Felix "FX" Lindner est mort le 1er mars 2026 à l'âge de seulement 49 ans. Et si ce nom ne vous dit rien, c'est normal, car FX n'a jamais cherché les projecteurs. Par contre, ceux qui bossent dans la cybersécurité, eux, savent parfaitement qui il était.

Fondateur de Recurity Labs à Berlin, leader du groupe Phenoelit, co-auteur de "The Shellcoder's Handbook", et lauréat du Pwnie Award Lifetime Achievement 2017, Félix avait plusieurs casquettes. Et c'est également celui qui a forcé Huawei à créer une équipe de sécurité dédiée, tout ça grâce à une seule présentation de 45 minutes.

Felix "FX" Lindner, fondateur de Recurity Labs (CCS 2013)

Son pseudo sur Twitter/X c'était @41414141 car en hexadécimal, 0x41 c'est le caractère ASCII 65, la lettre "A". Car 4 "A" d'affilée, c'est le padding classique qu'on balance dans un buffer overflow pour écraser la mémoire. Hé oui même son pseudo était un exploit ! Petit détail au passage : ne le confondez pas avec "fefe", Felix von Leitner, l'autre Felix célèbre de la scène sécu germanophone. La confusion est fréquente, même dans les hommages post-mortem que j'ai pu voir.

Pour comprendre FX, faut remonter à 1977, à Berlin-Est, le côté soviétique du Mur. Gamin, il met les mains sur son premier ordinateur à 6 ans, lors d'une visite à l'Université de Sofia en Bulgarie puis à 10 ans, il programme en BASIC sur un Robotron Z9001 (un CPU U880 à 2.5 MHz, 16 Ko de RAM), qui était à l'époque la machine phare de la RDA (en fait c'était un des rares ordinateurs personnels fabriqués en Allemagne de l'Est). Pas exactement un Commodore 64 donc, mais bon... on fait avec ce qu'on a quand on grandit derrière le Rideau de fer.

Le Robotron Z9001, ordinateur est-allemand sur lequel FX a fait ses premières armes (Wikimedia Commons)

Et puis le Mur tombe.

En novembre 1989, FX a 12 ans et dans les décombres institutionnels de l'Allemagne de l'Est, il découvre un truc improbable : un club informatique rattaché à l'Organisation des Pionniers Ernst Thälmann, le mouvement de jeunesse du régime est-allemand (dissous quelques mois plus tard). C'est là qu'il croise ses premiers hackers, des gamins comme lui, curieux, qui bidouillent sur du matériel en voie de disparition.

Faut dire que Berlin dans les années 90, c'est un sacré terrain de jeu. Le Chaos Computer Club est déjà une institution, les loyers sont bas, l'énergie est dingue. Du coup, FX baigne là dedans tel un enfant de la Réunification, en quelque sorte.

Et c'est au tournant des années 2000, qu'il fonde Phenoelit, un groupe de recherche en sécurité basé à Berlin. Leur spécialité ? Les trucs que personne ne pense à auditer, parce que tout le monde part du principe que c'est sécurisé. Routeurs Cisco, imprimantes HP, systèmes SAP, BlackBerry RIM... tout y passe. Phenoelit, c'est de la recherche bas niveau et du reverse engineering pur et dur.

FX publie alors des outils qui deviennent des classiques. cd00r.c d'abord, une backdoor furtive qui n'ouvre AUCUN port en écoute. Le concept est trop fort puisque la machine écoute discrètement tout le trafic réseau qui passe et ne déclenche un /bin/sh que si elle voit passer un paquet "magique" porteur d'une signature codée en dur. Pas de port ouvert, pas de service à scanner, mais juste un guetteur silencieux qui réagit au bon mot de passe. Le concept inspirera plus tard le port knocking grand public.

Ensuite IRPAS (Internetwork Routing Protocol Attack Suite), un kit complet pour tester les protocoles de routage réseau. CDP, IRDP, HSRP... ces langages que les routeurs utilisent pour se causer entre eux et que personne n'avait sérieusement attaqués avant lui. Tellement utile que la suite finit intégrée dans Debian et Kali Linux. Et puis Ultima Ratio, un exploit remote code execution (RCE) pour Cisco IOS, présenté à la DEFCON.

FX avait un vrai don pour trouver les failles là où personne ne regardait.

Mais l'outil le plus connu du grand public, c'est la Default Password List. Une base de données des mots de passe par défaut de la quasi-totalité des équipements réseau du marché. Routeurs, switchs, imprimantes, caméras... pratiquement tous les pentesteurs de la planète l'ont utilisée au moins une fois. Elle a même fini dans SecLists, la bible du domaine.

Mais FX ne se contentait pas d'attaquer.

En 2010, il développe Blitzableiter (littéralement "paratonnerre" en allemand), un outil anti-exploitation Flash. En gros, ça analyse et reconstruit les fichiers .swf pour neutraliser les malwares, sans se baser sur des signatures CVE. Lors de sa démo à Black Hat USA et DEFCON 18, il balance alors 20 malwares Flash en live et 20 sur 20 bloqués. A une époque où Flash était LE vecteur d'attaque sur le web, c'était du lourd.

Quelque part avant 2007, FX lance Recurity Labs à Berlin. Audit de code C/C++, ingénierie inverse ARM et x86, architecture sécurisée... Il est rejoint par 12 consultants, chacun avec au moins dix ans d'expérience. Pas de marketing flashy, pas de bullshit corporate mais du boulot bien technique, et c'est tout.

FX décroche même un titre de Technicien Informatique Agréé et une certification CISSP, mais bon... c'est pas vraiment pour les diplômes qu'on le connaissait. C'était plutôt pour sa capacité à démonter n'importe quel système et expliquer clairement ce qui merdait dedans.

À partir de 2001, il enchaîne alors les conférences. DEFCON 9, puis 10, 11, 12, 14, 16, 17, 18... Black Hat USA, Abu Dhabi, HITB en Malaisie, PacSec, CanSecWest, Hashdays. Bref, chaque année un nouveau sujet, un nouveau système disséqué. En 2008, c'est le BlackBerry et en 2011, c'est Stuxnet et les systèmes industriels. Il n'est jamais à court de cibles.

Nous sommes maintenant le 11 octobre 2012, à Hack in the Box, Kuala Lumpur. Il y fait une chaleur étouffante, et les hackers du monde entier sont entassés dans l'InterContinental pour une conf qui attire le genre de types qui ne peuvent pas présenter leurs travaux ailleurs (car certains risquent l'extradition).

FX monte alors sur scène avec son sujet : "Hacking Huawei VRP".

VRP, c'est Versatile Routing Platform, le firmware des routeurs Huawei AR et NE. En gros, l'équivalent de Cisco IOS 12.x côté chinois et FX l'a bien sûr totalement disséqué.

Ce qu'il montre alors est accablant. Les routeurs Huawei utilisent des mots de passe statiques par défaut et un seul équipement compromis donne accès à TOUT le réseau. Y'a de quoi s'arracher les cheveux. Ce qu'il dit lors de sa conf résume tout : "Je ne sais pas s'il y a des backdoors, mais ça n'a aucune importance vu le nombre de vulnérabilités."

Et la réaction de Huawei ?

Hé bien pour une fois, plutôt correcte. John Suffolk, leur chef cybersécurité mondial, envoie une équipe d'ingénieurs rencontrer FX directement. Le géant chinois renforce alors son Product Security Incident Response Team (PSIRT, qui existait depuis 2005 mais restait peu visible) et publie des procédures de contact lisibles pour les chercheurs externes. FX racontera plus tard qu'ils ont tenu parole. C'est sa présentation qui a recalibré les pratiques de sécurité d'un des plus gros équipementiers télécoms de la planète.

Puis le 29 décembre 2013, 23h15, Saal 1 du 30e Chaos Communication Congress à Hambourg, FX est dans son élément et cette fois son sujet c'est "CounterStrike: Lawful Interception".

Le 30e Chaos Communication Congress, Hambourg, décembre 2013 (Wikimedia Commons)

L'interception légale, c'est cette fonctionnalité imposée aux fournisseurs d'accès Internet pour permettre la surveillance judiciaire. En clair... une backdoor officielle implantée dans les routeurs. Alors lors de sa conf, FX démontre que ce mécanisme viole le principe fondamental d'un routeur, à savoir transférer les paquets sans fouiller dans leur contenu, et crée ainsi une surface d'attaque massive.

Sa conclusion c'est que contourner la surveillance légale, c'est aussi facile que de tromper un antivirus. Pour lui, les backdoors "légales" ne protègent personne et fragilisent tout le monde. On est 6 mois après les révélations Snowden, et ce que FX démontre techniquement donne encore plus de poids au débat.

Snowden avait sorti les documents. FX en explique la mécanique.

Dans une interview au magazine Ethik und Militär en 2014, FX livrait surtout des opinions tranchées. Il est favorable aux capacités offensives étatiques comme complément aux défenses, mais également hyper critique du manque de responsabilité des éditeurs de logiciels, et pessimiste sur la place de l'Allemagne dans le secteur informatique. C'est pas le genre à tourner autour du pot.

Ceux qui l'ont côtoyé se souviennent également des soirées tardives, après les talks. À l'Alexis Park de Las Vegas, dans les bars de Kuala Lumpur, ou dans les clubs de Berlin, FX était de ceux qui restaient jusqu'au bout.

En 2007, il co-écrit "The Shellcoder's Handbook: Discovering and Exploiting Security Holes" avec Chris Anley, John Heasman et Gerardo Richarte. Un bouquin devenu référence pour quiconque s'intéresse à l'exploitation de vulnérabilités. Dans le milieu, c'est un classique.

Et en 2017, ses pairs lui décernent le Pwnie Award for Lifetime Achievement à la Black Hat de Las Vegas. Les Pwnie Awards, c'est un peu les Oscars du hacking, attribués par un jury de pointures (Travis Goodspeed, Charlie Miller, Katie Moussouris...). Recevoir le Lifetime Achievement, c'est la reconnaissance ultime de la communauté... Du beau monde, pour un prix super mérité.

Puis le 2 mars 2026, Nico Lindner et l'équipe de Recurity Labs publient un court message sur recurity-labs.com : "With heavy hearts, we announce that Felix 'FX' Lindner, a cherished friend, and the founder and owner of Recurity Labs, passed away on 2026-03-01."

FX nous a quittés.

Les hommages affluent alors immédiatement. Daniel Cuthbert, figure historique de l'infosec, écrit sur X : "Everyone today is a hacker in a sense but there are very few OG hackers on which shoulders we stand. Oh dude, Felix 'FX' Lindner you were so much a hackers hacker and you will be missed. RIP my friend and thank you."

Andrea Barisani, Federico Kirschbaum, des dizaines d'autres... Tous disent la même chose. FX était un vrai, quoi. Pas un influenceur sécu sur LinkedIn, pas un conférencier professionnel qui récite des slides. Mais un vrai type qui comprenait les systèmes en profondeur et qui partageait ce qu'il savait.

Felix "FX" Lindner laisse derrière lui des outils que les pentesteurs connaissent et utilisent encore, un livre que les étudiants en sécu continuent de lire, et une boîte qui continue de tourner...

Source | Wikipedia

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !

Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !

Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !

L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…

Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.

La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.

Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !

Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.

BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !

Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.

RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !

Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !

Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :

• Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
• Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
• Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
• Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
• Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce

Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !

Les techniques d’attaque de Chaos sont d’un autre niveau :

• Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
• Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
• Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
• Double extorsion : vol des données avant chiffrement pour faire pression
• Triple extorsion : DDoS sur le site de la victime si elle refuse de payer

Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !

Le chatbot est programmé pour :

• Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
• Augmenter la pression toutes les 24h avec menaces de publication
• Proposer des “réductions” si paiement rapide (technique de vente classique)
• Menacer de contacter les clients/partenaires de la victime
• Publier automatiquement 10% des données volées si pas de réponse après 72h

Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.

Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.

L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :

• Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
• Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
• Frais légaux et de notification : 450 000 dollars minimum
• Augmentation des primes d’assurance cyber : x3 après une attaque
• Coût de reconstruction from scratch : souvent plus cher que la rançon

Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !

SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.

Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.

Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.

Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :

• Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
• Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
• Formation du personnel : 91% des attaques commencent par un email de phishing
• Segmentation réseau : limiter la propagation latérale
• Plans de réponse aux incidents : testés régulièrement avec des simulations
• Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”

Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !

On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…

Sources : ICE - Operation Checkmate Takedown, BleepingComputer - Royal and BlackSuit Impact, Cisco Talos - Chaos Ransomware Analysis, SOCRadar - RAMP Forum Analysis, SC Media - Operation Checkmate, TechCrunch - CISA/FBI Advisory

Bon, là je vais pas y aller par quatre chemins : si vous avez installé certains packages sur l’AUR (Arch User Repository) ces derniers jours, vous avez peut-être un RAT (Remote Access Trojan) qui squatte tranquille sur votre machine sous Arch Linux. Et croyez-moi, c’est pas le genre de colocataire que vous voulez garder.

Le 16 juillet 2025 dernier, un utilisateur répondant au doux nom de “danikpapas” (compte maintenant banni, évidemment) a réussi à publier des malwares sur l’AUR. Ces saloperies sont restées en ligne pendant environ 48 heures avant que l’équipe de l’AUR ne s’en rende compte et vire tout ce bordel.

Les packages vérolés en question sont : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. C’est vicieux car ces noms imitent volontairement les vrais packages légitimes (librewolf-bin, firefox-bin et zen-browser-bin) en ajoutant des mots comme “fix” ou “patched” qui donnent l’impression que c’est une version améliorée ou corrigée.

Faut reconnaître que le mec était pas con dans son approche car qui n’a jamais vu un package avec “fix” ou “patched” et s’est dit “ah tiens, ça doit être mieux que la version normale” ? C’est exactement sur ce réflexe qu’il a joué, le fourbe.

Mais attendez, c’est pas fini puisque 3 autres packages suspects ont aussi été dégagés : minecraft-cracked (là c’est clair, ça cible les gamins qui veulent jouer gratos), ttf-ms-fonts-all (qui fait croire que le package normal ttf-ms-fonts ne contient pas toutes les polices) et vesktop-bin-patched (Vesktop étant un client Discord populaire).

Le truc vraiment moche, c’est que ces packages installaient tous le même malware : Chaos RAT. Pour ceux qui ne connaissent pas, un RAT c’est un Remote Access Trojan, en gros un logiciel qui donne le contrôle total de votre machine à quelqu’un d’autre. Surveillance, installation d’autres malwares, vol de données… c’est open bar pour l’attaquant.

Et bien chaque package contenait dans son PKGBUILD une entrée “patches” qui pointait vers un dépôt GitHub contrôlé par l’attaquant (github.com/danikpapas/zenbrowser-patch.git, maintenant supprimé bien sûr) et au lieu d’appliquer de vrais patches, ce dépôt exécutait du code malveillant pendant l’installation.

Ce qui est dingue dans cette histoire, c’est que personne n’a rien vu pendant 2 jours. Les packages avaient même récolté 8 / 9 votes positifs ! C’est finalement grâce à Reddit que l’alerte a été donnée car un compte Reddit dormant depuis 3 ans (probablement compromis ou racheté) a commencé à faire la promo de ces packages sur r/archlinux avec un post intitulé “The AUR is awesome”.

Grave erreur stratégique du pirate pusique la communauté Arch sur Reddit, c’est pas des tendres. Ils ont direct flairé l’embrouille et ont commencé à creuser. Un utilisateur a balancé le package sur VirusTotal et boom : 32 antivirus sur 70 ont détecté le malware. Pas vraiment ce qu’on appelle un faux positif, hein.

Voilà, donc si vous avez installé un de ces packages, voici ce qu’il faut faire illico :

1. Supprimez le package immédiatement avec pacman -R nom-du-package
2. Cherchez un processus qui s’appelle systemd-initd (c’est le RAT qui se planque)
3. Si vous le trouvez, tuez-le et envisagez sérieusement une réinstallation complète.

Alors je vous vois venir : “Mais Korben, ça veut dire que l’AUR c’est dangereux et qu’il faut plus l’utiliser ?” Mais nooon, calmons-nous deux secondes mes amis.

L’AUR a toujours été ce qu’il est à savoir un dépôt communautaire avec très peu de modération. C’est un peu comme GitHub mais pour les packages Arch. Dans 99,9% des cas, tout va bien, mais oui, parfois des conneries comme ça peuvent arriver et c’est pas la première fois (en 2018 y’avait déjà eu un cas similaire).

Donc pour vous protéger à l’avenir, quelques conseils plein de bon sens :

• Vérifiez toujours la page du package sur l’AUR avant d’installer
• Regardez les commentaires, les votes, depuis quand le package existe
• Méfiez-vous des packages tout neufs avec des noms chelous
• Si possible, jetez un œil au PKGBUILD pour voir ce qu’il fait
• En cas de doute, demandez sur les forums ou le Discord Arch Linux

Ce qui me fait chier dans cette histoire, c’est surtout la communication pourrie autour de l’incident car l’alerte officielle a uniquement été postée sur la mailing list de l’AUR. C’est tout… Et comme personne ne lit encore les mailing lists en 2025 et bien le post a récolté royalement 2 upvotes et a probablement été vu par 20 pelés et 3 tondus. Heureusement que le Discord communautaire d’Arch a relayé l’info, sinon on serait encore dans le brouillard.

Bref, pour finir sur une note positive, énorme respect à tous ceux qui ont détecté et signalé ces packages. C’est grâce à eux que l’attaque n’a duré “que” 48 heures, sinon on aurait probablement encore des gens qui installeraient ces merdes aujourd’hui.

Voilà, comme toujours avec les trucs communautaires, faut garder son cerveau allumé et si vous voyez un truc louche, signalez-le ! Même si vous n’êtes pas sûr à 100%, mieux vaut un faux positif qu’un vrai malware qui tourne pendant des semaines.

Vous savez ce qui est encore plus classe qu’un hacker à capuche dans sa cave ? Et bien c’est certainement quand un groupe de hackers allemands décide dans les années 80 de faire trembler les gouvernements, de défier le KGB et d’inventer au passage la moitié des techniques de cybersécurité qu’on utilise encore aujourd’hui.

Bienvenue dans l’univers du Chaos Computer Club, une organisation incroyable qui a façonné notre monde numérique moderne.