout, préparez-vous à recevoir du phishing de compétition pendant les prochains mois (années ?)
Avec vos vraies infos perso, les arnaqueurs vont pouvoir créer des emails et SMS ultra crédibles. Ils connaissent votre numéro de contrat, votre adresse, votre IBAN… Ils peuvent se faire passer pour Bouygues, votre banque, ou n’importe quelle administration. C’est le jackpot pour eux.
Cette histoire une fois de plus me met vraiment en rogne. On confie nos données les plus sensibles à ces entreprises, et elles sont incapables de les protéger correctement. Je sais pas vous, mais moi j’en ai marre de ces leaks à répétition. À quand une vraie responsabilisation de ces entreprises ? Des amendes qui font vraiment mal ? Parce que là, on est juste des pigeons qui attendent de se faire plumer.
L’avenir de la chasse aux bugs pourrait bien appartenir aussi aux intelligences artificielles (IA). Google vient d’affirmer qu’un de ses systèmes avait été plutôt bon pour déceler plusieurs vulnérabilités au cours des derniers mois.
L’avenir de la chasse aux bugs pourrait bien appartenir aussi aux intelligences artificielles (IA). Google vient d’affirmer qu’un de ses systèmes avait été plutôt bon pour déceler plusieurs vulnérabilités au cours des derniers mois.
L’avenir de la chasse aux bugs pourrait bien appartenir aussi aux intelligences artificielles (IA). Google vient d’affirmer qu’un de ses systèmes avait été plutôt bon pour déceler plusieurs vulnérabilités au cours des derniers mois.
L’avenir de la chasse aux bugs pourrait bien appartenir aussi aux intelligences artificielles (IA). Google vient d’affirmer qu’un de ses systèmes avait été plutôt bon pour déceler plusieurs vulnérabilités au cours des derniers mois.
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Aujourd’hui les amis, je vais vous raconter l’histoire du groupe de hackers le plus patient et le plus sophistiqué au monde. APT29, aussi connu sous les doux noms de Cozy Bear, The Dukes ou maintenant Midnight Blizzard, c’est l’élite absolue du cyber-espionnage russe. Ce sont des espions qui peuvent squatter vos systèmes pendant des années, qui matent vos emails les plus confidentiels, qui observent chacun de vos mouvements numériques, et tout ça dans la plus grande discrétion.
Ces types ont piraté la Maison Blanche, le Pentagone, le Département d’État américain, et j’en passe. Mais en 2014, les services secrets néerlandais ont réussi l’impensable : ils ont piraté ces pirates ! Je vous raconte tout ça !!
Siège du SVR à Moscou, d’où sont orchestrées les opérations d’APT29
L’histoire d’APT29 commence bien avant que le monde ne connaisse leur nom. Les premiers signes de leur activité remontent à 2008, et certains experts pensent même qu’ils opéraient déjà dès 2004. À l’époque, personne ne savait vraiment qui ils étaient. On voyait juste des attaques ultra-sophistiquées contre des gouvernements occidentaux, des think tanks, des organisations internationales.
Ce qui distinguait déjà ces attaques des autres, c’était leur patience légendaire. Là où d’autres groupes de hackers font du “smash and grab”, ils entrent, ils volent, ils sortent, APT29 s’installait pour des mois, voire des années. Ils observaient, ils apprenaient, ils attendaient. C’était de l’espionnage à l’ancienne, mais avec des moyens modernes. Du coup, c’est pas pour rien qu’on les appelle “Cozy Bear”, l’ours douillet qui hiberne tranquillement dans vos systèmes.
Le nom “Cozy Bear” leur a été donné par CrowdStrike, une société de cybersécurité américaine car dans leur système de nomenclature, tous les groupes russes sont des “ours”. Et y’a du monde au zoo : Fancy Bear (APT28, lié au GRU, le renseignement militaire), Venomous Bear, Primitive Bear… Mais Cozy Bear, c’est ceux qui s’installe pépère dans vos systèmes en attendant le bon moment.
Les autres noms liés à ce groupe sont tout aussi évocateurs. “The Dukes” fait référence à leur famille de malwares : MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, GeminiDuke… Chaque “Duke” a sa spécialité, ses capacités uniques. C’est l’équivalent d’une boîte à outils mais pour faire du cyber espionnage ultra-sophistiqué.
Maintenant, parlons technique deux secondes. Le cœur de MiniDuke, découvert en 2013, était écrit entièrement en assembleur ce qui est un choix assez insolite mais qui montre l’excellent niveau des développeurs. Le malware pesait seulement 20KB, pouvait télécharger des modules additionnels selon les besoins et éviter la détection par les antivirus traditionnels. CozyDuke, lui, utilisait des certificats volés pour signer ses composants et se faire passer pour du code légitime.
Mais revenons à cette incroyable histoire néerlandaise. En 2014, les cyber-espions du Joint Sigint Cyber Unit (JSCU), l’unité cyber conjointe des services de renseignement néerlandais (AIVD et MIVD), bossent sur une piste. Cette unité d’élite de 80-100 personnes a pour mission de répérer des activités cheloues et de remonter leurs traces. Ce qu’ils découvrent alors dépasse leurs espérances les plus folles.
Non seulement ils parviennent à infiltrer le réseau utilisé par APT29, mais ils découvrent aussi quelque chose d’extraordinaire : le groupe opère depuis un bâtiment universitaire près de la Place Rouge à Moscou. Et cerise sur le gâteau, y’a des caméras de surveillance partout dans le bâtiment. Les Néerlandais prennent le contrôle de ces caméras, et hop, c’est l’arroseur arrosé !
La Place Rouge à Moscou, tout près du QG secret d’APT29
Pendant au moins un an, voire jusqu’à deux ans et demi selon les sources, c’est l’opération de contre-espionnage du siècle. Les Néerlandais regardent littéralement par-dessus l’épaule des hackers russes. Ils voient qui entre et sort du bureau. Ils identifient des agents du SVR grâce aux images. Ils observent les hackers lancer leurs attaques en temps réel. C’est comme me regarder bosser en live Twitch, mais avec des vrais espions russes !
Et là, ça part en sucette car l’AIVD voit APT29 attaquer le Département d’État américain en novembre 2014. Ils alertent alors immédiatement leurs homologues américains : “Hé les gars, vos systèmes sont en train de se faire défoncer, voici exactement ce que font les Russes.” Les Américains sont sur le cul. C’est du renseignement en temps réel d’une qualité exceptionnelle.
Le Département d’État américain, première cible majeure observée par les Néerlandais
Quand APT29 s’attaque ensuite à la Maison Blanche fin 2014, les Néerlandais sont encore là, à observer. Les Russes accèdent aux notes confidentielles non classifiées du président Obama et à son agenda et les Américains sont tellement reconnaissants de l’aide néerlandaise qu’ils établissent des canaux de communication ultra-sécurisés entre les deux agences. Du jamais vu dans l’histoire du renseignement.
L’attaque contre le Pentagone en août 2015 est un autre exemple de la sophistication d’APT29. Ils utilisent une technique de spear-phishing c’est à dire des emails ciblés qui semblent légitimes. L’email contient un lien vers ce qui semble être un article d’actualité sur les tensions en Ukraine mais quand la victime clique, c’est le début de l’infiltration.
Le Pentagone paralysé pendant deux semaines par APT29
Et le malware utilisé est une merveille d’ingénierie. Il vérifie d’abord si la machine est intéressante. Si c’est juste un PC lambda, il reste dormant par contre, si c’est une machine avec des accès privilégiés, il s’active et commence à explorer le réseau. Il communique alors avec ses serveurs de commande en utilisant des techniques de stéganographie cachant des données dans des images innocentes postées sur des sites web légitimes. Ces mecs sont des artistes !
L’attaque paralyse le système mail non classifié de l’état-major des armées pendant deux semaines. 4000 militaires et civils travaillant pour l’état-major américain sont affectés. C’est très embarrassant pour la première puissance militaire mondiale, mais c’est surtout inquiétant car si APT29 peut faire subir ça au Pentagone, que peuvent-ils faire d’autre ?
Mais c’est l’attaque contre le Democratic National Committee (DNC) en 2015-2016 qui va vraiment faire connaître APT29 au grand public. Ils infiltrent le réseau du DNC dès l’été 2015, presque un an avant l’élection présidentielle et pendant des mois, ils lisent tranquillement les emails, ils téléchargent des documents, ils observent.
Et là, c’est le bordel complet ! APT29 n’est pas seul sur ce coup. APT28 (Fancy Bear), l’autre groupe de hackers russes lié au GRU, débarque sur le réseau du DNC début 2016. Les deux groupes ne semblent pas coordonner leurs actions. C’est même le contraire : ils se marchent sur les pieds, ils utilisent des techniques différentes, ils ont des objectifs différents.
APT29, fidèle à sa réputation, est discret. Ils collectent du renseignement, point barre. APT28, c’est l’inverse. Ils sont bruyants, agressifs. Ce sont eux qui vont leaker les documents du DNC via WikiLeaks et DCLeaks. Deux services de renseignement russes, deux approches complètement différentes. C’est comme si la DGSE et la DGSI se marchaient dessus pendant une opération. Bref, du grand n’importe quoi !
APT28 et APT29, deux façons de procéder bien différentes
Les Néerlandais observent tout ça en temps réel. Ils voient APT29 opérer, ils comprennent que c’est grave. D’ailleurs, leur renseignements servent de base à l’enquête du FBI sur l’ingérence russe dans l’élection de 2016 et sans les Néerlandais, on n’aurait peut-être jamais su à quel point l’opération était sophistiquée.
Malheureusement, l’accès néerlandais à APT29 se tarit entre 2016 et 2017. Des journalistes néerlandais de Volkskrant et Nieuwsuur révèlent l’histoire en janvier 2018, et suggèrent que des déclarations indiscrètes de hauts responsables américains ont grillé l’opération. Les Russes ont compris qu’ils étaient surveillés et ont changé leurs méthodes. L’AIVD était furieux !! Des années de travail ruinées par des grandes gueules !
Le QG de l’AIVD à Zoetermeer, d’où fut menée l’opération contre APT29
Mais APT29 ne disparaît pas pour autant. Au contraire, ils évoluent, ils s’adaptent. En 2018, on les voit utiliser de nouveaux malwares comme WellMess et WellMail. En 2020, pendant la pandémie, ces enfoirés s’attaquent aux centres de recherche travaillant sur les vaccins COVID-19 aux États-Unis, au Royaume-Uni et au Canada. Leur objectif c’est de voler les formules, les données des essais cliniques et les informations sur la chaîne d’approvisionnement.
C’est cynique au possible, mais c’est logique du point de vue du renseignement russe car pourquoi dépenser des milliards en R&D quand on peut simplement voler le travail des autres ? Les pays occidentaux dénoncent, mais APT29 continue puisqu’ils sont protégés par l’État russe et qu’ils sont intouchables.
Les laboratoires de recherche COVID-19, nouvelles cibles d’APT29 en 2020
Et puis arrive l’attaque SolarWinds fin 2020. Là, c’est le chef-d’œuvre absolu d’APT29, leur opération la plus ambitieuse et la plus réussie. L’idée est géniale et diabolique car au lieu d’attaquer directement des milliers de cibles, pourquoi ne pas simplement compromettre un fournisseur que tout le monde utilise ?
Du coup, ils ciblent SolarWinds, dont le logiciel Orion est utilisé pour la gestion de réseau par des milliers d’entreprises et d’agences gouvernementales. Entre septembre 2019 et février 2020, APT29 infiltre alors l’environnement de développement de SolarWinds et y injectent leur malware, SUNBURST (aussi appelé Solorigate), directement dans les mises à jour légitimes du logiciel. Malin l’ourson !!
SolarWinds, la supply chain compromise qui a secoué le monde
Entre mars et juin 2020, environ 18 000 clients SolarWinds téléchargent et installent la mise à jour compromise. Le malware SUNBURST s’active après une période de dormance de 12 à 14 jours, histoire d’éviter la détection par les sandboxes de sécurité et il contacte ses serveurs de commande en imitant parfaitement le trafic légitime de SolarWinds. Il est donc pratiquement invisible.
Mais attendez, APT29 ne s’intéresse pas aux 18 000 victimes. Non non, ils font le tri comme des chefs car environ 1% des infectés seulement sont sélectionnés pour la phase deux de l’opération. Ce sont les cibles de haute valeur telles que des agences gouvernementales américaines, des entreprises technologiques majeures, des think tanks influents…etc. Et pour les autres, SUNBURST reste dormant ou s’autodétruit.
La liste des victimes confirmées est impressionnante. Le Département du Trésor, le Département du Commerce, le Département de l’Énergie (y compris la National Nuclear Security Administration… oui, ceux qui gèrent l’arsenal nucléaire !), le Département de la Justice… Microsoft, Cisco, Intel, Deloitte, et même FireEye, l’entreprise de cybersécurité qui découvrira l’attaque.
C’est l’ironie du sort car c’est justement FireEye qui tire la sonnette d’alarme le 8 décembre 2020. Ils détectent que leurs propres outils de red team (des outils utilisés pour tester la sécurité) ont été volés. En enquêtant, ils découvrent alors SUNBURST. Kevin Mandia, le CEO de FireEye, déclare que c’est l’attaque la plus sophistiquée qu’il ait jamais vue en 25 ans de carrière, et croyez-moi, le mec en a vu des vertes et des pas mûres !
FireEye, la société de cybersécurité qui a découvert l’attaque SolarWinds
Ce qui impressionne les experts, c’est surtout la patience et la sophistication d’APT29 car ils ont passé des mois, peut-être des années, à planifier cette opé;ration. Ils ont étudié l’architecture de SolarWinds, ils ont trouvé le moyen d’insérer leur code sans déclencher d’alarmes, ils ont créé une infrastructure de commande et contrôle qui imite parfaitement le trafic légitime.
Et une fois dans les réseaux des victimes, APT29 ne se précipite pas. Non, ils explorent méthodiquement, ils identifient les systèmes critiques, ils volent les identifiants administrateurs, et ils installent d’autres backdoors comme TEARDROP et RAINDROP pour garder l’accès même si SUNBURST est découvert.
En janvier 2024, Microsoft annonce une nouvelle intrusion ! Cette fois, APT29 a utilisé une technique vieille comme le monde mais toujours efficace : le password spraying. Ils ont testé des mots de passe communs contre des milliers de comptes jusqu’à trouver un compte de test sans authentification multi-facteurs. Une erreur basique qui a coûté très cher !
Microsoft appelle maintenant APT29 “Midnight Blizzard” ou “NOBELIUM”. C’est poétique, je trouve… le blizzard de minuit, c’est l’attaque qui arrive sans un bruit dans l’obscurité et qui paralyse tout. Ce nouveau nom reflète aussi l’évolution du groupe car ils ne sont plus juste “Cozy Bear”, l’ours douillet. Ils sont devenus une force de la nature, imprévisible et dévastatrice.
Mais le pire, c’est ce que Microsoft révèle en mars 2024… APT29 a eu accès à certains de leurs dépôts de code source pendant l’attaque SolarWinds et le code source de Microsoft, c’est les plans de l’Etoile de la Mort ! Avec ça, APT29 peut chercher des vulnérabilités, comprendre comment fonctionnent les systèmes de sécurité, et peut-être même planifier de futures attaques.
Microsoft, victime récurrente et observateur privilégié d’APT29
Les attaques continuent et se diversifient. En octobre 2024, Microsoft détecte une campagne de spear-phishing massive. APT29 envoie des milliers d’emails à des cibles dans plus de 100 organisations. Les emails contiennent des fichiers RDP (Remote Desktop Protocol) qui, une fois ouverts, connectent la machine de la victime à un serveur contrôlé par APT29. C’est super efficace !
Ce qui est nouveau et assez fou, c’est l’utilisation de Microsoft Teams pour le phishing. APT29 se fait passer pour le support technique et contactent les employés directement via Teams. “Bonjour, on a détecté un problème avec votre compte, pouvez-vous confirmer votre mot de passe ?” Simple, mais terriblement efficace quand c’est bien fait.
Bon, parlons un peu de leur arsenal technique, parce que c’est du lourd. HAMMERTOSS, découvert en 2015, est particulièrement créatif puisqu’il utilise Twitter pour recevoir ses commandes ! Les opérateurs d’APT29 créent des comptes Twitter avec des noms générés algorithmiquement (genre “234Bob234” ou “1abMike52b”) et ils postent des tweets qui semblent innocents mais qui contiennent des instructions encodées et des URLs vers des images contenant des commandes cachées par stéganographie.
En 2023-2024, on voit également apparaître de nouveaux outils comme WINELOADER et SNOWYAMBER. WINELOADER utilise des leurres sur le thème du vin (d’où le nom) pour cibler les diplomates. SNOWYAMBER intègre des routines anti-détection super avancées et peut désactiver les solutions de sécurité avant de s’exécuter. Ces mecs ne s’arrêtent jamais d’innover !
Les techniques de persistence d’APT29 sont aussi impressionnantes. Ils utilisent le DLL Side-Loading, créent des tâches planifiées Windows légitimes, modifient les clés de registre de démarrage, et exploitent même les mécanismes de signature de code de Windows. Bref, une fois qu’ils sont dans votre système, c’est comme essayer d’enlever de la super glue sur vos doigts… bon courage !
Les cibles d’APT29 révèlent leurs priorités stratégiques. Gouvernements occidentaux, particulièrement les ministères des affaires étrangères et de la défense. Cercles de réflexion qui influencent les politiques. Entreprises technologiques qui développent des innovations critiques. Organisations internationales comme l’ONU, l’OTAN ou l’UE. Bref, tout ce qui peut donner à la Russie un avantage stratégique est dans leur viseur.
Mais APT29 ne s’intéresse pas qu’à l’Occident. Ils espionnent aussi les pays de l’ex-URSS, les gouvernements asiatiques, africains et du Moyen-Orient. Ils surveillent même les groupes d’opposition russes et les oligarques qui pourraient poser problème. Le SVR veut tout savoir, tout contrôler. C’est Big Brother version cyber !
L’ONU, une des nombreuses organisations internationales ciblées
Comme je vous le disais, la patience d’APT29 est vraiment légendaire car dans certains cas documentés, ils sont restés dans des réseaux pendant plus de cinq ans sans être détectés. Cinq ans ! Ils observent, ils apprennent les habitudes, ils comprennent l’organisation et quand ils frappent enfin, ils savent exactement où chercher et quoi prendre.
Cette approche “low and slow” (basse et lente) est typique du SVR. Contrairement au GRU qui fait dans le spectaculaire et le perturbateur (coucou NotPetya !), le SVR privilégie le renseignement à long terme car ils veulent comprendre les intentions, anticiper les décisions, influencer subtilement plutôt que détruire brutalement.
C’est pourquoi les experts en cybersécurité ont un respect mêlé de crainte pour APT29. John Hultquist de Mandiant les décrit comme “les meilleurs dans le domaine”. Dmitri Alperovitch de CrowdStrike dit qu’ils sont “extrêmement disciplinés et professionnels”. Ce ne sont pas des script kiddies ou des hacktivistes. Ce sont des professionnels du renseignement avec des moyens illimités et 20 ans d’expérience.
Notez quand même que le coût humain et financier des opérations d’APT29 est astronomique. Les dommages directs se chiffrent en milliards, notamment avec le coût de la remédiation après SolarWinds qui dépasse les 100 milliards de dollars selon certaines estimations. Mais le vrai coût, c’est la perte de confiance, les secrets volés, l’avantage stratégique donné à la Russie. Et comment chiffrer ça ?
Et le pire dans tout ça, c’est qu’on ne sait probablement pas tout car APT29 est si doué pour rester invisible qu’il y a certainement des intrusions non découvertes. Combien de réseaux sont encore compromis ? Quels secrets ont été volés sans que personne ne s’en aperçoive ? C’est ça le vrai cauchemar qui empêche les RSSI du monde entier de dormir.
Mais l’attribution d’APT29 au SVR est maintenant officielle. En avril 2021, les États-Unis, le Royaume-Uni, l’Australie, le Canada, la Nouvelle-Zélande, l’OTAN et l’UE l’ont même confirmé publiquement, mais bon, ça change quoi concrètement ? Les membres d’APT29 ne seront jamais extradés, jamais jugés et ils continueront leur travail, protégés par l’État russe.
Le SVR a surtout une longue histoire d’espionnage derrière lui… C’est l’héritier de la Première Direction principale du KGB, responsable du renseignement extérieur. Des légendes comme Kim Philby, Guy Burgess et Donald Maclean (les fameux espions de Cambridge) travaillaient pour les prédécesseurs du SVR. APT29 est donc la continuation de cette tradition avec des moyens modernes. Les méthodes changent mais les objectifs restent les mêmes.
Ce qui est dingue, je trouve, c’est la normalisation de ces attaques car il y a 20 ans, pirater la Maison Blanche aurait été considéré comme un acte de guerre. Aujourd’hui, c’est juste un mardi comme les autres. Les pays occidentaux dénoncent, imposent des sanctions, expulsent des diplomates, mais les attaques continuent. C’est une nouvelle normalité de la guerre froide numérique.
Cependant, les leçons à tirer de l’affaire APT29 sont multiples et cruciales. D’abord, la cybersécurité n’est jamais acquise. Même les organisations les plus sophistiquées peuvent être compromises. Ensuite, la supply chain est le maillon faible. SolarWinds l’a montré de manière spectaculaire : compromettre un fournisseur, c’est potentiellement compromettre des milliers de clients.
L’importance du renseignement humain reste également évidente car sans les Néerlandais et leurs caméras, on n’aurait jamais eu cette vision unique des opérations d’APT29. Sans oublier la coopération internationale qui est absolument cruciale dans ce genre de cas. Les Néerlandais ont aidé les Américains, qui ont aidé les Britanniques, qui ont aidé tout le monde… Face à des adversaires étatiques avec des ressources illimitées, les démocraties doivent s’entraider, mais cette coopération est fragile, comme l’a montré la fin prématurée de l’accès néerlandais.
Et pour les entreprises et les organisations, le message est clair : Vous êtes peut-être déjà compromis car APT29 est patient, très patient… et ils peuvent déjà être dans vos systèmes depuis des années. Une approche “assume breach” (supposez que vous êtes compromis) est donc plus réaliste qu’une approche “empêcher toute intrusion”.
L’authentification multi-facteurs, le principe du moindre privilège, la segmentation réseau, la surveillance comportementale, les EDR/XDR… Toutes ces mesures sont essentielles, mais même avec tout ça, APT29 peut trouver un moyen d’accéder à vos systèmes.
Sans oublier que APT29 continue inexorablement de s’adapter, d’apprendre de leurs erreurs, et d’intégrer de nouvelles techniques à leurs process. L’intelligence artificielle, le machine learning, l’informatique quantique… Toutes ces technologies seront probablement dans leur arsenal dans les années à venir et ce futur s’annonce aussi passionnant que terrifiant ^^.
Certains experts prédisent que la prochaine grande vague d’attaques d’APT29 visera massivement l’infrastructure cloud car avec de plus en plus d’organisations qui migrent sur AWS, Azure ou Google Cloud, c’est la cible logique. Imaginez APT29 avec un accès root aux infrastructures cloud de milliers d’entreprises. Le potentiel de chaos serait vertigineux !
D’autres s’inquiètent également des deepfakes et de la désinformation assistée par IA. APT29 a les compétences techniques et les ressources pour créer des deepfakes ultra-convaincants alors imaginez de fausses vidéos de leaders mondiaux déclarant la guerre, de PDG annonçant des faillites, ou de responsables politiques dans des situations compromettantes. Encore un potentiel énorme de chaos.
Et surtout, comment répondre efficacement à APT29 ??? Car les sanctions économiques et les dénonciations publiques n’ont visiblement aucun effet sur eux. Certains proposent des cyber-ripostes offensives, mais ce serait l’escalade assurée avec un adversaire qui a l’arme nucléaire. D’autres voudraient aussi négocier des “règles du jeu” dans le cyberespace, mais la Russie n’est clairement pas intéressée.
Quoiqu’il en soit, APT29 est à la fois un problème de sécurité nationale et un problème de sécurité individuelle car leurs opérations affectent la géopolitique mondiale, les élections, les relations internationales, mais aussi la vie privée de millions de personnes lambda. Les emails dans le hack du DNC, les données médicales dans le hack de SolarWinds, vos infos perso dans celui de Microsoft… Nous sommes tous des victimes collatérales potentielles.
Surtout que l’histoire d’APT29 est loin d’être finie car tant que le SVR existera et tant que la Russie verra l’Occident comme un adversaire existentiel, les opérations continueront…
Bref, dormez tranquilles braves gens, APT29 veille sur vos données ! 😅
Bon, si vous tournez encore sur du Apache 2.4.49 en 2025, j’ai une mauvaise nouvelle : des hackers utilisent probablement votre serveur pour miner du Monero depuis 4 ans et vous ne le savez même pas.
L’histoire commence avec la CVE-2021-41773, une faille de type “path traversal” dans Apache HTTP Server qui permet aux attaquants de naviguer dans l’arborescence de votre serveur comme s’ils étaient chez eux. Cette vulnérabilité a évidemment été patchée en octobre 2021 avec la version 2.4.51 mais on est en juillet 2025, et visiblement, y’a encore du monde qui n’a pas eu le mémo.
Les cybercriminels derrière cette campagne déploient actuellement un cryptominer baptisé Linuxsys. Pour ce faire, ils scannent le net à la recherche de serveurs Apache vulnérables, exploitent la faille pour y déposer leur miner, et hop, votre serveur se met à bosser pour eux.
Le truc marrant (enfin, façon de parler), c’est que cette opération rapporte des cacahuètes car d’après les analyses, le wallet des hackers reçoit environ 0,024 XMR par jour, soit à peu près 8 dollars. C’est le SMIC du cryptomining illégal… Mais bon, quand vous avez 400 serveurs qui bossent pour vous H24, ça finit par faire un petit pécule.
Techniquement, la faille CVE-2021-41773 permet donc de contourner les protections mises en place par Apache pour empêcher l’accès aux fichiers sensibles. En gros, au lieu de taper “../../../etc/passwd” (ce que Apache bloque), les attaquants encodent le deuxième point en “.%2e” et bim, ça passe. C’est con mais ça marche.
Voici à quoi ressemble une attaque typique :
GET /cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd HTTP/1.1
Et si vous avez le module mod_cgi activé avec “Require all granted” dans votre config (ce qui est une très mauvaise idée), les attaquants peuvent carrément exécuter du code sur votre machine. Là, c’est la fête du slip.
Et les cybercriminels ne stockent pas leur malware sur leurs propres serveurs. Non, non, ils compromettent des sites WordPress légitimes et s’en servent comme dépôt. Du coup, quand votre serveur télécharge le cryptominer, il le fait depuis un site avec un certificat SSL valide qui a l’air tout ce qu’il y a de plus normal.
Le script d’installation est d’ailleurs assez basique. Il télécharge le binaire “linuxsys”, un fichier de config, et installe une tâche cron pour que le miner redémarre automatiquement après un reboot. Les commentaires dans le code sont en soundanais (une langue indonésienne), ce qui donne une petite idée de l’origine des attaquants. Et les mecs derrière Linuxsys ne se contentent pas d’exploiter CVE-2021-41773 car ils ont tout un arsenal de vulnérabilités dans leur besace :
CVE-2024-36401 sur GeoServer
CVE-2023-22527 sur Atlassian Confluence
CVE-2023-34960 sur Chamilo LMS
CVE-2023-38646 sur Metabase
Et même des failles récentes sur les pare-feux Palo Alto
En gros, si vous avez un truc pas à jour qui traîne sur Internet, y’a de bonnes chances que Linuxsys finisse par toquer à votre porte.
Alors, comment se protéger de cette merde ? C’est pas sorcier :
Patchez Apache, bordel ! La version 2.4.51 date d’octobre 2021. Si vous êtes encore en 2.4.49 ou 2.4.50, vous méritez presque de vous faire pwn.
Bloquez les domaines malveillants dans votre firewall, notamment repositorylinux.org et les sites WordPress compromis connus.
Surveillez votre CPU. Si votre serveur se met à consommer comme un gamer qui lance Cyberpunk 2077 en ultra, c’est louche.
Checkez vos connexions sortantes. Si vous voyez du trafic TLS vers pool.hashvault.pro, c’est mort, vous minez pour les autres.
Désactivez les modules Apache inutiles et surtout, ne mettez JAMAIS “Require all granted” sur tout votre filesystem. C’est comme laisser vos clés sur la porte d’entrée.
Le plus rageant dans cette histoire, c’est que cette campagne dure depuis 2021. Mêmes attaquants, même méthode, même malware. Ils ont juste à attendre que de nouveaux serveurs mal configurés apparaissent sur le net et voilà.
Et n’oubliez pas. Si vous gérez des serveurs, abonnez-vous aux alertes de sécurité d’Apache et des autres softs que vous utilisez. Ça prend 2 minutes et ça peut vous éviter de finir en sueur dans un article comme celui-ci.
Bref, ces méchants hackers n’ont pas besoin d’être des génies, ils ont juste besoin que vous soyez négligents… Alors allez vérifier vos versions d’Apache maintenant !
Vous savez comment la NASA a réparé une caméra qui orbite autour de Jupiter ? Et bien en la mettant dans un four. Non, je déconne pas.
La sonde Juno tourne autour de Jupiter depuis 2016, et elle embarque une caméra appelée JunoCam qui nous envoie des images absolument dingues de la plus grosse planète du système solaire. Sauf que voilà, après 46 orbites nickel chrome, la caméra a commencé à faire des siennes lors de la 47ème orbite. Les images étaient pourries, pleines de bruit et de lignes bizarres.
Les ingénieurs du Jet Propulsion Laboratory ont alors vite compris le problème : les radiations de Jupiter, qui sont absolument monstrueuses, avaient bousillé le régulateur de tension de la caméra. Pour vous donner une idée, Jupiter émet tellement de radiations que la NASA avait prévu que JunoCam ne survive que 8 orbites, soit environ 400 jours. Mais la petite caméra qui le pouvait a tenu courageusement 5 fois plus longtemps que prévu !
Bon, le souci c’est qu’envoyer un nouveau régulateur via Amazon Prime à 600 millions de kilomètres, c’est pas vraiment une option. Alors les mecs de la NASA ont sorti une idée complètement folle de leur chapeau : Et si on faisait chauffer la caméra pour réparer les dégâts ?
Cette technique s’appelle le “recuit” (annealing en anglais), et c’est un procédé utilisé en métallurgie où on chauffe un matériau puis on le laisse refroidir lentement. Ça permet parfois de corriger des défauts dans la structure du matériau au niveau microscopique. Mais personne ne savait si ça marcherait sur du silicium irradié dans l’espace.
Jacob Schaffner, l’ingénieur de Malin Space Science Systems qui s’occupe de JunoCam, explique : “On savait que le recuit peut parfois modifier un matériau comme le silicium au niveau microscopique, mais on ne savait pas si ça réparerait les dégâts. On a commandé au chauffage de JunoCam de monter la température à 25°C, soit bien plus chaud que d’habitude pour la caméra, et on a attendu en retenant notre souffle.”
Et bam ! Miracle, ça a marché. La caméra s’est remise à produire des images nickel. Mais comme toutes les bonnes choses ont une fin, après quelques orbites supplémentaires, les images ont recommencé à merder vers l’orbite 55.
Là, c’était la panique à bord. La sonde devait passer super près de Io, une des lunes de Jupiter, et il fallait absolument que la caméra fonctionne pour capturer ce moment historique. Cette fois, ils ont carrément mis le chauffage au max. Et re-miracle, ça a encore fonctionné ! Juste à temps pour capturer des images époustouflantes de Io et ses volcans en éruption.
Le plus fou dans cette histoire, c’est que cette technique de réparation par chauffage a tellement bien marché que l’équipe de Juno l’a testée sur d’autres instruments et systèmes de la sonde. Scott Bolton, le responsable scientifique de la mission, est super enthousiaste : “Juno nous apprend comment créer et maintenir des vaisseaux spatiaux résistants aux radiations, et ces leçons vont bénéficier aux satellites en orbite autour de la Terre. Je pense que ce qu’on a appris avec Juno sera applicable aux satellites militaires et commerciaux, ainsi qu’à d’autres missions de la NASA.”
Malheureusement, lors de la 74ème orbite, le bruit est revenu dans les images et la NASA n’a pas dit s’ils allaient retenter le coup du four spatial une troisième fois. Peut-être qu’ils attendent le bon moment pour ressortir leur botte secrète.
Tout cela prouve que même avec toute leur technologie de pointe, les ingénieurs de la NASA doivent parfois improviser des solutions à la MacGyver comme à l’époque où on mettait nos cartes graphiques dans le four pour les réparer, sauf que là c’est une caméra qui se trouve à 600 millions de bornes et qui file à 200 000 km/h autour d’une planète géante radioactive.
Bref, cette technique de réparation par recuit pourrait se rajouter aux procédures de maintenance des satellites et des sondes spatiales, qui sait ? Comme ça, au lieu de considérer qu’un instrument endommagé par les radiations est foutu, on pourra peut-être le ressusciter avec un bon coup de chaud et ainsi économiser des millions tout en prolongeant la durée de vie de certaines missions spatiales.
Par contre, n’essayez pas la même chose en mettant votre smartphone ou votre laptop au four, ils risquent de ne pas aimer ^^.
Si vous êtes du genre à penser que derrière les cyberattaques, c’est juste des Tanguy qui volent des mots de passe, j’ai une histoire qui va vous retourner le cerveau.
Le 24 novembre 2014, Sony Pictures s’est fait défoncer la tronche comme jamais à cause d’une comédie pourrave avec Seth Rogen qui voulait buter Kim Jong-un. Et je vous explique aujourd’hui pourquoi c’est l’un des hacks les plus dingues de l’histoire.
Si vous pensiez que chercher des preuves d’extraterrestres sur Google c’était déjà chelou, attendez de voir ce que Gary McKinnon a fait ! Ce mec de 35 ans a tout simplement décidé de s’inviter sur les serveurs de la NASA et du Pentagone pour vérifier par lui-même si les petits hommes verts existaient. Et devinez quoi ? Il a trouvé un fichier Excel intitulé “Non-Terrestrial Officers”… du coup, soit la NASA gère une flotte spatiale secrète, soit quelqu’un a un sens de l’humour cosmique !
J’aime beaucoup ma Nintendo DS surtout en ce moment, quand c’est les vacances car ça remplace un peu mon smartphone et ça soulage ma maudite addiction. Eh, je ne sais pas si vous en avez une aussi, mais figurez-vous qu’il existe une cartouche magique qui permet de faire tourner des jeux PlayStation 1 dessus !
Cette petite merveille s’appelle la SuperCard DSTWO et c’est pas juste une simple cartouche de jeu. En fait, c’est un mini-ordinateur planqué dans un bout de plastique de la taille d’une cartouche DS. Le truc embarque son propre processeur, un Ingenic JZ4732 (ce qui n’a rien à voir avec l’architecture de la DS), et 32 Mo de RAM et c’est comme si vous aviez greffé un deuxième cerveau à votre console !
Pour faciliter le téléchargement pirate de films et de séries, il y a les débrideurs. Ces programmes permettent d'avoir des débits plus élevés dans les téléchargements peer-to-peer et directs à des prix attractifs.
Vous savez ce qui est encore plus classe qu’un hacker à capuche dans sa cave ? Et bien c’est certainement quand un groupe de hackers allemands décide dans les années 80 de faire trembler les gouvernements, de défier le KGB et d’inventer au passage la moitié des techniques de cybersécurité qu’on utilise encore aujourd’hui.
Bienvenue dans l’univers du Chaos Computer Club, une organisation incroyable qui a façonné notre monde numérique moderne.
J’adore ces histoires de bidouille légale qui montrent à quel point les ingénieurs peuvent être créatifs quand il s’agit de contourner certaines limitations. Et celle que je vais vous raconter aujourd’hui, c’est du grand art, vous allez voir.
Ce n’est pas quelque chose de récent mais plutôt une astuce géniale qui date d’une époque où les fabricants de PC comme Dell savaient “transformer” des versions d’essai en logiciels complets, et tout ça parfaitement légalement !
Coinbase, l’une des plus grandes plateformes de cryptomonnaies au monde, a été victime d’un piratage sophistiqué. Face à une demande de rançon de 20 millions de dollars et une fuite de données sensibles, l’entreprise a décidé de retourner la menace contre ses auteurs : elle propose la même somme à quiconque permettra de les identifier.
Connexion
