Planète Warez

C’est l’histoire d’une hackeuse qui a littéralement fait trembler Intel, Microsoft et toute l’industrie de la sécurité et qui a prouvé qu’on ne pouvait JAMAIS faire confiance à un ordinateur.

Je ne me souviens absolument pas du jour où j’ai découvert Blue Pill mais c’est en août 2006, lors de la présentation de Joanna Rutkowska à Black Hat, que le monde a découvert cet outil. Les forums de sécurité étaient en ébullition totale car une hackeuse polonaise de 25 ans venait de démontrer comment créer un rootkit 100% indétectable en utilisant de la virtualisation hardware. Les experts étaient alors partagés entre l’admiration et la terreur absolue.

Comment une chercheuse inconnue du grand public avait-elle pu mettre à genoux toute l’industrie et devenir quelques années plus tard, l’architecte de l’OS le plus sécurisé au monde ? Je vais tout vous raconter…

Joanna Rutkowska naît en 1981 à Varsovie, dans une Pologne encore sous régime communiste. Quand elle débarque sur Terre, Solidarność vient juste d’être interdit et le général Jaruzelski impose la loi martiale. C’est dans ce contexte politique super tendu qu’elle grandit, dans une ville où l’accès à la technologie occidentale reste un luxe rare.

En 1992, à 11 ans, Joanna découvre son premier ordinateur. Un PC/AT 286 avec un processeur à 16 MHz, 2 MB de RAM et un disque dur de 40 MB. Pour une gamine de cet âge dans la Pologne post-communiste, c’est comme trouver un trésor. Alors pendant que ses copines jouent à la poupée Barbie, Joanna passe ses journées devant l’écran monochrome, fascinée par ce monde binaire.

Elle commence par apprendre GW-BASIC, puis découvre Borland Turbo Basic. Les lignes de code défilent, les programmes prennent vie. C’est magique ! Elle passe des heures à créer des petits jeux, des utilitaires et tout ce qui lui passe par la tête. Mais très vite, le BASIC ne lui suffit plus. Elle veut comprendre comment fonctionne VRAIMENT la machine.

L’adolescence de Joanna est marquée par une curiosité dévorante pour les entrailles des systèmes. Elle se plonge dans la programmation assembleur x86, le langage le plus proche du hardware. C’est hardcore, c’est complexe, mais c’est exactement ce qu’elle cherche. Elle veut tout contrôler, tout comprendre, tout maîtriser jusqu’au dernier registre du processeur.

Alors elle ne se contente pas d’apprendre. Elle expérimente, crée ses premiers virus. Pas pour nuire hein, mais pour comprendre. Comment un programme peut-il se répliquer ? Comment peut-il se cacher ? Comment peut-il survivre ? Ces questions l’obsèdent. Elle passe ses nuits à désassembler des programmes, à tracer leur exécution instruction par instruction.

Et au milieu des années 90, quelque chose change. Les maths et l’intelligence artificielle commencent à la fasciner. Elle découvre les réseaux de neurones, les algorithmes génétiques, et tout ce qui touche à l’IA naissante. Elle dévore les whitepapers de recherche, implémente des prototypes. Et cette même passion qu’elle avait mise dans l’assembleur, elle la met maintenant dans l’IA.

Parallèlement, elle découvre Linux et le monde de l’open source et c’est une révélation totale ! Un système d’exploitation dont on peut lire le code source, c’est fou ! Elle peut enfin voir comment fonctionne vraiment un OS moderne. Elle compile son premier kernel, le modifie, le recompile. Elle apprend la programmation système, les drivers, les mécanismes de sécurité du kernel.

Puis à la fin des années 90, Joanna fait un choix crucial. Elle retourne à sa première passion : la sécurité informatique. Mais cette fois avec une approche différente. Elle ne veut plus créer des virus pour le fun, non, elle veut comprendre comment sécuriser les systèmes, comment les protéger, comment détecter les attaques les plus sophistiquées.

Alors elle s’inscrit à l’Université de Technologie de Varsovie (Warsaw University of Technology), l’une des meilleures facs d’informatique de Pologne et là, elle approfondit ses connaissances théoriques tout en continuant ses recherches personnelles sur les exploits Linux x86 et Win32 puis finit par se spécialiser dans la sécurité système, un domaine encore peu exploré à l’époque.

Son mémoire de master porte sur les techniques de dissimulation des malwares. Elle y développe des concepts qui préfigurent déjà ses futures recherches. Comment un programme malveillant peut-il se rendre totalement invisible ? Comment peut-il tromper les outils de détection les plus sophistiqués ? Ses profs sont bluffés par la profondeur de son analyse.

Diplômée, Joanna commence à bosser comme consultante en sécurité, mais très vite, elle réalise que le consulting ne la satisfait pas. Elle veut faire de la recherche [censored] et dure, explorer les limites de ce qui est possible, repousser les frontières de la sécurité informatique. Pas juste auditer des systèmes pour des clients corporate.

C’est à cette époque qu’elle commence à s’intéresser à la virtualisation. Intel et AMD viennent de sortir leurs nouvelles extensions de virtualisation hardware : VT-x et AMD-V. Pour la plupart des gens, c’est juste une amélioration technique pour faire tourner des VMs plus efficacement mais pour Joanna, c’est bien plus que ça. C’est une nouvelle surface d’attaque.

Elle passe des mois à étudier ces nouvelles technologies. Elle lit les manuels Intel de 3000 pages (oui, 3000 !), analyse chaque instruction, comprend chaque mécanisme. Les opcodes VMXON, VMXOFF, VMRESUME deviennent ses meilleurs amis et petit à petit, une idée germe dans son esprit génial.

Et si on pouvait utiliser la virtualisation non pas pour protéger, mais pour attaquer ? Et si on pouvait créer un hyperviseur malveillant qui prendrait le contrôle total d’un système sans que personne ne s’en aperçoive ? Un rootkit qui s’exécuterait à un niveau encore plus bas que le kernel, dans le ring -1 comme on dit.

L’idée est révolutionnaire car jusqu’alors, les rootkits devaient modifier le kernel, laissaient des traces, et étaient détectables d’une manière ou d’une autre. Mais avec la virtualisation hardware, on pourrait créer un rootkit qui contrôle le système d’exploitation lui-même sans jamais le toucher. Le rootkit parfait en somme…

En 2006, Joanna est prête. Elle a développé une preuve de concept qu’elle appelle “Blue Pill”, en référence à la pilule bleue de Matrix. Le nom est parfait car comme dans le film, le système d’exploitation continue de vivre dans une réalité virtuelle sans se douter qu’il est contrôlé par une entité supérieure. “Your operating system swallows the Blue Pill and it awakes inside the Matrix”, comme elle le dira.

À cette époque, Joanna bosse pour COSEINC Research, une boîte de sécurité basée à Singapour et ce sont eux qui financent ses recherches sur Blue Pill. Mais attention, Blue Pill n’est pas destiné à être vendu ou distribué. C’est exclusivement pour la recherche, simplement pour “prouver le concept” (PoC).

Le 3 août 2006, Las Vegas. C’est l’heure de la Black Hat, LA conférence de sécurité la plus prestigieuse au monde. Joanna monte sur scène, elle a 25 ans, elle est inconnue du grand public américain, et elle s’apprête à bouleverser le monde de la cybersécurité.

The idea behind Blue Pill is simple,

commence-t-elle avec son accent polonais caractéristique,

Your operating system swallows the Blue Pill and it awakes inside the Matrix controlled by the ultra-thin Blue Pill hypervisor.

La salle est bondée. Les experts sont venus voir cette jeune chercheuse polonaise qui prétend avoir créé un rootkit indétectable. Certains sont sceptiques. D’autres curieux. Personne ne s’attend à ce qui va suivre.

Joanna lance sa démo. En quelques secondes, elle installe Blue Pill sur un système Windows Vista en cours d’exécution. Pas de redémarrage. Pas de modification visible. Le système continue de fonctionner normalement, sauf qu’il est maintenant entièrement sous le contrôle de Blue Pill.

Elle montre alors comment Blue Pill peut intercepter tous les appels système, modifier les résultats, cacher des processus, des fichiers, des connexions réseau. Tout ça sans toucher à un seul octet du kernel Windows. Les outils de détection de rootkits ne voient rien, les antivirus sont aveugles et le système lui-même n’a aucune idée qu’il s’exécute dans la machine virtuelle.

Le plus fou c’est que Blue Pill n’exploite aucun bug dans AMD-V ou Intel VT-x. Il utilise uniquement les fonctionnalités documentées. Ce n’est pas un exploit, c’est une utilisation créative de la technologie.

Blue Pill does *not* rely on any bug in Pacifica neither in OS,

précise-t-elle.

La démonstration se termine. Un silence de cathédrale règne dans la salle. Puis les applaudissements explosent. Les experts présents réalisent qu’ils viennent d’assister à quelque chose d’historique. Joanna Rutkowska vient de prouver que la virtualisation hardware peut être “weaponisée”.

L’impact est immédiat et dévastateur et les médias s’emparent de l’histoire. eWeek Magazine la nomme parmi les “Five Hackers who put a mark on 2006”. Les forums de sécurité s’enflamment et les débats font rage. Est-ce vraiment indétectable ? Comment se protéger ? Faut-il interdire la virtualisation hardware ?

Microsoft est en panique totale. Leur nouveau Vista, qui devait être le système le plus sécurisé jamais créé, vient d’être compromis par une hackeuse de 25 ans et surtout, Intel n’est pas mieux car leur technologie VT-x, censée améliorer la sécurité, devient soudain une menace. Même AMD essaie de minimiser, publiant un communiqué disant que Blue Pill n’est pas vraiment “indétectable”.

Mais Joanna ne s’arrête pas là et dans les mois qui suivent, elle publie plus de détails techniques sur son blog The Invisible Things. Elle explique comment Blue Pill fonctionne, les défis techniques qu’elle a dû surmonter. Bien sûr, elle ne publie pas le code source complet (COSEINC garde ça pour leurs trainings), mais elle donne assez d’infos pour que d’autres chercheurs comprennent.

Et en 2007, la controverse atteint son paroxysme. Trois chercheurs en sécurité de renom, Thomas Ptacek de Matasano Security, Nate Lawson de Root Labs et Peter Ferrie de Symantec, défient publiquement Joanna. Ils prétendent avoir développé des techniques pour détecter Blue Pill et ils lui proposent un duel à Black Hat 2007.

Leur présentation s’intitule “Don’t Tell Joanna: The Virtualised Rootkit Is Dead”. Ils veulent prouver que Blue Pill n’est pas si indétectable que ça alors ils proposent un challenge : leur détecteur contre le rootkit de Joanna. Que le meilleur gagne !

Joanna accepte le défi, mais à une condition : Elle demande 384 000 dollars pour participer. Pas par cupidité, mais pour border le projet car ce qu’elle a maintenant, c’est un prototype et pour en faire quelque chose de vraiment “hard to detect”, il faudrait deux personnes à plein temps pendant six mois à 200 dollars de l’heure. Elle et Alexander Tereshkin ont déjà investi quatre mois-personnes et il en faudrait douze de plus pour avoir un vrai rootkit de production.

Certains disent qu’elle a peur de perdre, d’autres comprennent sa position et que le montant demandé représente le coût réel du développement d’un rootkit de production, et pas juste une preuve de concept académique.

Finalement, le duel n’aura pas lieu et les deux parties s’accordent sur le fait qu’en l’état actuel, Blue Pill n’est pas prêt pour un tel challenge. Mais les chercheurs présentent quand même leur talk. Joanna et Alexander Tereshkin contre-attaquent avec leur propre présentation, démontrant que les méthodes de détection proposées sont imprécises et facilement contournables.

En avril 2007, au milieu de cette tempête médiatique, Joanna prend alors une décision qui va changer sa vie. Elle fonde Invisible Things Lab (ITL) à Varsovie. L’idée est simple : créer un laboratoire de recherche indépendant, focalisé sur la sécurité système au plus bas niveau. Pas de produits commerciaux, pas de bullshit marketing. Juste de la recherche [censored] et dure.

ITL attire rapidement les meilleurs talents. Alexander Tereshkin, un génie russe de la sécurité hardware. Rafał Wojtczuk, un expert polonais des systèmes d’exploitation qui deviendra son bras droit pendant des années. Ensemble, ils forment une dream team de la sécurité offensive. Et leur première cible majeure c’est Intel Trusted Execution Technology (TXT).

C’est une technologie qui est censée garantir qu’un système démarre dans un état sûr, non compromis. C’est le Saint Graal de la sécurité à savoir un boot de confiance, vérifié par le hardware. Intel en fait la promotion comme LA solution contre les rootkits.

Alors en janvier 2009, Joanna et Rafał frappent fort et publient une attaque dévastatrice contre Intel TXT. Le point faible c’est le System Management Mode (SMM), un mode d’exécution spécial du processeur qui a plus de privilèges que tout le reste, y compris l’hyperviseur. C’est le ring -2, encore plus profond que le ring -1 de Blue Pill !

Leur découverte est brillante dans sa simplicité car TXT vérifie l’intégrité du système au démarrage, mais il ne vérifie pas le code SMM. Si un attaquant parvient à infecter le SMM avant le boot, il peut alors survivre au processus de démarrage sécurisé et compromettre le système “de confiance”. Pour prouver leur dires, ils créent un rootkit SMM qui s’installe via une vulnérabilité de cache poisoning et une fois en place, il peut compromettre n’importe quel système, même après un boot TXT “sécurisé”. Ils démontrent ainsi l’attaque en ajoutant une backdoor au hyperviseur Xen.

Game over pour Intel TXT.

Intel est furieux. Non seulement leur technologie phare vient d’être cassée, mais Joanna révèle que des employés Intel avaient alerté le management sur cette vulnérabilité dès 2005. Trois ans d’inaction. Trois ans pendant lesquels les clients ont cru être protégés alors qu’ils ne l’étaient pas. C’est un scandale.

Face au silence d’Intel, Joanna et Rafał décident de leur forcer la main. En mars 2009, ils annoncent qu’ils vont publier le code complet de leur exploit SMM. C’est un coup de poker risqué car publier un exploit aussi puissant pourrait être dangereux, mais c’est le seul moyen de forcer Intel à agir.

Heureusement, la stratégie fonctionne et Intel se met enfin au boulot pour pondre des correctifs. Mais le problème est complexe car il ne s’agit pas juste de patcher un bug. Il faut repenser toute l’architecture de confiance, développer un “SMM Transfer Monitor” (STM), convaincre les fabricants de BIOS de l’implémenter. Ça va prendre des années.

Pendant ce temps, Joanna continue d’explorer d’autres angles d’attaque. Elle s’intéresse particulièrement aux attaques physiques. C’est dans ce contexte qu’elle invente un concept qui va entrer dans l’histoire : l’attaque “Evil Maid”.

L’idée lui vient lors d’un voyage. Elle réalise que même avec le chiffrement intégral du disque, un laptop laissé dans une chambre d’hôtel reste vulnérable. Une femme de chambre malveillante (d’où le nom “Evil Maid”) pourrait booter l’ordinateur sur une clé USB, installer un keylogger dans le bootloader, et capturer le mot de passe de déchiffrement lors du prochain démarrage.

En 2009, elle publie alors une preuve de concept contre TrueCrypt, le logiciel de chiffrement le plus populaire de l’époque. L’attaque est élégante : une clé USB bootable qui modifie TrueCrypt pour enregistrer le mot de passe. L’utilisateur revient, tape son mot de passe, et hop, il est enregistré sur le disque. L’attaquant n’a plus qu’à revenir pour le récupérer.

Le terme “Evil Maid attack” entre immédiatement dans le vocabulaire de la sécurité car il capture parfaitement la vulnérabilité fondamentale des appareils laissés sans surveillance. Même avec les meilleures protections logicielles, un accès physique change tout. C’est devenu un classique, au même titre que “man-in-the-middle” ou “buffer overflow”. Mais Joanna ne se contente pas de casser des choses… Elle veut aussi construire et c’est là que naît son projet le plus ambitieux : Qubes OS

L’idée de Qubes germe depuis longtemps dans son esprit, car après des années à découvrir faille sur faille, elle réalise une vérité fondamentale : aucun système n’est sûr. Il y aura toujours des bugs, toujours des vulnérabilités. La question n’est donc pas “si” mais “quand” un système sera compromis.

Alors plutôt que d’essayer de créer un système parfait (mission impossible), pourquoi ne pas créer un système qui assume qu’il sera compromis ? Un système où la compromission d’une partie n’affectera pas le reste ? C’est le concept de “security by compartmentalization”, la sécurité par compartimentation.

En 2010, elle s’associe avec Rafał Wojtczuk et Marek Marczykowski-Górecki pour concrétiser cette vision. Qubes OS est basé sur Xen, un hyperviseur bare-metal mais au lieu d’utiliser Xen pour faire tourner plusieurs OS complets, Qubes l’utilise pour créer des dizaines de machines virtuelles légères, chacune dédiée à une tâche spécifique. Vous voulez surfer sur des sites douteux ? Une VM dédiée isolée. Faire du banking en ligne ? Une autre VM. Travailler sur des documents sensibles ? Encore une autre VM. Chaque VM est isolée des autres, comma ça, si l’une est compromise par un malware, les autres restent safe. C’est loin d’être con !

Mais Qubes va encore plus loin. Il utilise des VMs spécialisées pour les tâches critiques. NetVM gère uniquement le réseau. USB VM gère les périphériques USB (super dangereux). AudioVM gère le son. Ainsi, même si un driver est compromis, il ne peut pas accéder au reste du système. L’isolation est totale.

Le développement de Qubes est un défi monumental car il faut repenser toute l’expérience utilisateur. Comment faire pour que l’utilisateur lambda puisse utiliser des dizaines de VMs sans devenir fou ? Comment gérer le copier-coller entre VMs de manière sécurisée ? Comment partager des fichiers sans compromettre l’isolation ?

Joanna et son équipe passent ainsi deux ans à résoudre ces problèmes. Ils créent des mécanismes élégants pour que tout soit transparent. Les fenêtres des différentes VMs s’affichent sur le même bureau, avec des bordures colorées pour indiquer leur niveau de sécurité (rouge pour non fiable, jaune pour perso, vert pour travail, etc.) et le copier-coller fonctionne, mais de manière contrôlée via des canaux sécurisés.

Puis le 3 septembre 2012, Qubes OS 1.0 est officiellement lancé. La réaction de la communauté sécurité est mitigée. Certains adorent le concept tandis que d’autres trouvent ça trop complexe, trop lourd, trop paranoïaque. “C’est overkill”, disent certains. “C’est le futur”, répondent d’autres. Mais Joanna a un supporter de poids…

En 2013, Edward Snowden fuit les États-Unis avec des téraoctets de documents classifiés de la NSA. Pour communiquer avec les journalistes de manière sécurisée, il a besoin d’un système ultra-sécurisé. Son choix ? Qubes OS.

Le 29 septembre 2016, Snowden tweete : “If you’re serious about security, @QubesOS is the best OS available today. It’s what I use, and free. Nobody does VM isolation better.” Pour Joanna, c’est une validation extraordinaire car si l’homme le plus recherché du monde fait confiance à Qubes pour sa sécurité, c’est que le système fonctionne.

Le soutien de Snowden propulse Qubes dans la lumière et, d’un coup, tout le monde veut comprendre ce système. Les journalistes qui travaillent sur des sujets sensibles l’adoptent (Laura Poitras, Glenn Greenwald), les activistes l’utilisent, les chercheurs en sécurité aussi.

Mais Joanna reste humble. “A reasonably secure operating system”, c’est comme ça qu’elle décrit Qubes. Pas “ultra-secure”, pas “unbreakable”. Juste “reasonably secure”. Cette humilité, cette reconnaissance des limites, c’est ce qui fait la force de son approche car elle sait qu’aucun système n’est parfait.

Au fil des ans, Qubes continue d’évoluer. Version 2.0 en 2014, 3.0 en 2015, 4.0 en 2018. Chaque version apporte des améliorations, des raffinements et l’équipe grandit. La communauté aussi. Qubes devient une référence dans le monde de la sécurité, utilisé par ceux qui ont vraiment besoin de protection.

Mais Joanna a une philosophie qui la distingue des autres, car elle refuse catégoriquement de déposer des brevets. “I proudly hold 0 (zero) patents”, affirme-t-elle sur ses réseaux. Pour elle, les brevets sont antithétiques à la sécurité et la sécurité doit être ouverte, vérifiable, accessible à tous et surtout pas enfermée dans des coffres légaux.

Cette philosophie s’étend à sa vision de la liberté individuelle.

I strongly believe that freedom of individuals is the most important value,

dit-elle car pour elle, la sécurité informatique n’est pas une fin en soi. C’est un moyen de préserver la liberté, de permettre aux individus de faire des choix, de protéger leur vie privée contre les États et les corporations.

En octobre 2018, après neuf ans à la tête de Qubes et d’ITL, Joanna surprend tout le monde. Elle annonce qu’elle prend un congé sabbatique. Elle veut explorer de nouveaux horizons, réfléchir à la suite. Qubes est entre de bonnes mains avec Marek Marczykowski-Górecki qui prend la relève.

Sa décision est mûrement réfléchie.

These are very important problems, in my opinion, and I’d like to work now on making the cloud more trustworthy, specifically by limiting the amount of trust we have to place in it,

explique-t-elle. Après avoir sécurisé les endpoints, elle veut maintenant s’attaquer au cloud.

Nouvelle surprise : Joanna rejoint Golem, un projet de blockchain visant à créer un “ordinateur décentralisé”. Elle devient Chief Strategy Officer et Chief Security Officer. Son passage de la sécurité des endpoints à la blockchain surprend beaucoup de monde. “Qu’est-ce qu’elle va faire dans la crypto ?”, se demandent certains.

Mais pour Joanna, c’est une évolution logique car après avoir passé des années à sécuriser des systèmes individuels, elle veut maintenant s’attaquer à la sécurité des systèmes distribués. Comment sécuriser un ordinateur composé de milliers de machines appartenant à des inconnus ? Comment garantir la confidentialité dans un système décentralisé ?

En juillet 2019, la Golem Foundation commence alors ses opérations et Joanna devient “Long-term navigator and Wildland chief architect”. Son projet le plus ambitieux chez Golem c’est Wildland, un système de fichiers décentralisé qui veut libérer les données des silos des GAFAM. L’idée de Wildland c’est de permettre aux utilisateurs de stocker leurs données où ils veulent (Amazon S3, Dropbox, leur propre serveur, IPFS…) tout en ayant une interface unifiée. Plus besoin de se souvenir où est stocké quoi. Plus de vendor lock-in. Vos données vous appartiennent vraiment.

Et surtout, Wildland va plus loin que le simple stockage. Il introduit des concepts innovants comme la “multi-catégorisation” (un fichier peut appartenir à plusieurs catégories simultanément) et le “cascading addressing” (possibilité de créer des hiérarchies complexes sans point central de confiance). C’est de la décentralisation pragmatique.

What we believe we do in a non-standard way is we are more pragmatic,

explique Joanna.

We don’t tell the user: ditch any kind of data centers you use and only use a P2P network. We say: use anything you want.

Cette approche pragmatique, c’est du pur Joanna.

Le 24 juin 2021, Wildland 0.1 est lancé lors d’un meetup à Varsovie. Joanna présente le projet :

Wildland containers are similar to Docker containers, except that dockers are for code, and Wildland containers can store any type of information.

L’accueil est positif mais mesuré. Le projet est ambitieux, peut-être trop.

Pour Joanna, Wildland représente la suite logique de son travail sur Qubes. Si Qubes compartimente l’exécution pour la sécurité, Wildland compartimente les données pour la liberté. Les deux ensemble offrent une vision d’un futur où les utilisateurs reprennent le contrôle de leur vie numérique.

Aujourd’hui, Joanna continue son travail sur les systèmes décentralisés. Elle reste conseillère pour Qubes OS, participe aux décisions stratégiques et sur son profil GitHub, ces 2 mots résument sa philosophie : “Distrusts computers.” Cette méfiance fondamentale envers la technologie, paradoxale pour quelqu’un qui y a consacré sa vie, est en fait sa plus grande force.

C’est parce qu’elle ne fait pas confiance aux ordinateurs qu’elle peut les sécuriser. C’est parce qu’elle comprend leurs failles qu’elle peut les protéger. C’est parce qu’elle sait qu’ils nous trahiront qu’elle construit des systèmes qui limitent les dégâts.

Elle a montré que la virtualisation pouvait être une arme avec Blue Pill. Elle a prouvé qu’aucun système n’est inviolable avec ses attaques contre Intel TXT. Elle a inventé des concepts comme l’Evil Maid attack qui font maintenant partie du vocabulaire de base. Mais surtout, elle a créé Qubes OS, un système qui protège les plus vulnérables. Journalistes, activistes, lanceurs d’alerte… Tous ceux qui ont vraiment besoin de sécurité utilisent Qubes. C’est son œuvre majeure, sa contribution la plus importante à la liberté numérique.

Elle incarne aussi une certaine éthique du hacking. Pas le hacking pour la gloire ou l’argent (elle aurait pu se faire des millions avec des brevets), mais le hacking comme outil de liberté. Le hacking comme moyen de reprendre le contrôle. Le hacking comme acte de résistance contre les systèmes opaques et les monopoles technologiques.

Aujourd’hui, Joanna continue d’écrire, de chercher et de construire. Ses articles sur “Intel x86 Considered Harmful” et “State Considered Harmful” proposent des visions radicales de ce que pourrait être l’informatique. Un monde sans état persistant, sans les architectures x86 legacy, sans les compromis du passé.

Des rêves impossibles ? Peut-être pas…

– Sources :

Wikipedia - Joanna Rutkowska, Wikipedia - Blue Pill, The Invisible Things Blog, Black Hat 2006 - Blue Pill Presentation, Qubes OS Official Website, Edward Snowden Twitter, Wildland Project, Invisible Things Lab

https://korben.info/joanna-rutkowska-blue-pill-qubes-os-histoire-complete.html

Aujourd’hui, pour ma série de l’été, je vais vous raconter l’histoire complètement dingue de Marcus Hutchins, le britannique qui a sauvé le monde d’une catastrophe et ça lui a coûté seulement 10,69 dollars. Mais attention, ce n’est pas juste l’histoire d’un héros. C’est aussi celle d’un ancien créateur de malware, d’exploits volés à la NSA, de hackers nord-coréens, et d’un kill switch découvert par accident un vendredi après-midi de mai 2017.

Du héros au criminel, du criminel au héros, l’histoire de Marcus Hutchins ressemble à un scénario de film qu’Hollywood n’oserait même pas écrire tellement c’est gros. Accrochez-vous, car on va explorer ensemble comment un surfeur de 22 ans vivant chez ses parents a stoppé la plus grande cyberattaque de l’histoire… avant de se faire coffrer par le FBI trois mois plus tard.

– Marcus Hutchins, alias MalwareTech - Le hacker qui a sauvé Internet

Marcus Hutchins naît le 2 juin 1994 à Bracknell, une ville tranquille du Berkshire, en Angleterre. Sa famille déménage ensuite à Ilfracombe, une petite station balnéaire du Devon où il passe son enfance. Un coin paumé du sud-ouest anglais où il ne se passe pas grand-chose… le genre d’endroit où un gamin intelligent peut vite s’ennuyer et chercher des trucs à faire sur Internet.

Dès l’âge de 6 ans, Marcus montre des signes d’une intelligence au-dessus de la moyenne. Il apprend à lire tout seul, dévore les livres, et se passionne pour les ordinateurs dès qu’il peut en toucher un. Mais socialement, c’est compliqué. Marcus est le genre de gosse brillant mais inadapté, celui qui préfère passer ses récréations à coder plutôt qu’à jouer au foot avec les autres. Il souffre de TDAH non diagnostiqué, ce qui complique encore plus son intégration sociale.

– Ilfracombe, Devon - Où tout a commencé pour le futur MalwareTech

À 13 ans, Marcus découvre le hacking et pas par hasard. Il cherche des moyens de contourner les restrictions parentales sur son ordinateur, pour accéder à des sites bloqués… bref, les trucs classiques d’un ado curieux. Il tombe alors sur HackForums et d’autres communautés underground, et là, c’est la révélation. Il découvre un monde où son intelligence et sa curiosité sont valorisées, et où être différent est un atout.

Marcus commence doucement. Il apprend le C++, le Python, l’assembleur. Il passe ses nuits sur les forums, absorbe tout ce qu’il peut sur la sécurité informatique. À 14 ans, il écrit déjà ses premiers exploits et commence à se faire un nom dans la communauté sous le pseudo MalwareTech. Ses parents s’inquiètent de le voir passer autant de temps devant son écran, mais bon, au moins il ne traîne pas dans la rue, pas vrai ?

Entre 14 et 16 ans, Marcus plonge de plus en plus profondément dans le monde du malware. Il commence par analyser des virus existants, les désassemble, comprend comment ils fonctionnent. Puis il se met à créer ses propres outils. Rien de méchant au début, juste des proof-of-concept pour impressionner ses potes sur les forums.

Mais rapidement, la frontière entre l’expérimentation et la criminalité devient floue. Marcus commence à vendre ses créations sur des forums underground. Un rootkit par-ci, un crypter par-là. Il se fait de l’argent de poche en créant des outils que d’autres utilisent pour des activités criminelles. Pour lui, c’est juste un jeu, un moyen de prouver ses compétences et de gagner un peu d’argent.

En 2012, à 18 ans, Marcus développe ce qui deviendra son plus gros problème : UPAS Kit, un malware sophistiqué capable de voler des informations bancaires. Il vend le code source pour quelques milliers de dollars à un acheteur anonyme sur un forum russe. L’argent c’est cool, et Marcus ne pense pas vraiment aux conséquences. C’est là qu’il rencontre “Vinny”, un cybercriminel expérimenté qui voit le potentiel du code de Marcus.

Entre 2012 et 2015, Marcus et Vinny développent Kronos, une version améliorée d’UPAS Kit. Kronos est un cheval de Troie bancaire redoutable, capable d’intercepter les identifiants bancaires, de contourner l’authentification à deux facteurs, et de voler des millions. Marcus code, Vinny vend. Le malware se retrouve alors sur AlphaBay et d’autres marchés du dark web, vendu 7000 dollars la licence. Comme Zeus avant lui, Kronos utilise une combinaison de keylogging et d’injection web pour voler les identifiants bancaires directement depuis les sessions de navigation.

– Le code source de Kronos - L’erreur de jeunesse qui coûtera cher

Mais en 2015, Marcus a une prise de conscience. Il réalise que son code est utilisé pour ruiner de vraies personnes, voler leurs économies, détruire des vies. Il décide donc d’arrêter, il coupe les ponts avec Vinny, abandonne ses activités criminelles, et décide de passer du côté lumineux de la Force.

Marcus lance alors le blog MalwareTech.com et commence à publier des analyses détaillées de malwares. Ses articles sont brillants, techniques, et il est rapidement remarqués par la communauté de la cybersécurité. En 2016, il décroche alors un job chez Kryptos Logic, une boîte de cybersécurité basée à Los Angeles. Pour la première fois de sa vie, Marcus a un vrai travail, légal, où ses compétences sont utilisées pour protéger plutôt que pour attaquer.

Personne ne sait rien de son passé. Pour tous, MalwareTech est juste un jeune chercheur talentueux qui a appris sur le tas. Marcus garde son secret, espère que son passé ne le rattrapera jamais. Il travaille dur, publie des recherches de qualité, aide à stopper des campagnes de malware. La rédemption semble à portée de main.

– Le siège de la NSA - D’où vont fuiter les cyberarmes

Pendant que Marcus reconstruit sa vie, de l’autre côté de l’Atlantique, la NSA développe ses propres outils. Parmi eux, un exploit particulièrement vicieux baptisé EternalBlue. Cet exploit exploite une vulnérabilité dans le protocole SMBv1 de Windows, permettant d’exécuter du code à distance sur n’importe quelle machine Windows vulnérable, sans aucune interaction de l’utilisateur.

EternalBlue, c’est la Rolls-Royce des exploits. Vous êtes connecté au même réseau qu’une machine vulnérable ? Boum, vous pouvez la contrôler. C’est l’outil parfait pour l’espionnage. Le problème, c’est que la NSA garde cet exploit secret pendant des années. Au lieu de prévenir Microsoft pour qu’ils corrigent la faille, ils préfèrent garder leur jouet pour leurs opérations.

En 2016, un groupe mystérieux appelé les Shadow Brokers fait son apparition. Personne ne sait vraiment qui ils sont… des hackers russes ? Des insiders de la NSA ? Le mystère reste entier. Ce qui est sûr, c’est qu’ils ont mis la main sur les outils de l’équipe d’élite de la NSA, l’Equation Group.

Les Shadow Brokers tentent d’abord de vendre ces outils aux enchères pour 1 million de bitcoins. Personne ne mord à l’hameçon. Le 14 avril 2017, frustrés de ne pas avoir trouvé d’acheteurs, ils balancent tout gratuitement sur Internet. Dans le lot : EternalBlue, DoublePulsar, et une collection d’autres cyberarmes. C’est comme si quelqu’un venait de publier les plans d’une bombe atomique numérique.

Microsoft avait été prévenu alors un mois avant la publication par les Shadow Brokers, le 14 mars 2017, ils sortent le patch MS17-010. La faille est corrigée pour toutes les versions de Windows encore supportées. Mais voilà le problème… des millions de machines tournent encore sous Windows XP, Windows Server 2003, des systèmes qui ne reçoivent plus de mises à jour depuis des années. Et puis y’a tous ceux qui ne patchent jamais.

Quelque part en Corée du Nord, le Lazarus Group voit une opportunité. Ces hackers d’élite du régime de Kim Jong-un (les mêmes qui ont hacké Sony Pictures en 2014 et volé 81 millions à la banque du Bangladesh en 2016) décident d’utiliser EternalBlue pour créer quelque chose de nouveau : un ransomware capable de se propager tout seul.

Le 12 mai 2017, à 7h44 UTC, l’attaque commence et les premières victimes sont en Asie, probablement parce que l’attaque a été lancée pendant les heures de bureau là-bas. WannaCry (aussi appelé WannaCrypt, WanaCrypt0r 2.0, ou Wanna Decryptor) n’est pas un ransomware ordinaire. C’est un ver qui scanne le réseau local et Internet à la recherche d’autres victimes vulnérables sur le port 445 (SMB).

– L’écran de la mort WannaCry - “Oops, your files have been encrypted!”

Le ransomware chiffre les fichiers de la victime avec un algorithme RSA-2048. Les documents, photos, vidéos, tout y passe, puis il affiche son fameux écran rouge demandant 300$ en Bitcoin, doublé à 600$ après trois jours. Si vous ne payez pas dans la semaine, vos fichiers sont perdus pour toujours. Mais le plus vicieux, c’est la vitesse de propagation car chaque machine infectée devient immédiatement un nouveau vecteur d’infection. Une machine en infecte dix, qui en infectent cent, qui en infectent mille…

En quelques heures, c’est la panique mondiale. En Espagne, Telefónica est touché, en Russie, c’est le ministère de l’Intérieur qui est frappé avec plus de 1000 ordinateurs infectés. FedEx est paralysé, leur filiale TNT Express doit revenir aux opérations manuelles et Renault doit arrêter la production dans plusieurs usines.

Mais c’est au Royaume-Uni que l’impact est le plus dramatique. Le NHS, le service de santé public britannique, est frappé de plein fouet. 81 des 236 fiducies du NHS sont touchés ainsi que plus de 595 cabinets de médecins généralistes. Les conséquences sont immédiates et terrifiantes.

– Les hôpitaux britanniques paralysés par WannaCry

Les médecins ne peuvent plus accéder aux dossiers des patients, les systèmes de rendez-vous sont hors service, les résultats de tests sanguins, inaccessibles. Les scanners et IRM dans certains hôpitaux ne fonctionnent plus. Des ambulances doivent être détournées vers d’autres hôpitaux. 19 000 rendez-vous sont annulés, des opérations non urgentes reportées. Le coût pour le NHS est de 92 millions de livres sterling soit 20 millions en perte d’activité immédiate et 72 millions pour restaurer les systèmes.

Un médecin raconte :

C’était le chaos total. On avait des Post-it partout pour noter les informations vitales. On faisait des allers-retours entre les services pour transmettre les résultats de tests à la main. C’était comme revenir 30 ans en arrière, mais sans y être préparé.

Pendant ce temps, à Ilfracombe dans le Devon, Marcus Hutchins se réveille. Il est en vacances, censé se détendre et faire du surf. Mais les alertes sur son téléphone lui disent que quelque chose de grave se passe. Marcus a maintenant 22 ans, et il travaille depuis sa chambre d’enfance sur un setup à trois écrans. Il interrompt son déjeuner et se met au travail.

Marcus télécharge un échantillon du malware et le fait tourner dans une sandbox, et là, il remarque quelque chose d’étrange. Avant de chiffrer les fichiers, le malware essaie de contacter un domaine : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Un nom de domaine complètement random, 42 caractères de charabia. Marcus vérifie et constate que le domaine n’existe pas.

Par curiosité professionnelle et réflexe d’analyse, Marcus décide alors d’enregistrer le domaine pour tracker l’infection. Ça lui coûte 10,69 dollars sur NameCheap et il configure quelques serveurs pour logger les connexions, une pratique courante appelée “sinkholing”. Et à 15h03 UTC, le domaine est actif.

Ce que Marcus ne réalise pas immédiatement, c’est qu’il vient de sauver le monde. En enregistrant ce domaine, il a activé sans le savoir le “kill switch” de WannaCry car le malware était programmé pour s’arrêter si ce domaine existait.

Pourquoi ce kill switch ? La théorie la plus probable c’est que c’était un mécanisme d’anti-analyse. Les sandboxes répondent souvent positivement à toutes les requêtes DNS pour tromper les malwares. Comme ça, si le domaine existe, WannaCry pense qu’il est dans une sandbox et s’arrête pour ne pas révéler son comportement aux chercheurs. Sauf que cette fois, c’est dans le monde réel qu’il obtient une réponse.

– 10,69$ - Le prix pour sauver le monde

Marcus publie immédiatement ses découvertes sur Twitter et son blog. Il écrit :

Je dois avouer que je ne savais pas qu’enregistrer le domaine stopperait le malware jusqu’à ce que je l’enregistre, donc au départ c’était accidentel.

La nouvelle se répand comme une traînée de poudre. Un inconnu vient de stopper la plus grande cyberattaque de l’histoire !

Comme d’hab, les médias s’emballent. Mais qui est ce mystérieux @MalwareTechBlog ? Les journalistes britanniques ne mettent pas longtemps à découvrir l’identité de Marcus et le Daily Mail titre :

Le surfeur qui a sauvé le monde.

Des reporters campent devant la maison de ses parents et Marcus doit escalader la clôture du jardin pour aller chercher à manger sans se faire harceler.

L’impact de la découverte de Marcus est énorme car sans le kill switch, WannaCry aurait continué à se propager pendant des jours, voire des semaines, infectant potentiellement des millions de machines supplémentaires. Les dégâts, déjà estimés à 4-8 milliards de dollars au global, auraient pu être dix fois pires. Des vies ont littéralement été sauvées.

Mais le répit est de courte durée et les créateurs de WannaCry tentent de contre-attaquer avec de nouvelles variantes utilisant des kill switches différents. Les chercheurs en sécurité jouent alors au chat et à la souris, enregistrant chaque nouveau domaine. Le 19 mai, quelqu’un tente même d’utiliser un botnet Mirai pour attaquer le domaine de Marcus en DDoS, espérant le faire tomber et réactiver WannaCry. Marcus bascule sur CloudFlare et le kill switch tient bon.

Les autorités du monde entier cherchent les coupables. Les indices pointent rapidement vers la Corée du Nord car le code de WannaCry partage des similitudes avec d’autres malwares du Lazarus Group. En décembre 2017, les États-Unis et le Royaume-Uni accusent officiellement la Corée du Nord, puis en septembre 2018, le département de la Justice américain inculpe Park Jin Hyok, un programmeur nord-coréen travaillant pour Chosun Expo, une société front du renseignement militaire.

L’aspect financier de WannaCry est particulièrement pathétique. Pour une attaque d’une telle ampleur, seulement environ 1000 victimes ont payé la rançon, pour un total de 140 000 dollars en Bitcoin. Pourquoi si peu ? Et bien le système de paiement était mal conçu… Il n’y avait pas pas de mécanisme automatique pour identifier qui avait payé. C’est con ! Et surtout, pour une fois, les gens ont écouté les experts qui déconseillaient de payer.

Marcus devient alors une célébrité malgré lui. La BBC, CNN, le Guardian, tous veulent l’interviewer et il refuse la plupart des demandes, mal à l’aise avec l’attention médiatique. Sur Twitter, ses followers explosent, la communauté de la cybersécurité le félicite, les entreprises veulent l’embaucher, mais Marcus sait que quelque part, son passé est toujours là, tapi dans l’ombre.

– DEF CON 2017 - Le début de la fin pour Marcus

En juillet 2017, Marcus décide d’aller à DEF CON à Las Vegas. C’est la Mecque des hackers, l’endroit où toute la communauté se retrouve chaque année. Pour Marcus, c’est l’occasion de rencontrer en personne des gens qu’il ne connaît que par pseudos interposés, et surtout de célébrer son statut de héros de WannaCry.

La conférence se passe bien, Marcus donne des talks, participe à des panels, fait la fête avec d’autres chercheurs. Pour la première fois depuis longtemps, il se sent accepté, faire partie d’une communauté. Le 3 août 2017, dernier jour de la conférence, Marcus fait ses bagages à l’hôtel. Il prend un Uber pour l’aéroport McCarran, check-in ses bagages, passe la sécurité.

Et c’est là que tout bascule. Plusieurs agents du FBI l’entourent près de sa porte d’embarquement. “Marcus Hutchins ?” Il confirme. Ils lui montrent leurs badges, lui demandent de les suivre. Marcus sent son sang se glacer car il sait immédiatement pourquoi ils sont là : Kronos. Son passé vient de le rattraper.

Les agents l’emmènent dans une salle d’interrogatoire de l’aéroport. Ils lui lisent ses droits de garder le silence et d’avoir un avocat (ça s’appelle les droits Miranda), lui expliquent qu’il est arrêté pour conspiration en vue de commettre des fraudes informatiques. Marcus demande un avocat, refuse de parler et les agents confisquent son matériel : Laptop, téléphones, et tout son équipement de chercheur en sécurité.

– L’aéroport de Las Vegas - Où notre héros devient un suspect

Marcus est alors transféré dans une prison fédérale du Nevada. Pour le gamin d’Ilfracombe qui n’avait jamais eu d’ennuis avec la justice, c’est le choc total. Il partage une cellule avec des criminels endurcis, et découvre la réalité brutale du système carcéral américain. Le héros de WannaCry est maintenant un détenu fédéral.

L’arrestation de Marcus fait l’effet d’une bombe dans la communauté de la cybersécurité. Comment le héros de WannaCry peut-il être un criminel ? Quand les détails de l’accusation sortent, à savoir la création d’UPAS Kit en 2012 et de Kronos entre 2012 et 2015, c’est la stupéfaction. Un mouvement de soutien s’organise et une cagnotte pour ses frais d’avocat récolte des centaines de milliers de dollars en quelques jours.

Après quelques jours en détention, Marcus est finalement libéré sous caution d’une valeur de 30 000 dollars et les conditions sont assez strictes : bracelet électronique GPS, interdiction de quitter le pays, couvre-feu, et limitation de l’usage d’Internet. Il s’installe à Los Angeles chez un ami, commence une longue bataille juridique qui durera presque deux ans.

La stratégie de défense de Marcus est très compliquée car les preuves contre lui sont accablantes. En effet, le FBI a des logs de conversations, des traces de paiements, des échantillons de code. Difficile de nier avoir créé Kronos. Il est donc d’abord inculpé pour six chefs d’accusation, puis voit quatre charges supplémentaires ajoutées, incluant la création d’UPAS Kit et des mensonges au FBI. Il risque jusqu’à 40 ans de prison.

Pendant près de deux ans, Marcus vit dans les limbes juridiques. Il continue à travailler pour Kryptos Logic depuis Los Angeles, publie des recherches, analyse des malwares. Mais le bracelet électronique à sa cheville lui rappelle constamment que sa liberté est provisoire. Il ne peut pas rentrer en Angleterre voir sa famille et la pression psychologique est énorme. Marcus souffre de dépression, d’anxiété et il pense parfois au suicide.

Le 2 mai 2019, Marcus prend une décision difficile : plaider coupable. Ses avocats ont négocié un deal. S’il plaide coupable pour 2 chefs d’accusation à savoir conspiration en vue de commettre des fraudes informatiques et création d’un dispositif d’interception de communications, en échange, ce sont huit autres charges qui sont abandonnées.

Dans sa déclaration au tribunal, Marcus assume pleinement ses actes.

Je regrette profondément mes actions et j’accepte l’entière responsabilité de mes erreurs

Il explique comment il a créé UPAS Kit et Kronos entre 2012 et 2015, comment il a travaillé avec Vinny pour vendre le malware.

Le 26 juillet 2019, jour du jugement. La salle d’audience est pleine. Marcus, en costume, fait face au juge J.P. Stadtmueller. Les procureurs demandent une peine de prison. La défense plaide la clémence, rappelant que Marcus a arrêté de lui-même ses activités criminelles, et qu’il a littéralement sauvé le monde de WannaCry.

– Le jour du jugement - 26 juillet 2019

Puis vient le moment où le juge Stadtmueller prend la parole. Et là, surprise. Le juge reconnaît la gravité des crimes de Marcus, mais aussi l’importance de ses contributions positives.

Il faudra des gens avec vos compétences pour trouver des solutions,

dit-il à Marcus,

parce que c’est la seule façon d’éliminer ce problème des protocoles de sécurité terriblement inadéquats.

Le verdict tombe : time served (peine purgée) et un an de liberté surveillée. Pas de prison supplémentaire. Marcus n’en croit pas ses oreilles. La salle d’audience explose en applaudissements. Pour la première fois depuis son arrestation, il peut enfin respirer. Le juge ajoute que Marcus devra probablement retourner au Royaume-Uni et qu’il n’est pas certain qu’il puisse revenir aux États-Unis.

En juillet 2020, sa liberté surveillée prend fin. Marcus retourne enfin au Royaume-Uni, retrouve sa famille à Ilfracombe après trois ans d’absence forcée. C’est un retour doux-amer. Il est libre, mais sa vie a été bouleversée. Il a perdu trois ans, sa santé mentale est fragile, son futur incertain. Il ne peut plus voyager aux États-Unis, limitant ses opportunités professionnelles.

– Juillet 2020 - Le retour au pays après trois ans d’exil forcé

Mais Marcus est résilient. Il relance son blog MalwareTech.com, reprend ses analyses de malware, publie des recherches de pointe. Il devient consultant en cybersécurité, travaille avec des entreprises pour améliorer leur sécurité. Doucement, il reconstruit sa vie et sa carrière.

Aujourd’hui, en 2025, Marcus Hutchins est devenu une figure respectée de la cybersécurité mondiale. Il travaille toujours pour Kryptos Logic, publie régulièrement des analyses techniques pointues. Ses recherches sur les vulnérabilités Windows, les techniques de contournement d’EDR, et les malwares sophistiqués sont lues par des milliers de professionnels.

– Le site de Marcus

Dans ses écrits récents, Marcus réfléchit souvent sur son parcours. > Si je pouvais revenir en arrière, je ferais les choses différemment

Mais je ne peux pas changer le passé. Tout ce que je peux faire, c’est utiliser mes compétences pour le bien, aider à protéger les gens contre les menaces que j’ai aidé à créer.

L’impact de WannaCry a montré notre vulnérabilité collective à savoir des infrastructures critiques tournant sur des systèmes obsolètes, des entreprises qui ne patchent pas, et une dépendance totale à des systèmes informatiques sans plan B. Cependant, il faut noter que Microsoft a réagi de manière remarquable puisque le lendemain de l’attaque, ils ont fait quelque chose d’inédit : publier des patchs gratuits pour Windows XP, Windows 8 et Windows Server 2003, des systèmes “end-of-life” depuis des années.

Et WannaCry n’était que le début car un mois plus tard, NotPetya frappe, utilisant aussi EternalBlue mais causant encore plus de dégâts. Aujourd’hui, en 2025, EternalBlue est toujours actif et 8 ans après, des millions de machines restent vulnérables. C’est déprimant mais c’est la réalité…

Voilà l’histoire complète de Marcus Hutchins… Une histoire de chute et de rédemption qui montre que dans la vie, rien n’est jamais simple, rien n’est jamais définitif.

– Sources :

Marcus Hutchins - Wikipedia, WannaCry ransomware attack - Wikipedia, DOJ - Marcus Hutchins Pleads Guilty, Krebs on Security - Marcus Hutchins Pleads Guilty, MalwareTech Blog, WannaCry cost NHS £92m, NAO - WannaCry cyber attack and the NHS, How to Accidentally Stop a Global Cyber Attack, CyberScoop - Marcus Hutchins Sentenced, Cloudflare - WannaCry Ransomware

https://korben.info/marcus-hutchins-malwaretech-wannacry-histoire.html

Bon, on est le 31 juillet 2025 et dans deux jours, c’est le grand chamboulement. L’AI Act entre en application et j’ai vu passer tellement de conneries sur le sujet que j’ai décidé de vous faire un guide clair et net. Parce que non, vous n’allez pas devoir mettre “CONTENU GÉNÉRÉ PAR IA” en gros sur chaque article de votre blog.

Alors respirez un coup, prenez un café, et on va démêler tout ça ensemble. Je vous promets qu’à la fin de cet article, vous saurez exactement ce que vous devez faire sur votre site. Et surtout, ce que vous n’êtes PAS obligé de faire.

L’AI Act, c’est donc le nouveau règlement européen sur l’intelligence artificielle. Un peu comme le RGPD mais pour l’IA. Et comme le RGPD, ça s’applique à tous ceux qui proposent des services dans l’Union européenne, même si vous êtes basé aux États-Unis ou sur Mars.

Le truc important à comprendre, c’est que l’AI Act fonctionne par niveaux de risque. Plus votre système d’IA présente de risques, plus vous avez d’obligations. Pour nous, éditeurs web et créateurs de contenu, on est généralement dans la catégorie “risque limité”, ce qui veut dire qu’on a principalement des obligations de transparence.

Et c’est là que ça devient intéressant car c’est l’article 50 du règlement qui définit ces obligations de transparence, mais il y a plein d’exemptions que personne ne vous raconte.

Concrètement, si vous utilisez l’IA pour générer du contenu sur votre site, vous devez en informer vos utilisateurs. Mais attention, ce n’est pas aussi simple que “mettez une mention partout”.

Voici ce que dit précisément le texte :

Pour les contenus type deepfake (images, audio, vidéo) : Vous devez indiquer que le contenu a été artificiellement généré ou manipulé. Pour les textes d’information publique : Si vous utilisez l’IA pour générer des textes “dans le but d’informer le public sur des questions d’intérêt public”, vous devez le signaler. Pour les chatbots et assistants : Vous devez informer les utilisateurs qu’ils interagissent avec un système d’IA.

Mais voilà le twist, ces obligations ne s’appliquent pas dans tous les cas car l’AI Act prévoit plusieurs cas où vous n’avez pas besoin de signaler l’utilisation de l’IA :

L’exemption MAJEURE - La relecture humaine

C’est probablement l’exemption la plus importante pour vous ! D’après l’article 50 paragraphe 4 de l’AI Act, vous n’avez PAS besoin de mentionner l’utilisation de l’IA si :

Le contenu généré par IA a subi un processus de relecture humaine ou de contrôle éditorial ET qu’une personne physique ou morale assume la responsabilité éditoriale de la publication

Concrètement, ça veut dire que si vous utilisez ChatGPT / Claude pour générer un brouillon d’article, qu’ensuite, vous le relisez, le modifiez, l’éditez, le corrigez et quie vous en assumez la responsabilité en tant qu’éditeur/blogueur, vous n’avez PAS besoin de mentionner que l’IA a été utilisée !

C’est énorme car cette exemption reconnaît que la relecture humaine et la responsabilité éditoriale réduisent considérablement les risques. Le texte officiel précise ainsi que cette exemption est conçue pour les cas où les textes générés par IA sont “examinés, classés et dont la responsabilité est assumée par du personnel éditorial” (source Lexology). Je trouve ça très bien car dans ce cas précis, l’IA est utilisé comme un outil sous contrôle humain, et pas un moyen automatisé capable de faire n’importe quoi.

Par contre, pour les images générées par IA, la mention reste nécessaire.

L’exemption “c’est évident”

L’article 50 précise aussi que vous n’avez pas à informer les utilisateurs si c’est “évident du point de vue d’une personne raisonnablement bien informée, observatrice et circonspecte”.

En clair, si c’est évident que c’est de l’IA, pas besoin de le dire. Par exemple, si vous avez un chatbot qui s’appelle “Assistant IA” avec une icône de robot, pas besoin d’ajouter “Ceci est une IA”. C’est du bon sens.

L’exemption créative

Si votre contenu fait partie d’une œuvre “manifestement artistique, créative, satirique, fictionnelle ou analogue”, vous n’avez qu’une obligation minimale, celle de signaler l’existence du contenu généré “d’une manière appropriée qui n’entrave pas l’affichage ou la jouissance de l’œuvre”.

Traduction, si vous faites de l’art, de la fiction ou de la satire avec l’IA, vous pouvez mettre une petite mention discrète quelque part, pas besoin de gâcher votre création avec un gros bandeau rouge.

L’exemption édition standard

Si l’IA n’a qu’une “fonction d’assistance pour l’édition standard” et ne modifie pas substantiellement le contenu, pas non plus d’obligation de transparence.

Donc si vous utilisez l’IA pour :

Corriger vos fautes d’orthographe Reformuler légèrement vos phrases Ajuster le ton Optimiser le SEO sans changer le fond

Vous n’avez PAS besoin de le signaler. C’est considéré comme de l’édition standard, au même titre qu’utiliser un correcteur orthographique.

L’exemption usage personnel

Si vous utilisez l’IA dans un contexte personnel et non professionnel, l’AI Act ne s’applique pas. Donc votre blog perso où vous racontez vos vacances n’est pas concerné sauf si vous le monétisez ou si vous avez une audience professionnelle.

Bon, parlons maintenant du nerf de la guerre. Si vous ne respectez pas ces obligations, vous risquez :

Jusqu’à 15 millions d’euros d’amende OU 3% de votre chiffre d’affaires mondial annuel ( c’est le montant le plus élevé des deux qui sera conservé)

Mais avant de paniquer, sachez que ces amendes maximales sont pour les cas graves et répétés. Les autorités vont d’abord vous demander de vous mettre en conformité. C’est un peu comme le RGPD… on commence par la prévention avant la répression.

Maintenant qu’on a vu la théorie, passons à la pratique. Voici exactement ce que vous devez faire selon votre situation :

Vous utilisez ChatGPT ou Claude pour écrire vos articles

Cas 1 : Vous générez un brouillon avec l’IA puis vous le relisez/éditez → PAS d’obligation de mention grâce à l’exemption de relecture humaine (article 50.4) → Condition : vous devez vraiment relire et assumer la responsabilité éditoriale

Cas 2 : Vous publiez directement le texte généré par l’IA sans relecture → Si c’est pour informer le public : mention obligatoire → Si c’est créatif/satirique/fiction : mention discrète suffisante

Cas 3 : Vous utilisez l’IA juste pour améliorer votre texte (grammaire, style) → Pas d’obligation car c’est de l’édition standard

Vous utilisez Midjourney ou DALL-E pour vos images

Pour toute image générée par IA, vous devez le signaler, SAUF si :

C’est dans un contexte artistique évident C’est pour un usage personnel non-commercial

Comment le signaler ? Une mention dans la balise alt, dans la légende ou en bas de page suffit. Pas besoin d’un watermark géant.

Vous avez un chatbot sur votre site

Vous devez informer les utilisateurs qu’ils parlent à une IA, SAUF si c’est évident (le chatbot s’appelle “Bot IA”, a une tête de robot, etc.).

Voici donc mes recommandations pour dormir sur vos deux oreilles :

Créez une page “Notre utilisation de l’IA” Expliquez comment vous utilisez l’IA sur votre site. C’est transparent et ça couvre vos arrières. Soyez raisonnable avec les mentions Pas besoin de mettre “GÉNÉRÉ PAR IA” en Comic Sans rouge sur chaque paragraphe. Une mention sobre, claire, nette et précise suffit. Documentez votre process Gardez une trace de comment vous utilisez l’IA comme ça si on vous demande, vous pourrez justifier pourquoi vous n’avez pas mis de mention. Privilégiez l’IA comme assistant Utilisez l’IA pour améliorer votre contenu, pas pour le remplacer. C’est mieux pour votre audience ET ça vous évite des obligations.

Voilà, si vous voulez creuser le sujet (et je vous le conseille), voici les liens officiels :

Le texte complet de l’AI Act sur EUR-Lex - Règlement (UE) 2024/1689, source officielle L’article 50 en détail - Les obligations de transparence expliquées Analyse juridique de l’article 50.4 - Sur l’exemption de relecture humaine Le calendrier d’implémentation - Pour savoir ce qui arrive quand Guide WilmerHale sur l’article 50 - Analyse approfondie des exemptions

Voilà, vous savez tout ! L’AI Act, c’est pas la fin du monde, c’est juste un nouveau cadre pour utiliser l’IA de manière responsable et, la plupart d’entre vous n’auront que peu de changements à faire.

L’important, c’est de rester transparent avec votre audience quand c’est nécessaire mais pas besoin d’en faire des tonnes. Je trouve que l’AI Act est plus intelligent qu’on ne le pense car il fait la différence entre publier directement du contenu généré par IA et utiliser l’IA comme assistant de rédaction. Par contre, les gens mal informés sur le sujet ou bien cons risquent de vous prendre le chou donc restez zen et envoyez leur le lien de mon article.

Ah, et un dernier conseil : si vous avez un doute sur votre cas particulier, demandez à un juriste spécialisé car cet article vous donne les grandes lignes basées sur les textes officiels, mais chaque situation est unique et je ne suis pas juriste, alors mieux vaut prévenir que guérir, surtout avec des amendes à 15 millions d’euros !

– Source :

https://korben.info/act-guide-survie-editeurs-web-spoiler.html

C’est pas nouveau que l’intelligence rend vulnérable, valable aussi pour les humains.

Trop trop procédurier et plus années passent et plus ça ne s’arrange pas chez eux.

Ce n’est que le début @michmich

Ceci est une histoire qui a fait trembler la première puissance militaire du monde. On est en février 1998 et les États-Unis sont à deux doigts de bombarder l’Irak de Saddam Hussein qui vient de virer les inspecteurs de l’ONU. La tension est électrique. Les Marines déploient leurs troupes dans le Golfe. Et là, sans prévenir, le Pentagone se fait hacker comme jamais.

Et pas juste un petit piratage de rien du tout, hein, car plus de 500 systèmes militaires et gouvernementaux compromis en trois semaines : NASA, Air Force, Navy, MIT, Lawrence Livermore (le labo qui conçoit les bombes atomiques américaines), et j’en passe. John Hamre, le numéro 2 de la Défense américaine, déclare alors que c’est “l’attaque la plus organisée et systématique que le Pentagone ait jamais vue”. La panique est totale !

Du coup, NSA, CIA, FBI, Defense Information Systems Agency, Air Force Office of Special Investigations, ministère de la Justice… Tout le gratin du renseignement américain se mobilise. Les briefings remontent jusqu’au bureau ovale, jusqu’à Bill Clinton himself. Et leur conclusion, c’est que c’est forcément Saddam qui lance la cyberguerre pour paralyser l’armée américaine avant les frappes… Non ?

L’histoire commence donc le 1er février 1998. Un dimanche soir tranquille au Pentagone. Sauf que dans les sous-sols du bâtiment, les systèmes ASIM (Automated Security Incident Monitors) de l’Air Force commencent à gueuler. Quelqu’un vient de s’introduire dans les serveurs de la Garde nationale aérienne à Andrews Air Force Base, dans le Maryland. Et pas n’importe comment puisque l’intrus a chopé les droits root, soit le Saint Graal absolu pour un hacker.

Le lendemain, 2 février, c’est la grosse panique. L’équipe de réponse aux urgences informatiques de l’Air Force (AFCERT) à Kelly Air Force Base au Texas découvre que ce n’est pas un incident isolé. D’autres bases militaires se font défoncer… Kirtland au Nouveau-Mexique, Lackland au Texas, Columbus dans le Mississippi, Gunter dans l’Alabama. L’attaque se propage comme une traînée de poudre.

Les experts du Pentagone analysent alors rapidement le mode opératoire et là, premère surprise, les hackers exploitent une vulnérabilité vieille comme le monde dans Solaris 2.4, le système d’exploitation Unix de Sun Microsystems. La faille “statd”, connue depuis 1996 (!), offre un joli buffer overflow dans le service RPC. En gros, vous envoyez un nom de fichier trop long bourré de shellcode, et pouf, ça permet d’exécuter du code arbitraire avec les privilèges root.

D’où le nom de code donné à l’incident : “Solar Sunrise” (Lever de Soleil Solaire). Un jeu de mots pourri entre Sun/Solaris et le fait que ça se passe au lever du jour. Les militaires et leur sens de l’humour…

Et une fois dans la place, les attaquants installent des analyseurs de paquets et des chevaux de Troie pour maintenir leur accès. Ils capturent ainsi tous les mots de passe qui transitent sur le réseau avec leurs sniffers. C’est méthodique, efficace, imparable et les serveurs DNS tombent comme des dominos.

Mais ce qui terrifie vraiment les stratèges du Pentagone, c’est le timing car on est en pleine crise diplomatique avec l’Irak. Les inspecteurs de l’ONU viennent d’être expulsés. Les porte-avions américains convergent vers le Golfe Persique. Et maintenant, les systèmes militaires se font pirater systématiquement. Pour les analystes, c’est évident : Saddam Hussein lance une cyberguerre pour aveugler l’armée américaine.

Richard Clarke, le coordinateur national pour la sécurité et le contre-terrorisme à la Maison Blanche, avouera plus tard que :

Pendant des jours, des jours critiques alors que nous essayions d’envoyer des forces dans le Golfe, nous ne savions pas qui faisait ça. Nous avons donc supposé que c’était l’Irak.

Le 3 février, l’affaire remonte jusqu’au bureau ovale. Le président Bill Clinton est briefé personnellement sur cette cyberattaque sans précédent. La situation est grave. Certes, les hackers n’ont pas touché aux systèmes classifiés (ouf), mais ils ont accès aux systèmes de logistique, d’administration et de comptabilité. Ce sont les nerfs et les muscles de l’armée américaine et sans eux, impossible de déployer des troupes ou de coordonner les opérations.

John Hamre prend alors personnellement les choses en main. Diplômé de Harvard, ancien analyste au Congressional Budget Office, Hamre n’est pas du genre à paniquer pour un rien. Mais là, il est vraiment inquiet:

C’est l’attaque la plus organisée et systématique que nous ayons jamais vue

répète-t-il lors des briefings tendus au Pentagone.

L’enquête mobilise des moyens colossaux. Des mandats judiciaires sont obtenus en urgence pour tracer les connexions des pirates, mais les attaquants sont malins : ils rebondissent sur des serveurs dans le monde entier pour brouiller les pistes. Les enquêteurs identifient des connexions passant par les Émirats arabes unis, via un FAI appelé Emirnet alors pour les analystes paranos, c’est un indice de plus qui pointe vers le Moyen-Orient.

Et le 11 février, première percée. Les agents du FBI interceptent des communications entre les pirates sur IRC (Internet Relay Chat). C’est l’ancêtre de Discord pour les plus jeunes d’entre vous. Les pseudos utilisés sont “Makaveli”, “Stimpy”, et un certain “Analyzer” qui semble être le chef de bande. Les conversations sont édifiantes. Ils parlent de leurs exploits comme des gamers qui viennent de finir un niveau difficile.

Et grâce aux logs IRC mais aussi à un informateur (d’après les rumeurs, c’est probablement John Vranesevich d’AntiOnline, mais chut…), les enquêteurs remontent jusqu’à deux lycéens de Cloverdale, une petite ville paumée du nord de la Californie, à 140 kilomètres au nord de San Francisco. Population : 8 000 habitants. Nombre de hackers internationaux recherchés par le Pentagone : 2.

Seulement voilà, John Hamre fait une bourde monumentale. Lors d’un briefing avec des journalistes, il laisse échapper que les suspects sont “des gamins vivant dans le nord de la Californie”. L’info fuite immédiatement sur CNN. Du coup, les enquêteurs doivent accélérer avant que les hackers voient les infos et effacent toutes les preuves.

Et le 25 février 1998, à 6 heures du matin, le FBI débarque simultanément à deux adresses de Cloverdale. Première maison : le lycéen de 16 ans qui se fait appeler Makaveli. Deuxième maison : son pote de 15 ans, alias Stimpy. Les agents saisissent tout… ordinateurs, modems, piles de CD-ROM, carnets de notes remplis de mots de passe…

Les parents tombent des nues. Leur fils, un cyber-terroriste international ? Impossible ! Makaveli est juste un lycéen un peu geek, qui passe trop de temps sur son PC au lieu de faire ses devoirs. Stimpy, c’est pareil, un gamin passionné d’informatique qui étudie aussi la musique.

Mais pendant l’interrogatoire, Makaveli craque rapidement. Les agents s’attendent à des révélations sur un complot international, des liens avec des services secrets étrangers, ou que sais-je mais au lieu de ça, quand ils lui demandent pourquoi il a hacké le Pentagone, il répond :

It’s power, dude. You know, power.

Les enquêteurs se regardent, interloqués. Trois semaines de mobilisation générale, des briefings présidentiels, la quasi-guerre avec l’Irak… pour un ado qui voulait se la péter ? Makaveli ajoute qu’il a un mentor à l’étranger qui lui a “tout appris”, un type “tellement bon qu’ils ne le trouveront jamais” et qui aurait piraté 400 sites militaires.

Les écoutes révèlent alors l’identité du troisième larron : “The Analyzer”, de son vrai nom Ehud Tenenbaum, 18 ans, Israélien. Né le 29 août 1979 à Hod HaSharon près de Tel Aviv, c’est lui le cerveau du groupe de hackers “The Enforcers” (Les Exécuteurs).

Et là, Tenenbaum fait un truc complètement dingue. Deux jours après l’arrestation de ses disciples américains, au lieu de se planquer ou de détruire les preuves, il accepte une interview en ligne avec AntiOnline. Genre, tranquille. Et il balance tout… les 400 sites piratés, les mots de passe, les vulnérabilités tout en se justifiant :

J’aide toujours les serveurs que je pirate. Je patche les trous que je trouve.*

Robin des Bois 2.0, en somme.

L’interview fait l’effet d’une bombe. Non seulement ce gamin nargue ouvertement le gouvernement américain, mais en plus il prouve ses dires en publiant des dizaines de logins et mots de passe authentiques de sites en .mil. Le Pentagone est ridiculisé publiquement par un ado de 18 ans.

Les Américains mettent alors la pression sur Israël et le 18 mars 1998, la police israélienne arrête Ehud Tenenbaum dans sa maison. Brillant, persuadé de rendre service en exposant les failles, il correspond parfaitement au profil du hacker prodige mais arrogant. Deux autres membres de son groupe sont également interpellés, mais Tenenbaum est clairement le boss.

Janet Reno, la procureure générale des États-Unis, tente de sauver la face :

Cette arrestation devrait envoyer un message à tous les hackers potentiels dans le monde.

Mouais. Dans les couloirs du Pentagone, c’est plutôt la gueule de bois. Comment trois ados ont-ils pu mettre en échec tout l’appareil de cyberdéfense américain ?

Le procès est une blague. Les deux Californiens, mineurs au moment des faits, plaident coupables de délinquance juvénile. Pas de prison, juste de la probation et l’interdiction de toucher un ordi. La liste trouvée chez Makaveli contenait près de 200 serveurs piratés, dont le Lawrence Livermore National Laboratory. C’est “juste” le labo qui fabrique les armes nucléaires. Mais bon, “curiosité adolescente”, qu’ils disent.

Pour Tenenbaum, le procès traîne durant trois ans. En juin 2001, il écope de… six mois de travaux d’intérêt général, un an de probation, deux ans de sursis, et 18 000 dollars d’amende. Pour avoir ridiculisé la cyberdéfense américaine, ça passe ^^. À la sortie du tribunal, il déclarera :

Je voulais juste prouver que leurs systèmes étaient troués comme du gruyère.

Mission accomplie, effectivement.

Mais attendez, l’histoire ne s’arrête pas là car en 2003, libéré de ses obligations judiciaires, Tenenbaum fonde sa propre boîte de sécurité informatique baptisée “2XS”. L’ancien pirate devient consultant. C’est un classique, sauf qu’il n’a pas vraiment retenu la leçon…

Septembre 2008, rebelote. La police canadienne l’arrête à Montréal avec trois complices. Cette fois, c’est du lourd : piratage de banques, vol de données de cartes bancaires, détournement de 1,8 million de dollars via des distributeurs automatiques. En fait, depuis son appart montréalais, il augmentait les limites des cartes prépayées pour vider les DAB. Au total, les pertes s’élèvent à plus de 10 millions de dollars.

Extradé aux États-Unis, Tenenbaum passe alors plus d’un an en détention. En 2012, il plaide coupable et s’en tire avec le temps déjà passé en prison. Depuis, plus personne n’entend parler de lui. The Analyzer a enfin compris que “le pouvoir, mec” avait ses limites.

Mais revenons à l’impact de Solar Sunrise. Pour la première fois, le Pentagone réalise l’ampleur de sa vulnérabilité. Les patchs de sécurité pour la faille statd existaient depuis des mois, mais personne ne les avait installés. Procrastination, manque de personnel, négligence… Les excuses habituelles qui coûtent cher.

John Hamre reconnaîtra plus tard que Solar Sunrise a été une piqure de rappel salutaire :

Nous pensions que nos systèmes étaient sûrs parce qu’ils étaient complexes. On a découvert que la complexité créait des vulnérabilités.

Du coup, refonte massive, création du Joint Task Force-Computer Network Defense, investissement de milliards dans la cybersécurité, formation du personnel…

Le FBI produit même un film de formation de 18 minutes baptisé “Solar Sunrise: Dawn of a New Threat”, vendu jusqu’en 2004. On y voit des reconstitutions dramatiques avec de la musique anxiogène et le message c’est que la cyberguerre est réelle, même si les premiers cyber-soldats sont des ados boutonneux en pyjama.

L’incident révèle surtout le problème crucial de l’attribution dans le cyberespace car comment distinguer un gamin dans sa chambre d’une unité d’élite du renseignement militaire ? Encore aujourd’hui, les indices techniques sont trompeurs, car les hackers “rebondissent” à travers le monde.

Solar Sunrise marque aussi l’émergence des collectifs de hackers. Fini le pirate solitaire. Makaveli, Stimpy et Analyzer forment un groupe, échangent des techniques, se motivent. Pour Makaveli et Stimpy, l’aventure s’est arrêté brutalement. Certains racontent que Makaveli s’est reconverti dans la cybersécurité et que Stimpy, traumatisé, aurait complètement décroché de l’informatique.

Mais leur petite phrase :

It’s power, dude

est devenue culte dans la communauté hacker.

Alors la prochaine fois que vous ignorez une mise à jour de sécurité, pensez à Solar Sunrise et à ces 3 semaines où l’Amérique a cru que Saddam lançait la cyberguerre alors que c’était juste quelques ados qui s’amusaient à prendre le “pouvoir”.

– Sources :

National Security Archive - Solar Sunrise After 25 Years, Wikipedia - Ehud Tenenbaum, The Register - Solar Sunrise hacker ‘Analyzer’ escapes jail, InformIT - The Solar Sunrise Case, SF Gate - Hacker Hits Net Company That Tipped FBI to Teens, Insecure.org - Solaris Statd exploit

https://korben.info/solar-sunrise-1998-cyberattaque-pentagone-histoire-complete.html

Voici aujourd’hui, l’histoire du groupe de hackers le plus mystérieux et le plus dévastateur de la décennie. Les Shadow Brokers. C’est le nom qu’ils se sont donné, probablement en référence au personnage de Mass Effect qui trafique de l’information au plus offrant, sauf qu’eux, ils n’ont pas volé n’importe quelle information, non. Ils ont réussi l’impossible : pirater la NSA, l’agence de renseignement la plus puissante du monde.

Entre août 2016 et juillet 2017, ils ont ainsi méthodiquement déversé sur Internet l’arsenal cyber secret de l’Amérique, déclenchant au passage WannaCry et NotPetya, des ransomwares qui ont causé des milliards de dollars de dégâts.

Et le pire c’est que personne ne sait vraiment qui ils sont.

Le siège de la NSA à Fort Meade, Maryland - La forteresse qui s’est fait pirater

C’est le 13 août 2016, une nuit d’été humide dans le Maryland. Pendant que l’Amérique débat de Clinton contre Trump, un événement sismique se déroule discrètement sur Internet. Un message bizarre, écrit dans un anglais tout pété presque ridiculement comique, vient d’apparaître sur GitHub et Pastebin. Au premier coup d’œil, ça ressemble à une blague, peut-être un troll cherchant l’attention, mais pour le petit cercle des experts en cybersécurité qui le lisent, c’est l’équivalent numérique d’une bombe atomique : la NSA vient d’être piratée.

Le message commence ainsi : “!!! Attention government sponsors of cyber warfare and those who profit from it !!! How much you pay for enemies cyber weapons?” Les Shadow Brokers viennent de faire leur entrée sur la scène mondiale, et ils n’arrivent pas les mains vides. Ils prétendent avoir volé des cyberarmes à l’Equation Group, le nom de code donné par Kaspersky Lab au groupe de hackers d’élite de la NSA. Et pour prouver leurs dires, ils font quelque chose d’inédit : ils mettent une partie du butin en libre accès.

Les fichiers téléchargeables pèsent environ 300 mégaoctets ce qui n’est pas grand-chose en apparence, mais quand les chercheurs en sécurité commencent à analyser le contenu, leur sang se glace. C’est authentique. Des exploits zero-day, des payloads sophistiqués, des outils d’intrusion qui portent la signature indéniable de la NSA. EXTRABACON, un exploit contre les pare-feu Cisco ASA capable de prendre le contrôle à distance. EPICBANANA et JETPLOW, des backdoors pour différents systèmes. Des noms de code typiques de l’agence, cette obsession des fruits et des références loufoques que seuls les initiés connaissent.

Petite précision technique au passage, EXTRABACON exploite la CVE-2016-6366, une vulnérabilité zero-day dans le code SNMP des pare-feu Cisco qui permet l’exécution de code arbitraire sans authentification. EPICBANANA quand à lui, utilise la CVE-2016-6367, nécessite un accès SSH ou Telnet, mais permet ensuite une persistance totale. Et JETPLOW ? C’est tout simplement la version stéroïdée d’EPICBANANA, une backdoor firmware persistante que même un reboot ne peut pas virer.

Mais les Shadow Brokers ne s’arrêtent pas là en annonçant détenir bien plus : un fichier chiffré contenant “les meilleures cyberarmes” de la NSA, disponible au plus offrant. Le prix ? Un million de bitcoins, soit environ 568 millions de dollars à l’époque. Une somme astronomique qui suggère soit une méconnaissance totale du marché, soit un objectif autre que l’argent. “We auction best files to highest bidder. Auction files better than stuxnet,” promettent-ils avec leur anglais approximatif caractéristique.

Aujourd’hui, l’identité des Shadow Brokers reste encore l’un des plus grands mystères du monde cyber. Leur mauvais anglais suggère des locuteurs russes essayant de masquer leur origine. Des phrases comme “TheShadowBrokers is wanting that someone is deciding” ou “Is being like a global cyber arms race” sont grammaticalement douloureuses mais est-ce une tentative délibérée de brouiller les pistes ? Matt Suiche, expert en sécurité qui analyse leurs communications de près, pense que oui :

Le langage était probablement une tactique d’OpSec pour obscurcir les vraies identités des Shadow Brokers.

Edward Snowden est évidemment l’un des premiers à réagir publiquement. Le 16 août 2016, il tweete : “Les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe.” et pour lui, c’est un avertissement, une façon pour Moscou de dire à Washington : “Nous savons ce que vous faites, et nous pouvons le prouver.” Le timing est d’ailleurs suspect car on est 3 mois avant l’élection présidentielle américaine, juste après le hack du Parti Démocrate attribué à la Russie. Coïncidence ? C’est peu probable…

Mais d’autres théories émergent rapidement. James Bamford, journaliste spécialiste de la NSA, penche pour un insider,

possiblement quelqu’un assigné aux Tailored Access Operations hautement sensibles

Puis en octobre 2016, le Washington Post révèle que Harold T. Martin III, un contracteur de Booz Allen Hamilton, est le suspect principal.

Alors là, prenez une grande inspiration avant de poursuivre votre lecture car l’histoire de Harold Martin, c’est du délire. Le mec travaille pour Booz Allen Hamilton (oui, la même boîte qu’Edward Snowden), est assigné à la NSA de 2012 à 2015, et bosse effectivement avec les Tailored Access Operations. Quand le FBI débarque chez lui en août 2016, ils découvrent… 50 téraoctets de données classifiées. C’est l’équivalent de millions de documents, qu’ils trouvent bien planqués dans sa baraque, mais aussi dans un abri de jardin non verrouillé, et même dans sa bagnole.

Le FBI pense alors tenir leur homme. Équipe SWAT, barrages routiers, porte défoncée au bélier, grenades flashbang… Ils sortent le grand jeu pour arrêter Martin, sauf que voilà, petit problème : les Shadow Brokers continuent à poster des messages cryptographiquement signés pendant que Martin croupit en taule. En 2019, il écope de neuf ans de prison, mais les procureurs confirment qu’aucune des données qu’il avait volées n’a été divulguée. L’identité des Shadow Brokers reste donc un mystère.

David Aitel, ancien de la NSA, résume parfaitement la situation telle qu’elle était en 2019 :

Je ne sais pas si quelqu’un sait, à part les Russes. Et on ne sait même pas si ce sont les Russes.

Matt Suiche, lui, a une théorie différente car pour lui, les Shadow Brokers sont des insiders américains mécontents, peut-être des contractuels du renseignement frustrés. Les indices c’est surtout leur connaissance intime de TAO, leurs références culturelles américaines, et leur timing politique…

Et le 31 octobre 2016, juste avant Halloween, les Shadow Brokers frappent à nouveau. Cette fois, ils publient une liste de serveurs prétendument compromis par l’Equation Group, accompagnée de références à sept outils jusqu’alors inconnus : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOICSURGEON. La communauté de la cybersécurité découvre alors l’ampleur de l’arsenal de la NSA. Chaque nom de code représente des années de développement, des millions de dollars investis, des capacités offensives soigneusement gardées secrètes.

L’enchère Bitcoin, pendant ce temps, est un échec total. Quelques plaisantins envoient des fractions de bitcoin (genre 0.001 BTC, les comiques), mais personne ne tente sérieusement d’atteindre le million demandé. Les Shadow Brokers semblent déçus mais pas surpris. En janvier 2017, ils changent alors de stratégie :

TheShadowBrokers is trying auction. Peoples no like auction, auction no work. Now TheShadowBrokers is trying direct sales.

Du coup, ils créent une boutique en ligne sur le dark web, catégorisant leurs marchandises comme un vrai e-commerce du crime : “Exploits”, “Trojans”, “Payloads”. Les prix vont de 1 à 100 bitcoins selon la sophistication de l’outil. C’est surréaliste. Les cyberarmes les plus dangereuses de la planète sont en vente comme des t-shirts sur Amazon. Un exploit pour compromettre un serveur Linux ? 10 bitcoins. Un implant pour espionner les communications ? 50 bitcoins. Le menu est à la carte.

Mais le véritable tournant arrive le 8 avril 2017. Dans un post Medium intitulé “Don’t Forget Your Base”, les Shadow Brokers lâchent une bombe et révèlent le mot de passe pour déchiffrer le fichier mystérieux publié huit mois plus tôt : “CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN". Un mot de passe de 32 caractères qui va changer les choses.

Le timing est tout sauf innocent car le post fait explicitement référence à l’attaque de Trump contre une base aérienne syrienne le 7 avril, utilisée aussi par les forces russes. “Respectfully, what we do not agree with is abandoning ‘your base’, double dealing, saying one thing and doing another,” écrivent les Shadow Brokers. Le message est clair : vous nous avez trahis, voici les conséquences.

Et ce que contient ce fichier dépasse les pires cauchemars de la NSA. Des dizaines d’exploits zero-day, des payloads sophistiqués, des outils de surveillance massive, mais le plus dévastateur s’appelle EternalBlue. Il s’agit d’un exploit contre le protocole SMB de Windows qui permet de prendre le contrôle total d’une machine à distance. Microsoft a secrètement patché la vulnérabilité MS17-010 en mars 2017, un mois avant la révélation, suggérant que la NSA a prévenu l’entreprise mais des millions de systèmes restent vulnérables.

Et le 14 avril 2017, c’est l’apocalypse. Les Shadow Brokers publient leur dump le plus massif, baptisé “Lost in Translation”. FUZZBUNCH, une plateforme d’exploitation comparable à Metasploit mais développée par la NSA, un véritable framework pour charger des exploits sur les systèmes cibles. DARKPULSAR, ETERNALROMANCE, ETERNALSYNERGY, ETERNALCHAMPION… La liste semble interminable. Mais c’est ETERNALBLUE qui va entrer dans l’histoire.

Petite parenthèse technique quand même, DoublePulsar, c’est le complément parfait d’EternalBlue. Une backdoor kernel ultra-furtive qui ne crée aucun nouveau port, se cache dans les appels SMB non implémentés, et répond avec STATUS_NOT_IMPLEMENTED pour rester invisible. FUZZBUNCH quand à lui permet d’uploader des exécutables directement dans DoublePulsar via SMB. Bref, le combo mortel.

Les experts sont une nouvelle fois sous le choc. Nicholas Weaver écrit sur le blog Lawfare :

Ceci pourrait bien être le dump le plus dommageable contre la NSA à ce jour, et c’est sans aucun doute la révélation la plus désastreuse post-Snowden.

Jake Williams, fondateur de Rendition Security et ancien de la NSA, est encore plus direct :

C’est un putain de désastre.

Les révélations incluent aussi la preuve que la NSA a compromis le système SWIFT, le réseau bancaire international. Les Shadow Brokers montrent ainsi que l’agence a infiltré EastNets, un bureau de service SWIFT gérant les transactions bancaires au Moyen-Orient et si c’est vrai, la NSA peut théoriquement surveiller, voire manipuler, les transferts financiers internationaux. Bref, les implications sont vertigineuses.

Moins d’un mois plus tard, le 12 mai 2017, le monde découvre alors le vrai prix de ces révélations. WannaCry, un ransomware utilisant EternalBlue (et DoublePulsar pour la persistance), se propage comme une traînée de poudre. En quelques heures, plus de 200 000 ordinateurs dans 150 pays sont infectés à une vitesse hallucinante de 10 000 machines par heure.

Et là, bonjour les dégâts ! Le National Health Service britannique ? Complètement paralysé soit 81 hôpitaux sur 236 touchés, 19 000 rendez-vous annulés, 1 100 admissions aux urgences en moins, des opérations reportées. Le coût pour le NHS ? 92 millions de livres sterling (20 millions en perte d’activité, 72 millions pour restaurer les systèmes). Des patients ne peuvent pas recevoir leurs traitements à temps, des services d’urgence doivent fonctionner à l’aveugle. Des IRM, des frigos pour stocker le sang, des équipements de bloc opératoire… 70 000 appareils touchés au total.

Mais WannaCry n’est que l’apéritif car le 27 juin 2017, NotPetya frappe, utilisant encore EternalBlue mais cette fois avec une particularité : ce n’est pas vraiment un ransomware. C’est une arme de destruction déguisée en ransomware. Même si vous payez, vos fichiers sont perdus pour toujours. L’adresse email pour récupérer la clé de déchiffrement est bloquée par le provider dans l’heure. C’est conçu pour détruire, pas pour extorquer.

NotPetya cause ainsi plus de 10 milliards de dollars de dégâts. Maersk, le géant du transport maritime danois subit 300 millions de pertes, 4 000 serveurs et 45 000 PC à reconstruire, 17 terminaux portuaires paralysés pendant des jours. FedEx via sa filiale TNT Express ? 300 à 400 millions. Merck Pharmaceuticals ? 870 millions de dollars après que 15 000 de leurs machines Windows sont détruites. En 90 secondes. Oui, c’est le temps qu’il a fallu pour mettre à genoux une des plus grandes entreprises pharmaceutiques du monde.

Et pendant ce chaos planétaire, les Shadow Brokers continuent leur étrange performance. En juin 2017, ils menacent de révéler l’identité d’un ancien employé de TAO qu’ils surnomment “Doctor”. “’Doctor’ person is writing ugly tweets to theshadowbrokers,” écrivent-ils.

TheShadowBrokers is thinking ‘doctor’ person is former EquationGroup developer who built many tools and hacked organization in China.

La menace est sans précédent et révéler l’identité d’agents de renseignement et leurs opérations spécifiques, c’est franchir une nouvelle ligne rouge. Jake Williams avertit : “Publier ces données menacera la sécurité (et la liberté) d’anciens opérateurs de TAO voyageant à l’étranger.” Le “Doctor” en question, paniqué, finit par se doxxer lui-même le 29 juin pour “protéger les innocents”, niant être un employé de la NSA. Évidemment, personne ne le croit.

Les Shadow Brokers semblent avoir une vraie connaissance intime de TAO car ils connaissent les surnoms, les projets, les personnes… Dans un de leurs messages, ils prétendent même avoir fait partie du “Deep State” américain.

TheShadowBrokers is being like the Oracle of the Matrix. TheShadowBrokers is not being the Architect,

écrivent-ils, dans une référence geek qui fait écho à leur nom emprunté à Mass Effect.

Leur dernier message public date de juillet 2017. Ils annoncent un service d’abonnement mensuel où pour 400 Zcash (une cryptomonnaie axée sur la confidentialité), vous pouvez devenir VIP et recevoir chaque mois de nouveaux exploits de la NSA.

Is being like wine of month club,

plaisantent-ils.

Each month peoples can be paying membership fee, then getting members only data dump each month.

Puis, silence radio. Les Shadow Brokers disparaissent aussi mystérieusement qu’ils sont apparus. Ont-ils été arrêtés ? Ont-ils décidé qu’ils en en avaient fait assez ? Ont-ils été éliminés ? Personne ne le sait. Leur compte Twitter @shadowbrokerss reste muet, leur blog Medium n’est plus mis à jour et leur compte Steemit, pareil. Comme leur homonyme dans Mass Effect, ils s’évanouissent dans l’ombre.

Mais l’impact des Shadow Brokers sur la cybersécurité mondiale est difficile à surestimer car ils ont vraiment exposé la vulnérabilité fondamentale de l’accumulation d’armes cyber, qui peuvent être volées et retournées contre ceux qui les ont créées. Ils ont ainsi forcé un gros débat sur la responsabilité des agences de renseignement dans la découverte et la non-divulgation de vulnérabilités zero-day. D’ailleurs, combien de WannaCry et NotPetya dorment encore dans les serveurs de la NSA, de la DGSE, du FSB, du MSS chinois ?

Brad Smith, président de Microsoft, a même publié un plaidoyer passionné après WannaCry :

Les gouvernements du monde devraient traiter cette attaque comme un signal d’alarme. Un équivalent conventionnel de cet événement serait l’armée américaine se faisant voler des missiles Tomahawk.

Il appelle à une “Convention de Genève numérique” pour limiter la cyberguerre. 8 ans plus tard, on l’attend toujours. Comme d’habitude, les gouvernements s’en foutent.

Toutefois, les théories sur l’identité des Shadow Brokers continuent de proliférer. Insiders, hackers russe… Il y a même une théorie marginale mais fascinante qui suggère que c’est la NSA elle-même, brûlant des outils compromis de manière contrôlée pour éviter qu’ils ne soient utilisés contre eux.

En 2025, près d’une décennie après leur apparition, l’ombre des Shadow Brokers plane toujours. Les exploits qu’ils ont révélés circulent encore et des variantes d’EternalBlue sont toujours utilisées dans des attaques.

En tout cas, quand je vois qu’une nouvelle vulnérabilité zero-day a été patchée, je me demande toujours qui d’autre la connaissait avant et l’utilisait…

– Sources :

The Shadow Brokers - Wikipedia, EternalBlue - Wikipedia, WannaCry ransomware attack - Wikipedia, Shadow Brokers Threaten to Expose Identity of Former NSA Hacker - BleepingComputer, The Shadow Brokers Leaked Exploits Explained - Rapid7, Shadow Brokers: How the NSA Leak Affects Your Business - A10 Networks, Who are the Shadow Brokers? - HYPR Security Encyclopedia, Unveiling the Mystery Behind The Shadow Brokers - Security Outlines, NotPetya Ransomware Explained: The Billion Nation-State Cyberattack - Victor Nthuli, Shadow Brokers Twitter History - GitHub, Shadow Brokers Group Releases More Stolen NSA Hacking Tools - The Hacker News, NSA’s TAO Division Codewords - Electrospaces, What Is EternalBlue and Why Is the MS17-010 Exploit Still Relevant? - Avast, EXPOSED: Inside the Greatest Hack in History - The Shadow Brokers NSA Breach - Merge Society, The Shadow Brokers EPICBANANA and EXTRABACON Exploits - Cisco Blogs, Harold T. Martin - Wikipedia, Investigation: WannaCry cyber attack and the NHS - NAO, NotPetya Costs Merck, FedEx, Maersk 0M - CSHub

https://korben.info/shadow-brokers-nsa-hack-histoire-complete.html

Microsoft vient de lever le voile sur un truc assez cool qui s’appelle Project IRE !

C’est un agent IA qui analyse et détecte les malwares en parfait autonomie. Plus besoin d’un expert humain pour décortiquer chaque fichier suspect, c’est l’IA qui s’en charge et elle le fait plutôt bien avec 98% de précision et seulement 2% de faux positifs sur un dataset de drivers Windows.

C’est du lourd car au lieu de se contenter d’une simple analyse par signatures comme les antivirus classiques, Project IRE fait de la vraie reverse engineering. L’agent décompile le code, reconstruit le graphe de flux de contrôle (control flow graph pour les intimes), analyse chaque fonction et génère un rapport détaillé expliquant pourquoi le fichier est malveillant ou non.

Pour faire tout ça, Microsoft s’appuie sur Azure AI Foundry et des outils de reverse engineering bien connus comme angr et Ghidra. Le processus commence ainsi par un triage automatique pour identifier le type de fichier et sa structure. Ensuite, l’IA reconstruit comment le programme s’exécute, analyse chaque fonction avec des modèles de langage spécialisés et compile tout dans une “chaîne de preuves” (chain of evidence).

Cette transparence est cruciale car elle permet aux équipes de sécurité de vérifier le raisonnement de l’IA et comprendre comment elle est arrivée à ses conclusions. Et surtout, les tests en conditions réelles sont prometteurs car sur 4000 fichiers que les systèmes automatisés de Microsoft n’arrivaient pas à classifier, Project IRE a correctement identifié 89% des fichiers malveillants avec seulement 4% de faux positifs.

Le seul bémol c’est le taux de détection global qui n’est que de 26%, ce qui signifie que l’IA rate encore pas mal de malwares. Mais comme le soulignent les chercheurs, cette combinaison de haute précision et faible taux d’erreur montre un vrai potentiel pour un déploiement futur.

Mike Walker, Research Manager chez Microsoft, raconte que dans plusieurs cas où l’IA et l’humain n’étaient pas d’accord, c’est l’IA qui avait raison. Ça montre bien que les forces complémentaires de l’humain et de l’IA peuvent vraiment améliorer la protection. Pour valider ses trouvailles, Project IRE utilise un outil de validation qui vérifie les affirmations du rapport contre la chaîne de preuves.

Cet outil s’appuie sur des déclarations d’experts en reverse engineering de l’équipe Project IRE et en combinant ces preuves et son modèle interne, le système produit un rapport final et classe le fichier comme malveillant ou bénin. L’objectif à terme est ambitieux puisqu’il s’agit de détecter automatiquement de nouveaux malwares directement en mémoire, à grande échelle.

Ce serait vraiment cool d’identifier des menaces avancées (APT) sans qu’un humain ait besoin d’intervenir. D’ailleurs, Project IRE a déjà réussi à créer le premier cas de conviction pour un malware APT chez Microsoft, sans aide humaine.

Pour l’instant, ça reste un prototype qui sera intégré plus tard dans Microsoft Defender comme outil d’analyse binaire mais les implications sont déjà énormes car les malwares deviennent de plus en plus sophistiqués et nombreux, et avoir une IA capable de les analyser automatiquement pourrait changer pas mal la lutte contre ces saloperies.

Alors oui, on n’est pas encore au point où l’IA remplace complètement les experts en sécurité mais on s’en rapproche et vu la pénurie de talents en cybersécurité et l’explosion du nombre de menaces, c’est plutôt une bonne nouvelle.

– Sources :

https://www.helpnetsecurity.com/2025/08/05/project-ire-microsoft-autonomous-malware-detection-ai-agent/

https://korben.info/project-ire-agent-microsoft-detecte-malwares.html

@michmich a dit dans [Dossier] LockBit : L'empire russe tombé à cause d'une simple faille PHP :

Bien fait pour leur gueule, si ça pouvait seulement continuer de tomber (le reste)! :ahah:

Le problème, c’est que ça repousse vite ces petites bébêtes !

Un faux tweet, 3 minutes de chaos, 136,5 milliards de dollars évaporés. Non, c’est pas Elon Musk qui a encore fait des siennes sur Twitter, mais bien une bande de hackers syriens qui a réussi le plus gros market crash de l’histoire en 140 caractères. Bienvenue dans l’univers complètement barré de la Syrian Electronic Army.

Beaucoup ont creusé cette histoire pendant des années sans vraiment comprendre toutes les ramifications politiques, mais avec la chute du régime Assad en décembre 2024, on peut enfin reconstituer le puzzle complet de cette organisation qui a terrorisé les médias occidentaux pendant près d’une décennie.

Bon, pour comprendre comment des mecs dans un bureau à Damas ont pu faire trembler Wall Street, il faut remonter à 1989. À l’époque où on jouait tous à Tetris sur Game Boy, Bassel al-Assad, le frère aîné de Bashar et héritier présomptif du trône syrien, fonde la Syrian Computer Society. L’objectif affiché c’est de démocratiser l’informatique en Syrie, mais en réalité, il s’agit de créer les fondations d’une infrastructure numérique contrôlée par le clan Assad.

Quand Bassel se tue dans un accident de voiture en 1994 (il roulait à 240 km/h sur la route de l’aéroport de Damas dans le brouillard… le mec n’était pas très prudent), Bashar hérite de tout : le destin politique et la présidence de la Syrian Computer Society. Le futur dictateur, qui était ophtalmologue à Londres, se passionne alors pour les nouvelles technologies et supervise personnellement l’introduction d’Internet en Syrie.

Ce qui est fort dans cette histoire, c’est que Assad avait tout de suite compris dès les années 90, tout le potentiel stratégique d’Internet. Pendant que nos dirigeants européens découvraient encore le Minitel, lui posait déjà les bases d’une cyberguerre moderne. Au bout d’un moment, sa femme Asma a alors repris le contrôle de la Syrian Computer Society, transformant progressivement l’organisation en pépinière de cyber-soldats.

En 2000, Bashar devient président et garde un œil attentif sur le développement numérique du pays. La Syrian Computer Society devient le seul registrar de noms de domaine syriens et contrôle l’infrastructure Internet nationale via SCS-NET, son propre FAI. Puis arrive 2011 et les Printemps arabes. Les manifestations éclatent en Syrie, les réseaux sociaux s’embrasent, et Assad comprend qu’il a besoin d’une arme numérique pour contrôler le narratif. Le 5 mai 2011, la Syrian Computer Society enregistre discrètement le domaine syrian-es.com via la Syrian Telecommunications Establishment.

La Syrian Electronic Army vient officiellement de naître.

Le truc génial (enfin, façon de parler), c’est que contrairement aux groupes de hackers anonymes classiques, la SEA opérait presque à visage découvert. Ces mecs étaient tellement protégés par le régime qu’ils se permettaient de défiler dans les rues de Damas avec des gilets aux couleurs du groupe !

Alors, qui sont ces cyber-warriors du régime Assad ? Et bien voici les profils des principaux acteurs, et vous allez voir, c’est un sacré casting.

Ahmad Umar Agha, alias “Th3 Pr0” - Le prodige négligent : Ahmad, 22 ans à l’époque de ses principaux exploits, incarne parfaitement la génération de hackers syriens formés dans l’écosystème Assad. Le FBI l’a ajouté à sa liste des cyber-criminels les plus recherchés avec une récompense de 100 000 dollars. Pourquoi ? Parce que ce génie s’est fait identifié à cause de son compte Gmail [email protected] créé en 2010.

– Ahmad Umar Agha

Le mec envoyait ses documents d’identité personnels et des photos de famille par email et bien sûr, il se connectait souvent à ses comptes depuis des adresses IP syriennes non masquées. J’ai vu des script kiddies de 13 ans se protéger mieux que lui…

Ahmad dirigeait la division “opérations spéciales” de la SEA. Selon le FBI, il était spécialisé dans les attaques de spear-phishing ultra-sophistiquées, capable de créer de faux emails tellement convaincants que même des journalistes expérimentés tombaient dans le panneau. Entre 2011 et 2014, il a comme ça compromis des dizaines d’agences gouvernementales américaines, des médias et des organisations privées.

Firas Dardar, alias “The Shadow” - L’homme de l’ombre pas si discret : Firas, 27 ans, était le binôme technique d’Ahmad. Surnommé “The Shadow”, il était censé être l’expert en furtivité du groupe. Raté ! Comme son complice, il a multiplié les erreurs de sécurité qui ont permis au FBI de le traquer.

Dardar était l’expert en ingénierie sociale de l’équipe et sa spécialité c’était de créer des pages de connexion factices tellement bien foutues qu’elles trompaient même les équipes IT des grandes rédactions. Il avait développé un système de phishing multi-étapes où la première page redirige vers une seconde, puis une troisième, pour mieux brouiller les pistes. Du travail d’orfèvre !

Et à partir de 2013, Dardar et un certain Peter Romar ont monté un business parallèle d’extorsion. Ils hackaient des entreprises et menaçaient de détruire leurs données sauf si elles payaient une rançon. L’entrepreneuriat version cyber-terroriste !

Peter Romar - Le blanchisseur d’argent : Ce mec de 36 ans était le troisième larron du groupe d’extorsion. Son job ? Contourner les sanctions internationales pour récupérer l’argent des rançons. Quand les victimes ne pouvaient pas payer directement en Syrie à cause des sanctions, Romar servait d’intermédiaire.

Arrêté en Allemagne et extradé aux États-Unis en mai 2016, il a plaidé coupable en septembre 2016. Il risquait 5 ans de prison. Au moins un qui s’est fait choper !

Haidara Suleiman - Le prince héritier du cyber-empire : Voici le personnage le plus intéressant de toute l’histoire. Haidara n’est pas un hacker lambda, c’est le fils de Bahjat Suleiman, l’un des hommes les plus puissants du régime Assad. Bahjat dirigeait la branche interne de la Direction générale du renseignement et était considéré comme le mentor et confident d’Assad.

Et Haidara cumule les casquettes : rédacteur en chef du journal pro-régime Baladna, membre dirigeant de la Syrian Electronic Army, et surtout… gestionnaire de la page Facebook officielle de Bashar al-Assad ! Le fils d’un chef des services secrets qui gère les réseaux sociaux du dictateur ET coordonne les cyberattaques contre l’opposition, c’est comme si le fils du patron de la DGSE gérait le Twitter de Macron tout en hackant Le Monde !

Yaser al-Sadeq - Le commandant qui aimait les caméras : Yaser se proclamait “commandant” de la Syrian Electronic Army et adorait apparaître dans les médias syriens en tenue militaire. Ce type était l’antithèse du hacker anonyme classique puisqu’il cherchait la reconnaissance publique et revendiquait fièrement chaque attaque.

La période 2013-2014 marque l’apogée de la Syrian Electronic Army. Leurs techniques étaient d’une redoutable efficacité, mélangeant ingénierie sociale, exploitation de vulnérabilités et manipulation psychologique. Certaines de leurs attaques étaient du grand art car les hackers syriens avaient développé une méthode imparable qui fait encore des dégâts aujourd’hui.

– Voici leur recette secrète (bon, plus si secrète que ça maintenant) :

Étape 1 : La reconnaissance - Ils épluchaient les réseaux sociaux et les organigrammes des rédactions pour identifier les employés ayant accès aux comptes Twitter/Facebook officiels. LinkedIn était leur terrain de jeu favori pour cartographier les équipes. Un peu comme des stalkers professionnels quoi !

Étape 2 : L’email d’hameçonnage - Ils envoyaient des emails ultra-convaincants, souvent en usurpant l’identité d’un collègue ou d’un service IT interne. Le message contenait toujours un prétexte crédible : “urgent, problème de sécurité sur votre compte”, “nouvelle procédure de connexion obligatoire”, “document exclusif sur la Syrie à consulter”. Les journalistes adorent les scoops, et eux le savaient !

Étape 3 : La page piégée - Le lien menait vers une fausse page de connexion, parfaite copie de Google, Facebook ou du système interne de l’entreprise. Ces pages étaient tellement bien faites que n’importe qui aurait pu se faire avoir un jour de fatigue. Une fois les identifiants saisis, hop, les hackers avaient ensuite accès aux comptes.

Étape 4 : L’escalade - Avec un premier compte compromis, ils envoyaient des emails aux contacts de la victime pour étendre leur emprise. “Salut, peux-tu vérifier ce document urgent ?” avec un nouveau lien piégé. C’est comme ça qu’ils ont réussi à compromettre des rédactions entières !

Le hack du siècle se déroule le 23 avril 2013 à 13h07, heure de New York. Le compte Twitter officiel d’Associated Press (@AP), suivi par près de 2 millions de personnes, publie ce tweet :

Breaking: Two Explosions in the White House and Barack Obama is injured

En 60 secondes, c’est la panique totale. Les algorithmes de trading haute fréquence, programmés pour réagir aux breaking news, vendent massivement. Le Dow Jones plonge de 143 points. En 3 minutes, c’est 136,5 milliards de dollars de capitalisation boursière s’évaporent. Wall Street vit littéralement l’apocalypse en direct.

13h10, l’AP confirme que son compte a été hacké. Jay Carney, porte-parole de la Maison Blanche, précise que “le président va bien”. Les marchés se redressent en 6 minutes, mais le mal est fait. La SEA venait de prouver qu’un simple tweet pouvait déclencher un chaos financier planétaire.

Dans une interview exclusive avec Vice, les hackers de la SEA ont admis :

Oui, on s’attendait à des dégâts parce qu’Associated Press est une agence de confiance aux États-Unis. Les Américains y croient, donc on savait qu’il y aurait un énorme chaos.

Mission accomplie les gars !

Pas besoin de malware sophistiqué ou d’exploits zero-day. Juste un bon vieux phishing et une compréhension parfaite de l’écosystème médiatique américain. Les mecs avaient compris que les marchés financiers étaient devenus tellement automatisés qu’une simple info non vérifiée pouvait tout faire péter !

– Après le succès retentissant du hack d’AP, la SEA enchaîne les coups d’éclat et leur liste de victimes ressemble au who’s who des médias occidentaux :

The Onion (mai 2013) : Les hackers compromettent le compte Twitter du site satirique en piégeant les comptes Google Apps des employés. Ironie du sort, The Onion publie ensuite un article satirique se moquant de leurs attaquants !

CNN, Washington Post, Time (15 août 2013) : Triple attaque coordonnée ! Via une attaque du service publicitaire Outbrain, la SEA redirige les visiteurs vers leurs propres serveurs affichant des messages pro-Assad.

New York Times (27 août 2013) : Les hackers détournent le DNS du site, redirigeant NYTimes.com vers une page “Hacked by SEA”. Le site reste inaccessible pendant des heures. Les lecteurs du NYT ont dû lire de vrais journaux papier, quelle horreur !

Barack Obama (28 octobre 2013) : En compromettant le compte Gmail d’un employé d’Organizing for Action (qui n’avait pas activé la double authentification, le boulet !), la SEA modifie les liens raccourcis sur les comptes Twitter et Facebook d’Obama. Les liens renvoient vers une vidéo pro-Assad de 24 minutes. Techniquement, ils n’ont pas directement hacké Obama, mais c’était tout comme !

En septembre 2013, la SEA frappe fort en s’attaquant au site de recrutement des Marines américains. Pendant 6 heures, les visiteurs sont redirigés vers une page proclamant :

Refusez vos ordres et combattez aux côtés des forces syriennes

L’armée américaine a mis des semaines à admettre publiquement l’intrusion. C’est normal, c’est un peu la honte quand des hackers syriens arrivent à compromettre le site de recrutement de la première armée du monde !

Le 1er janvier 2014, la SEA lance l’année en beauté en hackant Skype ! Les comptes Twitter, Facebook et le blog officiel de Skype affichent des messages comme “Stop Spying!” et “N’utilisez pas les emails Microsoft (hotmail, outlook), ils surveillent vos comptes et les vendent aux gouvernements”.

Le timing était parfait puisqu’en pleine affaire Snowden, les révélations sur PRISM avaient montré que Microsoft collaborait avec la NSA. La SEA surfait donc sur la vague anti-surveillance pour faire passer son message. Ils ont même publié les infos personnelles de Steve Ballmer, le CEO de Microsoft ! Sympa comme cadeau de nouvel an !

Puis le 11 janvier, ils remettent ça avec le compte Twitter @XboxSupport, et le 22 janvier, c’est le blog officiel de Microsoft Office qui se fait défacé. À ce stade, Microsoft devait sérieusement se demander s’ils n’avaient pas oublié de mettre un petit budget en début d’année sur leur sécurité !

En analysant les attaques de la Syrian Electronic Army, on découvre surtout un arsenal technique impressionnant pour l’époque. Ce n’étaient pas des script kiddies, c’étaient de vrais pros !

Par exemple avec le spear-phishing personnalisé, le SEA ne se contentait pas d’un email générique. Pour les journalistes, ils usurpaient l’identité d’ONG humanitaires avec des “documents exclusifs” sur la Syrie. Pour les techniciens IT, ils se faisaient passer pour des services de sécurité avec des alertes bidon. Ou encore pour les dirigeants, ils imitaient des partenaires commerciaux avec des “contrats urgents à signer”.

Le niveau de personnalisation était hallucinant. Ils mentionnaient des détails sur la vie privée des victimes, des projets en cours, des collègues spécifiques. Genre “Salut John, comme on en a parlé avec Sarah lors du meeting de mardi dernier…”. Fort !

Sur l’exploitation de CMS obsolètes, la SEA excellait dans l’exploitation de failles dans les systèmes de gestion de contenu mal mis à jour. WordPress, Joomla, Drupal… Dès qu’une vulnérabilité était découverte, ils scannaient automatiquement des milliers de sites pour identifier les versions obsolètes.

C’est comme ça qu’ils ont réussi à défacer tant de sites médiatiques. Les admins sys qui oubliaient de faire leurs mises à jour se retrouvaient alors avec un beau logo SEA en page d’accueil. La base quoi !

Le DNS hijacking était également une de leurs techniques les plus vicieuses. Cela consistait à compromettre les serveurs DNS des hébergeurs. En modifiant les enregistrements DNS, ils pouvaient rediriger le trafic d’un site légitime vers leurs propres serveurs. Les visiteurs tapaient l’adresse habituelle, mais arrivaient sur une page de propagande pro-Assad.

Et puis il y avait BlackWorm RAT : À partir de 2014, la SEA (ou plus précisément la Syrian Malware Team, leur division malware) développe ses propres outils. BlackWorm était un trojan espion distribué via de fausses apps imitant des outils de communication sécurisée.

Le malware existait en deux versions : la v0.3.0 originale et la Dark Edition v2.1. Cela permettait de tuer des processus Windows, redémarrer le système, collecter les infos système, copier sur USB avec autorun, contourner l’UAC, désactiver les firewalls, se propager sur le réseau… Du grand classique mais très efficace !

Une fois installé, BlackWorm collectait contacts, messages, géolocalisation et même les enregistrements audio. Les dissidents syriens qui pensaient utiliser une app sécurisée se retrouvaient alors complètement surveillés. Pas cool !

Puis en 2017, quelque chose change dans la stratégie de la Syrian Electronic Army. Le groupe abandonne progressivement les opérations de hacking pour se concentrer sur la guerre informationnelle et la propagande.

Yaser al-Sadeq l’explique dans une interview : “Avant, on travaillait en secret sur l’axe militaire. Maintenant que le gouvernement a gagné, on veut devenir les auxiliaires médiatiques de l’armée syrienne.”

Cette version 2017 de la SEA n’a plus grand-chose à voir avec le groupe underground des débuts. Al-Sadeq organise des défilés publics dans Damas, ses hackers portent des uniformes avec le logo SEA, ils donnent des interviews à la télé.

Et plutôt que de pirater des sites web, la nouvelle SEA se concentre sur la création de fake news. En 2021, Facebook découvre et supprime un réseau de faux comptes gérés par la SEA ciblant l’opposition syrienne, les Casques blancs et les combattants kurdes avec de la désinformation massive.

Leurs techniques ont donc évolué, mais l’objectif reste le même : contrôler le narratif, sauf qu’au lieu de pirater le compte Twitter d’AP, ils créent des milliers de comptes pour noyer l’info. C’est moins spectaculaire, mais tout aussi efficace !

Puis le 8 décembre 2024, c’est la fin. Le régime Assad s’effondre face à l’offensive des rebelles menés par Hayat Tahrir al-Sham et Bashar fuit vers la Russie avec sa famille, mettant fin à plus de 50 ans de dictature familiale.

Avec la chute du régime, la Syrian Electronic Army perd sa raison d’être, Yaser al-Sadeq et ses troupes disparaissent dans la nature, Haidara Suleiman s’exile probablement avec papa et Ahmad Agha et Firas Dardar restent introuvables et sont encore aujourd’hui sur la liste des plus recherchés du FBI avec 100 000 dollars de récompense sur leur tête.

Cette organisation qui se vantait de maîtriser l’information n’a pas vu venir la chute de son propre camp et leurs talents en cyber-guerre n’ont pas suffi à sauver Assad. C’est le karma !

Tchao !

L’attaque contre AP reste LE cas d’école sur la fragilité des marchés face aux fake news et depuis, plusieurs incidents similaires ont eu lieu, la preuve que les gens n’apprennent pas vite et que les algos de trading sont toujours aussi cons.

En ciblant les médias occidentaux, la SEA a normalisé l’idée que l’info était un champ de bataille et aujourd’hui, que ce soit l’Ukraine, Gaza, Taiwan… partout, la guerre de l’info fait rage.

Bref, la Syrie c’est peut-être pas la Silicon Valley, mais ses hackers ont réussi à faire crasher Wall Street donc ça remet un peu les pendules à l’heure sur la prétendue supériorité technologique occidentale !

– Sources :

U.S. Department of Justice - Syrian Electronic Army Charges, Washington Post - AP Hack Market Crash, NPR - Syrian Electronic Army Overview, Wikipedia - Syrian Electronic Army, Washington Post - SEA Profile, The Hacker News - Skype Hack, Vice - SEA Interview

https://korben.info/syrian-electronic-army-hackers-assad-cyber-guerre.html

C’est fou ; un peu comme se depecher de construire une maison pour la vendre et s’apercevoir qu’on a oublié de mettre une serrure sur la porte de derrière…Quand même assez courant à notre époque…!!