Les autorités sud-coréennes ont annoncé avoir procédé à l'extradition d'un ressortissant chinois basé en Thaïlande. L'homme de 34 ans sera jugé pour avoir commandité une vaste campagne de hacking financier. Ses cibles de prédilections ? Des célébrités sud-coréennes, dont le membre du groupe de k-pop BTS, Jungkook.
Les autorités sud-coréennes ont annoncé avoir procédé à l'extradition d'un ressortissant chinois basé en Thaïlande. L'homme de 34 ans sera jugé pour avoir commandité une vaste campagne de hacking financier. Ses cibles de prédilections ? Des célébrités sud-coréennes, dont le membre du groupe de k-pop BTS, Jungkook.
Bon, on va pas se mentir. Il y a des objets qui marquent une époque. Le transistor, le micro-processeur, l’iPhone… Et puis il y a ces créations plus discrètes qui révolutionnent un domaine entier sans que le grand public s’en aperçoive. Le WiFi Pineapple fait clairement partie de cette catégorie d’ananas pas comme les autres ! Ce petit boîtier noir et jaune pas plus grand qu’un smartphone transforme radicalement notre perception de la sécurité WiFi. Il inspire Hollywood, donne naissance à toute une industrie de l’audit sans fil, et surtout, il révèle à quel point nos connexions quotidiennes sont vulnérables.
L’histoire commence au milieu des années 2000, quand Darren Kitchen, un jeune administrateur système aux cheveux longs et aux idées claires, se pose une question apparemment anodine : “Pourquoi nos appareils font-ils autant confiance aux réseaux WiFi ?” Simple, mais géniale. Cette interrogation va déclencher une révolution dans le monde de la cybersécurité.
Darren Kitchen, le fondateur de Hak5
Kitchen n’est pas né de la dernière pluie. Apparu sur Terre le 11 février 1983, ce gamin grandit avec un modem 1200 bauds entre les mains, explorant les BBS (Bulletin Board Systems) de l’époque pré-Internet. “J’ai trouvé du réconfort dans le cyberespace… J’y étais accepté”, raconte-t-il avec cette nostalgie caractéristique des premiers hackers. Ses premières créations ? Des boîtes de phone-phreaking artisanales et des e-zines pour groupes de hackers dans les années 90. Du pur underground ! Après une brève mais mémorable rencontre avec la compagnie de téléphone qui l’a “dissuadé” de poursuivre ses activités de phreaking (comprendre : ils lui ont fait suffisamment peur pour qu’il arrête ses conneries), il se concentre sur ses études et fait carrière dans l’administration système.
Mais la passion du hack sommeille toujours. Kitchen commence par écrire un dialer BBS en BASIC sur un PC-XT… Je vous laisse imaginer le niveau du geek. Un IBM PC-XT, pour ceux qui ne connaissent pas, c’est l’ancêtre du PC sorti en 1983 avec son processeur 8088 à 4,77 MHz et ses 640 Ko de RAM maximum. Autant dire qu’à l’époque, coder dessus relevait de l’exploit !
En 2005, il fonde Hak5, d’abord comme un vidéocast couvrant l’open source, l’infrastructure réseau et les tests de pénétration. Son objectif est noble : créer une communauté où tous les hackers ont leur place, inspiré par ce sentiment d’appartenance qu’il a ressenti dans les premiers espaces cyber. Et ça marche ! Depuis, Hak5 est devenu la série la plus longue sur YouTube dans ce domaine, touchant des centaines de millions de personnes dans le monde. En 2008, le show rejoint même Revision3, consolidant sa place dans le paysage médiatique tech.
La révélation du WiFi Pineapple naît d’une observation simple mais géniale. Nos appareils, smartphones, laptops, tablettes, sont programmés pour chercher constamment les réseaux WiFi qu’ils connaissent. Ils envoient en permanence des requêtes dans l’éther : “Es-tu le réseau de la maison ?” “Es-tu celui du bureau ?” “Es-tu Starbucks_WiFi ?” C’est le protocole de probe request, intégré dans la norme 802.11 depuis ses débuts.
Et Kitchen se dit : “Et si je leur répondais oui à tous ?” Bingo ! L’idée est brillante !
Car plutôt que d’essayer de casser le chiffrement WiFi, un processus long et complexe qui nécessite de capturer des handshakes et de faire du bruteforce, pourquoi ne pas faire croire aux appareils qu’ils se connectent à un réseau de confiance ? Ce principe du rogue access point (point d’accès pirate) existe déjà, mais Kitchen va le pousser dans ses retranchements avec une innovation cruciale : le PineAP.
PineAP, c’est l’âme du WiFi Pineapple. Ce système breveté écoute les requêtes des appareils et leur répond de manière convaincante. Mais Kitchen ne s’arrête pas là. Il développe tout un écosystème : une interface web intuitive accessible depuis n’importe quel navigateur, des modules extensibles permettant d’ajouter des fonctionnalités (captures de handshakes, attaques de déauthentification, portails captifs…), une gestion fine des attaques avec filtrage par MAC address et SSID. Le WiFi Pineapple n’est plus juste un outil technique, c’est une plateforme complète pour l’audit sans fil.
Les premières versions sont artisanales mais déjà redoutables. En 2008, Kitchen commercialise officiellement le premier WiFi Pineapple. Les Mark I, II et III représentent l’époque bénie où les hackers modifient leurs propres équipements. On achète un routeur Alfa AP121U pour quelques dizaines de dollars, on flashe le firmware Pineapple dessus via TFTP, et voilà ! Mais Kitchen voit plus grand. Il veut créer un produit fini, professionnel, qui ne nécessite aucune compétence technique particulière pour être déployé.
Le Mark IV marque alors un tournant. Fini le bricolage, place au professionnalisme ! Cette version, basée sur un processeur Atheros AR9331 à 400 MHz, est deux fois plus rapide que les précédentes. Elle intègre tout ce qu’il faut pour mener des attaques sérieuses : WiFi 802.11 b/g/n, plusieurs ports USB pour brancher des adaptateurs WiFi supplémentaires ou des clés 3G/4G, et surtout la possibilité de l’alimenter directement via Power over Ethernet (PoE). Plus besoin de se trimballer avec des batteries ! L’interface web évolue aussi avec le système Infusion permettant d’installer des modules tiers depuis un dépôt centralisé.
Le Mark IV, première version vraiment professionnelle
Mais c’est avec le Mark V en 2013 que la magie opère vraiment et les constructeurs de smartphones commencent à se méfier. iOS 8 et Android 6.0 développent des contre-mesures : randomisation des adresses MAC lors des probe requests, détection des points d’accès suspects, limitation du broadcast des SSID connus. Les appareils deviennent plus prudents, ils ne révèlent plus aussi facilement les réseaux qu’ils connaissent.
Qu’à cela ne tienne ! Kitchen et son équipe contre-attaquent avec de nouvelles techniques encore plus sournoises. Le Mark V embarque deux radios WiFi permettant de mener des attaques sur plusieurs canaux simultanément. Une radio écoute pendant que l’autre émet. Le système PineAP évolue avec de nouveaux modes : Beacon Response Mode qui répond sélectivement aux requêtes, Broadcast SSID Pool qui diffuse une liste de réseaux populaires, Targeted Portal qui crée des pages de phishing personnalisées. Tactique redoutable !
Le Mark V avec ses deux antennes pour les attaques multi-canaux
Petit détail qui tue : il n’y a jamais eu de Mark VI commercialisé. Kitchen a sauté directement au Mark VII pour des raisons que lui seul connaît. Certains spéculent sur un prototype raté, d’autres sur une superstition autour du chiffre 6. Le mystère reste entier !
Aujourd’hui, le Mark VII représente l’état de l’art absolu. Ce bijou de technologie embarque dans sa version de base tout ce dont rêvent les hackers : trois radios qui peuvent écouter et émettre simultanément (une dédiée au monitoring, une pour les attaques, une pour le management), le support des fréquences 2.4 et 5 GHz avec 802.11 a/b/g/n/ac, un processeur MediaTek MT7628 cadencé à 580 MHz avec 256 MB de RAM, et même un port USB-C pour suivre la modernité. C’est le couteau suisse ultime de l’audit WiFi !
Le Mark VII, l’état de l’art actuel avec ses trois radios
L’interface utilisateur, entièrement réécrite en Angular, offre un contrôle fin sur tous les aspects de l’audit. Les “Campagnes” automatisent les tests de pénétration et génèrent des rapports détaillés conformes aux standards de l’industrie. Le Cloud C2 permet une gestion à distance pour de la simulation de menaces persistantes avancées (APT). On peut contrôler une flotte entière de Pineapples depuis un dashboard centralisé !
L’interface moderne du Mark VII avec ses modules d’attaque
Les nouvelles attaques incluent la capture automatique de handshakes WPA/WPA2 avec hashcat intégré, l’amélioration des attaques de déauthentification ciblées, et même des attaques contre les réseaux WPA-Enterprise avec module RADIUS intégré. L’architecture logicielle est entièrement repensée avec un backend découplé et une API REST permettant aux développeurs d’écrire des modules dans leur langage de prédilection. Une bibliothèque Python officielle facilite l’intégration. Tout cela fait du Mark VII une plateforme mûre, stable et extensible.
L’histoire des attaques WiFi ressemble vraiment à une course aux armements permanente. Et le WiFi Pineapple s’adapte à chaque évolution comme un caméléon technologique.
Au début, il y avait le WEP (Wired Equivalent Privacy), censé protéger nos réseaux WiFi. Mais ce protocole était tellement mal conçu qu’en 2001, des chercheurs découvrent qu’on peut récupérer la clé en collectant environ 40 000 paquets. Avec les outils modernes comme aircrack-ng, n’importe quel script kiddie peut alors casser du WEP en quelques minutes. Puis arrive le WPA en 2003, puis le WPA2 en 2004, chacun promettant d’être LA solution définitive. Spoiler : ils ne l’étaient pas !
Le coup de grâce arrive en octobre 2017 avec l’attaque KRACK (Key Reinstallation Attack). Mathy Vanhoef, un chercheur belge de l’université de Louvain, découvre que même le WPA2 peut être cassé. La faille exploite la réinstallation de clés dans le four-way handshake, permettant de déchiffrer le trafic, injecter des paquets malveillants et même forcer des downgrades vers des protocoles plus faibles. Et le pire ? La faille est dans le standard WiFi lui-même, pas dans une implémentation particulière. Autrement dit, TOUS les appareils WiFi au monde sont vulnérables !
En mai 2021, Vanhoef enfonce le clou avec les FragAttacks (Fragmentation and Aggregation Attacks). Ces vulnérabilités, présentes depuis 1997 dans le WiFi, touchent TOUS les protocoles de sécurité WiFi, du vieux WEP au tout nouveau WPA3. Trois failles de conception fondamentales et plusieurs bugs d’implémentation permettent d’injecter des paquets arbitraires, d’intercepter le trafic et de contourner les pare-feu. Des bugs vieux de plus de 20 ans qui étaient passés inaperçus !
Le WiFi Pineapple intègre rapidement ces nouvelles attaques. Les modules KRACK et FragAttack sont disponibles quelques semaines après leur divulgation. Les attaques multi-canaux, développées depuis 2014, permettent de manipuler les trames chiffrées entre deux points légitimes. Les techniques Evil Twin exploitent les mécanismes de roaming, particulièrement le standard 802.11v (BSS Transition Management) qui permet de demander poliment aux appareils de se reconnecter à un autre point d’accès. “Poliment” étant un euphémisme pour “de force”, vous l’aurez compris.
Même WPA3, lancé en 2018 et censé résoudre les problèmes de ses prédécesseurs avec son protocole SAE (Simultaneous Authentication of Equals) et son chiffrement 192-bit en mode Enterprise, peine à s’imposer. L’adoption reste faible, quelques pourcents à l’échelle mondiale selon WiGLE, la base de données collaborative des réseaux WiFi. WPA2 règne toujours en maître avec plus de 70% des réseaux.
Mais l’histoire du WiFi Pineapple ne se limite pas à ses prouesses techniques. Elle raconte aussi comment un outil de niche devient un phénomène culturel.
Tout commence lors des conférences de hacking. DefCon 21 en 2013 : le WiFi Pineapple Mark V se vend à raison de 1,2 unités par minute le premier jour avant rupture de stock totale ! Un succès fou pour un gadget à 90 dollars. Les hackers font littéralement la queue devant le stand Hak5 pour mettre la main sur ce petit ananas jaune. Kitchen raconte qu’ils ont dû limiter les achats à deux unités par personne pour éviter que des revendeurs ne raflent tout le stock.
Les démonstrations spectaculaires se multiplient. DefCon 25 en 2017 : des chercheurs installent discrètement des Pineapples dans les couloirs du Caesars Palace. Ils diffusent des SSID alléchants comme “DEFCON_FreeWiFi”, “DEFCON_guest” et même “FBI_Surveillance_Van_42” (pour le lol). Les participants, pourtant experts en sécurité et censés savoir mieux, se connectent massivement aux faux réseaux. Certains entrent même leurs identifiants Gmail, Facebook et bancaires sur des pages de portail captif parfaitement imitées. L’arroseur arrosé, version cybersec ! Les chercheurs publient ensuite un “Wall of Sheep” anonymisé montrant le nombre effarant de credentials capturés.
Mais LA démonstration la plus spectaculaire reste celle de Mike Spicer en 2017. Ce chercheur en sécurité indépendant qui se fait appeler d4rkm4tter construit un monstre qu’il baptise le “WiFi Cactus”. L’engin est composé de 25 Pineapple Tetras (soit 50 radios au total !) montés sur une structure métallique elle-même fixée sur un sac à dos de randonnée militaire. Le tout pèse 14 kilos et ressemble à un cosplay de cyborg sorti tout droit de Ghost in the Shell.
Mike Spicer (d4rkm4tter) avec son impressionnant WiFi Cactus à DefCon
Son WiFi Cactus couvre TOUS les canaux WiFi simultanément avec une portée de 100 mètres et une autonomie de 2 heures. L’appareil est décoré de LEDs bleues et vertes qui clignotent en fonction de l’activité réseau, alimenté par une batterie LiPo de 30 ampères-heures, et contrôlé par un Intel NUC i7 avec deux switches Cisco Catalyst 2960 à 16 ports. Le système tourne sous Kali Linux avec une interface custom développée en Python. Il arrive à surveiller jusqu’à 14 000 appareils simultanément avant que le kernel Linux ne commence à avoir des ratés sous la charge !
L’objectif de Spicer est de mesurer le niveau réel d’attaques WiFi à DefCon. Résultat : les attaques de déauthentification pleuvent comme à Verdun. En moyenne, chaque appareil subit 23 tentatives de déauth par heure ! L’écosystème est plus hostile qu’une fosse aux lions affamés. “J’ai été époustoufflé par la réaction des gens face au Cactus”, raconte Spicer. “Partout où j’allais, les gens m’arrêtaient pour demander ce que c’était, prendre des photos, et certains voulaient même l’acheter !” Hak5 lui envoie finalement 40 Pineapples gratuits pour soutenir ses recherches.
L’anecdote la plus savoureuse reste celle de DefCon 22 en 2014. Un mystérieux hacker opérant sous le pseudo @IHuntPineapples découvre des script kiddies utilisant un WiFi Pineapple mal configuré pendant la conférence. Sa réaction est épique : il déploie un exploit zero-day contre l’appareil (une injection de commande dans le module Karma via une vulnérabilité d’authentification), prend le contrôle total du Pineapple, et remplace l’interface web par un message cinglant : “Mess with the best, die like the rest. Vous voulez jouer avec le WiFi de quelqu’un à Vegas dans une putain de conférence de hackers ? Qu’est-ce que vous attendiez ? Votre merde est complètement défoncée maintenant. Hack the planet!”, une référence directe au film culte “Hackers” de 1995.
Le message vengeur laissé par @IHuntPineapples sur un Pineapple compromis
@IHuntPineapples publie même les détails techniques de son exploit sur Twitter, révélant une faille d’injection de commande dans /components/system/karma/functions.php. Kitchen corrige la vulnérabilité dans les 48 heures avec le firmware 2.0.1. C’est ça, la beauté de DefCon : même les outils de hacking se font hacker !
Kitchen et Hak5 naviguent dans une zone grise éthique fascinante. D’un côté, ils créent des outils pouvant être utilisés de manière malveillante. De l’autre, ils éduquent la communauté sur les vulnérabilités réelles des réseaux sans fil. Cette dualité est assumée : depuis 2008, le WiFi Pineapple aide officiellement les pentesteurs, les équipes de sécurité des entreprises Fortune 500, les agences gouvernementales et même les forces de l’ordre comme plateforme de test sans fil. Le FBI et la NSA sont des clients réguliers, utilisant des versions modifiées pour leurs opérations.
La consécration arrive avec une série culte : Silicon Valley. Dans l’épisode “Hooli-Con” de la saison 4 (diffusé le 18 juin 2017), Richard Hendricks décide de planter des “pineapples” dans tout le salon technologique pour forcer le téléchargement de l’application Pied Piper sur les smartphones des visiteurs. Sa stratégie ? “L’adoption forcée par le marketing de guérilla agressif” ! Le plan est techniquement précis : ils exploitent le fait que l’app Hooli est requise pour utiliser le WiFi gratuit du salon, et injectent Pied Piper dans le processus d’installation.
Jared objecte avec sa sagesse habituelle : “En tant que victime d’une adoption forcée, je dois dire que c’est du malware, Richard !” Mais Richard, aveuglé par son ambition, rétorque : “C’est pour le bien commun !” Le plan échoue spectaculairement quand Richard, jaloux de voir son ex avec un nouveau copain, change le screensaver du gars en “Poop Fare” via le Pineapple. Cette action puérile alerte la sécurité qui lance un balayage avec des antennes directionnelles haute puissance. Ils localisent et retirent tous les Pineapples en quelques minutes.
Quand Richard se fait choper par la sécurité.
Kitchen, consultant technique sur l’épisode, confirme : “La représentation du Pineapple dans la série n’est pas si loin de la réalité. Les scénaristes ont vraiment fait leurs devoirs. La seule liberté qu’ils ont prise, c’est la vitesse d’installation de l’app. Dans la vraie vie, ça prendrait plus de temps.” Fun fact : les vrais WiFi Pineapples utilisés pendant le tournage ont été offerts à l’équipe technique de la série qui les utilise maintenant pour tester la sécurité de leurs propres réseaux !
Cette apparition télévisée propulse le WiFi Pineapple au-delà des cercles de hackers. Le grand public découvre soudainement l’existence de ces attaques WiFi sophistiquées. Les ventes explosent et Hak5 enregistre une augmentation de 400% des commandes dans les semaines suivant la diffusion. Mais plus important encore, la sensibilisation aux risques des réseaux sans fil publics augmente drastiquement. Les VPN deviennent mainstream, et “ne jamais se connecter au WiFi public” devient un conseil de sécurité basique.
Aujourd’hui, le WiFi Pineapple incarne ce paradoxe fascinant : un outil d’attaque qui améliore les défenses. Chaque nouvelle version force l’industrie à renforcer ses protections. C’est un jeu du chat et de la souris où tout le monde finit gagnant.
Et l’avenir du WiFi Pineapple s’écrit avec une évolution complètement dingue : le Pineapple Pager !
Dévoilé à la DefCon 33 en août 2025 pour les 20 ans de Hak5, ce petit appareil ressemble à un pager des années 90 mais cache une bête de course. Le design rétro n’est pas un hasard, c’est un hommage direct au film “Hackers” et à l’esthétique cyberpunk des années 90. L’appareil embarque le moteur PineAP 8e génération, complètement réécrit from scratch en Rust pour des performances 100 fois supérieures. Il supporte le WiFi 6 GHz (WiFi 6E), une première mondiale pour un outil de pentest portable ! Le tout dans un boîtier de 131 grammes qui se clipse sur votre ceinture.
Le plus fou c’est qu’il fonctionne de manière totalement autonome, sans ordinateur ! Plus besoin de trimballer son laptop puisque ce truc lance des attaques automatisées grâce à DuckyScript 3.0, le langage de scripting de Hak5. Il vibre même quand il détecte une cible, affiche les résultats sur son écran couleur haute résolution, et peut même envoyer des alertes sur votre téléphone via Bluetooth. La batterie de 2000 mAh offre jusqu’à 8 heures d’autonomie en mode passif, 2 heures en mode attaque aggressive.
Les fonctionnalités sont délirantes… support tri-bande (2.4, 5 et 6 GHz) avec deux radios indépendantes, intégration native de hashcat pour le cracking WPA on-device, mode “stealth” qui imite les patterns de trafic d’un smartphone normal, et même un mode “warwalking” qui cartographie automatiquement les réseaux pendant que vous vous baladez.
Kitchen prouve encore qu’il sait transformer la nostalgie en arme de destruction massive du WiFi. “Le Pager, c’est 20 ans d’expérience condensés dans la poche”, explique-t-il. “On voulait créer quelque chose qui capture l’essence du hacking des années 90 tout en étant à la pointe de la technologie moderne.” Mission accomplie.
Ce qui est fascinant avec le WiFi Pineapple, c’est qu’il nous force à repenser notre rapport à la technologie. Chaque fois que votre téléphone se connecte automatiquement à un réseau, chaque fois que vous cliquez sur “Se souvenir de ce réseau”, vous créez une vulnérabilité potentielle. Le Pineapple ne fait que révéler ce qui a toujours été là : notre confiance aveugle dans des protocoles conçus à une époque où la sécurité n’était pas la priorité.
Kitchen et son équipe continuent d’innover, toujours avec cette philosophie : “Know your network. Know your risks. Know your tools.” Ils ne vendent pas juste du matériel, ils vendent de la connaissance, de la prise de conscience. Et dans un monde où nos vies entières transitent par le WiFi, c’est peut-être le service le plus précieux qu’ils puissent rendre. Car comme toutjours, la meilleure défense, c’est de comprendre les attaques.
Dans un monde parfait, le WiFi Pineapple n’aurait pas besoin d’exister. Mais on ne vit pas dans un monde parfait. On vit dans un monde où la commodité prime souvent sur la sécurité, où les standards sont adoptés avant d’être vraiment testés, où les failles de 20 ans passent inaperçues. Et tant que ce sera le cas, on aura besoin de hackers comme Kitchen pour nous rappeler que la confiance aveugle en la technologie est le premier pas vers la catastrophe.
Sources : Darren Kitchen - Site personnel, Hak5 - WiFi Pineapple, The Outline - WiFi Cactus Story, KRACK Attacks - Mathy Vanhoef, FragAttacks - WiFi Vulnerabilities, Wikipedia - Wi-Fi Protected Access, Wikitia - Darren Kitchen Biography, Hak5 Documentation, Hak5 Community Forums, CSO Online - IHuntPineapples Story
Une enquête menée par 404 Media révèle les dessous d'un marché peu scrupuleux qui ne cesse d'évoluer. Celui des Flipper Zero, ou plus précisément celui des logiciels que cet outil peut embarquer. Les dernières versions, disponibles à l'achat sous le manteau, permettent de déverrouiller une très large gamme de modèles de voitures, sans qu’il existe de correctif de la part des constructeurs.
Une enquête menée par 404 Media révèle les dessous d'un marché peu scrupuleux qui ne cesse d'évoluer. Celui des Flipper Zero, ou plus précisément celui des logiciels que cet outil peut embarquer. Les dernières versions, disponibles à l'achat sous le manteau, permettent de déverrouiller une très large gamme de modèles de voitures, sans qu’il existe de correctif de la part des constructeurs.
Un ressortissant chinois vivant dans l'Ohio vient d'être condamné à 4 ans de prison par la justice américaine. Ce développeur de logiciels, un brin revanchard, est reconnu coupable d'avoir implémenté un logiciel malveillant avant d'avoir été licencié par son employeur.
Un ressortissant chinois vivant dans l'Ohio vient d'être condamné à 4 ans de prison par la justice américaine. Ce développeur de logiciels, un brin revanchard, est reconnu coupable d'avoir implémenté un logiciel malveillant avant d'avoir été licencié par son employeur.
Lors de la conférence DEFCON 33 en août 2025, le chercheur indépendant en cybersécurité Marek Tóth a démontré qu’une attaque de type clickjacking pouvait mettre en danger des millions d’utilisateurs de gestionnaires de mots de passe parmi les plus populaires au monde. Un procédé qui permettrait à un acteur malveillant de subtiliser précisément les identifiants que ces solutions sont censées protéger. Comment ça marche ? Quels gestionnaires de mots de passe sont concernés ?
Lors de la conférence DEFCON 33 en août 2025, le chercheur indépendant en cybersécurité Marek Tóth a démontré qu’une attaque de type clickjacking pouvait mettre en danger des millions d’utilisateurs de gestionnaires de mots de passe parmi les plus populaires au monde. Un procédé qui permettrait à un acteur malveillant de subtiliser précisément les identifiants que ces solutions sont censées protéger. Comment ça marche ? Quels gestionnaires de mots de passe sont concernés ?
Bon, vous connaissez sans doute le Flipper Zero, ce petit boîtier orange qui ressemble à un Tamagotchi sous stéroïdes et qui fait flipper Amazon, le Canada et à peu près tous les responsables sécurité de la planète. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?
Allez, c’est parti, je vais tout vous raconter !!
L’histoire commence à Odessa, en Ukraine, où le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, décortiquer, analyser, reconstruire. C’est le genre de gamin qui démonte le grille-pain familial “pour voir” et qui finit avec 12 pièces en trop au remontage. Diplômé de l’Université Polytechnique Nationale d’Odessa, Pavel se décrit lui-même avec une phrase qui résume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.
Mais attention, Pavel refuse catégoriquement le terme “hacker”. Il préfère “nerd”, qu’il trouve plus honnête. Du coup, cette distinction n’est pas anodine car elle révèle une philosophie qui imprégnera plus tard tout le projet Flipper Zero à savoir la transparence, l’honnêteté, et le refus des étiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frénétiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus… authentique.
Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposés en Ukraine (merci Poutine), il crée Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entièrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose même un script d’installation automatique pour Windows. C’était déjà la marque de fabrique de Pavel : Créer des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposées par les couillons au pouvoir.
Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, après avoir assisté au Chaos Communication Congress à Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris décide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communauté solide, mais Moscow Neuron Hackspace finit par voir le jour, installé au Хохловский пер 7/9 стр. 2, au cœur de Moscou. L’adresse est imprononçable, mais l’endroit était mythique.
C’est là que Pavel Zhovner prend les rênes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont même venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une étude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT créative et l’entrepreneuriat startup, loin des initiatives étatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des conférences TEDx en anglais pour faire chier les autorités, des ateliers sur les réseaux sociaux, on apprend à construire des robots qui servent à rien mais qui sont cool, on expérimente avec l’impression 3D avant que tout le monde sache ce que c’est.
Neuron n’est pas qu’un simple makerspace où des barbus soudent des trucs random. C’est un lieu de résistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compétences” selon l’étude académique (qui utilisait beaucoup de mots compliqués pour dire “des mecs cool qui s’entraident”). Pavel y développe sa vision où la technologie doit être accessible, compréhensible, hackable. C’est dans cet environnement bouillonnant de créativité et de café instantané qu’il rencontre alors Alex Kulagin.
Alexander Kulagin, diplômé du prestigieux MEPhI (Institut de Physique et d’Ingénierie de Moscou, l’endroit où l’URSS formait ses génies du nucléaire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expérience dans le développement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. Là où Pavel est le visionnaire philosophe qui part dans des délires métaphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idées en produits manufacturables sans faire exploser l’usine.
Alex et Pavel (Image IA)
Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnérabilité des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensé qu’elles pouvaient être dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des années 90.
Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons décidé que le personnage principal serait un dauphin dès le début”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en même temps. Nous voulions créer un personnage avec qui vous auriez envie d’être ami.” Et puis soyons honnêtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tête de mort…
2019, Pavel se balade avec l’arsenal classique du pentester dans son sac à dos… Il est bien équipé… adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles à utiliser en déplacement surtout quand vous avez une tasse de café dans une main ou que vous faites du vélo”. Et c’est vrai que sortir un Proxmark3 dans le métro pour tester une carte de transport, ça fait tout de suite très louche.
Il expérimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le métro de Moscou (pour envoyer des memes aux gens, évidemment), mais le résultat est catastrophique : “Les pointes de soudure déchiraient le tissu de mon pantalon”. Ses tentatives de boîtiers imprimés en 3D sont tout aussi décevantes… Bref, ça ressemblait plus à un projet d’école primaire qu’à un outil de hacking sérieux.
Le déclic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel découvre que ces appareils sont encore produits et vendus en 2019. Mais qui achète encore des Tamagotchi en 2019 ??? Et c’est là que l’idée germe dans sa tête. Et si on combinait le côté ludique et attachant du Tamagotchi avec les capacités d’un outil de pentest sérieux ? Un truc qu’on peut sortir dans un café sans qu’on appelle les flics.
Après avoir utilisé le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel réalise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanément de la joie au format Tamagotchi, serait esthétiquement similaire aux consoles de jeux rétro et serait assez méchant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.
Pavel tweete alors son idée et ses amis designers produit, ceux qui “font des trucs électroniques sérieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggèrent de créer un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des pièces de qualité”. Bref, arrête de jouer avec ton fer à souder dans ton garage et fais un vrai produit.
C’est donc le début de l’aventure Flipper Zero et Pavel et Alex se lancent dans le développement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernétique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et évolue au fur et à mesure que son propriétaire interagit avec lui, se fâchant quand il n’est pas utilisé fréquemment. C’est un Tamagotchi, mais pour hackers.
Mais détrompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basée sur un microcontrôleur STM32WB55 à double cœur ARM. Un Cortex-M4 à 64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 à 32 MHz pour le Bluetooth Low Energy (le moulin à paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un système complet. C’est évidemment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.
L’écran est un LCD monochrome rétro avec rétroéclairage orange de 128×64 pixels. “Au lieu des écrans modernes TFT, IPS ou OLED, nous avons délibérément choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux téléphones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumé. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.
Les capacités radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est équipé d’une antenne 125 kHz en bas pour lire les cartes de proximité basse fréquence (vos vieux badges de bureau), d’un module NFC intégré (13.56 MHz) pour les cartes haute fréquence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portée jusqu’à 50 mètres (portails, alarmes de voiture), d’infrarouge pour contrôler les appareils domestiques (bye bye la télécommande perdue), et de GPIO pour se connecter à des modules externes (pour les vrais nerds).
Puis le 30 juillet 2020, la campagne Kickstarter est lancée avec un seul objectif : Récolter 60 000 dollars. Et le résultat est au delà de toutes leurs espérance puisque c’est exactement 4 882 784 dollars qui seront récoltés auprès de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du délire total.
Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excités, mi-terrifiés. “Comment on va produire tout ça ?” La réponse : avec beaucoup de café et pas mal de crises de panique.
La communauté est plus qu’excitée, elle est en ébullition totale. Et sur les forums, certains s’inquiètent déjà : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prédéfinie ressemble à un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face à un défi monumental : transformer un projet de hackerspace en une entreprise capable de produire près de 40 000 unités. Et tout cela en pleine pandémie de COVID-19. C’est là que le fun commence vraiment.
2021-2022, c’est l’enfer sur terre. La pénurie mondiale de puces frappe de plein fouet. Le fournisseur taïwanais Sitronix annonce une pénurie continue de puces 7565R. Toutes les commandes passées avant juin 2021 sont retardées. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.
L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingénierie surtout que les composants de puissance deviennent l’objet de spéculation sauvage, pire que les cartes Pokémon. Un convertisseur de tension passe de 0,50$ à 10,70$, un chargeur de batterie BQ25896RTWR devient littéralement impossible à acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants électroniques.
L’équipe cherche alors des stocks dans des entrepôts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentée : les boîtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaîne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.
Malgré tout, ils commencent à expédier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expédiées. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marché des composants électroniques des dernières décennies”. D’autres projets Kickstarter de la même époque n’ont toujours pas livré.
Mais dès le début, Pavel et Alex on adopté la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriétaire, pas de DRM, pas de fonctionnalités bloquées derrière un paywall. Et cette approche attire une communauté massive.
Des firmwares alternatifs apparaissent comme des champignons après la pluie : Unleashed (firmware débloqué avec support des rolling codes pour les vrais méchants), RogueMaster (le plus cutting-edge avec les dernières fonctionnalités communautaires), Momentum (continuation officielle d’Xtreme après son arrêt). La philosophie est claire… pas de paywall, pas d’apps propriétaires. “Chaque build a toujours été et sera toujours gratuit et open source”, proclament les développeurs d’Unleashed. Respect.
Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donné une personnalité complexe : il “a des opinions politiques de gauche, écoute de la techno, et n’a pas d’identité de genre prononcée”. C’est une déclaration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalité se reflète dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il évolue avec vos hacks, il a ses humeurs. C’est un compagnon numérique avec du caractère, et pas un simple assistant style Alexa qui répond “Désolé, je n’ai pas compris”.
Nous sommes maintenant en février 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La décision est alors immédiate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employés russes du pays, avec un déménagement du siège à Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer à vendre. Flipper Devices n’a plus rien à voir avec la Russie.
Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidéos montrent des utilisateurs qui ouvrent les ports de charge des Tesla (véridique), éteignent les menus électroniques des fast-foods (hilarant), changent les prix sur les pompes à essence (illégal), déverrouillent des voitures (parfois). Les vidéos accumulent des millions de vues. “Je ne m’attendais pas à ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.
Mais la réalité est plus nuancée car la plupart des vidéos sont probablement mises en scène ou nécessitent une préparation significative. Les attaques démontrées ne fonctionnent que contre des systèmes primitifs ou mal protégés. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-être un peu moins.
Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon étaient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.
La réaction de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunité en créannt leur propre réseau de distribution. Le bannissement devient un argument marketing pour la liberté technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue à plein tube et chaque nouvelle interdiction génère une couverture médiatique qui fait découvrir l’appareil à de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !
En février 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problème, c’est qu’aucun vol de voiture connu à cette époque, n’implique un Flipper Zero. C’est comme bannir les cuillères parce que quelqu’un s’est noyé dans sa soupe. Car techniquement, le Flipper Zero ne peut pas démarrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliqué que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en série ou que le téléchargement illégal ou l’IA va tuer la création et les artistes.
La réponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurdité de bannir un outil à 169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clés à 5000$) circulent librement sur eBay…
Les résultats financiers de Flipper Devices sont stupéfiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unités vendues en cette années là. Soit une croissance de 1500% en deux ans, entièrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu réinvestis. Point.
Le business model est d’une simplicité désarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra à 500$), des marges confortables grâce à la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.
2024, après trois ans de développement intensif, la version 1.0 du firmware sort enfin. Les nouveautés sont importantes : support JavaScript pour créer des apps sans connaître le C (pour les noobs), système NFC complètement réécrit avec système de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharné, mais aussi un nouveau départ. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communauté.
Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succès du Flipper Zero. La communauté développe des usages créatifs inattendus comme de l’émulation de cartes d’hôtel pour tester la sécurité (ou entrer dans sa chambre bourré), analyse de protocoles propriétaires d’équipements médicaux (ça fait peur !), reverse engineering de jouets connectés (pourquoi pas), ou encore audit de sécurité de systèmes domotiques (votre frigo connecté est vulnérable).
Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un écosystème vivant qui dépasse largement ce que Pavel et Alex avaient imaginé. Comme Linux, mais en plus fun. Et l’équipe ne s’arrête pas au device de base puisque des modules additionnels sortent régulièrement comme un module WiFi pour l’analyse réseau (pour hacker le WiFi du voisin légalement), une carte SD pour stocker plus de données (tous vos dumps de cartes), des modules GPIO custom pour des projets spécifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est même annoncée pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.
Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systèmes de sécurité du monde qui reposent sur de la technologie vieille, médiocre et facilement hackable. […] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sécurisé. Si quelque chose peut être hacké par un jouet à 100$, c’est peut-être trop vieux.”
Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont déjà des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sécurité, les étudiants, les curieux afin de démocratiser la compréhension de la sécurité et surtout pour montrer que la sécurité par l’obscurité, c’est de la merde.
Bien sûr, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élèvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidéos TikTok encouragent des comportements illégaux”…etc. Alors l’équipe répond patiemment…
Sur leur blog, ils expliquent que la majorité des fonctions peuvent être répliquées avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation à la sécurité passe par la compréhension pratique. Voilà, c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.
Le Flipper Zero a changé la perception du hacking hardware car ce n’est plus réservé à une élite technique avec des outils coûteux et un PhD en électronique. C’est accessible, ludique, mais sérieux. Des universités l’utilisent pour enseigner la sécurité (MIT, Stanford, même la Sorbonne s’y met). Des entreprises l’achètent pour auditer leurs systèmes (cheaper than a consultant). Des hobbyistes découvrent le monde du hardware hacking (et arrêtent de jouer à Candy Crush).
Le design “toy-like” brise les barrières psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!
Dans un tweet récent, Pavel avoue que “C’est encore difficile à croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les défis sont encore nombreux du genre comment rester fidèle à l’esprit hacker en devenant mainstream ? Comment naviguer les régulations sans compromettre les fonctionnalités ? Comment scaler sans perdre l’âme du projet et finir comme Arduino (RIP) ?
Les projections pour 2024-2025 suggèrent un dépassement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, répète Pavel. “Le projet sera complètement ouvert.” Pas de vente à Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.
C’est de l’authenticité pure et ça paye car Pavel et Alex n’ont jamais caché leurs intentions, leurs valeurs, leurs difficultés. C’est cette transparence qui a créé une confiance inébranlable avec la communauté. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succès commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modèle fonctionne, contrairement à ce que racontent certains.
Et les contraintes créent l’innovation… la pénurie de composants, les bannissements, les controverses… chaque obstacle a été transformé en opportunité. Surtout que la communauté est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui créent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalités… c’est un dauphin mignon qui a quand même rendu le pentest accessible au grand public.
Je ne l’aurais pas cru à l’époque. Et l’équipe tease régulièrement de nouveaux appareils en laissant entendre que d’autres produits sont en développement. Mais rassurez-vous, la vision reste la même. Démocratiser la compréhension de la technologie tout en donnant aux gens les outils pour comprendre et contrôler leur environnement numérique.
C’est une mission qui dépasse largement le Flipper Zero.
Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas être une boîte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face à l’incompréhension, aux interdictions, aux controverses. Mais ils tiennent bon.
Le succès du Flipper Zero a également inspiré des concurrents tels que HackRF (plus puissant mais moins accessible et coûte un bras), Proxmark (spécialisé RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.
Le Flipper Zero est surtout devenu un symbole inattendu… un mélange de tech ukrainienne innovante (fuck yeah), de résistance à la censure technologique, d’innovation hors des grands centres tech américains, et de la possibilité de succès sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiètent, des entreprises tremblent… Et tout ça à cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.
La créativité de la communauté surprend même les créateurs. Des vétérinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intègrent dans leurs énigmes, des artistes créent des installations interactives, des professeurs l’utilisent pour des démonstrations de physique. Chaque jour, de nouveaux usages émergent et c’est la beauté d’un outil vraiment ouvert.
Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intégration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes éducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communauté créera.”
Pavel et Alex pensent en décennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystème doit survivre aux fondateurs (immortalité du projet), la communauté doit s’auto-organiser (décentralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque décision… et surtout, pas de quick wins au détriment de la durabilité.
Et ce succès a un prix que peu comprennent car Pavel et Alex ont sacrifié leur anonymat (menaces régulières de tous les camps), leur stabilité (déménagements forcés, merci la guerre), leur vie privée (les médias sur le dos), et leur tranquillité (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.
Pavel avoue parfois douter : “Sommes-nous légitimes ? Méritons-nous ce succès ?” Le syndrome de l’imposteur frappe même après 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marché a validé. Point.” Cette tension entre doute et confiance nourrit l’humilité de l’équipe et il n’y a pas de grosse tête chez Flipper Devices.
Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin négocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de résistance et un vent de liberté dans un monde où la tech devient de plus en plus fermée.
Faudra faire avec !
Sources : LinkedIn - Pavel Zhovner, Hackaday - Why I started Flipper, GitHub - Zaborona.help, Kickstarter - Flipper Zero Campaign, Flipper Blog - Manufacturing Updates, GitHub - Flipper Zero Firmware, Moscow Neuron Hackspace Study, The Birth of Russia’s Hackerspace Movement, Gizmodo - Flipper Zero Interview, Flipper Zero Firmware 1.0, TechCrunch - M Sales, Hackaday - Canada Ban, BleepingComputer - Amazon Ban, Flipper Zero Official, Awesome Flipper Zero
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-même un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver à un mystérieux opérateur APT (Advanced Persistent Threat) dont 9GB de données ont été divulguées par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosé dans toute sa splendeur !
L’histoire commence de manière plutôt originale puisque cette fuite monumentale a été révélée lors du 40e anniversaire du légendaire magazine Phrack, pendant la convention DEF CON 33 à Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondée par Taran King et Knight Lightning. Un zine underground qui a formé des générations entières de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, après être sortis de 3 années de silence en 2024, ont fêté leurs 40 ans le 8 août dernier avec un cadeau plutôt explosif : L’intégralité du toolkit d’espionnage d’un acteur étatique. Rien que ça !
DEF CON, la convention où l’arroseur s’est fait arroser
Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publié dans Phrack #72 avoir compromis à la fois une workstation virtuelle ET un serveur privé virtuel (VPS) utilisés par cet opérateur APT qu’ils ont surnommé “KIM”. Le duo affirme avoir passé des mois à analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploité une mauvaise configuration des services cloud de l’opérateur et une réutilisation de mots de passe entre différents systèmes. Basique mais efficace, car oui, même les espions d’État font des erreurs de débutant !
Mais attention, l’identité réelle de notre espion maladroit reste un vrai casse-tête. Si Saber et cyb0rg affirment avoir compromis un ordinateur lié au groupe Kimsuky (ces fameux hackers nord-coréens du Bureau 121 qui font régulièrement parler d’eux depuis 2013), les experts en sécurité émettent des doutes sérieux.
Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-coréen. En gros, c’est leur CIA à eux. Et les mecs sont plutôt spécialisés dans l’espionnage et le vol d’informations sur les politiques étrangères liées à la péninsule coréenne, le nucléaire et les sanctions internationales à leur encontre. Ils ont notamment ciblé des think tanks sud-coréens, japonais et américains avec des campagnes de spear-phishing ultra sophistiquées. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identité d’organisations de confiance.
Sauf que voilà, plusieurs éléments clochent. L’opérateur piraté semble parler chinois mandarin, et pas coréen. Son historique de navigation Chrome et Brave (presque 20 000 entrées !) montre des recherches en caractères simplifiés, pas en hangul (l’alphabet officiel du coréen), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilégiées correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la Corée du Sud. Certains experts pensent même qu’il pourrait délibérément imiter les méthodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.
Alors Corée du Nord ou Chine ? Le mystère reste entier
Le butin déballé par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de données ultra sensibles avec :
Y’a même une capture écran de son bureau :
Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opérateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau système pour une persistance maximale. Des beacons Cobalt Strike customisés, Cobalt Strike étant cet outil commercial à 3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adoré par les vrais méchants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnérabilités CVE-2025-0282 et CVE-2025-22457 découvertes fin 2024. Sans oublier des variantes modifiées d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systèmes Ivanti Connect Secure.
Pour comprendre l’ampleur du désastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et même son journal intime où il note ses techniques. Bah voilà, c’et exactement ça qui vient d’arriver à notre cher APT !
DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé
DDoSecrets a indexé et publié l’archive complète, la rendant accessible gratuitement à tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondé en 2018 par Emma Best et Thomas White après que WikiLeaks soit devenu… compliqué avec l’affaire Assange.
Emma Best, journaliste spécialisée en sécurité nationale et activiste de la transparence non-binaire basée à Boston, avait d’ailleurs clashé avec Assange avant de créer DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois inférieur à WikiLeaks, DDoSecrets a déjà publié plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vérité est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrêmement radicale.
Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohérents avec un véritable toolkit d’espionnage, ce qui est également confirmé par plusieurs experts en threat intelligence. Les victimes sud-coréennes ont également été notifiées avant la publication, histoire de limiter les dégâts. Ouf !
Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtré des coulisses du cyber-espionnage étatique. D’habitude, on découvre les outils et techniques des APT après coup, en analysant leurs attaques comme des archéologues numériques qui reconstituent un dinosaure à partir de fragments d’os. Mais là, on a accès directement à leur boîte à outils complète, leurs notes, leurs cibles, leurs méthodes de travail au quotidien.
Les implications sont d’ailleurs énormes pour la communauté cybersécurité. Avec cet accès privilégié aux TTPs (Tactics, Techniques, and Procedures) de l’opérateur, les équipes de défense peuvent maintenant :
Un acteur APT, habitué à opérer dans l’ombre avec l’impunité que confère le soutien d’un État-nation, s’est donc fait avoir par deux hackers indépendants qui ont ensuite balancé tout son arsenal sur Internet. C’est plutôt marrant quand on sait que ces groupes APT passent leur temps à voler les secrets des autres !
Cobalt Strike, l’outil préféré des APT (et des red teamers légitimes)
L’incident soulève quand même des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opérateur pourrait être chinois mais imiter les techniques nord-coréennes montre à quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opérations sous faux drapeau sont monnaie courante.
C’est d’ailleurs pour ça que les groupes APT chinois et nord-coréens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear… non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-Coréens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spécialisés dans le vol bancaire, 81 millions de dollars à la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.
La différence de style entre les groupes est d’ailleurs fascinante. Les Russes préfèrent exploiter des zero-days pour un impact géopolitique immédiat. Les Chinois ciblent les supply chains pour du vol de propriété intellectuelle à long terme. Les Nord-Coréens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volé plus de 3 milliards de dollars en cryptomonnaies selon les estimations !
Mais revenons à notre opérateur mystère. L’analyse de son infrastructure révèle des détails croustillants. Il utilisait des VPS loués avec des bitcoins minés spécifiquement pour l’opération (ces mecs ont leur propre ferme de minage !). Les domaines C2 étaient enregistrés via des registrars russes et chinois avec de fausses identités. Les certificats SSL étaient générés avec Let’s Encrypt pour paraître légitimes. Tout un écosystème criminel parfaitement rodé… jusqu’à ce que Saber et cyb0rg débarquent.
Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communauté (la preuve, j’en parle). En tout cas, il y a une certaine justice poétique à voir un cyber espion se faire espionner à son tour.
Aujourd’hui avec ces révélations, le message envoyé à tous les groupes APT est clair : vous n’êtes pas intouchables. Même avec le soutien d’un État, même avec des budgets illimités, même avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivés.
Je pense que cette affaire restera dans les annales car pour la première fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indépendants. Cela me rappelle le leak de Conti qui avait subit la même chose mais de la part d’un insider (enfin, on le pense…).
Bref, si vous êtes un opérateur APT, évitez de réutiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets étalés sur Internet. C’est con mais c’est comme ça !
Et pour les chercheurs en sécurité, foncez analyser ces 9GB de données, c’est Noël avant l’heure !
Sources : HackRead - 9GB APT Data Leak, Dark Reading - APT Actor Data Dump Analysis, DDoSecrets - APT Down: The North Korea Files, Phrack Magazine Issue #72, Wikipedia - Distributed Denial of Secrets, CISA - Kimsuky APT Advisory
Nous sommes lundi matin, et vous garez votre bagnole dans le parking du boulot…. Et pendant que vous glandouillez devant korben.info avec un petit café, un mec à l’autre bout du monde déverrouille votre caisse, fouille dans vos données perso et suit vos trajet en temps réel. De la science-fiction ? Non, c’était possible jusqu’en février 2025 chez un constructeur automobile majeur qu’on ne nommera pas. Pas parce que je ne veux pas le dire mais parce que son nom a été tenu secret.
Le héros de cette histoire, c’est Eaton Zveare, un chercheur en sécurité chez Harness qui a trouvé LA faille de l’année. Lors de sa présentation au DEF CON 33, il a expliqué comment il a réussi à créer un compte “national admin” sur le portail concessionnaire d’un constructeur. Deux bugs API tout bêtes, et hop, accès total à plus de 1000 concessionnaires américains.
Le code buggé se chargeait directement dans le navigateur quand vous ouvriez la page de connexion et Zveare a juste eu à modifier ce code pour bypasser les contrôles de sécurité. Selon lui, “les deux vulnérabilités API ont complètement fait sauter les portes, et c’est toujours lié à l’authentification”. Bref, le B.A.-BA de la sécurité qui n’était pas respecté, une fois de plus.
Une fois connecté avec son compte admin fantôme, Zveare avait accès à un outil de recherche national complètement dingue. Il suffisait d’entrer un nom ou de relever un numéro VIN sur un pare-brise pour trouver n’importe quel véhicule du constructeur.
Le chercheur a testé ça sur un ami consentant (important, le consentement, hein !) et a transféré la propriété du véhicule sur un compte qu’il contrôlait, et bam, il pouvait déverrouiller la voiture à distance. Le portail demandait juste une “attestation”, en gros, une promesse sur l’honneur que vous êtes légitime. Super sécurisé, n’est-ce pas ?
Ce qui est flippant, c’est que ce n’est pas un cas isolé. Selon les chiffres de 2025, les cyberattaques sur les voitures ont augmenté de 225% en trois ans. 80% des nouvelles voitures ont une connexion internet, et 95% de toutes les voitures fabriquées en 2025 en auront une. Des millions de véhicules Kia et Subaru ont déjà été touchés par des vulnérabilités similaires permettant le contrôle à distance.
Mais le vrai délire, c’était la fonction “impersonation” du portail. Zveare pouvait se faire passer pour n’importe qui sans leurs identifiants et naviguer entre tous les systèmes interconnectés des concessionnaires. De là, c’était open bar : données perso et financières, tracking temps réel de TOUS les véhicules (perso, location, courtoisie, même ceux en livraison), contrôle de l’app mobile… Il pouvait même annuler des livraisons en cours…
Selon SecurityWeek, une vulnérabilité similaire dans le système Starlink de Subaru a été corrigée en 24 heures en novembre 2024. Cette faille permettait de démarrer, arrêter, verrouiller et déverrouiller des véhicules à distance. Le constructeur concerné par la découverte de Zveare a mis une semaine pour corriger les bugs après sa divulgation en février. Ils n’ont trouvé aucune preuve d’exploitation passée, ce qui suggère que Zveare était le premier à découvrir et signaler cette faille béante.
Ce qui est fou, c’est la simplicité du hack. Pas besoin d’être un génie du code ou d’avoir des outils sophistiqués. Juste deux bugs d’authentification mal gérés, et c’est open bar sur les données de milliers de clients et leurs véhicules. Les constructeurs automobiles doivent vraiment se réveiller sur la cybersécurité car avec 84,5% des attaques exécutées à distance et des API mal protégées partout, on est assis sur une bombe à retardement.
La morale de l’histoire c’est que si vous avez une voiture connectée, priez pour que votre constructeur prenne la sécurité au sérieux. Et si vous êtes développeur dans l’automobile, par pitié, sécurisez vos APIs d’authentification. C’est la base !
Vous connaissez le gag du cambrioleur qui entre par la porte parce que vous avez laissé la clé sous le paillasson ? Bah là c’est pareil, sauf que c’est pas une blague et que ça concerne des millions de coffres-forts supposés être ultra-sécurisés. C’est une histoire de dingue qui mélange hackers ultra déterminés, une entreprise chinoise, un sénateur américain et même le FBI. Accrochez-vous !
Tout commence avec deux chercheurs en sécurité, Omo et Rowley, qui décident de fouiller les entrailles des serrures électroniques Securam ProLogic. Ces trucs équipent les coffres de marques prestigieuses comme Liberty Safe, Fort Knox, FireKing et plein d’autres. Ce sont des coffres utilisés par CVS pour stocker des narcotiques ou par des chaînes de restaurants pour planquer leur cash. Pas exactement le genre de truc qu’on veut voir ouvert par n’importe qui.
Les chercheurs ont présenté leurs découvertes à la conférence Defcon le 8 août dernier, et croyez-moi, ça a fait l’effet d’une bombe car ils ont trouvé non pas une, mais deux méthodes pour ouvrir ces coffres en quelques secondes. La première exploite l’interface Bluetooth du coffre pour injecter des commandes directement dans le firmware. Oui, y’a des ingénieurs qui ont mis du BT sur des coffres forts… C’est pas bien débile ça quand même ? Et la seconde utilise une backdoor cachée qui permet de bypasser complètement le code utilisateur sans déclencher la moindre alarme.
Et cette histoire de backdoor, c’est pas nouveau puisque le sénateur Ron Wyden avait déjà tiré la sonnette d’alarme en mars 2024, avertissant que Securam, l’entreprise chinoise, était légalement obligée de coopérer avec les demandes de surveillance du gouvernement chinois. En gros, Pékin pourrait théoriquement avoir accès aux codes de tous les coffres Securam vendus dans le monde. Sympa pour stocker vos secrets industriels et vos lingots d’or.
D’ailleurs, l’histoire rappelle étrangement le scandale Liberty Safe d’août 2023, quand l’entreprise avait fourni au FBI le code d’accès du coffre d’un client sur simple présentation d’un mandat. Les utilisateurs avaient hurlé à la trahison, déclenchant un mouvement de boycott massif. Liberty Safe avait alors dû faire marche arrière en promettant de supprimer les codes sur demande des clients.
Mais revenons à nos moutons. Le système de reset de Securam fonctionne avec un code de récupération (par défaut “999999”, super sécurisé), qui génère un code affiché à l’écran. Un serrurier autorisé appelle ensuite Securam, leur lit ce code, et en retour obtient le sésame pour réinitialiser la serrure. Sauf que Omo et Rowley ont réussi à reverse-engineer l’algorithme secret. Du coup, ils peuvent générer le code de reset sans appeler personne.
On dirait vous quand vous activiez des licences Windows et Office par téléphone sans appeler Microsoft ^^.
Et la réponse de Securam a été pathétique puisque Jeremy Brookes, le directeur des ventes, a confirmé qu’ils ne comptaient pas patcher les serrures déjà installées. Donc si vous voulez être en sécurité, vous allez devoir en acheter une nouvelle. Il accuse même les chercheurs de vouloir “discréditer” l’entreprise. Omo leur a alors répondu qu’ils essayent juste d’alerter le public sur les vulnérabilités d’une des serrures les plus populaires du marché.
Ce qui est fou dans cette affaire, c’est que le département de la Défense américain a confirmé que les produits Securam ne sont pas approuvés pour un usage gouvernemental, justement à cause de ces backdoors. Mais pour le commun des mortels, bah circulez, y’a rien à voir. Vos documents sensibles, vos armes, votre cash, tout ça reste vulnérable.
Securam promettait dans leur communiqué de presse des “produits de nouvelle génération” pour fin 2025 et assure que “la sécurité des clients est notre priorité”….
Mais lol, permettez-moi d’en douter quand on refuse de patcher une vulnérabilité critique qui permet d’ouvrir un coffre en quelques secondes.
Encore une fois, les backdoors, qu’elles soient dans les coffres-forts ou dans les logiciels de chiffrement, sont systématiquement une idée catastrophique car on ne peut pas créer une porte dérobée juste pour les gentils. Une fois qu’elle existe, n’importe qui avec les bonnes connaissances peut l’utiliser.
Voilà, donc pour ceux qui possèdent un coffre avec une serrure Securam ProLogic, je n’ai qu’un conseil : considérez que celui-ci n’est plus sûr. Soit vous changez la serrure (et pas par un autre modèle Securam), soit vous stockez vos objets de valeur ailleurs. Et optez pour une solution purement mécanique car au moins, elle n’aura pas de backdoor Bluetooth.
Lors d'une conférence au Black Hat à Las Vegas, deux chercheurs allemands ont réalisé une démonstration marquante sur la cybersécurité spatiale. Pirater un satellite moderne pourrait s’avérer bien plus simple et bien moins coûteux que de le détruire avec un missile.
Une équipe de chercheurs en cybersécurité a démontré, à l’été 2025, les risques liés à l'intégration du LLM de Google Gemini au cœur des objets connectés du quotidien. Leur recherche, intitulée « Invitation Is All You Need », prouve que l'injection d'un simple prompt malveillant dans une invitation Google Calendar pourrait suffire à compromettre des systèmes censés rester sous le seul contrôle des utilisateurs.
Les chercheurs de SentinelLabs ont dévoilé une campagne d’escroquerie Ethereum particulièrement élaborée. Détournant les principes du trading automatisé sur blockchain, cette opération repose sur de faux bots MEV (Maximal Extractable Value) et les outils sont ici détournés à des fins frauduleuses. Tribune – Sous couvert de contenus pédagogiques très techniques, diffusées via des vidéos YouTube générées par […]
The post SentinelLabs dévoile une escroquerie sophistiquée de près d’un million de dollars via de faux bots de trading sur YouTube first appeared on UnderNews.Les deepfakes ont évolué en escroqueries en temps réel basées sur l’IA : ils alimentent la fraude, l’usurpation d’identité et l’ingénierie sociale. Tribune CheckPoint. Assez réaliste pour tromper : l’évolution des deepfakes Il n’y a pas si longtemps, les deepfakes étaient des curiosités numériques – convaincants pour certains, bancals pour d’autres, et souvent plus proches […]
The post Deepfakes en 2025 : la fraude pilotée par l’IA est déjà une réalité first appeared on UnderNews.Si vous êtes du genre à penser que les hackers sont tous des génies de l’informatique avec des configs de malade, j’ai une histoire qui va vous faire changer d’avis : Celle de Marcel Lazăr Lehel, alias Guccifer. Ce nom ne vous dit peut-être rien, mais ce chauffeur de taxi roumain au chômage a littéralement changé le cours de l’histoire politique américaine.
Sans lui, on n’aurait jamais su qu’Hillary Clinton utilisait un serveur mail privé et il n’y aurait donc pas eu de “scandale des emails” qui lui a probablement coûté l’élection présidentielle de 2016. Et tout ça avec un équipement qui ferait rire un gamin de 12 ans aujourd’hui.
Marcel Lazăr Lehel naît le 23 novembre 1971 dans un petit village roumain près d’Arad, en Transylvanie. Pas exactement le berceau qu’on imaginerait pour celui qui allait devenir l’un des hackers les plus influents de l’histoire moderne. D’origine roumaine et hongroise, Marcel grandit dans la petite commune de Sâmbăteni, un bled perdu dans la campagne de l’ouest d’Arad. Le genre d’endroit où, selon ses propres mots, “tout le monde passe à toute vitesse, personne ne s’arrête jamais”. Ambiance garantie.
À l’époque, la Roumanie sort tout juste de l’ère Ceaușescu. Le pays se débat avec la transition post-communiste, l’économie est en miettes, et les opportunités d’emploi se comptent sur les doigts d’une main. Pour un gamin comme Marcel, pas très sociable et qui a du mal à s’intégrer, l’avenir semble plutôt bouché. “Je ne sortais presque jamais”, racontera-t-il plus tard. Un vrai geek avant l’heure, sauf qu’il n’avait même pas d’ordinateur.
Marcel et sa femme Gabriela ne dépasseront jamais le niveau lycée et ils enchaînent les petits boulots : usines, magasins, emplois précaires. Avant son arrestation en 2014, Marcel était au chômage depuis plus d’un an. Avant ça, il avait été chauffeur de taxi et vendeur de peinture. Jamais un seul job en rapport avec l’informatique. Y’a de quoi se poser des questions non ? Le mec qui va faire trembler le gouvernement américain n’avait jamais touché un clavier de sa vie professionnelle.
Marcel Lazăr Lehel alias Guccifer
Mais Marcel a quelque chose que beaucoup n’ont pas : il est polyglotte. Il parle couramment roumain, hongrois et anglais. Il lit énormément, il a l’esprit vif, mais socialement, c’est un inadapté total. Un type intelligent coincé dans un environnement qui ne lui offre aucune perspective. Un mélange explosif !
Vers 2010, Marcel découvre l’informatique. Il a déjà 39 ans et c’est pas vraiment l’âge où on devient hacker d’habitude. Et c’est pas dans une école d’ingénieurs ou lors d’un stage en entreprise qu’il fait ses premières armes. Non, tout seul, par ennui et par curiosité. Il n’a qu’un vieux PC de bureau NEC tout pourri et un Samsung à clapet. Pas de formation, pas de mentor, juste Internet et sa débrouillardise. Il apprend alors les bases en autodidacte, comme on apprend à bricoler dans son garage, sauf que lui, au lieu de réparer des mobylettes, il va démonter la sécurité informatique mondiale.
Sa première incursion dans le hacking est presque accidentelle. En fin 2010, par pure curiosité et ennui, il commence à farfouiller dans les comptes de célébrités roumaines. Et là, surprise, c’est ridiculement facile. Pas besoin d’être un génie en cryptographie ou de connaître des failles zero-day. Il suffit de chercher des infos sur ses cibles sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. “J’utilisais Wikipedia et des listes de noms d’animaux populaires”, expliquera-t-il. Du social engineering niveau débutant, mais ça marche.
En 2011, sous le pseudonyme “Micul Fum” (Petite Fumée), il hacke les comptes email et Facebook de plusieurs célébrités roumaines : acteurs, footballeurs, présentateurs TV. Il va même jusqu’à pirater George Maior, le patron des services secrets roumains. Pas mal pour un amateur ! Et il publie leurs correspondances privées sur Internet, sans vraiment de but précis à part la notoriété. Pour la petite histoire, le nom “Micul Fum” vient des livres de Carlos Castaneda et fait référence à une drogue psychédélique.
Marcel habitude un village près d’Arad en Roumanie
Les autorités roumaines ne mettent pas longtemps à remonter jusqu’à lui et en 2011, il est arrêté et condamné à trois ans de prison avec sursis. Vous vous dites alos qu’il a eu de la chance ? Que ça aurait dû le calmer ? Et bien PAS DU TOUT ! Cette première expérience ne fait que l’encourager. Il a découvert qu’avec un peu de patience et de malice, on peut accéder aux secrets des puissants et Marcel a du temps à revendre. Chômeur, vous vous souvenez ?
En 2012, Marcel change de vitesse. Fini les petites célébrités roumaines. Il se forge une nouvelle identité : Guccifer, un mélange de “Gucci” et “Lucifer”. “Le style de Gucci et la lumière de Lucifer”, explique-t-il. Toujours aussi mégalo, mais maintenant il vise l’élite mondiale. Et c’est là où c’est fun.
Sa première cible américaine est Dorothy Bush Koch, la sœur de George W. Bush. En février 2013, il hacke son compte AOL (oui, AOL existait encore) et balance sur Internet des photos privées de la famille Bush. Il découvre aussi des autoportraits peints par George W. Bush lui-même. Des tableaux où l’ancien président se représente sous la douche, de dos, vulnérable. L’ancien leader du monde libre qui joue les artistes torturés dans son temps libre, c’était surréaliste.
Bush racontera plus tard : “J’étais agacé. C’est une intrusion dans ma vie privée.” Pauvre petit chou…. Mais le vrai coup de maître arrive le 20 mars 2013. Marcel réussit à pirater le compte email de Sidney Blumenthal, ancien conseiller de Bill Clinton et ami proche d’Hillary. Pour ça, il a d’abord hacké Corina Crețu, une politicienne roumaine qui correspondait avec lui. La question de sécurité de Crețu ? Le nom de la rue où elle avait grandi. Marcel l’a trouvé en 30 secondes sur Google. Et là, c’est jackpot total !
Il découvre alors des memos privés que Blumenthal envoie à Hillary Clinton sur sa boîte mail personnelle : [email protected]. Ces emails traitent de l’attaque de Benghazi du 11 septembre 2012 et d’autres sujets libyens ultra-sensibles. Marcel les publie en ligne, et BOUM ! C’est la première fois que le public découvre qu’Hillary Clinton utilise un serveur mail privé pour ses communications officielles en tant que Secrétaire d’État. Le scandale qui va empoisonner sa campagne présidentielle de 2016 vient de naître.
Vous imaginez ? Un chauffeur de taxi au chômage dans un bled roumain vient de déclencher l’un des plus gros scandales politiques de la décennie américaine. Sans le savoir, sans même le vouloir vraiment. Il cherchait juste à faire parler de lui. “J’avais l’habitude de lire ses memos pendant six ou sept heures, puis j’allais faire du jardinage”, racontera-t-il plus tard avec un détachement déconcertant.
La méthode de Marcel est d’une simplicité désarmante. Il n’utilise aucun exploit sophistiqué, aucun malware, aucune technique de social engineering avancée. Sa stratégie c’est de googler ses cibles, éplucher leurs profils sur les réseaux sociaux, et deviner les réponses aux questions de sécurité. Date de naissance ? Sur Facebook. Nom de jeune fille de la mère ? Dans un vieil article de journal. Animal de compagnie ? Sur Instagram. C’est con mais ça marche.
Pour hacker Colin Powell, par exemple, Marcel a passé six mois à essayer différentes combinaisons. Six mois ! Le mot de passe était basé sur le nom de famille de la grand-mère de Powell. Il a d’abord visé Corina Crețu pour avoir accès à leurs échanges et une fois dans son compte, il a eu accès à des années de correspondance entre Powell et d’autres pontes américains : George Tenet (ex-patron de la CIA), Richard Armitage, John Negroponte. Des infos financières personnelles, des discussions stratégiques, tout y était.
Marcel cible aussi la sénatrice Lisa Murkowski, des membres de la famille Rockefeller, des anciens agents du FBI et des Services Secrets, le frère de Barbara Bush, le journaliste sportif Jim Nantz, et même Patricia Legere, ancienne Miss Maine. Il hacke aussi Tina Brown (une journaliste célèbre), Candace Bushnell (créatrice de Sex and the City) et Jeffrey Tambor (acteur). Un portfolio de victimes complètement hétéroclite, comme s’il choisissait au hasard en fonction de ses humeurs. Au total, plus de 100 victimes.
Mais Marcel n’est pas qu’un simple pirate informatique. C’est aussi un conspirationniste de première. Dans ses communications avec les médias, il balance des théories farfelues sur les Illuminati, le 11 septembre, la mort de Lady Diana, et même une supposée attaque nucléaire prévue à Chicago en 2015. Pour lui, le monde est dirigé par une cabale secrète, et ses hackings sont un moyen de révéler la vérité au grand jour. Il décrit même Hillary Clinton comme “une des grandes prêtresses d’un groupe satanique caché aux yeux du monde”. Rien que ça.
Le 22 janvier 2014, à 6h du matin, la police roumaine débarque chez Marcel à Sâmbăteni. Il a alors 42 ans, il est au chômage, et sa petite vie de hacker touche à sa fin. L’agence roumaine DIICOT (Direction d’enquête des infractions de criminalité organisée et terrorisme) l’arrête dans sa maison familiale. Finies les journées à siroter du café en hackant l’élite mondiale depuis son salon.
Un détail poignant, quand les flics arrivent, Marcel détruit son disque dur à coups de hache dans le jardin. Sa femme Gabriela garde encore aujourd’hui le clavier de son ordinateur. Les lettres étaient tellement usées qu’elle les avait réécrites avec son vernis à ongles orange. Ce clavier, c’est donc tout ce qui reste de l’empire numérique de Guccifer.
En 2014, un tribunal roumain le condamne à quatre ans de prison pour avoir accédé aux comptes email de personnalités publiques “dans le but d’obtenir des données confidentielles” et pendant ce temps, les États-Unis préparent leur riposte. Et ils ne sont pas contents du tout.
Le 12 juin 2014, un grand jury fédéral américain inculpe Marcel de neuf chefs d’accusation. Trois pour fraude électronique, trois pour accès non autorisé à des ordinateurs protégés, et un pour chacun des délits suivants : vol d’identité aggravé, cyberharcèlement et entrave à la justice. Les Américains le veulent, et ils sont déterminés à l’avoir.
Pendant qu’il purge sa peine en Roumanie, Marcel continue à faire parler de lui. En mars 2015, depuis sa cellule de la prison d’Arad, il accorde une interview exclusive à Pando Daily. Et là, il lâche ses meilleures punchlines notamment sur sa routine quotidienne. Il explique tranquillement par exemple comment il alternait entre espionnage de haut niveau et jardinage. Le mec vivait sa meilleure vie de retraité tout en déstabilisant la politique mondiale.
Marcel était obsédé par les Illuminati et les théories du complot
Cette déclaration montre surtout l’état d’esprit du personnage car pour lui, pirater les communications de la future candidate démocrate à la présidentielle, c’était juste un passe-temps entre deux corvées domestiques. Rien de plus banal. “Je ne piratais pas Hillary Clinton, je piratais Illuminati”, précise-t-il. Logique imparable.
En avril 2016, c’est alors le moment que Marcel redoutait : il est extradé vers les États-Unis pour y être jugé. Il y reste temporairement et retourne dans son pays pour finir sa peine Roumaine. Puis en novembre 2018, il est ré-extradé, cette fois pour purger sa peine américaine. Fini le système pénitentiaire roumain relativement clément, direction les prisons fédérales américaines. Il atterrit en Virginie pour faire face à la justice américaine.
Mais Marcel, fidèle à lui-même, ne peut pas s’empêcher d’en rajouter. En mai 2016, un mois après son extradition, il déclare à Fox News qu’il a non seulement hacké les emails d’Hillary via Sidney Blumenthal, mais qu’il a aussi piraté directement son serveur privé. “C’était facile… facile pour moi, pour tout le monde”, affirme-t-il. “Le serveur était comme une orchidée ouverte sur Internet.”
Le problème c’est que Marcel ne fournit aucune preuve de ces allégations. Les enquêteurs américains fouillent, cherchent, analysent, mais ne trouvent aucune trace d’une intrusion directe sur le serveur d’Hillary. Plus tard, lors d’une audition au Congrès, le directeur du FBI James Comey révélera que Guccifer a admis avoir menti sur cette prétendue intrusion. Marcel reconnaîtra lui-même : “J’ai menti un peu…”
Alors pourquoi mentir ? Peut-être pour négocier sa peine, peut-être par mégalomanie, ou peut-être juste pour continuer à faire parler de lui ? Marcel a toujours eu un rapport compliqué avec la vérité et la réalité. Dans sa tête, il menait une croisade contre les forces du mal alors que dans la vraie vie, il était juste un branleur avec trop de temps libre.
En mai 2016, Marcel Lehel Lazăr plaide alors coupable devant un juge fédéral d’Alexandria, en Virginie, pour vol d’identité et accès non autorisé à des ordinateurs protégés. Il évite ainsi un procès qui aurait pu lui coûter beaucoup plus cher.
Et le 1er septembre 2016, verdict : 52 mois de prison fédérale. Quatre ans et quatre mois pour avoir bouleversé la politique américaine depuis son vieux PC. Quand on y pense, c’est dérisoire comparé à l’impact de ses actions car sans lui, Hillary Clinton aurait peut-être été présidente ? Qui sait ?
Marcel purge alors sa peine à la Federal Correctional Institution Schuylkill en Pennsylvanie (niveau de sécurité moyen), puis dans une prison de sécurité minimale. Et là, c’est le calvaire. “Un endroit terrible”, décrira-t-il plus tard à propos du FCI Schuylkill. Il prétend avoir été régulièrement privé de soins médicaux et dit avoir perdu beaucoup de ses dents pendant ses quatre années d’incarcération. C’est le système pénitentiaire américain, version hard.
Pendant ce temps, sa famille souffre aussi. Sa fille Alexandra est harcelée à l’école. “Les enfants lui demandent pourquoi son papa est en prison”, raconte un proche. Et sa femme Gabriela doit gérer seule le quotidien. C’est la rançon de la gloire pour la famille Lehel.
En août 2021, après plus de quatre ans derrière les barreaux américains, Marcel Lazăr Lehel sort enfin de prison. Il a 51 ans, il est cassé physiquement et mentalement, mais il est libre. Direction Arad, sa ville natale en Transylvanie.
Et en janvier 2023, pour la première fois depuis sa libération, Marcel accepte de parler. Dans une série d’interviews téléphoniques avec The Intercept, il se livre sur sa nouvelle vie et sur l’étrange héritage qu’il a laissé derrière lui.
“C’est comme une expérience de sortie de corps, comme si ce mec Guccifer était quelqu’un d’autre”, confie-t-il. “En ce moment, ayant ce temps libre, j’essaie juste de comprendre ce que cet autre moi faisait y’a 10 ans.” Cette phrase résume bien l’état d’esprit de Marcel aujourd’hui. Il semble sincèrement déconnecté de son persona de hacker, comme s’il avait du mal à croire que c’est bien lui qui a fait tout ça.
“Je ne me sens pas à l’aise en parlant de moi”, avoue-t-il à son interlocuteur. Sur l’impact de ses actions, Marcel reste également modeste… enfin, presque. “J’étais inspiré par le nom, au moins”, dit-il, “parce que tout mon projet Guccifer était, après tout, un échec.” Mais quand le journaliste évoque son influence sur le hacking moderne, sa modestie glisse légèrement. Il dit : “Je suis sûr, à ma façon humble, que j’ai été quelqu’un qui ouvre de nouvelles routes.”
Et il n’a pas tort car Guccifer a prouvé qu’on n’a pas besoin d’être un génie en informatique pour faire tomber les puissants. Sa méthode artisanale (Google, patience, et déduction logique) a inspiré toute une génération de hackers amateurs. “C’est pas de la programmation informatique”, précise-t-il, “je ne sais pas programmer. C’est avoir l’intuition de pouvoir deviner.”
Marcel vit aujourd’hui une existence discrète à Arad et refuse d’entrer dans les détails de sa vie actuelle, probablement par peur de représailles ou simplement par lassitude. L’homme qui a fait trembler Washington préfère maintenant l’anonymat et il cherche encore du travail, surtout qu’avec son CV, c’est pas gagné.
Mais l’histoire de Guccifer ne s’arrête pas là. Son nom a inspiré d’autres hackers, notamment le mystérieux “Guccifer 2.0” qui a piraté le Parti démocrate américain en 2016… Mais ça c’est une autre histoire que je vous raconterai bientôt.
En tout cas, Marcel n’a jamais vraiment compris l’ampleur de ce qu’il avait déclenché. Pour lui, pirater Sidney Blumenthal était juste un hack de plus dans sa collection et il ne savait pas qu’il était en train de révéler les secrets les mieux gardés de la politique américaine. Il avait même trouvé une archive de 30 GB avec des documents confidentiels sur la Palestine, mais il s’en foutait. C’est Hillary qui l’intéressait.
Bref, la prochaine fois que vous vous connecterez à votre boite mail et que vous répondrez à une question de sécurité, ou que vous partagerez des infos personnelles sur les réseaux sociaux, pensez à Marcel, surtout si votre question de sécurité c’est le nom de votre premier animal de compagnie et que vous avez posté 50 photos de Médor sur Instagram…
Sources : Wikipedia - Guccifer, US Department of Justice - Romanian Hacker “Guccifer” Sentenced, The Intercept - Guccifer Interview (2023), Pando Daily - Exclusive Interview with Guccifer (2015), NBC News - Guccifer Pleads Guilty
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !
Ceci est histoire qui me fascine depuis que j’ai commencé à m’intéresser au hacking car c’est l’histoire incroyable du premier vrai braquage bancaire en ligne. Pas de cagoules, pas d’armes, pas de voitures qui démarrent en trombe mais juste un mec, un ordinateur, et 10,7 millions de dollars qui changent de compte en quelques clics. Cette histoire, c’est celle de Vladimir Levin et du casse de Citibank en 1994.
Un IBM PC typique des années 90, similaire à celui utilisé pour le hack
Imaginez, on est en 1994, Internet balbutie, la plupart des gens n’ont jamais vu un email, et Windows 95 n’existe même pas encore. À cette époque, quand on parlait de vol bancaire, on pensait encore à des mecs avec des bas sur la tête qui braquaient des agences. Et à ce moment précis, personne n’imaginait encore qu’un type en pyjama, depuis son appart’ de Saint-Pétersbourg, pourrait piquer des millions à une des plus grosses banques du monde.
Vladimir Leonidovitch Levin, un nom qui aujourd’hui figure dans tous les bouquins sur la cybercriminalité. Mais qui était vraiment ce mec ? Et bien si vous lisez les articles de l’époque, on vous dira que c’était un mathématicien brillant, un biochimiste diplômé de l’Institut de Technologie de Saint-Pétersbourg, un génie de l’informatique. Mais la réalité est beaucoup moins glamour et bien plus intéressante.
Saint-Pétersbourg en pleine transition post-soviétique - image IA
Et franchement, Saint-Pétersbourg en 1994, c’était pas la joie. L’URSS s’était effondrée trois ans plus tôt, et la Russie traversait une crise économique sans précédent. L’inflation annuelle atteignait 224% cette année-là et le 11 octobre 1994, “Mardi Noir”, le rouble perdait 27% de sa valeur en une seule journée. Les gens allaient au boulot sans être payés pendant des mois, obligés de trouver deux ou trois jobs pour survivre et la ville était surnommée “le Saint-Pétersbourg des bandits” (banditsky Peterburg), et c’était pas pour rien.
Dans ce bordel ambiant, Vladimir Levin travaillait comme admin système pour une boîte qui s’appelle AO Saturn. Rien de bien folichon. Il configurait des serveurs, gérait des réseaux, faisait tourner la boutique informatique. Un job tranquille dans une époque qui ne l’était pas.
Mais voilà, Vladimir a entendu parler d’un truc qui allait changer sa vie. Un groupe de hackers de Saint-Pétersbourg avait découvert quelque chose d’énorme. Ces mecs, qui se faisaient appeler ArkanoiD, Hacker 3 et Buckazoid (oui, comme le personnage de Space Quest… les nerds quoi…), avaient trouvé une faille monumentale dans les systèmes de Citibank.
Citibank, une des plus grandes banques américaines
C’est véridique… l’histoire vraie, celle qu’on ne raconte jamais, c’est que Levin n’a JAMAIS hacké Citibank lui-même. Je le sais car en 2005, un des hackers originaux, ArkanoiD, a balancé toute l’histoire sur Provider.net.ru, un forum russe. Lui et ses potes avaient passé plus d’un an à explorer les réseaux de Citibank et pas par Internet, non, non… Ils utilisaient le réseau X.25, un vieux protocole de communication que plus personne n’utilise aujourd’hui.
X.25, pour ceux qui ne connaissent pas, c’était un peu l’ancêtre d’Internet pour les entreprises. Créé en 1976, c’était un réseau de communication par paquets qui permettait aux banques et aux grandes entreprises d’échanger des données. Super lent selon nos standards actuels (on parle de latences d’une demi-seconde !), mais ultra-fiable pour les transactions financières avec zéro erreur de transmission, ce qui était crucial pour bouger des millions.
Le truc, c’est que Citibank avait son propre réseau X.25 qui reliait toutes ses agences dans le monde. Ce réseau était censé être sécurisé, mais… comment dire… les hackers russes ont découvert qu’ils pouvaient se balader tranquillement dessus. Phrack Magazine avait même publié une liste de 363 ordinateurs Citibank accessibles via Sprintnet !
La liste dans Phrack
Pendant six mois, ArkanoiD et sa bande ont joué les touristes sur les serveurs de Citibank. Ils installaient des jeux, lançaient des programmes, jouaient même à Star Trek sur les machines de la banque et personne ne remarquait rien. Selon ArkanoiD, c’était “très low tech”… pas d’exploit sophistiqué, pas d’analyse de buffer overflow, juste “une approche systématique et un peu de chance”.
C’est là qu’ils ont trouvé le Saint Graal : le système Cash Manager de Citibank. Le service qui permettait aux gros clients corporate de faire des virements internationaux. Ils se connectaient avec un modem (vous savez, ces trucs qui faisaient ce bruit insupportable “KRRRRR BEEP BEEP”), ils rentraient leurs identifiants, et ils pouvaient bouger des millions d’un compte à l’autre. Citibank traitait 500 milliards de dollars par jour avec ce système !
Le problème c’est que la sécurité était… disons… minimaliste. Pas d’authentification à deux facteurs, pas de token physique, juste un login et un mot de passe. En 1994, c’était la norme, mais quand même…
Un coupleur acoustique, ancêtre du modem
Buckazoid découvre alors exactement où et comment transférer l’argent, mais il remarque aussi que tout est loggé et ces logs sont probablement imprimés sur papier chaque jour. Les hackers comprennent vite que “ce serait impossible de voler de l’argent sans se faire remarquer”. Ils n’ont pas les ressources pour gérer la partie logistique du crime car en Russie en 1994, ça voulait dire contacter des gens “désagréables”, comme le dit ArkanoiD.
C’est là que Vladimir Levin entre en scène. Buckazoid lui raconte ce qu’ils ont trouvé et Levin est TRÈS intéressé. Tellement intéressé qu’il sort 100 dollars de sa poche, une fortune en Russie à l’époque où le salaire moyen tournait autour de 50 dollars par mois et et achète toutes les infos : comment se connecter, les identifiants, les mots de passe, quels systèmes cibler, comment faire les virements.
Les hackers originaux ? Ils se barrent direct. La vente de ces infos les a fait flipper et ils disparaissent du réseau Citibank. Mais Levin, lui, il voit l’opportunité de sa vie. Depuis son appartement de Saint-Pétersbourg, avec un simple PC et une ligne téléphonique, il va monter le casse du siècle.
Alors entre fin juin et octobre 1994, Levin se met au boulot. Il se connecte au système Cash Manager de Citibank et commence à transférer de l’argent. Et pas n’importe comment, hein. Il a monté tout un réseau de complices : des comptes en Finlande, aux États-Unis, aux Pays-Bas, en Allemagne, en Israël et des mules qui vont récupérer le cash et le lui renvoyer.
Au total, il va effectuer environ 40 virements frauduleux. Des comptes de grosses entreprises américaines voient leur solde diminuer mystérieusement, l’argent part vers des comptes à l’étranger, disparaît dans la nature, et Citibank ne s’aperçoit de rien. Les clients non plus… en tout cas, au début.
Vladimir Levin au moment de son arrestation - Photo nettoyée par IA
Mais Levin devient gourmand. Trop gourmand. Au total, il va transférer 10,7 millions de dollars. Au prix du dollars aujourd’hui, ça fait plus de 22,7 millions avec l’inflation. Pas mal pour un admin système dans un pays où l’inflation galopait à 224% par an !
Le problème, c’est que bouger autant d’argent, ça finit par se voir et en juillet 1994, plusieurs clients corporate de Citibank remarquent que 400 000 dollars ont disparu de leurs comptes. Ils appellent la banque. Panique à bord !! Citibank lance alors une enquête interne et découvre l’ampleur du désastre.
Le FBI entre alors dans la danse et Steve Garfinkel est désigné comme agent responsable du dossier. Ils remontent la piste des virements, arrêtent les complices qui essaient de retirer l’argent. Une femme et son mari à San Francisco, un autre à Tel Aviv, un à Rotterdam. Et bien sûr, sous la pression, ils craquent et balancent tout. Tous les chemins mènent à Saint-Pétersbourg, à un certain Vladimir Levin d’AO Saturn.
Steve N. Garfinkel - L’agent du FBI en charge de retrouver Levin
Mais attraper Levin, c’est une autre paire de manches. Il est en Russie, pays qui n’a pas de traité d’extradition avec les États-Unis pour ce genre de crime informatique. Le FBI ne peut rien faire. Levin pourra couler des jours heureux à Saint-Pétersbourg avec ses millions (enfin, les 400 000 dollars jamais récupérés). Sauf que…
Mars 1995. Pour des raisons qui restent mystérieuses (certains disent qu’il avait une copine en Angleterre, d’autres qu’il voulait investir son argent à l’étranger), Levin décide de voyager. Il prend un vol Moscou-Londres avec une correspondance. Grosse, GROSSE erreur.
L’aéroport de Stansted où Levin fut arrêté
Le 3 mars 1995, quand son avion atterrit à l’aéroport de Stansted, Scotland Yard l’attend sur le tarmac. Les Américains avaient prévenu les Britanniques via Interpol et Levin est arrêté dans la zone de transit, menottes aux poignets. Game over.
S’ensuit une bataille juridique épique de 30 mois durant laquelle les avocats de Levin se battent bec et ongles contre son extradition. Ils plaident que les preuves sont insuffisantes, que leur client est victime d’une erreur judiciaire, que la juridiction américaine ne s’applique pas. Mais en juin 1997, la Chambre des Lords britannique rejette leur appel final. Direction les États-Unis.
Septembre 1997, Levin est alors extradé. Devant le tribunal fédéral de Manhattan à New York, il change alors de stratégie. Nous sommes en janvier 1998, et il plaide coupable pour un seul chef d’accusation : conspiration en vue de commettre des transferts de fonds frauduleux. Il admet avoir volé 3,7 millions de dollars (pas les 10,7 millions, notez bien).
Et en février 1998, la sentence tombe : 3 ans de prison fédérale et 240 015 dollars de dédommagement. Le juge a pris en compte le temps déjà passé en détention au Royaume-Uni.
Le tribunal fédéral Thurgood Marshall où Levin fut jugé
Trois ans pour ce qui est considéré comme le premier braquage bancaire en ligne de l’histoire. Aujourd’hui, ça paraît dérisoire, mais à l’époque, personne ne savait trop comment gérer ce nouveau type de criminalité. Pas de violence, pas d’arme, pas même d’entrée par effraction. Juste des électrons qui bougent d’un compte à l’autre via des lignes téléphoniques.
Ce qui est fascinant dans cette histoire, c’est à quel point elle était en avance sur son temps car en 1994, la plupart des gens ne savaient même pas ce qu’était un modem. Les modems 14.4k venaient juste d’arriver en 1991, les 28.8k en 1994 et l’idée qu’on puisse voler des millions depuis son salon paraissait être de la science-fiction. Pourtant, c’est exactement ce que Levin a fait.
L’impact du casse de Citibank a été énorme car pour la première fois, les banques ont réalisé qu’elles étaient vulnérables à un nouveau type de menace. Citibank a donc immédiatement mis à jour ses systèmes, introduisant les Dynamic Encryption Cards, des jetons physiques qui génèrent des codes aléatoires pour l’authentification. Un vrai mouvement pionnier dans la cybersécurité bancaire que d’autres banques ont suivi.
Un jeton de sécurité descendant direct des mesures prises après l’affaire Levin
Ce qui me fascine le plus dans cette histoire, c’est le contraste entre l’image publique et la réalité car les médias ont présenté Levin comme un génie maléfique, un super-hacker capable de pénétrer n’importe quel système mais la réalité c’est qu’il était juste un admin système opportuniste qui a acheté des infos à de vrais hackers pour 100 balles.
Les vrais héros techniques (ou anti-héros, selon votre point de vue) de cette histoire, ce sont ArkanoiD et sa bande car ces mecs ont passé plus d’un an à explorer les systèmes de Citibank, pas pour l’argent, mais par pure curiosité. Ils y ont découvert une faille monumentale, ont joué avec pendant six mois, puis ont tout lâché quand c’est devenu trop dangereux.
Comme je vous le disais au début de l’article, en 2005 ArkanoiD a publié son témoignage amer sur Provider.net.ru : “J’ai déjà essayé plusieurs fois de raconter cette histoire d’une manière ou d’une autre, et à chaque fois elle a été monstrueusement déformée.” puisque tous les articles parlaient de Levin le génie, personne ne mentionnait le vrai travail technique fait par son groupe.
C’est ça, la vraie histoire du casse de Citibank. Pas celle d’un génie solitaire, mais celle d’un écosystème : des hackers curieux qui trouvent une faille, un opportuniste qui l’exploite, un système bancaire pas préparé, et des autorités qui découvrent un nouveau monde.
Mais alors qu’est devenu Vladimir Levin aujourd’hui ? Et bien après sa sortie de prison en 2001, il a disparu. Certains disent qu’il vit en Lituanie sous une fausse identité. D’autres qu’il est retourné en Russie et travaille maintenant dans la cybersécurité. Personne ne sait vraiment. Et les 400 000 dollars jamais récupérés ?
Toujours dans la nature. Peut-être planqués dans un compte en Suisse, ou peut-être dépensés depuis longtemps…
Sources : Wikipedia - Vladimir Levin, FBI Archives - A Byte Out of History, Malicious Life Podcast - The Real Story, Darknet Diaries - Vladimir Levin, ISC2 - The CitiBank Cyber Heist 30 Years On, Carnegie - Russia’s Economic Transformation, Wikipedia - X.25 Protocol
Connexion
