Telnet, ça vous dit quelque chose ?

C'est ce vieux protocole réseau non chiffré que nos arrières-arrières-arrières-grands-parents utilisaient pour se connecter à des serveurs distants. C'est un truc que vous pensiez peut-être enterré depuis belle lurette... Hé bien figurez-vous qu'une faille critique vieille de 11 ANS vient d'être découverte dans le serveur telnetd de GNU InetUtils. Et le pire c'est que des hackers l'exploitent déjà activement.

ARGH !

La vulnérabilité en question, baptisée CVE-2026-24061 , permet de contourner complètement l'authentification et d'obtenir un accès root. Sans putain de mot de passe (!!!!).

Bon ok, faut quand même que le service telnetd soit actif et exposé, mais après c'est open bar les amis ! En gros, le serveur telnetd passe la variable d'environnement USER directement à la commande login sans la nettoyer. Du coup, un attaquant n'a qu'à définir USER sur -f root et utiliser **telnet -a** pour se retrouver connecté en root.

C'est moche.

Concrètement, ça touche toutes les versions de GNU InetUtils de la 1.9.3 jusqu'à la 2.7. Ça touche donc des distributions Linux, de vieux routeurs, des capteurs industriels...etc. Après, les machines exposées sur Internet avec Telnet actif c'est quand même assez rare, donc faut pas non plus paniquer.

Cependant, les attaquants n'ont pas attendu. La société GreyNoise a documenté des exploitations actives entre le 21 et le 22 janvier, soit très rapidement après la divulgation du 20 janvier. Ils ont ainsi observé 18 adresses IP différentes lancer une soixantaine de sessions Telnet, avec 83% des tentatives ciblant directement le compte root. Du travail de pros.

Heureusement, un correctif existe \o/ : GNU InetUtils 2.8 colmate la brèche mais combien de ces vieux équipements IoT ou industriels vont vraiment être mis à jour ? On connaît tous la chanson par cœur !

Mais bon, si vous avez des machines exposées avec telnetd actif, vous avez trois options : mettre à jour vers la version 2.8, désactiver complètement le service telnetd, ou bloquer le port TCP 23 au niveau du firewall. Perso, je vous conseille carrément de virer Telnet et de passer à SSH si c'est pas déjà fait. En 2026, y'a vraiment plus aucune excuse pour utiliser un protocole qui n'est pas chiffré.

Bref, encore une vieille faille qui traînait depuis 2015 et qui refait surface au pire moment.

Merci à Arfy pour l'info !

Source

Vous vous souvenez de NotPetya et des attaques contre le réseau électrique ukrainien ? Hé bien des hackers, vraisemblablement liés au GRU russe, viennent de remettre le couvert, mais cette fois c'est la Pologne qui était dans le viseur, et...

Ils se sont plantés !

Fin décembre 2025, plus précisément les 29 et 30, le réseau électrique polonais a subi ce que le ministre de l'Énergie Milosz Motyka qualifie de "plus forte attaque sur l'infrastructure énergétique depuis des années". Du lourd, quoi ! Sauf que contrairement à ce qui s'était passé en Ukraine fin 2015, cette cyber offensive n'a provoqué aucune coupure de courant. Les Polonais ont bien géré le coup ✊.

Ce qui est intéressant, c'est la cible choisie par les attaquants puisqu'ils ont visé les communications entre les installations d'énergies renouvelables (éoliennes, panneaux solaires) et les opérateurs de distribution, ainsi que deux centrales de cogénération. En gros, ils voulaient perturber le lien entre la production verte et le réseau national. Sachant que le renouvelable représente maintenant environ 29% de l'électricité polonaise, ça aurait pu faire très mal !

Les chercheurs d'ESET ont analysé le malware utilisé et l'ont baptisé DynoWiper. C'est un "wiper", c'est-à-dire un logiciel conçu pour effacer définitivement les données des machines infectées, et pas pour demander une rançon. Le but c'est de détruire, point. Et d'après leur analyse des techniques utilisées, ils attribuent l'attaque au groupe Sandworm avec une "confiance moyenne". Sandworm, pour ceux qui débarquent, c'est l'équipe de hackers du GRU (renseignement militaire russe) qui avait déjà privé d'électricité quelque 225 000 Ukrainiens en décembre 2015 avec BlackEnergy et KillDisk .

Du coup, pourquoi l'attaque a foiré ? Hé bien selon les autorités polonaises, les équipes de cyberdéfense ont réussi à détecter et contenir la menace avant qu'elle ne cause de dégâts réels. Le Premier ministre Donald Tusk a d'ailleurs déclaré que l'infrastructure critique n'avait "à aucun moment été menacée". Et une attaque de plus repoussée, une !

Cela intervient presque dix ans après les attaques ukrainiennes de décembre 2015, durat les derniers jours de l'année quand les équipes IT sont en effectif réduit, et alors que la Pologne vivait une période de froid intense... Un message géopolitique pas très subtil, en somme. D'ailleurs, selon le ministre des Affaires numériques polonais, le renseignement militaire russe aurait triplé ses ressources pour ce genre d'opérations contre la Pologne l'an dernier.

Encore une fois, les infrastructures critiques restent une cible privilégiée dans ce contexte de tensions, mais cette fois la défense a tenu. Pas de blackout pour les Polonais ! Ouf !

Source

Un gamin de 15 ans qui pète les serveurs de la NASA pendant que moi, à son âge, j'en était encore à configurer mon modem 56k pour qu'il arrête de faire du bruit en pleine nuit... Jonathan James, alias c0mrade, est devenu le premier mineur emprisonné pour cybercriminalité aux États-Unis... avant, malheureusement, de se suicider à 24 ans parce qu'il pensait qu'on allait l'accuser d'un crime qu'il n'avait pas commis.

Voici l'histoire la plus dingue et la plus tragique du hacking que vous n'avez jamais entendue.

Jonathan Joseph James naît le 12 décembre 1983 à Pinecrest, un quartier cossu de Miami-Dade County. Son père, Robert James, bosse comme programmeur pour le comté... déjà, on sent que l'informatique, c'est de famille. Sa mère, Joanne Jurysta, tient la maison pendant que les deux frangins, Jonathan et Josh, grandissent dans un environnement de classe moyenne supérieure.

Dès 6 ans, Jonathan passe ses journées sur l'ordinateur paternel. Au début, c'est pour jouer, évidemment. Mais très vite, le gamin comprend qu'il peut faire bien plus que lancer des jeux. Il commence à triturer, à fouiller, à comprendre comment ça marche sous le capot. Ses parents, inquiets de voir leur fils scotché à l'écran, décident alors de lui confisquer l'ordinateur quand il atteint ses 13 ans.

Grosse erreur.

Car Jonathan fait une fugue. Il refuse catégoriquement de rentrer à la maison tant qu'on ne lui rend pas son accès à l'informatique. J’imagine la scène avec ces parents complètement dépassés face à un ado qui préfère dormir dehors plutôt que de vivre sans son ordinateur. Bon, ils finissent par craquer, évidemment.

C'est à cette époque que Jonathan se forge son identité de hacker. Il choisit l'alias c0mrade avec un zéro à la place du 'o', parce que dans les années 90, remplacer des lettres par des chiffres, c'était le summum du cool.

Et surtout, il passe ses nuits sur les BBS et les premiers forums de hacking, à échanger avec une communauté underground qui n'a absolument rien à voir avec les script kiddies d'aujourd'hui. C'est une époque où pirater demandait de vraies compétences techniques, pas juste télécharger un exploit sur GitHub.

L'été 1999. Jonathan a 15 ans, les cheveux longs, et une curiosité maladive pour tout ce qui ressemble à un serveur mal configuré. Entre le 23 août et le 27 octobre 1999, il va commettre une série d'intrusions qui vont faire de lui une légende du hacking... et accessoirement, le faire finir en prison.

Pour son méfait, le gamin scanne les réseaux à la recherche de serveurs Red Hat Linux mal patchés et comme en 1999, la sécurité informatique, c'est encore le Far West, les administrateurs système pensent que mettre leur serveur derrière un firewall basique, c'est suffisant.

Sauf que ça ne l'était pas.

Jonathan exploite des vulnérabilités connues pour installer des backdoors c'est à dire des portes dérobées qui lui permettent de revenir à volonté sur les systèmes compromis. Mais le plus fort, c'est qu'il installe aussi des sniffers réseau, des programmes qui interceptent tout le trafic qui passe par le serveur. Mots de passe, emails, données sensibles... tout y passe.

Sa première cible d'envergure ? BellSouth, le géant des télécoms. Puis le système informatique des écoles de Miami-Dade County. Mais c'est quand il s'attaque aux agences gouvernementales que les choses deviennent vraiment intéressantes.

En septembre 1999, c0mrade détecte une backdoor sur un serveur situé à Dulles, en Virginie. Au lieu de passer son chemin, il décide d'aller voir de plus près. Il se connecte, installe son sniffer maison, et se rend compte qu'il vient de compromettre un serveur de la DTRA, c'est à dire la Defense Threat Reduction Agency, une division ultra-sensible du Département de la Défense qui s'occupe d'analyser les menaces NBC (nucléaires, biologiques, chimiques) contre les États-Unis.

Pendant plusieurs semaines, Jonathan intercept plus de 3300 emails entre employés de la DTRA. Il récupère aussi des centaines d'identifiants et mots de passe, ce qui lui permet d'accéder à une dizaine d'ordinateurs militaires supplémentaires. Tout ça sans que personne ne s'en aperçoive.

Mais le clou du spectacle, c'est son intrusion chez NASA.

En juin 1999, Jonathan tombe sur un serveur mal configuré à Huntsville, Alabama. Il l'infecte avec son malware habituel et découvre qu'il vient de compromettre le Marshall Space Flight Center de la NASA. Et c'est pas n'importe lequel puisque c'est celui qui développe les moteurs de fusée et les logiciels pour la Station Spatiale Internationale.

En installant sa backdoor, c0mrade réalise qu'il peut accéder à 12 autres ordinateurs du réseau. Et là, jackpot ! Il met la main sur le code source d'un programme qui contrôle des éléments critiques de l'ISS. On parle du système de contrôle de la température et de l'humidité dans les modules habitables de la station spatiale.

Rien que ça...

Jonathan télécharge l'intégralité du logiciel. Valeur estimée par la NASA : 1,7 million de dollars. Mais attention, ce n'est pas un vol dans le sens classique du terme puisque le gamin ne revend rien, ne détruit rien, ne modifie rien. Il copie, point. Sa philosophie de grey hat hacker de l'époque c'est d'explorer sans nuire.

Sauf que quand la NASA découvre l'intrusion, et ça devient vite la panique à bord. L'agence spatiale est obligée de couper ses serveurs pendant 21 jours pour vérifier l'intégrité de ses systèmes et colmater les failles. Coût de l'opération : 41 000 dollars de plus. Pour l'époque, c'est énorme.

Encore une fois, on réalise à quel point la sécurité de nos infrastructures critiques tenait du miracle en 1999.

Nous sommes le 26 janvier 2000. Jonathan vient d'avoir 16 ans depuis quelques semaines. Il est tranquillement dans sa chambre quand des agents fédéraux débarquent chez lui avec un mandat de perquisition. FBI, NASA, Département de la Défense... tout le gratin de la sécurité nationale américaine vient cueillir le gamin de Miami. Comme l'a rapporté ABC News à l'époque , l'arrestation fait sensation dans les médias.

Jonathan ne fait même pas semblant de nier. Plus tard, il expliquera aux enquêteurs qu'il aurait pu facilement couvrir ses traces s'il avait voulu. Mais il ne pensait pas faire quelque chose de mal. Dans sa tête d'ado, il "jouait" juste avec des ordinateurs. Il n'avait volé aucune donnée pour s'enrichir, n'avait planté aucun système, n'avait rien détruit.

Le problème c'est que la justice américaine ne voit pas les choses du même œil.

Le 21 septembre 2000, Jonathan James devient alors officiellement le premier mineur condamné à une peine de prison pour cybercriminalité aux États-Unis. À 16 ans, il entre dans l'histoire du droit pénal informatique. Et sa sentence est de 7 mois d'assignation à résidence, probation jusqu'à ses 18 ans, et interdiction d'utiliser un ordinateur à des fins "récréatives".

Mais Jonathan est un ado. Il est positif à un contrôle antidrogues (cannabis) et viole ainsi sa probation. Direction la prison fédérale de l'Alabama pour 6 mois supplémentaires. Le gamin qui piratait la NASA depuis son lit se retrouve derrière les barreaux.

L'ironie, c'est que son cas va complètement révolutionner la législation sur la cybercriminalité juvénile. Avant Jonathan, les juges ne savaient littéralement pas comment traiter un mineur capable de compromettre des systèmes gouvernementaux. Son procès a forcé le Congrès à repenser les lois fédérales sur les crimes informatiques commis par des mineurs.

Jonathan sort de prison en 2001. Il a 17 ans, un casier judiciaire, et une réputation sulfureuse dans le milieu du hacking et il essaie de se tenir à carreau, de mener une vie normale. Mais son passé va le rattraper de la pire des manières.

En 2007, la chaîne de magasins TJX (TJ Maxx, Marshalls, HomeGoods) subit l'une des plus grosses fuites de données de l'histoire : 45,6 millions de numéros de cartes de crédit volés. L'enquête mène à Albert Gonzalez , un hacker de Miami qui dirigeait un réseau international de cybercriminels, selon le département de la Justice américain .

Source

Mais le problème c'est qu'Albert Gonzalez et Jonathan James se connaissent. Ils évoluent dans les mêmes cercles, fréquentent les mêmes forums, habitent la même région. Alors quand le FBI épluche les connexions de Gonzalez, le nom de c0mrade ressort forcément.

En janvier 2008, le Secret Service débarque chez Jonathan, chez son frère, chez sa copine. Ils retournent tout, confisquent ses ordinateurs, l'interrogent pendant des heures. Jonathan nie catégoriquement toute implication dans le hack TJX. Il répète qu'il n'a plus fait de hacking depuis sa sortie de prison, qu'il essaie de refaire sa vie.

Les agents trouvent une arme à feu légalement détenue et des notes suggérant que Jonathan a déjà pensé au suicide. Mais aucune preuve de sa participation au hack TJX.

Pourtant, l'étau se resserre. La presse s'empare de l'affaire, ressort son passé de "hacker de la NASA". Jonathan devient paranoïaque, convaincu que le gouvernement veut faire de lui un bouc émissaire. Il sait qu'avec son casier, aucun jury ne croira en son innocence.

Alors le 18 mai 2008, Pinecrest, Floride, Jonathan James, 24 ans, se tire une balle dans la tête sous la douche de sa salle de bain.

Il laisse une note déchirante : "Je n'ai honnêtement, honnêtement rien à voir avec TJX. Je n'ai aucune foi dans le système de 'justice'. Peut-être que mes actions d'aujourd'hui, et cette lettre, enverront un message plus fort au public. De toute façon, j'ai perdu le contrôle de cette situation, et c'est ma seule façon de le reprendre."

La suite lui donnera raison : Albert Gonzalez sera condamné à 20 ans de prison, mais aucune preuve ne sera jamais trouvée contre Jonathan James concernant l'affaire TJX.

Ce gamin était un génie pur. Pas le genre de génie qu'on voit dans les films, mais un vrai génie technique, capable de comprendre et d'exploiter des systèmes complexes à un âge où la plupart d'entre nous découvraient à peine Internet.

Le problème, c'est que personne n'a su canaliser ce talent. Ses parents ont essayé de le brider en lui confisquant son ordinateur. Le système judiciaire l'a traité comme un criminel ordinaire. Et la communauté du hacking de l'époque n'avait pas vraiment de garde-fous éthiques.

Et aujourd'hui, combien de c0mrade potentiels traînent-ils sur nos serveurs Discord, nos repos GitHub, nos communautés de makers ?

Maintenant on a des programmes de bug bounty, des certifications en cybersécurité, des bootcamps éthiques. Des voies légales pour exprimer ce genre de talent. Alors que Jonathan n'a jamais eu ces options.

Son héritage, comme celui de Kevin Mitnick , c'est donc d'avoir forcé le monde à prendre la cybersécurité au sérieux. Après ses exploits, la NASA a complètement revu ses protocoles de sécurité, le Pentagone a investi des milliards dans la protection de ses systèmes et le Congrès a voté de nouvelles lois sur la cybercriminalité juvénile.

Je pense que Jonathan James aurait mérité mieux que cette fin tragique. Il aurait pu devenir un expert en cybersécurité, un consultant, un formateur. Il aurait pu utiliser ses compétences pour protéger les systèmes qu'il avait appris à compromettre... C'est triste.

A nous de faire en sorte que les prochains génies du code ne suivent pas le même chemin.

Source

La nouvelle est tombée hier soir et elle fait boum boum boum dans le monde feutré de la tech... En effet, Pékin a officiellement demandé aux entreprises chinoises de mettre à la porte les logiciels de cybersécurité américains et israéliens.

C'était prévisible et quand j'ai lu ça, je me suis dit, tant mieux pour eux !

Concrètement, cette annonce, ça veut dire que des géants comme Broadcom, VMware, Palo Alto Networks, Fortinet ou encore l'israélien Check Point sont désormais persona non grata dans les systèmes d'information de l'Empire du Milieu.

La raison officielle, c'est la sécurité nationale comme d'hab. Mais aussi parce que la Chine en a marre de dépendre de technologies qu'elle ne contrôle pas (et qui pourraient bien cacher deux-trois mouchards de la NSA, on ne sait jamais ^^).

Alors vous allez me dire "Oulala, les méchants chinois qui se ferment au monde". Sauf que non... en réalité, ils appliquent juste une stratégie de souveraineté technologique sans concession. Et en remplaçant le matos étranager par du matos local, ils commencent le grand ménage.

Et pendant ce temps là en Europe, on continue d'installer joyeusement des boîtes noires américaines au cœur de nos infrastructures critiques, en priant très fort pour que l'Oncle Sam soit gentil avec nous. Yoohoo !

J'en parlais déjà à l'époque de l'affaire Snowden ou plus récemment avec les backdoors découvertes un peu partout mais la dépendance technologique, c'est évidemment un risque de sécurité béant. Pire, si demain Washington décide de "couper le robinet" ou d'exploiter une porte dérobée, on est, passez-moi l'expression, dans la merde.

La Chine l'a compris et investit donc massivement dans ses propres solutions, comme avec l'architecture RISC-V pour s'affranchir d'Intel et AMD. C'est une démarche cohérente et c'est même assez fendard quand on connaît l'histoire des groupes comme APT1 qui ont pillé la propriété intellectuelle occidentale pendant des années.

Maintenant qu'ils ont un bon niveau, ils ferment la porte...

Du coup, sa fé réchéflir car est-ce qu'on ne devrait pas, nous aussi, arrêter de faire les vierges effarouchées et commencer à construire sérieusement notre autonomie ? Il parait que c'est en cours... moi j'attends de voir.

Bref, la Chine avance ses pions et sécurise son périmètre et nous, baaah, j'sais pas... On remue nos petits bras en l'air en disant des choses au pif.

Source

Vous le savez, j'aime bien mon petit matos Logitech, surtout la gamme MX qui sauve pas mal de poignets de développeurs. Mais alors là, ce qui arrive aux utilisateurs de Mac, c'est hyper relou.

Si vous avez essayé de lancer Logitech Options+ ce matin sur votre bécane à la pomme, vous avez sûrement eu droit à un message d'erreur bien sec de macOS vous expliquant que l'application ne peut pas être ouverte. Et non, c'est pas votre installation qui a sauté d'un coup sans prévenir.

Le coupable c'est surtout un stupide certificat de développeur Apple qui est arrivé à expiration.

C'est le genre de truc qui arrive même aux meilleurs (enfin, surtout à ceux qui oublient de mettre un rappel dans leur calendrier), mais là ça bloque carrément le lancement de l'utilitaire. Et comme Gatekeeper, le gardien de prison de macOS, ne rigole pas avec la sécurité, il voit un certificat périmé et il verrouille tout.

D'ailleurs, ça me rappelle un peu les discussions sur la manière dont Apple vérifie la signature des apps via OCSP . Quand ça coince, plus rien ne bouge.

Bref, Logitech a fini par se réveiller et a sorti un petit patch. Le souci, c'est que l'updater intégré à l'appli est lui aussi aux fraises à cause du certificat. Il faut donc repasser par la case téléchargement manuel sur leur site pour réinstaller une version propre.

Pour ceux qui n'ont pas envie de tout re-télécharger ou qui sont pressés, y'a aussi une petite bidouille de sioux qui consiste à changer la date système de votre Mac pour revenir quelques jours en arrière (genre au 5 janvier). Vous lancez l'appli, elle s'ouvre nickel, et vous pouvez remettre la bonne date dans la foulée. Bon, attention, ça peut quand même faire tousser iCloud ou vos connexions SSL pendant quelques secondes, mais ça dépanne.

Une autre option consiste à désinstaller proprement la version actuelle (avec un petit coup d'AppCleaner pour ne pas laisser de déchêts) et à remettre une version un peu plus ancienne, comme la 1.60.495862, qui semble passer entre les mailles du filet.

C'est quand même dingue qu'une boîte comme Logitech se prenne les pieds dans le tapis sur un truc aussi basique. Mais bon, au moins la solution est là.

De rien, je vous en prie !

Source

Vous savez ce qui est encore mieux qu'un bon film de super-héros ?

Une hacktiviste déguisée en Pink Ranger des Power Rangers qui supprime en direct des sites de nazis devant une salle comble de hackers en délire. Et ce moment de liesse s'est passé fin décembre au 39C3 , le Chaos Communication Congress à Hambourg. Mais avant d'en arriver là, il a fallu une sacrée investigation.

Tout commence avec WhiteDate, une sorte de Tinder pour suprémacistes blancs. À côté, deux autres sites du même acabit : WhiteChild (un truc glauque pour matcher des donneurs de sperme et d'ovules "de race pure") et WhiteDeal (une marketplace pour embaucher uniquement des racistes). Ça devait être sympa l'ambiance, n'empêche !

Les stats de WhiteDate parlent d'elles-mêmes puisque le site comptait environ 3600 profils aux USA, 600 en Allemagne, et la France, le Canada et le UK loin derrière. Et surtout 86% d'hommes. On imagine bien le niveau des conversations sur ce site de losers qui cherchent l'âme sœur aryenne dans un océan de testostérone frustrée.

Les trois sites étaient gérés par une certaine "Liff Heide". Un pseudo un peu trop allemand pour être vrai. Deux journalistes, Eva Hoffmann (investigatrice freelance) et Christian Fuchs (qui couvre l'extrême droite depuis 20 ans), ont mené l'enquête pour Die Zeit et ont fini par identifier la vraie personne : Christiane Haar, 57 ans, qui vit près de Kiel en Allemagne.

Et comment l'ont-ils trouvée ? Hé bien par l'enregistrement de la marque déposée "WhiteDeal" au registre du commerce allemand. Parce que oui, quand tu montes un réseau clandestin de nazis, tu n'oublies pas de déposer ta marque à l'INPI local.

Le souci du détail administratif, c'est toujours magique.

Le parcours de Christiane Haar est d'ailleurs assez dingue. Ancienne pianiste prodige, elle a vécu à Paris dans les années 2000 où elle a épousé un banquier... dont le père avait survécu à la Shoah. Oui, vous avez bien lu... Son ex-mari a raconté aux journalistes qu'elle s'était radicalisée après 2014, persuadée que l'attentat de Charlie Hebdo était une "opération false flag". La descente aux enfers conspirationniste classique. Et le brave homme a fini par divorcer "pour raisons politiques" après qu'elle ait pété un câble antisémite lors d'un dîner avec des amis.

Côté autorités allemandes, c'est la lose totale par contre. Le Verfassungsschutz (les services de renseignement intérieur) surveillait le dossier depuis 2019... sauf qu'ils ont passé des années à traquer la mauvaise personne. Il existe en effet une romancière qui s'appelle vraiment Liff Heide, et ces brillants enquêteurs ont confondu les deux femmes malgré des différences flagrantes : pas le même âge, pas la même couleur de cheveux, l'une vivait à Paris depuis des décennies, l'autre à Berlin. Résultat, la pauvre romancière a perdu son job dans une université berlinoise à cause de cette bourde monumentale.

C'est là qu'entre en scène Martha Root (un pseudo, évidemment), une hacktiviste qui a décidé de faire ce que les services de renseignement n'avaient pas réussi en six ans.

Pour infiltrer ces plateformes, elle a utilisé des chatbots IA (Llama et compagnie). Elle a créé un faux profil avec une photo générée par IA, et quand son compte a bugué à force de bidouiller les champs de texte, elle a contacté le support. Ces génies lui ont non seulement débloqué son compte, mais lui ont offert 3 mois de premium gratuit. Merci les gars.

Mais le meilleur c'est quand Martha a demandé à une connaisseuse plus calée qu'elle de jeter un œil. Cinq minutes plus tard (pour de vrai), sa pote lui envoie la faille. Il suffisait de taper WhiteDate.net/download-all-users dans la barre d'adresse. C'est tout. Pas d'injection SQL sophistiquée, pas d'exploit zero-day... juste une URL en clair dans l'API WordPress. La "race supérieure" a oublié de protéger son endpoint JSON.

Comme l'a dit Martha Root : "Avant de vouloir dominer le monde, apprenez déjà à sécuriser un WordPress". C'est drôle ^^.

Martha Root est donc montée sur scène au 39C3, déguisée en Pink Ranger, aux côtés des deux journalistes. Et au lieu de se contenter de slides PowerPoint bien sages, elle a décidé de passer à l'action : une suppression en direct des trois sites devant une salle en délire.

Les données récupérées (100 Go quand même) ont été transmises à DDoSecrets, le collectif qui a pris la relève de WikiLeaks pour ce genre de fuites. Ils ont baptisé ça "WhiteLeaks" et le partagent avec les journalistes et chercheurs vérifiés. Comme le faisait Anonymous à la grande époque, le hacktivisme continue de faire le ménage là où les autorités traînent des pieds.

L'admin des sites a réagi sur X en pleurnichant que c'était du "cyberterrorisme" et en promettant des représailles. Elle envoie même chaque mois un fax (oui, un fax) aux journalistes pour réclamer de la thune en dédommagement. Ah oui, parce que supprimer des sites de nazis, c'est du terrorisme, mais matcher des donneurs de sperme pour la pureté raciale, c'est juste un hobby sympa entre amis.

Pour couronner le tout, le site WhiteDate était développé par une boîte IT en Inde, avec la comptabilité gérée depuis Madagascar. L'internationale brune qui sous-traite à l'étranger, ça ne s'invente pas, les amis...

Bref, ce que Martha a trouvé en quelques jours, toute l'infrastructure de renseignement allemande n'a pas réussi à le faire en six ans.

Encore raté.

Source | Vidéo du talk au 39C3

Bon, si vous êtes un vieux de la vieille sous Linux, j'ai une nouvelle qui va vous faire verser une petite larme ! GNOME et Firefox envisagent tous les deux de désactiver la possibilité de coller avec le clic milieu par défaut. Vous savez, ce truc où vous sélectionnez du texte, puis un coup de clic molette et hop, c'est collé ailleurs sans passer par Ctrl+C/Ctrl+V.

Jordan Petridis, développeur chez GNOME, vient de soumettre une merge request pour désactiver cette fonctionnalité dans les paramètres par défaut. D'après lui ce serait un véritable désastre... Des mots forts pour une fonctionnalité que beaucoup adorent mais faut dire que le mec n'a pas tort car avec les trackpads modernes et les souris à molette cliquable un peu sensibles, on finit souvent par coller des trucs sans faire exprès.

Du coup, c'est quoi exactement ce "primary paste" ? Hé bien c'est une spécificité historique de X11, le système de fenêtrage qui fait tourner les bureaux Linux depuis des lustres. Quand vous sélectionnez du texte, il est automatiquement copié dans un buffer séparé (le "PRIMARY selection"), différent du presse-papier classique . Et le clic du milieu colle ce buffer directement. C'est comme avoir deux presse-papiers en parallèle, c'est pratique mais ça peut foutre le bordel si vous cliquez au mauvais moment.

Et Firefox n'est pas en reste puisqu'une révision chez Mozilla propose exactement la même chose à savoir désactiver le collage au clic molette par défaut. Les arguments sont similaires... surtout que les utilisateurs qui découvrent cette fonctionnalité par accident (coucou les Windowsiens) ne comprennent pas d'où sort le texte qui vient de s'afficher dans leur barre de recherche. Perso, j'avoue que ça m'est arrivé de coller des trucs gênants dans un chat parce que j'avais cliqué sur la molette sans faire gaffe ^^.

La bonne nouvelle, c'est que ça reste réactivable pour ceux qui y tiennent. Sous GNOME, il suffira de taper :

gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true

Vous vous souvenez du dark web , ce truc mystérieux qui fait flipper les politiques, les journalistes et votre belle-maman avec Tor, les .onion et tout le folklore ? Hé bien figurez-vous qu'une bonne partie du crime en ligne s'est déplacée ailleurs. Maintenant en 2026, pour monter le plus grand marché illicite en ligne jamais mesuré, y'a plus besoin de toute cette sophistication technique.

Y'a juste à aller sur Telegram, une simple app de messagerie, et hop, c'est parti.

La firme d'analyse crypto Elliptic vient en effet de publier des chiffres qui donnent le tournis. Huione Guarantee, une plateforme de "garantie" pour arnaqueurs sinophones hébergée sur Telegram, a brassé 27 milliards de dollars de transactions entre 2021 et 2025. Vingt-sept milliards les gars !

Pour vous donner une idée, AlphaBay , le célèbre marché noir du dark web démantelé par les autorités en 2017 et considéré comme dix fois plus gros que Silk Road , n'avait fait "que" 1 milliard en un peu plus de deux ans. Hydra, le mastodonte russe qui a terrorisé les autorités pendant environ six ans, culminait quand à lui à 5 milliards.

Hé bien Huione les a atomisés en opérant... en plein jour sur une app grand public.

Chute brutale des volumes Huione après le ban Telegram du 13 mai 2025 ( Source Elliptic )

Finalement, le 13 mai 2025, Telegram a fini par bannir Huione Guarantee. Victoire ? Pas vraiment. Car deux marchés concurrents ont immédiatement pris le relais : Tudou Guarantee et Xinbi Guarantee.

Et là, le magie-magie, on découvre que Huione détient 30% des parts de Tudou. Autant dire qu'ils ont juste changé d'enseigne...

Et aujourd'hui, ces deux plateformes traitent environ 2 milliards de dollars par mois en blanchiment d'argent, vente de données volées, faux sites d'investissement, outils de deepfake et autres joyeusetés. Elliptic surveille actuellement plus de 30 marchés de ce type sur Telegram et c'est pas triste...

Tudou prend le relais : explosion des volumes après la fermeture de Huione ( Source Elliptic )

Et tout ça sert à quoi ?

Principalement aux arnaques dites "pig butchering" (littéralement "boucherie de cochon"), ces escroqueries sentimentalo-crypto où l'arnaqueur vous "engraisse" patiemment avant de vous plumer. Le FBI estime que ces arnaques siphonnent près de 10 milliards de dollars par an aux victimes américaines.

Juste aux États-Unis, hein. Mais nous aussi on en reçoit tous les jours...

Et derrière ces arnaques, on trouve malheureusement des centres au Cambodge, au Myanmar et au Laos où des milliers de personnes sont forcées de travailler sous la menace. C'est ça l'envers cauchemardesque de ces chiffres astronomiques.

Ce qui me sidère, c'est que pendant des années, on nous a vendu le dark web comme l'eldorado intraçable des criminels, avec Tor, le chiffrement bout en bout, les protocoles anonymes... Et au final, le plus grand marché illicite de tous les temps opère sur une app que votre grand-mère pourrait installer. Les seules compétences requises c'est juste de parler chinois et d'être assez teigneux pour recréer un channel quand on se fait bannir.

Tom Robinson, cofondateur d'Elliptic, explique que c'est tout simplement "le plus grand marché illicite en ligne à avoir jamais existé". Plus grand que Silk Road, AlphaBay et Hydra réunis, tout ça OKLM sur Telegram.

On se demande ce que fout Pavel Durov... hmm...

En tout cas, ça montre que la sophistication technique n'est pas le facteur limitant du crime en ligne. Par contre, on est visiblement loin d'avoir résolu le problème. Quand Telegram en bannit un, y'en a deux autres qui poussent. C'est sans fin !

Bref, la prochaine fois qu'on vous parle du "dark web" comme de la grande menace, vous pourrez sourire car le vrai game se joue sur des apps qu'on trouve en libre accès sur l'App Store.

Source