Le système de distribution d'applications Linux vient de publier la version 1.16.4, qui corrige quatre failles de sécurité découvertes dans son mécanisme de bac à sable.

La plus critique permettait à une app de sortir de son environnement isolé pour accéder à tous les fichiers de la machine et y exécuter du code. Le Steam Deck et la plupart des grandes distributions sont concernés.

Quatre failles, dont une critique

Flatpak, c'est le format de distribution d'applications qui s'est imposé sur Linux ces dernières années. Son principe : chaque application tourne dans un bac à sable isolé du reste du système, un peu comme sur iOS. C'est aussi le format utilisé par le Steam Deck de Valve pour installer des applications en mode bureau.

La version 1.16.4, publiée le 7 avril, corrige quatre failles de sécurité. La plus grave, référencée CVE-2026-34078, est une vraie mauvaise surprise : une application pouvait exploiter des liens symboliques dans les options d'exposition du portail Flatpak pour accéder à l'intégralité des fichiers de la machine hôte, et même y exécuter du code.

Des fichiers supprimés et des téléchargements détournés

La deuxième faille (CVE-2026-34079) permettait de supprimer des fichiers sur la machine hôte en passant par un bug dans le cache du chargeur dynamique ld.so. Flatpak supprimait les fichiers de cache obsolètes sans vérifier que le chemin fourni par l'application pointait bien vers le bon répertoire.

Deux autres problèmes ont aussi été corrigés : l'un permettait de lire des fichiers via le service système de Flatpak, l'autre de perturber le téléchargement d'une application lancé par un autre utilisateur, sans possibilité de l'arrêter proprement.

Qui doit mettre à jour

Toutes les distributions Linux qui utilisent Flatpak sont concernées, et c'est un paquet de monde : Fedora, Ubuntu, Linux Mint, SteamOS sur le Steam Deck, et bien d'autres.

La mise à jour vers la version 1.16.4 est disponible, ou le sera très vite, via les canaux habituels de chaque distribution. Si vous utilisez un Steam Deck en mode bureau avec des apps Flatpak installées via Discover, la mise à jour devrait arriver automatiquement.

C'est quand même un comble : un système conçu pour isoler les applications qui laisse une porte grande ouverte vers tout le système. Que Flatpak se fasse prendre en défaut sur son coeur de métier, ça fait un peu désordre.

Bon par contre, la réactivité a été bonne : la faille a été identifiée et corrigée, et les détails n'ont été publiés qu'avec le correctif disponible. C'est la base, mais au moins c'est fait.

Source : Phoronix

60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.

Alors qu'est-ce qui s'est passé exactement ?

Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !

Pour ma part, j'avais un petit dépôt à moi assez ancien avec quelques trucs relatifs à Claude Code, qui n'avait rien à voir avec tout ça, qui s'est même retrouvé striké... Ils ratissent large avec leur DMCA donc.

Et là, c'est la fête pour les curieux comme moi parce que les entrailles de l'outil révèlent pas mal de surprises. Côté architecture, on découvre environ 40 outils internes avec gestion de permissions, un moteur de requêtes de 46 000 lignes de TypeScript, un système multi-agents capable de spawner des essaims de sous-tâches en parallèle, et un pont de communication entre le terminal et votre éditeur VS Code ou JetBrains. Le tout tourne sur Bun (pas Node.js ^^) avec Ink pour l'interface terminal. Par contre, pas de tests unitaires visibles dans le dump.

Côté mémoire, c'est plutôt bien pensé puisqu'au lieu de tout stocker bêtement dans la fenêtre de contexte du modèle, l'outil utilise un fichier texte MEMORY.md ultra-léger (genre 150 caractères par entrée) qui sert d'index de pointeurs. Les vraies données, elles, sont distribuées dans des fichiers thématiques chargés à la demande, et les transcripts bruts ne sont jamais relus entièrement, mais juste fouillés à la recherche d'identifiants précis. L'agent traite en fait sa propre mémoire comme un "hint" ce qui le force à vérifier toujours le vrai code avant d'agir. En gros, il a une mémoire sceptique, et pour moi c'est clairement le truc le plus intéressant du dump.

Y'a aussi un truc qui s'appelle KAIROS (mentionné 150 fois dans le code) qui est un genre de mode daemon autonome. En fait, pendant que vous allez chercher votre café, l'agent tourne en arrière-plan et fait ce qu'ils appellent autoDream : il consolide sa mémoire dans des fichiers JSON, vire les contradictions et transforme les observations vagues en données structurées. Comme ça, quand vous revenez devant votre écran, le contexte est nettoyé.

Et puis le code balance aussi la roadmap interne d'Anthropic (bon courage au service comm ^^). On y trouve les noms de code des modèles... Capybara pour un variant de Claude 4.6, Fennec pour Opus 4.6, et un mystérieux Numbat qui n'est pas encore sorti. D'ailleurs, les commentaires internes révèlent que Capybara v8 a un taux de fausses affirmations qui tourne autour de 30%, ce qui est une grosse régression par rapport aux 17% de la v4. Y'a même un "Undercover Mode" qui permet à l'agent de contribuer à des repos publics sans révéler d'infos internes (c'est sympa pour les projets open source).

Anthropic a confirmé la fuite : "C'était un problème de packaging lié à une erreur humaine, pas une faille de sécurité. Aucune donnée client n'a été exposée." Mouais, attention quand même, parce que le code est déjà partout et n'en repartira pas. Et même si aucun secret client n'a fuité, exposer l'architecture complète d'un agent IA à 2.5 milliards de revenus, c'est pas rien non plus.

Bon, et maintenant qu'est-ce qu'on peut en faire ? Bah pas mal de choses en fait.

Par exemple, le système de mémoire auto-correcteur est un pattern directement réutilisable pour vos propres agents IA. L'architecture "index léger + fichiers à la demande" résout élégamment le problème de la pollution de contexte qui fait halluciner les LLM sur les longues sessions. Les +40 outils internes permettent aussi de comprendre comment structurer un système de permissions granulaires dans un agent autonome . Et le concept KAIROS/autoDream, la consolidation mémoire pendant l'idle, c'est une idée qu'aucun outil open source n'implémente encore. Autant dire que les alternatives open source à Claude Code ou Codex vont monter en gamme dans les jours qui viennent. Et le code est déjà nettoyé, réécris en Rust et mis sur GitHub si vous voulez fouiller. Bon, pas sûr que le pattern autoDream soit simple à reimplémenter, mais le système de mémoire oui.

Je trouve ça assez marrant que le code proprio d'une boite qui a aspiré tout l'open source du monde voire plus, sans autorisation, pour le revendre sous la forme de temps machine / tokens, devienne lui aussi en quelque sorte "open source" sans qu'on leur demande leur avis ^^. La vie est bien faite.

Maintenant, pour les développeurs qui publient sur npm, la leçon est limpide : Vérifiez votre .npmignore et votre champ files dans package.json. Ou plutôt, lancez la commande npm pack --dry-run dans votre terminal avant chaque publish. Ça prend 2 secondes et ça vous montre exactement ce qui sera inclus dans le paquet. Ça aurait évité 60 Mo de secrets industriels qui partent en public.

Bref, un .npmignore bien configuré, ça coûte 0 euro. Alors qu'une fuite de propriété intellectuelle évaluée à 2.5 milliards... un peu plus !

Source

Le fichier national qui recense toutes les armes détenues en France vient de se faire trouer en version XXL !

En effet, un affreux pirate a réussi à exfiltrer les données liées à la possession de plus de 62 000 armes, et parmi elles, les noms, prénoms, dates de naissance, adresses email et surtout les adresses postales de leurs propriétaires. Mais ce n'est pas tout puisque le fichier contiendrait également le détail complet de chaque arme (modèle, calibre, numéro de série, classement) ainsi que l'historique des transactions (ventes, cessions, réparations, destructions).

Donc on a maintenant dans la nature un joli tableur Excel avec en colonne A le numéro de série de votre Beretta, et en colonne B votre adresse.

J'vois vraiment pas ce qui pourrait mal tourner... 🤡

Alors pour ceux qui débarquent, le SIA (Système d'Information sur les Armes) c'est LA base de données du ministère de l'Intérieur dans laquelle tous les détenteurs d'armes doivent obligatoirement s'enregistrer. Que vous soyez chasseur avec votre Browning, tireur sportif avec votre Glock ou que vous ayez hérité du vieux Manufrance de papy, vous êtes dedans !!

Le ministère a d'ailleurs confirmé l'intrusion dans un courrier envoyé aux personnes concernées (environ 41 000 détenteurs selon les dernières estimations).

En fait, le cybercriminel a compromis les identifiants d'un armurier situé dans le département 84 (c'est le Vaucluse pour les nuls en géo) et a accédé à son Livre de Police Numérique (LPN), le registre dématérialisé qui liste toutes les transactions d'armes du professionnel et qui est directement interconnecté avec le SIA.

Les identifiants de l'armurier auraient pu être récupérés via du phishing, un logiciel espion ou même le vol d'un ordinateur... bref, les classiques, et cerise sur le gâteau, le pirate affirme même avoir été interrompu en pleine exfiltration, ce qui veut dire qu'il aurait pu aspirer encore plus de données s'il n'avait pas été coupé dans son élan.

Le ministère se veut rassurant (lol) en précisant que "le système d'information sur les armes n'a pas été atteint" directement. Mouais... techniquement c'est vrai, c'est le compte pro de l'armurier qui a sauté et pas le SIA en lui-même. Mais en vrai le résultat est le même pour les gens dont l'adresse postale se balade maintenant sur un forum du dark web.

Côté butin, le pirate revendique pas moins d'un listing de 62 511 armes se composant de 46% de carabines, 29% de fusils de chasse, 11% de fusils à pompe et 8% d'armes de poing, le tout allant de la catégorie B (soumise à autorisation) à la catégorie C (sur déclaration).

L'Union Française des amateurs d'Armes (UFA) tempère en rappelant que la base contient plusieurs millions d'armes, et que ces chiffres "tendent à faire penser que la fuite ne concerne pas l'ensemble du système". Heureusement les gars ! Après 41 000 détenteurs avec leurs adresses et le numéro de série de leurs joujoux dans la nature, c'est quand même pas rien non plus.

Et surtout c'est pas la première fois. C'est même la troisième fuite liée au milieu des armes en 6 mois. En octobre 2025, la Fédération Française de Tir (FFTir) s'était déjà fait trouer, puis en janvier 2026 c'était au tour de la Fédération Nationale des Chasseurs (FNC), et maintenant le SIA. Le trio gagnant !!

Les conséquences avaient d'ailleurs été très concrètes après la fuite FFTir puisque la préfecture de police avait alerté sur des repérages et prises de renseignement suspects signalés aux forces de l'ordre, avec des cambrioleurs qui débarquaient chez des tireurs sportifs pour récupérer leurs armes.

Le ministère a déposé plainte et notifié la CNIL et recommande de changer régulièrement de mot de passe et ne jamais communiquer ses identifiants. Merciiiii on n'y avait pas pensé ! Mais le plus beau c'est la mesure d'urgence annoncée en réaction car à partir du 1er avril 2026 (oui, demain), tous les professionnels devront activer la double authentification pour accéder à leur compte SIA. Oui, y'en n'avait pas... un simple identifiant + mot de passe suffisait pour accéder à une base qui gère les données de millions de détenteurs d'armes en France. Ça laisse rêveur.

Après, si vous êtes inscrit au SIA et que vous n'avez pas reçu le courrier du ministère, ça ne veut pas forcément dire que vous n'êtes pas touché alors dans le doute, méfiez-vous de tout appel ou visite prétendument officielle vous demandant de remettre ou montrer vos armes car la police, la gendarmerie et les douanes ne viendront jamais chez vous récupérer vos armes suite à une fuite de données. Donc si quelqu'un sonne à votre porte avec ce prétexte, c'est forcément une arnaque (ou pire...) comme ça s'est passé après la fuite FFTir.

Bref, entre le pistage permanent de nos données en ligne et toutes ces bases gouvernementales qui fuient comme des passoires , j'imagine que la prochaine étape, ça sera le vol et la diffusion du fichier des codes nucléaires mis à dispo sur un forum de script kiddies...

Source

Le CNRS vient de confirmer un incident de cybersécurité qui a mené au téléchargement non autorisé de fichiers contenant des données personnelles d'anciens agents. Noms, adresses, numéros de sécurité sociale, RIB : la totale donc. L'organisme a déposé plainte et prévenu la CNIL.

Des données très sensibles

C'est ce lundi 16 février que le CNRS a informé ses agents d'une fuite de données sur un de ses serveurs. Des fichiers contenant des informations de ressources humaines ont été téléchargés sans autorisation. Et on ne parle pas de données anodines : noms, prénoms, dates de naissance, adresses postales, numéros de sécurité sociale et RIB. Le tout accompagné du statut de l'agent, du type de contrat et de la structure d'affectation. Le serveur a été isolé et arrêté dès la découverte de l'incident, et l'organisme assure que la fuite ne s'est pas propagée au reste de ses infrastructures.

Qui est concerné ?

Seuls les personnels recrutés avant le 1er janvier 2007 sont touchés, qu'ils aient été titulaires ou non. Si vous avez travaillé au CNRS après cette date, vous n'êtes pas concerné. Le nombre exact de victimes n'a pas été communiqué, mais vu la taille de l'organisme, on parle potentiellement de plusieurs milliers de personnes. Le CNRS recommande de prévenir sa banque, de surveiller ses comptes, de vérifier si ses données circulent sur haveibeenpwned.com, et de rester vigilant face aux tentatives de phishing ou d'usurpation d'identité. La CNIL et l'ANSSI ont été prévenues, et une plainte a été déposée auprès de la section cybercriminalité du parquet de Paris.

Les institutions françaises en ligne de mire

On n'est pas vraiment sur une première niveau cyberattaques sur des services de l'état. Le ministère de l'Intérieur, celui des Sports, et d'autres organismes avaient été visés. L'URSSAF a aussi confirmé une fuite touchant les données de 12 millions de salariés. Le CNRS lui-même avait été la cible d'un défacement de plusieurs de ses sous-domaines fin janvier. Deux incidents distincts, mais la tendance est claire, et c'est franchement moche.

On va quand même saluer le fait que le CNRS a communiqué rapidement, avec un communiqué officiel et une FAQ pour les personnes concernées. C'est loin d'être toujours le cas. Mais on va quand même se questionner sur le fait que des RIB et des numéros de sécu trainent sur un serveur, alors qu'on parle de données parfois veilles depuis presque 20 ans... Pourquoi ces informations étaient-elles encore accessibles ? La question du stockage prolongé de données sensibles revient sur la table, et visiblement, personne n'a encore de bonne réponse. En attendant, si vous avez porté la blouse du CNRS avant 2007, un petit tour sur votre relevé bancaire ne serait pas du luxe.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Près de 600 Go, c’est le poids de la plus grosse fuite de l’histoire du Great Firewall chinois. Il y a quelques jours, un collectif hacktiviste du nom de Enlace Hacktivista a balancé sur le net tout le code source, les documents internes, les logs de travail et même les communications privées du système de censure le plus sophistiqué au monde. C’est à ce jour la plus grosse fuite de l’histoire du Great Firewall chinois !

Le Great Firewall est un système qui permet à la Chine de filtrer internet pour toute sa population. Un système tellement efficace qu’il bloque non seulement Google, Facebook ou Twitter, mais qui arrive aussi à détecter et neutraliser les VPN les plus sophistiqués. Et aujoud’hui, tout son fonctionnement interne est accessible à qui veut bien se donner la peine de télécharger un fichier torrent de 571 Go.

Les documents proviennent de deux sources principales : Geedge Networks, une boîte dirigée par Fang Binxing (surnommé le “père du Great Firewall”), et le laboratoire MESA de l’Académie chinoise des sciences. En gros, on a là les architectes principaux de la censure numérique chinoise qui se retrouvent à poil sur internet.

Mais le plus dingue dans cette histoire, c’est pas tant la fuite elle-même. C’est ce qu’elle révèle sur l’export de cette technologie. Les documents montrent que la Chine ne se contente pas de censurer son propre internet, non… elle vend clé en main son système de censure à d’autres pays autoritaires.

Le produit star ? Un truc appelé Tiangou, décrit dans les documents comme une solution tout-en-un pour dictateur pressé : vous branchez, vous configurez, et hop, vous pouvez surveiller et censurer votre population comme en Chine. Le système inclut plusieurs modules aux noms poétiques : le Tiangou Secure Gateway qui bloque les VPN et peut injecter du code malveillant, le Cyber Narrator qui surveille l’activité internet par région, et les systèmes TSG Galaxy et Network Zodiac pour stocker et analyser les données des utilisateurs.

D’après les documents qui ont fuité, le Myanmar a déployé ce système dans 26 centres de données, avec des tableaux de bord capables de monitorer 81 millions de connexions TCP simultanées ! C’est pas rien ! Ce système est d’ailleurs intégré directement dans les points d’échange internet du pays, permettant un filtrage massif et sélectif du trafic.

Le Pakistan n’est pas en reste car d’après les documents, Geedge a installé son infrastructure DPI (Deep Packet Inspection) dans le cadre d’un système plus large appelé WMS 2.0. Amnesty International parle d’une surveillance de masse en temps réel sur les réseaux mobiles pakistanais où en gros, chaque SMS, chaque appel, chaque connexion internet peut être intercepté et analysé.

Les documents révèlent aussi que l’Éthiopie et le Kazakhstan ont acquis des licences pour le système Tiangou et apparemment, ce n’est que la partie émergée de l’iceberg.

Au début, Geedge utilisait des serveurs HP et Dell pour faire tourner son système, mais face aux sanctions occidentales, ils sont passés à du matériel 100% chinois. Le système s’adapte donc, évolue, contourne les obstacles, exactement comme les utilisateurs qu’il est censé bloquer, sauf qu’il a plus de moyens.

Les chercheurs qui analysent actuellement les données étudient le code pour mieux comprendre le système car maintenant que celui-ci est public, les développeurs d’outils de contournement peuvent potentiellement y trouver des faiblesses.

Enlace Hacktivista, le groupe à l’origine de la fuite, n’en est pas à son coup d’essai mais là, ils ont frappé un grand coup et pour ceux qui voudraient jeter un œil aux documents (attention, c’est à vos risques et périls), Enlace Hacktivista a mis le tout à disposition via torrent et téléchargement direct. Les chercheurs recommandent fortement d’utiliser des machines virtuelles isolées ou des environnements sandboxés pour analyser ces fichiers. Pas question de lancer ça sur votre PC principal, on ne sait jamais ce qui peut se cacher dans ces giga octets de code chinois.

Voilà en tout cas, cette technologie de censure et de surveillance est devenu un business global pour contrôler les populations. Merci la Chine ! Et maintenant que le code est dans la nature, on peut s’attendre à ce que d’autres états tentent de créer leurs propres versions du Great Firewall.

Maintenant, est-ce que ça va permettre de mieux contourner la censure ? Est-ce que ça va dissuader certains pays d’acheter cette technologie ? Ou est-ce que la Chine va simplement développer une version 2.0 encore plus sophistiquée ?

On verra bien…

Source

Hier, vous vous êtes peut-être retrouvé avec un mail de Plex commençant par “Nous avons détecté une activité inhabituelle sur votre compte”. Pas de panique, vous n’êtes pas seul car en effet, ce lundi 8 septembre, les 17 millions d’utilisateurs actifs de Plex ont eu le même réveil douloureux.

Plex, si vous ne connaissez pas encore, c’est un super outil qui permet de gérer votre bibliothèque média personnelle et d’accéder à du contenu gratuit. Malheureusement, il y a quelques jours, leurs serveurs ont été à nouveau compromis (la précédente c’était en 2022) et le pirate a réussi à se faufiler et à accéder à une base de données contenant des informations d’authentification.

Dans cette nouvelle attaque, les données exposées incluent donc les adresses email, les noms d’utilisateur et les mots de passe hashés. Plex se veut rassurant et précise que les mots de passe étaient “sécurisés par hachage, conformément aux meilleures pratiques” ce qui est plutôt cool sur le papier, mais qui n’empêche pas que vos données perso soient maintenant entre de mauvaises mains.

Heureusement, nos informations de paiement n’ont pas été compromises car Plex ne stocke pas les données de cartes bancaires sur ses serveurs, ce qui limite les dégâts financiers directs pour les utilisateurs mais du coup, face à cette situation, Plex impose une réinitialisation obligatoire des mots de passe pour tous ses utilisateurs.

Vous devez donc vous rendre sur https://plex.tv/reset pour créer un nouveau mot de passe. L’entreprise recommande vivement d’activer l’option “Déconnecter les appareils connectés après le changement de mot de passe” ce qui signifie que vous devrez ensuite vous reconnecter sur tous vos appareils, y compris votre Plex Media Server. C’est super relou mais c’est un petit prix à payer pour la sécurité.

Et pour ceux qui utilisent la connexion unique (SSO), Plex conseille de se déconnecter de toutes les sessions actives via https://plex.tv/security , puis si vous ne l’avez pas encore fait, c’est vraiment le moment d’activer l’authentification double facteurs.

En tout cas, pour l’instant, on a eu aucuns détails techniques sur la méthode utilisée par le pirate pour récupérer toutes ces données. Plex affirme avoir “corrigé la méthode d’intrusion” mais refuse de partager plus d’informations, du coup, on ne connait pas vraiment l’ampleur du problème et si d’autres services similaires sont vulnérables.

Notez que Plex ne vous demandera jamais votre mot de passe ou vos informations de paiement par email donc si vous recevez ce genre de demande, c’est du phishing. Et si vous utilisez le même mot de passe Plex sur d’autres services (ce qu’il ne faut jamais faire, morbleu !), changez-le partout immédiatement !

Voilà, après cette seconde fuite en trois ans je commence à me poser des questions sur la façon dont ils gèrent leur sécurité. Faut pas oublier qu’il y a plein de gens qui utilisent Plex pour y mettre également leurs vidéos perso, donc je vous laisse imaginer le drame si demain, des cybercriminels pouvaient accéder aux bibliothèques médias des utilisateurs.

Bon courage à tous !

Source

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-même un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver à un mystérieux opérateur APT (Advanced Persistent Threat) dont 9GB de données ont été divulguées par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosé dans toute sa splendeur !

L’histoire commence de manière plutôt originale puisque cette fuite monumentale a été révélée lors du 40e anniversaire du légendaire magazine Phrack, pendant la convention DEF CON 33 à Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondée par Taran King et Knight Lightning. Un zine underground qui a formé des générations entières de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, après être sortis de 3 années de silence en 2024, ont fêté leurs 40 ans le 8 août dernier avec un cadeau plutôt explosif : L’intégralité du toolkit d’espionnage d’un acteur étatique. Rien que ça !

DEF CON, la convention où l’arroseur s’est fait arroser

Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publié dans Phrack #72 avoir compromis à la fois une workstation virtuelle ET un serveur privé virtuel (VPS) utilisés par cet opérateur APT qu’ils ont surnommé “KIM”. Le duo affirme avoir passé des mois à analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploité une mauvaise configuration des services cloud de l’opérateur et une réutilisation de mots de passe entre différents systèmes. Basique mais efficace, car oui, même les espions d’État font des erreurs de débutant !

Mais attention, l’identité réelle de notre espion maladroit reste un vrai casse-tête. Si Saber et cyb0rg affirment avoir compromis un ordinateur lié au groupe Kimsuky (ces fameux hackers nord-coréens du Bureau 121 qui font régulièrement parler d’eux depuis 2013), les experts en sécurité émettent des doutes sérieux.

Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-coréen. En gros, c’est leur CIA à eux. Et les mecs sont plutôt spécialisés dans l’espionnage et le vol d’informations sur les politiques étrangères liées à la péninsule coréenne, le nucléaire et les sanctions internationales à leur encontre. Ils ont notamment ciblé des think tanks sud-coréens, japonais et américains avec des campagnes de spear-phishing ultra sophistiquées. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identité d’organisations de confiance.

Sauf que voilà, plusieurs éléments clochent. L’opérateur piraté semble parler chinois mandarin, et pas coréen. Son historique de navigation Chrome et Brave (presque 20 000 entrées !) montre des recherches en caractères simplifiés, pas en hangul (l’alphabet officiel du coréen), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilégiées correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la Corée du Sud. Certains experts pensent même qu’il pourrait délibérément imiter les méthodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.

Alors Corée du Nord ou Chine ? Le mystère reste entier

Le butin déballé par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de données ultra sensibles avec :

• 19 783 entrées d’historique de navigation sur Chrome et Brave, révélant les habitudes et méthodes de travail de l’opérateur
• Des logs d’attaques actives contre le gouvernement sud-coréen, notamment le Defense Counterintelligence Command et le Supreme Prosecutor Office
• Du code source d’outils custom développés spécifiquement pour leurs opérations
• Des identifiants et mots de passe pour différents systèmes compromis
• Des scripts de commande et contrôle (C2) pour gérer les machines infectées
• Des manuels opérationnels détaillant comment utiliser leurs backdoors
• Des logs de campagnes de phishing avec les templates utilisés et les listes de victimes

Y’a même une capture écran de son bureau :

Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opérateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau système pour une persistance maximale. Des beacons Cobalt Strike customisés, Cobalt Strike étant cet outil commercial à 3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adoré par les vrais méchants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnérabilités CVE-2025-0282 et CVE-2025-22457 découvertes fin 2024. Sans oublier des variantes modifiées d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systèmes Ivanti Connect Secure.

Pour comprendre l’ampleur du désastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et même son journal intime où il note ses techniques. Bah voilà, c’et exactement ça qui vient d’arriver à notre cher APT !

DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé

DDoSecrets a indexé et publié l’archive complète, la rendant accessible gratuitement à tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondé en 2018 par Emma Best et Thomas White après que WikiLeaks soit devenu… compliqué avec l’affaire Assange.

Emma Best, journaliste spécialisée en sécurité nationale et activiste de la transparence non-binaire basée à Boston, avait d’ailleurs clashé avec Assange avant de créer DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois inférieur à WikiLeaks, DDoSecrets a déjà publié plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vérité est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrêmement radicale.

Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohérents avec un véritable toolkit d’espionnage, ce qui est également confirmé par plusieurs experts en threat intelligence. Les victimes sud-coréennes ont également été notifiées avant la publication, histoire de limiter les dégâts. Ouf !

Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtré des coulisses du cyber-espionnage étatique. D’habitude, on découvre les outils et techniques des APT après coup, en analysant leurs attaques comme des archéologues numériques qui reconstituent un dinosaure à partir de fragments d’os. Mais là, on a accès directement à leur boîte à outils complète, leurs notes, leurs cibles, leurs méthodes de travail au quotidien.

Les implications sont d’ailleurs énormes pour la communauté cybersécurité. Avec cet accès privilégié aux TTPs (Tactics, Techniques, and Procedures) de l’opérateur, les équipes de défense peuvent maintenant :

• Identifier des patterns d’attaque pour créer des signatures de détection plus précises
• Comprendre l’infrastructure C2 utilisée et bloquer proactivement les domaines et IPs associés
• Analyser les vulnérabilités exploitées et patcher en priorité
• Attribuer d’anciennes attaques non résolues grâce aux similarités dans le code et les méthodes
• Former les analystes SOC avec des exemples réels d’attaques APT

Un acteur APT, habitué à opérer dans l’ombre avec l’impunité que confère le soutien d’un État-nation, s’est donc fait avoir par deux hackers indépendants qui ont ensuite balancé tout son arsenal sur Internet. C’est plutôt marrant quand on sait que ces groupes APT passent leur temps à voler les secrets des autres !

Cobalt Strike, l’outil préféré des APT (et des red teamers légitimes)

L’incident soulève quand même des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opérateur pourrait être chinois mais imiter les techniques nord-coréennes montre à quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opérations sous faux drapeau sont monnaie courante.

C’est d’ailleurs pour ça que les groupes APT chinois et nord-coréens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear… non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-Coréens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spécialisés dans le vol bancaire, 81 millions de dollars à la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.

La différence de style entre les groupes est d’ailleurs fascinante. Les Russes préfèrent exploiter des zero-days pour un impact géopolitique immédiat. Les Chinois ciblent les supply chains pour du vol de propriété intellectuelle à long terme. Les Nord-Coréens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volé plus de 3 milliards de dollars en cryptomonnaies selon les estimations !

Mais revenons à notre opérateur mystère. L’analyse de son infrastructure révèle des détails croustillants. Il utilisait des VPS loués avec des bitcoins minés spécifiquement pour l’opération (ces mecs ont leur propre ferme de minage !). Les domaines C2 étaient enregistrés via des registrars russes et chinois avec de fausses identités. Les certificats SSL étaient générés avec Let’s Encrypt pour paraître légitimes. Tout un écosystème criminel parfaitement rodé… jusqu’à ce que Saber et cyb0rg débarquent.

Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communauté (la preuve, j’en parle). En tout cas, il y a une certaine justice poétique à voir un cyber espion se faire espionner à son tour.

Aujourd’hui avec ces révélations, le message envoyé à tous les groupes APT est clair : vous n’êtes pas intouchables. Même avec le soutien d’un État, même avec des budgets illimités, même avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivés.

Je pense que cette affaire restera dans les annales car pour la première fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indépendants. Cela me rappelle le leak de Conti qui avait subit la même chose mais de la part d’un insider (enfin, on le pense…).

Bref, si vous êtes un opérateur APT, évitez de réutiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets étalés sur Internet. C’est con mais c’est comme ça !

Et pour les chercheurs en sécurité, foncez analyser ces 9GB de données, c’est Noël avant l’heure !

Sources : HackRead - 9GB APT Data Leak, Dark Reading - APT Actor Data Dump Analysis, DDoSecrets - APT Down: The North Korea Files, Phrack Magazine Issue #72, Wikipedia - Distributed Denial of Secrets, CISA - Kimsuky APT Advisory