Eh ben big up Stallman…!!!

Grave surtout si tu vois qu’un camion américain est derrière tes talons et que tu vois ta voiture ralentir (les machines c’est quelque chose là bas…combien de fois j’ai sursauté comme une pucelle quand ils klaxonnaient, t’as tes organes qui vibrottent pour dire sans exagérer…oui je viens d’inventer le mot vibrottent 😁).

Le karma aussi peut être.
Non je ne crois pas en ce truc mais si cela existait, ce serait un bon exemple

Ça fait pas rire tout ça mais c’est fascinant…Juste ne pas être numériquement intéressant; limiter les risques et éviter le mauvais clic…!!

semblerait que ça soit un topic dont tout le monde peut se sentir fier !

ça partage, ça partage ^^

@Didier a dit dans [Dossier] Conti : Le gang de ransomware russe qui a mis le Costa Rica en état d'urgence et volé 180 millions de dollars :

Hallucinant…!!

Et oui 0 limites 😅

Oh oui , grand merci pour ces articles qui me permettent de saupoudrer mes nombreuses friches incultes de connaissances intéressantes et insoupçonnées…

Si vous êtes du genre à penser que dire la vérité est plus important que vivre peinard, alors l’histoire de Julian Assange va vous parler. 14 ans de cavale, 7 ans enfermé dans une ambassade, 5 ans de taule… Tout ça pour avoir créé WikiLeaks et balancé les petits secrets bien crades des gouvernements. Bref, installez-vous confortablement, j’vous raconte comment Mendax, petit hacker australien, est devenu l’ennemi public numéro un de l’Amérique.

– Julian Assange dans les années 90, à l’époque où il était connu sous le pseudo “Mendax”

Julian Paul Hawkins naît le 3 juillet 1971 à Townsville, dans le Queensland australien. Pourquoi Hawkins et pas Assange ? Parce que sa mère, Christine Ann Hawkins, artiste visuelle un peu bohème, n’était pas mariée avec son père biologique, John Shipton. Elle se remarie avec Brett Assange quand Julian a un an, et le gamin prend alors le nom de son beau-père. Mais l’histoire familiale, c’est compliqué chez les Assange, car peu après, sa mère fuit son nouveau mari violent avec Julian et son demi-frère, et c’est le début d’une vie de nomade qui va forger le caractère du futur fondateur de WikiLeaks.

Entre 1979 et 1987, Julian et sa mère déménagent plus de 30 fois. Imaginez le bordel… pas le temps de se faire des vrais potes, pas de racines, toujours en mouvement. D’école en école, de ville en ville, à travers toute l’Australie. Cette instabilité permanente va forger son caractère : indépendant, méfiant envers l’autorité, et surtout, capable de s’adapter à n’importe quelle situation.

– L’Australie des années 80, terrain de jeu nomade du jeune Julian

Bref, à 16 ans en 1987, Julian découvre l’informatique et tombe dedans comme Obélix dans la potion magique. Il s’achète un Commodore 64 avec l’argent de ses petits boulots et commence à programmer. Mais surtout, il découvre les modems et le monde merveilleux du hacking. C’est là qu’il se choisit un pseudo inspiré des “Métamorphoses” d’Ovide : Mendax. En latin, ça veut dire “noblement menteur” ou “celui qui transforme”. Prophétique, non ?

Avec deux autres hackers australiens, “Trax” et “Prime Suspect”, il forme un groupe appelé “The International Subversives”. Leur devise ? “Ne pas endommager les systèmes informatiques que vous pénétrez, ne pas changer les informations de ces systèmes (sauf pour modifier les logs et cacher vos traces), et partager les informations”. Des règles éthiques qu’on retrouvera plus tard dans toute la philosophie de WikiLeaks. Les mecs étaient des “white hat hackers” avant l’heure.

– Le Commodore 64, première arme de guerre numérique du jeune Mendax

Et d’après les rumeurs, le groupe ne chôme pas. Ils auraient pénétré dans les réseaux de Nortel (géant canadien des télécoms), Citibank, l’Université de Stanford, et même dans le réseau MILNET de l’armée américaine. Mais leur plus gros coup (jamais confirmé par Assange…) ce serait le fameux virus WANK (Worms Against Nuclear Killers) qui paralyse les systèmes de la NASA en octobre 1989. Le virus affichait des messages du genre : “Votre système a été officiellement WANK’é” accompagné de messages anti-nucléaires.

Le Sydney Morning Herald dira plus tard qu’il était devenu l’un des “hackers les plus notoires d’Australie”, et The Guardian écrira qu’en 1991, il était “probablement le hacker le plus accompli d’Australie”. Pas mal pour un gamin qui a appris tout seul dans sa chambre.

– La NASA, victime du virus WANK en 1989 - Assange était-il impliqué ?

Seulement voilà, en septembre 1991, un membre des International Subversives balance tout le monde pour sauver sa peau (toujours la même histoire) et l’opération “Weather” de la police fédérale australienne remonte jusqu’à lui. Les flics découvrent alors qu’il a hacké le terminal principal de Nortel à Melbourne. Les fédéraux mettent alors Assange sur écoute et finissent par débarquer chez lui fin octobre 1991.

31 chefs d’accusation liés au piratage informatique, ça sent le roussi pour notre ami Julian. Mais en 1996, quand il plaide finalement coupable pour 24 de ces accusations, les juges australiens ne savent pas trop quoi faire avec ces crimes d’un nouveau genre… Alors le verdict est plutôt clément : Une amende de 2 100 dollars australiens et la promesse de ne plus jamais hacker. Le juge déclare même qu’il n’y avait “aucune preuve de profit personnel”. Julian s’en sort bien, très bien même.

Les années 90, Julian les passe à papillonner entre les universités. Central Queensland University en 1994, puis l’Université de Melbourne de 2003 à 2006, où il étudie les maths, la philosophie et la physique. Mais il n’obtient jamais de diplôme car il est trop occupé par d’autres projets. En 1997, il co-écrit avec Suelette Dreyfus un livre sur le hacking underground australien : “Underground: Tales of Hacking, Madness and Obsession on the Electronic Frontier”. Et le premier chapitre ? L’histoire du virus WANK. Coïncidence ? J’vous laisse juger.

– Hacker des années 90 ^^

Mais c’est en 1996 qu’il développe un truc vraiment innovant : Rubberhose, un système de chiffrement conçu pour résister à la torture. L’idée est géniale : permettre à quelqu’un sous contrainte physique de révéler un mot de passe factice qui donne accès à de fausses données, pendant que les vraies infos restent planquées derrière d’autres mots de passe. Du chiffrement avec déni plausible avant l’heure. Le mec pensait déjà à protéger les lanceurs d’alerte…

En 1999, il lance alors son premier vrai projet journalistique : Leaks.org. Le site publie des documents compromettants sur des entreprises et des gouvernements. C’est encore artisanal, très loin de l’ampleur de ce qui va suivre et Julian travaille aussi comme consultant en sécurité informatique et développe des logiciels. Il gagne sa vie, mais son vrai rêve, c’est de créer une plateforme pour les lanceurs d’alerte.

Et puis en 2006, boom ! Julian fonde WikiLeaks avec une équipe de dissidents chinois, de journalistes, de mathématiciens et de hackers venus des quatre coins du monde. L’idée est révolutionnaire : créer une plateforme ultra-sécurisée où les lanceurs d’alerte peuvent balancer anonymement des documents sensibles.

– Le logo emblématique de WikiLeaks

Et la sécurité de WikiLeaks, c’est du béton armé. Toutes les connexions sont chiffrées avec du SSL “niveau bancaire” mais surtout, ils intègrent Tor (The Onion Router) dans leur architecture. Pour ceux qui ne connaissent pas, Tor c’est un réseau chiffré qui fait rebondir votre connexion à travers plein de serveurs dans le monde, rendant quasi impossible de tracer qui envoie quoi. WikiLeaks lance même un site en .onion pour permettre les soumissions 100% anonymes.

Et le premier document publié en décembre 2006 est un ordre d’assassinat signé par un leader rebelle somalien. Pas le truc le plus sexy, mais ça pose les bases. Puis en 2007, ils balancent les procédures opérationnelles de Guantanamo Bay et en 2008, des documents sur la corruption massive au Kenya. Le site prend de l’ampleur, et les gouvernements commencent à flipper…

Mais c’est en 2010 que WikiLeaks explose littéralement la baraque. Tout commence avec Chelsea Manning (qui s’appelait encore Bradley à l’époque), une analyste de l’armée américaine en poste en Irak. Manning a accès aux bases de données classifiées SIPRNet et JWICS, et ce qu’elle y découvre la dégoûte : crimes de guerre, bavures, mensonges systématiques. Elle décide de tout envoyer à WikiLeaks.

Et le 5 avril 2010, WikiLeaks publie “Collateral Murder”, une vidéo de juillet 2007 où un hélicoptère Apache américain massacre 12 civils irakiens, dont deux journalistes de Reuters. Les pilotes rigolent pendant qu’ils dégomment des innocents, prenant leurs caméras pour des armes. “Light ’em all up!” qu’ils disent. La vidéo fait le tour du monde, c’est l’électrochoc.

– Image de la vidéo “Collateral Murder” qui a choqué le monde en 2010

Juillet 2010, WikiLeaks balance les “Afghan War Logs” : 91 731 rapports internes de l’armée américaine sur six ans de guerre. On y découvre des milliers de morts civils non reportés, des bavures, des exécutions sommaires. Les médias du monde entier s’emparent à nouveau de l’affaire.

Octobre 2010, rebelote avec les “Iraq War Logs” : 391 832 rapports de terrain. C’est la plus grosse fuite de l’histoire militaire américaine. Les documents révèlent 15 000 morts civils supplémentaires non comptabilisés, l’usage systématique de la torture, les ordres de ne pas enquêter sur les abus…etc., etc.

Et puis arrive le pompon, le feu d’artifice final : novembre 2010, WikiLeaks commence à publier “Cablegate”, 251 287 câbles diplomatiques américains. C’est l’apocalypse pour la diplomatie US. On y découvre que les États-Unis espionnent l’ONU, collectent des infos biométriques sur les diplomates étrangers, que l’Arabie Saoudite pousse pour bombarder l’Iran, que la Chine hacke Google… Bref, la cuisine interne de la géopolitique mondiale.

– Les salles de rédaction du monde entier analysent les câbles diplomatiques

Et les réactions sont immédiates et violentes. PayPal, Visa, MasterCard, Bank of America coupent les vivres à WikiLeaks. Amazon vire le site de ses serveurs. Les Anonymous ripostent avec l’opération “Payback”, attaquant les sites de ces entreprises. C’est la cyber-guerre totale.

Et Julian dans tout ça ? Il devient tout simplement l’homme le plus recherché de la planète. Les États-Unis veulent sa peau pour espionnage, mais il a aussi un autre problème : la Suède émet un mandat d’arrêt européen contre lui pour des accusations d’agression sexuelle datant d’août 2010. Julian crie au complot, dit que c’est un piège pour l’extrader vers les US.

Et le 19 juin 2012, après avoir épuisé tous ses recours légaux au Royaume-Uni, Julian prend une décision complètement dingue : il se réfugie dans l’ambassade d’Équateur à Londres et demande l’asile politique. Rafael Correa, le président équatorien de l’époque, fan de sa lutte contre l’impérialisme américain, lui accorde l’asile en août.

– L’ambassade d’Équateur à Londres, refuge de Julian pendant 7 ans

Et là commence la partie la plus surréaliste de toute cette histoire. Julian va passer les sept prochaines années enfermé dans 30 mètres carrés au cœur de Londres. Sept ans ! 2 487 jours exactement. Sans pouvoir mettre un pied dehors, avec la police britannique qui surveille l’ambassade 24h/24, 7j/7. Le coût de cette surveillance ? Plus de 13 millions de livres sterling pour les contribuables britanniques.

Et la vie à l’ambassade, c’est l’enfer version luxe. Julian fait du skateboard dans les couloirs pour garder la forme, écoute de la musique techno à fond, organise des conférences de presse depuis le balcon. En 2016, il adopte même un chat qu’il appelle “Embassy Cat” et qui devient une star sur Twitter. Mais psychologiquement, c’est dur. Pas de soleil direct, pas d’air frais, la paranoïa qui monte…

Et surtout, les relations avec l’Équateur se dégradent progressivement. Le nouveau président, Lenín Moreno (élu en 2017), en a marre de son locataire encombrant. Et des histoires commencent à circuler : Julian barbouillerait les murs avec ses excréments, insulterait le personnel, piraterait les systèmes informatiques de l’ambassade. Vrai ou intox ? Difficile à dire, mais l’ambiance est clairement pourrie.

Pendant ce temps, WikiLeaks continue ses publications. En 2016, ils balancent les emails du Comité National Démocrate américain, révélant les magouilles contre Bernie Sanders. Certains accusent Assange d’avoir influencé l’élection de Trump. En 2017, c’est “Vault 7”, des milliers de documents sur les outils de cyber-espionnage de la CIA.

Puis le 11 avril 2019, c’est fini. L’Équateur révoque l’asile de Julian et invite la police britannique à venir le chercher. Les images de son arrestation font alors le tour du monde : un homme barbu, cheveux blancs ébouriffés, qui hurle “C’est illégal ! UK must resist !” pendant qu’on le traîne hors de l’ambassade. Après sept ans de réclusion, Julian ressemble plus à un prophète fou qu’au hacker élégant d’autrefois.

– L’arrestation spectaculaire de Julian Assange le 11 avril 2019

Direction la prison de Belmarsh, surnommée la “Guantanamo britannique”, une prison de haute sécurité où sont enfermés les terroristes et les criminels les plus dangereux. Julian y passe 23 heures sur 24 en cellule. Son heure de “récréation” se déroule dans une cour intérieure, sous surveillance constante. Sans soleil direct depuis 2012, autant dire que sa santé mentale et physique se dégrade rapidement.

Les États-Unis réclament alors son extradition pour 18 chefs d’accusation sous l’Espionage Act. Peine encourue : 175 ans de prison. Ses avocats se battent comme des lions, sa compagne Stella Moris (qu’il épouse en prison en mars 2022) mobilise l’opinion publique, des dizaines de prix Nobel et d’organisations de défense des droits humains demandent sa libération. Mais la justice britannique traîne, reporte, hésite.

En mai 2019, Nils Melzer, le rapporteur spécial de l’ONU sur la torture, visite Assange à Belmarsh et déclare qu’il montre “tous les symptômes typiques d’une exposition prolongée à la torture psychologique”. Les conditions de détention sont dénoncées par des médecins du monde entier.

– HM Prison Belmarsh, où Assange a passé 5 ans en isolement

Et puis, coup de théâtre ! Le 24 juin 2024, après des négociations secrètes, un accord est trouvé avec les États-Unis. Julian accepte de plaider coupable pour un seul chef d’accusation : conspiration pour obtenir et divulguer des informations de défense nationale. La sentence ? 62 mois de prison, soit pile poil le temps qu’il a déjà passé à Belmarsh. Bingo !

La cérémonie judiciaire se déroule le 26 juin 2024 à Saipan, dans les îles Mariannes du Nord. Pourquoi ce bled paumé ? Parce que c’est techniquement territoire américain mais proche de l’Australie, et Julian refuse catégoriquement de foutre les pieds sur le continent US.

Quelques heures plus tard, Julian atterrit à Canberra, en Australie. Libre. Après 1 901 jours d’emprisonnement, 2 487 jours dans l’ambassade. 14 ans de sa vie sacrifiés pour WikiLeaks. Les images montrent un homme amaigri, cheveux blancs, mais souriant. Il embrasse sa femme Stella et ses deux fils, nés pendant qu’il était coincé à l’ambassade.

Alors, qu’est-ce que je retiens de cette histoire complètement folle ? Et bien que Julian Assange a réécrit ce qu’était le journalisme d’investigation, et grâce à WikiLeaks et ses technologies de pointe (Tor, chiffrement, drop box anonyme), n’importe quel lanceur d’alerte peut maintenant balancer des secrets d’État depuis son canapé. C’est une sacrée révolution !

Et les révélations de WikiLeaks ont clairement changé le monde. Elles ont contribué au Printemps arabe, révélé l’ampleur des crimes de guerre en Irak et Afghanistan, exposé la surveillance de masse, montré l’hypocrisie de la diplomatie mondiale. Mais elles ont aussi peut-être influencé l’élection de Trump, mis en danger des sources, créé des tensions diplomatiques majeures.

Ses détracteurs disent qu’il a mis en danger des vies humaines en publiant des documents sans précaution et ses supporters, qu’il a révélé des vérités que le public avait le droit de connaître. Julian n’est ni un héros parfait ni un méchant de James Bond… c’est un mec complexe, brillant, probablement insupportable, et qui a pris des risques énormes pour ses convictions.

– Certes, WikiLeaks continue d’exister, mais sans son fondateur charismatique, l’organisation a perdu de sa superbe.

Quoiqu’il en soit, l’héritage de WikiLeaks dépasse largement les scandales et son modèle a fait des petits : SecureDrop (utilisé par des dizaines de médias), GlobaLeaks, AfriLeaks… Les Panama Papers, les Paradise Papers, toutes ces méga-fuites utilisent des techniques développées ou popularisées par WikiLeaks. Julian a industrialisé le lancement d’alerte.

Aujourd’hui, il a 53 ans dont 14 ans de sa vie adulte en cavale, enfermé ou en prison et sa santé est fragile… Il souffre de dépression, d’anxiété, de problèmes neurologiques mais il restera dans l’histoire comme l’homme qui a payé le prix fort pour que chacun d’entre nous puisse connaitre la vérité.

– Sources :

Wikipedia - Julian Assange, Wikipedia - WikiLeaks, NPR - Julian Assange plea deal, U.S. Department of Justice - WikiLeaks Founder Pleads Guilty, MuckRock - NASA WANK worm investigation, WikiLeaks - Connection Anonymity, The Tor Project - WikiLeaks case study, Wikipedia - Underground (book), The Guardian - Julian Assange coverage, Al Jazeera - Julian Assange freed

https://korben.info/julian-assange-wikileaks-histoire-complete.html

75 000 dollars par an pour balancer des hackers au FBI tout en piquant 170 millions de numéros de cartes bancaires. C’est pas du génie multitâche ça ? Albert Gonzalez, alias Soupnazi, 22 ans à l’époque, c’était LE mec qui jouait sur tous les tableaux. Mais alors, comment on passe de petit génie de l’informatique à ennemi public numéro un du e-commerce américain ? Installez-vous confortablement, j’vous raconte tout.

– Albert Gonzalez, le cerveau derrière le plus gros vol de données bancaires de l’histoire

Bon, alors déjà, faut que je vous parle du parcours totalement dingue de ce type. L’histoire d’Albert, elle commence pas dans une cave sombre remplie d’écrans façon Matrix. Non, non, non… elle démarre sur un radeau pourri au milieu de l’océan dans les années 70. Son père, Alberto Sr. s’est barré de Cuba avec 2 potes sur une embarcation bricolée avec trois bouts de ficelle. 48 heures à dériver dans le détroit de Floride, avant qu’un sous-marin américain les repère. Les gardes-côtes les récupèrent in extremis, et voilà, la famille Gonzalez débarque en Amérique.

Le père se retrousse les manches direct. Il lance une boîte de jardinage à Miami, épouse Maria en 1977, et le 13 juin 1981, petit Albert Jr. pointe le bout de son nez. Une famille cubaine old school, soudée, qui croit dur comme fer au rêve américain. Jusque-là, rien d’anormal. Sauf que…

Sauf qu’Albert Jr., dès ses 12 ans, il a déjà autre chose en tête que le base-ball et les barbecues familiaux. Ses parents lui offrent son premier ordi (probablement un bon vieux 486 ou un Pentium de l’époque), et là, c’est l’illumination totale. Non, ce n’est pas un de ces gamins qui joue à Doom en boucle. Non, lui, il démonte la bête, il veut comprendre les entrailles du système, et le plus beau dans tout ça, c’est qu’à 14 ans, le môme réussit à s’introduire dans les systèmes de la NASA.

– La NASA, première victime d’Albert Gonzalez à seulement 14 ans

Moi à cet âge, je bidouillais pas mal déjà, mais Albert, c’était déjà d’un autre niveau… un prodige et pas un script kiddie qui lance des tools tout faits trouvés sur Kazaa. Non, il comprenait réellement ce qu’il faisait.

Au lycée South Miami High, Albert devient rapidement le boss incontesté de la bande des “computer nerds”. Vous voyez le tableau : cette petite troupe de geeks qui squattent la salle info pendant que les autres draguent les pom-pom girls. Sauf que là, on est loin du club d’informatique qui code des petits jeux en BASIC. Albert et sa bande explorent déjà les recoins les plus sombres du web naissant.

Et puis un jour, lors de sa première année de lycée, 2 types en costume débarquent. C’est le FBI et ils demandent à voir le petit Gonzalez. Direction les bureaux de Miami pour une “petite discussion” de quelques heures. L’avocat de la famille raconte la scène des années plus tard : “Ce gamin était incroyable. Il menait l’agent par le bout du nez comme un pro.” Et au bout de 4 heures, l’agent du FBI sort et lâche, dépité : “Ce môme est extraordinaire. Il nous fait tourner en bourrique.”

Bref, au lieu de l’embarquer ou de porter plainte, ils lui filent juste un avertissement et le laissent partir. Grosse, GROSSE erreur. Parce qu’Albert, il ne traduit pas ça par “ouh là, faut que j’arrête mes conneries”. Non, dans sa tête, ça sonne plutôt comme “t’es tellement fort que même le FBI peut rien contre toi”. Pour un ado surdoué en pleine crise d’ego, c’est de la nitroglycérine [censored].

Entre 2002 et 2004, Albert découvre alors ShadowCrew. ShadowCrew, pour ceux qui suivent pas, c’était LE forum underground de l’époque. Imaginez un eBay du crime, où on y vendait des numéros de CB volées, des faux papiers, des données perso… Tout ce qui fait le bonheur des cybercriminels. C’était the place to be si t’étais dans le business de la fraude.

– ShadowCrew, le eBay du cybercrime où Albert a fait ses armes

Et Albert, rapidement, il devient pas juste un membre lambda qui achète 3 numéros pour se payer des Nike. Non non, il intègre direct le cercle des admins influents. Il apprend toutes les ficelles : comment fonctionne l’économie souterraine, les réseaux de revendeurs, les techniques de blanchiment… Et surtout, il perfectionne ses techniques d’injection SQL.

Alors là, petite pause technique pour les non-initiés. L’injection SQL, c’est quoi ? En gros, c’est l’art de faire cracher toutes ses données à une base de données en passant par la porte d’entrée. Vous savez quand vous tapez votre email sur un site ? Normalement, le site va chercher votre profil. Mais si au lieu de taper “[email protected]”, vous tapiez en plus un code malicieux genre “’ OR 1=1–”, vous pouvez potentiellement récupérer TOUTE la base. En 2003-2004, c’était de la magie noire. Aujourd’hui, c’est enseigné en première année de sécu info, mais à l’époque, Albert était un vrai pionnier du genre.

– Principe de l’injection SQL, l’arme favorite d’Albert Gonzalez

Puis en 2003, tout bascule. Albert se fait pincer à New York avec des cartes bancaires clonées. Flagrant délit, game over ? Pas du tout ! Les autorités lui proposent LE deal du siècle : devenir informateur pour le Secret Service. L’idée est simple comme bonjour… Albert connaît le milieu, il a accès aux forums, il parle la langue des carders. Parfait pour infiltrer et démanteler les réseaux.

Du coup, le Secret Service lui file un badge officiel (si si, un vrai !), un salaire de 75 000 dollars par an (une fortune pour un gamin de 22 ans), et une mission : infiltrer ShadowCrew et aider à faire tomber tout le réseau. Et Albert, il joue le jeu à fond. D’avril 2003 à octobre 2004, il balance absolument tout : les pseudos, les vraies identités, les méthodes, les planques…

L’opération “Firewall” (c’est son petit nom) se termine alors en apothéose : 28 arrestations simultanées dans 8 pays, ShadowCrew est fermé, et des millions de dollars sont saisis. C’est un succès total pour le Secret Service et Albert devient officiellement un héros de l’ombre, le hacker repenti qui aide les gentils.

– Le Secret Service, qui payait Albert 75 000$/an sans se douter de rien

Seulement voilà, c’est là que ça devient vraiment, mais alors vraiment tordu. Parce qu’Albert, pendant qu’il aide le Secret Service le jour, il prépare le casse du siècle la nuit. Grâce à son accès privilégié, il sait EXACTEMENT comment les fédéraux détectent les cybercriminels. Il connaît leurs techniques, leurs outils, leurs angles morts. C’est comme si un braqueur de banque bossait à mi-temps comme consultant sécurité pour la Brinks.

Et en 2005, Albert lance sa première méga-opération. Sa cible numéro une c’est TJX Companies, la maison mère de T.J. Maxx, Marshalls, Winners, et une tripotée d’autres enseignes. Albert a pigé le truc… pourquoi s’emmerder à hacker chaque magasin un par un quand on peut directement taper dans le serveur central qui gère TOUT ?

Sa technique, c’est du wardriving de compétition. Albert se balade en voiture dans les parkings des centres commerciaux, laptop sur les genoux, et il scanne tous les réseaux WiFi des boutiques. À l’époque (on parle de 2005 hein), la plupart des magasins utilisaient soit pas de sécurité WiFi du tout, soit du WEP cracké en 2 minutes chrono, soit des mots de passe genre “admin123”. Du pain béni pour notre Albert.

Une fois qu’il trouve un point d’entrée, Albert déploie tout son arsenal. Injection SQL pour pénétrer les bases de données, installation de backdoors (des portes dérobées pour revenir quand il veut), et surtout, déploiement de sniffeurs de paquets, ces petits programmes vicieux interceptent et enregistrent TOUT le trafic réseau, y compris (jackpot !!) les numéros de cartes bancaires qui transitent.

Le plus beau dans le système d’Albert ? C’est que c’est totalement passif. Une fois ses outils installés, ils tournent en mode ninja pendant des mois, aspirant silencieusement chaque transaction. Albert n’a plus qu’à passer de temps en temps pour récolter le butin. C’est de la pêche au filet dérivant version 2.0.

Et le butin, mes amis… Accrochez-vous bien, il est conséquent !! En 18 mois, Albert et son équipe récupèrent 45,6 MILLIONS de numéros de cartes bancaires rien que chez TJX. 45,6 millions ! C’est plus que la population de l’Espagne ! Chaque numéro se revend entre 10 et 50 dollars sur le marché noir. Faites le calcul.

– TJX Companies, première grosse victime avec 45,6 millions de cartes volées

Mais Albert, il s’arrête pas en si bon chemin et pendant qu’il continue à toucher son salaire d’indic du FBI, il élargit ses opérations. Barnes & Noble ? ✅. BJ’s Wholesale Club ? ✅. Office Max ? ✅. DSW ? ✅. Boston Market ? ✅. Sports Authority ? ✅. Dave & Busters ? ✅ aussi. C’est Noël tous les jours pour notre ami Albert.

Le plus dingue, c’est qu’Albert assiste aux réunions du Secret Service où on s’inquiète de cette nouvelle vague de cybercrimes. Il entend ses collègues flipper sur ces hackers de plus en plus balèzes, et chercher des solutions pour protéger le commerce américain. Et lui ? Il opine gravement de la tête, prend des notes consciencieuses, et rentre chez lui peaufiner son prochain coup. C’est du foutage de gueule niveau olympique.

Albert vit alors la grande vie pendant ce temps. Il se paie une fête d’anniversaire à 75 000 dollars, roule en BMW flambant neuve, offre une bague Tiffany à sa copine, collectionne les Rolex… Un jour, il se plaint même que sa machine à compter les billets est en panne et qu’il doit compter 340 000 dollars à la main. Les problèmes de riche, quoi.

Et en 2008, Albert vise encore plus gros : Heartland Payment Systems. Cette boîte, c’est pas n’importe qui. C’est l’un des plus gros processeurs de paiements des États-Unis. Ils gèrent les transactions de milliers de commerces. Si Albert arrive à les percer, c’est le jackpot ultime, la cerise sur le gâteau, le saint Graal des carders.

Et devinez quoi ? Il y arrive. L’attaque sur Heartland, c’est 130 MILLIONS de numéros de cartes supplémentaires qui tombent dans son escarcelle. 130 millions ! À ce stade, Albert a plus de données bancaires dans ses serveurs que certaines banques nationales. C’est de l’industrialisation du crime à grande échelle.

– Heartland Payment Systems, le coup de grâce avec 130 millions de cartes volées

Mais Albert, c’est pas juste un geek qui accumule des données. Non, il a monté une véritable multinationale du crime. Des complices en Europe de l’Est pour fabriquer les cartes clonées, des mules en Asie pour retirer le cash, des revendeurs en Amérique du Sud… Les numéros sont répartis géographiquement, transformés en vraies fausses cartes plastiques, et utilisés dans des pays où les systèmes anti-fraude sont à la ramasse.

Et Albert lui-même ne touche jamais directement aux cartes. Il reste dans l’ombre, le PDG fantôme de cette entreprise criminelle 2.0. Il coordonne, il manage, et il touche sa commission sur chaque transaction frauduleuse. C’est du crime organisé new generation.

Pendant ce temps, c’est l’apocalypse dans le monde bancaire. Les assurances chiffrent les pertes à près de 200 millions de dollars. Des millions de clients doivent faire refaire leurs cartes en catastrophe. Les entreprises claquent des fortunes pour renforcer leur sécurité. Et pendant ce temps, Albert continue tranquillement à pointer au Secret Service et toucher son chèque mensuel. L’audace.

La chute arrive finalement en mai 2008. Ironiquement, c’est en utilisant ses propres techniques contre lui que les enquêteurs remontent sa piste. Analyse du trafic réseau, patterns dans les attaques, traces laissées par ses backdoors… Tout ce qu’Albert a appris comme informateur, les fédéraux l’utilisent pour le traquer. L’arroseur arrosé, version cyber.

L’arrestation a alors lieu le 7 mai 2008, chambre 1508 du National Hotel à Miami Beach. Les flics saisissent 1,6 million de dollars en cash (dont 1,1 million enterré dans des sacs plastiques dans le jardin de ses parents), ses laptops, trois montres Rolex, la bague Tiffany, et même un Glock compact. Albert vivait vraiment la vida loca.

Les procès s’enchaînent alors. Septembre 2009, Albert plaide coupable sur tous les chefs d’accusation. Pas le choix car les preuves sont accablantes et ses anciens complices l’ont balancé pour réduire leurs peines. Mars 2010, première sentence : 20 ans de prison pour l’affaire TJX. Le lendemain, rebelote : 20 ans pour Heartland. Heureusement pour lui, les peines sont fusionnées, soit 20 ans au total et pas 40.

20 ans de taule, c’était du jamais vu pour un cybercrime à l’époque et le juge a voulu marquer le coup, montrer que la justice américaine rigolait pas avec ces nouveaux criminels 2.0. Direction le Federal Correctional Institution de Milan, dans le Michigan. Une prison fédérale “minimum security”, mais une prison quand même.

Albert est finalement sorti en septembre 2023 ! Eh oui, avec les réductions de peine pour bonne conduite, il a fait “que” 15 ans au lieu de 20. Aujourd’hui, Albert a 43 ans et il est libre comme l’air. Alors qu’est-ce qu’il fabrique maintenant ?

Officiellement, Albert s’est rangé des voitures. En prison, il a suivi des cours, obtenu des diplômes, participé aux programmes de réinsertion. Ses avocats jurent qu’il regrette, qu’il veut contribuer positivement à la société, tout le tralala habituel. Mais bon, permettez-moi d’être sceptique. Un mec capable de mener une double vie pendant 5 ans, de berner le FBI et le Secret Service tout en orchestrant le plus gros cybercrime de l’histoire… ça ne change pas en 15 ans de zonzon…

Et Albert sort dans un monde totalement différent de celui qu’il a quitté. En 2008, le Bitcoin existait à peine. Aujourd’hui, on a les cryptos, le darkweb décentralisé, les ransomwares qui paralysent des pays entiers, l’IA qui code toute seule… Avec son expérience et son intelligence, Albert pourrait faire à nouveau des ravages.

Ou alors, il pourrait utiliser ses compétences pour le bien. Après tout, qui de mieux placé qu’un ancien cybercriminel de génie pour aider à protéger nos systèmes ? Certaines boîtes de sécu info recrutent des anciens black hats pour renforcer leurs défenses alors pourquoi pas devenir un white hat qui aide à arrêter les méchants ?

Quoiqu’il en soit, les techniques qu’il a popularisées comme l’injection SQL, le wardriving, le snif de paquets et j’en passe, sont devenues des classiques enseignés dans toutes les formations de cybersécurité et les normes PCI DSS, qui régissent aujourd’hui la sécurité des paiements par carte, ont été directement renforcées en réponse à ses attaques.

Bref, d’une certaine manière, Albert a rendu le e-commerce plus sûr… en montrant à quel point il était vulnérable.

– Sources :

Wikipedia - Albert Gonzalez, U.S. Department of Justice - Leader of Hacking Ring Sentenced, Harvard Law School Case Studies - Albert Gonzalez: Get Rich or Die Tryin’, CBS News - Albert Gonzalez Gets 20 Years, CNN - Secret Service paid hacker $75k a year, Dark Reading - TJX, Heartland Hacker Sentenced

https://korben.info/albert-gonzalez-plus-grand-cybercriminel-histoire.html

Histoire de vie très passionnante (j’espère qu’ils en feront un film tiens).
Comme d’habitude merci pour cette mise en page ma poule 😉

Suisse: Un autre village est sur le point de se voir ensevelir

La pluie a causé plusieurs éboulements dimanche soir à Brienz (GR), village grison évacué depuis novembre. Dix mille mètres cubes de roche sont tombés sur le matériel amassé au-dessus du village et qui menace déjà de chuter. Le risque d’une destruction importante plane, car le matériau amassé se déplace désormais deux fois plus vite.

ddef681f-e7aa-43d2-8d38-1dba83140e58-image.png
Le village est déjà évacué depuis novembre dernier.

Beaucoup d’endroit sont menacés suite au changement climatique et à la font du permafrost (pergélisol pour les pédants).

Si les 1,2 million de mètres cubes se mettaient à glisser définitivement, ils pourrait, en raison du sous-sol humide, avancer plus loin que par temps sec, a annoncé lundi la commune d’Albula. Tout le village de Brienz pourrait donc être enseveli.

En soi, de tels éboulements ne sont pas exceptionnels dans la région. Mais cette fois, vitesse du matériau susceptible de tomber a doublé en très peu de temps, pour atteindre 46 centimètres par jour.

Préparation préventive

Des experts ont recommandé aux autorités de préparer la prochaine phase «bleue», ajoute la commune. Cette phase comprend la fermeture de toutes les voies de communication environnantes. Le village est déjà évacué depuis novembre dernier.

L’Office cantonal des ponts et chaussées et les Chemins de fer rhétiques (RhB) ont dès lors mis en service lundi matin des feux de signalisation sur les routes et la ligne de chemin de fer en contrebas du village. Si le matériau se détache, les routes de Tiefencastel à Surava et à Lenzerheide, ainsi que la ligne de l’Albula des RhB seront immédiatement fermées.

En outre, une interdiction pour les vélos et les piétons est en préparation pour les deux tronçons de route concernés, écrit la commune.

Situation évaluée en permanence

Des experts observent en permanence la situation et travaillent en étroite collaboration avec les autorités, a assuré la commune. La préparation à la phase «bleue» est de nature purement préventive.

Actuellement, les spécialistes s’attendent toutefois à ce que le risque soit rapidement désamorcé. Dans ce cas, la phase «bleue» ne devrait pas être déclarée.

Source: https://www.bluewin.ch/fr/infos/faits-divers/risque-de-destruction-d-ampleur-brienz-gr-2801866.html

Merci Phil Zimmermann et @Violence pour cet article :pouce:

Sinon, si tu as une asso, tu fais un site a la con genre geek, tech avec que des liens affiliés Amazon. Il y a toujours des gugus pour le faire.

rhaaaaaaaa mc afee et ses mises à jour de 3 mo qui mettaient la nuit à arriver lol

Oups 😉

L’agence américaine chargée des armes nucléaires figure parmi les 400 organisations compromises par les pirates informatiques chinois qui ont exploité une faille zero-day critique affectant Microsoft SharePoint

https://securite.developpez.com/actu/374031/L-agence-americaine-chargee-des-armes-nucleaires-figure-parmi-les-400-organisations-compromises-par-les-pirates-informatiques-chinois-qui-ont-exploite-une-faille-zero-day-critique-affectant-Microsoft-SharePoint/

Encore merci l’ami pour ces sujets très intéressant à lire (et on n’en apprend tous les jours 😁).

Tout à fait, ça permet de mieux comprendre tout ce petit monde des white & black Hats.

@berni a dit dans [Dossier] Kevin Mitnick : le hacker le plus recherché du FBI :

Génial

Content que ça te plaise 🙂

Carrément passionnant !!! Comme tous tous ceux qui ont précédé et , j’espère ; ceux qui suivront ; merci du partage…Trop cool…

Si vous êtes du genre à penser que derrière les cyberattaques, c’est juste des Tanguy qui volent des mots de passe, j’ai une histoire qui va vous retourner le cerveau.

Le 24 novembre 2014, Sony Pictures s’est fait défoncer la tronche comme jamais à cause d’une comédie pourrave avec Seth Rogen qui voulait buter Kim Jong-un. Et je vous explique aujourd’hui pourquoi c’est l’un des hacks les plus dingues de l’histoire.

Ce matin-là, les employés de Sony Pictures à Culver City ont vécu l’enfer. Imaginez, vous arrivez au taf, vous lancez le PC et au moment de checker vos emails, BAM ! Un crâne rouge fluo avec des doigts squelettiques s’affiche avec un message des “Guardians of Peace” (GoP) : “On a tout volé, vos secrets, vos fichiers, TOUT. Vous avez jusqu’à 23h pour négocier.” Ambiance garantie dans l’open space.

– Le crâne rouge des Guardians of Peace - L’écran de la mort qui a terrorisé Sony

Ce que les employés ne savaient pas alors, c’est que 3 jours avant, le 21 novembre, les gros bonnets de Sony avaient reçu un email d’avertissement. Un groupe qui se faisait appeler “God’sApstls” leur demandait du fric : “Payez-nous ou Sony Pictures sera bombardé dans son ensemble.” Bah oui tranquille, qui va prendre au sérieux un email de rançon avec des fautes d’orthographe ? Les execs l’ont pris pour du spam et l’ont jeté à la corbeille. Les couillons.

Quelques jours plus tard, ces hackers récupéraient alors 100 TÉRAOCTETS de données. Pour vous donner une idée, c’est comme si vous aviez piraté l’intégralité de Netflix. Dedans, y’avait absolument tout : 47 000 numéros de sécu sociale, les salaires de tout le monde (spoiler : les femmes étaient bien moins payées), des films pas sortis, et surtout… les emails. Oh putain, les emails.

– Amy Pascal et Scott Rudin - Le duo explosif dont les emails ont fait scandale

Les emails entre Amy Pascal (co-présidente de Sony Pictures) et Scott Rudin (producteur star), c’était du caviar. Ces deux-là s’envoyaient des vannes bien salées sur tout Hollywood. Rudin a littéralement traité Angelina Jolie de “gamine pourrie gâtée avec un talent ridicule”. Pourquoi ? Parce qu’elle voulait faire son film Cléopâtre avec David Fincher. Il a écrit : “Je ne suis pas du tout intéressé à présider un bain d’ego à 180 millions de dollars.” Brutal.

Mais attendez, ça devient encore plus croustillant notamment dans ce mail où Pascal demandait à Rudin ce qu’elle devrait dire à Obama lors d’un petit-déj’ de levée de fonds. Réponse du mec : “Demande-lui s’il a aimé Django.” Pascal : “Ou 12 Years a Slave.” Rudin : “Think Like a Man ?” Pascal : “Ride Along. Je parie qu’il adore Kevin Hart.” En gros, ils faisaient des blagues racistes en suggérant qu’Obama ne regardait que des films avec des Noirs. Quand c’est sorti dans la presse, ce fut un Hiroshima médiatique.

Pour réussir leur attaque, les hackers ont utilisé une variante du malware Shamoon, rebaptisée “Destover” ou “Wipall” et ce truc effaçait les disques durs ET le Master Boot Record ce qui faisait, grosso modo, que les PC touchés devenaient des presse-papiers à 2000 balles.

Tom Chapman d’EdgeWave a alors analysé l’attaque pour trouver que tout avait commencé par un simple email de spear phishing. Un employé lambda a cliqué sur le mauvais lien (probablement un truc du genre “Cliquez ici pour voir les photos du pot de Noël”), et hop, les hackers ont pris le contrôle du serveur mail et de l’Active Directory. Game over.

Le plus flippant c’est que ces enfoirés étaient dans le réseau depuis AU MOINS deux mois. Certains experts parlent même d’un an ! Ils se baladaient tranquilles dans les serveurs de Sony, pompant des données comme des malades. Ils connaissaient le réseau par cœur : les noms des serveurs, les mots de passe admin, et tout était hardcodé dans leur malware. Du travail de pro, pas des script kiddies de 4chan.

Maintenant, parlons du film qui a foutu le bordel : “The Interview”. Cette comédie débile avec James Franco et Seth Rogen racontait l’histoire de deux journalistes crétins recrutés par la CIA pour assassiner Kim Jong-un. En gros, ils obtiennent une interview exclusive avec le dictateur et doivent le buter pendant l’émission. Hilarant, non ? Bah apparemment, le vrai Kim Jong-un a moyennement apprécié l’humour.

– The Interview - Le film à 44 millions qui a failli déclencher la 3ème guerre mondiale

Le 16 décembre, les GoP balancent la menace ultime. Ils promettent des attentats type 11 septembre dans les cinémas qui oseraient projeter le film : “Nous recommandons à ceux qui vivent près des cinémas de se tenir éloignés. Si votre maison est proche, partez.” C’est plus du hacking, c’est du terrorisme pur et simple. Les grandes chaînes (AMC, Regal, Cinemark) chient alors dans leur froc et annulent tout. Le 17 décembre, Sony capitule et annule la sortie du film.

Barack Obama était vénère. En conférence de presse, il balance : “Nous ne pouvons pas avoir une société où un dictateur impose la censure aux États-Unis.” Il qualifie ça de “cyber-vandalisme” (pas d’acte de guerre, faut pas déconner) et promet une réponse. Et comme par hasard, le 22 décembre, tout Internet en Corée du Nord tombe en panne pendant 9h31. Les US nient toute implication. Bien sûr.

– Obama furieux - “On ne peut pas laisser un dictateur censurer Hollywood”

George Clooney, lui aussi a pété un plomb. Avec son agent Bryan Lourd, il rédige une pétition de soutien à Sony. Le message ? “C’est pas juste Sony qui se fait attaquer, c’est toute notre liberté d’expression.” Résultat des courses : ZÉRO signature. Nada. Que dalle. Tout Hollywood avait les chocottes de devenir la prochaine cible.

Clooney l’a alors dit cash dans Deadline : “Personne n’a signé. Pas un seul. Amy Pascal m’a appelé pour me remercier, c’était tout. C’est la définition du terrorisme : on nous dit qu’on peut pas voir un film à cause de Kim Jong-un, putain !” Le mec était dégoûté de la lâcheté d’Hollywood.

Puis finalement, Sony fait un doigt d’honneur aux hackers en sortant quand même le film le 25 décembre dans 331 cinémas indépendants et en VOD. Résultat, 40 millions en digital, 12,3 millions au box-office. Pas mal pour un film “censuré” ! Les Américains l’ont regardé par principe, genre “personne ne nous dit quoi regarder”. ‘Murica!

Mais parlons maintenant du cerveau derrière tout ça : le groupe Lazarus dont je vous conté les exploits y’a pas si longtemps. Ces mecs, c’est pas des amateurs du dimanche. Actifs depuis 2009, ils bossent pour le Bureau 121, l’unité cyber de l’armée nord-coréenne. 6000 hackers d’élite basés en Chine, Russie, et autres pays sympas. Leur CV ? L’attaque WannaCry de 2017, le vol de 81 millions à la Bangladesh Bank, des attaques contre la Corée du Sud…

Le FBI les a identifié car ils avaient été “négligents” avec leurs proxys. Traduction : ces génies se sont connectés directement depuis des IP nord-coréennes plusieurs fois. Erreur de débutant ou arrogance ? On ne saura jamais. Et en 2018, les autorités américaines ont inculpé Park Jin-hyok, un hacker du Bureau général de reconnaissance qui bossait sous couverture pour Chosun Expo Joint Venture.

Il y eu pas mal de dégâts collatéraux. “Fury” avec Brad Pitt : 1,2 million de téléchargements illégaux. “Annie” (le remake pourri) : 206 000 téléchargements avant même sa sortie, soit au total, 5 films dans la nature. Mais le pire, c’était les données perso. Des employés ont trouvé leurs numéros de sécu en vente sur le dark web des années après.

Et dans les emails leakés, y’avait un dossier “Passwords” avec 139 fichiers avec dedans, les mots de passe Facebook, Twitter, YouTube de tous les comptes marketing des films. Certains passwords étaient du genre “password123” ou “sony2014”. La sécu chez Sony, c’était niveau CP. J’imagine même pas la tête des mecs de l’IT quand ils ont vu ça.

Il y avait également d’autres perles dans les emails : Jennifer Lawrence payée moins que ses co-stars masculins dans American Hustle (elle touchait 7% contre 9% pour les mecs). Kevin Hart traité d’artiste “coquille vide” qui demande trop d’argent. Leonardo DiCaprio qualifié d’“horrible pour attirer un public”. Les producteurs qui se plaignent qu’Adam Sandler fait des films de merde mais qu’ils continuent à le payer parce que ça rapporte à l’international.

Michael Lynton, le CEO de Sony Entertainment, a aussi raconté l’après-hack. Ils ont dû ressortir les vieux BlackBerry du placard pour communiquer. Plus d’emails, plus de téléphones fixes, plus rien. Ils utilisaient des MACHINES À CHÈQUES MÉCANIQUES pour payer les employés ! En 2014, c’était retour aux années 80.

Et les employés ont morflé grave. Les hackers leur envoyaient des menaces perso : “Vous et votre famille serez en danger.” Des mecs ont fait surveiller leurs gamins à l’école. D’autres ont payé des services de protection d’identité de leur poche. L’ambiance chez Sony était tellement toxique que beaucoup se sont barrés.

– Les bureaux de Sony Pictures (source)

Et niveau thunes, c’est le flou total. Sony annonça 15 millions de “coûts d’investigation” au Q1 2015 mais les analystes parlent de 100 à 200 millions au total. 8 millions rien que pour le procès collectif des employés et heureusement qu’ils avaient une assurance cyber de 60 millions. Une goutte d’eau dans l’océan des emmerdes.

Aaron Sorkin (le mec qui a écrit The Social Network) a également pété un câble contre les médias. Pour lui, publier les emails volés, c’était “aider les terroristes”. Il a écrit dans le NY Times que les journalistes étaient “moralement traîtres”. Les journalistes ont répondu : “C’est de l’intérêt public, on révèle le vrai visage d’Hollywood.” et ce débat fait encore rage aujourd’hui.

D’ailleurs, dans les emails de Sorkin lui-même, on découvre qu’il galère avec le biopic de Steve Jobs. Il écrit aussi que les actrices ont la vie facile aux Oscars comparé aux acteurs. “Les femmes gagnent juste en étant bonnes, les hommes doivent transformer leur corps et souffrir.” Sympa l’ambiance #MeToo avant l’heure.

Seth Rogen, des années après, reste traumatisé : “C’était l’apocalypse. Amy Pascal virée, des carrières brisées, Hollywood paralysé par la peur. Tout ça pour notre film débile.” James Franco, lui, en rigole : “Au moins, tout le monde a vu le film. Meilleure promo ever !”

L’impact sur Hollywood a également été énorme. Maintenant, tout est chiffré (enfin, on espère) et les formations anti-phishing sont obligatoires. Les emails sensibles passent par Signal ou des trucs sécurisés, mais surtout, tout le monde a compris : dans le monde numérique, tes secrets les plus noirs peuvent devenir publics en un clic.

Aujourd’hui, “The Interview” passe tranquille à la télé et ce film qui a failli déclencher la 3ème guerre mondiale est devenu un truc qu’on regarde en mangeant des chips. 51% sur Rotten Tomatoes… Tout ça pour ça.

Quoiqu’il en soit, ce hack restera dans l’histoire comme le jour où un dictateur a réussi à censurer Hollywood. C’est aussi la première fois qu’un pays est sanctionné pour une cyberattaque contre une boîte privée. Un précédent qui fait flipper car si un film peut déclencher ça, qu’est-ce qui se passera avec un truc vraiment sérieux ?

En tout cas, la prochaine fois que votre boîte vous saoule avec ses formations sécu, pensez à Sony. Pensez à Amy Pascal qui s’est fait virer pour des vannes privées. Pensez aux employés qui ont vu leurs numéros de sécu en vente sur le dark web. Et surtout, ne cliquez pas sur ce putain de lien suspect. À vous de voir maintenant.

– Sources :

2014 Sony Pictures hack - Wikipedia, George Clooney on Sony Hack - Deadline, DOJ Charges Park Jin-hyok, Wired - Evidence Analysis

https://korben.info/sony-pictures-hack-2014-histoire-complete.html