Bon, je sais que quand on parle de l’affaire Kevin Mitnick, y’a toujours deux camps qui s’écharpent. Mais, l’histoire de Tsutomu Shimomura, c’est du grand cinéma. Noël 1994, le physicien rentre tranquillement chez lui à Solana Beach et là, il découvre que quelqu’un s’est introduit dans son système informatique. Et pas via une effraction physique classique, non, mais par les “tubes cathodiques” (oui, je vous explique le délire après…lol). Et le type a même laissé un message sur son répondeur pour le narguer. Une erreur fatale quand on s’attaque à un chasseur de hackers.

Tsutomu Shimomura, c’est pas n’importe qui dans le game. Il est le fils d’Osamu Shimomura, LE Shimomura qui a décroché le Prix Nobel de chimie en 2008 pour ses travaux sur la protéine fluorescente verte des méduses. C’est ce truc vert fluo qui permet aujourd’hui aux chercheurs de visualiser les cellules vivantes en temps réel. Bref, le fiston a grandi dans un environnement où l’excellence scientifique, c’était la base. Sauf que contrairement à papa qui étudiait les méduses bioluminescentes (il en a pêché 850 000 quand même !), lui décide de chasser les prédateurs numériques.

Et c’est grâce à ses techniques de traque high-tech avec triangulation cellulaire et analyse de fréquences que Kevin Mitnick, le hacker le plus recherché d’Amérique à l’époque, se retrouve derrière les barreaux le 15 février 1995 à 1h30 du matin précisément.

Mais attention, comme toujours l’histoire est bien plus complexe qu’elle n’y paraît.

Né en 1964 à Kyoto, Tsutomu montre déjà des signes de rébellion dès le lycée. Le gamin se fait carrément expulser de Princeton High School pour “attitude anticonformiste”. Il faisait partie d’un groupe d’étudiants qui n’acceptaient pas l’autorité établie et pourtant, gagnait des concours locaux de maths et sciences. Ça vous rappelle quelque chose ? Génie + caractère de cochon = futur expert en sécurité informatique.

Ensuite, direction Caltech où il va étudier sous la direction de Richard Feynman. Oui, LE Feynman, Prix Nobel de physique et légende vivante. Franchement, avoir ce type comme prof, ça doit marquer à vie. Feynman était connu pour ses méthodes d’enseignement peu orthodoxes et sa capacité à simplifier les concepts les plus complexes. Parfait donc pour former un futur chasseur de hackers qui devra expliquer des trucs techniques aux agents du FBI.

Richard Feynman

Après Caltech, Shimomura file à Los Alamos National Laboratory. Là, il travaille avec Brosl Hasslacher sur les automates de gaz sur réseau (lattice gas automata pour les intimes). En gros, ils simulent l’écoulement des fluides avec des méthodes de calcul parallèle massif. Pourquoi je vous parle de ça ? Parce que cette expertise va directement lui servir plus tard. Quand vous maîtrisez les systèmes parallèles et les algorithmes complexes, traquer des hackers devient presque un jeu d’enfant.

En 1989, Shimomura rejoint le San Diego Supercomputer Center comme Senior Fellow. Officiellement, il fait de la recherche en physique computationnelle. Officieusement, il commence à faire du consulting pour des agences gouvernementales sur les questions de sécurité. En 1992, il témoigne même devant le Congrès américain sur les failles de sécurité des téléphones cellulaires. Il avait déjà identifié les vulnérabilités que les hackers allaient exploiter. Le type était en avance sur son temps.

Maintenant, accrochez-vous parce que l’histoire devient vraiment “juteuse”. Le 25 décembre 1994, pendant que tout le monde déballe ses cadeaux de Noël, Kevin Mitnick décide de s’attaquer au système personnel de Shimomura. Pourquoi lui ? Probablement parce que Shimomura avait des fichiers ultra-intéressants sur la sécurité des réseaux et des téléphones cellulaires. C’était du caviar pour un hacker.

Tsutomu Shimomura et Julia Menapace

La technique utilisée ? De l’art ! Mitnick utilise ce qu’on appelle le “source address spoofing” combiné avec la “TCP sequence prediction”. Pour faire simple, il fait croire au système de Shimomura qu’il est un ordinateur de confiance en prédisant les numéros de séquence TCP. C’est comme si quelqu’un se déguisait en facteur pour entrer chez vous, mais en plus compliqué.

Bien sûr, Mitnick ne s’est pas littéralement introduit via un tube cathodique d’écran CRT (ça n’a pas de sens physiquement 😅), mais via une attaque réseau ciblée, exploitant des failles dans le protocole X11 et dans des systèmes SunOS non patchés. L’expression “par les tubes cathodiques” que j’ai employé au début de ce récit vient de la façon dont certains journalistes de l’époque avaient vulgarisé le truc car Mitnick a utilisé une session graphique X11 pour ouvrir une fenêtre à distance sur le poste de Shimomura. Et comme c’était une interface graphique, les médias nous ont pondu l’image du hacker qui passe par l’écran. Et comme à l’époque, un écran = tube cathodique, hop, ça fait pas des chocapics mais une “intrusion par le tube cathodique”.

Mais Mitnick fait une erreur psychologique majeure. Non content d’avoir pénétré le système et volé des centaines de fichiers, il laisse des messages moqueurs sur le répondeur de Shimomura. Des trucs du genre “Votre sécurité, elle est où ?” avec une voix déformée. Breeeef, quand on s’attaque à un expert en sécurité fils d’un Prix Nobel, on évite de le narguer car c’est comme tirer la queue d’un tigre endormi.

Shimomura découvre alors l’intrusion en rentrant de San Francisco. Des centaines de fichiers copiés, des programmes volés, son système compromis. Mais au lieu de simplement changer ses mots de passe et passer à autre chose comme vous et moi, il décide alors de traquer l’intrus. Et là, ça devient technique.

Première étape : Analyser les traces laissées par l’attaque. Shimomura identifie que Mitnick utilise des connexions par modem cellulaire pour masquer sa position. Malin, mais pas suffisant contre un physicien qui a étudié les systèmes de communication et qui a témoigné devant le Congrès sur le sujet.

Deuxième étape : Coopération avec les opérateurs téléphoniques. Shimomura contacte Sprint et d’autres compagnies et avec leur aide, il arrive à tracer les connexions jusqu’à la source. Mais attention, on est en 1995, et les techniques de géolocalisation étaient primitives comparées à aujourd’hui. Y’avait pas de GPS dans tous les téléphones, hein !

Troisième étape : Triangulation radio. Shimomura utilise des techniques de direction finding pour localiser précisément l’émetteur. En gros, avec plusieurs antennes, on peut déterminer la direction d’où vient un signal. Croiser plusieurs directions permet alors de déterminer la position exacte. C’est de la physique pure appliquée à la chasse au hacker.

Shimomura estime qu’il lui a fallu seulement quatre jours de travail intensif pour localiser Mitnick. Le 12 février 1995, il savait déjà où se trouvait Mitnick à un mile près. Le 15 février, il débarque à Raleigh en Caroline du Nord, avec une équipe de techniciens du FBI. Ils utilisent des équipements de surveillance radio pour isoler l’immeuble exact : le Players Court, près de l’aéroport de Raleigh-Durham.

Et pourquoi Raleigh ? Et bien Mitnick expliquera plus tard qu’il adorait le jeu Monopoly et les propriétés vertes, et la Caroline du Nord, c’est les propriétés vertes sur le plateau américain. Le type avait aussi 44 demandes d’emploi dans son appart et un bouquin “The 100 Best Companies to Work for in America”. Il voulait se ranger, apparemment.

À 1h30 du matin, le FBI frappe à la porte. Mitnick se fait arrêter avec un arsenal numérique impressionnant : des téléphones clonés et de multiples fausses identités. C’est game over. Il sera condamné à presque 6 ans de prison, dont une grande partie en isolement parce que le juge avait peur qu’il pirate le téléphone de la prison. Hé oui !

Après l’arrestation, Shimomura décide de raconter son histoire. Avec John Markoff, journaliste au New York Times, il publie “Takedown: The Pursuit and Capture of Kevin Mitnick” en 1996. Le livre devient un best-seller et sera adapté au cinéma sous le titre “Operation Takedown” en 2000 avec Skeet Ulrich dans le rôle de Mitnick.

Sauf que voilà, tout le monde n’est pas d’accord avec cette version des faits. Jonathan Littman publie “The Fugitive Game” la même année et accuse carrément Shimomura et Markoff d’avoir fabriqué des éléments pour se faire mousser. Plus tard, Mitnick lui-même riposte avec “Ghost in the Wires” en 2011, où il surnomme Shimomura “Shimmy” avec un ton franchement méprisant.

Kevin Mitnick lors de son arrestation

La vérité ? Elle se trouve probablement quelque part entre les trois versions car Shimomura a certainement contribué à la capture, mais il a peut-être aussi dramatisé son rôle. Mitnick n’était probablement pas le génie du mal qu’il a décrit, mais il était loin d’être innocent avec ses 25 chefs d’accusation de crimes informatiques.

Après sa célébrité soudaine, Shimomura aurait pu capitaliser sur sa notoriété et devenir consultant en cybersécurité comme tout le monde. Mais non, le type prend une direction complètement différente. Il rejoint Sun Microsystems à la fin des années 90, puis fonde sa propre boîte : Neofocal Systems.

Neofocal, c’est pas de la cybersécurité. C’est de la technologie LED intelligente ! Shimomura développe des puces pour contrôler des réseaux de LED individuellement adressables. En gros, vous pouvez contrôler chaque LED séparément avec un seul câble pour l’alimentation et des données. En 2015, Neofocal lève 9 millions de dollars. Pas mal pour un pivot aussi radical.

L’affaire Shimomura-Mitnick soulève des questions qui résonnent encore aujourd’hui. Jusqu’où peut aller un civil dans une enquête criminelle ? Les méthodes de Shimomura, acceptables en 1995, seraient probablement problématiques aujourd’hui. Traquer quelqu’un avec des équipements de surveillance radio sans mandat, c’est limite. Mais d’un autre côté, les méthodes traditionnelles d’investigation étaient totalement inadaptées face aux nouveaux crimes numériques.

Alors 30 ans après, qu’est-ce qui reste de cette histoire ? Et bien Shimomura a prouvé que la science théorique peut être une arme redoutable en cybersécurité. Il a démontré l’importance de la coopération entre secteur privé et forces de l’ordre (aujourd’hui c’est la norme) et ses préoccupations de 1992 sur la sécurité des téléphones cellulaires étaient visionnaires !

Kevin Mitnick est décédé le 16 juillet 2023 d’un cancer du pancréas, à 59 ans, mettant fin à l’une des rivalités les plus emblématiques de l’histoire de la cybersécurité. Il était devenu Chief Hacking Officer chez KnowBe4 et consultant en sécurité respecté. Shimomura, lui, continue aujourd’hui d’innover dans le secteur des semiconducteurs. Deux destins différents pour deux figures légendaires du monde du hacking.

À vous de voir maintenant si les méthodes de Shimomura étaient justifiées ou pas mais une chose est sûre : ne narguez jamais un physicien qui connaît les protocoles TCP par cœur !

Sources : Department of Justice - Arrest of Kevin Mitnick (1995), Nobel Prize - Osamu Shimomura Facts, Great Rivalries in Cybersecurity: Tsutomu Shimomura vs. Kevin Mitnick, WRAL - Kevin Mitnick reflects on Raleigh arrest, Wikipedia - Kevin Mitnick, CNN - Kevin Mitnick obituary (2023)

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !

Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !

Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !

L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…

Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.

La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.

Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !

Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.

BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !

Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.

RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !

Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !

Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :

• Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
• Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
• Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
• Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
• Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce

Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !

Les techniques d’attaque de Chaos sont d’un autre niveau :

• Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
• Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
• Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
• Double extorsion : vol des données avant chiffrement pour faire pression
• Triple extorsion : DDoS sur le site de la victime si elle refuse de payer

Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !

Le chatbot est programmé pour :

• Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
• Augmenter la pression toutes les 24h avec menaces de publication
• Proposer des “réductions” si paiement rapide (technique de vente classique)
• Menacer de contacter les clients/partenaires de la victime
• Publier automatiquement 10% des données volées si pas de réponse après 72h

Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.

Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.

L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :

• Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
• Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
• Frais légaux et de notification : 450 000 dollars minimum
• Augmentation des primes d’assurance cyber : x3 après une attaque
• Coût de reconstruction from scratch : souvent plus cher que la rançon

Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !

SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.

Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.

Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.

Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :

• Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
• Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
• Formation du personnel : 91% des attaques commencent par un email de phishing
• Segmentation réseau : limiter la propagation latérale
• Plans de réponse aux incidents : testés régulièrement avec des simulations
• Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”

Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !

On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…

Sources : ICE - Operation Checkmate Takedown, BleepingComputer - Royal and BlackSuit Impact, Cisco Talos - Chaos Ransomware Analysis, SOCRadar - RAMP Forum Analysis, SC Media - Operation Checkmate, TechCrunch - CISA/FBI Advisory

Lorsqu'une arnaque prend la forme d’un visage familier, il est fort probable que vous baissiez la garde et soyez le prochain sur la liste. Avec cet article, apprenez à identifier si un malfaiteur a pris le contrôle du compte d’un ami.

Si vous êtes du genre à penser que derrière les cyberattaques, c’est juste des Tanguy qui volent des mots de passe, j’ai une histoire qui va vous retourner le cerveau.

Le 24 novembre 2014, Sony Pictures s’est fait défoncer la tronche comme jamais à cause d’une comédie pourrave avec Seth Rogen qui voulait buter Kim Jong-un. Et je vous explique aujourd’hui pourquoi c’est l’un des hacks les plus dingues de l’histoire.

12 noms. 12 officiers russes formellement identifiés et inculpés pour avoir piraté la démocratie occidentale. Pas des pseudos, pas des avatars, non, non, non, leurs vrais noms, leurs grades et leurs unités militaires. Viktor Netyksho, Boris Antonov, Dmitriy Badin… Une liste qui ressemble à un générique de film d’espionnage, sauf que ces types ont vraiment existé et ont vraiment foutu le bordel dans les élections américaines.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Dans notre histoire du jour, il y 6 ados, 1 botnet de 24 millions de PC zombies, 50 jours de chaos absolu, et 1 balance qui va tout faire foirer. Oui, on va parler de LulzSec, le Ocean’s Eleven version cave de banlieue, qui au lieu de braquer Las Vegas, ont décidé de ridiculiser Sony, la CIA et le Sénat américain, le tout équipés des mêmes outils qu’un script kiddie de 2005.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Si vous pensiez que chercher des preuves d’extraterrestres sur Google c’était déjà chelou, attendez de voir ce que Gary McKinnon a fait ! Ce mec de 35 ans a tout simplement décidé de s’inviter sur les serveurs de la NASA et du Pentagone pour vérifier par lui-même si les petits hommes verts existaient. Et devinez quoi ? Il a trouvé un fichier Excel intitulé “Non-Terrestrial Officers”… du coup, soit la NASA gère une flotte spatiale secrète, soit quelqu’un a un sens de l’humour cosmique !

Vous savez ce qui est encore plus classe qu’un hacker à capuche dans sa cave ? Et bien c’est certainement quand un groupe de hackers allemands décide dans les années 80 de faire trembler les gouvernements, de défier le KGB et d’inventer au passage la moitié des techniques de cybersécurité qu’on utilise encore aujourd’hui.

Bienvenue dans l’univers du Chaos Computer Club, une organisation incroyable qui a façonné notre monde numérique moderne.

Si vous utilisez Claude Code, le nouvel assistant de programmation d’Anthropic qui vit directement dans votre terminal, vous allez kiffer ce que je vais vous montrer aujourd’hui. Y’a un développeur nommé Anton Knoery (NomenAK sur GitHub) qui vient de sortir SuperClaude, un framework de configuration qui transforme Claude Code en véritable machine de guerre pour les développeurs.

Attention, ce n’est pas encore un outil avec 150 dépendances Node.js à la con qui va foutre le bordel dans votre système. Non non, SuperClaude c’est de la pure configuration, zéro code, zéro dépendance externe. Le truc s’installe tranquillement dans votre dossier ~/.claude/ et améliore discrètement les capacités de Claude Code dans tous vos projets.

Vous savez ce moment où vous réalisez que votre patron lit vos emails ? Et bien pensez un instant votre patron c’est la NSA et qu’il lit TOUS les emails de la planète. Et bien c’est exactement ce qu’Edward Snowden a découvert en 2013, et contrairement à vous, il a pas juste changé de mot de passe. Il a balancé 1,7 million de documents classifiés et foutu le méga bordel dans tout l’appareil de renseignement américain !

Une IA qui deviendrait meilleure que les meilleurs hackers éthiques de la planète, ce n’est plus de la science-fiction, c’est ce qui vient de se passer vraiment avec XBOW, une intelligence artificielle qui a littéralement explosé le classement mondial du bug bounty. Pour la première fois dans l’histoire, un robot a atteint la première place du leaderboard américain de HackerOne, la seconde plateforme de référence du bug bounty après YesWeHack évidemment ^^.

Imaginez un mec capable de lancer une guerre nucléaire en sifflant dans un téléphone public ? Non, je ne vous parle pas d’un super-vilain de James Bond, mais bien de Kevin Mitnick selon… le FBI américain. Bienvenue dans les années 90, où les juges prenaient au sérieux l’idée qu’un hacker puisse pirater le NORAD à coups de sifflets. Du délire j’vous dis ! Et pourtant, cette absurdité n’est qu’un aperçu de la légende urbaine qu’est devenu Kevin David Mitnick, probablement le hacker le plus fascinant et mal compris de l’histoire de l’informatique.

Vous pensez à l’avenir ? Moi tout le temps ! Je me dis qu’on n’est pas au bout de nos suprise… Peut-être qu’en 2030, notre grille-pain participera à une attaque de 50 Tb/s contre Netflix ou que notre frigo connecté sera en train de DDoS la NASA pendant qu’on est parti chercher du lait. On n’en sait rien, mais ce qui est sûr c’est que pendant que l’humanité sera en train de découvrir que les IA se battent vraiment en secret depuis des années à coups de pétaoctets, nous on sera toujours en train de galérer avec la 4G dans le métro.

Et si vous consacriez quelques minutes à sécuriser votre compte de musique en ligne dès aujourd'hui pour vous éviter des ennuis demain ?

Si vous aimez faire un peu de reverse engineering, et que souvent, vous galérez à déchiffrer du code assembleur qui ressemble à des hiéroglyphes, alors voici un outil qui devrait vous plaire. Développé par les frenchies Louis Gauthier et Clément Florval, DecompAI transforme vos sessions d’analyse de binaires en conversations parfaitement naturelles pour décortiquer vos binaires.

Avec DecompAI, c’est terminé le jonglage permanent entre différents outils tels que Ghidra pour décompiler, GDB pour débugger, objdump pour désassembler, ou radare2 pour analyser. Cette fragmentation vous oblige à maintenir mentalement le contexte entre les applications, ça ralentit votre workflow et ça multiplie les risques d’erreur. Du coup, cette approche conversationnelle a son intérêt car au lieu de mémoriser des dizaines de commandes cryptiques, vous décrivez simplement vos besoins en langage naturel du genre : “Décompile-moi la fonction main”, “Montre-moi les strings intéressantes” ou “Analyse cette fonction suspecte”. L’agent DecompAI orchestre alors automatiquement les bons outils avec les paramètres appropriés.

Aaaah si seulement on avait des stagiaires en cybersécurité capable de lire 100 000 lignes de code en quelques secondes et de repérer des indices que même les experts ratent.

Et bien c’est exactement ce que o3 d’OpenAI vient de faire en découvrant la CVE-2025-37899, une vulnérabilité critique dans le noyau Linux que personne n’avait encore vue. Et d’après son auteur, cette découverte, c’est une première mondiale car jamais auparavant une IA n’avait trouvé une vulnérabilité zero-day de cette complexité dans un composant aussi critique.

L'industrie du jeu vidéo, avec ses revenus colossaux, attire de plus en plus les cybercriminels.

Si vous faites partie des 97% de dev à grosses lunettes qui utilisent des assistants IA comme GitHub Copilot, Windsurf ou Cursor, ce que vous allez lire va probablement flinguer votre journée…

Et oui parce que si vous pensiez que votre assistant IA préféré était votre meilleur atout pour coder, sachez que des chercheurs en sécurité viennent de découvrir qu’en réalité, tous ces outils pourraient se comporter en cheval de Troie placé directement dans votre IDE. Et le plus flippant c’est que vous ne verriez absolument rien venir, même en scrutant le code ligne par ligne.

Amis hackers, cyber-ninja et autres geeks de tous poils, sortez vos claviers et annulez tous vos rendez-vous car le France Cybersecurity Challenge (FCSC) 2025 commence aujourd’hui même à 14h ! C’est l’occasion ou jamais de prouver que vous êtes le Neo de la cybersécurité française et attention, ce n’est pas juste un CTF de plus, c’est carrement le championnat national qui peut propulser votre carrière ou simplement vous offrir le frisson de défier les meilleurs.