Si les ransomwares étaient des films Marvel, REvil serait clairement du niveau de Thanos dans Avengers. Pas juste un méchant lambda qui veut dominer le monde, mais un stratège qui a construit un empire, recruté des sbires partout sur la planète, et qui a failli réussir à prendre en otage l’économie mondiale. Sauf que contrairement au MCU, cette histoire est bien réelle et s’est terminée par des arrestations spectaculaires. Du délire !

Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Si vous pensiez que les pires trolls d’internet étaient sur Twitter, vous n’avez clairement jamais mis les pieds sur 4chan en 2003. C’est pourtant dans ce laboratoire du chaos numérique qu’est né l’un des collectifs les plus redoutables de la planète.

Qui aurait cru qu’un simple protocole d’anonymisation allait engendrer une hydre capable de faire trembler la Scientologie, les banques et même la Russie de Poutine ?

Vous savez ce qui est encore plus classe qu’un hacker à capuche dans sa cave ? Et bien c’est certainement quand un groupe de hackers allemands décide dans les années 80 de faire trembler les gouvernements, de défier le KGB et d’inventer au passage la moitié des techniques de cybersécurité qu’on utilise encore aujourd’hui.

Bienvenue dans l’univers du Chaos Computer Club, une organisation incroyable qui a façonné notre monde numérique moderne.

2024 aura été une année noire pour la cybersécurité hexagonale. Adidas, Ticketmaster, et même des organismes publics français (Urssaf, France Travail …) : les fuites de données s’enchaînent à un rythme inquiétant. Des millions de comptes clients chez Adidas, des paiements et infos persos siphonnés chez Ticketmaster, et des centaines de milliers de dossiers issus du secteur public, santé et éducation compris, balancés sur le web ou le dark web.

Vous savez ce moment où vous réalisez que votre patron lit vos emails ? Et bien pensez un instant votre patron c’est la NSA et qu’il lit TOUS les emails de la planète. Et bien c’est exactement ce qu’Edward Snowden a découvert en 2013, et contrairement à vous, il a pas juste changé de mot de passe. Il a balancé 1,7 million de documents classifiés et foutu le méga bordel dans tout l’appareil de renseignement américain !

Si comme moi, vous avez une imprimante Brother qui traîne dans votre bureau, alors accrochez-vous bien à vos cartouches d’encre, parce que Rapid7 vient de balancer une bombe. Pas moins de 689 modèles d’imprimantes Brother sont touchés par 8 vulnérabilités dont certaines sont carrément flippantes. Et la plus critique d’entre elles permet à n’importe quel pirate de générer le mot de passe administrateur de votre imprimante sans même avoir besoin de s’authentifier !

Si comme moi, vous pensiez qu’un bon hacker devait avoir un arsenal d’outils sophistiqués, l’histoire d’Adrian Lamo va vous retourner le cerveau.

Windows 98, Internet Explorer et Notepad. C’est tout.

Avec ces 3 outils basiques, ce type a réussi à pénétrer les réseaux de Microsoft, de Yahoo et du New York Times. Et pendant que d’autres développaient des malwares complexes, lui prouvait qu’une faille reste une faille, peu importe vos outils. Voici donc l’histoire de ce “Homeless Hacker”… un mélange de génie technique, de précarité sociale et de tragédie humaine dans un cocktail qui ferait pâlir les scénaristes de Mr. Robot.

Une IA qui deviendrait meilleure que les meilleurs hackers éthiques de la planète, ce n’est plus de la science-fiction, c’est ce qui vient de se passer vraiment avec XBOW, une intelligence artificielle qui a littéralement explosé le classement mondial du bug bounty. Pour la première fois dans l’histoire, un robot a atteint la première place du leaderboard américain de HackerOne, la seconde plateforme de référence du bug bounty après YesWeHack évidemment ^^.

Imaginez un mec capable de lancer une guerre nucléaire en sifflant dans un téléphone public ? Non, je ne vous parle pas d’un super-vilain de James Bond, mais bien de Kevin Mitnick selon… le FBI américain. Bienvenue dans les années 90, où les juges prenaient au sérieux l’idée qu’un hacker puisse pirater le NORAD à coups de sifflets. Du délire j’vous dis ! Et pourtant, cette absurdité n’est qu’un aperçu de la légende urbaine qu’est devenu Kevin David Mitnick, probablement le hacker le plus fascinant et mal compris de l’histoire de l’informatique.

La protection des données n’est plus, aujourd’hui, un simple sujet de conversation pour les responsables IT un peu stressés ou les geeks qui chiffrent tout ce qui bouge. Pour les entreprises, c’est devenu une question de survie, de réputation et, bien sûr aussi, d’argent. Entre les cyberattaques qui pleuvent, les fuites de données qui font la une et les amendes RGPD qui tombent plus vite que les mises à jour de Chrome, ignorer le sujet revient à laisser la porte du serveur grande ouverte avec un panneau “Servez-vous !”.

Depuis que j’ai commencé à m’intéresser à l’histoire du hacking, je n’avais pas encore pris le temps de vous parler sérieusement de John Thomas Draper. Ce qui lui est arrivé est plutôt amusant… Imaginez un type qui découvre en 1969 qu’un jouet trouvé dans une boite de céréales peut littéralement hacker AT&T. Draper avait 26 ans à l’époque, mais l’idée qu’un petit sifflet en plastique pour les enfants puisse prendre le contrôle du réseau téléphonique américain reste complètement dingue. Et c’est là que tout a commencé.

Vous pensez à l’avenir ? Moi tout le temps ! Je me dis qu’on n’est pas au bout de nos suprise… Peut-être qu’en 2030, notre grille-pain participera à une attaque de 50 Tb/s contre Netflix ou que notre frigo connecté sera en train de DDoS la NASA pendant qu’on est parti chercher du lait. On n’en sait rien, mais ce qui est sûr c’est que pendant que l’humanité sera en train de découvrir que les IA se battent vraiment en secret depuis des années à coups de pétaoctets, nous on sera toujours en train de galérer avec la 4G dans le métro.

C’est officiel, depuis le 4 juin, la Chine France a décidé de jouer les parents stricts du web. Un matin, tu veux juste “faire tes recherches” sur Pornhub ou YouPorn, et paf, “Ce site n’est pas accessible depuis votre pays”. Derrière ce blocage, des débats sans fin sur la protection des mineurs, la morale, la politique, bref, tout ce qui fait qu’on se retrouve à devoir ruser pour accéder à ce qu’on veut. Résultat ? Les VPN ont déjà explosé dans l’Hexagone, et Surfshark s’est imposé comme l’une des planches de salut préférées des internautes frustrés.

Une question que je me pose avec Linux, c’est quand est-ce qu’on va arrêter de découvrir des failles qui transforment n’importe quel utilisateur lambda en super master absolu du système ?? Eh bien la réponse est surement “Pas aujourd’hui !!” parce que Qualys vient de sortir 2 CVE qui mettent à poil toutes les principales distros.

Je vous avoue que quand j’ai lu le rapport de Qualys TRU, j’ai d’abord cru à une blague. 2 lignes de code, 3 secondes d’exécution, et hop, vous voilà root sur Ubuntu, Debian, Fedora et openSUSE. Les CVE-2025-6018 et CVE-2025-6019, qui viennent d’être découvertes, c’est pas juste 2 failles de plus dans la longue liste des vulnérabilités Linux. C’est une combinaison dévastatrice qui exploite des services tellement basiques qu’ils tournent sur pratiquement toutes les installations Linux par défaut. Et ça concerne UDisks (le daemon de gestion du stockage) et PAM (les modules d’authentification), donc autant dire des composants qu’on trouve partout.

Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

Vous vous souvenez de Spectre et de Meltdown ? Mais siiii, ces petites vulnérabilités qui ont foutu le bazar dans tous les processeurs en 2018 ?

Eh bien figurez-vous que Microsoft vient de mettre à jour son outil de vérification, histoire de nous rappeler que nos CPU sont toujours aussi troués qu’un emmental (Oui, le gruyère n’a pas de trou). Le module SpeculationControl pour PowerShell évolue donc et c’est l’occasion parfaite de faire un petit check-up sécurité de vos machines.

Internet ressemble de plus en plus à une brocante géante où chaque site veut vous vendre une brosse à dents connectée ou vous inviter à investir dans la crypto du futur. Même YouTube, autrefois havre de paix, vous envoie trois pubs pour chaque vidéo de chat de 2 minutes. Les bloqueurs de pubs classiques (uBlock Origin, AdGuard, Ghostery…) font le taf, mais la guerre est loin d’être gagnée. Les pubs natives, les scripts malins, les sites qui vous bloquent si vous bloquez leurs pubs… on tourne en rond.

Vous savez ce qui est plus fort qu’un hacker qui vous demande de cliquer sur un lien louche ? Un hacker qui n’a même pas besoin que vous cliquiez !

EchoLeak, la nouvelle vulnérabilité de Microsoft 365 Copilot, prouve qu’en matière d’IA, on n’a pas fini de découvrir des trucs qui font froid dans le dos, du genre notre assistant virtuel préféré qui peut devenir une balance sans même qu’on s’en rende compte.

Deux nouvelles vulnérabilités découvertes dans SecureBoot prouvent une fois de plus que, même les meilleurs systèmes de sécurité peuvent avoir des failles signées par… Microsoft en personne. Moi, j’dis standing ovation !!!

CVE-2025-3052 et CVE-2025-47827 vont faire mal à la tête des admins système durant les prochains mois car ces failles exploitent des outils légitimement signés par Microsoft pour désactiver les protections que Microsoft a elle-même conçues. C’est comme si le serrurier qui pose votre serrure gardait un double de vos clés dans sa poche pour revenir taper dans vos Délichocs quand vous n’êtes pas là.

Vous savez ce qui me fait marrer ? Les sociétés qui proposent de l’IA sur le web passent leur temps a bien verrouiller leurs serveurs contre les attaques classiques, alors que pendant ce temps-là, y’a leur IA qui se fait jailbreaker par un simple “ignore toutes tes instructions précédentes”.

Et c’est un problème car les LLM (Large Language Models) sont partout ! Dans nos chatbots, nos agents IA, nos pipelines RAG…etc mais qui teste réellement leur sécurité ? Hé bien pas encore assez de monde à mon goût, et c’est bien le problème. Même les modèles les plus récents comme GPT-4o ou Claude restent vulnérables à des attaques adversariales relativement simples, avec des taux de réussite de 100% dans certains cas.