Vous savez quel est le pire cauchemar d’un labo pharmaceutique ? C’est investir des milliards dans un médicament qui fonctionne parfaitement sur les souris pour finalement découvrir qu’il est totalement inutile chez l’humain.
Bon, visiblement ça arrive dans 96% des cas pour les médicaments neuropsychiatriques selon les données de Johns Hopkins BME. Un taux d’échec qui ferait pâlir n’importe quel créateur de founder. Mais voilà qu’une équipe de chercheurs vient peut-être de trouver la solution en faisant pousser… des cerveaux humains miniatures.
C’est l’équipe d’Annie Kathuria à Johns Hopkins qui a réussi ce truc assez fou. Ils ont créé le tout premier organoïde cérébral complet, le MRBO (Multi-Region Brain Organoid), qui intègre toutes les régions majeures du cerveau humain. Pas juste un bout de cortex comme avant hein, mais un vrai petit cerveau avec ses vaisseaux sanguins rudimentaires et son activité neurale. La bestiole fait 6 à 7 millions de neurones ce qui comparé à votre cerveau qui en contient des dizaines de milliards, est ridicule, mais c’est déjà suffisant pour reproduire l’activité d’un cerveau fœtal de 40 jours.
Pour y parvenir, il utilisent une technique d’assemblage où au lieu d’essayer de tout faire pousser d’un coup, ils cultivent séparément les différentes régions cérébrales et les vaisseaux sanguins dans des boîtes de Petri, et ensuite, ils utilisent des protéines collantes qui font office de “superglue biologique” pour assembler le tout comme un puzzle 3D. Une fois collés ensemble, les tissus commencent alors naturellement à créer des connexions et à produire de l’activité électrique coordonnée.
Ce qui est dingue c’est que cet “‘organoïde” conserve environ 80% des types cellulaires qu’on trouve dans un cerveau humain en développement précoce. Les chercheurs ont même observé la formation d’une barrière hémato-encéphalique primitive, cette couche protectrice qui filtre ce qui peut ou ne peut pas entrer dans le cerveau. D’après ScienceDaily, c’est une première mondiale qui pourrait transformer radicalement la recherche médicale.
Mais alors pourquoi c’est si révolutionnaire ? Et bien ça permettrait de “faire de la science” sur du tissu cérébral humain sans toucher à un seul patient. Pour les maladies comme la schizophrénie, l’autisme ou Alzheimer qui affectent l’ensemble du cerveau et pas juste une région isolée, c’est donc un game-changer total.
En France, le CNRS a annoncé le lancement du programme PEPR MED-OoC début 2025. C’est un projet à 48 millions d’euros sur six ans pour développer la médecine personnalisée avec les organoïdes. Co-dirigé par le CEA, l’Inserm et le CNRS, ce programme vise à créer des modèles biologiques personnalisés et réduire l’expérimentation animale.
L’application la plus prometteuse c’est évidemment la médecine sur-mesure. En gros, on prélève vos cellules, on fait pousser un mini-vous cérébral, et on teste dessus quel traitement marchera le mieux pour VOTRE cerveau spécifique. Plus de loterie thérapeutique, plus de “on va essayer ça et voir si ça marche”. Cette approche permet déjà d’étudier la microcéphalie, les troubles du spectre autistique et même les effets du virus Zika sur le développement cérébral.
D’ailleurs, ça marche déjà pour d’autres organes. Une équipe chinoise a rapporté en 2024 les résultats d’un essai clinique où ils ont transplanté des îlots pancréatiques dérivés de cellules souches chez un patient diabétique de type 1. Du coup, sevrage complet de l’insuline en 75 jours avec une HbA1c normalisée à 5%. Alors si on peut faire la même chose avec les troubles neurologiques, c’est le jackpot médical !
Bon, maintenant avant que vous ne flippiez en mode Black Mirror, je vous rassure, ces mini-cerveaux ne sont pas conscients. L’Académie nationale de médecine insiste bien là-dessus !! Toutes les activités cellulaires observées ne peuvent pas être assimilées à des processus cognitifs, sensoriels ou moteurs. C’est juste du tissu biologique qui réagit, et pas un être pensant miniature.
Pour les chercheurs, ces organoïdes sont surtout une alternative éthique géniale car au lieu de tester sur des animaux (avec des résultats souvent non transposables) ou d’attendre des années pour des essais cliniques risqués, ils peuvent maintenant observer en temps réel comment une maladie se développe et tester immédiatement si un traitement fonctionne. Ça me fait penser aussi à cet ordinateur biologique dont j’ai parlé il y a quelques semaines…
Ce qui est fou, c’est qu’on n’est qu’au début de tout ça ! Et les applications potentielles sont énormes car ça va nous permettre de comprendre pourquoi certains cerveaux développent des maladies neurodégénératives et d’autres non, mais aussi de créer des banques d’organoïdes pour tester massivement de nouvelles molécules, ou même de développer des thérapies préventives personnalisées avant l’apparition des symptômes.
Alors oui, faire pousser des cerveaux en labo, ça peut sembler dystopique et je sais que certains d’entre vous sont déçus parce qu’ils espéraient une greffe ^^, mais quand on voit le potentiel pour soigner des maladies aujourd’hui incurables, c’est plutôt de l’espoir en boîte… de Petri.
Et avec les investissements massifs en France et aux États-Unis, on peut parier que d’ici quelques années, votre médecin pourra tester ses prescriptions sur votre jumeau cérébral miniature avant de vous les donner.
Si vous possédez un NAS Synology et que vous aimez mettre les mains dans le cambouis, faut absolument que vous lisiez cet article. Car vous avez déjà forcement connu ce moment hyper frustrant où vous voulez juste lancer un nano ou un htop sur votre NAS et… rien ? En effet, le terminal Synology est plutôt spartiate de base. Heureusement, SynoCommunity vient à votre rescousse avec ses packages SynoCli qui permet d’ajouter de nouveaux outils indispensables sur votre NAS.
Alors SynoCommunity, c’est donc une communauté open source qui maintient plus de 130 packages tiers pour Synology DSM. Des applications comme Transmission, SickRage, ou même Home Assistant, mais aujourd’hui, j’aimerai surtout qu’on se concentre sur leurs 7 packages SynoCli qui regroupent plus de 110 outils en ligne de commande. Ça va vous permettre d’installer tout un arsenal d’utilitaires Linux d’un seul coup, sans vous prendre la tête avec les compilations croisées.
La beauté du truc, c’est que tout passe par le Package Center de votre Synology. Pas besoin de SSH, pas de risque de casser votre système, et surtout, tout reste proprement géré par DSM. Si vous mettez à jour votre NAS ou que vous voulez désinstaller, tout se fait proprement.
Bon, trêve de blabla, passons maintenant aux choses sérieuses : ✨l’installation✨.
D’abord, il faut ajouter le dépôt SynoCommunity à votre Package Center. Pour cela, connectez-vous à votre DSM, allez dans le Package Center, puis dans les Paramètres. Et dans l’onglet Sources de paquets, cliquez sur Ajouter et entrez :
Validez, et voilà, vous avez maintenant accès à tout le catalogue SynoCommunity dans l’onglet Communauté de votre Package Center.
Maintenant, cherchez “SynoCli” dans le Package Center. Vous allez alors tomber sur 7 packages différents, chacun ayant sa spécialité. Voici ce que contient chaque package :
SynoCliNet pour le réseau : vous avez nmap (l’outil de scan réseau par excellence), tmux et screen pour gérer vos sessions SSH, mtr pour diagnostiquer les problèmes réseau, rsync pour vos synchronisations, et même sshfs pour monter des systèmes de fichiers distants. La version actuelle inclut aussi telnet, whois et dig.
SynoCliFile pour la gestion de fichiers : c’est le package star avec nano et micro pour éditer vos fichiers, tree pour visualiser l’arborescence, fzf (le fuzzy finder qui change la vie), ripgrep pour des recherches ultra-rapides, bat (un cat avec coloration syntaxique), et même Midnight Commander pour ceux qui ont la nostalgie de Norton Commander. Les dernières versions incluent aussi eza et lsd, des alternatives modernes à ls.
SynoCliMonitor pour surveiller votre système : htop évidemment (parce que top c’est has-been), iotop pour voir qui bouffe votre disque, iperf pour tester votre bande passante, et même bandwhich pour visualiser en temps réel qui utilise votre réseau. Les amateurs d’SNMP seront ravis de trouver les outils net-snmp inclus.
SynoCliDevel pour les développeurs : automake, autoconf, make, gdb pour débugger, pkg-config, et même strace pour tracer les appels système. Parfait si vous voulez compiler des trucs directement sur votre NAS.
SynoCliDisk pour gérer vos disques : testdisk pour récupérer des partitions perdues, ncdu pour voir ce qui prend de la place (en mode interactif), smartmontools pour surveiller la santé de vos disques, et ddrescue si vous devez récupérer des données d’un disque mourant.
SynoCliKernel pour les modules kernel : celui-là est plus spécialisé, avec des modules pour l’USB série et les tuners TV. Utile si vous branchez des périphériques exotiques sur votre NAS.
SynoCliMisc pour tout le reste : bc (la calculatrice en ligne de commande), expect pour automatiser des scripts interactifs, parallel pour paralléliser vos commandes, et plein d’utilitaires issus de util-linux comme lsblk, lscpu, findmnt.
Une fois installés, tous ces outils sont alors accessibles directement depuis le terminal SSH de votre Synology. Pas de PATH à configurer, pas de bibliothèques manquantes, ça marche direct.
Petite astuce quand même en passant… vous n’êtes évidemment pas obligé d’installer tous les packages. Si vous voulez juste éditer des fichiers et surveiller votre système, SynoCliFile et SynoCliMonitor suffisent largement. Chaque package fait entre 10 et 50 MB, donc ça reste raisonnable.
Pour DSM 7, attention, selon les développeurs, certains packages peuvent nécessiter des adaptations, mais la communauté est active et les mises à jour sont régulières. D’ailleurs, si vous upgradez de DSM 6 vers DSM 7, pensez à sauvegarder vos configurations avant. Ce qui est cool avec SynoCommunity surtout, c’est que tout est open source. Vous pouvez aller voir le code sur GitHub, contribuer si vous voulez, ou même créer vos propres packages avec leur framework spksrc. C’est une vraie communauté de passionnés qui maintiennent ça sur leur temps libre.
Bref, si vous utilisez votre Synology pour autre chose que du stockage basique, ces packages SynoCli sont indispensables. Ça transforme votre NAS en véritable serveur Linux, avec tous les outils dont vous avez besoin pour administrer, développer, et débugger… Comme ça, plus besoin d’installer Entware ou de bricoler avec ipkg/opkg. Tout est propre, maintenu, et intégré à DSM.
Alors oui, vous pourriez compiler tout ça vous-même, mais pourquoi se compliquer la vie quand une communauté entière le fait déjà pour vous ? En plus, avec le système de packages Synology, vous pouvez installer/désinstaller/mettre à jour en un clic, sans risquer de casser votre système.
Voilà, maintenant votre NAS Synology n’a plus aucune excuse pour ne pas avoir tous les outils CLI dont vous rêvez.
Puis c’est quand même plus classe de faire un htop dans un terminal que de regarder le Resource Monitor dans l’interface web, non ?
C’est l’histoire d’un couple d’artistes développeurs qui largue les amarres pour vivre sur un voilier dans le Pacifique Nord. Pas de connexion internet stable, pas d’électricité illimitée, juste l’océan et quelques panneaux solaires…
C’est dans ces conditions que Devine Lu Linvega et Rek Bell de 100 Rabbits ont créé Uxn, une machine virtuelle qui tient en 100 lignes de C et qui fait tourner des applications graphiques complètes sur à peu près n’importe quoi, de votre vieille Game Boy Advance à votre Raspberry Pi Pico.
Le truc vraiment génial avec Uxn, c’est qu’elle ne prend que 64KB en RAM. Pour vous donner une idée, c’est environ 65 000 fois moins que ce que Chrome bouffe juste pour afficher cette page. Et pourtant, avec ces 64KB, vous pouvez faire tourner un éditeur de texte complet, un logiciel de dessin, un environnement de livecoding musical, et même des jeux comme Oquonie ou Donsol.
Sorcellerie me direz-vous ? Et bien non, c’est tout à fait possible en revenant aux fondamentaux de l’informatique et en appliquant les principes du permacomputing.
L’idée du permacomputing, c’est de créer des systèmes informatiques résilients et durables. Au lieu de racheter un nouveau PC tous les 3 ans parce que le dernier Windows rame, vous créez des logiciels qui tourneront encore dans 20 ans sur le matériel d’aujourd’hui. C’est une philosophie qui maximise la durée de vie du hardware et minimise la consommation énergétique. Et Uxn incarne parfaitement cette approche.
Pour programmer sur Uxn, vous devez utilise Uxntal, un langage assembleur basé sur une stack machine avec notation postfixe. Par exemple, au lieu d’écrire 3 + 4, vous écrivez 3 4 +. Ça peut paraître bizarre au début, mais c’est redoutablement efficace. Et contrairement à ce qu’on pourrait penser, Uxntal supporte même des concepts avancés comme les fonctions lambda et la programmation fonctionnelle.
Ce qui est vraiment cool avec cet OS, c’est sa portabilité. Le même fichier ROM Uxn peut tourner sur votre PC Linux avec SDL2, sur une Nintendo DS, sur un navigateur web, sur DOS, sur une PlayStation Vita, et même sur des trucs complètement barrés comme un télétypographe ou un STM32. C’est exactement comme les ROMs des vieilles consoles en fait… Vous créez votre programme une fois, et il tourne partout où il y a un émulateur Uxn.
Les applications disponibles sont d’ailleurs impressionnantes. Il y a Left, un éditeur de texte graphique, Noodle qui permet de dessiner, Orca qui est un environnement de livecoding pour créer de la musique, Nasu qui édite des sprites, Turye qui crée des polices de caractères. Et tout ça dans des fichiers de 10 à 15KB maximum.
L’écosystème Uxn est aussi super accessible pour les développeurs. La documentation sur GitHub liste des dizaines d’émulateurs, d’outils et de tutoriels. Il y a même des compilateurs comme Dotal et Funktal qui permettent d’écrire dans des langages de plus haut niveau et de compiler vers Uxntal. La communauté est aussi très active sur IRC (#uxn sur libera.chat) et Discord, et les workshops d’introduction sont excellents pour débuter.
Maintenant, pour installer Uxn sur votre machine, c’est super simple. Sur Linux, vous installez SDL2 (sudo apt install libsdl2-dev sur Ubuntu), vous téléchargez l’émulateur, et vous lancez vos ROMs. Vous pouvez même développer directement sur Uxn avec Bicycle, un REPL interactif, ou Dexe, un éditeur hexadécimal.
Ce que j’adore avec Uxn, c’est que ça remet en question tout ce qu’on considère comme acquis dans le développement moderne. On n’a pas besoin de 8GB de RAM et d’un framework JavaScript de 500MB pour faire une calculatrice. On peut créer des outils puissants et élégants avec des contraintes extrêmes. Et le fait que tout ça vienne de deux personnes vivant sur un bateau, alimentées par de l’énergie solaire, ça rajoute une dimension poétique au projet.
Donc si vous cherchez une alternative radicale à la course à la puissance, si vous voulez explorer ce qu’on peut faire avec des systèmes minimaux, ou si vous êtes juste curieux de voir comment on peut faire tenir un OS complet dans moins de mémoire qu’une photo Instagram, Uxn vaut vraiment le détour.
Car parfois, c’est bon d’en enlever un peu pour retrouver l’essentiel.
Vous savez ce qui me fascine avec les gangs de ransomware ? C’est leur capacité à renaître de leurs cendres comme des phœnix. L’opération Checkmate vient de frapper BlackSuit le 24 juillet dernier, saisissant 4 serveurs, 9 domaines .onion et récupérant 1,09 million de dollars en crypto, mais instantanément, les cybercriminels ont déjà muté en “Chaos”, leur nouvelle identité lancée en février dernier. Trop fort ! Ils avaient anticipé le coup !
Pour comprendre l’ampleur de ce bordel, il faut remonter à mai 2022. À cette époque, le gang Conti, ces tarés qui avaient attaqué le Costa Rica et déclaré leur soutien à la Russie dans la guerre en Ukraine, implose complètement. Un insider balance 60 GB de leurs conversations internes sur Twitter. On y découvre alors tout : leurs méthodes, leurs cibles, leurs comptes Bitcoin, même leurs conversations WhatsApp où ils parlent de leurs gosses et de leurs vacances. Du jamais vu !
Mais ces mecs sont malins et plutôt que de disparaître, ils se fragmentent en plusieurs groupes. D’abord Quantum en janvier 2022, qui teste les eaux avec le ransomware ALPHV/BlackCat. Puis Royal en septembre 2022, qui développe son propre encrypteur Zeon. Et enfin BlackSuit en juin 2023, juste après avoir mis la ville de Dallas à genoux. À chaque mutation, ils perfectionnent leurs techniques et augmentent leurs tarifs. C’est l’évolution darwinienne version cybercrime !
L’attaque de Dallas en mai 2023, c’est leur chef-d’œuvre. Ils paralysent complètement la ville : services d’urgence 911 hors service, tribunaux fermés, administration municipale KO. Les flics doivent revenir aux rapports papier, les ambulances naviguent avec des cartes routières, c’est le chaos total. Royal demande 60 millions de dollars de rançon ! La ville refuse de payer mais les dégâts sont estimés à plus de 8,5 millions. C’est là qu’ils décident alors de se “rebrander” en BlackSuit… Trop de chaleur médiatique, j’imagine…
Et surtout mes amis, l’ampleur des dégâts est incroyable. Depuis 2022, BlackSuit et Royal ont touché plus de 450 organisations américaines, extorquant 370 millions de dollars selon les estimations du FBI. Mais attention, c’est juste ce qu’on sait ! Les vraies victimes sont probablement le double car beaucoup préfèrent payer en silence plutôt que de voir leurs données exposées. Hôpitaux, écoles, services d’urgence, centrales électriques… ces enfoirés ciblent spécifiquement les infrastructures critiques car elles sont plus susceptibles de payer rapidement.
La collaboration internationale pour l’Opération Checkmate, c’est du jamais vu dans l’histoire de la cybercriminalité. 8 pays unis sous la coordination d’Europol : Canada (RCMP), Royaume-Uni (NCA), Allemagne (BKA et le parquet de Francfort), Ukraine (Cyber Police), Lituanie, France (ANSSI), Irlande et les États-Unis évidemment avec ICE, FBI, Secret Service et l’OFAC.
Chacun apporte ses compétences spécifiques. Les Allemands du BKA avec leur expertise technique légendaire sur l’analyse forensique. Les Ukrainiens avec leur unité cybercrime qui est devenue ultra performante depuis qu’ils se font attaquer H24 par les Russes. Les Britanniques du NCA avec leur expérience des réseaux criminels et leurs infiltrations. Les Néerlandais qui ont fourni l’infrastructure pour coordonner l’opération. Même BitDefender, la boîte roumaine de cybersécurité, était dans le coup !
Cisco Talos a alors rapidement identifié que Chaos présente des similitudes troublantes avec BlackSuit. Mêmes commandes de chiffrement, mêmes structures de notes de rançon, mêmes outils living-off-the-land (ces techniques qui utilisent les outils légitimes Windows pour passer sous les radars). C’est comme si les développeurs avaient juste fait un Ctrl+H pour remplacer “BlackSuit” par “Chaos” dans leur code.
BlackSuit lui-même était né des cendres de Conti. C’est une dynastie criminelle qui remonte à 2016 avec Ryuk, puis Conti en 2020, puis la fragmentation en 2022. À chaque fois qu’on les tape, ils reviennent plus forts. C’est l’Hydre de Lerne version 2.0… tu coupes une tête, il en repousse deux !
Ce nouveau groupe “Chaos” opère donc déjà sur le forum criminel russe RAMP (Ransom Anon Market Place). Pour ceux qui connaissent pas, RAMP c’est le LinkedIn des cybercriminels. Créé en juillet 2021 par TetyaSluha (qui s’est rebrandé en “Orange”), c’est LE forum où les gangs de ransomware recrutent leurs affiliés après que les autres forums comme XSS et Exploit les aient bannis suite à l’attaque de Colonial Pipeline.
RAMP, c’est 14 000 membres qui parlent russe, chinois et anglais et pour s’inscrire, faut soit être recommandé par un membre d’XSS ou Exploit avec plus de 2 mois d’ancienneté et 10 messages, soit casquer 500 dollars cash. Ils ont même un système d’escrow façon Silk Road pour garantir les transactions. C’est Amazon pour les criminels, avec des notes et des avis clients !
Chaos propose donc leur ransomware-as-a-service (RaaS) compatible Windows, ESXi, Linux, BSD et NAS. Leur première demande connue s’élève à 300 000 dollars, mais c’est juste le prix d’entrée. Pour les grosses entreprises, ça peut monter jusqu’à 60 millions !
Leurs techniques d’infiltration sont diaboliques puisqu’ils combinent :
Spam flooding : bombardement d’emails de phishing jusqu’à ce qu’un employé craque
Ingénierie sociale par téléphone : ils appellent le support IT en se faisant passer pour des employés
Living-off-the-land : utilisation de PowerShell, WMI, et autres outils Windows légitimes
Supply chain attacks : compromission de fournisseurs pour atteindre les vraies cibles
Zero-days achetés sur Genesis Market : des vulnérabilités inconnues à 100 000 dollars pièce
Leur spécialité ce sont les environnements VMware ESXi. Ces salopards ont compris que si tu chiffres l’hyperviseur, tu paralyses TOUTES les machines virtuelles d’un coup. Plus besoin donc de chiffrer 500 serveurs individuellement. Il suffit d’attaquer l’ESXi et boom, c’est game over. Ils exploitent notamment la CVE-2024-37085 où il suffit de créer un groupe “ESX Admins” dans l’Active Directory pour avoir les droits admin complets. Du grand art !
Les techniques d’attaque de Chaos sont d’un autre niveau :
Clés de chiffrement individuelles pour chaque fichier (impossible de créer un décrypteur universel)
Chiffrement optimisé : seulement les premiers 1MB de chaque fichier pour aller plus vite
Ciblage des sauvegardes : suppression des snapshots VMware, Volume Shadow Copies, backups Veeam
Double extorsion : vol des données avant chiffrement pour faire pression
Triple extorsion : DDoS sur le site de la victime si elle refuse de payer
Mais le plus dingue, c’est leur nouveau système de négociation. Ils utilisent pour cela des chatbots IA pour gérer les discussions avec les victimes ! Plus besoin d’avoir un négociateur humain disponible 24/7. L’IA analyse le profil de la victime, adapte le ton, applique des techniques de pression psychologique, et peut même négocier dans plusieurs langues simultanément. C’est ChatGPT au service du crime organisé !
Le chatbot est programmé pour :
Offrir une “preuve de vie” en déchiffrant gratuitement 2 fichiers
Augmenter la pression toutes les 24h avec menaces de publication
Proposer des “réductions” si paiement rapide (technique de vente classique)
Menacer de contacter les clients/partenaires de la victime
Publier automatiquement 10% des données volées si pas de réponse après 72h
Heureusement, l’Opération Checkmate a porté un coup sévère. Les autorités ont saisi les serveurs hébergeant les sites .onion de négociation et de leak. Les domaines miroirs ont aussi été pris simultanément pour éviter toute migration rapide. Les systèmes de blanchiment via mixers Bitcoin ont été démantelés. Même les comptes sur les exchanges crypto ont été gelés grâce à l’OFAC.
Mais bon, le plus inquiétant dans cette affaire, c’est surtout la rapidité de la mutation. BlackSuit était actif jusqu’au 24 juillet, jour de la saisie. Mais Chaos était déjà opérationnel depuis février ! Ces enfoirés avaient anticipé l’intervention policière et préparé leur sortie de secours 5 mois à l’avance. Plusieurs affiliés de BlackSuit avaient d’ailleurs déjà migré vers la nouvelle plateforme, emportant avec eux leurs accès aux réseaux compromis.
L’impact sur les victimes reste dramatique. Les secteurs de la santé et de l’éducation, déjà fragilisés par le COVID et les coupes budgétaires, subissent des pertes moyennes de 800 000 dollars par incident selon les dernières statistiques. Mais c’est rien comparé aux coûts cachés :
Arrêt d’activité : 21 jours en moyenne pour un retour à la normale
Perte de confiance des clients : -23% de chiffre d’affaires sur 2 ans
Frais légaux et de notification : 450 000 dollars minimum
Augmentation des primes d’assurance cyber : x3 après une attaque
Coût de reconstruction from scratch : souvent plus cher que la rançon
Les petites municipalités américaines, avec leurs budgets IT dérisoires (genre 50 000 dollars par an pour protéger toute une ville), deviennent des cibles privilégiées. Lake City en Floride a payé 460 000 dollars. Riviera Beach a lâché 600 000. LaPorte County dans l’Indiana, 130 000. C’est open bar pour les criminels !
SC Media souligne à juste titre que malgré cette victoire, le problème reste entier. Tant que le modèle économique du RaaS reste rentable (les affiliés touchent 70 à 90% des rançons !), de nouveaux groupes continueront d’émerger. La décentralisation via les cryptomonnaies et les forums du dark web rend ces organisations presque impossibles à éradiquer complètement.
Le pire c’est que les gouvernements eux-mêmes alimentent le problème. La NSA développe des exploits qui finissent sur le marché noir (coucou EternalBlue et WannaCry). Les services de renseignement achètent des zero-days au lieu de les signaler. Et certains pays (on ne citera pas la Russie et la Corée du Nord) protègent activement ces groupes tant qu’ils ne ciblent pas leurs citoyens.
Bref, cette lutte contre les ransomwares ressemble à un jeu du chat et de la souris infini car même si les forces de l’ordre marquent des points importants comme avec Checkmate, les criminels s’adaptent et reviennent sous de nouvelles formes. C’est la version cyber de la guerre contre la drogue… on arrête un cartel, trois autres prennent sa place.
Du coup, au risque de rabâcher, n’oubliez pas que la seule vraie défense reste la prévention :
Sauvegardes hors ligne : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)
Patchs à jour : 85% des attaques exploitent des vulns connues depuis plus de 2 ans
Formation du personnel : 91% des attaques commencent par un email de phishing
Segmentation réseau : limiter la propagation latérale
Plans de réponse aux incidents : testés régulièrement avec des simulations
Cyber-assurance : mais lisez les petites lignes car certaines excluent les “actes de guerre cyber”
Parce qu’au final, ce n’est pas une question de SI vous serez ciblé, mais de QUAND. Les stats sont implacables puisque 71% des organisations ont subi au moins une attaque ransomware en 2024. Et pour les 29% restants… soit ils mentent, soit ils ne le savent pas encore !
On vit vraiment une époque formidable où des criminels peuvent paralyser un hosto depuis leur canapé à Moscou tout en négociant une rançon à l’aide d’un chatbot IA. À vous de voir maintenant si vous préférez investir dans la prévention ou financer involontairement le prochain yacht d’un cybercriminel russe…
Ce serait quoi un monde où les bugs de sécurité se font corriger avant même que les hackers ne les trouvent ? Ce serait plus calme non ? J’écrirais moins sur les failles de sécurité cela dit, mais ça me ferais plus de temps pour chiller dans le hamac. Breeeef, ça va peut-être se produire bientôt car c’est exactement ce que vient de rendre possible Trail of Bits en libérant Buttercup, leur système AI qui a décroché la deuxième place et 3 millions de dollars au challenge AIxCC du DARPA.
Et c’est maintenant open source et ça tourne sur votre laptop.
La tendance actuelle c’est une explosion des vulnérabilités… y’a plus de code produit que jamais, des dépendances partout, et des hackers de plus en plus organisés. Donc les équipes de sécurité sont débordées et passent leur temps à courir après les failles. Heureusement, Buttercup vient inverser complètement la donne en automatisant tout le processus, de la détection au patch.
Ce qui rend ce système spécial, c’est qu’il combine le meilleur des deux mondes. D’un côté, les techniques classiques de cybersécurité comme le fuzzing (bombarder le code avec des entrées aléatoires pour le faire planter) et l’analyse statique. Et de l’autre, sept agents IA différents qui collaborent pour comprendre le contexte, générer des patchs et vérifier qu’ils ne cassent rien d’autre.
Lorsqu’on lui confie une analyse, d’abord, Buttercup lance donc une campagne de fuzzing augmentée par IA sur votre code. Et au lieu de tester bêtement des entrées aléatoires, l’IA apprend quels patterns ont le plus de chances de révéler des bugs. Puis, quand une vulnérabilité est trouvée, le système utilise des outils comme tree-sitter et CodeQuery pour créer un modèle complet du programme et comprendre exactement comment le bug s’intègre dans l’architecture globale.
Et c’est là que ça devient vraiment intéressant car les sept agents IA entrent alors en action, avec chacun avec sa spécialité. L’un analyse le bug, l’autre génère des propositions de patch, un troisième vérifie que le patch ne casse pas les tests existants, et ainsi de suite. Ils se coordonnent tous pour produire un patch normalement robuste qui corrige vraiment le problème sans créer de régression.
Pendant la compétition DARPA à DEF CON 33, Buttercup a impressionné tout le monde. Le système a trouvé et patché des vulnérabilités dans 20 des 25 CWEs les plus dangereux selon MITRE. Et je vous parle de trucs sérieux : buffer overflows, injections SQL, race conditions… Trail of Bits a même reçu le prix “LOC Ness Monster” pour avoir soumis un patch de plus de 300 lignes qui fonctionnait parfaitement.
Ce qui est fou, c’est qu’ils ont obtenu ces résultats en utilisant uniquement des modèles IA moins chers, non-reasoning, et pas les gros modèles de raisonnement ultra-chers. Ça veut dire que c’est accessible pour des projets normaux, pas seulement pour les géants de la tech avec des budgets illimités.
L’installation est vraiment simple pour un outil de cette complexité :
git clone --recurse-submodules https://github.com/trailofbits/buttercup.git
cd buttercup
make setup-local
make deploy-local
Bon, il vous faudra quand même 8 cœurs CPU, 16GB de RAM et environ 100GB d’espace disque. Plus des clés API pour OpenAI ou Anthropic si vous voulez utiliser les fonctionnalités IA. Mais comparé à d’autres outils de sécurité enterprise, c’est vraiment raisonnable. Rassurez-vous aussi, il est possible de fixer un budget maximum en conso API.
Le système supporte actuellement le C et le Java, avec une compatibilité OSS-Fuzz pour s’intégrer facilement dans vos pipelines existants. Il y a même une interface web pour monitorer les tâches en cours et voir exactement ce que fait le système.
Ce qui me plaît vraiment dans ce projet, c’est surtout la philosophie derrière car au lieu de garder cette technologie secrète ou de la vendre hyper cher, Trail of Bits a décidé de tout libérer. Ils ont même créé une version “laptop-friendly” spécialement optimisée pour tourner sur des machines normales, pas juste des clusters de serveurs.
Dans le contexte actuel, c’est une vraie révolution. Google a par exemple montré que son IA peut trouver de nouvelles vulnérabilités dans des projets open source majeurs et Meta développe AutoPatchBench pour standardiser la réparation automatique. Mais Buttercup est le premier système complet, de bout en bout, et open source.
Avec cet outil, des projets open source pourrait se patcher automatiquement et les développeurs pourraient alors se concentrer sur les features au lieu de passer des heures à debugger. Bien sûr, ce n’est pas magique et Buttercup ne remplacera pas les experts en sécurité mais c’est un outil incroyablement puissant qui peut automatiser la partie la plus répétitive et chronophage du travail. Et vu que c’est open source, la communauté peut l’améliorer, l’adapter à ses besoins, créer des plugins…
Donc, si vous bossez dans le dev ou la sécurité, allez jeter un œil au GitHub de Buttercup et qui sait, peut-être qu’un jour on regardera en arrière et on se demandera comment on faisait sans IA pour sécuriser notre code.
Je viens de découvrir un truc qui pourrait bien changer votre façon de jouer sur PC. Ça s’appelle Bazzite et c’est un genre de SteamOS boosté aux stéroïdes compatible avec absolument tout. Oui, même votre vieille tour qui prend la poussière dans un coin.
L’idée de base est chouette puisqu’il s’agit de prendre Fedora Silverblue, cette distribution Linux “immutable” (en gros, impossible à casser même en faisant n’importe quoi), et la transformer en machine de guerre gaming. On obtient alors un OS qui démarre direct en mode Steam Big Picture si vous voulez, qui supporte le HDR sur AMD, et qui fait tourner vos jeux Windows sans que vous ayez à toucher une seule ligne de commande.
The Verge a testé et apparemment les jeux tournent souvent mieux que sous Windows. C’est plus fluide, moins gourmand en batterie, et y’a zéro tracas avec les mises à jour foireuses de Microsoft. Forbes va même jusqu’à dire que c’est “objectivement meilleur que Windows” sur les consoles portables comme le ROG Ally. Rien que ça.
Car contrairement à SteamOS qui est bloqué sur Steam Deck (et quelques rares configs), Bazzite fonctionne sur pratiquement n’importe quel PC x86 de la dernière décennie. Votre laptop gaming, votre tour, votre mini PC branché à la télé, et bien sûr toutes les consoles portables du marché : Steam Deck, ROG Ally, Legion Go, GPD Win, et j’en passe. D’après la documentation officielle, ils supportent même les dernières puces AMD 9070 et Strix Halo de 2025, c’est à dire celles que SteamOS ne peut même pas faire booter.
Le truc vraiment bien, c’est surtout le système d’updates atomiques. En gros, chaque mise à jour est une image complète du système. Si quelque chose foire, vous redémarrez et hop, retour à la version précédente. Fini les soirées à réparer un OS cassé par une mise à jour nvidia, surtout que ces mises à jour arrivent toutes les semaines, et pas tous les six mois comme sur SteamOS.
Pour les utilisateurs Steam Deck, c’est donc très intéressant car vous gardez le mode Gaming que vous aimez, mais vous gagnez un vrai desktop utilisable avec Wayland (donc un scaling correct sur écran haute résolution), le support d’Android via Waydroid pour faire tourner vos apps mobiles, et surtout la possibilité d’installer ce que vous voulez : Decky Loader, EmuDeck, RetroDECK, tout est disponible dès l’installation.
Le projet est porté par la communauté Universal Blue, des gens qui ont compris que Linux pouvait être simple sans sacrifier la puissance et ils ont créé différentes versions : Deck pour les consoles portables, Desktop avec KDE ou GNOME selon vos préférences, et même une version HTPC pour transformer votre PC salon en console de jeu.
Techniquement, tout est basé sur des conteneurs OCI (comme Docker si vous connaissez), ce qui permet d’avoir un système super stable avec des applications qui tournent dans leur bulle. Et les jeux, ça passe par Steam, Lutris ou Heroic Games Launcher, tous préinstallés. Les codecs propriétaires sont inclus et les drivers Nvidia sont déjà là si vous en avez besoin. Y’a même le support du ray tracing avec NVK sur les cartes récentes.
Ce qui est vraiment cool, c’est que vous pouvez tester sans rien casser. Vous gravez l’ISO sur une clé USB, vous bootez dessus, et vous voyez si ça vous plaît. Si c’est le cas, l’installation prend ensuite 20 minutes chrono. Sinon, vous redémarrez sous Windows et on n’en parle plus.
Pour les bidouilleurs, sachez que même si le système est, comme je vous le disais, “immutable”, vous pouvez toujours installer ce que vous voulez via Flatpak (le store Flathub est intégré), Distrobox pour des environnements isolés, ou même rpm-ostree pour des modifications système permanentes. C’est le meilleur des deux mondes puisque ça a la stabilité d’un Chromebook avec la flexibilité d’un Linux classique.
Après c’est cool mais c’est pas magique non plus car certains jeux avec anti-cheat ne fonctionneront jamais sous Linux (merci les éditeurs…) et le support VR est encore perfectible. Puis si vous êtes du genre à avoir besoin d’Adobe Creative Suite ou de logiciels Windows spécifiques, ça reste du Linux avec ses limitations.
Mais pour du gaming pur, c’est une tuerie. Les performances sont là, la stabilité aussi, et vous échappez à toute la télémétrie et les pubs de Windows 11. En plus, avec le kernel fsync modifié qu’ils utilisent, vous avez accès aux dernières optimisations gaming du noyau Linux.
Donc si vous voulez tenter l’aventure, direction bazzite.gg pour récupérer l’ISO qui correspond à votre matos. L’installation est vraiment simple, et la communauté sur Discord est super active si vous avez des questions.
C’est peut-être la preuve que Linux Desktop c’est peut-être plus uniquement un délire de barbu mal sevré de leur tétine, mais une vraie alternative crédible pour le gaming. Donc peut-être même que 2025 sera vraiment l’année du Linux desktop… au moins pour les gamers ! (C’est le marronnier de la presse tech, t’as capté ? ^^)
Ce serait cool non, si on pouvait transformer n’importe quelle lampe de bureau en détecteur de deepfakes, non ?
Car le problème avec les deepfakes aujourd’hui, c’est qu’on court constamment après les faussaires. Ils ont accès aux mêmes vidéos authentiques que nous, aux mêmes outils d’édition ultra-sophistiqués, et l’IA apprend tellement vite qu’elle produit des faux quasi-indétectables. Il leur est donc très facile de reprendre une vraie vidéo et de la trafiquer légèrement pour manipuler les opinions.
Il faudrait donc une sorte de bouclier anti-manipulation-IA pour empêcher toute manip ultérieure d’une captation vidéo. Et bien c’est exactement ce que viennent de réussir des chercheurs de l’université Cornell, et leur technique est brillante… sans mauvais jeu de mots, vous me connaissez ^^.
Abe Davis, à gauche, professeur adjoint d’informatique au Cornell Ann S. Bowers College of Computing and Information Science, et Peter Michael, étudiant diplômé.
Comme l’explique Abe Davis de Cornell : “La vidéo était considérée comme une source de vérité, mais ce n’est plus une hypothèse qu’on peut faire”. Donc, plutôt que de jouer éternellement au chat et à la souris avec la connerie des gens et le talent des faussaires, l’équipe de Cornell a eu une idée géniale : Et si on marquait les vidéos dès leur création, avec un code secret planqué dans la lumière elle-même ?
Leur technologie, baptisée NCI pour “noise-coded illumination”, fonctionne en ajoutant des fluctuations microscopiques à l’éclairage. Ces variations sont totalement invisibles à l’œil nu car votre cerveau les interprète comme du bruit lumineux normal. Mais une caméra, elle pourra tout capter.
Le truc vraiment cool, c’est que chaque source lumineuse peut avoir son propre code secret comme ça vous pouvez programmer votre écran d’ordinateur, vos lampes de bureau, même l’éclairage d’une salle de conférence entière. Et pour les vieilles lampes qui ne sont pas connectées, une simple puce de la taille d’un timbre-poste suffit à les transformer en watermark lumineux.
Mais ensuite, comment ça détecte les fakes ? Et bien c’est là que ça devient vraiment intéressant car le watermark enregistre en permanence une version basse résolution de ce qui se passe sous cet éclairage, avec un horodatage. Les chercheurs appellent ça des “code videos”. Ainsi, quand quelqu’un manipule la vidéo, que ce soit pour insérer un deepfake, changer la vitesse, ou ajouter des éléments, les parties modifiées ne correspondent plus aux code videos. C’est comme si la lumière gardait un registre secret de tout ce qui s’est vraiment passé.
Comme ça, si un petit malin essaie de générer une fausse vidéo avec l’IA à partir d’une vraie vidéo, les code videos ressembleront alors à du charabia aléatoire, ce qui trahira immédiatement la supercherie. Et même si le faussaire connaît la technique et arrive à décoder les codes secrets, il devrait falsifier chaque code video séparément, et s’assurer qu’ils correspondent tous parfaitement entre eux. Autant dire que c’est mission impossible.
Peter Michael, l’étudiant qui a mené les travaux, a présenté cette innovation au SIGGRAPH 2025 à Vancouver et les tests sont vraiment impressionnant car la technique résiste aux compressions vidéo agressives, aux mouvements de caméra, aux flashs, et fonctionne même en extérieur avec différents tons de peau.
Pendant ce temps, la course à l’armement anti-deepfake continue. Le MIT a son projet Detect Fakes actif depuis 2020. Microsoft a son Video Authenticator qui analyse les pixels pour détecter les anomalies. Intel mise sur son FakeCatcher qui atteint 96% de précision en détectant les variations de flux sanguin dans les vidéos (parce que oui, même les meilleurs deepfakes n’arrivent pas encore à reproduire parfaitement les micro-changements de couleur de la peau dus à la circulation sanguine).
Reality Defender, de son côté, utilise une approche multi-modèle qui n’a pas besoin de watermarks préalables. Ils analysent images, vidéos, audio et texte en temps réel pour repérer les manipulations… C’est impressionnant, mais ça reste une approche défensive qui court après les faussaires et n’empêche pas leur “travail”.
Et c’est ça qui rend la solution de Cornell vraiment prometteuse… C’est parce qu’elle est proactive. Plus besoin d’analyser après coup si une vidéo est truquée puisque la preuve d’authenticité est encodée dedans dès le départ. On pourrait sécuriser comme ça des salles de presse équipées de ce système, des interviews officielles protégées par défaut, ou même le siège de l’ONU avec un éclairage anti-deepfake intégré.
Bien sûr, ce n’est pas la solution miracle et Davis lui-même admet que “c’est un problème qui ne va pas disparaître, et qui va même devenir plus difficile” car les faussaires trouveront de nouvelles parades, c’est certain. Mais pour l’instant, cette technologie donne une longueur d’avance cruciale aux défenseurs de la vérité.
Qui aurait cru qu’on combattrait les deepfakes avec une simple lampe de bureau ??
Vous pensiez sérieusement que vos conversations téléphoniques étaient privées tant qu’on n’était pas sur écoute. Et bien, j’ai pas une très bonne nouvelle pour vous… Voilà que des chercheurs de Penn State ont prouvé qu’un simple radar pouvait transformer les vibrations microscopiques de votre téléphone en transcription de vos appels. Y’a pas besoin de pirater quoi que ce soit, juste de pointer un capteur dans votre direction.
Le principe c’est que quand vous téléphonez, l’écouteur de votre smartphone produit des vibrations de seulement 7 micromètres. C’est tellement infime qu’on ne peut même pas le percevoir en tenant le téléphone. Pourtant, ces vibrations se propagent dans tout le châssis de l’appareil et créent ainsi une signature unique pour chaque son émis. Selon l’équipe de recherche, leur système mmWave-Whisper utilise un radar fonctionnant entre 77 et 81 GHz capable de capter ces mouvements invisibles et de les convertir en audio exploitable.
Le systeme mmWave-Whisper
Et ils ont réussi à obtenir une très bonne précision de transcription de 44,74% sur les mots et de 62,52% sur les caractères individuels. Ça peut sembler faible, mais même avec seulement la moitié des mots corrects, on peut facilement reconstituer le sens d’une conversation grâce au contexte. C’est comme lire un message avec des lettres manquantes, votre cerveau va combler automatiquement les trous. Je sais, je sais, y’a des gens qui même qui avec un texte complet ne le comprennent qu’à moitié, mais je vous assure que c’est ce qu’est censé faire le cerveau ^^.
Et cela fonctionne jusqu’à 3 mètres de distance et est totalement insensible au bruit ambiant car contrairement à un micro qui capte tous les sons environnants, le radar ne détecte que les vibrations du téléphone lui-même. Vous pourriez être dans un café bondé, le système s’en fiche complètement…
Suryoday Basak et Mahanth Gowda, les deux chercheurs derrière cette découverte, ont adapté Whisper, le modèle de reconnaissance vocale d’OpenAI, pour qu’il puisse interpréter ces signaux radar. Pour cela, ils ont utilisé une technique appelée “Low-Rank Adaptation” qui leur a permis de spécialiser le modèle avec seulement 1% de ses paramètres modifiés.
Alors adios notre vie privée ?
Et bien la mauvaise nouvelle c’est que ces radars mmWave sont déjà partout. On les trouve dans les voitures autonomes, les détecteurs de mouvement, les casques VR, et même dans certains équipements 5G. Comme le soulignent plusieurs experts, n’importe quel appareil équipé de cette technologie pourrait théoriquement être détourné pour espionner des conversations. Donc, imaginez un parking avec des dizaines de voitures récentes, chacune équipée de plusieurs radars mmWave. Bah voilà, c’est potentiellement un réseau d’écoute géant qui s’ignore.
Cette recherche s’inscrit dans la continuité de leur projet mmSpy de 2022, où ils avaient déjà réussi à identifier des mots isolés avec 83% de précision. Mais cette fois, ils sont passés à un niveau supérieur en déchiffrant des phrases complètes et des conversations entières. D’après les documents techniques, ils ont même généré des données synthétiques pour entraîner leur système, contournant ainsi le manque de datasets radar-audio disponibles.
Pour l’instant, cette technologie a ses limites car les mouvements des personnes créent des interférences (mangez-bougez !!), et la précision diminue rapidement avec la distance, mais combien de temps avant que ces limitations soient surmontées ? Les chercheurs eux-mêmes admettent que leur but est d’alerter sur cette vulnérabilité avant que des acteurs malveillants ne l’exploitent. Selon leur publication, ils comparent cette capacité à lire sur les lèvres qui ne capture environ que 30 à 40% des mots mais permet quand même de suivre une conversation.
Alors, comment s’en protéger ? Et bien pour l’instant, il n’y a pas vraiment de solution miracle. Utiliser des écouteurs pourrait limiter les vibrations du téléphone, mais ce n’est pas une garantie absolue donc la vraie question, c’est de savoir combien de temps il faudra avant que cette technologie soit miniaturisée au point de tenir dans un stylo ou intégrée discrètement dans des objets du quotidien façon 007.
On ne peut plus se contenter de sécuriser nos communications numériques, il faut maintenant s’inquiéter des propriétés physiques de nos appareils. Je vous jure, je suis fatigué :). Les implications pour la sécurité sont énormes car cette technologie est indétectable pour le commun des mortels puisque ça ne laisse aucune trace et ne nécessite aucun accès physique ou numérique au téléphone…
En tant que propriétaire très heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en découvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnérabilité de sécurité dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types équipés d’un appareil qui ressemble à une vieille Game Boy de Nintendo. C’est déjà assez rageant de devoir raquer un abonnement pour les mises à jour OTA (Over-The-Air), mais là on atteint des sommets.
Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un émulateur, c’est à dire un ensemble de matériel de transmission radio fourré dans une coque qui ressemble à la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marché noir et certains modèles russes se vendent même à 15 000 euros. Pour ce prix-là, vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.
Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sécurité des véhicules modernes. Quand vous touchez la poignée de votre Ioniq 5, la voiture se réveille et initie un protocole de handshake avec ce qu’elle pense être votre clé. C’est là que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clés légitime.
Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du système CAN (Controller Area Network) de votre voiture. Selon l’expert en sécurité Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du récepteur de clé intelligente de la voiture. Ces messages trompent alors le système de sécurité pour qu’il déverrouille le véhicule et désactive l’immobilisateur moteur.
Sur certaines voitures, les voleurs peuvent accéder au réseau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de là, ils peuvent ensuite manipuler n’importe quel dispositif électronique du véhicule. Les messages CAN n’ont aucune authentification ni sécurité et les récepteurs leur font simplement confiance.
Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non… Ce serait trop facile. A la place, il s’attaque au système de rolling code censé protéger votre clé. Normalement, chaque fois que vous utilisez votre porte-clés, le code change pour éviter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilà comment on déverrouille et démarre un Ioniq 5 en moins de 30 secondes.
Une fois votre voiture volée, les malfaiteurs retirent les modules de connectivité pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.
Face à cette menace, Hyundai a donc imaginé une super solution. Il s’agit d’un patch matériel qui améliore la technologie Ultra-Wideband (UWB) pour une détection plus sécurisée de la clé. L’UWB permet une authentification plus précise entre votre clé/téléphone et le véhicule, rendant beaucoup plus difficile pour les émulateurs de se faire passer pour des clés légitimes. La technologie mesure aussi précisément la distance entre la clé et la voiture, empêchant également les attaques par relais classiques.
Mais voilà le hic… Hyundai présente cette mise à jour comme une “amélioration volontaire” plutôt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a été développée et certifiée selon toutes les normes réglementaires, y compris les exigences de cybersécurité. Et comme cette menace est classifiée comme “évolutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnée” de 49 livres sterling (65 dollars US) pour le correctif.
Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sécurité béante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est très rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.
Et le problème va bien au-delà de Hyundai car cette vulnérabilité touche aussi les Kia EV6 et Genesis GV60, qui partagent la même plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont également vulnérables à des attaques similaires. C’est donc un problème systémique de l’industrie automobile qui a adopté une approche “coque dure/centre mou” où les composants internes sont considérés comme dignes de confiance.
La vraie solution serait donc d’adopter un framework “zero trust” où chaque composant du bus CAN devrait être ré-authentifié lors de son remplacement. Mais vous vous en doutez, ça coûterait une fortune à implémenter sur les véhicules existants. En attendant, certains propriétaires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulgué ces risques et d’autres prédisent que les assurances pourraient à l’avenir refuser de couvrir les véhicules non modifiés.
Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que même si ça me fait mal, entre payer pour un patch de sécurité à 65 balles et me retrouver sans voiture un matin, le choix est vite fait.
Mais cela n’empêche pas que c’est une pratique scandaleuse de la part de Hyundai…
Vous savez ce qui est encore plus embarrassant que de se faire pirater quand on est une multinationale ? Se faire pirater quand on est soi-même un pirate travaillant pour un État. Et c’est exactement ce qui vient d’arriver à un mystérieux opérateur APT (Advanced Persistent Threat) dont 9GB de données ont été divulguées par deux hackers se faisant appeler Saber et cyb0rg. L’arroseur arrosé dans toute sa splendeur !
L’histoire commence de manière plutôt originale puisque cette fuite monumentale a été révélée lors du 40e anniversaire du légendaire magazine Phrack, pendant la convention DEF CON 33 à Las Vegas. Pour ceux qui ne connaissent pas, Phrack c’est LA bible des hackers depuis 1985, fondée par Taran King et Knight Lightning. Un zine underground qui a formé des générations entières de hackers avec ses articles techniques pointus et sa philosophie du “Hacker Manifesto”. Ces derniers, après être sortis de 3 années de silence en 2024, ont fêté leurs 40 ans le 8 août dernier avec un cadeau plutôt explosif : L’intégralité du toolkit d’espionnage d’un acteur étatique. Rien que ça !
DEF CON, la convention où l’arroseur s’est fait arroser
Saber et cyb0rg ne sont pas des petits nouveaux. Ils expliquent dans leur article publié dans Phrack #72 avoir compromis à la fois une workstation virtuelle ET un serveur privé virtuel (VPS) utilisés par cet opérateur APT qu’ils ont surnommé “KIM”. Le duo affirme avoir passé des mois à analyser les habitudes de leur cible avant de frapper. Pour cela, ils ont exploité une mauvaise configuration des services cloud de l’opérateur et une réutilisation de mots de passe entre différents systèmes. Basique mais efficace, car oui, même les espions d’État font des erreurs de débutant !
Mais attention, l’identité réelle de notre espion maladroit reste un vrai casse-tête. Si Saber et cyb0rg affirment avoir compromis un ordinateur lié au groupe Kimsuky (ces fameux hackers nord-coréens du Bureau 121 qui font régulièrement parler d’eux depuis 2013), les experts en sécurité émettent des doutes sérieux.
Pour rappel, Kimsuky (aussi connu sous les noms APT43, Emerald Sleet ou THALLIUM) travaille directement pour le Reconnaissance General Bureau (RGB) nord-coréen. En gros, c’est leur CIA à eux. Et les mecs sont plutôt spécialisés dans l’espionnage et le vol d’informations sur les politiques étrangères liées à la péninsule coréenne, le nucléaire et les sanctions internationales à leur encontre. Ils ont notamment ciblé des think tanks sud-coréens, japonais et américains avec des campagnes de spear-phishing ultra sophistiquées. Par exemple, en mai 2024, ils exploitaient encore des failles DMARC pour usurper l’identité d’organisations de confiance.
Sauf que voilà, plusieurs éléments clochent. L’opérateur piraté semble parler chinois mandarin, et pas coréen. Son historique de navigation Chrome et Brave (presque 20 000 entrées !) montre des recherches en caractères simplifiés, pas en hangul (l’alphabet officiel du coréen), ses bookmarks pointent vers des sites chinois, et surtout, ses cibles privilégiées correspondent parfaitement au profil d’un acteur chinois : Taiwan, le Japon et la Corée du Sud. Certains experts pensent même qu’il pourrait délibérément imiter les méthodes de Kimsuky pour brouiller les pistes. C’est une technique connue sous le nom de “false flag operation” dans le monde du renseignement.
Alors Corée du Nord ou Chine ? Le mystère reste entier
Le butin déballé par nos deux Robin des Bois du hacking est absolument dingue. C’est 8,90 GB de données ultra sensibles avec :
19 783 entrées d’historique de navigation sur Chrome et Brave, révélant les habitudes et méthodes de travail de l’opérateur
Des logs d’attaques actives contre le gouvernement sud-coréen, notamment le Defense Counterintelligence Command et le Supreme Prosecutor Office
Du code source d’outils custom développés spécifiquement pour leurs opérations
Des identifiants et mots de passe pour différents systèmes compromis
Des scripts de commande et contrôle (C2) pour gérer les machines infectées
Des manuels opérationnels détaillant comment utiliser leurs backdoors
Des logs de campagnes de phishing avec les templates utilisés et les listes de victimes
Y’a même une capture écran de son bureau :
Mais le plus juteux, c’est surtout l’arsenal technique complet de l’opérateur. On y trouve le backdoor kernel TomCat, une saloperie qui s’installe au niveau du noyau système pour une persistance maximale. Des beacons Cobalt Strike customisés, Cobalt Strike étant cet outil commercial à 3 500 dollars la licence, vendu comme “logiciel de simulation d’adversaire” mais adoré par les vrais méchants. Il y a aussi la backdoor Ivanti RootRot qui exploite les vulnérabilités CVE-2025-0282 et CVE-2025-22457 découvertes fin 2024. Sans oublier des variantes modifiées d’Android Toybox pour compromettre les smartphones. Et l’exploit BRUSHFIRE/Bushfire pour les systèmes Ivanti Connect Secure.
Pour comprendre l’ampleur du désastre, c’est comme si un cambrioleur professionnel se faisait voler sa mallette contenant tous ses outils, ses plans de cambriolage, son carnet d’adresses avec les codes d’alarme de ses cibles, et même son journal intime où il note ses techniques. Bah voilà, c’et exactement ça qui vient d’arriver à notre cher APT !
DDoSecrets, les nouveaux WikiLeaks mais en mieux organisé
DDoSecrets a indexé et publié l’archive complète, la rendant accessible gratuitement à tous les chercheurs et journalistes. Pour ceux qui ne connaissent pas, DDoSecrets (Distributed Denial of Secrets) ce sont les nouveaux WikiLeaks, fondé en 2018 par Emma Best et Thomas White après que WikiLeaks soit devenu… compliqué avec l’affaire Assange.
Emma Best, journaliste spécialisée en sécurité nationale et activiste de la transparence non-binaire basée à Boston, avait d’ailleurs clashé avec Assange avant de créer DDoSecrets. Elle l’accusait notamment d’avoir menti sur la source des emails du DNC. Avec moins de 20 personnes et un budget 3000 fois inférieur à WikiLeaks, DDoSecrets a déjà publié plus de 100 millions de fichiers en provenance de 59 pays et leur philosophie est : “La vérité est son propre objectif.” Pas d’ego, pas de drama, juste de la transparence extrêmement radicale.
Leurs analystes confirment donc que les contenus de l’archive semblent authentiques et cohérents avec un véritable toolkit d’espionnage, ce qui est également confirmé par plusieurs experts en threat intelligence. Les victimes sud-coréennes ont également été notifiées avant la publication, histoire de limiter les dégâts. Ouf !
Ce qui rend cette affaire assez unique, c’est qu’elle nous offre un aperçu rare et non filtré des coulisses du cyber-espionnage étatique. D’habitude, on découvre les outils et techniques des APT après coup, en analysant leurs attaques comme des archéologues numériques qui reconstituent un dinosaure à partir de fragments d’os. Mais là, on a accès directement à leur boîte à outils complète, leurs notes, leurs cibles, leurs méthodes de travail au quotidien.
Les implications sont d’ailleurs énormes pour la communauté cybersécurité. Avec cet accès privilégié aux TTPs (Tactics, Techniques, and Procedures) de l’opérateur, les équipes de défense peuvent maintenant :
Identifier des patterns d’attaque pour créer des signatures de détection plus précises
Comprendre l’infrastructure C2 utilisée et bloquer proactivement les domaines et IPs associés
Analyser les vulnérabilités exploitées et patcher en priorité
Attribuer d’anciennes attaques non résolues grâce aux similarités dans le code et les méthodes
Former les analystes SOC avec des exemples réels d’attaques APT
Un acteur APT, habitué à opérer dans l’ombre avec l’impunité que confère le soutien d’un État-nation, s’est donc fait avoir par deux hackers indépendants qui ont ensuite balancé tout son arsenal sur Internet. C’est plutôt marrant quand on sait que ces groupes APT passent leur temps à voler les secrets des autres !
Cobalt Strike, l’outil préféré des APT (et des red teamers légitimes)
L’incident soulève quand même des questions cruciales sur l’attribution des cyberattaques. Le fait que cet opérateur pourrait être chinois mais imiter les techniques nord-coréennes montre à quel point il est difficile d’identifier avec certitude l’origine d’une attaque, car ans le monde du cyber-espionnage, les fausses pistes et les opérations sous faux drapeau sont monnaie courante.
C’est d’ailleurs pour ça que les groupes APT chinois et nord-coréens adorent se faire passer les uns pour les autres. Les Chinois ont leurs propres groupes legendaires comme APT1 (Comment Crew), APT28 (Fancy Bear… non attendez ça c’est les Russes !), ou APT40 (Leviathan). Les Nord-Coréens ont Lazarus (ceux du hack de Sony Pictures et du ransomware WannaCry), Bluenoroff / APT38 (spécialisés dans le vol bancaire, 81 millions de dollars à la Bangladesh Bank en 2016 !), et notre fameux Kimsuky.
La différence de style entre les groupes est d’ailleurs fascinante. Les Russes préfèrent exploiter des zero-days pour un impact géopolitique immédiat. Les Chinois ciblent les supply chains pour du vol de propriété intellectuelle à long terme. Les Nord-Coréens ? Eux ils ont besoin de cash, donc ils font dans le ransomware et le vol de crypto. En 2024, ils auraient volé plus de 3 milliards de dollars en cryptomonnaies selon les estimations !
Mais revenons à notre opérateur mystère. L’analyse de son infrastructure révèle des détails croustillants. Il utilisait des VPS loués avec des bitcoins minés spécifiquement pour l’opération (ces mecs ont leur propre ferme de minage !). Les domaines C2 étaient enregistrés via des registrars russes et chinois avec de fausses identités. Les certificats SSL étaient générés avec Let’s Encrypt pour paraître légitimes. Tout un écosystème criminel parfaitement rodé… jusqu’à ce que Saber et cyb0rg débarquent.
Et balancer une telle bombe pendant DEF CON, c’est s’assurer un maximum d’impact dans la communauté (la preuve, j’en parle). En tout cas, il y a une certaine justice poétique à voir un cyber espion se faire espionner à son tour.
Aujourd’hui avec ces révélations, le message envoyé à tous les groupes APT est clair : vous n’êtes pas intouchables. Même avec le soutien d’un État, même avec des budgets illimités, même avec les meilleurs outils, vous pouvez vous faire pwn par deux hackers motivés.
Je pense que cette affaire restera dans les annales car pour la première fois, ce n’est pas une agence de renseignement occidentale qui expose un groupe APT, mais des hackers indépendants. Cela me rappelle le leak de Conti qui avait subit la même chose mais de la part d’un insider (enfin, on le pense…).
Bref, si vous êtes un opérateur APT, évitez de réutiliser vos mots de passe et configurez correctement vos services cloud, sinon vous finirez en une de Phrack avec tous vos petits secrets étalés sur Internet. C’est con mais c’est comme ça !
Et pour les chercheurs en sécurité, foncez analyser ces 9GB de données, c’est Noël avant l’heure !
Pensez un peu à la tête des publicitaires si chacune de vos recherches web partait dans une direction complètement aléatoire, comme une boule de flipper qui rebondit entre 50 bumpers différents ? Et bien c’est exactement ce que fait Searloc, et vous allez voir, c’est assez malin.
Alexandre, un développeur français visiblement allergique au pistage en ligne, vient de créer quelque chose d’intéressant. Au lieu de chercher directement sur Google ou même DuckDuckGo, son outil vous envoie de manière totalement aléatoire vers l’une des 50 instances publiques SearXNG disponibles.
Ainsi, aucune instance ne voit plus de 2% de vos recherches, comme ça, pour les trackers qui essaient de créer votre profil, c’est comme essayer de reconstituer un puzzle avec seulement 1 pièce sur 50.
Le plus beau dans tout ça, c’est que Searloc fonctionne entièrement côté client. Pas de serveur, pas de base de données, pas de logs. Juste du JavaScript qui tourne dans votre navigateur et qui tire au sort votre prochaine destination. Je trouve que c’est vraiment une excellente approche de ne pas avoir de serveur fixe, car ça élimine complètement le point de centralisation.
Pour ceux qui ne connaissent pas, SearXNG est un métamoteur qui peut interroger jusqu’à 248 services de recherche différents sans jamais transmettre votre IP ou vos cookies aux moteurs sous-jacents. C’est déjà pas mal niveau privacy, mais le problème c’est que si vous utilisez toujours la même instance, l’administrateur pourrait théoriquement reconstituer votre historique de recherche. Avec Searloc, ce risque disparaît puisque vos recherches sont éparpillées façon puzzle.
L’outil propose quelques fonctionnalités sympa. Par exemple, si les résultats ne vous conviennent pas, tapez simplement “!!” et hop, votre recherche repart sur une autre instance aléatoire. Les bangs (ces raccourcis qui commencent par “!!”) sont gérés localement, donc même vos recherches spécialisées restent privées. Et pour les maniaques du contrôle, vous pouvez même ajouter vos propres instances SearXNG personnelles dans les paramètres.
Faut quand même dire que les alternatives privacy-first comme Startpage, Brave Search ou Qwant se multiplient face à l’appétit insatiable de Google pour nos données, mais là où ces services restent centralisés (même s’ils promettent de ne pas vous tracker… vous savez qui engage ce genre de promesse…), Searloc pousse la logique encore plus loin en décentralisant complètement le point d’entrée.
Maintenant, pour l’utiliser, rien de plus simple. Rendez-vous sur searloc.org et vous tapez votre recherche. L’interface reprend automatiquement vos préférences de thème et de langue pour les transmettre à l’instance SearXNG sélectionnée.
Et le code source est disponible sur Codeberg sous licence MIT, donc les paranos qui on du temps libre peuvent vérifier qu’il n’y a pas d’entourloupe.
Voilà, ce qui me plaît dans cette approche, c’est surtout qu’elle résout élégamment le dilemme de la privacy où soit vous faites confiance à un service centralisé qui promet de ne pas vous tracker (mais qui reste un point unique de défaillance), soit vous auto-hébergez votre instance (mais c’est technique et votre IP reste visible pour les sites que vous visitez). Searloc trouve ainsi un juste milieu en distribuant le risque sur des dizaines d’instances différentes.
Alors oui, c’est vrai, parfois vous tomberez sur une instance un peu lente ou qui affichera des captchas parce qu’elle a été trop sollicitée mais c’est un léger inconvénient de cette décentralisation. Parce qu’entre ça et laisser Google construire un profil psychologique détaillé de toutes vos interrogations existentielles à 3h du mat’, le choix est vite fait.
Merci à Alexandre d’avoir partagé son projet avec moi !
Vous ne le savez peut-être pas, mais le site sur lequel vous êtes actuellement est un site 100% statique. Je gère le contenu côté back avec un CMS en PHP (rédaction, édition, workflow), mais la partie publique n’exécute aucun PHP : pas de base de données, juste des fichiers HTML/CSS/JS et des images. Et tout ça est généré à partir de fichiers Markdown avec Hugo.
Et optimiser tout ça c’est pas de la tarte car si vos templates sont mal pensés, Hugo peut mettre une plombe à générer le site. Entre partiels recalculés pour rien, boucles trop larges et images retraitées à chaque passage, on flingue les perfs sans s’en rendre compte.
Et c’était mon cas au début. Je regardais avec envie les mecs qui sortaient un build en moins d’une seconde tout en restant réaliste car j’ai quand même environ 60 000 pages à générer. Au final, je suis passé de plusieurs heures de build à environ 5 minutes en optimisant les templates, le cache et le pipeline d’assets.
Tout ceci est encore en cours de tests, et ce n’est pas parfait donc il est possible que ça change à l’avenir et vous faites peut-être autrement (dans ce cas ça m’intéresse !!). Bref, voici mon retour d’XP sous forme de conseils pour transformer, vous aussi, votre escargot en fusée 🚀.
Partials - Cachez-moi tout ça (bien)
Hugo sait mettre en cache le rendu d’un partial. Utilisez partialCached (alias de partials.IncludeCached) partout où la sortie est identique sur beaucoup de pages.
Le truc malin, c’est d’utiliser des variantes (clés) pour changer le cache selon le contexte. Attention quand même car ces arguments de variante ne sont pas passés au partial. En réalité, ils servent uniquement à nommer l’entrée de cache. Si vous devez passer plus de données au partial, mettez-les dans le context via un dict.
Je regroupe tout avec resources.Concat, puis minify et fingerprint (SRI + cache-busting). Le preload déclenche le chargement au plus tôt, et le link classique prend le relais.
Côté JavaScript, j’utilise js.Build (esbuild) et je bascule les sourcemaps selon l’environnement :
J’ai également une approche hybride concernant la gestion des images. J’utilise Cloudflare Image Resizing qui génère les variantes côté CDN, et un partial Hugo prépare le srcset + LCP propre.
Comme vous pouvez le voir, j’adapte la qualité selon la plateforme (85% pour mobile / 92% pour desktop), le format AVIF par défaut, et pour l’image LCP, je mets fetchpriority="high" et pas de lazy.
Cache des ressources - Le secret des rebuilds rapides
Configurez aussi les caches pour éviter de retraiter à chaque build. Le plus important c’est le cache permanent pour les images et autres assets traités.
# hugo.toml
[caches]
[caches.getJSON]
dir = ":cacheDir/:project"
maxAge = "1h"
[caches.getCSV]
dir = ":cacheDir/:project"
maxAge = "1h"
[caches.images]
dir = ":resourceDir/_gen"
maxAge = -1 # NE JAMAIS expirer
[caches.assets]
dir = ":resourceDir/_gen"
maxAge = -1
Et en cas de besoin, pour forcer un refresh : hugo server --ignoreCache.
Organisation des templates - site.RegularPages est votre ami
En régle générale, c’est mieux d’éviter de boucler sur des pages inutiles (taxonomies, terms…). Utilisez aussi site.RegularPages plutôt que .Site.Pages.
Voici également quelques réglages utiles dans mon hugo.toml :
# Désactiver ce qu'on n'utilise pasdisableKinds=["section"]# Pagination moderne (Hugo ≥ 0.128)[pagination]pagerSize=39# 39 articles par page# Traitement d'images[imaging]quality=80resampleFilter="Lanczos"# Optimisations de build[build]writeStats=falsenoJSConfigInAssets=trueuseResourceCacheWhen="always"# Mounts: exclure fichiers lourds[module][[module.mounts]]source="content"target="content"excludeFiles=["**/*.zip","**/*.log","**/backup/**","**/archives/**","**/exports/**"][[module.mounts]]source="static"target="static"excludeFiles=["**/*.zip","**/*.log","**/backup/**","**/archives/**"]
Je mets aussi un timeout large (timeout = "600s") et j’ignore certains warnings verbeux (ignoreLogs = ['warning-goldmark-raw-html']). Et pour la pagination, pagerSize a aussi remplacé les vieux réglages (bon à savoir si vous migrez).
Perso, j’utilise uniquement les flags suivants quand je lance Hugo :
Nettoyage : hugo --gc --cleanDestinationDir pour virer l’obsolète et garder public/ clean.
Dev rapide : gardez hugo server tel quel. --disableFastRender seulement si un glitch l’exige. --renderToMemory peut accélérer (au prix de la RAM).
Profiler de templates : hugo --templateMetrics --templateMetricsHints liste les templates lents et où placer vos partialCached. C’est comme ça que j’ai vu que ma sidebar coûtait une plombe.
Conditionnez ce que vous chargez
Selon la page, j’adapte aussi mon code. L’image LCP avec fetchpriority="high" (pour éviter le lazy), le reste en lazy + placeholder SVG qui respecte les dimensions (zéro layout shift). Et pour le JS, defer partout et pas de scripts inutiles sur les pages qui n’en ont pas besoin.
Le pattern qui tue - partialCached + variantes calculées
Mon combo préféré, selon le contexte c’est celui-ci :
Il faut comme ça trouver le bon équilibre. C’est à dire avoir assez de variantes pour éviter les recalculs, mais pas trop, sinon votre cache devient inutile.
Et en bonus - Ma checklist express !
Remplacer les partial chauds par partialCached + variantes propres (au minimum : header, footer, nav, sidebar).
getJSON : config de cache (maxAge) et --ignoreCache en dev.
--templateMetrics + --templateMetricsHints pour viser les pires templates.
Pagination : passer à [pagination].pagerSize si vous migrez.
Utiliser site.RegularPages au lieu de .Site.Pages dans les boucles.
Module mounts avec excludeFiles pour éviter que Hugo scanne backups/archives.
Prod : --gc + --cleanDestinationDir + --minify.
Cache permanent pour images/assets (maxAge = -1).
Voilà. Avec tout ça, je suis passé de plusieurs heures à quelques minutes pour ~60 000 pages. Les clés : partialCached partout où la sortie ne bouge pas, un bundle CSS/JS propre avec fingerprint/SRI, et site.RegularPages pour ne pas trimbaler les taxonomies dans les boucles.
N’oubliez pas de lancer hugo --templateMetrics --templateMetricsHints pour trouver ce qui coûte cher lors de la génération. Vous verrez, dans 90% des cas c’est un partial appelé 10 000 fois non mis en cache, ou une boucle sur .Site.Pages trop large. Réparez ça, et votre build respira de nouveau.
Et si après tout ça votre build met encore plus de 10 s pour builder moins de 1000 pages, c’est qu’il y a un loup dans vos templates. Réduisez la surface des boucles, chassez les recalculs, et mettez partialCached partout où c’est pertinent !
Vous savez qu’Unix n’aurait jamais dû exister ? Hé oui, tout a commencé parce que Ken Thompson voulait jouer à Space Travel, son petit jeu vidéo. Sauf que sur le mainframe de Bell Labs, chaque partie lui coûtait 75 dollars en temps machine. C’était complètement absurde, du coup, il a bricolé un système sur un vieux PDP-7 pour faire tourner son jeu gratos.
Car oui, les plus grandes révolutions informatiques naissent parfois des problèmes les plus cons, vous allez voir…
Vous pensez que Steve Jobs a révolutionné l’informatique ? Que nenni ! Il a surtout fait du super marketing. Les vrais héros, ceux qui ont posé les fondations de TOUT ce que vous utilisez aujourd’hui c’est-à-dire votre iPhone, Android, Linux, même Windows dans ses tripes profondes, s’appellent Dennis MacAlistair Ritchie et Kenneth Lane Thompson. Deux potes de Bell Labs qui ont littéralement inventé l’informatique moderne dans les années 70 en se marrant.
L’histoire que je vais vous raconter aujourd’hui, c’est donc celle de deux génies qui ont créé Unix et le langage C presque par accident, et croyez-moi, c’est bien plus épique que n’importe quel biopic hollywoodien avec Ashton Kutcher dedans.
Imaginez un endroit où on vous paye pour réfléchir et bidouiller sans qu’on vous emmerde avec des deadlines, des KPI ou des réunions PowerPoint interminables. Bienvenue à Bell Labs dans les années 60, le Disneyland de la recherche informatique. Ce temple de l’innovation, propriété d’AT&T, abritait les cerveaux les plus tordus de la planète. C’est là par exemple qu’on a inventé le transistor, le laser, la théorie de l’information, et j’en passe. Bref, tout ce qui fait tourner notre monde moderne.
Dennis MacAlistair Ritchie, né le 9 septembre 1941 à Bronxville dans l’État de New York, était le fils d’Alistair Ritchie, un scientifique de Bell Labs spécialisé dans les systèmes de commutation. Le gamin avait donc l’informatique dans le sang, avec un côté discret et un humour plus sec que le Sahara en plein été. Diplômé de Harvard en physique en 1963, puis docteur en mathématiques appliquées en 1967, il débarque à Bell Labs la même année. Sauf que sa thèse de doctorat, il ne la finira jamais, trop occupé à changer le monde.
Kenneth Lane Thompson, né le 4 février 1943 à La Nouvelle-Orléans, était le parfait opposé : un sale gosse qui avait traîné ses guêtres partout avant d’atterrir à Berkeley pour des études d’ingénierie électrique. Bachelor en 1965, master en 1966, et hop, direction Bell Labs. Obsédé par les jeux vidéo et les échecs, Ken était le genre de mec capable de coder 30 heures d’affilée sans dormir, juste alimenté par du café et de la passion pure. Ce gars ne tenait pas à la vie.
En 1969, nos deux zigotos bossaient sur Multics (Multiplexed Information and Computing Service), un projet pharaonique censé révolutionner les systèmes d’exploitation. Le truc était tellement ambitieux qu’il en devenait inutilisable. Comme l’a dit Sam Morgan de Bell Labs : “C’était clair que Multics essayait de grimper trop d’arbres à la fois” et AT&T a fini par lâcher l’affaire en avril 1969, déclarant victoire tout en se barrant du projet, un peu comme les Américains au Vietnam.
Ken Thompson se retrouve donc sans projet officiel, avec juste un vieux PDP-7 qui traînait dans un coin du labo. Cette antiquité informatique de Digital Equipment Corporation, sortie en 1964, avait 8K de mémoire (oui, kilooctets, pas méga) et coûtait 72 000 dollars de l’époque. Pour vous donner une idée, c’est moins puissant qu’une calculatrice.
A l’époque, pour jouer à Space Travel, une simulation spatiale qu’il avait codée lui-même, Ken utilisait un autre ordinateur. Plus exactement un mainframe GE-645 avec lequel une partie lui coûtait 75 dollars en temps CPU. À ce prix-là, autant s’acheter une vraie fusée. Et là, c’est le destin qui frappe, car à l’été 1969, pendant que Neil Armstrong marchait sur la Lune, Bonnie Thompson (la femme de Ken) part en vacances chez les beaux-parents avec leur nouveau-né pour 3 semaines. Ken se retrouve donc célibataire temporaire avec un PDP-7, du temps libre et une seule mission : porter Space Travel sur cette machine pour pouvoir jouer sans se ruiner.
Ce que Ken n’avait pas prévu, c’est qu’il allait devoir tout réécrire from scratch. Y’a pas de système d’exploitation sur le PDP-7, rien, nada, alors il s’y met : système de fichiers, éditeur de texte, assembleur, debugger, tout y passe. Il code comme un fou, et au bout de quelques semaines, il réalise qu’il vient de créer un système d’exploitation complet. Par accident. Pour un jeu vidéo.
Dennis Ritchie, qui suivait les bidouillages de son pote avec intérêt, lui file un coup de main et Brian Kernighan, un autre génie du labo, trouve le nom parfait : “Unics” (Uniplexed Information and Computing Service), une blague sur Multics. Parce que contrairement à ce monstre complexe, leur système ne supportait qu’un seul utilisateur à la fois. Le nom évoluera vite en “Unix” parce que c’était plus cool à prononcer.
En deux mois, pendant l’été 69, ils ont ainsi pondu les bases d’Unix. Thompson a même développé une philosophie qui guide encore l’informatique aujourd’hui : “Faire une chose et la faire bien”. Chaque programme Unix était conçu pour être simple, modulaire, et pouvoir communiquer avec les autres via des pipes. C’est tout con, mais c’est génial.
En 1970, pour avoir plus de ressources, ils expliquent à leur boss, qu’Unix pourrait servir pour du traitement de texte. Bell Labs leur file un PDP-11/20 tout neuf à 65 000 dollars. Cette machine, c’était la Rolls des mini-ordinateurs : 24K de mémoire, des disques durs, le grand luxe.
Ken invente alors le langage B, basé sur BCPL (Basic Combined Programming Language). Sauf que quand ils migrent Unix vers le PDP-11, B montre ses limites : pas de types de données, pas de structures, bref, c’était trop “basique”.
Dennis, pas du genre à lâcher l’affaire, se retrousse les manches et crée le langage C durant la période 1972-1973. Le nom ? Bah c’est la lettre après B, ils ne se sont pas cassé la tête. Le C, c’était révolutionnaire, car assez proche de l’assembleur pour être efficace et assez évolué pour être lisible par un humain normal. Les pointeurs, les structures, les types de données, tout y était.
Puis en 1973, Dennis fait un truc de ouf : il réécrit le kernel Unix entier en C. À l’époque, tout le monde pensait qu’un OS devait être écrit en assembleur pour être performant et ces deux mecs venaient de prouver le contraire. Unix devenait portable. On pouvait le faire tourner sur n’importe quelle machine avec un compilateur C. C’était fou !
En 1978, Dennis et Brian Kernighan publient “The C Programming Language”, surnommé le “K&R” par les geeks. Ce bouquin de 228 pages est devenu LA bible du C. La première édition contenait même le fameux programme “Hello, World!” qui est devenu le premier truc que tout programmeur écrit.
Petite anecdote marrante, quand Unix a commencé à se répandre dans les universités américaines durant les années 70, Ken distribuait personnellement les bandes magnétiques 9 pistes le contenant. Chaque envoi était même accompagné d’un petit mot manuscrit signé “Love, Ken”. Imaginez recevoir Unix avec un bisou du créateur ! C’était ça l’esprit de l’époque… du partage, de la bienveillance, et zéro marketing bullshit.
Dans le code source d’Unix Version 6, Dennis Ritchie a également écrit le commentaire de code le plus célèbre de l’histoire de l’informatique. Dans la fonction de context-switching (ligne 2238 du fichier slp.c), il a ajouté :
/* You are not expected to understand this */
Ce commentaire est devenu culte, et on le retrouve sur des t-shirts, des mugs, des posters dans tous les bureaux de devs du monde. Dennis expliquera plus tard dans un email que c’était dans l’esprit “ça ne sera pas demandé lors de l’examen” et pas du tout un défi arrogant contrairement à ce qu’on pourrait penser.
D’ailleurs, le code était buggé et même eux ne le comprenaient pas complètement à l’époque.
En 1984, Ken Thompson balance alors le hack le plus vicieux de l’histoire lors de sa conférence pour le prix Turing. Il montre comment il pourrait modifier le compilateur C pour injecter automatiquement une backdoor dans Unix. Le truc vraiment diabolique c’est que même en lisant tout le code source, impossible de détecter le piège. Le compilateur s’auto-infecterait à chaque compilation. Sa conclusion est sans appel : “You can’t trust code that you did not totally create yourself”.
Cette présentation, connue sous le nom de “Reflections on Trusting Trust”, a traumatisé toute une génération de développeurs.
Dennis, lui, était l’antithèse totale de Steve Jobs : discret, humble, fuyant les projecteurs comme un vampire fuit l’ail. Sa famille le décrivait comme “un frère incroyablement gentil, doux, modeste et généreux et évidemment un geek complet. Il avait un sens de l’humour hilarant et une appréciation aiguë des absurdités de la vie”. Rob Pike, son collègue, racontait : “Dennis était drôle d’une manière tranquille. Par exemple, il décrivait les erreurs dans son propre travail de manière hilarante”.
Un participant à une conférence Usenix racontera même un peu plus tard cette anecdote qui montre toute l’humilité de Dennis : “J’ai rencontré Dennis Ritchie sans le savoir. Il avait échangé son badge avec quelqu’un d’autre pour éviter d’être harcelé. J’ai passé 30 minutes à discuter avec lui en me disant “putain ce mec s’y connaît vraiment bien”. Puis l’autre type est arrivé et a dit “Dennis, j’en ai marre de gérer tes groupies, reprends ton badge”. Ils ont rééchangé les badges. J’ai regardé… c’était le mec qui avait non seulement écrit le livre que j’avais utilisé pour apprendre le C, mais qui avait inventé le langage lui-même.”
Contrairement aux rockstars de la Silicon Valley d’aujourd’hui, Dennis n’a jamais cherché la célébrité. Il préférait coder tranquille dans son coin à Bell Labs, peaufiner Unix et le C, et laisser son travail parler pour lui. Quand il croisait Steve Jobs ou Bill Gates dans des conférences, personne ne le reconnaissait. Pourtant, sans lui, ni l’iPhone ni Windows n’existeraient, car les deux systèmes reposent sur des fondations qu’il a posées.
Dennis Ritchie est mort le 12 octobre 2011, à 70 ans, seul dans son appartement de Berkeley Heights dans le New Jersey. Il vivait en ermite depuis la mort de ses frères et sœurs. Son corps a été découvert plusieurs jours après sa mort.
Tandis que la mort de Steve Jobs le 5 octobre 2011 avait fait la une de tous les médias du monde, celle du créateur du C et d’Unix est passée quasi inaperçue.
Ken Thompson, lui, continue de nous étonner. À l’age de 82 ans en 2025, après sa retraite de Bell Labs en 2000, il continue de bosser chez Google depuis 2006 sur le langage Go avec Rob Pike et Robert Griesemer. Quand Google a voulu le recruter, ils lui ont demandé de passer un test de compétence en C. Sa réponse ? “Non merci, j’ai inventé le prédécesseur du C et Dennis a créé le C lui-même”. La classe absolue. Google l’a embauché direct.
Surtout que Ken a toujours été un passionné obsessionnel. Dans les années 80, il a créé Belle, l’ordinateur d’échecs le plus fort du monde, entièrement câblé en hardware. Cette machine a remporté le championnat du monde des ordinateurs d’échecs plusieurs fois. Le gouvernement américain l’a même temporairement confisqué quand Ken a voulu l’emmener en URSS pour un tournoi, de peur qu’elle tombe entre les mains des Soviétiques ! Belle était classée comme “munition” selon les lois d’exportation américaines. Du délire.
Parallèlement, Ken avait créé une base de données de 35 000 morceaux de musique dont il avait numérisé une bonne partie, stockés sur son système avec un algorithme de compression maison appelé PAC, bien avant l’arrivée du MP3. Quand les juristes de Bell Labs lui ont demandé s’il était dans la légalité, il a répondu avec son flegme habituel : “J’en collectionne beaucoup”. Ils lui ont répondu quelque chose comme : “Il y a du fair use pour la recherche, mais on n’ira pas en prison pour vous, alors vous devez arrêter”. Ken étant Ken, il a continué tranquille.
Ken et Rob Pike ont aussi inventé UTF-8 en 1992 lors d’un dîner dans un restaurant de New Jersey. Ils ont dessiné l’encodage sur une nappe en papier et aujourd’hui, UTF-8 représente 98% du web.
Ce qui rend cette histoire encore plus belle, c’est l’environnement unique de Bell Labs. Pas de daily standup, pas de sprint planning, pas de rétrospectives, pas de KPI, pas de OKR, pas de management toxique. Juste des génies qui se croisent dans les couloirs, discutent devant la machine à café, et imaginent les techno de demain. Cette culture collaborative a inspiré tout ce qu’on redécouvre aujourd’hui.
Le partage de code source ? Ils distribuaient Unix gratuitement aux universités. La review collaborative ? Ils se relisaient mutuellement sans process formalisé. L’amélioration continue ? Chaque version d’Unix apportait des innovations. L’open source ? Unix était fourni avec son code source complet. Tout ce qu’on pense avoir inventé avec Git, GitHub, et l’agile, ils le pratiquaient naturellement dans les années 70.
La philosophie Unix qu’ils ont créée tient en quelques principes simples mais géniaux. Comme je vous le disais plus haut, il y a d’abord “Faire une chose et la faire bien” où chaque programme Unix est spécialisé. “Tout est fichier”, une abstraction simple pour tout le système. “Les programmes doivent pouvoir communiquer”, d’où les pipes qui permettent de chaîner les commandes. “Privilégier la portabilité sur l’efficacité”, d’où le choix du C plutôt que l’assembleur.
Ces principes, on les retrouve partout aujourd’hui, de Docker aux microservices.
Et aujourd’hui, Unix et ses descendants font tourner absolument tout.
Linux, le clone d’Unix créé par Linus Torvalds en 1991 fait tourner 96.3% des 500 plus gros supercalculateurs du monde, 71% des smartphones (Android), et la majorité des serveurs web. MacOS et iOS basés sur Darwin, lui-même descendant de BSD Unix. FreeBSD, OpenBSD, NetBSD aussi sont des descendants directs d’Unix. Même Windows, avec son Windows Subsystem for Linux, est une reconnaissance de la supériorité du modèle Unix.
Le langage C reste lui aussi indétrônable pour tout ce qui touche au système. Le kernel Linux c’est 28 millions de lignes de C. Windows a son noyau est en C. MacOS en C et Objective-C (une extension du C). Les interpréteurs de Python, Ruby, PHP, Perl sont également écrits en C. Les bases de données MySQL, PostgreSQL, Redis, SQLite, c’est pareil. Sans parler des navigateurs web, des compilateurs, des machines virtuelles, de l’embarqué, de l’IoT, des systèmes critiques dans l’aviation, le spatial, le médical… Du C partout !!
Sans Dennis et Ken, pas de smartphone, pas d’Internet moderne, pas de cloud computing, pas d’intelligence artificielle (les frameworks de deep learning sont écrits en C/C++), pas de jeux vidéo modernes non plus (les moteurs de jeu sont en C++). Ils ont littéralement créé les fondations sur lesquelles repose toute notre informatique actuelle.
Quand Guido van Rossum a créé Python en 1989, il s’est inspiré de la syntaxe du C et Bjarne Stroustrup a créé C++ en 1979 comme une extension du C “avec des classes”. James Gosling s’est basé lui aussi sur la syntaxe du C pour créer Java en 1995. Brendan Eich a également repris la syntaxe du C pour JavaScript en 1995 (en 10 jours, le fou). Même les langages modernes comme Rust, Go, Swift, Kotlin, tous portent l’ADN du travail de Dennis.
Ken Thompson déteste d’ailleurs C++ avec passion : “Il fait beaucoup de choses à moitié bien et c’est juste un tas d’idées mutuellement exclusives jetées ensemble”. Avec Go, qu’il a co-créé chez Google, il a donc voulu revenir à la simplicité du C originel, mais adapté au monde moderne du multicore et des réseaux. Go compile en quelques secondes là où C++ prend des minutes. La simplicité, toujours la simplicité.
Dennis et Ken ont reçu pratiquement tous les prix possibles en informatique. Le prix Turing en 1983 (l’équivalent du Nobel en informatique), la National Medal of Technology en 1998 des mains du président Clinton, le Japan Prize en 2011 (400 000 dollars quand même). Ken a été élu à l’Académie Nationale d’Ingénierie en 1980 et à l’Académie Nationale des Sciences en 1985. Mais leur plus grande fierté c’est de voir leur création utilisée partout, par tout le monde, tous les jours.
L’histoire de Dennis et Ken nous enseigne plusieurs trucs cruciaux. Tout d’abord que l’innovation naît de la liberté créative. Pas de process, pas de roadmap, pas de framework agile, juste la liberté d’explorer et de se planter. C’est comme ça qu’Unix a réussi là où Multics a échoué, car la complexité tue l’innovation, toujours.
De mon point de vue, Dennis Ritchie mérite autant de reconnaissance que Steve Jobs ou Bill Gates, si ce n’est plus. Sans oublier Ken Thompson qui continue de coder à plus de 80 ans chez Google. Quand on lui demande pourquoi il continue, il répond simplement : “C’est fun”.
En tout cas, leur philosophie continue d’inspirer encore aujourd’hui avec l’open source, le partage de code, le principe du “faire une chose et la faire bien”… et ça c’est beau !
Voilà, maintenant vous savez pourquoi Unix c’est beau et Windows c’est… bah c’est Windows quoi. Allez, sortez votre terminal, tapez man unix et saluez ces deux génies. Et si vous voulez vraiment leur rendre hommage, apprenez le C, c’est moins chiant que vous pensez et ça vous fera comprendre comment les ordinateurs fonctionnent vraiment.
Et dire qu’à la base, c’était pour faire tourner un jeu vidéo débile…
Imaginez. Vous êtes tranquillement en train de bosser sur votre PC, votre webcam Lenovo tranquillement posée sur votre écran, et vous ne vous doutez de rien. Sauf que pendant ce temps, un cybercriminel à l’autre bout du monde a trafiqué votre innocente caméra pour qu’elle tape des commandes sur votre clavier sans que vous ne voyiez rien. Et même si vous formatez votre PC, elle continuera son petit manège.
C’est exactement ce qu’ont réussi à démontrer les chercheurs d’Eclypsium lors de la DEF CON 33. Paul Asadoorian, Mickey Shkatov et Jesse Michael ont en effet découvert une faille monumentale dans les webcams Lenovo 510 FHD et Performance FHD. Le bug, baptisé BadCam et référencé sous la CVE-2025-4371, et permet de transformer à distance ces webcams en dispositifs BadUSB.
Pour ceux qui ne connaissent pas BadUSB, c’est une technique d’attaque qui fait croire à votre ordinateur qu’un périphérique USB est autre chose que ce qu’il prétend être. Dans ce cas, votre webcam peut soudainement se faire passer pour un clavier et commencer à taper des commandes, sauf qu’ici, c’est encore pire puisque l’attaque peut se faire entièrement à distance, sans que personne ne touche physiquement à votre webcam.
Le problème vient du fait que ces webcams tournent sous Linux avec un processeur ARM SigmaStar SSC9351D. Elles utilisent le USB Gadget subsystem de Linux, qui permet à un périphérique USB de changer de rôle. Normalement, c’est pratique pour faire du debug ou créer des périphériques multifonctions. Mais dans le cadre de cette exploitation de bug, c’est pas foufou.
Ainsi, un attaquant qui a déjà un accès distant à votre machine (via un malware classique par exemple) peut identifier votre webcam Lenovo connectée. Il pousse alors une mise à jour firmware malveillante vers la caméra. Puis la webcam devient alors un dispositif BadUSB qui peut injecter des commandes clavier, installer des backdoors, voler vos mots de passe… bref, tout ce qu’un clavier peut faire en fait.
Et le plus “drôle” c’est que la webcam continue de fonctionner normalement en tant que caméra. Vous pouvez donc toujours faire vos visios Zoom en slip, car elle filme toujours et rien ne laisse supposer qu’elle est compromise. Et comme le malware réside dans le firmware de la webcam et non sur votre disque dur, vous pouvez reformater votre PC autant de fois que vous voulez, la webcam restera infectée et réinfectera votre système à chaque redémarrage.
Les chercheurs ont aussi découvert un autre vecteur d’attaque encore plus vicieux. Un attaquant peut vous envoyer une webcam déjà backdoorée par la poste. Genre un “cadeau” d’entreprise ou une webcam d’occasion sur LeBonCoin. Vous la branchez, et hop, vous êtes compromis. La webcam peut alors recevoir des commandes à distance et compromettre votre système quand l’attaquant le décide.
Et c’est pas la première fois que des experts en sécurité démontrent qu’un périphérique USB Linux déjà connecté peut être transformé en cyberarme exploitable à distance. Avant, les attaques BadUSB nécessitaient un accès physique pour brancher un périphérique malveillant mais là, on peut “weaponiser” un périphérique légitime qui est déjà sur votre bureau.
Le cœur du problème c’est que ces webcams ne vérifient pas la signature du firmware qu’on leur envoie. N’importe qui peut pousser n’importe quel firmware, et la webcam l’accepte les yeux fermés. C’est comme si votre porte d’entrée acceptait n’importe quelle clé, même un cure-dent.
Bien sûr, Lenovo a été prévenu en avril dernier et a sorti un correctif (firmware version 4.8.0) en août, juste avant la présentation à la DEF CON. Ils ont bossé avec SigmaStar pour créer un outil d’installation qui vérifie maintenant les signatures. Mais comme pour Winrar, combien d’utilisateurs vont vraiment mettre à jour le firmware de leur webcam ? Personne ne fait ça, j’crois…
Et le problème va bien au-delà de ces deux modèles Lenovo car les chercheurs d’Eclypsium ont indiqué que n’importe quel périphérique USB qui tourne sous Linux avec le USB Gadget subsystem pourrait être vulnérable. On parle donc de milliers de modèles de webcams, mais aussi de dispositifs IoT, de hubs USB, et même de certains claviers gaming haut de gamme qui embarquent Linux.
Voilà, donc pour vous protéger, si vous avez une Lenovo 510 FHD ou Performance FHD, foncez sur le site de support Lenovo et installez la mise à jour firmware 4.8.0. Et pour les autres webcams, c’est pareil, méfiez-vous et mettez à jour, car peut-être qu’elle pourrait faire des trucs qu’elle ne devrait pas pouvoir faire.
A partir de maintenant, tout ce qui se connecte à un port USB est votre ennemi !! Oui, surtout ce petit ventilo acheté sur Temu la semaine dernière…
Parfois, je me demande ce que foutent les équipes de Google… Un mec tout seul vient de créer une version desktop de YouTube Music qui explose littéralement la version web officielle et son interface web basique qui balance des pubs toutes les trois chansons.
L’app s’appelle YouTube Music Desktop, et c’est un projet open source disponible sur GitHub qui fait exactement ce que Google devrait faire depuis des années. Le développeur a pris Electron, a wrappé l’interface web de YouTube Music dedans, et puis il a ajouté tout ce qui manque cruellement à la version officielle.
Du coup on obtient une app desktop qui tourne sur Windows, Mac et Linux, codée par un seul mec qui surpasse complètement le produit officiel d’une boîte qui pèse 2000 milliards de dollars. Ce truc bloque toutes les pubs et le tracking par défaut, vous pouvez télécharger vos morceaux en MP3 ou Opus pour les écouter offline. Et y’a des raccourcis clavier natif qui fonctionnent sur tous les OS. Il y a même un égaliseur et un compresseur audio intégrés pour améliorer le son.
Mais le meilleur c’est le système de plugins. On peut y ajouter des extensions en un clic pour ajouter exactement les fonctionnalités que vous voulez. Discord Rich Presence pour montrer à vos potes ce que vous écoutez, des lyrics synchronisées qui s’affichent en temps réel, un mode ambient qui change les couleurs de l’interface selon l’album, du backup local de playlists, l’ajout dans la touchBar sous Mac…etc et le tout sans avoir à fouiller dans du code ou des configs compliquées.
Pour l’installer, c’est super simple. Sur Windows, passez par Scoop ou Winget. Sur Mac, c’est Homebrew avec un simple brew install th-ch/youtube-music/youtube-music. Sur Linux, vous avez des packages pour toutes les distros majeures.
L’app pèse moins de 100MB et consomme moins de RAM que l’onglet YouTube Music dans Chrome. D’ailleurs, il n’y a pas que cette version. YTMDesktop propose une alternative similaire avec une interface un peu différente et un focus sur l’intégration système. Après c’est une question de goût…
Bref, cette app montre exactement ce que YouTube Music pourrait être si Google se bougeait le cul. Ce sont des trucs basiques que les utilisateurs demandent depuis le lancement du service mais comme Google est plus concentré à faire payer un abonnement Premium à 11€ par mois qu’à proposer des fonctionnalités cools, bah voilà…
Évidemment, cette app pourrait arrêter de fonctionner du jour au lendemain si Google décide de changer son API ou d’en bloquer l’accès mais pour l’instant, ils laissent faire. Donc si vous en avez marre de YouTube Music dans le navigateur, ou que vous voulez stopper votre abonnement Spotify parce qu’il a encore augmenté, foncez. L’app est gratuite, open source, et fait tout mieux que la version officielle.
WinRAR, vous savez, le truc que tout le monde a sur son PC pour décompresser des fichiers et dont personne ou presque ne paye la licence ? Bah il vient de se faire trouer comme jamais. En effet un groupe de hackers russes exploite actuellement une faille zero-day pour installer des backdoors sur les machines et le pire dans tout ça, c’est que vous avez probablement WinRAR installé depuis des années sans jamais l’avoir mis à jour.
La faille en question, c’est la CVE-2025-8088, une vulnérabilité de type directory traversal qui a été découverte le 9 janvier dernier. En gros, quand vous ouvrez une archive RAR piégée, le malware peut s’installer où il veut sur votre système, notamment dans le dossier de démarrage de Windows. Résultat, à chaque fois que vous allumez votre PC, la backdoor se lance automatiquement.
Derrière cette attaque, on trouve le groupe RomCom, aussi connu sous les noms Storm-0978, Tropical Scorpius, Void Rabisu ou UNC2596. Ces mecs sont liés à la Russie et sont actifs dans le cyber-espionnage depuis plusieurs années. Leur mode opératoire est simple… Ils vous envoient des emails de phishing avec des pièces jointes RAR qui ont l’air légitimes. Genre un faux document de votre banque ou une facture bidon.
Ce qui rend cette vulnérabilité particulièrement vicieuse, c’est la méthode d’exploitation. Comme je vous l’expliquais en intro, les fichiers malveillants peuvent être placés directement dans le dossier Windows Startup sans aucune alerte de sécurité, permettant au malware de s’exécuter automatiquement à chaque démarrage. Vous décompressez le fichier, vous pensez que tout va bien, mais en réalité vous venez d’installer un backdoor qui donnera accès complet à votre machine aux hackers.
RARLAB, la société derrière WinRAR, a publié en urgence la version 7.02 le jour même de la découverte, sauf que voilà le problème : WinRAR n’a pas de système de mise à jour automatique. Ça veut dire que les 500 millions d’utilisateurs dans le monde doivent aller manuellement télécharger et installer la nouvelle version. Combien vont vraiment le faire ? On peut parier que dans 6 mois, 90% des gens auront toujours la version vulnérable.
D’ailleurs, c’est pas la première fois que WinRAR se fait avoir cette année. En juin 2025, une autre faille critique CVE-2025-6218 avec un score CVSS de 7.8 permettait l’exécution de code à distance. Et il y a aussi eu la CVE-2025-31334 qui permettait de contourner le Mark of the Web, cette protection Windows qui vous avertit quand vous ouvrez un fichier téléchargé d’Internet.
Les chercheurs en sécurité qui ont analysé les attaques RomCom ont découvert que le groupe cible principalement des organisations gouvernementales et militaires en Ukraine et dans les pays de l’OTAN. Selon Security Affairs, les attaquants utilisent des leurres très élaborés, comme de faux documents sur des exercices militaires ou des rapports de renseignement.
Le malware RomCom lui-même est une saloperie bien rodée. Une fois installé, il peut voler vos identifiants, enregistrer vos frappes clavier, faire des captures d’écran, et même activer votre webcam. Les hackers peuvent aussi l’utiliser comme point d’entrée pour déployer d’autres malwares, notamment des ransomwares qui chiffrent tous vos fichiers.
C’est quand même couillon cette absence totale de mise à jour automatique dans WinRAR. On est en 2025, et même ma cafetière se met à jour toute seule ! Alors comment un logiciel aussi répandu peut encore fonctionner comme dans les années 90 ? RARLAB justifie ça en disant qu’ils veulent éviter de “déranger” les utilisateurs. Mais là, le dérangement c’est de se faire pirater parce qu’on n’a pas pensé à vérifier manuellement les mises à jour.
Pour vous protéger, c’est simple mais chiant… Allez sur le site officiel de WinRAR (attention aux faux sites), téléchargez la version la plus récente, et installez-la par-dessus votre ancienne version. Vérifiez bien dans le menu Aide que vous avez la bonne version après installation. Et surtout, méfiez-vous des archives RAR que vous recevez par email ou que vous téléchargez. Si vous avez un doute, utilisez un sandbox ou une machine virtuelle pour les ouvrir.
Les entreprises sont particulièrement à risque parce qu’elles ont souvent des versions anciennes de WinRAR déployées sur des centaines de postes et avec le télétravail, c’est encore pire car les employés utilisent leurs PC perso avec des versions obsolètes pour ouvrir des fichiers pro. C’est la porte ouverte à toutes les fenêtres, comme dirait l’autre !
Bref, encore une fois, c’est souvent les trucs basiques qu’on néglige qui nous font tomber. Faites-vous une faveur et mettez à jour WinRAR maintenant, ou mieux, passez à 7-Zip qui est open source et se met à jour plus régulièrement.
Nous sommes lundi matin, et vous garez votre bagnole dans le parking du boulot…. Et pendant que vous glandouillez devant korben.info avec un petit café, un mec à l’autre bout du monde déverrouille votre caisse, fouille dans vos données perso et suit vos trajet en temps réel. De la science-fiction ? Non, c’était possible jusqu’en février 2025 chez un constructeur automobile majeur qu’on ne nommera pas. Pas parce que je ne veux pas le dire mais parce que son nom a été tenu secret.
Le héros de cette histoire, c’est Eaton Zveare, un chercheur en sécurité chez Harness qui a trouvé LA faille de l’année. Lors de sa présentation au DEF CON 33, il a expliqué comment il a réussi à créer un compte “national admin” sur le portail concessionnaire d’un constructeur. Deux bugs API tout bêtes, et hop, accès total à plus de 1000 concessionnaires américains.
Le code buggé se chargeait directement dans le navigateur quand vous ouvriez la page de connexion et Zveare a juste eu à modifier ce code pour bypasser les contrôles de sécurité. Selon lui, “les deux vulnérabilités API ont complètement fait sauter les portes, et c’est toujours lié à l’authentification”. Bref, le B.A.-BA de la sécurité qui n’était pas respecté, une fois de plus.
Une fois connecté avec son compte admin fantôme, Zveare avait accès à un outil de recherche national complètement dingue. Il suffisait d’entrer un nom ou de relever un numéro VIN sur un pare-brise pour trouver n’importe quel véhicule du constructeur.
Le chercheur a testé ça sur un ami consentant (important, le consentement, hein !) et a transféré la propriété du véhicule sur un compte qu’il contrôlait, et bam, il pouvait déverrouiller la voiture à distance. Le portail demandait juste une “attestation”, en gros, une promesse sur l’honneur que vous êtes légitime. Super sécurisé, n’est-ce pas ?
Ce qui est flippant, c’est que ce n’est pas un cas isolé. Selon les chiffres de 2025, les cyberattaques sur les voitures ont augmenté de 225% en trois ans. 80% des nouvelles voitures ont une connexion internet, et 95% de toutes les voitures fabriquées en 2025 en auront une. Des millions de véhicules Kia et Subaru ont déjà été touchés par des vulnérabilités similaires permettant le contrôle à distance.
Mais le vrai délire, c’était la fonction “impersonation” du portail. Zveare pouvait se faire passer pour n’importe qui sans leurs identifiants et naviguer entre tous les systèmes interconnectés des concessionnaires. De là, c’était open bar : données perso et financières, tracking temps réel de TOUS les véhicules (perso, location, courtoisie, même ceux en livraison), contrôle de l’app mobile… Il pouvait même annuler des livraisons en cours…
Selon SecurityWeek, une vulnérabilité similaire dans le système Starlink de Subaru a été corrigée en 24 heures en novembre 2024. Cette faille permettait de démarrer, arrêter, verrouiller et déverrouiller des véhicules à distance. Le constructeur concerné par la découverte de Zveare a mis une semaine pour corriger les bugs après sa divulgation en février. Ils n’ont trouvé aucune preuve d’exploitation passée, ce qui suggère que Zveare était le premier à découvrir et signaler cette faille béante.
Ce qui est fou, c’est la simplicité du hack. Pas besoin d’être un génie du code ou d’avoir des outils sophistiqués. Juste deux bugs d’authentification mal gérés, et c’est open bar sur les données de milliers de clients et leurs véhicules. Les constructeurs automobiles doivent vraiment se réveiller sur la cybersécurité car avec 84,5% des attaques exécutées à distance et des API mal protégées partout, on est assis sur une bombe à retardement.
La morale de l’histoire c’est que si vous avez une voiture connectée, priez pour que votre constructeur prenne la sécurité au sérieux. Et si vous êtes développeur dans l’automobile, par pitié, sécurisez vos APIs d’authentification. C’est la base !
J’ai découvert ce matin qu’on pouvait maintenant faire tourner un WordPress complet dans un navigateur. Sans serveur. Sans PHP installé. Sans MySQL. Juste votre navigateur et voilà, vous avez un WordPress fonctionnel. Ça s’appelle WordPress Playground et le truc de fou, c’est que tout ça tourne grâce à WebAssembly.
Pour ceux qui ne connaissent pas, WebAssembly c’est cette techno qui permet de faire tourner du code compilé directement dans le navigateur à une vitesse proche du natif. Les mecs de WordPress ont donc carrément compilé PHP en WebAssembly. Selon la documentation officielle, ils utilisent même SQLite à la place de MySQL, avec un driver qui intercepte toutes les requêtes MySQL pour les traduire en SQLite.
Concrètement, vous allez sur playground.wordpress.net, et hop, vous avez un WordPress qui se lance instantanément. Pas d’“installation en 5 minutes” comme avant. C’est direct. Vous pouvez même installer des plugins, des thèmes, créer du contenu, tout ça dans votre navigateur. Et le plus beau c’est que comme tout reste en local dans votre navigateur, et rien n’est envoyé sur un serveur distant.
Les dernières mises à jour ont ajouté un nouveau driver SQLite qui améliore les performances, et maintenant le CLI supporte le montage de votre répertoire de travail, ce qui vous pouvez bosser sur vos fichiers locaux directement depuis WordPress Playground. Plus besoin de jongler entre votre éditeur et un serveur local.
Pour les développeurs, c’est surtout la révolution, car si vous codez un plugin, vous créez un Blueprint (un fichier JSON de configuration) et vous pouvez générer instantanément un environnement de test avec votre plugin préinstallé, des données de démo, et même des utilisateurs de test déjà connectés. La documentation Blueprint explique comment créer ces configurations, et c’est super simple. C’est comme Docker Compose mais pour WordPress, sauf que ça tourne dans le navigateur.
Dans le même genre des trucs cools, il y a l’outil wp-now. Vous êtes dans le dossier de votre plugin ou thème, vous tapez npx @wp-playground/cli server --auto-mount, et vous obtenez un WordPress local qui tourne avec votre code monté automatiquement. Pas d’installation, pas de config Apache, pas de base de données à créer. C’est instantané.
Et puis il y a tout ce qui est démos interactives. Selon WordPress Developer Blog, vous pouvez créer des tutoriels interactifs où les gens peuvent tester votre plugin directement dans leur navigateur. Plus besoin de dire “installez WordPress, puis installez mon plugin, puis configurez ci et ça”. Vous leur envoyez juste un lien avec un Blueprint, et ils ont tout prêt à tester.
Le repository WordPress.org a même commencé à intégrer des previews live pour les plugins. Vous allez sur la page d’un plugin, et au lieu de juste lire la description, vous pouvez le tester direct. Il suffit de créer un fichier blueprint.json dans le dossier assets de votre plugin, et WordPress.org s’occupe du reste.
Pour ceux qui se demandent comment ça marche techniquement, c’est assez balèze. Ils ont un Service Worker qui intercepte toutes les requêtes HTTP et les passe à une instance PHP qui tourne dans un Web Worker séparé. Le PHP est compilé avec Emscripten (l’outil qui convertit du C/C++ en WebAssembly), et ils ont adapté toute la stack pour que ça fonctionne dans le navigateur. Et selon Platform Uno, avec l’arrivée de WASI 0.3, on va avoir des capacités async natives qui vont encore améliorer les performances.
Ce qui est vraiment cool aussi, c’est l’extension VS Code qu’ils ont sortie. Vous codez dans VS Code (ou Cursor pour les hipsters), et vous avez un WordPress Playground intégré directement dans l’éditeur. Ça évite de switcher entre l’éditeur et le navigateur pour tester. Ça change complètement le workflow de développement.
Alors oui, c’est encore expérimental. Oui, il y a des limitations (pas de support pour certaines extensions PHP, pas de persistance longue durée par défaut). Mais franchement, pour du prototypage rapide, des démos, ou même juste pour apprendre WordPress sans se prendre la tête avec l’installation, c’est parfait. Avec ça, vous pouvez même faire dess formations WordPress sans avoir à gérer 30 installations différentes pour vos étudiants.
Les développeurs parlent maintenant de faire tourner WordPress sur l’edge computing, d’avoir des sites WordPress décentralisés, et même de pouvoir développer des plugins depuis votre smartphone. Avec WebAssembly qui devient de plus en plus puissant, c’est vrai qu’on n’est qu’au début de ce qui est possible.
Donc si vous voulez tester, allez direct sur playground.wordpress.net. Et si vous êtes développeur, regardez la doc des Blueprints, c’est vraiment un génial pour créer des environnements de test reproductibles. Comme ça, plus d’excuses pour ne pas tester vos plugins dans toutes les configs possibles maintenant !
– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –
Si vous avez déjà ressenti ce petit pincement au cœur en laissant votre chat ou votre chien seul à la maison, l’Imou Pet Feeder PF1 4L est clairement conçu pour vous. Ce n’est pas juste un distributeur de croquettes, c’est un mélange entre un garde-manger intelligent et un petit agent secret équipé d’une caméra pour garder un œil sur votre compagnon. Je le teste depuis le début de l’été, et ça fonctionne super bien !
Une mangeoire qui pense à tout (et même plus)
Première bonne surprise : son réservoir de 4 litres. Concrètement, ça veut dire jusqu’à trois semaines de tranquillité selon la taille et l’appétit de votre animal. Les croquettes restent au sec, et la distribution est régulière grâce à un système motorisé fiable, protégé contre les bourrages. Si jamais il y a un souci, l’appli vous prévient. Cerise sur la gamelle : l’appareil fonctionne sur secteur, mais aussi sur piles en cas de coupure de courant.
Une caméra 2,5K qui voit tout
Là où l’Imou Pet Feeder se distingue vraiment, c’est avec sa caméra 4 MP intégrée juste au-dessus du bol. Vous avez quatre modes de vision, dont un panoramique à 360°, un mode “bol” pour zoomer sur l’action (comprendre : voir votre chat engloutir ses croquettes), un mode fisheye ultra-large et un mode VR qui permet de bouger le point de vue à la volée. Même de nuit, la qualité reste excellente.
Et comme voir ne suffit pas, vous pouvez aussi parler à votre animal grâce à la communication bidirectionnelle, ou enregistrer un petit message audio qui se déclenche à chaque repas. On est dans la personnalisation totale.
Une application bien pensée
Tout se pilote depuis l’application Imou Life, disponible sur Android et iOS, ultra simple à utiliser. Vous pouvez programmer jusqu’à 15 repas par jour, ajuster la taille des portions au gramme près, déclencher un repas manuellement ou même laisser l’IA décider en fonction des restes détectés dans le bol. Les statistiques sur les habitudes alimentaires sont précises, et un an de stockage cloud est inclus pour revoir photos et vidéos.
Bonus pratique : il accepte des croquettes de 2 à 12 mm, qu’elles soient sèches, lyophilisées ou mélangées. L’entretien est simple grâce à un bol en acier inox amovible et lavable.
C’est absolument génial, c’est fiable, bien équipé, simple à configurer, et surtout rassurant pour vous comme pour lui. On l’adopte sans hésiter. Comptez 120 euros sur Amazon.
Bon, vous m’avez demandé que je démêle le vrai du faux dans cette histoire de Firefox qui se transforme en aspirateur à batterie, alors allons-y. Je vous spoile quand même, c’est à la fois pire et moins grave que ce qu’on raconte ^^.
D’abord, parlons de cette solution miracle que personne ne vous donne dans les articles alarmistes. Ouvrez about:config, cherchez browser.tabs.groups.smart.enabled et mettez-le à false. Pareil pour browser.ml.chat.enabled. Voilà, problème réglé. Il y a même une ribambelle d’autres paramètres liés si vous voulez vraiment tout virer mais attendez avant de tout désactiver, laissez-moi vous expliquer ce qui se passe vraiment.
Alors oui, Firefox 141 s’est vu ajouter des groupes d’onglets assistés par IA qui peuvent automatiquement regrouper vos tabs selon leur contenu. Et oui, plusieurs utilisateurs se sont plaints sur Reddit de voir leur CPU grimper en flèche et leur batterie fondre comme neige au soleil. Apparemment, le coupable serait un processus appelé “Inference” qui gère toute cette magie IA en local.
Mais, non, Mozilla ne vous espionne pas avec cette IA car tout le traitement se fait sur votre machine. Rien, absolument rien n’est envoyé dans le cloud. C’est d’ailleurs pour ça que ça bouffe autant de ressources… C’est votre pauvre ordinateur qui fait tout le boulot tout seul.
Maintenant, le problème technique que personne n’explique vraiment c’est que Mozilla a choisi d’utiliser le format ONNX de Microsoft au lieu du format GGUF. Pour faire simple, GGUF est spécialement optimisé pour faire tourner de l’IA sur CPUavec une meilleure quantization, tandis qu’ONNX est plus généraliste. Donc c’est pas optimal mais plus adapté à un logiciel qui sert à plein de choses comme Firefox.
Firefox essaie ainsi de rattraper Chrome et Edge qui ont déjà leurs propres fonctionnalités IA, mais en y allant avec les pieds dans le plat. L’idée de regrouper automatiquement les onglets n’est pas mauvaise en soi et le système peut même suggérer d’autres onglets à ajouter au groupe basé sur le contenu. C’est super pratique sur le papier, mais c’est la cata en pratique si votre machine n’est pas une bête de course.
Les problèmes de conso batterie de Firefox ne datent pas d’hier et cette controverse IA vient juste s’ajouter à une longue liste de plaintes sur la consommation excessive du navigateur. Certains utilisateurs rapportent même que chaque mise à jour empire la situation mais sans le prouver avec des benchmarks ou des mesures fiables. Tout ceci c’est un peu des retours au feeling et la grande méchante IA, c’est juste la goutte d’eau qui fait déborder le vase.
Mozilla a déjà eu des controverses avec l’IA en début d’année avec des changements de conditions d’utilisation qui avaient fait flipper tout le monde. Ils avaient alors dû clarifier qu’ils n’utilisaient pas les données des utilisateurs pour entraîner des modèles. Mais cette fois, c’est différent, car l’IA tourne bien en local, mais elle bouffe vos ressources au passage.
Donc ce que je peux vous dire c’est que toute cette controverse est à moitié justifiée. OUI, les fonctionnalités IA de Firefox 141 peuvent effectivement faire exploser votre consommation CPU et vider votre batterie mais NON, ce n’est pas une catastrophe universelle. Ça dépend juste de votre config et de votre usage. Si vous avez 50 onglets ouverts sur un laptop de 2018, oui, vous allez souffrir. Si vous avez une machine récente et que vous utilisez Firefox normalement, vous ne remarquerez peut-être même pas la différence.
Le vrai problème en fait, c’est que Mozilla a activé ces nouvelles fonctionnalités par défaut sans vraiment prévenir les utilisateurs ni optimiser correctement le code. Ils auraient pu utiliser GGUF, ils auraient pu rendre ça opt-in, ils auraient pu mieux communiquer. Mais au lieu de ça, ils ont balancé ça dans une mise à jour et maintenant ils se prennent une volée de bois vert.
Alors, que faire ?
Et bien si vous avez des problèmes de performance, désactivez les fonctions IA via about:config. Et si vous voulez tester mais que vous trouvez ça trop gourmand, attendez quelques versions, car Mozilla finira probablement comme d’hab par optimiser tout ça.
Et fuck Chrome et tous ses dérivés ! (Oui c’était gratuit !)
Ah Facebook… Vous savez quoi ? J’ai arrêté d’y poster mes news il y a un moment déjà parce que les gens qui prennent encore le temps d’y commenter ne sont pas toujours très “fut-fut” comme on dit. Et manifestement, les escrocs l’ont bien compris parce qu’ils s’en donnent à cœur joie avec leurs nouvelles techniques de malware planqués notamment dans des images.
Le SVG, contrairement au JPEG de tata Ginette, c’est du XML qui peut embarquer du HTML et du JavaScript. Du coup, vous cliquez sur l’image de la fausse célébrité à oualpé, et vous voilà avec un petit Trojan.JS.Likejack qui force votre navigateur à liker des pages Facebook sans que vous vous en rendiez compte.
Le plus drôle dans tout ça c’est que les hackers utilisent une technique appelée “hybrid JSFuck” pour masquer leur code. C’est une forme d’obfuscation qui encode le JavaScript en utilisant seulement six caractères : “[ ] ( ) ! +”. Du grand art pour piéger les grands naïfs qui traînent encore sur la plateforme de Zuckerberg.
Mais attendez, ça devient encore mieux puisqu’une étude d’Harvard révèle que les escrocs utilisent l’IA générative pour créer de fausses images… et ça cartonne énormément sur Facebook. Je vous parle quand même de centaines de millions d’engagements. Par exemple, avec une seule image générée par IA, un escroc a récolté 40 millions de vues. QUARANTE MILLIONS SUR UNE FAUSSE IMAGE !!! Et le pire c’est que la plupart des utilisateurs ne se rendent même pas compte que ces images sont bidons.
Les commentaires sous ce genre de posts sont également à mourir de rire. Des gens félicitent des enfants générés par IA pour leurs peintures générées par IA. D’autres envoient leurs infos personnelles à des comptes d’arnaqueurs pour acheter des produits qui n’existent pas. C’est beau la crédulité humaine, vraiment.
Et devinez qui tombe le plus dans le panneau ?
Les utilisateurs plus âgés, évidemment. Ceux qui tapent encore “www” avant chaque URL et qui pensent que le bouton “J’aime” est une forme de cyber-politesse.
D’ailleurs, en parlant d’arnaque sophistiquée, il y a aussi cette campagne de fausses pubs Facebook pour Kling AI qui distribue un RAT (Remote Access Trojan) appelé PureHVNC. Les victimes cliquent sur une pub pour un outil d’IA, et hop, les hackers ont accès complet à leur système et peuvent voler leurs identifiants et leurs cryptos. Et toute cette merde est amplifiée par l’algorithme de Facebook lui-même.
Car oui, la plateforme recommande activement ces contenus bidons parce qu’ils génèrent de l’engagement. L’algorithme voit des clics, des likes, des commentaires de gens crédules, et amplifie automatiquement ce contenu. C’est le cercle vicieux parfait où la stupidité nourrit l’arnaque qui nourrit l’algorithme qui nourrit la stupidité…etc.
Concernant ces images SVG vérolées, les sites malveillants sur lesquels tombent les victimes sont souvent hébergés sur Blogspot / WordPress. Ils promettent ainsi des photos explicites de stars (générées par IA bien sûr) et utilisent ces appâts pour installer leurs saloperies de malware. Et comme Edge sous Windows ouvre automatiquement les fichiers SVG, même si vous avez un autre navigateur par défaut, c’est super pratique pour les hackers… et moins pour les victimes.
Donc, si vous êtes encore sur Facebook en 2025 et que vous cliquez sur des images de célébrités à poil ou des posts d’enfants miraculeux qui peignent des chefs-d’œuvre, vous méritez presque ce qui vous arrive. C’est devenu un repaire d’escrocs qui exploitent la naïveté des derniers utilisateurs encore actifs. Entre les boomers qui partagent des fake news et les arnaqueurs qui déploient des malwares sophistiqués, Facebook c’est vraiment devenu le fond de poubelle d’Internet.
Donc mon conseil c’est que si vous tenez absolument à rester sur cette plateforme moribonde, apprenez au moins à reconnaître une image générée par IA, à travailler votre esprit critique et méfiez-vous des fichiers SVG comme de la peste. Et surtout, arrêtez de cliquer sur tout ce qui brille et de croire tout ce qui y est écrit. Internet, ce n’est pas un sapin de Noël magique.
Bon cet aprem, je vais vous raconter l’histoire d’un mec qui a littéralement réinventé le journalisme d’investigation en cybersécurité. Car Brian Krebs, c’est un peu le Woodward et Bernstein du cyberespace, sauf qu’au lieu de faire tomber un président, il fait tomber des réseaux entiers de cybercriminels. Et croyez-moi, son parcours est digne de figurer dans ma série de l’été !
Brian Krebs naît en 1972 en Alabama et contrairement à ce qu’on pourrait penser, le gamin n’est absolument pas un geek dans l’âme. En 1994, il décroche son diplôme en relations internationales à l’Université George Mason et l’informatique ? Il s’en fiche complètement ! Il avait bien programmé un peu en BASIC sur un Apple II au lycée, mais sans plus. À l’époque, Brian se destine plutôt à une carrière dans la diplomatie ou les affaires internationales. Personne, absolument personne, n’aurait pu prédire qu’il deviendrait la terreur des cybercriminels mondiaux.
En 1995, le jeune diplômé de 23 ans cherche du boulot et tombe un peu par hasard sur une annonce du Washington Post. Mais attention, pas pour un poste de journaliste star ! Non, il commence tout en bas de l’échelle, au service circulation. Son job c’est de gérer les abonnements et la distribution du journal. Il passe ses journées à traiter les plaintes de clients qui n’ont pas reçu leur journal. Pas vraiment glamour, mais c’est un pied dans la place.
Bref, de là, Brian fait preuve d’une détermination qui va caractériser toute sa carrière. Il obtient un poste d’assistant de rédaction dans la salle de presse du Post. Trier le courrier et prendre en dictée les papiers des reporters sur le terrain devient son quotidien. On est à la fin des années 90, les journalistes appellent depuis des cabines téléphoniques pour dicter leurs articles, et Brian tape frénétiquement sur son clavier pour tout retranscrire. C’est l’école du journalisme à l’ancienne ! Il apprend à écrire vite, à synthétiser, à capter l’essentiel d’une histoire.
Mais Brian ne se contente pas de ce rôle subalterne. Il observe, il apprend, il absorbe tout ce qu’il peut sur le métier de journaliste. En 1999, sa persévérance paie et il décroche un poste de rédacteur pour Newsbytes.com, le service d’actualités technologiques du Post. C’est le début de sa carrière de journaliste tech. Et il couvre tout : les fusions-acquisitions, les nouvelles technologies, la bulle internet qui gonfle… Mais toujours rien sur la sécurité.
L’événement qui va complètement changer sa vie survient en 2001. Brian a alors 29 ans et s’amuse à bidouiller avec Linux sur un vieux PC Hewlett-Packard qu’il a récupéré. Il veut apprendre, comprendre comment ça marche. Il a installé Red Hat Linux 6.2 avec l’idée de transformer cette machine en firewall pour protéger son réseau domestique. Le problème, c’est qu’il ne sait pas vraiment ce qu’il fait et laisse la configuration par défaut, avec tous les services activés et les mots de passe faibles.
Et là, c’est le drame : le Lion Worm, un ver informatique créé par un groupe de hackers chinois appelé la “Honker Union”, infecte sa machine et le verrouille complètement hors de son propre système. Brian est furieux ! Il réinstalle tout, remet Linux, et BAM, il se fait réinfecter. Deux fois de suite ! Cette humiliation va déclencher quelque chose en lui. “J’étais tellement énervé”, raconte-t-il. “Comment c’était possible qu’un truc pareil existe ? Comment ces types pouvaient-ils prendre le contrôle de MON ordinateur ?”
“C’est à ce moment-là que j’ai décidé d’apprendre tout ce que je pouvais sur la sécurité informatique et Internet”, expliquera-t-il plus tard. Il devient alors obsédé. Il lit absolument tout ce qu’il peut trouver sur le sujet : les bulletins du CERT, les forums underground, les analyses de malwares. Il passe ses nuits à comprendre comment fonctionnent les attaques, les vulnérabilités, les exploits. C’est une véritable renaissance intellectuelle.
Et cette nouvelle passion tombe à pic car en 2002, quand le Post vend Newsbytes, Brian utilise ses nouvelles connaissances en cybersécurité pour décrocher un poste de rédacteur à temps plein pour Washingtonpost.com. Il couvre les sujets tech avec un angle de plus en plus orienté sécurité. Il écrit sur les virus, les vers, les premières grandes brèches de données et ses articles deviennent de plus en plus techniques, de plus en plus profonds.
Mais Brian sent qu’il peut faire plus. En mars 2005, il lance alors Security Fix, un blog quotidien centré sur la sécurité informatique, la cybercriminalité et les politiques technologiques. C’est une première pour un grand média américain : un blog entièrement dédié à la cybersécurité, alimenté quotidiennement. Brian y développe un style unique car au lieu de simplement rapporter les faits, il mène de véritables enquêtes et va chercher l’info à la source.
Et c’est là que ça devient vraiment intéressant car Brian commence à infiltrer les forums de cybercriminels. Il apprend le russe, maîtrise l’argot des hackers, comprend leurs codes. Il passe des heures sur des forums comme Shadowcrew.com, Carderplanet, DarkMarket. Il observe, il apprend, il documente. “J’ai réalisé que pour vraiment comprendre la cybercriminalité, il fallait aller là où elle se passait”, dit-il.
Ainsi, là où la plupart des journalistes se contentent de relayer les communiqués de presse des entreprises victimes de piratage, Brian va gratter plus en profondeur. Il se construit un réseau de contacts dans le milieu de la sécurité informatique, mais aussi parmi les cybercriminels eux-mêmes. Et surtout, il gagne leur respect en montrant qu’il comprend vraiment leur monde.
En août 2008, Brian publie une série d’articles qui va faire date. Il révèle les activités illicites d’Intercage (aussi connu sous le nom d’Atrivo), un hébergeur basé en Californie du Nord qui abritait une quantité phénoménale de cybercriminels. Pédopornographie, phishing, malware, spam… Atrivo hébergeait tout. L’impact est immédiat car en septembre 2008, tous les fournisseurs d’accès coupent leurs liens avec Atrivo. L’hébergeur est littéralement débranché d’Internet.
Mais Brian ne s’arrête pas là. Il enquête sur EstDomains, l’un des plus gros clients d’Atrivo, et découvre que le président de la société, Vladimir Tšaštšin, a été condamné en Estonie pour fraude à la carte de crédit, falsification de documents et blanchiment d’argent. Deux mois après la publication de son enquête, l’ICANN révoque alors la licence d’EstDomains. Krebs 2, Cybercriminels 0, joli score, non ?
Pendant toute cette période au Washington Post, Brian publie plus de 1 300 billets de blog pour Security Fix, des centaines d’articles pour washingtonpost.com, huit articles en première page du journal papier, et même un article de couverture pour le Post Magazine sur les opérateurs de botnets. Il devient LA référence en matière de cybersécurité aux États-Unis.
Mais en 2009, comme beaucoup de journalistes de l’époque, Brian est licencié du Post dans le cadre de compressions budgétaires. Le journal perd de l’argent car Internet bouleverse le modèle économique des médias. Au lieu de chercher un autre job dans un média traditionnel, il prend alors une décision audacieuse et lance en décembre 2009, KrebsOnSecurity.com, son propre site d’investigation en cybersécurité.
C’est un pari risqué car à l’époque, peu de journalistes indépendants arrivent à vivre de leur blog. Mais Brian a un avantage : sa réputation et son réseau de sources sont déjà solidement établis. Très vite, KrebsOnSecurity devient LA référence en matière d’enquêtes cybersécurités. Les RSSI, les chercheurs en sécurité, même les cybercriminels lisent religieusement ses articles.
En 2010, Brian marque un grand coup : il est le premier journaliste à rapporter l’existence d’un malware super sophistiqué qui cible les systèmes industriels iraniens. “J’ai reçu un échantillon de ce truc bizarre”, raconte-t-il. “C’était différent de tout ce qu’on avait vu avant.” Ce malware sera plus tard connu sous le nom de Stuxnet, et on découvrira plus tard qu’il s’agit d’une cyberarme développée par les États-Unis et Israël pour saboter le programme nucléaire iranien. Rien que ça !
Mais c’est à partir de 2013 que la vie de Brian bascule vraiment dans quelque chose de complètement dingue. Le 14 mars 2013, à 22h15 précises, il devient l’une des premières victimes de “swatting” parmi les journalistes. Des cybercriminels appellent le 911 en utilisant un service de spoofing pour faire croire que l’appel vient de chez lui. L’appelant, imitant Brian, déclare à la police : “J’ai tiré sur ma femme. Je l’ai peut-être tuée. J’ai une arme. Si quelqu’un entre, je tire.” Résultat : une équipe du SWAT débarque chez lui en plein dîner, armes au poing !
“J’étais en train de manger tranquillement quand j’ai vu des lumières rouges et bleues partout”, se souvient Brian. “J’ai ouvert la porte et il y avait une douzaine de flics avec des fusils d’assaut pointés sur moi. Ils m’ont ordonné de lever les mains et de sortir lentement.” Heureusement, Brian avait prévenu la police locale qu’il était journaliste en cybersécurité et qu’il risquait ce genre d’attaque et les flics ont rapidement compris que c’était un swatting.
L’incident est orchestré par un groupe de hackers opérant le site Exposed.su, incluant Eric “CosmotheGod” Taylor et Mir Islam. Ces types n’apprécient pas que Brian expose leurs activités criminelles et décident de se venger. La veille, Brian avait publié un article révélant comment ils obtenaient les données personnelles de leurs victimes via un site russe appelé SSNDOB. 45 minutes après la publication, ils avaient lancé une attaque DDoS contre son site.
Mir Islam sera plus tard condamné à deux ans de prison pour avoir swatté plus de 50 personnalités publiques, incluant Michelle Obama, le directeur du FBI Robert Mueller, le directeur de la CIA John Brennan, et même Paris Hilton. Le mec était complètement taré !
Mais les cybercriminels ne s’arrêtent pas là et en avril 2013, Brian reçoit par courrier plus d’un gramme d’héroïne pure ! Le plan diabolique étant d’envoyer la drogue chez lui, puis appeler la police pour le faire arrêter pour possession de stupéfiants. Sauf que Brian avait été prévenu du plan par ses sources sur un forum underground et avait alerté le FBI trois jours avant l’arrivée du colis.
Le cerveau derrière cette tentative de coup monté est Sergey “Fly” Vovnenko, un cybercriminel ukrainien de 29 ans qui administrait le forum de fraude “thecc.bz”. Vovnenko avait lancé un “Krebs Fund” sur le forum, demandant des donations en Bitcoin pour acheter de l’héroïne sur Silk Road. “L’idée était simple”, expliquera Vovnenko plus tard. “Faire livrer la drogue chez lui, puis faire appeler la police par un complice en se faisant passer pour un voisin inquiet.”
Pour se venger, Fly publie aussi le dossier de crédit immobilier complet de Brian sur son blog Livejournal, avec des photos de sa maison et même une couronne mortuaire qu’il fait livrer chez lui avec un message menaçant pour sa femme. Vovnenko sera finalement arrêté à Naples en 2014 et condamné à 41 mois de prison en 2017. Dans une interview surréaliste en 2019, il expliquera à Brian lui-même pourquoi il avait tenté de le piéger, s’excusant pour ses actions !
Mais LE coup de maître journalistique de Brian, celui qui va définitivement établir sa réputation, c’est l’affaire Target. Le 18 décembre 2013, Brian publie sur son blog que Target enquête sur une possible brèche de sécurité “impliquant potentiellement des millions de données de cartes de crédit et de débit”. Target n’a encore rien annoncé publiquement. Brian a eu l’info via deux sources indépendantes dans le milieu bancaire qui avaient remarqué une hausse anormale de fraudes sur des cartes ayant toutes été utilisées chez Target.
Le lendemain, Target confirme : 40 millions de comptes ont été compromis entre le 27 novembre (Thanksgiving) et le 15 décembre 2013. Les hackers ont eu accès aux données des bandes magnétiques des cartes utilisées dans les 1 797 magasins Target aux États-Unis pendant la période la plus chargée de l’année. Plus tard, on apprendra que 70 millions de comptes supplémentaires ont été touchés, avec des données personnelles volées.
Et Brian ne s’arrête pas là. En février 2014, il révèle la source de la brèche : Fazio Mechanical, une petite entreprise de chauffage et climatisation de Pennsylvanie qui travaillait pour Target. Les hackers ont d’abord compromis Fazio via un email de phishing en septembre 2013, puis ont utilisé leurs accès au portail fournisseur de Target pour pénétrer le réseau. Une fois dedans, ils ont utilisé une technique appelée “Pass-the-Hash” pour obtenir des privilèges administrateur et installer leur malware sur les caisses.
Le malware contenait la signature “Rescator”, le pseudonyme du cybercriminel qui vendait les cartes volées sur son site rescator.la. Brian découvrira alors que Rescator vendait les cartes par lots géographiques (vous pouviez acheter toutes les cartes volées dans votre ville pour frauder localement sans éveiller les soupçons). Dix ans plus tard, en 2023, Brian publiera de nouveaux indices révélant que Rescator était probablement Mikhail Shefel, un résident de Moscou.
L’année 2014 est aussi marquée par la publication de son livre “Spam Nation: The Inside Story of Organized Cybercrime - from Global Epidemic to Your Front Door”. Le bouquin devient un best-seller du New York Times et remporte un PROSE Award en 2015. Brian y raconte l’histoire fascinante des spammeurs russes et de l’économie souterraine du cybercrime, basée sur des années d’infiltration des forums criminels.
Mais être le journaliste le plus craint des cybercriminels a un prix et le 20 septembre 2016, KrebsOnSecurity subit la plus massive attaque DDoS jamais vue à l’époque : 620 à 665 gigabits par seconde de trafic malveillant ! Pour vous donner une idée, c’est assez de bande passante pour faire crasher une petite ville entière. Martin McKeay d’Akamai confirme que leur précédent record était de 363 Gbps. L’attaque de Brian fait presque le double !
L’attaque est menée par le botnet Mirai, composé de centaines de milliers d’objets connectés piratés : caméras de surveillance, routeurs, moniteurs pour bébés, même des aquariums connectés ! Tous ces petits appareils IoT avec des mots de passe par défaut comme “admin/admin” ou “root/12345” sont transformés en arme de destruction massive du web. Cette offensive utilise principalement du trafic GRE (Generic Routing Encapsulation), impossible à falsifier, prouvant que les attaquants contrôlent réellement des centaines de milliers de machines.
Le cyber-assault est probablement une vengeance pour le travail récent de Brian sur vDos, un service de DDoS à louer qu’il avait contribué à faire tomber. Deux israéliens de 18 ans qui opéraient le service avaient été arrêtés peu avant l’attaque. Mais le problème, c’est que l’attaque est tellement massive qu’Akamai, qui fournissait une protection DDoS gratuite à Brian depuis 2012, lui demande de partir. “Désolé Brian, mais tu causes des problèmes à nos clients payants”, lui dit-on en substance.
“C’était un moment difficile”, admet Brian. “J’étais littéralement censuré d’Internet par des criminels.” Heureusement, Google’s Project Shield, un service gratuit de protection DDoS pour les journalistes et dissidents, vient à sa rescousse et le site est de nouveau en ligne en quelques heures.
Les créateurs de Mirai, Paras Jha (21 ans, alias “Anna-senpai”), Josiah White (20 ans, alias “Lightspeed”) et Dalton Norman (21 ans, alias “Drake”), seront par la suite identifiés en partie grâce au travail d’investigation de Brian. En janvier 2017, il publie “Who is Anna-Senpai, the Mirai Worm Author?”, un article de 8 000 mots détaillant ses quatre mois d’enquête. Les trois seront condamnés à cinq ans de probation et 2 500 heures de travaux d’intérêt général, évitant la prison en échange de leur coopération avec le FBI.
Selon ses propres données, entre juillet 2012 et septembre 2016, le blog de Brian a subi 269 attaques DDoS ! Les cybercriminels le détestent tellement qu’ils sont prêts à mobiliser des ressources considérables juste pour faire taire son site. Mais Brian ne se laisse pas intimider. “Si ils m’attaquent autant, c’est que je fais bien mon boulot”, dit-il avec un sourire.
Au fil des années, Brian accumule les scoops et les révélations. Il expose les brèches chez Home Depot (56 millions de cartes), Michaels, Neiman Marcus, P.F. Chang’s, Sally Beauty, Goodwill, UPS, Dairy Queen, Jimmy John’s, et des dizaines d’autres. L’affaire Ashley Madison en 2015 ? C’est lui qui révèle les détails techniques du hack. Capital One en 2019 ? Encore lui. À chaque fois, son réseau de sources lui permet d’avoir l’info avant tout le monde. Les entreprises apprennent parfois qu’elles ont été piratées en lisant KrebsOnSecurity !
Ce qui rend Brian unique dans le paysage journalistique, c’est sa méthodologie. Il ne se contente pas de rapporter les faits mais infiltre les forums criminels, analyse le code des malwares, trace les flux financiers, identifie les acteurs. Il parle russe couramment pour pouvoir lire les forums underground. Il comprend le code pour pouvoir analyser les malwares. Il connaît les systèmes bancaires pour pouvoir suivre l’argent. C’est un journaliste-hacker au meilleur sens du terme.
“Pour comprendre les cybercriminels, il faut penser comme eux”, explique Brian. “Il faut comprendre leurs motivations, leurs méthodes, leur culture. C’est pour ça que je passe autant de temps sur les forums underground. C’est là que tout se passe.” Cette immersion totale lui permet de développer des sources uniques, des criminels qui lui font parfois confiance parce qu’ils respectent ses compétences techniques.
Brian a aussi développé une philosophie particulière sur la transparence car contrairement à la majorité des journalistes qui gardent jalousement leurs scoops, il partage souvent ses données brutes avec d’autres chercheurs et journalistes. Il publie les IOCs (Indicators of Compromise) pour que les entreprises puissent se protéger et documente ses méthodes pour que d’autres puissent apprendre. “L’important, c’est de protéger les gens, pas d’avoir l’exclusivité”, dit-il.
Cette approche lui a valu de nombreuses récompenses : le Cisco Systems “Cyber Crime Hero” Award en 2009, le SANS Institute Top Cybersecurity Journalist Award en 2010, le National Press Foundation Chairman’s Citation Award en 2014, l’ISSA President’s Award for Public Service en 2017, et il a été nommé Cybersecurity Person of the Year par CISO MAG. En 2018, il reçoit le Lifetime Achievement Award de la société de renseignement sur les menaces Threatpost.
Mais au-delà des prix, c’est l’impact de Brian sur l’industrie qui est remarquable. Il a forcé les entreprises à être plus transparentes sur les brèches car avant lui, les entreprises cachaient souvent les incidents de sécurité pendant des mois. Maintenant, comme elles savent que Brian finira par le découvrir, alors autant être transparent dès le début.
Il a aussi inspiré toute une génération de journalistes spécialisés en cybersécurité. Des médias comme Ars Technica, Wired, Vice Motherboard ont développé des sections cybersécurité robustes, souvent en embauchant des journalistes formés à “l’école Krebs”. Bref, il a prouvé qu’on pouvait faire du journalisme d’investigation technique sans sacrifier la rigueur ou l’accessibilité.
Ce qui est fascinant avec Brian, c’est qu’il n’a aucune formation technique formelle. Pas de diplôme en informatique, pas de certifications CISSP ou CEH. Tout ce qu’il sait, il l’a appris par lui-même, motivé par la rage d’avoir été piraté en 2001. C’est la preuve vivante que la passion et la détermination peuvent vous mener plus loin que n’importe quel diplôme.
Aujourd’hui, KrebsOnSecurity est lu par des millions de personnes dans le monde entier… PDG de grandes entreprises, responsables de la sécurité, chercheurs, forces de l’ordre, et même cybercriminels lisent religieusement ses articles. Alors quand Brian publie quelque chose, toute l’industrie est à l’écoute. Et il n’y a pas de pubs sur son site mais juste quelques sponsors triés sur le volet et des dons de lecteurs reconnaissants.
Brian continue d’opérer depuis un lieu non divulgué en Virginie du Nord. Sa maison est équipée de caméras de sécurité, d’un système d’alarme sophistiqué, et il maintient des contacts étroits avec les forces de l’ordre locales. “C’est le prix à payer”, dit-il. “Mais je ne laisserai pas la peur dicter ma vie ou mon travail.”
En 2024, KrebsOnSecurity a fêté ses 15 ans et Brian continue aujourd’hui d’y publier presque quotidiennement, exposant les dernières arnaques, les nouvelles techniques des cybercriminels, les failles de sécurité critiques. Il a récemment exposé comment des criminels utilisent l’IA pour créer des deepfakes bancaires, comment ils exploitent les vulnérabilités dans les systèmes de paiement mobile, comment ils blanchissent l’argent via les NFTs.
Voilà, donc si vous cherchez un exemple de reconversion réussie, de détermination face à l’adversité, et de courage journalistique à l’ère numérique, Brian Krebs c’est LE modèle à suivre !
Vous connaissez le gag du cambrioleur qui entre par la porte parce que vous avez laissé la clé sous le paillasson ? Bah là c’est pareil, sauf que c’est pas une blague et que ça concerne des millions de coffres-forts supposés être ultra-sécurisés. C’est une histoire de dingue qui mélange hackers ultra déterminés, une entreprise chinoise, un sénateur américain et même le FBI. Accrochez-vous !
Tout commence avec deux chercheurs en sécurité, Omo et Rowley, qui décident de fouiller les entrailles des serrures électroniques Securam ProLogic. Ces trucs équipent les coffres de marques prestigieuses comme Liberty Safe, Fort Knox, FireKing et plein d’autres. Ce sont des coffres utilisés par CVS pour stocker des narcotiques ou par des chaînes de restaurants pour planquer leur cash. Pas exactement le genre de truc qu’on veut voir ouvert par n’importe qui.
Les chercheurs ont présenté leurs découvertes à la conférence Defcon le 8 août dernier, et croyez-moi, ça a fait l’effet d’une bombe car ils ont trouvé non pas une, mais deux méthodes pour ouvrir ces coffres en quelques secondes. La première exploite l’interface Bluetooth du coffre pour injecter des commandes directement dans le firmware. Oui, y’a des ingénieurs qui ont mis du BT sur des coffres forts… C’est pas bien débile ça quand même ? Et la seconde utilise une backdoor cachée qui permet de bypasser complètement le code utilisateur sans déclencher la moindre alarme.
Et cette histoire de backdoor, c’est pas nouveau puisque le sénateur Ron Wyden avait déjà tiré la sonnette d’alarme en mars 2024, avertissant que Securam, l’entreprise chinoise, était légalement obligée de coopérer avec les demandes de surveillance du gouvernement chinois. En gros, Pékin pourrait théoriquement avoir accès aux codes de tous les coffres Securam vendus dans le monde. Sympa pour stocker vos secrets industriels et vos lingots d’or.
D’ailleurs, l’histoire rappelle étrangement le scandale Liberty Safe d’août 2023, quand l’entreprise avait fourni au FBI le code d’accès du coffre d’un client sur simple présentation d’un mandat. Les utilisateurs avaient hurlé à la trahison, déclenchant un mouvement de boycott massif. Liberty Safe avait alors dû faire marche arrière en promettant de supprimer les codes sur demande des clients.
Mais revenons à nos moutons. Le système de reset de Securam fonctionne avec un code de récupération (par défaut “999999”, super sécurisé), qui génère un code affiché à l’écran. Un serrurier autorisé appelle ensuite Securam, leur lit ce code, et en retour obtient le sésame pour réinitialiser la serrure. Sauf que Omo et Rowley ont réussi à reverse-engineer l’algorithme secret. Du coup, ils peuvent générer le code de reset sans appeler personne.
On dirait vous quand vous activiez des licences Windows et Office par téléphone sans appeler Microsoft ^^.
Et la réponse de Securam a été pathétique puisque Jeremy Brookes, le directeur des ventes, a confirmé qu’ils ne comptaient pas patcher les serrures déjà installées. Donc si vous voulez être en sécurité, vous allez devoir en acheter une nouvelle. Il accuse même les chercheurs de vouloir “discréditer” l’entreprise. Omo leur a alors répondu qu’ils essayent juste d’alerter le public sur les vulnérabilités d’une des serrures les plus populaires du marché.
Ce qui est fou dans cette affaire, c’est que le département de la Défense américain a confirmé que les produits Securam ne sont pas approuvés pour un usage gouvernemental, justement à cause de ces backdoors. Mais pour le commun des mortels, bah circulez, y’a rien à voir. Vos documents sensibles, vos armes, votre cash, tout ça reste vulnérable.
Securam promettait dans leur communiqué de presse des “produits de nouvelle génération” pour fin 2025 et assure que “la sécurité des clients est notre priorité”….
Mais lol, permettez-moi d’en douter quand on refuse de patcher une vulnérabilité critique qui permet d’ouvrir un coffre en quelques secondes.
Encore une fois, les backdoors, qu’elles soient dans les coffres-forts ou dans les logiciels de chiffrement, sont systématiquement une idée catastrophique car on ne peut pas créer une porte dérobée juste pour les gentils. Une fois qu’elle existe, n’importe qui avec les bonnes connaissances peut l’utiliser.
Voilà, donc pour ceux qui possèdent un coffre avec une serrure Securam ProLogic, je n’ai qu’un conseil : considérez que celui-ci n’est plus sûr. Soit vous changez la serrure (et pas par un autre modèle Securam), soit vous stockez vos objets de valeur ailleurs. Et optez pour une solution purement mécanique car au moins, elle n’aura pas de backdoor Bluetooth.
Vous vous souvenez du film Volte/Face avec Nicolas Cage et John Travolta ? Mais siii, c’est ce film où ils échangent leurs visages ? Bah les chercheurs allemands viennent de faire pareil avec Windows Hello, sauf qu’eux n’ont eu besoin que de deux lignes de code. Pas de chirurgie, pas d’effets spéciaux, juste un petit tour de passe-passe et hop, le PC croit que vous êtes votre collègue.
Le truc vient d’être montré en direct au Black Hat de Las Vegas par Tillmann Osswald et le Dr Baptiste David, deux chercheurs d’ERNW Research. Sur scène, David s’est connecté avec son visage, puis Osswald a tapé quelques commandes, et quelques secondes plus tard, il déverrouillait la machine de David avec son propre visage capturé sur un autre ordinateur. La sécurité biométrique de Microsoft vient de se faire avoir comme une débutante.
Ce qui rend cette attaque particulièrement sournoise, c’est qu’elle cible spécifiquement Windows Hello for Business, le système que Microsoft pousse à fond pour remplacer les mots de passe dans les entreprises. Vous savez, ce truc censé être ultra-sécurisé qui permet aux PC corporate de se connecter à Entra ID ou Active Directory avec juste votre belle gueule. Sauf que là, n’importe quel admin local malveillant ou compromis peut littéralement injecter sa tronche dans votre base de données biométrique.
Selon les informations techniques détaillées, l’attaque exploite une faiblesse dans CryptProtectData, le système censé protéger la base de données du Windows Biometric Service. Les chercheurs ont découvert qu’avec des droits admin locaux, on peut décrypter cette base et y injecter n’importe quelle empreinte biométrique.
Le plus fou dans cette histoire, c’est que Microsoft a bien une solution : Enhanced Sign-in Security (ESS). Ce système fonctionne au niveau hyperviseur avec une isolation VTL1 (Virtual Trust Level 1) qui bloque complètement l’attaque. Mais le problème c’est qu’il faut du matériel très spécifique pour que ça marche : un CPU 64 bits avec virtualisation hardware, une puce TPM 2.0, Secure Boot activé, et des capteurs biométriques certifiés.
D’ailleurs, petit détail rigolo, même des ThinkPad achetés pourtant il y a un an et demi ne supportent pas ESS parce qu’ils ont des puces AMD au lieu d’Intel. Comme l’explique Osswald, “ESS est très efficace pour bloquer cette attaque, mais tout le monde ne peut pas l’utiliser.”
Pour vérifier si vous êtes protégé, Microsoft recommande donc d’aller dans les paramètres Windows : Comptes → Options de connexion. Si vous voyez une option “Se connecter avec une caméra externe ou un lecteur d’empreintes digitales”, et qu’elle est sur OFF, ESS est activé. Quand ce toggle est OFF, vous êtes protégé mais vous ne pouvez plus utiliser de périphériques externes. Par contre, quand il est ON, vous pouvez utiliser vos gadgets mais vous êtes vulnérable.
Cette recherche fait partie du programme Windows Dissect, financé par l’Office fédéral allemand pour la sécurité informatique (BSI), un projet de deux ans qui se termine au printemps prochain. Et apparemment, ce n’est que le début car les chercheurs promettent d’autres révélations sur Windows dans les mois qui viennent. Ce qui inquiète vraiment la communauté, c’est que le fix n’est pas simple. Les experts estiment qu’il faudrait soit réécrire une partie significative du code, soit stocker les données biométriques dans le TPM, ce qui n’est peut-être même pas faisable techniquement…. Breeef, en attendant, la recommandation officielle pour les entreprises sans ESS est radicale : Désactivez complètement la biométrie et revenez au bon vieux code PIN.
Microsoft pousse agressivement tout le monde vers la biométrie depuis de nombreux mois, pour justement se débarrasser des mots de passe, mais quand je vois que leur solution de contournement recommandée est… de revenir aux codes PIN, j’avoue qu’on commence un peu à marcher sur la tête.
Et le support complet des périphériques externes avec ESS n’est pas prévu avant fin 2025 toujours selon Microsoft donc d’ici là, si vous utilisez Windows Hello for Business sans le hardware compatible ESS, vous jouez littéralement à la roulette russe avec l’identité de vos employés.
Ça montre donc que la biométrie n’est pas la solution miracle mais juste une autre forme d’authentification avec ses propres failles. Maintenant, la différence, c’est que quand quelqu’un vole votre mot de passe, vous pouvez le changer. Mais quand quelqu’un compromet votre système biométrique… bah vous changez de visage comme Cage et Travolta ?
Connexion
