J’aime bien les bruits blancs pour me concentrer ou taper une petite sieste dans un endroit pas adapté pour ça :). Mon préféré c’est tout ce qui est bruit de cabine d’avion de ligne et je sais que d’autres préfèrent les effets genre feu qui crépite, bruit de la pluie…etc. Y’a des playlists entières de ça sur Spotify et même des applications même si en général elles sont un peu nazes.

Ces apps, ça démarre toujours avec une version gratuite limitée à 5 minutes, puis un vieux paywall pour débloquer les sons, et une notification tous les soirs à 22h pour vous rappeler de méditer. Sans parler des pubs qui cassent l’ambiance toutes les 10 minutes. Bref, c’est tellement relou qu’on finit par chercher “bruit de pluie 10 heures” sur YouTube comme un sauvage.

Mais y’en a quand même une qui sort du lot. Elle s’appelle Ambi et elle fait… du bruit. De la pluie, des vagues, des oiseaux, du bruit brun…etc. Y’a pas de coach virtuel à la con, pas de communauté à rejoindre, pas d’abonnement à payer… Elle fait juste du bruit et ça c’est cool car c’est plutôt rare de nos jours.

L’app fonctionne 100% offline. Tous les sons sont embarqués, et vous pouvez mixer plusieurs sons ensemble avec des volumes individuels pour chaque piste. Genre pluie + vagues + oiseaux si vous voulez recréer une plage tropicale sous l’orage. Vous avez aussi un timer qui va de 5 minutes à 10 heures, ou infini si vous voulez juste laisser tourner toute la nuit.

Puis comme c’est gratuit et sans tracker pourquoi s’en priver ?

Vous pouvez la télécharger ici sur l’ App Store .

Source

Vous avez une caméra de surveillance connectée chez vous ? Du genre petite caméra Yi à 15 balles achetée sur AliExpress pour surveiller le salon ou le chat quand vous n’êtes pas là ? Alors tenez-vous bien parce qu’un chercheur a réussi à faire tourner DOOM dessus. Et sans toucher au firmware s’il vous plait ! Il a juste exploité le stream vidéo et quelques bugs bien sentis de l’appareil.

Luke M a publié son projet Yihaw sur GitHub et ça fait un peu peur car si quelqu’un peut hijacker le stream de votre caméra pour y balancer un FPS des années 90, il peut aussi faire pas mal d’autres trucs beaucoup moins rigolos.

Le hack est assez cool d’ailleurs car ces caméras Yi tournent sur un petit processeur ARM sous Linux. Elles ont donc une app mobile qui vous permet de voir le stream en temps réel et Luke M a trouvé plusieurs vulnérabilités dans la stack réseau de la caméra. Je vous passe les détails mais avec ces bugs, il peut injecter du code arbitraire sans modifier le firmware.

Il peut alors créer trois threads qui tournent en parallèle. Le premier récupère les frames YUV420p directement depuis le capteur de la caméra. Le deuxième convertit ça en h264. Le troisième, au lieu d’envoyer le flux vidéo normal, envoie DOOM. Du coup, vous ouvrez l’app Yi IoT sur votre smartphone et vous voyez le Doomguy buter des demons au lieu de voir votre salon. C’est rigolo, hein ?

Ces caméras Yi, il y en a des millions installées partout dans le monde. Bureaux, maisons, magasins…etc car elles sont pas chères, elles marchent plutôt bien, elles ont une app correcte, mais leur sécurité c’est une vraie passoire. C’est bourré de bugs qu’on trouve en une après-midi avec un fuzzer basique.

Luke M liste plusieurs exploits dans son repo GitHub et c’est un vrai buffet à volonté pour quelqu’un qui veut prendre le contrôle de ces caméras. Bien sûr ce serait illégal alors personne ne le fait, surtout parce que ça demande quand même un peu de boulot pour chaque modèle de caméra. Mais les outils existent, les vulnérabilités sont connues, et si un chercheur solo peut le faire pour s’amuser avec DOOM, imaginez ce qu’un botnet bien pensé pourrait faire.

Tous ces trucs qu’on a chez nous, qui tournent sur du Linux embarqué avec des stacks réseau écrites à l’arrache par des équipes chinoises sous-payées qui doivent sortir un produit tous les trois mois.

C’est beau non ?

Source (c’est du PDF)

Voici l’histoire de Pixelmelt, un développeur qui voulait simplement sauvegarder en local un ebook acheté sur Amazon pour le lire avec une autre app parce que l’app Kindle d’Android a crashé une fois de trop à son goût.

Mais c’est impossible. Pas de bouton download, pas d’export, que dalle… Même si vous avez acheté le livre, c’est Amazon qui décide de comment et de quand vous pouvez le lire.

Bref, frustré, il se tourne alors vers le Kindle Cloud Reader, la version web de l’app. Et là, il découvre un truc incroyable ! Amazon a créé un système d’obfuscation tellement complexe qu’il ressemble aux techniques de cryptographie des manuscrits anciens. Mais siii, vous savez, ces textes enluminés que seuls les moines pouvaient déchiffrer au Moyen-Âge. Amazon a réinventé le concept en version numérique.

Pour fonctionner, le Kindle Cloud Reader utilise un endpoint de rendu qui nécessite plusieurs tokens d’authentification. Déjà c’est pas simple. Mais ça se corse un peu plus quand on regarde le texte qui s’affiche car ce ne sont pas des lettres ! Ce sont des glyphes, essentiellement des séries de coordonnées qui dessinent une lettre. Ainsi, au lieu de stocker le caractère ‘T’, Amazon stocke “glyphe 24” qui correspond à une forme dessinée via des commandes SVG. Et ces glyphes changent de mapping toutes les 5 pages, un peu comme un codex (coucou Dan Brown ^^) où l’alphabet se transforme à tous les chapitres.

Du coup, pour son livre de 920 pages, il a fallu faire 184 requêtes API distinctes. Chaque requête récupère un nouveau jeu de glyphes soit au total 361 glyphes uniques découverts, et 1 051 745 glyphes à décoder. Oui, ça fait plus d’un million de symboles à traduire pour lire un seul livre.

Amazon a même ajouté des pièges comme des micro-opérations MoveTo complètement inutiles dans les SVG qui s’affichent parfaitement dans le navigateur mais cassent toute tentative de parsing automatique. C’est de l’anti-scraping placé là volontairement, comme des fausses pistes dans des cryptogrammes médiévaux destinées à tromper les copistes non autorisés.

Face à ce délire, notre développeur est alors devenu malgré lui un crypto-archéologue. Sa méthode a donc été de comparer pixel par pixel chaque caractères, valider chaque hypothèse, pour tout reconstruire patiemment. Je vous passe les détails techniques mais il a sorti chaque glyphe SVG sous la forme d’une image, puis a comparé ces images pour trouver leur correspondance avec les vraies lettres en utilisant un outil (SSIM) qui simule la perception humaine pour évaluer la similarité entre deux images.

Résultat, 100% des glyphes matchés ont un score quasi-parfait ce qui lui a permis de reconstruire un fichier EPUB complet avec le formatage, les styles, les liens internes…etc. Tout y est, c’est trop fort !

Bref, Pixelmelt 1 - Amazon 0 ! Et ça, ça fait plaisir ! Maintenant si vous voulez connaitre tous les détails de ça et refaire la même chez vous (pour rigoler hein, ne vous lancez pas dans dans une opération de piratage massif sinon vous finirez en taule comme Sarko ^^)

Y’a plein de problème avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…

Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.

Sauf pour bien sûr pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.

Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.

Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !

Voici une démo complète de l’attaque en vidéo :

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/camoleak-github-copilot-vulnerability-prompt-injection/camoleak-github-copilot-vulnerability-prompt-injection-1.mp4">lien vers la vidéo</a>.

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

Si vous êtes comme moi, que vous êtes parent et que vous pensez que le contrôle parental de votre box internet protège Junior des méchants sites du web, hé bien j’ai une mauvaise nouvelle. Car pendant que vous réglez minutieusement vos filtres, des ados développent des proxys web tellement sophistiqués que même les admins réseau en sueur n’arrivent plus à suivre.

Prenez Scramjet par exemple… c’est le dernier né de cette course à l’armement, et c’est vraiment bien fichu. Développé par Toshit pendant le Hack Club Summer of Making , Scramjet n’est pas juste un énième proxy pour regarder YouTube en cours de maths. Non non, c’est un véritable système d’interception basé sur JavaScript et WebAssembly qui réécrit le code des sites web à la volée.

Cela signifie que le proxy intercepte littéralement le JavaScript des sites, le modifie en temps réel pour contourner les restrictions, puis vous le sert tout chaud sans blocage. Techniquement, c’est brillant, je trouve.

Scramjet est en réalité le successeur officiel d’ Ultraviolet , un autre proxy que vous avez peut-être croisé si vous traînez dans les forums étudiants, mais celui-ci est désormais considéré comme obsolète. Pour sa part, Scramjet est encore maintenu, beaucoup plus moderne et surtout, son architecture est plus robuste. Il fonctionne déjà avec Google, YouTube, Discord, Reddit et quelques autres site. je l’ai testé avec mon site, ça passe aussi, même si c’est pas encore parfait. En tout cas, ça progresse vite.

Au temps jadis, où j’étais encore étudiant, on utilisait des proxys tout moisis qui affichaient les sites sans style et plantaient à la moindre iframe. Et aujourd’hui, des gamins développent des outils en WebAssembly et utilisent des Service Workers. MercuryWorkshop , le collectif derrière Scramjet, a en tout cas créé un outil technique impressionnant qui rivalise même avec certaines solutions commerciales.

Alors comment ça marche ?

Et bien au lieu de simplement faire du proxy classique (je demande la page pour toi et je te la renvoie), Scramjet intercepte TOUT. Les requêtes JavaScript, les WebSockets, les workers, même les tentatives de détection de proxy. Le code source montre qu’ils utilisent Rust pour compiler en WebAssembly les parties critiques, ce qui donne une performance de furieux. Tout se passe via un mini-navigateur dans votre navigateur qui traduit tout en temps réel pour éviter la détection.

L’installation est ridiculement simple comparée à Ultraviolet. Un pnpm install, un pnpm build, et hop, vous avez votre proxy qui tourne en local. Les développeurs ont même pensé aux noobs avec une UI basique pour tester. Bon, elle est moche, mais c’est pas le but. Le but c’est de bypasser les restrictions, pas de gagner un prix de design. Vous pouvez tester la démo ici !

On a donc des écoles et des entreprises qui dépensent des fortunes en solutions de filtrage web telles que Fortinet, Sophos, tous ces gros machins qui coûtent un bras et promettent de “protéger” les utilisateurs. Et en face, on a des ados brillants qui développent des contre-mesures en quelques mois pendant leurs vacances d’été. C’est beau !

Surtout que ce genre d’outil peut également servir dans des pays où l’information est vraiment censurée.

Bref, Scramjet c’est un super outil, open source, documenté, et accessible à tous et si vous voulez tester (pour la science, évidemment), le code est sur GitHub . Mais attention, l’utiliser pour contourner les règles de votre école ou entreprise, c’est à vos risques et périls.

Moi je vous ai rien dit, je fais juste de la veille tech…

Merci à Lilian pour le partage !

Alors là, j’avoue que l’info m’a fait sourire.

15 groupes de hackers qui annoncent leur retraite en même temps après 72 heures de silence radio, c’est, je crois, du jamais vu dans le milieu. Scattered Spider, ShinyHunters, Lapsus$ et une douzaine d’autres ont publié un manifeste commun sur BreachForums pour dire qu’ils raccrochaient les claviers. Voilà, terminé, ils partent “dans le silence” après avoir, je cite, “atteint leurs objectifs”

Du coup, j’ai envie de vous conter une histoire. Mais pas celle que tout le monde se raconte en ce moment sur cette “retraite”, mais plutôt celle d’une mise en scène qui nous en dit long sur ces artistes du chaos qui ont compris que leur plus grande œuvre, c’était peut-être leur propre légende.

D’après leur communiqué officiel , ils disent en effet avoir passé trois jours à “vérifier leurs plans” et à “passer du temps en famille”. Sérieux ? Qui peut croire ça ? Des cybercriminels endurcis qui synchronisent tous ensemble leurs agendas familiaux pour se faire un week-end détente avant d’annonce qu’ils arrêtent tout le lundi suivant… C’est beau comme récit non ?

Pompompurin, le créateur du forum, a fini par écoper de 3 ans de prison après avoir violé plusieurs fois ses conditions de liberté surveillée , notamment en utilisant un VPN pour accéder à Discord. De la surveillance 24h/24 à la prison ferme, le chemin a été super rapide, et pendant ce temps, ses petits copains montent sur scène pour leur grand final. Un timing parfait… trop parfait même.

En fait, tous ces groupes ont compris qu’à notre époque, la perception compte plus que la réalité. Ils ont quand même revendiqué de grosses attaques contre Jaguar, Google (4 tentatives quand même !), Salesforce et CrowdStrike et évidemment, les experts en sécurité restent sceptiques face à cette annonce de retraite.

Et perso, je pense qu’ils ont raison. ReliaQuest a même détecté une attaque sophistiquée de Scattered Spider sur une banque américaine APRÈS l’annonce de retraite.

Alors, vous y croyez toujours ?

En fait, j’ai l’impression qu’on assiste à la naissance d’un nouveau genre de cybercriminels où les mecs ne se contentent plus de voler des données, mais créent des récits montés de toutes pièces, des mythes. Et ce manifeste, c’est leur œuvre d’art. Ils y parlent de “leçons apprises à Langley” (siège de la CIA), évoquent leurs “millions accumulés” et leurs “golden parachutes”. Ça pue la comédie quand même…

Le plus drôle dans tout ça, c’est qu’ils auraient même prévu le coup des arrestations. Huit personnes sont en taule, dont quatre en France , et dans leur manifeste, ils les appellent “boucs émissaires”. Ils auraient donc volontairement laissé des fausses pistes bien en amont pour protéger les vrais acteurs et laisser des hommes de paille se faire attraper. Vous voyez le niveau de mise en scène ? C’est du Nolan avant l’heure.

Cette “retraite” et cette façon dont elle est scénarisée, c’est surtout, je pense, une stratégie de survie car la pression des autorités monte, les arrestations se multiplient, et annoncer qu’on arrête tout, c’est un bon moyen de calmer le jeu. Puis surtout, ce serait pas la première fois… On a déjà vu ça avec GandCrab en 2019 qui est revenu sous la forme de REvil. Les noms changent mais les personnes restent.

Au final, ce que je retiens de cette annonce, c’est que le cybercrime est devenu un spectacle. Ces groupes ne sont plus juste des criminels, ce sont des influenceurs qui savent jouer avec les médias, les autorités et même leurs propres victimes. Leur vraie force n’est plus seulement technique… elle est également narrative car vous le savez, contrôler le récit, c’est contrôler la réalité.

Alors voilà… quinze groupes de hackers prennent leur “retraite” mais vous le savez aussi bien que moi, même quand le rideau tombe, les acteurs sont toujours derrière, prêts pour attaquer le prochain acte. C’est pour cela que quelque chose me dit qu’on n’a pas fini d’entendre parler d’eux…

Et si je vous disais qu’un mec a réussi à prédire l’avenir avec la précision d’un oracle ? Et pas une vague prédiction à la Nostradamus où on peut interpréter n’importe quoi… Non, non, une vraie prédiction scientifique du style : “Ce truc devrait crasher vers septembre 2025”. Et devinez quoi ? Ça a effectivement crashé.

L’histoire commence en 2023, quand un certain Minki décide de tester une théorie complètement barrée. Le mec lit un article technique sur le moteur de DOOM et remarque un truc bizarre : une variable qui compte les démos du jeu qui s’incrémente en permanence, y compris quand une nouvelle démo commence. Cette variable se compare constamment avec sa valeur précédente, mais elle continue de grimper, encore et encore, jusqu’à… jusqu’à quoi exactement ?

Bah justement, c’est là que ça devient intéressant car Minki sort sa calculatrice et commence à faire ses petits calculs. Il sait que selon la documentation technique de DOOM , le moteur utilise des integers 16 bits pour optimiser les performances. Traduction pour les non-geeks : les nombres ont une limite, et quand on la dépasse, c’est le drame ! Un peu comme quand vous essayez de rentrer votre gros cul dans un ascenseur bondé. Sauf qu’ici, au lieu d’un ascenseur bloqué, on a un jeu qui explose.

Donc notre ami fait ses calculs et arrive à cette conclusion : DOOM devrait crasher après environ 2 ans et demi de fonctionnement continu. Et franchement, qui penserait à vérifier un truc pareil ? La plupart d’entre nous, on lance DOOM pour se défouler 30 minutes et on passe à autre chose. Mais minki, lui, il voit plus loin.

Alors il fait quoi ? Il prend un vieux PDA (si si, ces trucs qu’on utilisait avant les smartphones), il bricole une alimentation avec des batteries 18650 et un chargeur USB branché sur son routeur, et il lance DOOM. Puis il attend. Deux ans et demi. Pour de vrai.

Pendant ce temps, vous et moi, on a changé trois fois de téléphone, bingé 47 séries Netflix, survécu à François Bayrou, vu l’IA devenir mainstream… Et Minki ? Bah lui, il avait DOOM qui tournait dans un coin de son appart…

Et le plus dingue, c’est que ça a marché exactement comme prévu. Selon le post original sur LenOwO , le jeu a crashé “seulement quelques heures après avoir passé les deux ans et demi”. Boom. Prédiction confirmée. Le mec a calculé la mort de DOOM avec une précision chirurgicale.

Ici, pas besoin d’exploits sophistiqués ou d’outils de pentest dernier cri. Juste de la curiosité, des maths, et une patience de moine tibétain. Et c’est comme ça que Minki a transformé un bug théorique en prédiction concrète, puis en réalité observable.

En fait, les bugs d’overflow de DOOM sont légion . Si vous avez plus de 64 lignes défilantes, ça crash. Si une balle traverse plus de 128 objets, ça bug. Si vous construisez une zone de plus de 2500 unités de hauteur, le moteur panique. C’est un peu comme si le jeu était construit sur un château de cartes, où chaque limite non vérifiée est une catastrophe qui attend son heure.

Bref, vous l’aurez compris, cette expérience c’est bien plus qu’un simple “j’ai fait tourner DOOM pendant longtemps lol”. C’est une démonstration de la prédictibilité des systèmes informatiques. Ça montre que quand on comprend vraiment comment un programme fonctionne, on peut littéralement voir dans l’avenir…

Bien joué Minki !

Build job-ready cybersecurity skills with 38 hours of self-paced training from this lifetime bundle.

The post Break Into Cybersecurity with 38 Hours of Training — Now Less Than $25 for Life appeared first on TechRepublic.

Près de 600 Go, c’est le poids de la plus grosse fuite de l’histoire du Great Firewall chinois. Il y a quelques jours, un collectif hacktiviste du nom de Enlace Hacktivista a balancé sur le net tout le code source, les documents internes, les logs de travail et même les communications privées du système de censure le plus sophistiqué au monde. C’est à ce jour la plus grosse fuite de l’histoire du Great Firewall chinois !

Le Great Firewall est un système qui permet à la Chine de filtrer internet pour toute sa population. Un système tellement efficace qu’il bloque non seulement Google, Facebook ou Twitter, mais qui arrive aussi à détecter et neutraliser les VPN les plus sophistiqués. Et aujoud’hui, tout son fonctionnement interne est accessible à qui veut bien se donner la peine de télécharger un fichier torrent de 571 Go.

Les documents proviennent de deux sources principales : Geedge Networks, une boîte dirigée par Fang Binxing (surnommé le “père du Great Firewall”), et le laboratoire MESA de l’Académie chinoise des sciences. En gros, on a là les architectes principaux de la censure numérique chinoise qui se retrouvent à poil sur internet.

Mais le plus dingue dans cette histoire, c’est pas tant la fuite elle-même. C’est ce qu’elle révèle sur l’export de cette technologie. Les documents montrent que la Chine ne se contente pas de censurer son propre internet, non… elle vend clé en main son système de censure à d’autres pays autoritaires.

Le produit star ? Un truc appelé Tiangou, décrit dans les documents comme une solution tout-en-un pour dictateur pressé : vous branchez, vous configurez, et hop, vous pouvez surveiller et censurer votre population comme en Chine. Le système inclut plusieurs modules aux noms poétiques : le Tiangou Secure Gateway qui bloque les VPN et peut injecter du code malveillant, le Cyber Narrator qui surveille l’activité internet par région, et les systèmes TSG Galaxy et Network Zodiac pour stocker et analyser les données des utilisateurs.

D’après les documents qui ont fuité, le Myanmar a déployé ce système dans 26 centres de données, avec des tableaux de bord capables de monitorer 81 millions de connexions TCP simultanées ! C’est pas rien ! Ce système est d’ailleurs intégré directement dans les points d’échange internet du pays, permettant un filtrage massif et sélectif du trafic.

Le Pakistan n’est pas en reste car d’après les documents, Geedge a installé son infrastructure DPI (Deep Packet Inspection) dans le cadre d’un système plus large appelé WMS 2.0. Amnesty International parle d’une surveillance de masse en temps réel sur les réseaux mobiles pakistanais où en gros, chaque SMS, chaque appel, chaque connexion internet peut être intercepté et analysé.

Les documents révèlent aussi que l’Éthiopie et le Kazakhstan ont acquis des licences pour le système Tiangou et apparemment, ce n’est que la partie émergée de l’iceberg.

Au début, Geedge utilisait des serveurs HP et Dell pour faire tourner son système, mais face aux sanctions occidentales, ils sont passés à du matériel 100% chinois. Le système s’adapte donc, évolue, contourne les obstacles, exactement comme les utilisateurs qu’il est censé bloquer, sauf qu’il a plus de moyens.

Les chercheurs qui analysent actuellement les données étudient le code pour mieux comprendre le système car maintenant que celui-ci est public, les développeurs d’outils de contournement peuvent potentiellement y trouver des faiblesses.

Enlace Hacktivista, le groupe à l’origine de la fuite, n’en est pas à son coup d’essai mais là, ils ont frappé un grand coup et pour ceux qui voudraient jeter un œil aux documents (attention, c’est à vos risques et périls), Enlace Hacktivista a mis le tout à disposition via torrent et téléchargement direct. Les chercheurs recommandent fortement d’utiliser des machines virtuelles isolées ou des environnements sandboxés pour analyser ces fichiers. Pas question de lancer ça sur votre PC principal, on ne sait jamais ce qui peut se cacher dans ces giga octets de code chinois.

Voilà en tout cas, cette technologie de censure et de surveillance est devenu un business global pour contrôler les populations. Merci la Chine ! Et maintenant que le code est dans la nature, on peut s’attendre à ce que d’autres états tentent de créer leurs propres versions du Great Firewall.

Maintenant, est-ce que ça va permettre de mieux contourner la censure ? Est-ce que ça va dissuader certains pays d’acheter cette technologie ? Ou est-ce que la Chine va simplement développer une version 2.0 encore plus sophistiquée ?

On verra bien…

Source

20 ans plus tard, les vieilles consoles continuent de nous surprendre… La preuve avec ce hack complètement barré qui transforme une GameCube de 2001 en client pour nos IA modernes.

Josh Fonseca a en effet réussi l’exploit de connecter ChatGPT à Animal Crossing via l’émulateur Dolphin. Pas de mod de la cartouche, pas de modification du code original, mais juste du bon vieux Python qui lit et écrit dans la RAM émulée pendant que le jeu tourne.

Hé oui, le mec n’a même pas touché une seule ligne du code original du jeu. Il a “simplement” identifié les adresses mémoire où le jeu stocke les dialogues (0x81298360 pour les curieux) et remplacé le texte à la volée. L’émulateur Dolphin pense faire tourner les dialogues d’origine, mais en fait il affiche du contenu généré par une IA qui tourne sur un serveur cloud.

Techniquement, c’est malin comme approche puisque la GameCube n’a que 24 MB de RAM et un processeur PowerPC à 485 MHz. Il lui est donc impossible de faire tourner un LLM dessus. Du coup il a créé une sorte de pont mémoire entre l’émulateur et le LLM. Son script Python surveille cette adresse en mémoire via le processus Dolphin, récupère le contexte du dialogue, l’envoie à l’IA, et réinjecte la réponse dans la mémoire émulée.

Ce qui complique vraiment les choses, c’est qu’Animal Crossing n’utilise pas du texte brut pour ses dialogues. Le jeu a son propre langage de contrôle avec des codes pour les pauses, les émotions, les effets sonores. Un peu comme du HTML mais version Nintendo 2001, ce qui fait qu’il a fallu créer deux IA : une première qui génère le dialogue créatif (le “Writer AI”) et une autre qui ajoute tous les codes techniques (le “Director AI”).

Voici un extrait :

# A small sample of the control codes I had to encode/decode
CONTROL_CODES = {
 0x00: "<End Conversation>",
 0x03: "<Pause [{:02X}]>", # e.g., <Pause [0A]> for a short pause
 0x05: "<Color Line [{:06X}]>", # e.g., <Color Line [FF0000]> for red
 0x09: "<NPC Expression [Cat:{:02X}] [{}]>", # Trigger an emotion
 0x59: "<Play Sound Effect [{}]>", # e.g., <Play Sound Effect [Happy]>
 0x1A: "<Player Name>",
 0x1C: "<Catchphrase>",
}

# The magic byte that signals a command is coming
PREFIX_BYTE = 0x7F

Je trouve ça cool comme projet car les joueurs rêvent depuis longtemps de dialogues plus variés dans Animal Crossing. En effet, si comme moi, vous n’êtes pas pro-gamer sur Animal Crossing, vous ignorez surement que Nintendo limite les villageois à 8 types de personnalité, ce qui rend les conversations hyper répétitives après quelques heures de jeu.

Avec ce hack, les villageois peuvent donc maintenant discuter de l’actualité mondiale, critiquer Tom Nook sur ses pratiques immobilières douteuses, ou même avoir des conversations philosophiques sur le sens de la vie dans votre village virtuel. Le mod est sur Github pour ceux qui veulent tester sur émulateur.

Notez que la communauté de décompilation d’Animal Crossing a joué un rôle crucial dans ce projet car sans leur travail pour convertir le code PowerPC en C lisible, identifier ces adresses mémoire spécifiques aurait été un cauchemar. C’est grâce donc à eux que le développeur a pu comprendre comment le jeu gère ses dialogues en interne.

Bref, je trouve ça assez marrant qu’une console vielle de +20 ans capable de fonctionner totalement offline (car à l’époque Nintendo était allergique à Internet), soit finalement indirectement “connectée” (via l’émulateur) pour utiliser ce qui se fait de plus hype en ce moment, à savoir l’IA (les LLMs plus exactement).

Comme je vous le disais, pour l’instant, ce hack fonctionne sur la version GameCube originale du jeu via l’émulateur Dolphin. L’auteur mentionne qu’une adaptation sur du vrai matériel serait possible avec le Broadband Adapter officiel, mais nécessiterait beaucoup plus de travail. Les versions ultérieures sorties sur DS, Wii ou Switch utiliseraient une architecture mémoire différente, mais techniquement, rien n’empêche d’adopter une approche similaire.

Comme quoi, avec un peu d’ingéniosité, on peut moderniser n’importe quel jeu rétro !

Bon, vous connaissez sans doute le Flipper Zero, ce petit boîtier orange qui ressemble à un Tamagotchi sous stéroïdes et qui fait flipper Amazon, le Canada et à peu près tous les responsables sécurité de la planète. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?

Allez, c’est parti, je vais tout vous raconter !!

L’histoire commence à Odessa, en Ukraine, où le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, décortiquer, analyser, reconstruire. C’est le genre de gamin qui démonte le grille-pain familial “pour voir” et qui finit avec 12 pièces en trop au remontage. Diplômé de l’Université Polytechnique Nationale d’Odessa, Pavel se décrit lui-même avec une phrase qui résume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.

Mais attention, Pavel refuse catégoriquement le terme “hacker”. Il préfère “nerd”, qu’il trouve plus honnête. Du coup, cette distinction n’est pas anodine car elle révèle une philosophie qui imprégnera plus tard tout le projet Flipper Zero à savoir la transparence, l’honnêteté, et le refus des étiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frénétiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus… authentique.

Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposés en Ukraine (merci Poutine), il crée Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entièrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose même un script d’installation automatique pour Windows. C’était déjà la marque de fabrique de Pavel : Créer des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposées par les couillons au pouvoir.

Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, après avoir assisté au Chaos Communication Congress à Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris décide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communauté solide, mais Moscow Neuron Hackspace finit par voir le jour, installé au Хохловский пер 7/9 стр. 2, au cœur de Moscou. L’adresse est imprononçable, mais l’endroit était mythique.

C’est là que Pavel Zhovner prend les rênes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont même venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une étude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT créative et l’entrepreneuriat startup, loin des initiatives étatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des conférences TEDx en anglais pour faire chier les autorités, des ateliers sur les réseaux sociaux, on apprend à construire des robots qui servent à rien mais qui sont cool, on expérimente avec l’impression 3D avant que tout le monde sache ce que c’est.

Neuron n’est pas qu’un simple makerspace où des barbus soudent des trucs random. C’est un lieu de résistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compétences” selon l’étude académique (qui utilisait beaucoup de mots compliqués pour dire “des mecs cool qui s’entraident”). Pavel y développe sa vision où la technologie doit être accessible, compréhensible, hackable. C’est dans cet environnement bouillonnant de créativité et de café instantané qu’il rencontre alors Alex Kulagin.

Alexander Kulagin, diplômé du prestigieux MEPhI (Institut de Physique et d’Ingénierie de Moscou, l’endroit où l’URSS formait ses génies du nucléaire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expérience dans le développement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. Là où Pavel est le visionnaire philosophe qui part dans des délires métaphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idées en produits manufacturables sans faire exploser l’usine.

Alex et Pavel (Image IA)

Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnérabilité des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensé qu’elles pouvaient être dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des années 90.

Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons décidé que le personnage principal serait un dauphin dès le début”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en même temps. Nous voulions créer un personnage avec qui vous auriez envie d’être ami.” Et puis soyons honnêtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tête de mort…

2019, Pavel se balade avec l’arsenal classique du pentester dans son sac à dos… Il est bien équipé… adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles à utiliser en déplacement surtout quand vous avez une tasse de café dans une main ou que vous faites du vélo”. Et c’est vrai que sortir un Proxmark3 dans le métro pour tester une carte de transport, ça fait tout de suite très louche.

Il expérimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le métro de Moscou (pour envoyer des memes aux gens, évidemment), mais le résultat est catastrophique : “Les pointes de soudure déchiraient le tissu de mon pantalon”. Ses tentatives de boîtiers imprimés en 3D sont tout aussi décevantes… Bref, ça ressemblait plus à un projet d’école primaire qu’à un outil de hacking sérieux.

Le déclic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel découvre que ces appareils sont encore produits et vendus en 2019. Mais qui achète encore des Tamagotchi en 2019 ??? Et c’est là que l’idée germe dans sa tête. Et si on combinait le côté ludique et attachant du Tamagotchi avec les capacités d’un outil de pentest sérieux ? Un truc qu’on peut sortir dans un café sans qu’on appelle les flics.

Après avoir utilisé le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel réalise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanément de la joie au format Tamagotchi, serait esthétiquement similaire aux consoles de jeux rétro et serait assez méchant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.

Pavel tweete alors son idée et ses amis designers produit, ceux qui “font des trucs électroniques sérieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggèrent de créer un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des pièces de qualité”. Bref, arrête de jouer avec ton fer à souder dans ton garage et fais un vrai produit.

C’est donc le début de l’aventure Flipper Zero et Pavel et Alex se lancent dans le développement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernétique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et évolue au fur et à mesure que son propriétaire interagit avec lui, se fâchant quand il n’est pas utilisé fréquemment. C’est un Tamagotchi, mais pour hackers.

Mais détrompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basée sur un microcontrôleur STM32WB55 à double cœur ARM. Un Cortex-M4 à 64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 à 32 MHz pour le Bluetooth Low Energy (le moulin à paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un système complet. C’est évidemment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.

L’écran est un LCD monochrome rétro avec rétroéclairage orange de 128×64 pixels. “Au lieu des écrans modernes TFT, IPS ou OLED, nous avons délibérément choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux téléphones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumé. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.

Les capacités radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est équipé d’une antenne 125 kHz en bas pour lire les cartes de proximité basse fréquence (vos vieux badges de bureau), d’un module NFC intégré (13.56 MHz) pour les cartes haute fréquence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portée jusqu’à 50 mètres (portails, alarmes de voiture), d’infrarouge pour contrôler les appareils domestiques (bye bye la télécommande perdue), et de GPIO pour se connecter à des modules externes (pour les vrais nerds).

Puis le 30 juillet 2020, la campagne Kickstarter est lancée avec un seul objectif : Récolter 60 000 dollars. Et le résultat est au delà de toutes leurs espérance puisque c’est exactement 4 882 784 dollars qui seront récoltés auprès de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du délire total.

Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excités, mi-terrifiés. “Comment on va produire tout ça ?” La réponse : avec beaucoup de café et pas mal de crises de panique.

La communauté est plus qu’excitée, elle est en ébullition totale. Et sur les forums, certains s’inquiètent déjà : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prédéfinie ressemble à un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face à un défi monumental : transformer un projet de hackerspace en une entreprise capable de produire près de 40 000 unités. Et tout cela en pleine pandémie de COVID-19. C’est là que le fun commence vraiment.

2021-2022, c’est l’enfer sur terre. La pénurie mondiale de puces frappe de plein fouet. Le fournisseur taïwanais Sitronix annonce une pénurie continue de puces 7565R. Toutes les commandes passées avant juin 2021 sont retardées. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.

L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingénierie surtout que les composants de puissance deviennent l’objet de spéculation sauvage, pire que les cartes Pokémon. Un convertisseur de tension passe de 0,50$ à 10,70$, un chargeur de batterie BQ25896RTWR devient littéralement impossible à acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants électroniques.

L’équipe cherche alors des stocks dans des entrepôts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentée : les boîtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaîne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.

Malgré tout, ils commencent à expédier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expédiées. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marché des composants électroniques des dernières décennies”. D’autres projets Kickstarter de la même époque n’ont toujours pas livré.

Mais dès le début, Pavel et Alex on adopté la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriétaire, pas de DRM, pas de fonctionnalités bloquées derrière un paywall. Et cette approche attire une communauté massive.

Des firmwares alternatifs apparaissent comme des champignons après la pluie : Unleashed (firmware débloqué avec support des rolling codes pour les vrais méchants), RogueMaster (le plus cutting-edge avec les dernières fonctionnalités communautaires), Momentum (continuation officielle d’Xtreme après son arrêt). La philosophie est claire… pas de paywall, pas d’apps propriétaires. “Chaque build a toujours été et sera toujours gratuit et open source”, proclament les développeurs d’Unleashed. Respect.

Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donné une personnalité complexe : il “a des opinions politiques de gauche, écoute de la techno, et n’a pas d’identité de genre prononcée”. C’est une déclaration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalité se reflète dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il évolue avec vos hacks, il a ses humeurs. C’est un compagnon numérique avec du caractère, et pas un simple assistant style Alexa qui répond “Désolé, je n’ai pas compris”.

Nous sommes maintenant en février 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La décision est alors immédiate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employés russes du pays, avec un déménagement du siège à Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer à vendre. Flipper Devices n’a plus rien à voir avec la Russie.

Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidéos montrent des utilisateurs qui ouvrent les ports de charge des Tesla (véridique), éteignent les menus électroniques des fast-foods (hilarant), changent les prix sur les pompes à essence (illégal), déverrouillent des voitures (parfois). Les vidéos accumulent des millions de vues. “Je ne m’attendais pas à ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.

Mais la réalité est plus nuancée car la plupart des vidéos sont probablement mises en scène ou nécessitent une préparation significative. Les attaques démontrées ne fonctionnent que contre des systèmes primitifs ou mal protégés. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-être un peu moins.

Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon étaient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.

La réaction de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunité en créannt leur propre réseau de distribution. Le bannissement devient un argument marketing pour la liberté technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue à plein tube et chaque nouvelle interdiction génère une couverture médiatique qui fait découvrir l’appareil à de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !

En février 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problème, c’est qu’aucun vol de voiture connu à cette époque, n’implique un Flipper Zero. C’est comme bannir les cuillères parce que quelqu’un s’est noyé dans sa soupe. Car techniquement, le Flipper Zero ne peut pas démarrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliqué que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en série ou que le téléchargement illégal ou l’IA va tuer la création et les artistes.

La réponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurdité de bannir un outil à 169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clés à 5000$) circulent librement sur eBay…

Les résultats financiers de Flipper Devices sont stupéfiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unités vendues en cette années là. Soit une croissance de 1500% en deux ans, entièrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu réinvestis. Point.

Le business model est d’une simplicité désarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra à 500$), des marges confortables grâce à la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.

2024, après trois ans de développement intensif, la version 1.0 du firmware sort enfin. Les nouveautés sont importantes : support JavaScript pour créer des apps sans connaître le C (pour les noobs), système NFC complètement réécrit avec système de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharné, mais aussi un nouveau départ. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communauté.

Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succès du Flipper Zero. La communauté développe des usages créatifs inattendus comme de l’émulation de cartes d’hôtel pour tester la sécurité (ou entrer dans sa chambre bourré), analyse de protocoles propriétaires d’équipements médicaux (ça fait peur !), reverse engineering de jouets connectés (pourquoi pas), ou encore audit de sécurité de systèmes domotiques (votre frigo connecté est vulnérable).

Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un écosystème vivant qui dépasse largement ce que Pavel et Alex avaient imaginé. Comme Linux, mais en plus fun. Et l’équipe ne s’arrête pas au device de base puisque des modules additionnels sortent régulièrement comme un module WiFi pour l’analyse réseau (pour hacker le WiFi du voisin légalement), une carte SD pour stocker plus de données (tous vos dumps de cartes), des modules GPIO custom pour des projets spécifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est même annoncée pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.

Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systèmes de sécurité du monde qui reposent sur de la technologie vieille, médiocre et facilement hackable. […] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sécurisé. Si quelque chose peut être hacké par un jouet à 100$, c’est peut-être trop vieux.”

Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont déjà des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sécurité, les étudiants, les curieux afin de démocratiser la compréhension de la sécurité et surtout pour montrer que la sécurité par l’obscurité, c’est de la merde.

Bien sûr, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élèvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidéos TikTok encouragent des comportements illégaux”…etc. Alors l’équipe répond patiemment…

Sur leur blog, ils expliquent que la majorité des fonctions peuvent être répliquées avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation à la sécurité passe par la compréhension pratique. Voilà, c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.

Le Flipper Zero a changé la perception du hacking hardware car ce n’est plus réservé à une élite technique avec des outils coûteux et un PhD en électronique. C’est accessible, ludique, mais sérieux. Des universités l’utilisent pour enseigner la sécurité (MIT, Stanford, même la Sorbonne s’y met). Des entreprises l’achètent pour auditer leurs systèmes (cheaper than a consultant). Des hobbyistes découvrent le monde du hardware hacking (et arrêtent de jouer à Candy Crush).

Le design “toy-like” brise les barrières psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!

Dans un tweet récent, Pavel avoue que “C’est encore difficile à croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les défis sont encore nombreux du genre comment rester fidèle à l’esprit hacker en devenant mainstream ? Comment naviguer les régulations sans compromettre les fonctionnalités ? Comment scaler sans perdre l’âme du projet et finir comme Arduino (RIP) ?

Les projections pour 2024-2025 suggèrent un dépassement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, répète Pavel. “Le projet sera complètement ouvert.” Pas de vente à Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.

C’est de l’authenticité pure et ça paye car Pavel et Alex n’ont jamais caché leurs intentions, leurs valeurs, leurs difficultés. C’est cette transparence qui a créé une confiance inébranlable avec la communauté. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succès commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modèle fonctionne, contrairement à ce que racontent certains.

Et les contraintes créent l’innovation… la pénurie de composants, les bannissements, les controverses… chaque obstacle a été transformé en opportunité. Surtout que la communauté est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui créent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalités… c’est un dauphin mignon qui a quand même rendu le pentest accessible au grand public.

Je ne l’aurais pas cru à l’époque. Et l’équipe tease régulièrement de nouveaux appareils en laissant entendre que d’autres produits sont en développement. Mais rassurez-vous, la vision reste la même. Démocratiser la compréhension de la technologie tout en donnant aux gens les outils pour comprendre et contrôler leur environnement numérique.

C’est une mission qui dépasse largement le Flipper Zero.

Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas être une boîte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face à l’incompréhension, aux interdictions, aux controverses. Mais ils tiennent bon.

Le succès du Flipper Zero a également inspiré des concurrents tels que HackRF (plus puissant mais moins accessible et coûte un bras), Proxmark (spécialisé RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.

Le Flipper Zero est surtout devenu un symbole inattendu… un mélange de tech ukrainienne innovante (fuck yeah), de résistance à la censure technologique, d’innovation hors des grands centres tech américains, et de la possibilité de succès sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiètent, des entreprises tremblent… Et tout ça à cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.

La créativité de la communauté surprend même les créateurs. Des vétérinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intègrent dans leurs énigmes, des artistes créent des installations interactives, des professeurs l’utilisent pour des démonstrations de physique. Chaque jour, de nouveaux usages émergent et c’est la beauté d’un outil vraiment ouvert.

Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intégration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes éducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communauté créera.”

Pavel et Alex pensent en décennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystème doit survivre aux fondateurs (immortalité du projet), la communauté doit s’auto-organiser (décentralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque décision… et surtout, pas de quick wins au détriment de la durabilité.

Et ce succès a un prix que peu comprennent car Pavel et Alex ont sacrifié leur anonymat (menaces régulières de tous les camps), leur stabilité (déménagements forcés, merci la guerre), leur vie privée (les médias sur le dos), et leur tranquillité (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.

Pavel avoue parfois douter : “Sommes-nous légitimes ? Méritons-nous ce succès ?” Le syndrome de l’imposteur frappe même après 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marché a validé. Point.” Cette tension entre doute et confiance nourrit l’humilité de l’équipe et il n’y a pas de grosse tête chez Flipper Devices.

Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin négocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de résistance et un vent de liberté dans un monde où la tech devient de plus en plus fermée.

Faudra faire avec !

Sources : LinkedIn - Pavel Zhovner, Hackaday - Why I started Flipper, GitHub - Zaborona.help, Kickstarter - Flipper Zero Campaign, Flipper Blog - Manufacturing Updates, GitHub - Flipper Zero Firmware, Moscow Neuron Hackspace Study, The Birth of Russia’s Hackerspace Movement, Gizmodo - Flipper Zero Interview, Flipper Zero Firmware 1.0, TechCrunch - M Sales, Hackaday - Canada Ban, BleepingComputer - Amazon Ban, Flipper Zero Official, Awesome Flipper Zero

En tant que propriétaire très heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en découvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnérabilité de sécurité dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types équipés d’un appareil qui ressemble à une vieille Game Boy de Nintendo. C’est déjà assez rageant de devoir raquer un abonnement pour les mises à jour OTA (Over-The-Air), mais là on atteint des sommets.

Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un émulateur, c’est à dire un ensemble de matériel de transmission radio fourré dans une coque qui ressemble à la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marché noir et certains modèles russes se vendent même à 15 000 euros. Pour ce prix-là, vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.

Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sécurité des véhicules modernes. Quand vous touchez la poignée de votre Ioniq 5, la voiture se réveille et initie un protocole de handshake avec ce qu’elle pense être votre clé. C’est là que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clés légitime.

Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du système CAN (Controller Area Network) de votre voiture. Selon l’expert en sécurité Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du récepteur de clé intelligente de la voiture. Ces messages trompent alors le système de sécurité pour qu’il déverrouille le véhicule et désactive l’immobilisateur moteur.

Sur certaines voitures, les voleurs peuvent accéder au réseau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de là, ils peuvent ensuite manipuler n’importe quel dispositif électronique du véhicule. Les messages CAN n’ont aucune authentification ni sécurité et les récepteurs leur font simplement confiance.

Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non… Ce serait trop facile. A la place, il s’attaque au système de rolling code censé protéger votre clé. Normalement, chaque fois que vous utilisez votre porte-clés, le code change pour éviter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilà comment on déverrouille et démarre un Ioniq 5 en moins de 30 secondes.

Une fois votre voiture volée, les malfaiteurs retirent les modules de connectivité pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.

Face à cette menace, Hyundai a donc imaginé une super solution. Il s’agit d’un patch matériel qui améliore la technologie Ultra-Wideband (UWB) pour une détection plus sécurisée de la clé. L’UWB permet une authentification plus précise entre votre clé/téléphone et le véhicule, rendant beaucoup plus difficile pour les émulateurs de se faire passer pour des clés légitimes. La technologie mesure aussi précisément la distance entre la clé et la voiture, empêchant également les attaques par relais classiques.

Mais voilà le hic… Hyundai présente cette mise à jour comme une “amélioration volontaire” plutôt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a été développée et certifiée selon toutes les normes réglementaires, y compris les exigences de cybersécurité. Et comme cette menace est classifiée comme “évolutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnée” de 49 livres sterling (65 dollars US) pour le correctif.

Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sécurité béante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est très rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.

Et le problème va bien au-delà de Hyundai car cette vulnérabilité touche aussi les Kia EV6 et Genesis GV60, qui partagent la même plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont également vulnérables à des attaques similaires. C’est donc un problème systémique de l’industrie automobile qui a adopté une approche “coque dure/centre mou” où les composants internes sont considérés comme dignes de confiance.

La vraie solution serait donc d’adopter un framework “zero trust” où chaque composant du bus CAN devrait être ré-authentifié lors de son remplacement. Mais vous vous en doutez, ça coûterait une fortune à implémenter sur les véhicules existants. En attendant, certains propriétaires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulgué ces risques et d’autres prédisent que les assurances pourraient à l’avenir refuser de couvrir les véhicules non modifiés.

Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que même si ça me fait mal, entre payer pour un patch de sécurité à 65 balles et me retrouver sans voiture un matin, le choix est vite fait.

Mais cela n’empêche pas que c’est une pratique scandaleuse de la part de Hyundai…

Source

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-même un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver à un mystérieux opérateur APT (Advanced Persistent Threat) dont 9GB de données ont été divulguées par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosé dans toute sa splendeur !

L’histoire commence de manière plutôt originale puisque cette fuite monumentale a été révélée lors du 40e anniversaire du légendaire magazine Phrack, pendant la convention DEF CON 33 à Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondée par Taran King et Knight Lightning. Un zine underground qui a formé des générations entières de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, après être sortis de 3 années de silence en 2024, ont fêté leurs 40 ans le 8 août dernier avec un cadeau plutôt explosif : L’intégralité du toolkit d’espionnage d’un acteur étatique. Rien que ça !

DEF CON, la convention où l’arroseur s’est fait arroser

Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publié dans Phrack #72 avoir compromis à la fois une workstation virtuelle ET un serveur privé virtuel (VPS) utilisés par cet opérateur APT qu’ils ont surnommé “KIM”. Le duo affirme avoir passé des mois à analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploité une mauvaise configuration des services cloud de l’opérateur et une réutilisation de mots de passe entre différents systèmes. Basique mais efficace, car oui, même les espions d’État font des erreurs de débutant !

Mais attention, l’identité réelle de notre espion maladroit reste un vrai casse-tête. Si Saber et cyb0rg affirment avoir compromis un ordinateur lié au groupe Kimsuky (ces fameux hackers nord-coréens du Bureau 121 qui font régulièrement parler d’eux depuis 2013), les experts en sécurité émettent des doutes sérieux.

Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-coréen. En gros, c’est leur CIA à eux. Et les mecs sont plutôt spécialisés dans l’espionnage et le vol d’informations sur les politiques étrangères liées à la péninsule coréenne, le nucléaire et les sanctions internationales à leur encontre. Ils ont notamment ciblé des think tanks sud-coréens, japonais et américains avec des campagnes de spear-phishing ultra sophistiquées. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identité d’organisations de confiance.

Sauf que voilà, plusieurs éléments clochent. L’opérateur piraté semble parler chinois mandarin, et pas coréen. Son historique de navigation Chrome et Brave (presque 20 000 entrées !) montre des recherches en caractères simplifiés, pas en hangul (l’alphabet officiel du coréen), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilégiées correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la Corée du Sud. Certains experts pensent même qu’il pourrait délibérément imiter les méthodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.

Alors Corée du Nord ou Chine ? Le mystère reste entier

Le butin déballé par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de données ultra sensibles avec :

• 19 783 entrées d’historique de navigation sur Chrome et Brave, révélant les habitudes et méthodes de travail de l’opérateur
• Des logs d’attaques actives contre le gouvernement sud-coréen, notamment le Defense Counterintelligence Command et le Supreme Prosecutor Office
• Du code source d’outils custom développés spécifiquement pour leurs opérations
• Des identifiants et mots de passe pour différents systèmes compromis
• Des scripts de commande et contrôle (C2) pour gérer les machines infectées
• Des manuels opérationnels détaillant comment utiliser leurs backdoors
• Des logs de campagnes de phishing avec les templates utilisés et les listes de victimes

Y’a même une capture écran de son bureau :

Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opérateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau système pour une persistance maximale. Des beacons Cobalt Strike customisés, Cobalt Strike étant cet outil commercial à 3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adoré par les vrais méchants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnérabilités CVE-2025-0282 et CVE-2025-22457 découvertes fin 2024. Sans oublier des variantes modifiées d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systèmes Ivanti Connect Secure.

Pour comprendre l’ampleur du désastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et même son journal intime où il note ses techniques. Bah voilà, c’et exactement ça qui vient d’arriver à notre cher APT !

DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé

DDoSecrets a indexé et publié l’archive complète, la rendant accessible gratuitement à tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondé en 2018 par Emma Best et Thomas White après que WikiLeaks soit devenu… compliqué avec l’affaire Assange.

Emma Best, journaliste spécialisée en sécurité nationale et activiste de la transparence non-binaire basée à Boston, avait d’ailleurs clashé avec Assange avant de créer DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois inférieur à WikiLeaks, DDoSecrets a déjà publié plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vérité est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrêmement radicale.

Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohérents avec un véritable toolkit d’espionnage, ce qui est également confirmé par plusieurs experts en threat intelligence. Les victimes sud-coréennes ont également été notifiées avant la publication, histoire de limiter les dégâts. Ouf !

Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtré des coulisses du cyber-espionnage étatique. D’habitude, on découvre les outils et techniques des APT après coup, en analysant leurs attaques comme des archéologues numériques qui reconstituent un dinosaure à partir de fragments d’os. Mais là, on a accès directement à leur boîte à outils complète, leurs notes, leurs cibles, leurs méthodes de travail au quotidien.

Les implications sont d’ailleurs énormes pour la communauté cybersécurité. Avec cet accès privilégié aux TTPs (Tactics, Techniques, and Procedures) de l’opérateur, les équipes de défense peuvent maintenant :

• Identifier des patterns d’attaque pour créer des signatures de détection plus précises
• Comprendre l’infrastructure C2 utilisée et bloquer proactivement les domaines et IPs associés
• Analyser les vulnérabilités exploitées et patcher en priorité
• Attribuer d’anciennes attaques non résolues grâce aux similarités dans le code et les méthodes
• Former les analystes SOC avec des exemples réels d’attaques APT

Un acteur APT, habitué à opérer dans l’ombre avec l’impunité que confère le soutien d’un État-nation, s’est donc fait avoir par deux hackers indépendants qui ont ensuite balancé tout son arsenal sur Internet. C’est plutôt marrant quand on sait que ces groupes APT passent leur temps à voler les secrets des autres !

Cobalt Strike, l’outil préféré des APT (et des red teamers légitimes)

L’incident soulève quand même des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opérateur pourrait être chinois mais imiter les techniques nord-coréennes montre à quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opérations sous faux drapeau sont monnaie courante.

C’est d’ailleurs pour ça que les groupes APT chinois et nord-coréens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear… non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-Coréens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spécialisés dans le vol bancaire, 81 millions de dollars à la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.

La différence de style entre les groupes est d’ailleurs fascinante. Les Russes préfèrent exploiter des zero-days pour un impact géopolitique immédiat. Les Chinois ciblent les supply chains pour du vol de propriété intellectuelle à long terme. Les Nord-Coréens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volé plus de 3 milliards de dollars en cryptomonnaies selon les estimations !

Mais revenons à notre opérateur mystère. L’analyse de son infrastructure révèle des détails croustillants. Il utilisait des VPS loués avec des bitcoins minés spécifiquement pour l’opération (ces mecs ont leur propre ferme de minage !). Les domaines C2 étaient enregistrés via des registrars russes et chinois avec de fausses identités. Les certificats SSL étaient générés avec Let’s Encrypt pour paraître légitimes. Tout un écosystème criminel parfaitement rodé… jusqu’à ce que Saber et cyb0rg débarquent.

Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communauté (la preuve, j’en parle). En tout cas, il y a une certaine justice poétique à voir un cyber espion se faire espionner à son tour.

Aujourd’hui avec ces révélations, le message envoyé à tous les groupes APT est clair : vous n’êtes pas intouchables. Même avec le soutien d’un État, même avec des budgets illimités, même avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivés.

Je pense que cette affaire restera dans les annales car pour la première fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indépendants. Cela me rappelle le leak de Conti qui avait subit la même chose mais de la part d’un insider (enfin, on le pense…).

Bref, si vous êtes un opérateur APT, évitez de réutiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets étalés sur Internet. C’est con mais c’est comme ça !

Et pour les chercheurs en sécurité, foncez analyser ces 9GB de données, c’est Noël avant l’heure !

Sources : HackRead - 9GB APT Data Leak, Dark Reading - APT Actor Data Dump Analysis, DDoSecrets - APT Down: The North Korea Files, Phrack Magazine Issue #72, Wikipedia - Distributed Denial of Secrets, CISA - Kimsuky APT Advisory

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Aujourd’hui les amis, je vais vous raconter l’histoire du groupe de hackers le plus patient et le plus sophistiqué au monde. APT29, aussi connu sous les doux noms de Cozy Bear, The Dukes ou maintenant Midnight Blizzard, c’est l’élite absolue du cyber-espionnage russe. Ce sont des espions qui peuvent squatter vos systèmes pendant des années, qui matent vos emails les plus confidentiels, qui observent chacun de vos mouvements numériques, et tout ça dans la plus grande discrétion.

Ces types ont piraté la Maison Blanche, le Pentagone, le Département d’État américain, et j’en passe. Mais en 2014, les services secrets néerlandais ont réussi l’impensable : ils ont piraté ces pirates ! Je vous raconte tout ça !!

Siège du SVR à Moscou, d’où sont orchestrées les opérations d’APT29

L’histoire d’APT29 commence bien avant que le monde ne connaisse leur nom. Les premiers signes de leur activité remontent à 2008, et certains experts pensent même qu’ils opéraient déjà dès 2004. À l’époque, personne ne savait vraiment qui ils étaient. On voyait juste des attaques ultra-sophistiquées contre des gouvernements occidentaux, des think tanks, des organisations internationales.

Ce qui distinguait déjà ces attaques des autres, c’était leur patience légendaire. Là où d’autres groupes de hackers font du “smash and grab”, ils entrent, ils volent, ils sortent, APT29 s’installait pour des mois, voire des années. Ils observaient, ils apprenaient, ils attendaient. C’était de l’espionnage à l’ancienne, mais avec des moyens modernes. Du coup, c’est pas pour rien qu’on les appelle “Cozy Bear”, l’ours douillet qui hiberne tranquillement dans vos systèmes.

Le nom “Cozy Bear” leur a été donné par CrowdStrike, une société de cybersécurité américaine car dans leur système de nomenclature, tous les groupes russes sont des “ours”. Et y’a du monde au zoo : Fancy Bear (APT28, lié au GRU, le renseignement militaire), Venomous Bear, Primitive Bear… Mais Cozy Bear, c’est ceux qui s’installe pépère dans vos systèmes en attendant le bon moment.

Les autres noms liés à ce groupe sont tout aussi évocateurs. “The Dukes” fait référence à leur famille de malwares : MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, GeminiDuke… Chaque “Duke” a sa spécialité, ses capacités uniques. C’est l’équivalent d’une boîte à outils mais pour faire du cyber espionnage ultra-sophistiqué.

Maintenant, parlons technique deux secondes. Le cœur de MiniDuke, découvert en 2013, était écrit entièrement en assembleur ce qui est un choix assez insolite mais qui montre l’excellent niveau des développeurs. Le malware pesait seulement 20KB, pouvait télécharger des modules additionnels selon les besoins et éviter la détection par les antivirus traditionnels. CozyDuke, lui, utilisait des certificats volés pour signer ses composants et se faire passer pour du code légitime.

Mais revenons à cette incroyable histoire néerlandaise. En 2014, les cyber-espions du Joint Sigint Cyber Unit (JSCU), l’unité cyber conjointe des services de renseignement néerlandais (AIVD et MIVD), bossent sur une piste. Cette unité d’élite de 80-100 personnes a pour mission de répérer des activités cheloues et de remonter leurs traces. Ce qu’ils découvrent alors dépasse leurs espérances les plus folles.

Non seulement ils parviennent à infiltrer le réseau utilisé par APT29, mais ils découvrent aussi quelque chose d’extraordinaire : le groupe opère depuis un bâtiment universitaire près de la Place Rouge à Moscou. Et cerise sur le gâteau, y’a des caméras de surveillance partout dans le bâtiment. Les Néerlandais prennent le contrôle de ces caméras, et hop, c’est l’arroseur arrosé !

La Place Rouge à Moscou, tout près du QG secret d’APT29

Pendant au moins un an, voire jusqu’à deux ans et demi selon les sources, c’est l’opération de contre-espionnage du siècle. Les Néerlandais regardent littéralement par-dessus l’épaule des hackers russes. Ils voient qui entre et sort du bureau. Ils identifient des agents du SVR grâce aux images. Ils observent les hackers lancer leurs attaques en temps réel. C’est comme me regarder bosser en live Twitch, mais avec des vrais espions russes !

Et là, ça part en sucette car l’AIVD voit APT29 attaquer le Département d’État américain en novembre 2014. Ils alertent alors immédiatement leurs homologues américains : “Hé les gars, vos systèmes sont en train de se faire défoncer, voici exactement ce que font les Russes.” Les Américains sont sur le cul. C’est du renseignement en temps réel d’une qualité exceptionnelle.

Le Département d’État américain, première cible majeure observée par les Néerlandais

Quand APT29 s’attaque ensuite à la Maison Blanche fin 2014, les Néerlandais sont encore là, à observer. Les Russes accèdent aux notes confidentielles non classifiées du président Obama et à son agenda et les Américains sont tellement reconnaissants de l’aide néerlandaise qu’ils établissent des canaux de communication ultra-sécurisés entre les deux agences. Du jamais vu dans l’histoire du renseignement.

L’attaque contre le Pentagone en août 2015 est un autre exemple de la sophistication d’APT29. Ils utilisent une technique de spear-phishing c’est à dire des emails ciblés qui semblent légitimes. L’email contient un lien vers ce qui semble être un article d’actualité sur les tensions en Ukraine mais quand la victime clique, c’est le début de l’infiltration.

Le Pentagone paralysé pendant deux semaines par APT29

Et le malware utilisé est une merveille d’ingénierie. Il vérifie d’abord si la machine est intéressante. Si c’est juste un PC lambda, il reste dormant par contre, si c’est une machine avec des accès privilégiés, il s’active et commence à explorer le réseau. Il communique alors avec ses serveurs de commande en utilisant des techniques de stéganographie cachant des données dans des images innocentes postées sur des sites web légitimes. Ces mecs sont des artistes !

L’attaque paralyse le système mail non classifié de l’état-major des armées pendant deux semaines. 4000 militaires et civils travaillant pour l’état-major américain sont affectés. C’est très embarrassant pour la première puissance militaire mondiale, mais c’est surtout inquiétant car si APT29 peut faire subir ça au Pentagone, que peuvent-ils faire d’autre ?

Mais c’est l’attaque contre le Democratic National Committee (DNC) en 2015-2016 qui va vraiment faire connaître APT29 au grand public. Ils infiltrent le réseau du DNC dès l’été 2015, presque un an avant l’élection présidentielle et pendant des mois, ils lisent tranquillement les emails, ils téléchargent des documents, ils observent.

Bureaux du DNC à Washington

Et là, c’est le bordel complet ! APT29 n’est pas seul sur ce coup. APT28 (Fancy Bear), l’autre groupe de hackers russes lié au GRU, débarque sur le réseau du DNC début 2016. Les deux groupes ne semblent pas coordonner leurs actions. C’est même le contraire : ils se marchent sur les pieds, ils utilisent des techniques différentes, ils ont des objectifs différents.

APT29, fidèle à sa réputation, est discret. Ils collectent du renseignement, point barre. APT28, c’est l’inverse. Ils sont bruyants, agressifs. Ce sont eux qui vont leaker les documents du DNC via WikiLeaks et DCLeaks. Deux services de renseignement russes, deux approches complètement différentes. C’est comme si la DGSE et la DGSI se marchaient dessus pendant une opération. Bref, du grand n’importe quoi !

APT28 et APT29, deux façons de procéder bien différentes

Les Néerlandais observent tout ça en temps réel. Ils voient APT29 opérer, ils comprennent que c’est grave. D’ailleurs, leur renseignements servent de base à l’enquête du FBI sur l’ingérence russe dans l’élection de 2016 et sans les Néerlandais, on n’aurait peut-être jamais su à quel point l’opération était sophistiquée.

Malheureusement, l’accès néerlandais à APT29 se tarit entre 2016 et 2017. Des journalistes néerlandais de Volkskrant et Nieuwsuur révèlent l’histoire en janvier 2018, et suggèrent que des déclarations indiscrètes de hauts responsables américains ont grillé l’opération. Les Russes ont compris qu’ils étaient surveillés et ont changé leurs méthodes. L’AIVD était furieux !! Des années de travail ruinées par des grandes gueules !

Le QG de l’AIVD à Zoetermeer, d’où fut menée l’opération contre APT29

Mais APT29 ne disparaît pas pour autant. Au contraire, ils évoluent, ils s’adaptent. En 2018, on les voit utiliser de nouveaux malwares comme WellMess et WellMail. En 2020, pendant la pandémie, ces enfoirés s’attaquent aux centres de recherche travaillant sur les vaccins COVID-19 aux États-Unis, au Royaume-Uni et au Canada. Leur objectif c’est de voler les formules, les données des essais cliniques et les informations sur la chaîne d’approvisionnement.

C’est cynique au possible, mais c’est logique du point de vue du renseignement russe car pourquoi dépenser des milliards en R&D quand on peut simplement voler le travail des autres ? Les pays occidentaux dénoncent, mais APT29 continue puisqu’ils sont protégés par l’État russe et qu’ils sont intouchables.

Les laboratoires de recherche COVID-19, nouvelles cibles d’APT29 en 2020

Et puis arrive l’attaque SolarWinds fin 2020. Là, c’est le chef-d’œuvre absolu d’APT29, leur opération la plus ambitieuse et la plus réussie. L’idée est géniale et diabolique car au lieu d’attaquer directement des milliers de cibles, pourquoi ne pas simplement compromettre un fournisseur que tout le monde utilise ?

Du coup, ils ciblent SolarWinds, dont le logiciel Orion est utilisé pour la gestion de réseau par des milliers d’entreprises et d’agences gouvernementales. Entre septembre 2019 et février 2020, APT29 infiltre alors l’environnement de développement de SolarWinds et y injectent leur malware, SUNBURST (aussi appelé Solorigate), directement dans les mises à jour légitimes du logiciel. Malin l’ourson !!

SolarWinds, la supply chain compromise qui a secoué le monde

Entre mars et juin 2020, environ 18 000 clients SolarWinds téléchargent et installent la mise à jour compromise. Le malware SUNBURST s’active après une période de dormance de 12 à 14 jours, histoire d’éviter la détection par les sandboxes de sécurité et il contacte ses serveurs de commande en imitant parfaitement le trafic légitime de SolarWinds. Il est donc pratiquement invisible.

Mais attendez, APT29 ne s’intéresse pas aux 18 000 victimes. Non non, ils font le tri comme des chefs car environ 1% des infectés seulement sont sélectionnés pour la phase deux de l’opération. Ce sont les cibles de haute valeur telles que des agences gouvernementales américaines, des entreprises technologiques majeures, des think tanks influents…etc. Et pour les autres, SUNBURST reste dormant ou s’autodétruit.

La liste des victimes confirmées est impressionnante. Le Département du Trésor, le Département du Commerce, le Département de l’Énergie (y compris la National Nuclear Security Administration… oui, ceux qui gèrent l’arsenal nucléaire !), le Département de la Justice… Microsoft, Cisco, Intel, Deloitte, et même FireEye, l’entreprise de cybersécurité qui découvrira l’attaque.

C’est l’ironie du sort car c’est justement FireEye qui tire la sonnette d’alarme le 8 décembre 2020. Ils détectent que leurs propres outils de red team (des outils utilisés pour tester la sécurité) ont été volés. En enquêtant, ils découvrent alors SUNBURST. Kevin Mandia, le CEO de FireEye, déclare que c’est l’attaque la plus sophistiquée qu’il ait jamais vue en 25 ans de carrière, et croyez-moi, le mec en a vu des vertes et des pas mûres !

FireEye, la société de cybersécurité qui a découvert l’attaque SolarWinds

Ce qui impressionne les experts, c’est surtout la patience et la sophistication d’APT29 car ils ont passé des mois, peut-être des années, à planifier cette opé;ration. Ils ont étudié l’architecture de SolarWinds, ils ont trouvé le moyen d’insérer leur code sans déclencher d’alarmes, ils ont créé une infrastructure de commande et contrôle qui imite parfaitement le trafic légitime.

Et une fois dans les réseaux des victimes, APT29 ne se précipite pas. Non, ils explorent méthodiquement, ils identifient les systèmes critiques, ils volent les identifiants administrateurs, et ils installent d’autres backdoors comme TEARDROP et RAINDROP pour garder l’accès même si SUNBURST est découvert.

En janvier 2024, Microsoft annonce une nouvelle intrusion ! Cette fois, APT29 a utilisé une technique vieille comme le monde mais toujours efficace : le password spraying. Ils ont testé des mots de passe communs contre des milliers de comptes jusqu’à trouver un compte de test sans authentification multi-facteurs. Une erreur basique qui a coûté très cher !

Microsoft appelle maintenant APT29 “Midnight Blizzard” ou “NOBELIUM”. C’est poétique, je trouve… le blizzard de minuit, c’est l’attaque qui arrive sans un bruit dans l’obscurité et qui paralyse tout. Ce nouveau nom reflète aussi l’évolution du groupe car ils ne sont plus juste “Cozy Bear”, l’ours douillet. Ils sont devenus une force de la nature, imprévisible et dévastatrice.

Mais le pire, c’est ce que Microsoft révèle en mars 2024… APT29 a eu accès à certains de leurs dépôts de code source pendant l’attaque SolarWinds et le code source de Microsoft, c’est les plans de l’Etoile de la Mort ! Avec ça, APT29 peut chercher des vulnérabilités, comprendre comment fonctionnent les systèmes de sécurité, et peut-être même planifier de futures attaques.

Microsoft, victime récurrente et observateur privilégié d’APT29

Les attaques continuent et se diversifient. En octobre 2024, Microsoft détecte une campagne de spear-phishing massive. APT29 envoie des milliers d’emails à des cibles dans plus de 100 organisations. Les emails contiennent des fichiers RDP (Remote Desktop Protocol) qui, une fois ouverts, connectent la machine de la victime à un serveur contrôlé par APT29. C’est super efficace !

Ce qui est nouveau et assez fou, c’est l’utilisation de Microsoft Teams pour le phishing. APT29 se fait passer pour le support technique et contactent les employés directement via Teams. “Bonjour, on a détecté un problème avec votre compte, pouvez-vous confirmer votre mot de passe ?” Simple, mais terriblement efficace quand c’est bien fait.

Bon, parlons un peu de leur arsenal technique, parce que c’est du lourd. HAMMERTOSS, découvert en 2015, est particulièrement créatif puisqu’il utilise Twitter pour recevoir ses commandes ! Les opérateurs d’APT29 créent des comptes Twitter avec des noms générés algorithmiquement (genre “234Bob234” ou “1abMike52b”) et ils postent des tweets qui semblent innocents mais qui contiennent des instructions encodées et des URLs vers des images contenant des commandes cachées par stéganographie.

En 2023-2024, on voit également apparaître de nouveaux outils comme WINELOADER et SNOWYAMBER. WINELOADER utilise des leurres sur le thème du vin (d’où le nom) pour cibler les diplomates. SNOWYAMBER intègre des routines anti-détection super avancées et peut désactiver les solutions de sécurité avant de s’exécuter. Ces mecs ne s’arrêtent jamais d’innover !

Les techniques de persistence d’APT29 sont aussi impressionnantes. Ils utilisent le DLL Side-Loading, créent des tâches planifiées Windows légitimes, modifient les clés de registre de démarrage, et exploitent même les mécanismes de signature de code de Windows. Bref, une fois qu’ils sont dans votre système, c’est comme essayer d’enlever de la super glue sur vos doigts… bon courage !

Les cibles d’APT29 révèlent leurs priorités stratégiques. Gouvernements occidentaux, particulièrement les ministères des affaires étrangères et de la défense. Cercles de réflexion qui influencent les politiques. Entreprises technologiques qui développent des innovations critiques. Organisations internationales comme l’ONU, l’OTAN ou l’UE. Bref, tout ce qui peut donner à la Russie un avantage stratégique est dans leur viseur.

Mais APT29 ne s’intéresse pas qu’à l’Occident. Ils espionnent aussi les pays de l’ex-URSS, les gouvernements asiatiques, africains et du Moyen-Orient. Ils surveillent même les groupes d’opposition russes et les oligarques qui pourraient poser problème. Le SVR veut tout savoir, tout contrôler. C’est Big Brother version cyber !

L’ONU, une des nombreuses organisations internationales ciblées

Comme je vous le disais, la patience d’APT29 est vraiment légendaire car dans certains cas documentés, ils sont restés dans des réseaux pendant plus de cinq ans sans être détectés. Cinq ans ! Ils observent, ils apprennent les habitudes, ils comprennent l’organisation et quand ils frappent enfin, ils savent exactement où chercher et quoi prendre.

Cette approche “low and slow” (basse et lente) est typique du SVR. Contrairement au GRU qui fait dans le spectaculaire et le perturbateur (coucou NotPetya !), le SVR privilégie le renseignement à long terme car ils veulent comprendre les intentions, anticiper les décisions, influencer subtilement plutôt que détruire brutalement.

C’est pourquoi les experts en cybersécurité ont un respect mêlé de crainte pour APT29. John Hultquist de Mandiant les décrit comme “les meilleurs dans le domaine”. Dmitri Alperovitch de CrowdStrike dit qu’ils sont “extrêmement disciplinés et professionnels”. Ce ne sont pas des script kiddies ou des hacktivistes. Ce sont des professionnels du renseignement avec des moyens illimités et 20 ans d’expérience.

Notez quand même que le coût humain et financier des opérations d’APT29 est astronomique. Les dommages directs se chiffrent en milliards, notamment avec le coût de la remédiation après SolarWinds qui dépasse les 100 milliards de dollars selon certaines estimations. Mais le vrai coût, c’est la perte de confiance, les secrets volés, l’avantage stratégique donné à la Russie. Et comment chiffrer ça ?

Et le pire dans tout ça, c’est qu’on ne sait probablement pas tout car APT29 est si doué pour rester invisible qu’il y a certainement des intrusions non découvertes. Combien de réseaux sont encore compromis ? Quels secrets ont été volés sans que personne ne s’en aperçoive ? C’est ça le vrai cauchemar qui empêche les RSSI du monde entier de dormir.

Mais l’attribution d’APT29 au SVR est maintenant officielle. En avril 2021, les États-Unis, le Royaume-Uni, l’Australie, le Canada, la Nouvelle-Zélande, l’OTAN et l’UE l’ont même confirmé publiquement, mais bon, ça change quoi concrètement ? Les membres d’APT29 ne seront jamais extradés, jamais jugés et ils continueront leur travail, protégés par l’État russe.

Le SVR a surtout une longue histoire d’espionnage derrière lui… C’est l’héritier de la Première Direction principale du KGB, responsable du renseignement extérieur. Des légendes comme Kim Philby, Guy Burgess et Donald Maclean (les fameux espions de Cambridge) travaillaient pour les prédécesseurs du SVR. APT29 est donc la continuation de cette tradition avec des moyens modernes. Les méthodes changent mais les objectifs restent les mêmes.

Le SVR, héritier du KGB et commanditaire d’APT29

Ce qui est dingue, je trouve, c’est la normalisation de ces attaques car il y a 20 ans, pirater la Maison Blanche aurait été considéré comme un acte de guerre. Aujourd’hui, c’est juste un mardi comme les autres. Les pays occidentaux dénoncent, imposent des sanctions, expulsent des diplomates, mais les attaques continuent. C’est une nouvelle normalité de la guerre froide numérique.

Cependant, les leçons à tirer de l’affaire APT29 sont multiples et cruciales. D’abord, la cybersécurité n’est jamais acquise. Même les organisations les plus sophistiquées peuvent être compromises. Ensuite, la supply chain est le maillon faible. SolarWinds l’a montré de manière spectaculaire : compromettre un fournisseur, c’est potentiellement compromettre des milliers de clients.

L’importance du renseignement humain reste également évidente car sans les Néerlandais et leurs caméras, on n’aurait jamais eu cette vision unique des opérations d’APT29. Sans oublier la coopération internationale qui est absolument cruciale dans ce genre de cas. Les Néerlandais ont aidé les Américains, qui ont aidé les Britanniques, qui ont aidé tout le monde… Face à des adversaires étatiques avec des ressources illimitées, les démocraties doivent s’entraider, mais cette coopération est fragile, comme l’a montré la fin prématurée de l’accès néerlandais.

Et pour les entreprises et les organisations, le message est clair : Vous êtes peut-être déjà compromis car APT29 est patient, très patient… et ils peuvent déjà être dans vos systèmes depuis des années. Une approche “assume breach” (supposez que vous êtes compromis) est donc plus réaliste qu’une approche “empêcher toute intrusion”.

L’authentification multi-facteurs, le principe du moindre privilège, la segmentation réseau, la surveillance comportementale, les EDR/XDR… Toutes ces mesures sont essentielles, mais même avec tout ça, APT29 peut trouver un moyen d’accéder à vos systèmes.

Sans oublier que APT29 continue inexorablement de s’adapter, d’apprendre de leurs erreurs, et d’intégrer de nouvelles techniques à leurs process. L’intelligence artificielle, le machine learning, l’informatique quantique… Toutes ces technologies seront probablement dans leur arsenal dans les années à venir et ce futur s’annonce aussi passionnant que terrifiant ^^.

Certains experts prédisent que la prochaine grande vague d’attaques d’APT29 visera massivement l’infrastructure cloud car avec de plus en plus d’organisations qui migrent sur AWS, Azure ou Google Cloud, c’est la cible logique. Imaginez APT29 avec un accès root aux infrastructures cloud de milliers d’entreprises. Le potentiel de chaos serait vertigineux !

D’autres s’inquiètent également des deepfakes et de la désinformation assistée par IA. APT29 a les compétences techniques et les ressources pour créer des deepfakes ultra-convaincants alors imaginez de fausses vidéos de leaders mondiaux déclarant la guerre, de PDG annonçant des faillites, ou de responsables politiques dans des situations compromettantes. Encore un potentiel énorme de chaos.

Et surtout, comment répondre efficacement à APT29 ??? Car les sanctions économiques et les dénonciations publiques n’ont visiblement aucun effet sur eux. Certains proposent des cyber-ripostes offensives, mais ce serait l’escalade assurée avec un adversaire qui a l’arme nucléaire. D’autres voudraient aussi négocier des “règles du jeu” dans le cyberespace, mais la Russie n’est clairement pas intéressée.

Quoiqu’il en soit, APT29 est à la fois un problème de sécurité nationale et un problème de sécurité individuelle car leurs opérations affectent la géopolitique mondiale, les élections, les relations internationales, mais aussi la vie privée de millions de personnes lambda. Les emails dans le hack du DNC, les données médicales dans le hack de SolarWinds, vos infos perso dans celui de Microsoft… Nous sommes tous des victimes collatérales potentielles.

Surtout que l’histoire d’APT29 est loin d’être finie car tant que le SVR existera et tant que la Russie verra l’Occident comme un adversaire existentiel, les opérations continueront…

Bref, dormez tranquilles braves gens, APT29 veille sur vos données ! 😅

Sources : Wikipedia - Cozy Bear, MITRE ATT&CK - APT29, CISA - APT29 Advisory, Microsoft - NOBELIUM Analysis, FireEye - SUNBURST Analysis, Volkskrant - Dutch Intelligence Operation, Kaspersky - CozyDuke Analysis, Mandiant - UNC2452/APT29 Merge

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

Ces outils sont donc destinés aux professionnels de la sécurité pour :

• Tester la sécurité de leurs propres systèmes
• Effectuer des audits autorisés
• Comprendre les vulnérabilités pour mieux s’en protéger
• Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
python3 darkdump.py --help

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051
HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

• Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
• Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
• Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

A découvrir ici !

Bon, si vous tournez encore sur du Apache 2.4.49 en 2025, j’ai une mauvaise nouvelle : des hackers utilisent probablement votre serveur pour miner du Monero depuis 4 ans et vous ne le savez même pas.

L’histoire commence avec la CVE-2021-41773, une faille de type “path traversal” dans Apache HTTP Server qui permet aux attaquants de naviguer dans l’arborescence de votre serveur comme s’ils étaient chez eux. Cette vulnérabilité a évidemment été patchée en octobre 2021 avec la version 2.4.51 mais on est en juillet 2025, et visiblement, y’a encore du monde qui n’a pas eu le mémo.

Les cybercriminels derrière cette campagne déploient actuellement un cryptominer baptisé Linuxsys. Pour ce faire, ils scannent le net à la recherche de serveurs Apache vulnérables, exploitent la faille pour y déposer leur miner, et hop, votre serveur se met à bosser pour eux.

Le truc marrant (enfin, façon de parler), c’est que cette opération rapporte des cacahuètes car d’après les analyses, le wallet des hackers reçoit environ 0,024 XMR par jour, soit à peu près 8 dollars. C’est le SMIC du cryptomining illégal… Mais bon, quand vous avez 400 serveurs qui bossent pour vous H24, ça finit par faire un petit pécule.

Techniquement, la faille CVE-2021-41773 permet donc de contourner les protections mises en place par Apache pour empêcher l’accès aux fichiers sensibles. En gros, au lieu de taper “../../../etc/passwd” (ce que Apache bloque), les attaquants encodent le deuxième point en “.%2e” et bim, ça passe. C’est con mais ça marche.

Voici à quoi ressemble une attaque typique :

GET /cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd HTTP/1.1

Et si vous avez le module mod_cgi activé avec “Require all granted” dans votre config (ce qui est une très mauvaise idée), les attaquants peuvent carrément exécuter du code sur votre machine. Là, c’est la fête du slip.

Et les cybercriminels ne stockent pas leur malware sur leurs propres serveurs. Non, non, ils compromettent des sites WordPress légitimes et s’en servent comme dépôt. Du coup, quand votre serveur télécharge le cryptominer, il le fait depuis un site avec un certificat SSL valide qui a l’air tout ce qu’il y a de plus normal.

Le script d’installation est d’ailleurs assez basique. Il télécharge le binaire “linuxsys”, un fichier de config, et installe une tâche cron pour que le miner redémarre automatiquement après un reboot. Les commentaires dans le code sont en soundanais (une langue indonésienne), ce qui donne une petite idée de l’origine des attaquants. Et les mecs derrière Linuxsys ne se contentent pas d’exploiter CVE-2021-41773 car ils ont tout un arsenal de vulnérabilités dans leur besace :

• CVE-2024-36401 sur GeoServer
• CVE-2023-22527 sur Atlassian Confluence
• CVE-2023-34960 sur Chamilo LMS
• CVE-2023-38646 sur Metabase
• Et même des failles récentes sur les pare-feux Palo Alto

En gros, si vous avez un truc pas à jour qui traîne sur Internet, y’a de bonnes chances que Linuxsys finisse par toquer à votre porte.

Alors, comment se protéger de cette merde ? C’est pas sorcier :

1. Patchez Apache, bordel ! La version 2.4.51 date d’octobre 2021. Si vous êtes encore en 2.4.49 ou 2.4.50, vous méritez presque de vous faire pwn.
2. Bloquez les domaines malveillants dans votre firewall, notamment repositorylinux.org et les sites WordPress compromis connus.
3. Surveillez votre CPU. Si votre serveur se met à consommer comme un gamer qui lance Cyberpunk 2077 en ultra, c’est louche.
4. Checkez vos connexions sortantes. Si vous voyez du trafic TLS vers pool.hashvault.pro, c’est mort, vous minez pour les autres.
5. Désactivez les modules Apache inutiles et surtout, ne mettez JAMAIS “Require all granted” sur tout votre filesystem. C’est comme laisser vos clés sur la porte d’entrée.

Le plus rageant dans cette histoire, c’est que cette campagne dure depuis 2021. Mêmes attaquants, même méthode, même malware. Ils ont juste à attendre que de nouveaux serveurs mal configurés apparaissent sur le net et voilà.

Et n’oubliez pas. Si vous gérez des serveurs, abonnez-vous aux alertes de sécurité d’Apache et des autres softs que vous utilisez. Ça prend 2 minutes et ça peut vous éviter de finir en sueur dans un article comme celui-ci.

Bref, ces méchants hackers n’ont pas besoin d’être des génies, ils ont juste besoin que vous soyez négligents… Alors allez vérifier vos versions d’Apache maintenant !

Source