@Psyckofox a dit dans L'intelligence artificielle va-t-elle tuer internet ? :

@Violence a dit dans L'intelligence artificielle va-t-elle tuer internet ? :

Moi par contre j’aime bien répondre à ses trolls de temps à autre avec l’IA et les voir se faire défoncer par un bot…

Façon IA VS IA comme dans Street Fighter ou Tekken

C’est à peu près ça ^^
Tellement peu satisfaisant mais hilarant

@Popaul a dit dans Nestlé/Perrier à planté des arbres, pas pour l'écologie ou le greenwashing, mais pour cacher sa pollution :

Durant ma jeunesse j’entendais que Nestlé grandissait et j’en étais fier because"Hop Suisse" …

Moi ça m’évoquait plutôt :
“Nestlé c’est fort en chocolat”…à part ça et au vu de l’actualité en ce qui concerne la marque, qui est plutôt catastrophique…ça a tué un mythe (ils se sont mis tous seul comme des grands… l’appât du gain) et mon rêve d’enfant et le “Nestlé c’est fort en chocolat”

@Aurel Pas une bonne idée :

D’abord, la dette publique dépasse plus de 3 000 Md€. Ainsi, même une cession totale, valorisée entre 150 et 180 Md€, ne couvrirait qu’une part réduite. En revanche, elle affaiblirait un actif de confiance en cas de choc.

Ensuite, vendre l’or crée une contrepartie monétaire à gérer. La banque centrale devrait stériliser ou ajuster son bilan. Par conséquent, l’impact budgétaire direct resterait encadré et incertain.

Par ailleurs, l’or ancre la crédibilité financière. Il offre un coussin dans les périodes de stress.
Une réduction massive serait un signal délicat à envoyer aux marchés.

Ensuite ces actifs stratégiques appartiennent à la Banque de France, membre de l’Eurosystème.
Par ailleurs, la banque centrale est indépendante dans la gestion de son bilan.
Cette structure protège l’intérêt monétaire du pays sur le long terme.
Enfin les traités de cette "cher " Europe encadrent strictement la question :
L’article 123 TFUE interdit de financer directement les déficits publics par la banque centrale.

[image: 1760693002910-0d86ff59-000c-47ec-a45a-3f14d34ed36e-10ea3ef9-b96e-4e4c-8095-3e27e4ff6134-live-long-amp-prosper.jpg] 

@RussianFighter Titre incomplet, désolé, je corrige.

Début 2025, des méga-feux se sont abattus sur Los Angeles, favorisés par la sécheresse des mois précédents et par un épisode de vents particulièrement violents.

Alors que la région est affligée par des « méga-sécheresses » (des épisodes d’aridité de plus de trente ans), l’État de Californie vient de passer une série de lois visant à encadrer l’usage de l’eau. Seul domaine épargné, relève le Los Angeles Times : celui des centres de données.

Parmi les textes adoptés par le gouverneur Newsom, l’obligation d’accentuer l’usage d’eau recyclée, pour faire face aux sécheresses, celle de déployer des objectifs de long terme (15 ans) dans la gestion des ressources en eau pour le département dédié de l’État, ou encore de nouvelles protections pour les petits exploitants.

Le projet d’obliger les centres de données à diffuser des données sur leur consommation d’eau, en revanche, n’a pas été signé par le gouverneur.

[image: Datacenter-shift-1024x496.webp]

Un veto qu’il explique (.pdf) par l’explosion de l’intelligence artificielle, dont le fonctionnement entraîne une « demande sans précédent de capacités de centres de données dans tout le pays ».

Gavin Newsom se déclare « réticent à imposer des exigences rigides en termes de rapports sur les détails opérationnels » du secteur des centres de données, alors que la Californie est un « centre mondial du secteur technologique », bien placée pour « soutenir le développement de l’infrastructure » nécessaire à l’IA.

À l’hiver 2025, le rôle de l’industrie des centres de données dans la consommation de l’eau dans plusieurs États arides des États-Unis avait suscité des débats.

Quelques mois plus tard, Bloomberg démontrait que les deux tiers des bâtiments en construction depuis 2022 l’étaient dans des lieux en situation de stress hydrique. Une tendance similaire à ce qui est observé à l’échelle de la planète.

Source : next.ink

[image: phantom-taurus-espionnage-chinois-gouvernements-1.png]

En bref :
(Résumé généré automatiquement par IA)

– Pendant que Xi Jinping souriait aux diplomates arabes, ses hackers lisaient déjà leurs emails secrets en temps réel.

– Ce groupe chinois fantôme a espionné vos gouvernements pendant 3 ans sans que personne ne s’en aperçoive.

– L’Union Africaine découvre des micros cachés dans ses murs après 5 ans de surveillance nocturne par la Chine.

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

[image: phantom-taurus-espionnage-chinois-gouvernements-2.png]

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

[image: phantom-taurus-espionnage-chinois-gouvernements-3.png]

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

[image: phantom-taurus-espionnage-chinois-gouvernements-4.png]

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

[image: phantom-taurus-espionnage-chinois-gouvernements-5.png]

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

– Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

https://korben.info/phantom-taurus-espionnage-chinois-gouvernements.html

En effet, il y a des “parasites” partout, peu importe le grade.

En fait c’est un peu comme si on demandais à ma responsable informatique de me faire un déploiement de machines.
A mon sens, c’est plutôt un prétexte pour restructuration, changements de postes et/ou virer les gens.

Voilà, pas plus …
[image: giphy.gif]

Moi je vis dans une monarchie ducale constitutionnelle bananière et c’est pô drôle - alors la France

Les résultats portent un nouveau coup aux règles d’étiquetage des calories en Angleterre.

Lorsque les restaurants sont obligés d’ajouter des étiquettes de calories à leurs menus, on pourrait penser qu’ils essaieraient de rendre leurs plats un peu plus sains – mais ils ne le font généralement pas, selon une nouvelle étude en Angleterre.

En 2022, l’Angleterre a commencé à exiger que ses grands restaurants, pubs, cafés et fast-foods incluent des étiquettes de calories sur leurs menus, dans le but d’inciter les gens à choisir des options plus saines.

Mais ces étiquettes ne semblent pas avoir fait une grande différence. En moyenne, le nombre de calories des menus a diminué d’environ 2 % après la mise en œuvre de cette politique, selon l’étude publiée dans la revue BMJ Public Health.

Cela se traduit par un « impact modeste à limité sur la santé de la population », ont conclu les chercheurs des universités du Royaume-Uni.

Les résultats portent un nouveau coup aux règles d’étiquetage des calories, que les défenseurs avaient salué comme une étape bienvenue pour lutter contre l’obésité. L’année dernière, une autre étude a révélé que les Anglais ont à peine changé leurs habitudes après l’adoption de la politique, consommant un nombre comparable de calories à l’extérieur.

Prendre fréquemment des repas à l’extérieur est lié à l’obésité, qui augmente le risque de diabète de type 2, de maladies cardiaques et de plusieurs cancers.

Les chercheurs avaient supposé que les étiquettes de calories pourraient inciter les restaurants à adopter une approche de « santé en catimini » en réduisant progressivement la quantité de sucre et de sel dans leurs aliments sans que leurs clients ne s’en aperçoivent.

La nouvelle étude, qui a inclus plus de 31 000 articles de menu provenant de 78 chaînes avant et après la mise en place de la politique, a prouvé que cette hypothèse était erronée.

En ne regardant que les aliments vendus avant et après l’entrée en vigueur de la politique, le nombre de calories est resté relativement stable. Cependant, il y a eu une réduction notable des calories pour les boissons gazeuses, les boissons non alcoolisées et les hamburgers.

Il y avait également des différences selon le type d’établissement. Les lieux de sport et de divertissement ont enregistré la plus grande baisse de calories (13,5 %), suivis par les pubs (9 %) et les restaurants (5 %).

Cela s’explique en grande partie par le retrait de certains aliments et boissons riches en calories de leurs menus, et l’ajout d’options moins caloriques – bien que pas suffisamment pour faire une différence significative dans l’ensemble.

« Nous avons trouvé plus de preuves de changements de menu que de reformulation, avec des articles retirés des menus ayant une énergie plus élevée que les articles continus », ont déclaré les chercheurs.

Ils ont déclaré que c’est pourquoi les politiques d’étiquetage des calories peuvent être moins efficaces que, par exemple, la taxe sur les boissons sucrées du Royaume-Uni, qui a incité les fabricants à modifier leurs recettes et à réduire la teneur en sucre.

Les derniers résultats surviennent alors que l’Angleterre et le Royaume-Uni en général sont confrontés à une épidémie croissante d’obésité. On estime que 26,5 % des adultes en Angleterre sont obèses, reflétant une « tendance à la hausse » par rapport à il y a dix ans, selon les données de santé nationales.

Parallèlement, parmi les personnes âgées de 16 ans et plus, seulement 31,3 % déclarent manger au moins cinq portions de fruits et légumes par jour.

Le gouvernement britannique affirme que si sa population réduisait de seulement 50 calories par jour, cela pourrait sortir 2 millions d’adultes et 340 000 enfants de l’obésité.

Source: https://fr.euronews.com/sante/2025/10/09/les-regles-sur-letiquetage-des-calories-dans-les-menus-nincitent-pas-les-restaurants-a-cha

Il ne me semble pas non plus que la campagne “Fumer, Tue”, aie produit beaucoup d’effets.

@Violence Je médite planifie une escroquerie dans ce beau pays

Sans me casser le cul, merci chatgpt.

@michmich
Absolument d’accord avec toi, l’Europe traine trop par rapport à la situation.

Ce forum est un réseau social hein ?
Du coup, on attend les post “récompenses” de violence et toi…
ça va être dur de faire du profit hein !

AAAHHHHhhhhh j’ai compris !!!
C’est le topic darkiworld !

[edit]
Sinon, j’aime bien cette chaine “ethique et tac” qui va te prendre une partie d’une interview / conférence pour mettre en exergue un sujet en particulier.

@duJambon a dit dans Voici les principales arnaques à la cryptomonnaie à éviter :

«Dépeçage de cochon»

Ils payeront pour ça, non mais ho, total soutien.

https://coinmarketcap.com/fr/currencies/pig-finance/

Réponse classique…

L’Obamacare, n’est pas vraiment la Sécu.
C’est une rustine sur un système privé, une réforme partielle du système US, qui garde une base privée : assureurs privés obligés de couvrir, subventions publiques, élargissement de Medicaid.

À l’époque, beaucoup d’Américains y étaient en effet opposés… Mais il faut se demander pourquoi. Et surtout c’était il y a plus de 10 ans.
C’était surtout parce qu’on leur racontait que c’était du “communisme médical” et en particulier de campagnes massives de désinformation.

– Résultat aujourd’hui soit un peu plus de 10 ans après : une majorité ne veut plus y toucher, et le débat là-bas porte carrément sur un vrai système public de type “Medicare for all”.

Donc ton grand argument, c’est de citer… le seul pays développé qui n’a toujours pas de sécu universelle ? Les États-Unis sont un contre-exemple, pas un modèle : là-bas, un cancer peut te coûter ta maison. Pas étonnant qu’une majorité d’Américains réclament aujourd’hui l’extension d’Obamacare ou un vrai “Medicare for all”.

Mais revenons en au point de départ : en Europe et dans le monde développé, la protection sociale existe presque partout.

@michmich a dit dans Règles/sécurité des IA = facile à contourner ? :

Pour contourner une I.A. il suffit de réfléchir!

[image: malynx-malinx.gif]

@duJambon ils sont plutôt BDSM ?

Technologiquement on sait faire tout ça, y compris en France (voir les start-up Dioxycle, Elyse Energy, Fermentalg, pour ne citer qu’elles) ou à l’échelle internationale LanzaTech, ou Twelve. Le problème est plutôt d’ordre économique me semble t-il (tant qu’il y a des subventions cela fonctionne…)

Après, si j’osais, je relèverais le fait que la Chine n’est pas, en la matière (volonté de décarbonation), le meilleur élève mondial, loin de là

@PouetPouet oui c’est bien pour un an complet, jour pour jour, je l’utilise depuis des années

c’est juste que c’est le marché gris, ce sont des licences destinées à se retrouver utilisées dans un autre pays

[image: thomas-dullien-halvar-flake-reverse-engineering-1.png]

En bref :

– Mathématicien converti au reverse engineering, Thomas Dullien alias Halvar Flake a révolutionné le domaine avec BinDiff, un outil graphique de comparaison de binaires

– Fondateur de zynamics, primé en 2006, acquis par Google en 2011, il découvre le Rowhammer, une faille hardware majeure exploitée depuis le navigateur. Un véritable coup de tonnerre dans la sécurité.

– Aujourd’hui, il continue d’innover : après Google, il co-fonde Optimyze (racheté par Elastic), puis devient Venture Partner chez eCAPITAL, alliant performance logicielle et investissements stratégiques.

Pour ce dernier article de ma série de l’été, je vais vous raconter l’histoire d’un type absolument génial que vous ne connaissez peut-être pas mais qui, lui aussi, a mis sa pierre à l’édifice de la sécurité informatique. Thomas Dullien, plus connu sous le pseudo “Halvar Flake”, c’est un peu le MacGyver du reverse engineering, sauf qu’au lieu de désamorcer des bombes avec un trombone, il désamorce des malwares avec des graphes mathématiques.

Ce gars est surtout à l’origine de BinDiff , un outil légendaire capable de comparer des binaires, très utile par exemple pour comprendre ce que Microsoft a patché dans une mise à jour de sécurité. Cet outil peut vous sortir une analyse graphique qui vous montre exactement où se trouvent les différences entre l’ancienne et la nouvelle version. À l’époque, en 2005, cet outil c’était comme avoir des super-pouvoirs.

Mais commençons par le début. Thomas Dullien, c’est un mathématicien allemand qui a grandi à une époque où Internet commençait tout juste à exploser. Le gars était destiné à devenir avocat, mais à la dernière minute, il change d’avis et s’inscrit en maths à l’Université de Bochum. Best decision ever, comme on dit. Il finit par obtenir son Master en mathématiques en 2008, après avoir commencé un doctorat qu’il abandonne pour se concentrer sur son entreprise.

Son pseudo “Halvar Flake” vient d’un personnage de dessin animé. C’est le chef d’un village viking dans la série télé “Vicky le Viking”. Et l’anecdote est géniale quand il l’explique :

J’étais petit, gros, j’avais des cheveux longs, et je buvais beaucoup de bière, alors les gens m’appelaient Halvar,

raconte-t-il avec humour. Bon, aujourd’hui le nom est resté même si la description ne colle plus vraiment !

[image: thomas-dullien-halvar-flake-reverse-engineering-1.webp]

Dans les années 90, alors qu’il est encore adolescent, Thomas commence à s’intéresser au reverse engineering et à la gestion des droits numériques (DRM). À l’époque, c’est le Far West total. Les protections logicielles sont simplistes, les entreprises pensent que leur code est impénétrable, et de petits génies comme lui s’amusent à démonter tout ça pièce par pièce. Il écrit même son premier fuzzer à 19 ans, mais refuse de l’utiliser lui-même par fierté… en vrai il préfère trouver les bugs en lisant le code ! Des années plus tard, il admettra que c’était stupide et que le fuzzing est quand même une technique incroyablement efficace.

En 2000, à seulement 19-20 ans, il fait alors sa première présentation à Black Hat Amsterdam sur “Auditing binaries for security vulnerabilities”. En réalité, il voulait rencontrer un pote du Sri Lanka mais aucun des deux n’avait les moyens de payer le billet d’avion alors ils ont décidé de faire une présentation à la même conférence. C’est donc comme ça qu’il commence sa carrière de formateur en reverse engineering… une carrière qui durera plus de 20 ans.

Pendant les années qui suivent, Halvar devient alors LA référence en matière de reverse engineering. Il développe des techniques révolutionnaires comme l’exploitation des tas Windows ( heap exploitation ), le patch diffing (comparer des versions patchées et non patchées de logiciels), et plein d’autres trucs que les chercheurs en sécurité utilisent encore aujourd’hui. Il donne des talks sur l’analyse binaire basée sur les graphes à Blackhat USA 2002, Blackhat Asia 2002, et CanSecWest 2002, où il se plaint déjà qu’IDA Pro ne gère pas bien les fonctions non-contiguës !

Mais son coup de génie, c’est au printemps 2004 quand il fonde SABRE Security, qui deviendra rapidement zynamics. L’idée c’est qu’au lieu de comparer les binaires octet par octet comme tout le monde, il utilise la théorie des graphes. En gros il faut voir ça comme une carte routière avec des intersections (les fonctions) et des routes (les appels entre fonctions). Et chaque programme a la sienne. BinDiff compare alors ces cartes pour trouver les différences.

Cette approche est innovante parce qu’elle fonctionne même si les programmes sont compilés avec des options différentes ou des compilateurs différents. Entre la publication DIMVA de 2004 et début 2005, Rolf Rolles, un autre génie du reverse engineering, contribue au projet avec de nouvelles idées qui améliorent grandement la capacité de BinDiff à matcher les blocs de base.

[image: thomas-dullien-halvar-flake-reverse-engineering-1.gif]

Puis en 2005, ils publient ensemble “Graph-based comparison of executable objects” au SSTIC… une présentation que Thomas donne en français et qu’il décrit comme “la seule présentation de conférence que j’ai jamais donnée en français. Et parce que j’étais terrifié, c’est probablement aussi celle que j’ai le plus répétée de ma vie”.

En 2006, coup de tonnerre : zynamics remporte le prix Horst Görtz, avec une récompense de 100 000 euros, pour leur technologie de classification de malwares. C’est à l’époque le plus gros prix privé en sciences naturelles d’Allemagne ! Ce prix récompense leur travail sur la similarité de code basée sur les graphes et cet argent leur permet de rester indépendants sans avoir besoin de capital-risque. “Le capital-risque était trop restrictif”, explique Thomas, qui finissait alors son Master tout en dirigeant l’entreprise.

L’entreprise grandit alors jusqu’à une douzaine d’employés, tous des ninjas du reverse engineering. Ils développent non seulement BinDiff, mais aussi BinNavi (essentiellement un IDE pour le reverse engineering centré sur la visualisation interactive de graphes, l’analyse de couverture et le débogage différentiel) et VxClass , qu’ils décrivent comme “un laboratoire d’analyse antivirus dans une boîte”.

L’impact de BinDiff sur l’industrie est énorme. Le nom devient même un verbe… les gens disent “je vais bindiff ça” pour dire qu’ils vont comparer deux binaires. C’est un peu comme quand on dit “googler”… alors quand votre outil devient un verbe, vous savez que vous avez réussi !

[image: thomas-dullien-halvar-flake-reverse-engineering-1.jpg]
– Thomas Dullien

Mais l’histoire prend un tournant dramatique en juillet 2007. Halvar arrive aux États-Unis pour donner sa formation annuelle à Black Hat Las Vegas, une formation qu’il donne depuis 7 ans sans problème. Mais cette fois, catastrophe, les douanes américaines trouvent ses supports de présentation dans ses bagages et le retiennent pendant 4 heures et demie. “Si vous allez faire du profit en tant que conférencier individuel, vous avez besoin d’un visa différent”, lui disent-ils. Le problème c’est qu’il avait un contrat avec Black Hat Consulting en direct en tant qu’individu, pas en tant que représentant de son entreprise.

L’ironie de la situation c’est que la plupart des participants à ses formations sont des employés du gouvernement américain ! Mais ça ne change rien et ils le renvoient en Allemagne sur le prochain vol. “Vous n’avez aucun droit, parce que techniquement vous n’êtes pas encore dans le pays”, lui ont-ils dit. Le programme d’exemption de visa lui est désormais interdit à vie. La communauté Black Hat est furieuse, mais Thomas reste philosophe… il finit par obtenir un visa business et revient l’année suivante, plus fort que jamais.

VxClass devient alors rapidement le produit phare de zynamics. C’est une infrastructure capable de traiter automatiquement les nouveaux malwares en les classifiant automatiquement en familles en utilisant l’analyse de graphes de flux de contrôle. L’outil peut générer des signatures privées en octets (au format ClamAV) pour toute une famille de malwares. VxClass peut par exemple, à partir de 160 extraits de malwares, les classifier automatiquement comme une seule famille et générer un seul pattern pour trouver chaque variante. Mandiant annonce même l’intégration avec VxClass dans leur logiciel de forensique mémoire Memoryze.

[image: thomas-dullien-halvar-flake-reverse-engineering-2.png]
– Le chevauchement de 2 malwares de la même “famille”

Et en mars 2011, Google rachète zynamics. C’est la consécration ! C’est d’ailleurs probablement VxClass qui intéresse le plus Google dans ce deal, étant donné l’intérêt de l’entreprise pour classifier les malwares et les sites malveillants. Le prix de BinDiff passe alors de plusieurs milliers de dollars à seulement 200 dollars. Google veut démocratiser ces outils de sécurité, et Halvar se retrouve propulsé dans la cour des grands avec le titre de Staff Engineer.

[image: thomas-dullien-halvar-flake-reverse-engineering-1.jpeg]
– Illustration du principe de l’attaque Rowhammer

Chez Google, il travaille d’abord sur l’intégration et le scaling de sa technologie, puis il retourne à la recherche pure et dure et c’est là qu’il tombe sur quelque chose d’absolument dingue : le Rowhammer.

Le Rowhammer avait été découvert en juin 2014 par des chercheurs de Carnegie Mellon et Intel Labs (Yoongu Kim et ses collègues) dans leur papier “Flipping Bits in Memory Without Accessing Them”. Mais là où les académiques voient un problème de fiabilité, Thomas et Mark Seaborn de l’équipe Project Zero de Google voient une faille de sécurité monumentale.

Le Rowhammer, c’est une de ces découvertes qui font dire “mais comment c’est possible ?!”. En gros, imaginez que la mémoire de votre ordinateur est comme un parking avec des places très serrées. Si vous ouvrez et fermez la portière de votre voiture des milliers de fois très rapidement (on appelle ça “marteler” une ligne de mémoire), les vibrations peuvent faire bouger les voitures garées à côté (les bits dans les lignes adjacentes). Plus concrètement, quand on accède sans arrêt à une même zone de la mémoire, ça crée des perturbations électriques qui peuvent modifier les données stockées juste à côté… un peu comme si l’électricité “débordait” sur les zones voisines.

En mars 2015, Thomas et Mark publient alors leur exploit sur le blog de Project Zero. Les contributions techniques de Thomas incluent une méthode pour attaquer la mémoire des deux côtés en même temps (le “double-sided hammering”… imaginez-vous en train de marteler un mur par les deux faces pour le faire céder plus vite) et une technique astucieuse (le “PTE spraying”) pour transformer cette faille en véritable exploit, même s’il admet modestement que Mark a fait 90% du travail.

Ils surnomment même affectueusement le premier ordinateur où l’exploit fonctionne “Flippy the laptop” ! Leur exploit fonctionne donc en utilisant le row hammering pour induire un bit flip (une inversion de bit) dans une entrée de table de pages (PTE) qui la fait pointer vers une page physique contenant une table de pages appartenant cette fois au processus attaquant. Ça donne alors au processus attaquant un accès en lecture-écriture à une de ses propres tables de pages, et donc à toute la mémoire physique. Les chercheurs rapportent des bit flips avec seulement 98 000 activations de lignes !

La présentation de leurs résultats à Black Hat 2015 fait alors l’effet d’une bombe. Hé oui, une faille qui existe dans pratiquement toute la RAM moderne, qui ne peut pas être patchée par du logiciel, et qui peut être exploitée même depuis JavaScript dans un navigateur ! C’est le cauchemar ultime des responsables sécurité. Cette découverte devient alors le point d’origine de toute une famille d’attaques hardware (RowPress, Half-Double, etc.).

En août 2015, Halvar reçoit le Pwnie Award pour l’ensemble de sa carrière. C’est l’Oscar de la sécurité informatique, avec un jury de chercheurs en sécurité renommés qui sélectionne les gagnants. Et ces derniers reçoivent des trophées “My Little Pony” dorés ! À seulement 34 ans, il est alors décrit comme un “gourou du reverse engineering ayant déjà révolutionné le domaine plusieurs fois”.

[image: thomas-dullien-halvar-flake-reverse-engineering-2.webp]
– Le fameux trophée Pwnie Award - un “My Little Pony” doré remis aux légendes de la sécurité informatique

Quoi qu’il en soit, cette découverte du Rowhammer change profondément la vision de Thomas sur l’informatique. Il se passionne pour la physique informatique, c’est-à-dire ce qui se passe réellement dans le processus de fabrication des puces. “C’est le plus grand spectacle sur Terre”, dit-il, et tire plusieurs leçons importantes. La première c’est qu’on a besoin d’une vraie théorie de l’exploitation. Aussi, que le hardware n’est pas correctement analysé pour anticiper tout ce qui pourrait arriver de pire, et enfin que la recherche sur les défauts des puces dus aux variations de fabrication est extrêmement intéressante.

Après un congé sabbatique d’un an, il retourne alors chez Google en 2016 et rejoint Project Zero, l’équipe d’élite qui cherche les failles zero-day. Son travail se concentre sur la découverte automatique de fonctions de bibliothèques liées statiquement dans les binaires et sur des recherches de similarité ultra-efficaces sur d’énormes quantités de code.

Mais en janvier 2019, nouveau virage à 180 degrés. Thomas quitte Google et co-fonde Optimyze. Cette fois, il change complètement de domaine : fini la sécurité, place à la performance et à l’économie du cloud ! Après 20 ans passés à casser des trucs, il décide de les rendre plus efficaces.

L’idée d’Optimyze est géniale puisqu’avec la fin de la loi de Moore et le passage au SaaS/Cloud, l’efficacité logicielle redevient super importante. Leur produit est un profileur continu multi-runtime qui peut s’installer sur des milliers de machines Linux et vous dire exactement où votre flotte dépense ses cycles CPU, jusqu’à la ligne de code, peu importe le langage (C/C++, Java, Ruby, PHP, Perl, Python, etc.). Le tout avec une technologie eBPF qui permet un déploiement sans friction.

Thomas remarque en effet qu’il y a, je cite, “une quantité énorme de calculs inutiles partout”. Avec les coûts du cloud qui explosent et l’attention croissante sur le CO2 et l’efficacité énergétique, aider les entreprises à optimiser leur code devient crucial.

Avec la fin de la loi de Moore et de Dennard scaling, combinée avec le passage au cloud et la transformation digitale continue de la société, l’efficacité computationnelle va recommencer à compter

En octobre 2021, Elastic rachète Optimyze. Leur idée c’est de combiner le profiling continu d’Optimyze avec les capacités d’analyse et de machine learning d’Elastic pour offrir une observabilité unifiée. Thomas devient alors Distinguished Engineer chez Elastic, où il continue à travailler sur l’efficacité à grande échelle.

Début 2024, après avoir intégré Optimyze dans l’écosystème Elastic, Thomas annonce à nouveau qu’il quitte l’entreprise pour prendre une pause prolongée. Il veut se reposer, et se consacrer à sa famille, sa santé et l’écriture. Mais il ne reste pas inactif longtemps puisque depuis 2019, il est aussi Venture Partner chez eCAPITAL, où il se concentre sur les investissements en cybersécurité et technologies climatiques. Enfin, depuis 2025, il dirige avec Gregor Jehle le groupe de projet Engineering au CNSS e.V.

Ces dernières années, on le voit donner des conférences passionnantes. Par exemple à QCon London en mars 2023, où il présente “Adventures in Performance”. Il y explique comment les choix de design des langages impactent les performances. Notamment comment la culture monorepo de Google et la culture “two-pizza team” d’Amazon affectent l’efficacité du code, et pourquoi la variance statistique est l’ennemi.

À ISSTA 2024 en septembre à Vienne, il donne une keynote intitulée “Reasons for the Unreasonable Success of Fuzzing”, où il analyse pourquoi le fuzzing marche si bien alors que théoriquement, ça ne devrait pas. Il raconte notamment comment dans la culture hacker des années 90, le terme “fuzz-tester” était utilisé comme une insulte pour ceux qui ne savaient pas trouver des bugs en lisant le code.

Ce qui est fascinant avec Thomas Dullien, c’est surtout sa capacité à voir les problèmes sous un angle complètement différent. Là où d’autres voient des bugs, il voit des opportunités. Là où d’autres voient de la complexité, il voit de jolis graphes. Là où d’autres voient des problèmes de fiabilité hardware, il voit des failles de sécurité. C’est cette vision unique qui lui a permis de faire progresser ses domaines de prédilection.

Son approche de l’enseignement est aussi unique. Ses formations Black Hat étaient limitées à 18 étudiants maximum, avec des prérequis techniques élevés et aujourd’hui, Thomas continue d’influencer l’industrie. Que ce soit par ses recherches, ses talks, ou les outils qu’il a créés, son impact est partout. BinDiff est maintenant open source et supporte IDA Pro, Binary Ninja et Ghidra. Le Rowhammer a donné naissance à toute une famille d’attaques hardware et les idées d’Optimyze sur l’efficacité logicielle deviennent de plus en plus pertinentes avec la crise climatique.

Voilà l’histoire de Thomas Dullien. C’est l’histoire d’un gars qui a su transformer sa curiosité en innovations. Une chose est sûre, quand Halvar Flake s’intéresse à quelque chose, l’industrie entière devrait y prêter attention. Que ce soit pour casser des trucs, les analyser, ou les rendre plus efficaces, il trouve toujours un angle nouveau que personne n’avait anticipé.

– Sources : Site personnel de Thomas Dullien , Google Project Zero - Exploiting the DRAM rowhammer bug , Black Hat Archives - 2007 US Entry Denial Incident , Silver Bullet Podcast - Interview with Halvar Flake , Elastic acquiert Optimyze , ISSTA 2024 - Keynote on Fuzzing , QCon London 2024 - Adventures in Performance , Heise - Horst Görtz Prize 2006 , Dark Reading - Pwnie Awards 2015 , OffensiveCon - Halvar Flake Biography , eCAPITAL - Thomas Dullien Venture Partner , GitHub - BinDiff Open Source , zynamics - BinDiff , Intel Technology Podcast - Interview with Thomas Dullien , Wikipedia - Row hammer

https://korben.info/thomas-dullien-halvar-flake-reverse-engineering.html