Planète Warez

@Beck49 a dit dans [Dossier] The Grugq : Le gourou de l'OPSEC qui a appris au monde l'art de fermer sa gueule :

Salut,
Merci violence, très intéressant.

No problem @Beck49

Tu peux retrouver tout les autres dossier avec le mot clé : hacking
Il y en a plein d’autres, tous tout aussi intéressants 🙂

👇
https://planete-warez.net/tags/hacking

En bref :

– Licencié après 14 ans chez Pfizer, Troy Hunt se consacre à HIBP et lance une carrière indépendante.

– Sa femme Charlotte gère les opérations d’Have I Been Pwned, qui recense 14,4 milliards de comptes compromis.

– Service éthique et gratuit pour le public, HIBP tourne pour moins de 300 $/mois et est utilisé par des gouvernements et agences.

Alors là, accrochez-vous bien parce que l’histoire de Troy Hunt, c’est un peu comme si Superman décidait de troquer sa cape contre un clavier et de sauver le monde depuis son bureau. Sauf qu’au lieu de voler et de porter des slips par-dessus son pantalon, il tape du code et sauve vos mots de passe compromis. Troy Hunt, c’est le mec qui a créé Have I Been Pwned, ce service gratuit qui vous dit si vos données traînent quelque part sur le dark web. Et croyez-moi, son parcours est complètement dingue !

La première fois que j’ai testé mon email sur son site, j’ai découvert avec horreur que mes données avaient fuité dans je-sais-plus-combien de hacks. Ce jour-là, j’ai réalisé l’ampleur du travail de ce type. Il a créé, à lui tout seul, un service qui aujourd’hui référence plus de 14,4 milliards de comptes compromis dans 845 fuites de données différentes. C’est presque deux fois la population mondiale ! Franchement, c’est du lourd.

– Troy Hunt - Source

Troy Hunt naît en Australie, et contrairement à ce qu’on pourrait penser, ce n’est pas un gamin des plages qui passe son temps à surfer. Non, lui, il préfère démonter des consoles de jeux “pour voir ce qui les fait marcher”. Le geek était déjà là ! Après des années d’itinérance familiale, Troy finit par s’installer sur la Gold Coast australienne, ce paradis ensoleillé où il vit toujours aujourd’hui avec sa femme Charlotte et leurs deux enfants.

– La Gold Coast en Australie, où Troy vit depuis des années*

Le truc dingue avec Troy, c’est qu’à l’université dans les années 90, il veut apprendre le développement web mais son école n’offre aucun cours sur Internet ! Imaginez un peu : le web explose, et les universités australiennes sont encore en mode “Internet ? C’est quoi ce truc ?” Alors Troy fait ce que font tous les vrais passionnés, il apprend tout seul. Et en 1995, alors que le web n’a que quelques années, il construit déjà des applications web professionnelles. Autodidacte niveau super chef !

Pendant ses premières années de carrière, Troy touche à tout. Finance, médias, santé… Il accumule l’expérience comme Mario collecte des pièces. Mais c’est en 2001 que sa vie prend un tournant décisif quand il décroche un job chez Pfizer à Sydney. Oui, Pfizer, le géant pharmaceutique !

Au début, c’est le rêve américain version australienne. Il code, il construit des systèmes, il gère des applications cliniques critiques. Il commence comme simple développeur, mais ses compétences le propulsent rapidement au poste d’architecte logiciel pour toute la région Asie-Pacifique. C’est énorme ! Il supervise des systèmes qui gèrent les essais cliniques, rapportent les effets indésirables, optimisent les opérations dans une quinzaine de pays. Le mec est responsable de l’infrastructure tech d’une des plus grosses boîtes pharma du monde pour toute une région géographique !

Mais voilà le hic… Au fur et à mesure que Troy grimpe les échelons, il s’éloigne de ce qu’il aime vraiment : coder.

Je ne faisais plus de code,

raconte-t-il avec amertume.

J’attendais des autres qu’ils le fassent, et je me sentais déconnecté.

Cette frustration grandit comme une démangeaison qu’on ne peut pas gratter. Il manage des gens au lieu de coder, passe ses journées en réunions au lieu de construire des trucs. Le syndrome classique du développeur devenu manager malgré lui !

Pour compenser, Troy lance des projets perso le soir et les weekends. Il crée son blog troyhunt.com, où il partage ses connaissances sur la sécurité web. En septembre 2011, il lance ASafaWeb (Automated Security Analyser for ASP.NET Websites), un outil précurseur qui analyse automatiquement la sécurité des sites ASP.NET. L’idée lui vient de son taf chez Pfizer : “Je passais un temps fou à tester des trucs basiques puis expliquer pourquoi c’était important aux développeurs.” ASafaWeb automatise tout ça. Génial ! L’outil tournera pendant 7 ans avant d’être mis à la retraite en novembre 2018.

En parallèle, Troy devient l’un des instructeurs stars de Pluralsight avec ses cours sur l’OWASP Top 10 et sa série culte “Hack Yourself First”. Son approche ? Apprendre aux développeurs à penser comme des hackers pour mieux se défendre. Plus de 32 000 personnes suivent ses cours, totalisant 78 000 heures de visionnage ! Pendant que ses collègues de Pfizer regardent Netflix, Troy construit méthodiquement sa réputation dans la cybersécurité. En 2011, il devient même Microsoft MVP (Most Valuable Professional), et sera nommé MVP de l’année la même année !

– Les cours de Troy Hunt sur Pluralsight sont devenus cultes

Le vrai déclic arrive à l’automne 2013. Troy analyse les fuites de données qui se multiplient et remarque un schéma inquiétant : ce sont toujours les mêmes personnes qui se font pirater, souvent avec les mêmes mots de passe pourris. Les victimes n’ont aucune idée qu’elles sont exposées et continuent d’utiliser “password123” partout. C’est la catastrophe !

Et puis arrive le coup de grâce : la fuite Adobe du 3 octobre 2013. Au début, Adobe minimise… “Juste 3 millions de cartes compromises, rien de grave !” Puis ils passent à 38 millions. Mais quand Brian Krebs de KrebsOnSecurity creuse l’affaire, la réalité explose : 153 millions de comptes compromis ! Troy analyse les données et il est horrifié. Non seulement les mots de passe sont mal chiffrés (avec un chiffrement 3DES réversible au lieu d’un hash irréversible), mais Adobe a stocké les indices de mots de passe en clair ! Genre “nom de mon chien + année de naissance”. Les hackers ont tout. C’est un carnage absolu !

Troy réalise alors l’injustice fondamentale de la situation. Les criminels téléchargent des gigas de données volées sur des torrents et analysent tranquillement qui utilise quel mot de passe où. Mais Monsieur et Madame Tout-le-monde ? Ils n’ont aucun moyen de savoir s’ils ont été compromis. C’est complètement déséquilibré !

Alors le 4 décembre 2013, Troy lance Have I Been Pwned. Au début, c’est minuscule… juste 5 fuites indexées (Adobe, Stratfor, Gawker, Yahoo! Voices et Sony Pictures). Mais le concept est brillant dans sa simplicité. Tu entres ton email, le site te dit si tu as été pwned. Point. Pas de pub, pas d’inscription, pas de collecte de données supplémentaires. Juste un service gratuit pour aider les gens.

Je voulais que ce soit ultra simple et accessible pour bénéficier au maximum à la communauté.

– L’interface originale de Have I Been Pwned en 2013

Le succès est immédiat et exponentiel. Les gens découvrent avec horreur que leurs données sont partout. Le site devient viral. En quelques semaines, les médias s’emparent du sujet. Troy ajoute fuite après fuite, breach après breach.

Ce qui est sympa également, c’est l’architecture technique. Troy utilise Windows Azure (maintenant Microsoft Azure) pour gérer une montée en charge astronomique. On parle de 150 000 visiteurs uniques par jour en temps normal, 10 millions lors des gros incidents. Les données sont stockées dans Azure Table Storage, une solution NoSQL qui permet de gérer des milliards d’enregistrements pour quelques dollars par mois. Les mots de passe compromis sont servis via Cloudflare avec un cache hit ratio de 99,9% sur 335 edge locations dans 125+ pays. L’API Pwned Passwords traite aujourd’hui plus de 13 milliards de requêtes par mois ! Et le plus fou ? Tout ça tourne pour moins de 300$ par mois. L’efficacité à l’état pur !

Pendant ce temps, chez Pfizer, Troy est de plus en plus malheureux. “Vers la fin, je redoutais d’aller au travail”, avoue-t-il. Se lever avec la boule au ventre, c’est le signe qu’il faut changer de job. En avril 2015, le destin frappe : Pfizer annonce que son poste est supprimé dans une restructuration. Licencié après 14 ans ! Mais au lieu de déprimer, Troy ressent… du soulagement ! “Je me sentais enfin libre de me concentrer sur HIBP et d’autres projets indépendants.”

– Troy célébrant son “indépendance” après son licenciement de Pfizer

Se faire virer devient la meilleure chose qui lui soit arrivée ! Troy devient consultant indépendant et se lance à fond. Il donne des workshops dans le monde entier : banques centrales, gouvernements, entreprises du Fortune 500. Il fait des keynotes à Black Hat, DEF CON, NDC. Plus de 100 workshops et autant de conférences en quelques années. Le développeur frustré de Pfizer est devenu une rockstar mondiale de la cybersécurité !

Mais c’est Have I Been Pwned qui reste son bébé. En janvier 2019, Troy découvre “Collection #1”, une méga-fuite de 773 millions d’emails uniques et 21 millions de mots de passe uniques, totalisant 2,7 milliards de combinaisons email/password. C’est la plus grosse fuite jamais vue ! L’analyse révèle que c’est une compilation de plus de 2000 fuites précédentes, avec 140 millions de nouveaux emails jamais vus auparavant.

Aujourd’hui en 2025, HIBP a catalogué plus de 845 fuites et 14,4 milliards de comptes pwned. Le service est utilisé par 40 gouvernements dans le monde pour monitorer leurs domaines officiels. La Malaisie est même la première nation asiatique à l’adopter officiellement. Des agences comme le FBI, la CISA, le RCMP canadien et le NCA britannique collaborent activement avec Troy, lui fournissant des mots de passe compromis découverts lors de leurs enquêtes.

– Le nouveau look de HIBP en 2025

Le truc génial avec Troy, c’est qu’il refuse de monétiser HIBP de façon agressive. Le service reste gratuit pour les particuliers. Il fait payer uniquement les entreprises qui veulent utiliser l’API pour vérifier en masse. Sa philosophie est claire :

Je ne stocke pas les mots de passe. Néant. Que dalle. Je n’en ai pas besoin et je ne veux pas de cette responsabilité. Tout ça, c’est pour sensibiliser à l’ampleur des fuites.

Cette approche éthique lui vaut une reconnaissance mondiale. En novembre 2017, il témoigne devant le Congrès américain sur l’impact des fuites de données. En février 2022, il reçoit le prestigieux Mary Litynski Award du M3AAWG pour avoir rendu Internet plus sûr. Même le FBI lui a filé une médaille ! Pas mal pour un mec qui a appris le web tout seul !

Un aspect méconnu, c’est le rôle crucial de sa femme Charlotte. Elle a coordonné les conférences NDC (Norwegian Developers Conference) dans le monde entier de 2013 à 2021. Quand elle rejoint HIBP en 2021 comme Chief Operating Officer, elle gère tout ce qui n’est pas technique : onboarding des clients, tickets d’API, compta, taxes internationales…

– Charlotte Hunt, la moitié opérationnelle du duo

Charlotte est à la fois ma femme et la chef de toutes les opérations chez HIBP,

explique Troy avec affection. Sans elle, impossible de gérer un service utilisé par des millions de personnes. C’est le duo parfait !

Mais Troy n’est pas qu’un héros de la cybersécurité. En février 2017, il révèle les vulnérabilités critiques de CloudPets, des peluches connectées qui ont exposé 820 000 comptes et 2,2 millions de fichiers audio d’enfants parlant à leurs doudous. Les enregistrements étaient accessibles sans authentification sur des serveurs MongoDB mal configurés ! Son investigation force Spiral Toys à sécuriser d’urgence et sensibilise le monde aux dangers de l’IoT mal sécurisé.

– Troy recevant les honneurs pour son travail

Un des aspects les plus impressionnants, c’est sa capacité à vulgariser. Sur son blog, il explique des concepts complexes avec une clarté cristalline. Ses articles sur Collection #1 ou l’analyse des mots de passe Adobe sont des masterclass de pédagogie. Il a créé toute une philosophie autour de la “culture de la sécurité” :

La sécurité doit être en tête des priorités pour TOUS les professionnels de la tech, pas juste l’équipe sécu.

Cette vision révolutionne la façon dont les entreprises abordent la cybersécurité.

Et même les experts se font avoir ! Dans un exemple d’humilité rafraîchissante, Troy a admis publiquement s’être fait avoir par un email de phishing sophistiqué. Cette transparence renforce encore sa crédibilité. Le mec assume ses erreurs, c’est ça qui est beau !

L’impact technique de HIBP est phénoménal. L’API Pwned Passwords utilise un modèle k-anonymity génial où au lieu d’envoyer votre mot de passe en clair, vous envoyez les 5 premiers caractères du hash SHA-1, le serveur répond avec tous les hashs correspondants (environ 400), et votre navigateur vérifie localement. Résultat, votre mot de passe n’est jamais transmis, même pas à Troy ! C’est de la privacy by design à l’état pur. Des géants comme 1Password, Firefox et Google Chrome intègrent maintenant cette API pour vérifier si vos mots de passe ont fuité.

Le plus fou dans tout ça c’est que Troy continue de développer HIBP avec passion. En 2025, il a ajouté le support des données de “stealer logs” (malwares qui volent les identifiants), intégrant 231 millions de mots de passe uniques supplémentaires. Il travaille avec le FBI et le NCA britannique qui lui fournissent régulièrement des données saisies lors d’opérations contre les cybercriminels.

Aujourd’hui, Troy vit toujours sur la Gold Coast, “la partie ensoleillée du pays ensoleillé !” comme il aime dire. Il continue de développer HIBP, donne des conférences dans le monde entier (quand il n’est pas en train de faire du jetski ou de piloter des voitures de sport sur circuit), et reste l’une des voix les plus respectées de la cybersécurité mondiale.

Ce qui est dingue avec Troy Hunt, c’est qu’il a transformé une frustration personnelle (ne plus coder chez Pfizer) en service public mondial. Il a créé quelque chose que même les gouvernements n’avaient pas pensé à faire. Et il l’a fait gratuitement, par [censored] passion pour la sécurité. Dans un monde où tout se monétise, où chaque startup cherche la licorne, Troy reste fidèle à ses principes : aider les gens à rester safe online.

Si ça c’est pas inspirant, franchement, je sais pas ce qui l’est ! Le mec a littéralement changé la façon dont le monde entier gère les fuites de données. Et il continue, breach après breach, à nous protéger de nos propres mauvaises habitudes de sécurité. Respect total.

– Sources : Troy Hunt - About, Have I Been Pwned - About, A Decade of Have I Been Pwned, Introducing Have I Been Pwned, Adobe credentials and password hints, Wikipedia - Troy Hunt, Welcome to ASafaWeb, Pluralsight - Troy Hunt, KrebsOnSecurity - Adobe Breach, Collection #1 Data Breach, M3AAWG Mary Litynski Award, HIBP Azure Function GitHub

https://korben.info/troy-hunt-developpeur-chez-pfizer-gardien.html

En bref :

– Le 27 juin 2017, via une mise à jour compromise du logiciel ukrainien M.E.Doc, NotPetya se répand comme un ver destructeur déguisé en ransomware, il efface les données sans possibilité de récupération, causant le chaos en Ukraine.

– Le malware paralysant des infrastructures critiques (banques, aéroports, métros, même Tchernobyl), et provoquant des pertes massives jusqu’à plus de 10 milliards de dollars pour des géants comme Maersk, Merck ou FedEx.

– Attribué au groupe Sandworm du GRU russe, l’attaque dépasse ses cibles initiales : elle devient un rappel brutal de notre vulnérabilité mondiale face aux cyber-armes.

Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.

Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.

Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.

Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.

Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.

En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !

Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.

Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !

– Source

Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.

Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !

Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.

La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…

– M.E.Doc.

…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.

Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.

Et ils vont prendre tout leur temps.

Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.

Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !

Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.

À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.

NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…

Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !

D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!

NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.

Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.

Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !

Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.

Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !

Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.

Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.

À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur :smile:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.

Un employé de l’IT raconte :

On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu.

Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !

Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.

À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.

Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !

Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.

Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.

Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.

Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !

Un employé se souvient :

Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.

Franchement, on peut dire qu’ils ont eu du bol !

Mais le serveur est au Ghana, et les données doivent être rapatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.

Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.

Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.

L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !

Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !

Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.

Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !

Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !

Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…

Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.

FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !

Le PDG de FedEx déclare lors d’une conférence :

On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.

Ça résume bien la situation…

Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !

Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte :

On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.

Métaphore pas très joyeuse, un peu gore, mais très parlante.

Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !

Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.

En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !

Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.

Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.

L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !

Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même :

Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.

La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…

Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste :

Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.

et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !

– Sergei Linnik et sa Olesya Linnik

Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.

Avec NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?

Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…

L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…

Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…

Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.

Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !

Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !

Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.

On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.

À bon entendeur, salut !

– Sources : Wikipedia - 2017 Ukraine ransomware attacks, US Department of Justice - Six Russian GRU Officers Charged, Microsoft Security Blog - New ransomware, old techniques, Control Engineering - How NotPetya Took Down Maersk, Phishing for Answers - How Ghana Saved a Global Conglomerate, MITRE ATT&CK - Sandworm Team

https://korben.info/notpetya-2017-histoire-complete.html

Ha XP et I Love You, oui c’était vraiment une grande histoire d’amour ^^

En bref :

– Unit 8200, l’équivalent israélien de la NSA, forme de jeunes talents aux techniques avancées de cyber-espionnage.

– Elle est liée à l’opération Stuxnet et a vu naître de nombreuses startups majeures comme Waze ou Check Point.

– Sa puissance soulève des questions éthiques autour de la surveillance et de l’usage de ses outils.

L’Unit 8200, c’est comme si vous aviez pris les meilleurs hackers de la planète, que vous les aviez mis en uniforme israélien, et que vous leur aviez donné non pas carte blanche, mais des moyens SIGINT d’élite. Dans la littérature spécialisée, l’unité est souvent comparée à la NSA (à une autre échelle, quand même). Et ce n’est pas de la fiction puisque cette unité ultra-secrète a largement été associée à l’opération Stuxnet (une coopération USA–Israël selon les enquêtes, jamais confirmée officiellement), et a vu passer des profils qui fonderont des boîtes comme Waze, Check Point, Palo Alto Networks et d’autres licornes tech.

C’est un genre d’école où on vous apprend à pirater des gouvernements étrangers à 18 ans, et où votre prof pourrait être le futur CEO d’une startup à plusieurs milliards. Voilà, c’est exactement ça, l’Unit 8200. Une machine à fabriquer des génies qui oscillent entre James Bond et Mark Zuckerberg. Et le plus dingue dans tout ça c’est que tout a commencé en 1952 avec du matos de récup’ et une poignée de matheux dans des baraquements pourris à Jaffa. Aujourd’hui, c’est l’une des plus grandes unités de Tsahal, avec plusieurs milliers de soldats.

L’histoire démarre donc après la création d’Israël en 1948. Le pays est entouré d’ennemis, les frontières sont poreuses, et les menaces pleuvent. Les dirigeants comprennent vite qu’ils ne survivront pas qu’avec des tanks et des avions. Il leur faut du renseignement, du genre de celui qui permet de savoir ce que l’adversaire va faire, parfois avant lui.

A l’époque, l’Unit 8200 s’appelle la « 2e Unité du Service de Renseignement », puis la « 515e ». Pas très sexy, on est d’accord. En 1954, l’unité déménage à Glilot, au nord de Tel-Aviv, et prend son envol. Le nom « 8200 » arrivera plus tard, pour des raisons d’organisation interne plus que de poésie.

Ce qui rend l’Unit 8200 unique, c’est son approche. Israël n’a pas le luxe de la quantité et doit donc faire mieux avec moins. L’unité mise sur la qualité et repère très tôt des profils brillants (dès le lycée) via des programmes dédiés tels que Magshimim côté extra-scolaire, et, plus tard, des filières comme Mamram ou Talpiot pour les très, très forts.

Le système de recrutement est une master class de détection de talents. A 16 ans, si vous cartonnez en maths/infos, vous recevez une lettre pour passer des tests qui mêlent logique, crypto, prog et psycho. Les meilleurs suivent des programmes spéciaux après les cours… et, à 18 ans, quand les potes partent à l’infanterie, eux intègrent l’Unit 8200.

– L’écusson de l’Unité 8200

Mais ce n’est pas la planque. Le service dure au moins trois ans. On y apprend ce qu’aucune fac ne peut enseigner. Et l’ambiance est un mix de startup et de base militaire. Hiérarchies plates, itération rapide, droit à l’essai. Un caporal de 19 ans peut proposer une idée qui change la stratégie nationale. Impensable ailleurs, normal ici.

Les capacités de cette unité sont impressionnantes. Dans le désert du Néguev, à la base d’Urim (près de Beer-Sheva), se trouve l’une des plus grandes stations d’écoute au monde, dédiée à l’interception de communications sur une vaste zone (Moyen-Orient, mais pas que). Et selon des reportages, des moyens d’écoute existeraient aussi à l’étranger (postes dans des ambassades, accès à certaines dorsales de communication).

– Base d’écoute d’Urim

Et ils ne se contentent pas d’écouter depuis Israël puisque l’IAF dispose d’avions Gulfstream G550 bardés de capteurs (Nachshon Shavit/Eitam) pour l’interception électronique. Bref, du SIGINT et de l’ELINT en vol, au-sol, et dans les réseaux.

Un analyste militaire britannique résume la réputation de l’unité : « probablement l’une des meilleures agences de renseignement technique au monde, au niveau de la NSA, à l’échelle près ». C’est l’intensité et la focalisation qui marquent.

Leur passion vient d’une réalité simple. Pour Israël, le renseignement n’est pas un luxe, c’est une question de survie. Chaque interception peut sauver des vies. Chaque code cassé peut déjouer un attentat.

L’opération qui fait entrer l’unité dans la légende c’est Stuxnet. En 2006, l’Iran enrichit de l’uranium à Natanz. Scénarios militaires classiques : tous mauvais. D’où une idée folle : saboter sans tirer. C’est l’opération « Olympic Games », largement attribuée à une coopération NSA–Unit 8200 selon des sources américaines, mais jamais confirmée officiellement. Pourquoi 8200 était clé ? Parce que côté israélien, ils disposaient d’un savoir intime du terrain (installations, processus, fournisseurs…).

Stuxnet n’est pas un « simple virus » : c’est une arme binaire qui s’insère par clé USB, se propage discrètement, puis, une fois sur place, manipule des automates Siemens S7-300 et les centrifugeuses IR-1 (dérivées du design P-1 d’A.Q. Khan). Leur coup de génie ? Moduler la vitesse des rotors tout en leurrant les capteurs avec de la fausse télémétrie, ce qui use et casse les machines sans alerter immédiatement les opérateurs.

– Les automates S7-300

Bilan ? L’attaque a endommagé environ 1000 centrifugeuses selon les estimations de Natanz et retardé le programme iranien pendant un moment, avant que le code, à cause d’un bug, ne s’échappe dans la nature en 2010. Et officiellement, personne n’a jamais signé l’opération.

Au-delà du sabotage hollywoodien, le quotidien de 8200, c’est la surveillance. Et là, on touche à du sensible. En 2014, 43 vétérans publient une lettre ouverte dénonçant des usages intrusifs contre des Palestiniens (collecte d’infos intimes, potentiel chantage). Le gouvernement dément, d’autres membres de l’unité signent une contre-lettre défendant des « normes éthiques élevées ». Le débat éthique est resté ouvert depuis.

Concrètement, l’unité a aussi contribué, selon les autorités israéliennes et australiennes, à déjouer des attaques (ex. en 2017, un vol Etihad visé par un complot inspiré par l’EI : des interceptions israéliennes auraient permis l’arrestation des suspects en Australie).

Plus récemment, place à l’IA. En 2023-2024, des enquêtes de presse décrivent un algorithme de ciblage surnommé « Lavender » pour identifier des opérateurs du Hamas à Gaza. L’IDF conteste l’existence d’un système autonome qui « identifie des terroristes » et affirme que les décisions restent humaines. Là encore, tensions entre efficacité opérationnelle et éthique, avec un coût humain catastrophique, avec des milliers de civils palestiniens tués, qui interroge fondamentalement l’usage de ces technologies

Stuxnet a des « cousins » : Duqu et Flame, des outils d’espionnage avancés découverts au début des années 2010, capables de captures d’écran, d’enregistrements audio, d’exfiltration de documents, etc. Leur attribution fluctue selon les rapports, mais leur sophistication a marqué un avant/après.

La collaboration internationale est centrale puisque depuis des années, Israël coopère avec des partenaires (NSA, GCHQ) dans un cadre de partage de renseignement. Et le stress interne, lui, est bien réel car à 19 ans, savoir que ton erreur peut coûter des vies, ça use. Les burn-out existent. Et la frontière entre sécurité et vie privée reste une ligne fine.

Côté civil, l’Unit 8200 est une machine à entrepreneurs. Après le service, beaucoup créent ou rejoignent des boîtes cyber majeures. Check Point, Palo Alto Networks, Waze, CyberArk, Imperva, NSO, etc. Autour de ce réseau, des structures comme Team8 (fondée par d’anciens commandants) financent et incubent des projets. Les anciens s’entraident, ouvrent des portes, et ça se voit dans l’écosystème israélien qui pèse environ 10% du marché mondial de la cybersécurité.

Le bâtiment Check Point à Tel-Aviv

Et puis arrive Pegasus. NSO Group, fondée par des vétérans, a développé un spyware classé comme matériel de défense soumis à licence d’exportation en Israël. Utilisé officiellement contre le crime et le terrorisme, il s’est aussi retrouvé au cœur de scandales (journalistes, militants, chefs d’État ciblés), avec des suites judiciaires et diplomatiques. Exemple parfait du dilemme où une techno défensive peut devenir outil d’oppression si elle dérape.

Au final, l’Unit 8200 a façonné l’image d’Israël comme « Startup Nation ». Un mix de nécessité stratégique, de service militaire qui capte les meilleurs talents, et d’une culture d’innovation très directe. D’autres pays tentent de cloner la recette (Corée du Sud, Singapour, France avec le Commandement cyber…), mais l’alchimie locale reste particulière.

Et l’avenir ? Entre quantique, IA générative, neurotech et guerre de l’information, tout s’accélère. L’unité investit, expérimente, et sera forcément discutée. Parce que derrière les lignes de code, ce sont des vies. Et c’est là que doit rester notre boussole.

Alors la prochaine fois que vous évitez un bouchon avec Waze, que votre boîte est protégée par un firewall, ou que vous lisez sur une cyber-attaque sophistiquée, ayez une pensée pour l’Unit 8200… et pour les questions éthiques qu’elle pose.

– Sources : Washington Post – Stuxnet (2012) ; The Guardian – Olympic Games (2012) ; The Guardian – Lettre des 43 (2014) ; TechCrunch – 8200 → Silicon Valley ; GBH – Magshimim.

https://korben.info/unit-8200-israel-cyber-espionnage-histoire-complete.html

Cet article, écrit dans le cadre d’une série sur les hackers, ne peut ignorer le contexte actuel. Alors que ces lignes sont écrites, plus de 61 000 Palestiniens ont été tués à Gaza selon l’ONU, dont une majorité de civils. Les technologies décrites ici sont aujourd’hui mobilisées dans un conflit qui accusations de génocide devant la Cour internationale de Justice et de crimes de guerre devant la Cour pénale internationale.

Dingue , à l’échelle technologique , c’est l’antiquité mais pas grand chose ne change sur le fond ; les visionnaires voient beaucoup plus loin que le business…encore…!!

Merci pour les articles l’ami 😉

C’est vrai que l’on se répète mais c’est ainsi , et tout à fait dans l’esprit de ce héros méconnu , ( 1 parmi… ? ) cité dans cet article , le partage de la connaissance ; je me suis encore enrichi aujourd’hui ; Je kiffe …!!! Merci …

En bref :

– Guccifer 2.0, prétendant être un hacker roumain, a revendiqué le piratage du Comité national démocrate (DNC) en 2016. Cependant, il a été révélé que l’attaque provenait en réalité du GRU russe, une unité de renseignement militaire.

– L’attaque a été facilitée par une erreur humaine : un technicien de la campagne d’Hillary Clinton a mal interprété un email de phishing, permettant ainsi aux hackers d’obtenir un accès non autorisé aux systèmes du DNC.

– L’affaire a mis en lumière les vulnérabilités des campagnes politiques face aux cyberattaques et a souligné l’importance de la cybersécurité dans les processus démocratiques.

Vous croyez qu’un agent secret russe du GRU peut oublier d’allumer son VPN comme votre grand-père oublie ses lunettes ? Bah oui, ça peut arriver et c’est exactement comme ça qu’on a chopé Guccifer 2.0. Une seule fois, un seul petit oubli, et voilà… adresse IP tracée direct au siège du renseignement militaire russe sur Grizodubovoy Street à Moscou. Pas très discret pour un espion censé manipuler une élection présidentielle américaine…

L’histoire de Guccifer 2.0, c’est un mélange fascinant entre James Bond et Mr. Bean. D’un côté, on a une opération de cyberespionnage d’une sophistication redoutable orchestrée par deux unités d’élite du GRU qui a réussi à pirater le Comité national démocrate américain et à exfiltrer plus de 70 Go de données. Et de l’autre, une succession de bourdes techniques tellement grossières qu’on se demande comment ces gars-là ont eu leur diplôme d’espion.

Bref, toute cette histoire est un bon gros délire, vous allez voir.

Commençons par le commencement. En 2013, un hacker roumain du nom de Marcel Lehel Lazar s’était fait une petite réputation sous le pseudonyme de “Guccifer”. Ce chauffeur de taxi au chômage de 40 ans avait réussi à pirater les comptes emails de célébrités et d’hommes politiques américains, dont Sidney Blumenthal, un conseiller d’Hillary Clinton.

Sa technique ? Rien de très sophistiqué… il trouvait des infos personnelles sur ses cibles sur Facebook et devinait leurs questions de sécurité. Basique mais efficace. Il avait même publié des autoportraits de George W. Bush pris sous la douche, c’est dire !

Alors quand le 15 juin 2016, quelques heures seulement après que le Washington Post révèle que des hackers russes avaient infiltré le DNC, un nouveau personnage débarque sur WordPress.com en se faisant appeler “Guccifer 2.0”. Notre mystérieux Guccifer 2.0 sort de nulle part pour revendiquer le hack. “Non non, c’est pas les Russes, c’est moi, un hacker roumain solitaire qui veut dénoncer l’Illuminati !”

Sympa l’hommage au Guccifer original, mais il y avait juste un petit problème : Marcel Lazar était en taule fédérale aux États-Unis à ce moment-là, condamné à 52 mois de prison. Dur de pirater quoi que ce soit depuis sa cellule. Mais bon, les détails, hein. Et puis franchement, le timing était trop parfait… quelques heures après l’article du Washington Post ? Sérieusement ?

– L’email de phishing reçu par John Podesta

L’affaire commence donc vraiment le 19 mars 2016 quand John Podesta, le directeur de campagne d’Hillary Clinton, reçoit un email qui ressemble à une alerte de sécurité Google. Vous savez, le genre de truc qu’on reçoit tous et qu’on ignore généralement. L’email avait pour objet “Someone has your password” et prétendait qu’une tentative de connexion avait eu lieu depuis l’Ukraine. Sauf que cette fois, c’était du spear-phishing de compétition, orchestré par l’unité 74455 du GRU russe (aussi connue sous le nom de Main Center for Special Technology).

Et là, c’est le drame. L’assistant de Podesta transfère l’email au support IT de la campagne. Un technicien répond avec une faute de frappe monumentale : au lieu d’écrire “This is an illegitimate email”, il tape “This is a legitimate email”. Oups ! L’assistant de Podesta, suivant les instructions, clique sur le lien malveillant via Bitly et saisit les identifiants. Et c’est terminé ! Le lien a même été cliqué deux fois. Les Russes venaient de s’offrir un accès VIP aux coulisses de la campagne Clinton.

Pendant ce temps, deux groupes de hackers russes, surnommés “Fancy Bear” (APT28, unité 26165 du GRU) et “Cozy Bear” (APT29, probablement le SVR) par les experts en cybersécurité, s’amusaient déjà dans les serveurs du DNC depuis 2015. L’unité 26165, basée au 20 Komsomolskiy Prospekt à Moscou et dirigée par Viktor Netyksho, s’était même payé le luxe d’installer des keyloggers et de prendre des captures d’écran des ordinateurs des employés. Au total, ils ont exfiltré plus de 70 Go de données du DNC et 300 Go des serveurs de la campagne Clinton. Y’a pas à dire, ils sont forts chez les Russes !

– Les locaux du GRU à Moscou

Mais voilà, pirater c’est bien, mais il faut aussi savoir valoriser sa marchandise. Et c’est là qu’intervient notre star, Guccifer 2.0, géré par l’unité 74455 basée au 22 Kirova Street à Khimki (dans un bâtiment que les agents du GRU appellent “la Tour”) et dirigée par Aleksandr Osadchuk.

Le 15 juin 2016, Guccifer 2.0 fait donc son grand débarquement avec un post de blog sur WordPress dans lequel il se présente comme un hacker roumain patriote qui a agi seul pour “exposer la corruption”. Il balance même quelques documents du DNC pour prouver sa bonne foi, dont un dossier d’opposition research de 200 pages sur Donald Trump qu’il envoie à Gawker et The Smoking Gun.

– Le message de Guccifer 2 sur son Wordpress

Le problème, c’est que personne n’y croit. Déjà, le timing est trop parfait, et puis surtout, quand les journalistes de Motherboard commencent à creuser, ça sent le roussi à plein nez.

L’interview qui a tout fait capoter, c’est celle de Lorenzo Franceschi-Bicchierai en juin 2016. Le journaliste demande à Guccifer 2.0 de répondre en roumain, histoire de vérifier ses origines. Et là, c’est la catastrophe totale ! Notre prétendu Roumain sort un charabia qui ressemble plus à du Google Translate qu’à du roumain natif. Il utilise des mots comme “filigran” pour “watermark”, une traduction littérale que seul un non-Roumain utiliserait. Les vrais Roumains disent “filigram” !

Pire encore, après quelques échanges laborieux où il écrit des trucs du genre “Îmi pare rău” (désolé) avec une grammaire bancale, Guccifer 2.0 refuse de continuer en roumain sous prétexte qu’il ne veut pas “perdre son temps”. Vraiment très convaincant pour quelqu’un qui prétend être né à Bucarest.

Mais les vrais clous du cercueil, ce sont les détails techniques. Parce que nos espions russes, aussi doués soient-ils pour pirater des serveurs, ont visiblement séché les cours de nettoyage de métadonnées.

– Premier indice : Les documents publiés par Guccifer 2.0 contenaient des métadonnées en cyrillique, notamment un utilisateur nommé “Феликс Эдмундович” (Felix Edmundovich en alphabet russe). Pour ceux qui ne captent pas la référence, Felix Edmundovich Dzerzhinsky, c’est le fondateur de la Tcheka en 1917, c’est à dire l’ancêtre du KGB. Autant signer ses documents “Agent 007” directement. Le plus beau là-dedans, c’est qu’un autre document avait aussi “Che Guevara” dans les métadonnées… ils sont forts pour la discrétion !

– Deuxième indice : Les liens cassés dans les documents généraient des messages d’erreur… en russe. Les documents montraient clairement qu’ils avaient été édités sur une version russe de Microsoft Word. Quelle coïncidence troublante pour un hacker roumain ! Des messages comme “Ошибка! Недопустимый объект гиперссылки” (Erreur ! Objet de lien hypertexte invalide) apparaissaient dans les docs.

– Troisième indice : L’analyse linguistique de Shlomo Engelson-Argamon de l’Illinois Institute of Technology a montré que Guccifer 2.0 était “très probablement un Russe prétendant être Roumain” car son anglais présentait des structures syntaxiques typiquement russes, sans les articles définis et indéfinis qu’un Roumain natif utiliserait naturellement. Par exemple, il écrivait “I hacked server” au lieu de “I hacked the server”.

Mais la gaffe monumentale, celle qui a permis aux enquêteurs américains d’identifier précisément qui se cachait derrière Guccifer 2.0, c’est l’oubli du VPN. Un jour de mars 2018, probablement pressé ou distrait (ou après une vodka de trop ?), l’agent du GRU a oublié d’activer son client VPN avant de se connecter à un réseau social américain.

Résultat, une adresse IP bien réelle, tracée directement au quartier général du GRU sur Grizodubovoy Street à Moscou. Les enquêteurs américains ont pu alors identifier un officier particulier du GRU travaillant depuis le siège de l’agence. D’après les sources, l’IP provenait d’un bâtiment du GRU situé dans le district de Khoroshevsky à Moscou.

C’est ce genre d’erreur qui vous fait passer de “super-espion international” à “stagiaire qui a foiré son stage” en une fraction de seconde. J’imagine pas la tête du chef quand il a appris ça au briefing du matin. “Alors, Dimitri, tu peux m’expliquer comment tu as oublié le VPN ?” Bref, du grand art !

– L’emblème du GRU

L’histoire devient encore plus croustillante quand on découvre les liens entre Guccifer 2.0, WikiLeaks et Roger Stone, le conseiller de Trump aux tatouages de Nixon dans le dos. Le 22 juin 2016, WikiLeaks contacte directement Guccifer 2.0 sur Twitter :

Salut ! Vous pourriez nous envoyer tout nouveau document ici pour un impact plus important que ce que vous pourriez avoir. Plus de gens vous suivront.

Et effectivement, le 18 juillet, WikiLeaks confirme avoir reçu “les archives d’environ 1 Go” et annonce qu’ils vont tout publier cette semaine-là. Le 22 juillet 2016, pile avant la Convention nationale démocrate, WikiLeaks balance alros près de 20 000 emails du DNC. Timing parfait, encore une fois !

Côté Roger Stone, l’histoire est encore plus dingue car entre août et septembre 2016, Stone et Guccifer 2.0 échangent plusieurs messages privés sur Twitter. Le 15 août, Guccifer 2.0 demande :

do you find anything interesting in the docs i posted?

puis le 17 août :

please tell me if i can help u anyhow.

Stone leur envoie même un article qu’il a écrit sur la manipulation des machines à voter.

Puis le 21 août 2016, Stone tweete :

Trust me, it will soon be Podesta’s time in the barrel
(Croyez-moi, ce sera bientôt le tour de Podesta d’être dans le pétrin).

Le problème, c’est qu’à cette date, personne ne savait publiquement que les emails de Podesta avaient été piratés. WikiLeaks ne les publiera qu’en octobre. Donc soit Stone est voyant, soit il était au courant de quelque chose.

Stone prétendra plus tard qu’il parlait d’un article à venir sur les liens entre John et Tony Podesta. Il niera d’abord tout contact avec Guccifer 2.0, puis qualifiera les échanges de “parfaitement anodins” quand The Smoking Gun les publiera en mars 2017. Il dira même que ses déclarations sur Julian Assange étaient “une blague” pour raccrocher au nez de Sam Nunberg. Ouin !

– Robert Mueller, procureur spécial qui a mené l’enquête sur l’ingérence russe

L’enquête de Robert Mueller a alors fini par démanteler toute l’opération et le 13 juillet 2018, le Département de la Justice américain inculpe 12 officiers du renseignement militaire russe et révèle officiellement que Guccifer 2.0 était une identité utilisée par le GRU. C’est pourquoi on peut maintenant raconter toute cette histoire avec certitude.

– Les 12 agents appartenaient à deux unités distinctes :

L’unité 26165 (Fancy Bear/APT28) : spécialisée dans l’infiltration et le vol de données, basée au 20 Komsomolskiy Prospekt, dirigée par Viktor Netyksho L’unité 74455 : chargée de la diffusion et de la manipulation des informations volées via DCLeaks et Guccifer 2.0, basée dans “la Tour” au 22 Kirova Street à Khimki, dirigée par Aleksandr Osadchuk

L’acte d’accusation détaille tout : les techniques de spear-phishing utilisées, les serveurs loués en Malaisie et en Illinois, les bitcoins minés pour payer l’infrastructure (ils avaient même une opération de minage !), et même les noms de code des opérations. L’unité 74455 avait aussi piraté les systèmes électoraux de l’Illinois, volant les données de 500 000 électeurs incluant noms, adresses, numéros de sécurité sociale partiels et permis de conduire. D’après les enquêteurs américains, c’est du travail d’orfèvre.

Selon les sources proches de l’enquête, au moins deux personnes se cachaient derrière l’identité Guccifer 2.0. Après un début chaotique avec le fameux “Roumain” qui ne parlait pas roumain, l’opération a été confiée à un officier du GRU plus expérimenté. D’ailleurs, les derniers posts de Guccifer 2.0 en janvier 2017 montrent une maîtrise de l’anglais bien supérieure aux premiers. Comme si quelqu’un avait dit “Ok, on arrête les conneries, je reprends le dossier”.

L’affaire Guccifer 2.0 a vraiment marqué un tournant dans la guerre informatique moderne car pour la première fois, une opération d’influence cyber de cette ampleur était documentée dans ses moindres détails, avec noms, prénoms, adresses et même les heures de connexion des responsables. Les métadonnées, c’est vraiment la plaie des espions modernes !

L’impact sur l’élection de 2016 est très difficile à quantifier, mais les 58 000 emails de Podesta publiés par WikiLeaks entre octobre et novembre 2016 ont indéniablement nui à la campagne Clinton. Ils révélaient des détails embarrassants sur les coulisses de la campagne, les discours payés à Wall Street (225 000$ chez Goldman Sachs !), et même le fait que Donna Brazile de CNN avait transmis les questions de débat à l’avance.

Et côté relations internationales, l’affaire a entraîné l’expulsion de 35 diplomates russes en décembre 2016, de nouvelles sanctions économiques, et la fermeture de deux complexes diplomatiques russes aux États-Unis. Elle a aussi poussé les pays occidentaux à repenser leur approche de la cybersécurité et de la désinformation. L’OTAN a également créé un centre d’excellence en cyberdéfense à Tallinn, et l’UE a mis en place une task force contre la désinformation russe.

– Au final, Guccifer 2.0 restera comme un cas d’école de ce qu’il ne faut pas faire en matière de sécurité opérationnelle. Malgré des moyens considérables et une planification sophistiquée, l’opération a échoué à maintenir sa couverture à cause d’erreurs basiques :

Oubli d’activation du VPN (la bourde ultime qui leur a coûté toute l’opération) Métadonnées compromettantes non nettoyées (Felix Edmundovich, vraiment ?) Couverture linguistique insuffisamment préparée (un Roumain qui ne parle pas roumain…) Références culturelles trop évidentes (nommer ses fichiers d’après le fondateur de la police secrète soviétique, subtil !) Timing trop parfait pour être crédible (quelques heures après l’article du Washington Post ? Allô ?) Utilisation de la même infrastructure que d’autres opérations du GRU (réutilisation des serveurs et des comptes Bitcoin)

Certains experts suggèrent que les métadonnées russes étaient peut-être volontairement laissées, soit comme false flag, soit par arrogance ("on s’en fout, ils ne peuvent rien nous faire"). Mais l’oubli du VPN, ça, c’était clairement pas prévu. Comme quoi, même les meilleurs font des boulettes, et dans le cyberespace, une seule erreur peut tout faire capoter.

Bref, avant de publier des documents volés en vous faisant passer pour un hacker roumain, apprenez le roumain, nettoyez vos métadonnées, et surtout, SURTOUT, n’oubliez pas votre VPN. Sinon vous finirez comme Guccifer 2.0, une légende du fail !

– Sources : Department of Justice - Indictment of 12 Russian GRU Officers (2018), The Daily Beast - Guccifer 2.0 IP Address Revelation, Motherboard - Guccifer 2.0 Romanian Interview, Washington Post - How Russians Hacked the DNC, CBS News - The Podesta Phishing Email, Wikipedia - Guccifer 2.0

https://korben.info/guccifer-2-agent-russe-oubli-vpn.html

En bref :

– Noël 1994, Tsutomu Shimomura, physicien et expert en cybersécurité, découvre que son système est piraté par Kevin Mitnick, qui le taquine via un répondeur, ce qui déclenche une traque méthodique.

– Utilisant des techniques avancées de triangulation cellulaire et des analyses de journaux réseau, Shimomura aide le FBI à localiser Mitnick à Raleigh, menant à son arrestation le 15 février 1995.

– L’histoire est devenue légendaire, racontée dans le livre Cybertraque (Takedown) et adaptée au cinéma dans le film Cybertraque (Track Down).

Bon, je sais que quand on parle de l’affaire Kevin Mitnick, y’a toujours deux camps qui s’écharpent. Mais, l’histoire de Tsutomu Shimomura, c’est du grand cinéma. Noël 1994, le physicien rentre tranquillement chez lui à Solana Beach et là, il découvre que quelqu’un s’est introduit dans son système informatique. Et pas via une effraction physique classique, non, mais par les “tubes cathodiques” (oui, je vous explique le délire après…lol). Et le type a même laissé un message sur son répondeur pour le narguer. Une erreur fatale quand on s’attaque à un chasseur de hackers.

Tsutomu Shimomura, c’est pas n’importe qui dans le game. Il est le fils d’Osamu Shimomura, LE Shimomura qui a décroché le Prix Nobel de chimie en 2008 pour ses travaux sur la protéine fluorescente verte des méduses. C’est ce truc vert fluo qui permet aujourd’hui aux chercheurs de visualiser les cellules vivantes en temps réel.

Bref, le fiston a grandi dans un environnement où l’excellence scientifique, c’était la base. Sauf que contrairement à papa qui étudiait les méduses bioluminescentes (il en a pêché 850 000 quand même !), lui décide de chasser les prédateurs numériques.

Et c’est grâce à ses techniques de traque high-tech avec triangulation cellulaire et analyse de fréquences que Kevin Mitnick, le hacker le plus recherché d’Amérique à l’époque, se retrouve derrière les barreaux le 15 février 1995 à 1h30 du matin précisément.

Mais attention, comme toujours l’histoire est bien plus complexe qu’elle n’y paraît.

Né en 1964 à Kyoto, Tsutomu montre déjà des signes de rébellion dès le lycée. Le gamin se fait carrément expulser de Princeton High School pour “attitude anticonformiste”. Il faisait partie d’un groupe d’étudiants qui n’acceptaient pas l’autorité établie et pourtant, gagnait des concours locaux de maths et sciences. Ça vous rappelle quelque chose ? Génie + caractère de cochon = futur expert en sécurité informatique.

Ensuite, direction Caltech où il va étudier sous la direction de Richard Feynman. Oui, LE Feynman, Prix Nobel de physique et légende vivante. Franchement, avoir ce type comme prof, ça doit marquer à vie. Feynman était connu pour ses méthodes d’enseignement peu orthodoxes et sa capacité à simplifier les concepts les plus complexes. Parfait donc pour former un futur chasseur de hackers qui devra expliquer des trucs techniques aux agents du FBI.

– Richard Feynman

Après Caltech, Shimomura file à Los Alamos National Laboratory. Là, il travaille avec Brosl Hasslacher sur les automates de gaz sur réseau (lattice gas automata pour les intimes). En gros, ils simulent l’écoulement des fluides avec des méthodes de calcul parallèle massif. Pourquoi je vous parle de ça ? Parce que cette expertise va directement lui servir plus tard. Quand vous maîtrisez les systèmes parallèles et les algorithmes complexes, traquer des hackers devient presque un jeu d’enfant.

En 1989, Shimomura rejoint le San Diego Supercomputer Center comme Senior Fellow. Officiellement, il fait de la recherche en physique computationnelle. Officieusement, il commence à faire du consulting pour des agences gouvernementales sur les questions de sécurité. En 1992, il témoigne même devant le Congrès américain sur les failles de sécurité des téléphones cellulaires. Il avait déjà identifié les vulnérabilités que les hackers allaient exploiter. Le type était en avance sur son temps.

Maintenant, accrochez-vous parce que l’histoire devient vraiment “juteuse”. Le 25 décembre 1994, pendant que tout le monde déballe ses cadeaux de Noël, Kevin Mitnick décide de s’attaquer au système personnel de Shimomura. Pourquoi lui ? Probablement parce que Shimomura avait des fichiers ultra-intéressants sur la sécurité des réseaux et des téléphones cellulaires. C’était du caviar pour un hacker.

– Tsutomu Shimomura et Julia Menapace

La technique utilisée ? De l’art ! Mitnick utilise ce qu’on appelle le “source address spoofing” combiné avec la “TCP sequence prediction”. Pour faire simple, il fait croire au système de Shimomura qu’il est un ordinateur de confiance en prédisant les numéros de séquence TCP. C’est comme si quelqu’un se déguisait en facteur pour entrer chez vous, mais en plus compliqué.

Bien sûr, Mitnick ne s’est pas littéralement introduit via un tube cathodique d’écran CRT (ça n’a pas de sens physiquement 😅), mais via une attaque réseau ciblée, exploitant des failles dans le protocole X11 et dans des systèmes SunOS non patchés. L’expression “par les tubes cathodiques” que j’ai employé au début de ce récit vient de la façon dont certains journalistes de l’époque avaient vulgarisé le truc car Mitnick a utilisé une session graphique X11 pour ouvrir une fenêtre à distance sur le poste de Shimomura. Et comme c’était une interface graphique, les médias nous ont pondu l’image du hacker qui passe par l’écran. Et comme à l’époque, un écran = tube cathodique, hop, ça fait pas des chocapics mais une “intrusion par le tube cathodique”.

Mais Mitnick fait une erreur psychologique majeure. Non content d’avoir pénétré le système et volé des centaines de fichiers, il laisse des messages moqueurs sur le répondeur de Shimomura. Des trucs du genre “Votre sécurité, elle est où ?” avec une voix déformée. Breeeef, quand on s’attaque à un expert en sécurité fils d’un Prix Nobel, on évite de le narguer car c’est comme tirer la queue d’un tigre endormi.

Shimomura découvre alors l’intrusion en rentrant de San Francisco. Des centaines de fichiers copiés, des programmes volés, son système compromis. Mais au lieu de simplement changer ses mots de passe et passer à autre chose comme vous et moi, il décide alors de traquer l’intrus. Et là, ça devient technique.

Première étape : Analyser les traces laissées par l’attaque. Shimomura identifie que Mitnick utilise des connexions par modem cellulaire pour masquer sa position. Malin, mais pas suffisant contre un physicien qui a étudié les systèmes de communication et qui a témoigné devant le Congrès sur le sujet.

Deuxième étape : Coopération avec les opérateurs téléphoniques. Shimomura contacte Sprint et d’autres compagnies et avec leur aide, il arrive à tracer les connexions jusqu’à la source. Mais attention, on est en 1995, et les techniques de géolocalisation étaient primitives comparées à aujourd’hui. Y’avait pas de GPS dans tous les téléphones, hein !

Troisième étape : Triangulation radio. Shimomura utilise des techniques de direction finding pour localiser précisément l’émetteur. En gros, avec plusieurs antennes, on peut déterminer la direction d’où vient un signal. Croiser plusieurs directions permet alors de déterminer la position exacte. C’est de la physique [censored] appliquée à la chasse au hacker.

Shimomura estime qu’il lui a fallu seulement quatre jours de travail intensif pour localiser Mitnick. Le 12 février 1995, il savait déjà où se trouvait Mitnick à un mile près. Le 15 février, il débarque à Raleigh en Caroline du Nord, avec une équipe de techniciens du FBI. Ils utilisent des équipements de surveillance radio pour isoler l’immeuble exact : le Players Court, près de l’aéroport de Raleigh-Durham.

Et pourquoi Raleigh ? Et bien Mitnick expliquera plus tard qu’il adorait le jeu Monopoly et les propriétés vertes, et la Caroline du Nord, c’est les propriétés vertes sur le plateau américain. Le type avait aussi 44 demandes d’emploi dans son appart et un bouquin “The 100 Best Companies to Work for in America”. Il voulait se ranger, apparemment.

À 1h30 du matin, le FBI frappe à la porte. Mitnick se fait arrêter avec un arsenal numérique impressionnant : des téléphones clonés et de multiples fausses identités. C’est game over. Il sera condamné à presque 6 ans de prison, dont une grande partie en isolement parce que le juge avait peur qu’il pirate le téléphone de la prison. Hé oui !

Après l’arrestation, Shimomura décide de raconter son histoire. Avec John Markoff, journaliste au New York Times, il publie “Takedown: The Pursuit and Capture of Kevin Mitnick” en 1996. Le livre devient un best-seller et sera adapté au cinéma sous le titre “Operation Takedown” en 2000 avec Skeet Ulrich dans le rôle de Mitnick.

Sauf que voilà, tout le monde n’est pas d’accord avec cette version des faits. Jonathan Littman publie “The Fugitive Game” la même année et accuse carrément Shimomura et Markoff d’avoir fabriqué des éléments pour se faire mousser. Plus tard, Mitnick lui-même riposte avec “Ghost in the Wires” en 2011, où il surnomme Shimomura “Shimmy” avec un ton franchement méprisant.

– Kevin Mitnick lors de son arrestation

La vérité ? Elle se trouve probablement quelque part entre les trois versions car Shimomura a certainement contribué à la capture, mais il a peut-être aussi dramatisé son rôle. Mitnick n’était probablement pas le génie du mal qu’il a décrit, mais il était loin d’être innocent avec ses 25 chefs d’accusation de crimes informatiques.

Après sa célébrité soudaine, Shimomura aurait pu capitaliser sur sa notoriété et devenir consultant en cybersécurité comme tout le monde. Mais non, le type prend une direction complètement différente. Il rejoint Sun Microsystems à la fin des années 90, puis fonde sa propre boîte : Neofocal Systems.

Neofocal, c’est pas de la cybersécurité. C’est de la technologie LED intelligente ! Shimomura développe des puces pour contrôler des réseaux de LED individuellement adressables. En gros, vous pouvez contrôler chaque LED séparément avec un seul câble pour l’alimentation et des données. En 2015, Neofocal lève 9 millions de dollars. Pas mal pour un pivot aussi radical.

L’affaire Shimomura-Mitnick soulève des questions qui résonnent encore aujourd’hui. Jusqu’où peut aller un civil dans une enquête criminelle ? Les méthodes de Shimomura, acceptables en 1995, seraient probablement problématiques aujourd’hui. Traquer quelqu’un avec des équipements de surveillance radio sans mandat, c’est limite. Mais d’un autre côté, les méthodes traditionnelles d’investigation étaient totalement inadaptées face aux nouveaux crimes numériques.

Alors 30 ans après, qu’est-ce qui reste de cette histoire ? Et bien Shimomura a prouvé que la science théorique peut être une arme redoutable en cybersécurité. Il a démontré l’importance de la coopération entre secteur privé et forces de l’ordre (aujourd’hui c’est la norme) et ses préoccupations de 1992 sur la sécurité des téléphones cellulaires étaient visionnaires !

Kevin Mitnick est décédé le 16 juillet 2023 d’un cancer du pancréas, à 59 ans, mettant fin à l’une des rivalités les plus emblématiques de l’histoire de la cybersécurité. Il était devenu Chief Hacking Officer chez KnowBe4 et consultant en sécurité respecté. Shimomura, lui, continue aujourd’hui d’innover dans le secteur des semiconducteurs. Deux destins différents pour deux figures légendaires du monde du hacking.

À vous de voir maintenant si les méthodes de Shimomura étaient justifiées ou pas mais une chose est sûre : ne narguez jamais un physicien qui connaît les protocoles TCP par cœur !

– Sources :

Department of Justice - Arrest of Kevin Mitnick (1995), Nobel Prize - Osamu Shimomura Facts, Great Rivalries in Cybersecurity: Tsutomu Shimomura vs. Kevin Mitnick, WRAL - Kevin Mitnick reflects on Raleigh arrest, Wikipedia - Kevin Mitnick, CNN - Kevin Mitnick obituary (2023)

https://korben.info/tsutomu-shimomura-chasseur-hackers.html

Sur que ça eveille la curiosité…

@michmich a dit dans [Dossier] De Conti à Chaos : La dynastie criminelle qui refuse de mourir :

si conscience il y a ?

Non, il n’y en a pas. Seul l’argent les guident.
Mais ce sont des putains de génies. C’est ce côté là que j’admire mais comme beaucoup de monde, je préfère quand ses compétences sont mises au profit du bien commun comme l’OPSEC. Mais ce sont des génies tout de même.