En bref :

– Ces hackers recrutaient sur LinkedIn sans dire qu’ils étaient criminels.
– Un distributeur crachait des billets tout seul à Kiev en 2013.
– Le boss avait 15 000 bitcoins sur son laptop quand il s’est fait choper.

Aujourd’hui je vais vous parler du casse du siècle les amis ! Entre 2013 et 2018, un groupe de cybercriminels connu sous le nom de Carbanak a réussi à dérober plus de 1,2 milliard de dollars à une centaine de banques dans 40 pays. Du jamais vu dans l’histoire de la cybercriminalité financière !

Et ce groupe Carbanak, c’est pas juste une bande de script kiddies qui ont eu de la chance, non c’est une vrai une organisation criminelle ultra-sophistiquée qui a réinventé le concept même de braquage bancaire. Fini les cagoules et les armes, place aux malwares et au social engineering de haut vol. Ils fonctionnaient même comme une vraie entreprise avec une hiérarchie, des horaires de travail réguliers, et même des bonus pour les opérateurs les plus efficaces !

L’histoire commence donc en 2013 quand les premières banques ukrainiennes et russes remarquent des mouvements d’argent bizarres sur leurs comptes. Des millions de dollars disparaissent sans laisser de traces évidentes. À Kiev, en novembre 2013, c’est même un distributeur qui commence à cracher des billets à des heures complètement aléatoires, sans qu’aucune carte ne soit insérée ! Les passants récupèrent l’argent, pensant d’abord à un bug, jusqu’à ce que les banques comprennent qu’elles sont victimes d’une cyberattaque d’un genre nouveau. C’est là que Kaspersky Lab entre en scène et découvre ce qui deviendra l’une des plus grandes cyberattaques financières de tous les temps.

Le mode opératoire de Carbanak, c’est de l’art. D’abord, ils envoient des emails de spear phishing ultra-ciblés aux employés de banque. Ces emails exploitent des vulnérabilités connues comme CVE-2012-0158 (Microsoft Windows Common Controls), CVE-2013-3906 (Microsoft GDI+) et CVE-2014-1761 pour installer leur backdoor custom. Et une fois dans la place, le malware Carbanak fait son petit bonhomme de chemin dans le réseau bancaire.

La phase de reconnaissance est assez dingue puisque les hackers activent discrètement les webcams et prennent des captures d’écran pour observer les employés de banque pendant des mois. Ils apprennent littéralement comment fonctionne chaque banque de l’intérieur, mémorisant les procédures, les horaires, les protocoles de sécurité. En moyenne, cette phase d’apprentissage dure entre 2 et 4 mois complets ! Du coup, quand ils passent à l’action, ils imitent parfaitement le comportement des vrais employés. Flippant !

Et leurs techniques de vol sont variées et créatives. Parfois, ils programment des distributeurs automatiques pour cracher des billets à une heure précise où un complice attend tranquillement devant. D’autres fois, ils créent des comptes fantômes et y transfèrent des millions via le système SWIFT. Ou alors, ils modifient directement les bases de données pour gonfler artificiellement certains comptes avant de vider l’excédent, tout en laissant le solde original intact pour que le vrai propriétaire ne remarque rien. Chaque banque piratée rapporte entre 2,5 et 10 millions de dollars en moyenne.

Le cerveau présumé de l’opération, c’est Denis Katana (de son vrai nom Denis Tokarenko), un Ukrainien arrêté en mars 2018 à Alicante en Espagne. Et là, attention les yeux, les autorités trouvent sur son laptop 15 000 bitcoins, soit environ 162 millions de dollars à l’époque ! Le bonhomme avait monté tout un système avec des plateformes financières de Gibraltar et du Royaume-Uni pour convertir ses bitcoins en cartes prépayées qu’il utilisait ensuite pour acheter des voitures de luxe, des maisons, et vivre la grande vie en Espagne. Il avait même créé un “énorme réseau” de minage de bitcoins pour blanchir l’argent. Et le détail qui tue c’est que Denis travaillait depuis l’Espagne et trouvait tous ses complices en ligne, mais ils ne se sont jamais rencontrés en personne ! Tout se passait par internet, comme une startup criminelle en full remote.

Car Carbanak, c’est pas qu’un seul mec. Le groupe est étroitement lié à FIN7, aussi connu sous le nom de Navigator Group. En 2018, les autorités arrêtent plusieurs membres clés dans une opération internationale coordonnée : Fedir Hladyr, 33 ans, le sysadmin du groupe arrêté à Dresde en Allemagne, Dmytro Fedorov, 44 ans, le manager supervisant les hackers, arrêté à Bielsko-Biala en Pologne, et Andrii Kolpakov, 30 ans, arrêté à Lepe en Espagne. Chacun fait face à 26 chefs d’accusation incluant conspiration, fraude électronique, piratage informatique et vol d’identité aggravé. Hladyr, considéré comme le cerveau technique derrière Carbanak, a écopé de 10 ans de prison en 2021.

Ce qui impressionne les enquêteurs avec FIN7/Carbanak, c’est leur professionnalisme et leur créativité pour recruter. Ils ont d’abord créé une fausse société de cybersécurité appelée Combi Security, soi-disant basée en Israël et en Russie, pour recruter des développeurs sans qu’ils sachent qu’ils travaillaient pour des criminels. Les employés pensaient développer des outils de tests de pénétration légitimes alors qu’en réalité, ils créaient des malwares pour attaquer des entreprises. Le site web de Combi Security listait même parmi ses “clients” plusieurs de vraies victimes de FIN7 ! Après les arrestations de 2018, ils ont alors remis ça avec une nouvelle fausse boîte appelée Bastion Secure, avec un processus de recrutement en trois phases qui révélait progressivement la nature criminelle du travail. Les candidats passaient des entretiens RH classiques sur Telegram, signaient des contrats avec clause de confidentialité, puis se retrouvaient à faire du “pentest” sur des réseaux qui étaient en fait des vraies cibles à pirater.

L’organisation interne de Carbanak, c’est du grand art criminel. Ils avaient une hiérarchie claire avec des “gestionnaires de flux monétaires” qui analysaient les infos des ordinateurs infectés, des “chefs de mules” qui géraient les réseaux de blanchiment, et même des techniques de pression pour empêcher les membres de partir. Les opérateurs en position de leadership n’hésitaient pas à faire du chantage et à menacer de “blesser les membres de la famille en cas de démission”. Pour l’extraction d’argent, ils collaboraient d’abord avec la mafia russe jusqu’en 2015, puis avec la mafia moldave pour coordonner le travail des “mules” qui récupéraient le cash des distributeurs piratés.

Le malware Carbanak lui-même est une merveille d’ingénierie malveillante puisqu’il combine des capacités de keylogging, de capture d’écran, d’exécution de commandes à distance et de détection d’applications bancaires spécifiques. Il peut rester dormant pendant des mois, collectant silencieusement des informations avant de frapper. Au début, le groupe utilisait du code basé sur le malware Carberp, mais au fil du temps, ils ont développé leur propre solution complètement originale. En 2019, le code source complet de Carbanak est même apparu sur VirusTotal, donnant aux chercheurs en sécurité un aperçu détaillé de son fonctionnement interne et confirmant sa sophistication technique.

Malgré les arrestations de 2018, l’activité du groupe n’a pas cessé immédiatement. Entre mars et juin 2018, plusieurs nouvelles vagues de phishing liées à Carbanak sont observées, ciblant des banques et des entreprises de traitement de paiements dans différents pays. Six mois après l’arrestation de Denis Katana, le groupe était encore très actif selon les experts, prouvant bien la résilience et la structure décentralisée de cette organisation criminelle.

Surtout, l’impact de Carbanak dépasse largement les pertes financières car leurs attaques ont fondamentalement changé la façon dont les banques approchent la cybersécurité. Elle a démontré que les techniques APT (Advanced Persistent Threat), traditionnellement utilisées pour l’espionnage d’État, pouvaient être détournées pour le crime financier pur et simple. Carbanak a marqué le début d’une nouvelle ère où les cybercriminels ne s’attaquent plus aux clients des banques, mais directement aux banques elles-mêmes.

Du coup, les banques ont dû repenser complètement leur sécurité. Plus question de se contenter de pare-feux et d’antivirus. Il faut maintenant des systèmes de détection comportementale, de la surveillance vidéo des postes de travail critiques, des protocoles de validation multi-niveaux pour les transferts importants, et une formation continue des employés contre le phishing. L’attaque a aussi poussé le secteur à mieux sécuriser les liens entre les ATMs et les systèmes centraux.

Carbanak reste donc aujourd’hui l’exemple parfait de ce que peut accomplir un groupe de cybercriminels déterminés et techniquement compétents. Leur approche méthodique, leur patience de plusieurs mois par cible, leur capacité à s’adapter aux défenses de leurs victimes et leur structure d’organisation quasi-corporate en font un cas d’école.

Avec Carbanak, on sait maintenant qu’il est possible de voler un milliard de dollars sans jamais braquer physiquement une seule banque. Juste avec du code, de la patience et une compréhension profonde des systèmes bancaires. Denis Katana et ses complices ont réussi à accéder à “pratiquement toutes les banques de Russie” et à faire des retraits de distributeurs à Madrid pour un demi-million d’euros, tout ça depuis leur laptop. Ça fait réfléchir sur la vulnérabilité de notre système financier mondial face à des attaquants chevronnés.

Les attaquants peuvent être n’importe où, leurs victimes partout, et l’argent volé transite par des dizaines de pays avant de disparaître dans des cryptomonnaies. La coopération internationale devient alors cruciale, comme l’a montré l’opération coordonnée par Europol, le FBI, la police espagnole et les autorités de plusieurs pays qui a permis les arrestations de 2018.

Sans cette heureuse collaboration, Denis Katana serait probablement encore en train de siroter des cocktails sur la Costa del Sol avec ses bitcoins…

–Sources : Kaspersky Lab - Carbanak APT Report , US Department of Justice - FIN7 Arrests , Europol - Carbanak Mastermind Arrest , CrowdStrike - Carbon Spider Analysis , Trend Micro - Carbanak Technical Analysis , Threatpost - Denis Katana Arrest , TechCrunch - Bastion Secure Fake Company , Decrypt - Denis Katana Bitcoin Laundering

https://korben.info/carbanak-gang-cybercriminel-histoire-complete.html

Boeing risque une amende de 3,1 millions de dollars pour l’éclatement d’un bouchon de porte et des centaines de violations de sécurité

La FAA a constaté des violations en usine et affirme que Boeing a demandé l’approbation d’avions non navigables.

La Federal Aviation Administration a proposé vendredi des amendes de 3,1 millions de dollars à Boeing pour diverses violations de sécurité liées à l’ éclatement du bouchon de porte de janvier 2024 et à ce que la FAA a qualifié d’« interférence avec l’indépendance des responsables de la sécurité ».

Un communiqué de la FAA indique que l’amende proposée couvre les « violations de sécurité survenues entre septembre 2023 et février 2024 » et constitue la « sanction civile maximale prévue par la loi ». Boeing, qui a enregistré un chiffre d’affaires de 22,7 milliards de dollars et une perte nette de 612 millions de dollars au dernier trimestre, dispose de 30 jours pour déposer une réponse auprès de l’agence.

« La FAA a identifié des centaines de violations du système qualité dans l’usine Boeing 737 de Renton, dans l’État de Washington, et dans celle de Spirit AeroSystems, sous-traitant de Boeing, à Wichita, au Kansas. De plus, Boeing a présenté deux avions non navigables à la FAA pour obtenir des certificats de navigabilité et n’a pas respecté son système qualité », a déclaré la FAA.

La FAA a déclaré qu’un responsable de la sécurité de Boeing avait subi des pressions pour approuver un avion non conforme aux normes. Cet employé fait partie de l’unité ODA (Organization Designation Authorization) de Boeing, qui exerce les fonctions déléguées par la FAA à l’entreprise .

La FAA a déclaré avoir constaté qu’un employé de Boeing non membre de l’ODA avait fait pression sur un membre de l’unité ODA de Boeing pour qu’il approuve un Boeing 737-MAX afin que Boeing puisse respecter son calendrier de livraison, alors même que ce membre avait déterminé que l’appareil n’était pas conforme aux normes applicables. Le processus ODA de Boeing est critiqué depuis des années. Un rapport de l’Inspecteur général de 2021 a révélé que « le processus et la structure ODA de Boeing ne garantissent pas l’indépendance suffisante du personnel ODA ».

Bien que Boeing « disposait de contrôles antifraude inadéquats et d’un programme de conformité antifraude inadéquat », il a pris des mesures « pour améliorer son programme de conformité par le biais de changements structurels et de direction, y compris, mais sans s’y limiter, des mesures visant à améliorer l’indépendance, la capacité et l’efficacité de son programme de conformité », indique l’accord.

Le gouvernement a demandé le rejet de l’affaire sur la base de cet accord (mafieux !). La requête est toujours en instance, et les familles des victimes de l’accident ont exhorté le tribunal à la rejeter.

Source et plus: https://arstechnica.com/tech-policy/2025/09/boeing-faces-3-1m-fine-for-door-plug-blowout-hundreds-of-safety-violations/

Ils y vont pourquoi ?
Pour payer moins d’impôts aux romains à Abraracourcix et garder leurs sesterces ?

En bref :

– Kali Linux, héritière de BackTrack, est née en 2013 d’une refonte sur Debian pour plus de stabilité et une mise à jour en continu.

– Conçue pour simplifier le travail des pentesters, elle a remplacé une multitude d’outils éparpillés par une distribution unique.

– Partie de l’underground, elle est devenue la référence mondiale du hacking éthique et du pentest.

Bon, on va pas se mentir. Il y a des histoires dans le monde de la cybersécurité qui méritent d’être racontées, pas seulement pour leur importance technique, mais parce qu’elles incarnent l’esprit même du hacking à savoir cette volonté farouche de comprendre, de tester, de pousser les limites. Car l’histoire de Kali Linux, c’est avant tout l’histoire d’un homme mystérieux connu sous le pseudonyme de “muts”, d’une déesse hindoue de la destruction et de la renaissance, et d’une distribution Linux qui transforme radicalement le monde du pentesting.

Nous sommes en 2004. Facebook vient à peine de naître dans un dortoir de Harvard, YouTube n’existe pas encore, Korben.info vient à peine d’être lancé, et dans le monde de la sécurité informatique, les professionnels jonglent avec des dizaines de CD-ROM différents, chacun contenant un outil spécifique. C’est le bordel absolu ! Vous voulez scanner un réseau ? Un CD. Cracker un mot de passe ? Un autre CD. Faire du reverse engineering ? Encore un autre. Les pentesters trimballent littéralement des valises pleines de disques. C’est dans ce contexte chaotique qu’un personnage énigmatique émerge : Mati Aharoni.

Aharoni, c’est le genre de type qui préfère rester dans l’ombre. Intensément privé, il laisse son travail parler pour lui plutôt que sa personne. Mais son travail, justement, va parler très, très fort. Le 30 août 2004, sous le pseudonyme “muts”, il annonce une nouvelle distribution Linux appelée Whoppix. Le nom est un jeu de mots cool où il remplace le “Kn” de Knoppix par “Wh” pour “White Hat”, ces hackers bienveillants qui utilisent leurs compétences pour protéger plutôt que détruire.

Whoppix, c’est révolutionnaire pour l’époque. Un CD bootable qui contient TOUS les outils dont un pentester a besoin. Plus besoin de transporter une valise pleine de disques, tout tient dans votre poche ! Les scanners réseau, les crackeurs de mots de passe, les outils de reverse engineering… tout est là, prêt à l’emploi pour les pentesteurs. Et ça change tout.

Mais Aharoni ne s’arrête pas là. En 2005, il renomme Whoppix en WHAX et continue de l’améliorer. Pendant ce temps, de l’autre côté du monde numérique, un certain Max Moser développe sa propre distribution : Auditor Security Collection. Moser, c’est l’organisation incarnée. Sa distribution contient plus de 300 outils organisés dans une hiérarchie si intuitive que même un débutant peut s’y retrouver. C’est du travail d’orfèvre !

Le destin va alors se charger de réunir ces deux génies. En 2006, Aharoni et Moser réalisent qu’ils poursuivent le même rêve : créer LA distribution ultime pour les professionnels de la sécurité. Alors au lieu de se faire concurrence comme des idiots, ils décident de fusionner leurs projets. Le truc cool, c’est qu’ils combinent le meilleur des deux mondes qui est la puissance brute de WHAX et l’organisation méthodique d’Auditor.

Le 26 mai 2006, BackTrack voit le jour. BackTrack v1 sort avec des outils dans toutes les catégories imaginables : reverse engineering, forensique, stress testing, exploitation… C’est Noël pour les hackers ! La distribution devient instantanément culte dans la communauté. Pour l’époque, c’est du jamais vu.

C’est aussi à cette époque qu’entre en scène Devon Kearns, connu sous le pseudonyme “dookie200ca” (oui, le pseudo est chelou). Ensemble, avec Aharoni et Kearns, ils transforment BackTrack en quelque chose de plus grand qu’une simple distribution Linux pour fonder en 2007, Offensive Security, une entreprise qui va métamorphoser la formation en cybersécurité. La société est officiellement créé en 2008, mais l’aventure commence vraiment en 2006-2007 quand Mati et sa femme Iris lancent ce début d’affaire depuis leur salon.

Leur philosophie est simple mais radicale : “Try Harder”. Pas de QCM à la con, pas de théorie abstraite, juste de la pratique [censored] et dure. Vous voulez apprendre ? Vous vous battez avec de vraies machines, vous exploitez de vraies vulnérabilités, vous suez sang et eau. C’est brutal, mais c’est efficace. Cette mentalité va former des générations entières de pentesters.

BackTrack connaît un succès phénoménal. Les versions s’enchaînent… v1 à v3 basées sur Slackware, puis un virage majeur avec v4 et v5 qui passent sur Ubuntu. La dernière BackTrack 5 R3, sort ensuite en août 2012 et propose deux environnements de bureau (GNOME et KDE) pour les architectures 32 et 64 bits. La communauté grandit, les téléchargements explosent, BackTrack devient LA référence.

Mais voici où l’histoire devient vraiment fascinante. En 2013, Aharoni et son équipe prennent une décision audacieuse qui fait trembler toute la communauté : ils vont tout reconstruire from scratch. Pas une simple mise à jour, non. Une refonte complète, basée cette fois sur Debian plutôt qu’Ubuntu. Pourquoi ? Pour la stabilité légendaire de Debian, sa gestion des paquets supérieure, et surtout, pour implémenter un modèle de rolling release qui permet aux utilisateurs d’avoir toujours les derniers outils sans réinstaller le système. C’est un pari risqué, mais ils osent.

Le 13 mars 2013, lors de la conférence Black Hat Europe à Amsterdam, ils annoncent Kali Linux. Et là, le choix du nom est absolument génial. Kali est une déesse hindoue fascinante. Elle représente le temps, la destruction, mais aussi la renaissance. Son nom dérive du sanskrit “kāla” signifiant à la fois “temps” et “noir”. Elle est celle qui détruit pour permettre la création, qui met fin aux illusions pour révéler la vérité. Quelle métaphore parfaite pour une distribution destinée à détruire les failles de sécurité pour créer des systèmes plus sûrs !

La symbolique va même plus loin car la déesse Kali est souvent représentée debout sur Shiva, symbolisant l’équilibre entre l’énergie dynamique (Shakti) et la conscience immobile. C’est exactement ce qu’est Kali Linux : un équilibre parfait entre la puissance brute des outils d’attaque et la conscience éthique de leur utilisation. Même le logo de Kali, ce dragon stylisé, est devenu iconique dans le monde de la cybersécurité.

Le succès est immédiat et fulgurant. Kali Linux devient rapidement LA référence mondiale et les statistiques donnent le vertige : plus de 300 000 téléchargements par mois, plus de 600 outils de sécurité pré-installés et configurés. La distribution couvre absolument tout : reconnaissance, exploitation, forensique, reverse engineering, wireless attacks, web application testing… C’est du lourd !

Mais ce qui rend Kali vraiment spécial, c’est sa versatilité hallucinante. Vous voulez l’installer sur votre PC ? Pas de problème. Sur un Raspberry Pi pour faire du wardriving discret ? C’est possible. Dans le cloud AWS ou Azure pour des tests à grande échelle ? Facile. Sur votre smartphone Android via NetHunter ? Ça marche aussi !

Et là où ça devient complètement dingue, c’est que NetHunter permet même de transformer certaines smartwatches en outils de pentesting. La TicWatch Pro 3 peut maintenant capturer des handshakes WPA2 depuis votre poignet ! Vous imaginez ? Vous êtes à une conférence, l’air de rien avec votre montre, et vous capturez des handshakes WiFi. C’est du James Bond version 2025 !

L’impact culturel de Kali Linux dépasse largement le monde de la sécurité. La série Mr. Robot, acclamée pour son réalisme technique, montre régulièrement Elliot Alderson utiliser Kali Linux. Pour la première fois, Hollywood représente le hacking de manière authentique, avec de vraies commandes et de vrais outils. Sam Esmail, le créateur de la série, a engagé une équipe d’experts incluant Jeff Moss (fondateur de DEF CON et Black Hat) pour garantir l’authenticité. C’est la classe !

En 2023, Offensive Security lance un truc complètement fou : Kali Purple. Après des années à perfectionner les outils offensifs (red team), ils sortent une version dédiée aux équipes défensives (blue team). Kali Purple inclut plus de 100 outils défensifs comme Arkime, CyberChef, Elastic Security, TheHive, et Suricata. C’est un SOC-in-a-Box complet ! Les organisations peuvent maintenant former leurs analystes et conduire des exercices purple team où attaquants et défenseurs collaborent. C’est une révolution conceptuelle.

Parlons aussi des certifications, parce que là aussi, c’est du sérieux. L’OSCP (Offensive Security Certified Professional) est devenue le Saint Graal du pentesting. Contrairement aux autres certifications qui se contentent de QCM bidons, l’OSCP exige un examen pratique de 24 heures où les candidats doivent compromettre de vraies machines. C’est l’enfer ! Le taux d’échec est énorme, mais ceux qui réussissent sont immédiatement reconnus comme des experts.

Niveau tarifs en 2025, accrochez-vous : le cours PWK (Penetration Testing with Kali Linux) coûte entre 849$ et 5 499$ selon les options. Le package standard avec 1 an de lab et un essai à l’examen coûte 1 599$. Le package unlimited avec tentatives illimitées monte à 5 499$. C’est cher, mais l’investissement en vaut la peine car un OSCP gagne en moyenne 120 000$ par an aux États-Unis selon ZipRecruiter. Pas mal, non ?

En novembre 2024, Offensive Security introduit l’OSCP+, une version renouvelable de la certification qui doit être mise à jour tous les trois ans. C’est logique… la cybersécurité évolue tellement vite qu’une certification figée dans le temps n’a aucun sens. Et l’examen reste brutal : 23h45 de hack, puis 24h pour rédiger le rapport. Les candidats simulent une vraie intrusion sur un réseau privé VPN avec des machines vulnérables. C’est du réalisme pur.

L’évolution technique de Kali est également impressionnante. La version 2025.2 sortie en juillet apporte des améliorations majeures. Le menu Kali a été complètement réorganisé selon le framework MITRE ATT&CK, comme ça, au lieu d’avoir les outils rangés par catégorie technique (scanners, exploits, etc.), ils sont maintenant organisés selon les tactiques et techniques d’attaque réelles. Ça aide les pentesters à penser comme de vrais attaquants, en suivant la kill chain depuis la reconnaissance jusqu’à l’exfiltration.

GNOME 48 et KDE Plasma 6.3 sont également intégrés, avec des fonctionnalités sympas comme un indicateur VPN qui affiche votre IP directement dans la barre de statut. Plus besoin de taper “curl ifconfig.me” toutes les cinq minutes pour vérifier si votre VPN fonctionne ! Sur Raspberry Pi, le WiFi onboard supporte maintenant le mode monitor et l’injection de paquets grâce à Nexmon. C’est pratique pour les tests discrets.

Mais l’innovation la plus folle reste le CARsenal de NetHunter. Kali permet maintenant de faire du car hacking ! Le toolset inclut ICSim, un simulateur pour jouer avec le bus CAN sans avoir besoin de matériel physique. On peut littéralement hacker des voitures depuis Kali Linux. C’est le futur qui arrive à toute vitesse !

Pourtant, Kali Linux n’est pas sans controverse. Les Émirats Arabes Unis ont interdit Kali Linux en 2013, craignant son potentiel de mauvaise utilisation. Cette interdiction soulève le débat éternel : ce qui protège peut aussi attaquer. Un marteau peut construire une maison ou fracasser un crâne. C’est la responsabilité et l’éthique de l’utilisateur qui font la différence.

L’installation de Kali a beaucoup évolué. Sur Windows, grâce à WSL2, vous pouvez maintenant installer Kali directement depuis le Microsoft Store avec la commande wsl --install --distribution kali-linux. WSL2 utilise un vrai kernel Linux dans une VM Hyper-V, offrant des performances quasi-natives. C’est complètement fou de voir Microsoft embrasser Linux à ce point !

Pour les Mac M1/M2, VMware Fusion 13 ou UTM permettent de faire tourner Kali sur Apple Silicon. Il faut juste télécharger l’image ARM64 et non x86. UTM est particulièrement intéressant car il offre la virtualisation native plutôt que l’émulation, garantissant de meilleures performances. Apple et Linux qui cohabitent, qui l’eût cru ?

Les chiffres parlent d’eux-mêmes. Kali compte maintenant plus de 600 outils pré-installés, supporte plus de 99 appareils Android différents via NetHunter, et le dépôt GitLab contient plus de 230 kernels pour plus de 100 appareils. C’est devenu un écosystème complet, pas juste une distribution. Bref, avant il fallait être un expert Linux pour configurer ses outils. Maintenant, un débutant motivé peut démarrer Kali et commencer à apprendre immédiatement. Les outils sont pré-configurés, documentés, et la communauté est là pour aider. C’est une révolution dans l’éducation à la cybersécurité.

L’histoire personnelle de Mati Aharoni ajoute aussi une touche humaine à cette saga. Il se décrit lui-même comme “un accro de l’infosec en rémission, coureur passionné, plongeur, kiteboarder, et mari” et après plus de deux décennies dans la sécurité, il quitte Offensive Security et Kali Linux en 2019 pour se consacrer à d’autres projets. Aujourd’hui, il fait de la musique sur un Akai MPC et change des filtres à huile sur des générateurs électriques. Une retraite bien méritée pour quelqu’un qui a révolutionné une industrie entière !

Devon Kearns continue de porter le flambeau avec l’équipe d’Offensive Security. Jim O’Gorman a repris le rôle de leader du projet Kali après le départ d’Aharoni. Et Raphaël Hertzog, expert Debian français, reste le troisième pilier technique du projet. L’équipe continue d’innover et de pousser les limites.

Les vulnérabilités découvertes grâce à Kali sont innombrables. Des chercheurs ont trouvé des zero-days critiques dans toutes les grandes entreprises tech. Heartbleed, Shellshock, Spectre, Meltdown… Toutes ces vulnérabilités majeures ont été analysées et exploitées avec Kali. L’outil SQLMap intégré dans Kali a permis d’identifier des milliers d’injections SQL dans des sites majeurs.

Les outils les plus populaires de Kali forment également un arsenal redoutable. Nmap pour le scanning (le couteau suisse du réseau), Metasploit pour l’exploitation (la mitrailleuse lourde), Wireshark pour l’analyse réseau (le microscope), John the Ripper et Hashcat pour le cracking de mots de passe (les brise-coffres), Burp Suite pour les tests d’applications web (le scalpel chirurgical). Chaque outil a sa spécialité, et ensemble, ils forment une armée invincible.

Et surtout, la philosophie “Try Harder” d’Offensive Security est devenue un mantra dans la communauté. C’est plus qu’un slogan, c’est une approche de la vie. Face à un problème, ne cherchez pas la solution facile, creusez plus profond, comprenez vraiment. Cette mentalité a formé des générations de professionnels qui ne se contentent pas de suivre des procédures mais qui comprennent vraiment ce qu’ils font. Et avec l’explosion de l’IoT, des voitures connectées, et maintenant de l’IA, les surfaces d’attaque se multiplient, c’est pourquoi Kali évolue constamment pour couvrir ces nouveaux domaines.

Tant qu’il y aura des systèmes à sécuriser, des vulnérabilités à découvrir, des défenses à tester, Kali Linux sera là. Évoluant, s’adaptant, mais restant toujours fidèle à sa mission originale.

A vous maintenant de télécharger, installer et explorer Kali et contribuer à écrire les prochains chapitres de cette saga.

– Sources : Threat Picture - Mati Aharoni, Kali Linux Documentation - History, Wikipedia - Offensive Security, Wikipedia - BackTrack, Wikipedia - Kali Linux, Kali Linux Official Website, Meet The Kali Team, Muts.io - Mati Aharoni, OffSec - PEN-200 Course, Kali Linux 2025.2 Release, Kali NetHunter Documentation, Hackaday - Mr Robot Gets Hacking Right, BleepingComputer - Kali Purple, DEF CON Official, Kali WSL Documentation

https://korben.info/histoire-fascinante-kali-linux-underground-hacker.html

@Violence Merci pour ces connaissances et merci Korben…

@Beck49 a dit dans [Dossier] The Grugq : Le gourou de l'OPSEC qui a appris au monde l'art de fermer sa gueule :

Salut,
Merci violence, très intéressant.

No problem @Beck49

Tu peux retrouver tout les autres dossier avec le mot clé : hacking
Il y en a plein d’autres, tous tout aussi intéressants 🙂

👇

https://planete-warez.net/tags/hacking

@duJambon a dit dans «Tu prends le premier Black qui passe»: un policier suisse raconte le racisme au quotidien :

Y-a-t’il des balsamiques parmi nous ?

Cette histoire va tourner au vinaigre.

En bref :

– Licencié après 14 ans chez Pfizer, Troy Hunt se consacre à HIBP et lance une carrière indépendante.

– Sa femme Charlotte gère les opérations d’Have I Been Pwned, qui recense 14,4 milliards de comptes compromis.

– Service éthique et gratuit pour le public, HIBP tourne pour moins de 300 $/mois et est utilisé par des gouvernements et agences.

Alors là, accrochez-vous bien parce que l’histoire de Troy Hunt, c’est un peu comme si Superman décidait de troquer sa cape contre un clavier et de sauver le monde depuis son bureau. Sauf qu’au lieu de voler et de porter des slips par-dessus son pantalon, il tape du code et sauve vos mots de passe compromis. Troy Hunt, c’est le mec qui a créé Have I Been Pwned, ce service gratuit qui vous dit si vos données traînent quelque part sur le dark web. Et croyez-moi, son parcours est complètement dingue !

La première fois que j’ai testé mon email sur son site, j’ai découvert avec horreur que mes données avaient fuité dans je-sais-plus-combien de hacks. Ce jour-là, j’ai réalisé l’ampleur du travail de ce type. Il a créé, à lui tout seul, un service qui aujourd’hui référence plus de 14,4 milliards de comptes compromis dans 845 fuites de données différentes. C’est presque deux fois la population mondiale ! Franchement, c’est du lourd.

– Troy Hunt - Source

Troy Hunt naît en Australie, et contrairement à ce qu’on pourrait penser, ce n’est pas un gamin des plages qui passe son temps à surfer. Non, lui, il préfère démonter des consoles de jeux “pour voir ce qui les fait marcher”. Le geek était déjà là ! Après des années d’itinérance familiale, Troy finit par s’installer sur la Gold Coast australienne, ce paradis ensoleillé où il vit toujours aujourd’hui avec sa femme Charlotte et leurs deux enfants.

– La Gold Coast en Australie, où Troy vit depuis des années*

Le truc dingue avec Troy, c’est qu’à l’université dans les années 90, il veut apprendre le développement web mais son école n’offre aucun cours sur Internet ! Imaginez un peu : le web explose, et les universités australiennes sont encore en mode “Internet ? C’est quoi ce truc ?” Alors Troy fait ce que font tous les vrais passionnés, il apprend tout seul. Et en 1995, alors que le web n’a que quelques années, il construit déjà des applications web professionnelles. Autodidacte niveau super chef !

Pendant ses premières années de carrière, Troy touche à tout. Finance, médias, santé… Il accumule l’expérience comme Mario collecte des pièces. Mais c’est en 2001 que sa vie prend un tournant décisif quand il décroche un job chez Pfizer à Sydney. Oui, Pfizer, le géant pharmaceutique !

Au début, c’est le rêve américain version australienne. Il code, il construit des systèmes, il gère des applications cliniques critiques. Il commence comme simple développeur, mais ses compétences le propulsent rapidement au poste d’architecte logiciel pour toute la région Asie-Pacifique. C’est énorme ! Il supervise des systèmes qui gèrent les essais cliniques, rapportent les effets indésirables, optimisent les opérations dans une quinzaine de pays. Le mec est responsable de l’infrastructure tech d’une des plus grosses boîtes pharma du monde pour toute une région géographique !

Mais voilà le hic… Au fur et à mesure que Troy grimpe les échelons, il s’éloigne de ce qu’il aime vraiment : coder.

Je ne faisais plus de code,

raconte-t-il avec amertume.

J’attendais des autres qu’ils le fassent, et je me sentais déconnecté.

Cette frustration grandit comme une démangeaison qu’on ne peut pas gratter. Il manage des gens au lieu de coder, passe ses journées en réunions au lieu de construire des trucs. Le syndrome classique du développeur devenu manager malgré lui !

Pour compenser, Troy lance des projets perso le soir et les weekends. Il crée son blog troyhunt.com, où il partage ses connaissances sur la sécurité web. En septembre 2011, il lance ASafaWeb (Automated Security Analyser for ASP.NET Websites), un outil précurseur qui analyse automatiquement la sécurité des sites ASP.NET. L’idée lui vient de son taf chez Pfizer : “Je passais un temps fou à tester des trucs basiques puis expliquer pourquoi c’était important aux développeurs.” ASafaWeb automatise tout ça. Génial ! L’outil tournera pendant 7 ans avant d’être mis à la retraite en novembre 2018.

En parallèle, Troy devient l’un des instructeurs stars de Pluralsight avec ses cours sur l’OWASP Top 10 et sa série culte “Hack Yourself First”. Son approche ? Apprendre aux développeurs à penser comme des hackers pour mieux se défendre. Plus de 32 000 personnes suivent ses cours, totalisant 78 000 heures de visionnage ! Pendant que ses collègues de Pfizer regardent Netflix, Troy construit méthodiquement sa réputation dans la cybersécurité. En 2011, il devient même Microsoft MVP (Most Valuable Professional), et sera nommé MVP de l’année la même année !

– Les cours de Troy Hunt sur Pluralsight sont devenus cultes

Le vrai déclic arrive à l’automne 2013. Troy analyse les fuites de données qui se multiplient et remarque un schéma inquiétant : ce sont toujours les mêmes personnes qui se font pirater, souvent avec les mêmes mots de passe pourris. Les victimes n’ont aucune idée qu’elles sont exposées et continuent d’utiliser “password123” partout. C’est la catastrophe !

Et puis arrive le coup de grâce : la fuite Adobe du 3 octobre 2013. Au début, Adobe minimise… “Juste 3 millions de cartes compromises, rien de grave !” Puis ils passent à 38 millions. Mais quand Brian Krebs de KrebsOnSecurity creuse l’affaire, la réalité explose : 153 millions de comptes compromis ! Troy analyse les données et il est horrifié. Non seulement les mots de passe sont mal chiffrés (avec un chiffrement 3DES réversible au lieu d’un hash irréversible), mais Adobe a stocké les indices de mots de passe en clair ! Genre “nom de mon chien + année de naissance”. Les hackers ont tout. C’est un carnage absolu !

Troy réalise alors l’injustice fondamentale de la situation. Les criminels téléchargent des gigas de données volées sur des torrents et analysent tranquillement qui utilise quel mot de passe où. Mais Monsieur et Madame Tout-le-monde ? Ils n’ont aucun moyen de savoir s’ils ont été compromis. C’est complètement déséquilibré !

Alors le 4 décembre 2013, Troy lance Have I Been Pwned. Au début, c’est minuscule… juste 5 fuites indexées (Adobe, Stratfor, Gawker, Yahoo! Voices et Sony Pictures). Mais le concept est brillant dans sa simplicité. Tu entres ton email, le site te dit si tu as été pwned. Point. Pas de pub, pas d’inscription, pas de collecte de données supplémentaires. Juste un service gratuit pour aider les gens.

Je voulais que ce soit ultra simple et accessible pour bénéficier au maximum à la communauté.

– L’interface originale de Have I Been Pwned en 2013

Le succès est immédiat et exponentiel. Les gens découvrent avec horreur que leurs données sont partout. Le site devient viral. En quelques semaines, les médias s’emparent du sujet. Troy ajoute fuite après fuite, breach après breach.

Ce qui est sympa également, c’est l’architecture technique. Troy utilise Windows Azure (maintenant Microsoft Azure) pour gérer une montée en charge astronomique. On parle de 150 000 visiteurs uniques par jour en temps normal, 10 millions lors des gros incidents. Les données sont stockées dans Azure Table Storage, une solution NoSQL qui permet de gérer des milliards d’enregistrements pour quelques dollars par mois. Les mots de passe compromis sont servis via Cloudflare avec un cache hit ratio de 99,9% sur 335 edge locations dans 125+ pays. L’API Pwned Passwords traite aujourd’hui plus de 13 milliards de requêtes par mois ! Et le plus fou ? Tout ça tourne pour moins de 300$ par mois. L’efficacité à l’état pur !

Pendant ce temps, chez Pfizer, Troy est de plus en plus malheureux. “Vers la fin, je redoutais d’aller au travail”, avoue-t-il. Se lever avec la boule au ventre, c’est le signe qu’il faut changer de job. En avril 2015, le destin frappe : Pfizer annonce que son poste est supprimé dans une restructuration. Licencié après 14 ans ! Mais au lieu de déprimer, Troy ressent… du soulagement ! “Je me sentais enfin libre de me concentrer sur HIBP et d’autres projets indépendants.”

– Troy célébrant son “indépendance” après son licenciement de Pfizer

Se faire virer devient la meilleure chose qui lui soit arrivée ! Troy devient consultant indépendant et se lance à fond. Il donne des workshops dans le monde entier : banques centrales, gouvernements, entreprises du Fortune 500. Il fait des keynotes à Black Hat, DEF CON, NDC. Plus de 100 workshops et autant de conférences en quelques années. Le développeur frustré de Pfizer est devenu une rockstar mondiale de la cybersécurité !

Mais c’est Have I Been Pwned qui reste son bébé. En janvier 2019, Troy découvre “Collection #1”, une méga-fuite de 773 millions d’emails uniques et 21 millions de mots de passe uniques, totalisant 2,7 milliards de combinaisons email/password. C’est la plus grosse fuite jamais vue ! L’analyse révèle que c’est une compilation de plus de 2000 fuites précédentes, avec 140 millions de nouveaux emails jamais vus auparavant.

Aujourd’hui en 2025, HIBP a catalogué plus de 845 fuites et 14,4 milliards de comptes pwned. Le service est utilisé par 40 gouvernements dans le monde pour monitorer leurs domaines officiels. La Malaisie est même la première nation asiatique à l’adopter officiellement. Des agences comme le FBI, la CISA, le RCMP canadien et le NCA britannique collaborent activement avec Troy, lui fournissant des mots de passe compromis découverts lors de leurs enquêtes.

– Le nouveau look de HIBP en 2025

Le truc génial avec Troy, c’est qu’il refuse de monétiser HIBP de façon agressive. Le service reste gratuit pour les particuliers. Il fait payer uniquement les entreprises qui veulent utiliser l’API pour vérifier en masse. Sa philosophie est claire :

Je ne stocke pas les mots de passe. Néant. Que dalle. Je n’en ai pas besoin et je ne veux pas de cette responsabilité. Tout ça, c’est pour sensibiliser à l’ampleur des fuites.

Cette approche éthique lui vaut une reconnaissance mondiale. En novembre 2017, il témoigne devant le Congrès américain sur l’impact des fuites de données. En février 2022, il reçoit le prestigieux Mary Litynski Award du M3AAWG pour avoir rendu Internet plus sûr. Même le FBI lui a filé une médaille ! Pas mal pour un mec qui a appris le web tout seul !

Un aspect méconnu, c’est le rôle crucial de sa femme Charlotte. Elle a coordonné les conférences NDC (Norwegian Developers Conference) dans le monde entier de 2013 à 2021. Quand elle rejoint HIBP en 2021 comme Chief Operating Officer, elle gère tout ce qui n’est pas technique : onboarding des clients, tickets d’API, compta, taxes internationales…

– Charlotte Hunt, la moitié opérationnelle du duo

Charlotte est à la fois ma femme et la chef de toutes les opérations chez HIBP,

explique Troy avec affection. Sans elle, impossible de gérer un service utilisé par des millions de personnes. C’est le duo parfait !

Mais Troy n’est pas qu’un héros de la cybersécurité. En février 2017, il révèle les vulnérabilités critiques de CloudPets, des peluches connectées qui ont exposé 820 000 comptes et 2,2 millions de fichiers audio d’enfants parlant à leurs doudous. Les enregistrements étaient accessibles sans authentification sur des serveurs MongoDB mal configurés ! Son investigation force Spiral Toys à sécuriser d’urgence et sensibilise le monde aux dangers de l’IoT mal sécurisé.

– Troy recevant les honneurs pour son travail

Un des aspects les plus impressionnants, c’est sa capacité à vulgariser. Sur son blog, il explique des concepts complexes avec une clarté cristalline. Ses articles sur Collection #1 ou l’analyse des mots de passe Adobe sont des masterclass de pédagogie. Il a créé toute une philosophie autour de la “culture de la sécurité” :

La sécurité doit être en tête des priorités pour TOUS les professionnels de la tech, pas juste l’équipe sécu.

Cette vision révolutionne la façon dont les entreprises abordent la cybersécurité.

Et même les experts se font avoir ! Dans un exemple d’humilité rafraîchissante, Troy a admis publiquement s’être fait avoir par un email de phishing sophistiqué. Cette transparence renforce encore sa crédibilité. Le mec assume ses erreurs, c’est ça qui est beau !

L’impact technique de HIBP est phénoménal. L’API Pwned Passwords utilise un modèle k-anonymity génial où au lieu d’envoyer votre mot de passe en clair, vous envoyez les 5 premiers caractères du hash SHA-1, le serveur répond avec tous les hashs correspondants (environ 400), et votre navigateur vérifie localement. Résultat, votre mot de passe n’est jamais transmis, même pas à Troy ! C’est de la privacy by design à l’état pur. Des géants comme 1Password, Firefox et Google Chrome intègrent maintenant cette API pour vérifier si vos mots de passe ont fuité.

Le plus fou dans tout ça c’est que Troy continue de développer HIBP avec passion. En 2025, il a ajouté le support des données de “stealer logs” (malwares qui volent les identifiants), intégrant 231 millions de mots de passe uniques supplémentaires. Il travaille avec le FBI et le NCA britannique qui lui fournissent régulièrement des données saisies lors d’opérations contre les cybercriminels.

Aujourd’hui, Troy vit toujours sur la Gold Coast, “la partie ensoleillée du pays ensoleillé !” comme il aime dire. Il continue de développer HIBP, donne des conférences dans le monde entier (quand il n’est pas en train de faire du jetski ou de piloter des voitures de sport sur circuit), et reste l’une des voix les plus respectées de la cybersécurité mondiale.

Ce qui est dingue avec Troy Hunt, c’est qu’il a transformé une frustration personnelle (ne plus coder chez Pfizer) en service public mondial. Il a créé quelque chose que même les gouvernements n’avaient pas pensé à faire. Et il l’a fait gratuitement, par [censored] passion pour la sécurité. Dans un monde où tout se monétise, où chaque startup cherche la licorne, Troy reste fidèle à ses principes : aider les gens à rester safe online.

Si ça c’est pas inspirant, franchement, je sais pas ce qui l’est ! Le mec a littéralement changé la façon dont le monde entier gère les fuites de données. Et il continue, breach après breach, à nous protéger de nos propres mauvaises habitudes de sécurité. Respect total.

– Sources : Troy Hunt - About, Have I Been Pwned - About, A Decade of Have I Been Pwned, Introducing Have I Been Pwned, Adobe credentials and password hints, Wikipedia - Troy Hunt, Welcome to ASafaWeb, Pluralsight - Troy Hunt, KrebsOnSecurity - Adobe Breach, Collection #1 Data Breach, M3AAWG Mary Litynski Award, HIBP Azure Function GitHub

https://korben.info/troy-hunt-developpeur-chez-pfizer-gardien.html

@Raccoon après googlage, environ 50 km à vol d’oiseau, ça me paraît un peu loin pour confirmer mes soupçons, je vais interroger le géo-thermique. :ahah:

Je ne vais pas entrer dans le débat de la sauvegarde de l’esprit parce qu’on doit être tous du même avis : totalement con.

Sinon, faire des bunkers au cas où le pire arrive, c’est pas con du tout. Là ou c’est foireux, c’est de le faire perso.
On est plus fort en équipe (normalement).
Tu te fais ta suite avec tes chiotes… et le reste du bunker pour les voisins qui auront le temps de s’y installer.
Faut pas oublier le stock de viande de singe ^^

@duJambon a dit dans Sept Français sur dix sont pour interdire tous les écrans avant six ans :

Le seul espoir réside dans une prise de conscience des parents, qu’ils comprennent que les réseaux sociaux et autres conneries ferons de leur descendance des gogols, des assistés et des consommateurs moutons dans un futur monde de merde.

Le souci c’est qu’aujourd’hui les jeunes parents sont déjà broyé par le système.

Ils sont déjà eux-mêmes complètement azimutés.

J’ai pas hâte de voir l’avenir de tout ça.

En bref :

– Le 27 juin 2017, via une mise à jour compromise du logiciel ukrainien M.E.Doc, NotPetya se répand comme un ver destructeur déguisé en ransomware, il efface les données sans possibilité de récupération, causant le chaos en Ukraine.

– Le malware paralysant des infrastructures critiques (banques, aéroports, métros, même Tchernobyl), et provoquant des pertes massives jusqu’à plus de 10 milliards de dollars pour des géants comme Maersk, Merck ou FedEx.

– Attribué au groupe Sandworm du GRU russe, l’attaque dépasse ses cibles initiales : elle devient un rappel brutal de notre vulnérabilité mondiale face aux cyber-armes.

Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.

Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.

Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.

Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.

Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.

En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !

Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.

Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !

– Source

Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.

Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !

Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.

La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…

– M.E.Doc.

…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.

Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.

Et ils vont prendre tout leur temps.

Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.

Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !

Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.

À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.

NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…

Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !

D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!

NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.

Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.

Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !

Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.

Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !

Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.

Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.

À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur :smile:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.

Un employé de l’IT raconte :

On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu.

Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !

Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.

À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.

Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !

Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.

Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.

Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.

Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !

Un employé se souvient :

Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.

Franchement, on peut dire qu’ils ont eu du bol !

Mais le serveur est au Ghana, et les données doivent être rapatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.

Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.

Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.

L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !

Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !

Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.

Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !

Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !

Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…

Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.

FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !

Le PDG de FedEx déclare lors d’une conférence :

On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.

Ça résume bien la situation…

Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !

Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte :

On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.

Métaphore pas très joyeuse, un peu gore, mais très parlante.

Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !

Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.

En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !

Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.

Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.

L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !

Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même :

Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.

La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…

Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste :

Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.

et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !

– Sergei Linnik et sa Olesya Linnik

Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.

Avec NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?

Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…

L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…

Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…

Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.

Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !

Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !

Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.

On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.

À bon entendeur, salut !

– Sources : Wikipedia - 2017 Ukraine ransomware attacks, US Department of Justice - Six Russian GRU Officers Charged, Microsoft Security Blog - New ransomware, old techniques, Control Engineering - How NotPetya Took Down Maersk, Phishing for Answers - How Ghana Saved a Global Conglomerate, MITRE ATT&CK - Sandworm Team

https://korben.info/notpetya-2017-histoire-complete.html

En bref :

– Unit 8200, l’équivalent israélien de la NSA, forme de jeunes talents aux techniques avancées de cyber-espionnage.

– Elle est liée à l’opération Stuxnet et a vu naître de nombreuses startups majeures comme Waze ou Check Point.

– Sa puissance soulève des questions éthiques autour de la surveillance et de l’usage de ses outils.

L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.

C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.

L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.

A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.

Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.

Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.

– L’écusson de l’Unité 8200

Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.

Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).

– Base d’écoute d’Urim

Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.

Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.

Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.

L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).

Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.

– Les automates S7-300

Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.

Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.

Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).

Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies

Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.

La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.

Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.

Le bâtiment Check Point à Tel-Aviv

Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.

Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.

Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.

Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.

– Sources : Washington Post – Stuxnet (2012) ; The Guardian – Olympic Games (2012) ; The Guardian – Lettre des 43 (2014) ; TechCrunch – 8200 → Silicon Valley ; GBH – Magshimim.

https://korben.info/unit-8200-israel-cyber-espionnage-histoire-complete.html

Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.

«J’ai ressenti un peu de vide dans mon âme» – Ils tuent pour accumuler des points

Cela fait des semaines que Roubik, le nom de guerre d’un pilote de drones ukrainien, traque les moindres mouvements d’un soldat russe. S’il le tue, il gagnera au moins six points.

ceb8a3aa-0492-4b18-a46e-14f5ac7f1411-image.png
Un pilote de drone portant l’indicatif Rubik, âgé de 22 ans, appartenant à la compagnie de reconnaissance « Only Wars » du 3e corps d’armée ukrainien, contrôle un drone FPV lors d’un vol d’entraînement dans un lieu tenu secret, dans l’est de l’Ukraine, le 12 août 2025.

Une fois accumulés, ils permettront à sa brigade de reconstituer ses stocks de drones, grâce à un nouveau système tout droit sorti de l’univers des jeux vidéo.

«C’est l’infanterie qui rapporte le plus de points. Donc, tout le monde se concentre sur la destruction de ses effectifs», reprend Roubik, 22 ans, rencontré par l’AFP sur les lieux d’une école détruite dans l’est de l’Ukraine, utilisée par son groupe de reconnaissance du 3e corps d’armée.

Le marché où sont dépensés les points, appelé Brave1, est une initiative du ministère ukrainien de la transformation numérique. Ses créateurs l’ont surnommé «le premier Amazon militaire au monde», car il permet aux brigades de choisir les armes qu’elles veulent – et même de laisser des avis, comme sur le célèbre site d’achats en ligne.

«Une décentralisation complète»

Ce programme de points, lancé en août 2024, permet depuis quelques semaines de choisir des drones, dont le prix varie entre deux et plusieurs dizaines de points, suivant les modèles. «C’est une décentralisation complète», affirme à l’AFP le directeur de la plateforme, Andriï Hrytseniouk.

Pour lui, Brave1 encourage une «saine compétition» entre les unités de dronistes et pousse les entreprises à produire les meilleures armes possibles. De nombreux soldats qui combattent aux côtés de Roubik sont, comme lui, issus d’une génération qui a grandi un smartphone à la main et les yeux rivés sur des jeux vidéo.

Cela en fait des candidats parfaits pour le pilotage de drones, qui partage certains des codes du «gaming».

Ces petits engins volants souvent bon marché, qui s’écrasent sur leurs cibles ou larguent des explosifs, sont incontournables sur le front ukrainien, une révolution qui transforme la façon dont les armées combattent.

Quand leurs pilotes, qui dirigent leur drone à l’aide de manettes via un écran, téléchargent les preuves de leurs attaques réussies sur Brave1, elles sont vérifiées par la plateforme puis tout cela est converti en points.

Rigidités soviétiques

Le programme s’inscrit dans une tendance plus globale, celle où la technologie influence la façon de faire la guerre, explique Matthew Ford, un expert de l’université suédoise de défense.

Le ministère ukrainien de la transformation numérique, qui supervise l’initiative, tente de moderniser l’armée nationale, critiquée pour ses rigidités héritées de l’époque soviétique. Avec Brave1, les coordinateurs peuvent augmenter le nombre des points correspondant à chaque cible russe, en fonction des principales menaces dans chaque zone du front.

Mais le programme n’a pas pour but de remplacer les commandes d’armement centralisées, ni de contourner les ordres de la hiérarchie militaire, selon les soldats. «Notre mission est toujours la priorité, pas les points ou les classements», dit un officier du régiment Achilles, qui se fait appeler Foma.

Les brigades ukrainiennes ont beau servir sous le même commandement, elles cultivent leur identité propre pour attirer les meilleures recrues et les financements. Brave1 alimente cette compétition en publiant chaque mois un classement des dix unités ayant obtenu les meilleurs scores.

«Un peu gênant»

«Lafayette», un pilote de drones au sein d’Achilles, explique avoir été extrêmement fier de voir le nom de son régiment dans le dernier classement en date. Mais cet homme de 37 ans, qui travaillait dans l’informatique avant le début de la guerre, comprend que ce mélange entre jeux et guerre puisse mettre mal à l’aise.

«Quand j’essaie de me remettre dans la peau d’un civil et d’y réfléchir, c’est un peu gênant», admet-il. Mais les pilotes sont aussi les premiers témoins des horreurs du champ de bataille, où les drones sont responsables de la plupart des pertes humaines.

Roubik, qui traquait un soldat russe, explique avoir tout entendu des détails de sa vie personnelle en surveillant les transmissions radiophoniques. Finalement, «on l’a tué», dit-il. «J’ai ressenti un peu de vide dans mon âme».

Mais Roubik assure avoir gardé à l’esprit l’enjeu de cette guerre pour son pays et les points que l’attaque fournirait à son unité. «Si les gens étaient à notre place, ils comprendraient de quoi il s’agit. Notre pays est en guerre. Il ne peut y avoir aucune pitié».

Source: https://www.bluewin.ch/fr/infos/faits-divers/en-ukraine-des-soldats-tuent-pour-accumuler-des-points-2856788.html

@Pluton9 Elle n’a pas dit quand :lol: Je vais persévérer…

Ha XP et I Love You, oui c’était vraiment une grande histoire d’amour ^^

En bref :

– Guccifer 2.0, prétendant être un hacker roumain, a revendiqué le piratage du Comité national démocrate (DNC) en 2016. Cependant, il a été révélé que l’attaque provenait en réalité du GRU russe, une unité de renseignement militaire.

– L’attaque a été facilitée par une erreur humaine : un technicien de la campagne d’Hillary Clinton a mal interprété un email de phishing, permettant ainsi aux hackers d’obtenir un accès non autorisé aux systèmes du DNC.

– L’affaire a mis en lumière les vulnérabilités des campagnes politiques face aux cyberattaques et a souligné l’importance de la cybersécurité dans les processus démocratiques.

Vous croyez qu’un agent secret russe du GRU peut oublier d’allumer son VPN comme votre grand-père oublie ses lunettes ? Bah oui, ça peut arriver et c’est exactement comme ça qu’on a chopé Guccifer 2.0. Une seule fois, un seul petit oubli, et voilà… adresse IP tracée direct au siège du renseignement militaire russe sur Grizodubovoy Street à Moscou. Pas très discret pour un espion censé manipuler une élection présidentielle américaine…

L’histoire de Guccifer 2.0, c’est un mélange fascinant entre James Bond et Mr. Bean. D’un côté, on a une opération de cyberespionnage d’une sophistication redoutable orchestrée par deux unités d’élite du GRU qui a réussi à pirater le Comité national démocrate américain et à exfiltrer plus de 70 Go de données. Et de l’autre, une succession de bourdes techniques tellement grossières qu’on se demande comment ces gars-là ont eu leur diplôme d’espion.

Bref, toute cette histoire est un bon gros délire, vous allez voir.

Commençons par le commencement. En 2013, un hacker roumain du nom de Marcel Lehel Lazar s’était fait une petite réputation sous le pseudonyme de “Guccifer”. Ce chauffeur de taxi au chômage de 40 ans avait réussi à pirater les comptes emails de célébrités et d’hommes politiques américains, dont Sidney Blumenthal, un conseiller d’Hillary Clinton.

Sa technique ? Rien de très sophistiqué… il trouvait des infos personnelles sur ses cibles sur Facebook et devinait leurs questions de sécurité. Basique mais efficace. Il avait même publié des autoportraits de George W. Bush pris sous la douche, c’est dire !

Alors quand le 15 juin 2016, quelques heures seulement après que le Washington Post révèle que des hackers russes avaient infiltré le DNC, un nouveau personnage débarque sur WordPress.com en se faisant appeler “Guccifer 2.0”. Notre mystérieux Guccifer 2.0 sort de nulle part pour revendiquer le hack. “Non non, c’est pas les Russes, c’est moi, un hacker roumain solitaire qui veut dénoncer l’Illuminati !”

Sympa l’hommage au Guccifer original, mais il y avait juste un petit problème : Marcel Lazar était en taule fédérale aux États-Unis à ce moment-là, condamné à 52 mois de prison. Dur de pirater quoi que ce soit depuis sa cellule. Mais bon, les détails, hein. Et puis franchement, le timing était trop parfait… quelques heures après l’article du Washington Post ? Sérieusement ?

– L’email de phishing reçu par John Podesta

L’affaire commence donc vraiment le 19 mars 2016 quand John Podesta, le directeur de campagne d’Hillary Clinton, reçoit un email qui ressemble à une alerte de sécurité Google. Vous savez, le genre de truc qu’on reçoit tous et qu’on ignore généralement. L’email avait pour objet “Someone has your password” et prétendait qu’une tentative de connexion avait eu lieu depuis l’Ukraine. Sauf que cette fois, c’était du spear-phishing de compétition, orchestré par l’unité 74455 du GRU russe (aussi connue sous le nom de Main Center for Special Technology).

Et là, c’est le drame. L’assistant de Podesta transfère l’email au support IT de la campagne. Un technicien répond avec une faute de frappe monumentale : au lieu d’écrire “This is an illegitimate email”, il tape “This is a legitimate email”. Oups ! L’assistant de Podesta, suivant les instructions, clique sur le lien malveillant via Bitly et saisit les identifiants. Et c’est terminé ! Le lien a même été cliqué deux fois. Les Russes venaient de s’offrir un accès VIP aux coulisses de la campagne Clinton.

Pendant ce temps, deux groupes de hackers russes, surnommés “Fancy Bear” (APT28, unité 26165 du GRU) et “Cozy Bear” (APT29, probablement le SVR) par les experts en cybersécurité, s’amusaient déjà dans les serveurs du DNC depuis 2015. L’unité 26165, basée au 20 Komsomolskiy Prospekt à Moscou et dirigée par Viktor Netyksho, s’était même payé le luxe d’installer des keyloggers et de prendre des captures d’écran des ordinateurs des employés. Au total, ils ont exfiltré plus de 70 Go de données du DNC et 300 Go des serveurs de la campagne Clinton. Y’a pas à dire, ils sont forts chez les Russes !

– Les locaux du GRU à Moscou

Mais voilà, pirater c’est bien, mais il faut aussi savoir valoriser sa marchandise. Et c’est là qu’intervient notre star, Guccifer 2.0, géré par l’unité 74455 basée au 22 Kirova Street à Khimki (dans un bâtiment que les agents du GRU appellent “la Tour”) et dirigée par Aleksandr Osadchuk.

Le 15 juin 2016, Guccifer 2.0 fait donc son grand débarquement avec un post de blog sur WordPress dans lequel il se présente comme un hacker roumain patriote qui a agi seul pour “exposer la corruption”. Il balance même quelques documents du DNC pour prouver sa bonne foi, dont un dossier d’opposition research de 200 pages sur Donald Trump qu’il envoie à Gawker et The Smoking Gun.

– Le message de Guccifer 2 sur son Wordpress

Le problème, c’est que personne n’y croit. Déjà, le timing est trop parfait, et puis surtout, quand les journalistes de Motherboard commencent à creuser, ça sent le roussi à plein nez.

L’interview qui a tout fait capoter, c’est celle de Lorenzo Franceschi-Bicchierai en juin 2016. Le journaliste demande à Guccifer 2.0 de répondre en roumain, histoire de vérifier ses origines. Et là, c’est la catastrophe totale ! Notre prétendu Roumain sort un charabia qui ressemble plus à du Google Translate qu’à du roumain natif. Il utilise des mots comme “filigran” pour “watermark”, une traduction littérale que seul un non-Roumain utiliserait. Les vrais Roumains disent “filigram” !

Pire encore, après quelques échanges laborieux où il écrit des trucs du genre “Îmi pare rău” (désolé) avec une grammaire bancale, Guccifer 2.0 refuse de continuer en roumain sous prétexte qu’il ne veut pas “perdre son temps”. Vraiment très convaincant pour quelqu’un qui prétend être né à Bucarest.

Mais les vrais clous du cercueil, ce sont les détails techniques. Parce que nos espions russes, aussi doués soient-ils pour pirater des serveurs, ont visiblement séché les cours de nettoyage de métadonnées.

– Premier indice : Les documents publiés par Guccifer 2.0 contenaient des métadonnées en cyrillique, notamment un utilisateur nommé “Феликс Эдмундович” (Felix Edmundovich en alphabet russe). Pour ceux qui ne captent pas la référence, Felix Edmundovich Dzerzhinsky, c’est le fondateur de la Tcheka en 1917, c’est à dire l’ancêtre du KGB. Autant signer ses documents “Agent 007” directement. Le plus beau là-dedans, c’est qu’un autre document avait aussi “Che Guevara” dans les métadonnées… ils sont forts pour la discrétion !

– Deuxième indice : Les liens cassés dans les documents généraient des messages d’erreur… en russe. Les documents montraient clairement qu’ils avaient été édités sur une version russe de Microsoft Word. Quelle coïncidence troublante pour un hacker roumain ! Des messages comme “Ошибка! Недопустимый объект гиперссылки” (Erreur ! Objet de lien hypertexte invalide) apparaissaient dans les docs.

– Troisième indice : L’analyse linguistique de Shlomo Engelson-Argamon de l’Illinois Institute of Technology a montré que Guccifer 2.0 était “très probablement un Russe prétendant être Roumain” car son anglais présentait des structures syntaxiques typiquement russes, sans les articles définis et indéfinis qu’un Roumain natif utiliserait naturellement. Par exemple, il écrivait “I hacked server” au lieu de “I hacked the server”.

Mais la gaffe monumentale, celle qui a permis aux enquêteurs américains d’identifier précisément qui se cachait derrière Guccifer 2.0, c’est l’oubli du VPN. Un jour de mars 2018, probablement pressé ou distrait (ou après une vodka de trop ?), l’agent du GRU a oublié d’activer son client VPN avant de se connecter à un réseau social américain.

Résultat, une adresse IP bien réelle, tracée directement au quartier général du GRU sur Grizodubovoy Street à Moscou. Les enquêteurs américains ont pu alors identifier un officier particulier du GRU travaillant depuis le siège de l’agence. D’après les sources, l’IP provenait d’un bâtiment du GRU situé dans le district de Khoroshevsky à Moscou.

C’est ce genre d’erreur qui vous fait passer de “super-espion international” à “stagiaire qui a foiré son stage” en une fraction de seconde. J’imagine pas la tête du chef quand il a appris ça au briefing du matin. “Alors, Dimitri, tu peux m’expliquer comment tu as oublié le VPN ?” Bref, du grand art !

– L’emblème du GRU

L’histoire devient encore plus croustillante quand on découvre les liens entre Guccifer 2.0, WikiLeaks et Roger Stone, le conseiller de Trump aux tatouages de Nixon dans le dos. Le 22 juin 2016, WikiLeaks contacte directement Guccifer 2.0 sur Twitter :

Salut ! Vous pourriez nous envoyer tout nouveau document ici pour un impact plus important que ce que vous pourriez avoir. Plus de gens vous suivront.

Et effectivement, le 18 juillet, WikiLeaks confirme avoir reçu “les archives d’environ 1 Go” et annonce qu’ils vont tout publier cette semaine-là. Le 22 juillet 2016, pile avant la Convention nationale démocrate, WikiLeaks balance alros près de 20 000 emails du DNC. Timing parfait, encore une fois !

Côté Roger Stone, l’histoire est encore plus dingue car entre août et septembre 2016, Stone et Guccifer 2.0 échangent plusieurs messages privés sur Twitter. Le 15 août, Guccifer 2.0 demande :

do you find anything interesting in the docs i posted?

puis le 17 août :

please tell me if i can help u anyhow.

Stone leur envoie même un article qu’il a écrit sur la manipulation des machines à voter.

Puis le 21 août 2016, Stone tweete :

Trust me, it will soon be Podesta’s time in the barrel
(Croyez-moi, ce sera bientôt le tour de Podesta d’être dans le pétrin).

Le problème, c’est qu’à cette date, personne ne savait publiquement que les emails de Podesta avaient été piratés. WikiLeaks ne les publiera qu’en octobre. Donc soit Stone est voyant, soit il était au courant de quelque chose.

Stone prétendra plus tard qu’il parlait d’un article à venir sur les liens entre John et Tony Podesta. Il niera d’abord tout contact avec Guccifer 2.0, puis qualifiera les échanges de “parfaitement anodins” quand The Smoking Gun les publiera en mars 2017. Il dira même que ses déclarations sur Julian Assange étaient “une blague” pour raccrocher au nez de Sam Nunberg. Ouin !

– Robert Mueller, procureur spécial qui a mené l’enquête sur l’ingérence russe

L’enquête de Robert Mueller a alors fini par démanteler toute l’opération et le 13 juillet 2018, le Département de la Justice américain inculpe 12 officiers du renseignement militaire russe et révèle officiellement que Guccifer 2.0 était une identité utilisée par le GRU. C’est pourquoi on peut maintenant raconter toute cette histoire avec certitude.

– Les 12 agents appartenaient à deux unités distinctes :

L’unité 26165 (Fancy Bear/APT28) : spécialisée dans l’infiltration et le vol de données, basée au 20 Komsomolskiy Prospekt, dirigée par Viktor Netyksho L’unité 74455 : chargée de la diffusion et de la manipulation des informations volées via DCLeaks et Guccifer 2.0, basée dans “la Tour” au 22 Kirova Street à Khimki, dirigée par Aleksandr Osadchuk

L’acte d’accusation détaille tout : les techniques de spear-phishing utilisées, les serveurs loués en Malaisie et en Illinois, les bitcoins minés pour payer l’infrastructure (ils avaient même une opération de minage !), et même les noms de code des opérations. L’unité 74455 avait aussi piraté les systèmes électoraux de l’Illinois, volant les données de 500 000 électeurs incluant noms, adresses, numéros de sécurité sociale partiels et permis de conduire. D’après les enquêteurs américains, c’est du travail d’orfèvre.

Selon les sources proches de l’enquête, au moins deux personnes se cachaient derrière l’identité Guccifer 2.0. Après un début chaotique avec le fameux “Roumain” qui ne parlait pas roumain, l’opération a été confiée à un officier du GRU plus expérimenté. D’ailleurs, les derniers posts de Guccifer 2.0 en janvier 2017 montrent une maîtrise de l’anglais bien supérieure aux premiers. Comme si quelqu’un avait dit “Ok, on arrête les conneries, je reprends le dossier”.

L’affaire Guccifer 2.0 a vraiment marqué un tournant dans la guerre informatique moderne car pour la première fois, une opération d’influence cyber de cette ampleur était documentée dans ses moindres détails, avec noms, prénoms, adresses et même les heures de connexion des responsables. Les métadonnées, c’est vraiment la plaie des espions modernes !

L’impact sur l’élection de 2016 est très difficile à quantifier, mais les 58 000 emails de Podesta publiés par WikiLeaks entre octobre et novembre 2016 ont indéniablement nui à la campagne Clinton. Ils révélaient des détails embarrassants sur les coulisses de la campagne, les discours payés à Wall Street (225 000$ chez Goldman Sachs !), et même le fait que Donna Brazile de CNN avait transmis les questions de débat à l’avance.

Et côté relations internationales, l’affaire a entraîné l’expulsion de 35 diplomates russes en décembre 2016, de nouvelles sanctions économiques, et la fermeture de deux complexes diplomatiques russes aux États-Unis. Elle a aussi poussé les pays occidentaux à repenser leur approche de la cybersécurité et de la désinformation. L’OTAN a également créé un centre d’excellence en cyberdéfense à Tallinn, et l’UE a mis en place une task force contre la désinformation russe.

– Au final, Guccifer 2.0 restera comme un cas d’école de ce qu’il ne faut pas faire en matière de sécurité opérationnelle. Malgré des moyens considérables et une planification sophistiquée, l’opération a échoué à maintenir sa couverture à cause d’erreurs basiques :

Oubli d’activation du VPN (la bourde ultime qui leur a coûté toute l’opération) Métadonnées compromettantes non nettoyées (Felix Edmundovich, vraiment ?) Couverture linguistique insuffisamment préparée (un Roumain qui ne parle pas roumain…) Références culturelles trop évidentes (nommer ses fichiers d’après le fondateur de la police secrète soviétique, subtil !) Timing trop parfait pour être crédible (quelques heures après l’article du Washington Post ? Allô ?) Utilisation de la même infrastructure que d’autres opérations du GRU (réutilisation des serveurs et des comptes Bitcoin)

Certains experts suggèrent que les métadonnées russes étaient peut-être volontairement laissées, soit comme false flag, soit par arrogance ("on s’en fout, ils ne peuvent rien nous faire"). Mais l’oubli du VPN, ça, c’était clairement pas prévu. Comme quoi, même les meilleurs font des boulettes, et dans le cyberespace, une seule erreur peut tout faire capoter.

Bref, avant de publier des documents volés en vous faisant passer pour un hacker roumain, apprenez le roumain, nettoyez vos métadonnées, et surtout, SURTOUT, n’oubliez pas votre VPN. Sinon vous finirez comme Guccifer 2.0, une légende du fail !

– Sources : Department of Justice - Indictment of 12 Russian GRU Officers (2018), The Daily Beast - Guccifer 2.0 IP Address Revelation, Motherboard - Guccifer 2.0 Romanian Interview, Washington Post - How Russians Hacked the DNC, CBS News - The Podesta Phishing Email, Wikipedia - Guccifer 2.0

https://korben.info/guccifer-2-agent-russe-oubli-vpn.html

Dingue , à l’échelle technologique , c’est l’antiquité mais pas grand chose ne change sur le fond ; les visionnaires voient beaucoup plus loin que le business…encore…!!

Pourquoi ne pas réaliser un film comme Tetris (2023) et ou The Social Network (2010) ? Je suis sur que ça pourrait être bien sympa.

Merci pour les articles l’ami 😉