Planète Warez

Je me souviens de cette histoire qui avait fait grand bruit à l’époque, ce fut même peut être plus efficace que les 14 GBU-57 larguées sur les sites d’enrichissement dernièrement.

Vous savez ce qui est plus fort qu’un gouvernement qui veut lire vos emails ? Et bien c’est un petit gars de Brooklyn qui code des algorithmes dans son garage et les distribue gratuitement sur Internet.

Bruce Schneier a littéralement cassé le monopole gouvernemental sur la cryptographie forte, et la NSA ne s’en est toujours pas remise. D’ailleurs son histoire explique pourquoi vous pouvez aujourd’hui chiffrer vos données sans demander l’autorisation à qui que ce soit.

Bruce Schneier lors d’une conférence
– Bruce Schneier, le cryptographe qui a démocratisé le chiffrement fort

En effet, durant les années 90, la cryptographie était classée arme de guerre par les traités internationaux et distribuer un algorithme de chiffrement pouvait vous valoir de gros ennuis avec les autorités. C’est dans ce contexte tendu que Bruce Schneier, né le 15 janvier 1963 dans le quartier de Flatbush à Brooklyn, va bousculer un domaine jusque-là réservé aux militaires et aux services secrets. Fils de Martin Schneier, juge à la Cour suprême de Brooklyn, le jeune Bruce n’était pas destiné à devenir l’ennemi public numéro 1 de la NSA. Mais vous savez, parfois, les destins basculent.

Après ses études de physique à l’Université de Rochester en 1984, puis une maîtrise en informatique à l’American University de Washington en 1988, Schneier se retrouve au cœur de la capitale fédérale au moment où les ordinateurs personnels commencent à exploser. Le contexte est crucial… nous sommes à la fin de la guerre froide, l’Internet naissant commence à connecter les universités, et les algorithmes de chiffrement disponibles au grand public sont d’une faiblesse affligeante. Le fameux DES (Data Encryption Standard), adopté en 1977, montre déjà ses limites face aux machines plus puissantes et rapidement, il y avait un vrai besoin de changement.

C’est là que notre héros va commettre son premier acte de rébellion cryptographique car en 1993, Schneier développe Blowfish, un algorithme de chiffrement symétrique qui va révolutionner l’approche de la sécurité informatique. Contrairement aux standards gouvernementaux, Blowfish est rapide, sûr, et surtout totalement libre de droits. Aucun brevet, aucune licence, aucune restriction… selon le site officiel de Schneier, l’algorithme est alors disponible gratuitement pour tous les usages et c’est du jamais vu dans un domaine où chaque innovation était jalousement gardée. Un vrai game-changer !

– La fonction F de l’algorithme Blowfish, premier algorithme cryptographique libre de Schneier

Mais Blowfish n’était que le prélude à ce qui allait devenir l’œuvre majeure de Schneier : “Applied Cryptography”. En 1994, il publie ce pavé de plus de 750 pages qui va littéralement changer la donne car le livre détaille la conception, l’utilisation et l’implémentation d’algorithmes cryptographiques avec une philosophie novatrice. Dans sa préface devenue culte, Schneier écrit :

Il y a 2 types de cryptographie dans ce monde : celle qui empêchera votre petite sœur de lire vos fichiers, et celle qui empêchera les gouvernements majeurs de lire vos fichiers. Ce livre parle de la seconde.

Le ton est donné !

– Applied Cryptography, le livre qui a démocratisé la cryptographie forte (lien affilié)

Cette phrase va alors faire le tour du monde et devenir le credo de toute une génération de développeurs et Schneier l’avoue lui-même :

Ce livre m’a permis d’écrire davantage, de commencer à faire du conseil, de créer mes entreprises, et m’a vraiment lancé comme expert dans ce domaine. C’était vraiment parce que personne d’autre n’avait écrit ce livre. Je voulais le lire donc j’ai dû l’écrire.

Le timing était parfait car l’explosion d’Internet créait une demande massive pour des outils de sécurité accessibles, et Applied Cryptography arrivait pile au bon moment. Avec 50% de contenu en plus dans la seconde édition, 7 chapitres supplémentaires et plus de 1600 nouvelles références, c’était devenu LA bible de la crypto.

Le livre est immédiatement décrit comme “le livre que la National Security Agency aurait préféré voir ne jamais être publié”. On comprend pourquoi car Schneier y démocratise des techniques jusque-là réservées aux agences de renseignement, explique comment implémenter des chiffrements incassables, et donne même du code source en C. Pour la NSA habituée à contrôler l’information cryptographique, c’est un cauchemar éveillé, d’autant plus que le livre sort en pleine bataille du Clipper Chip, un système de chiffrement avec backdoor gouvernementale que l’administration Clinton tentait d’imposer.

Alors, petit retour sur ce fameux Clipper Chip… Le 16 avril 1993, la Maison Blanche annonce ce dispositif censé sécuriser les communications tout en laissant une porte dérobée aux forces de l’ordre. Chaque puce Clipper recevrait une clé cryptographique à l’usine, clé qui serait stockée par deux agences fédérales. Si le gouvernement “établissait son autorité” pour écouter une communication, hop, il récupérait la clé et pouvait tout déchiffrer. Al Gore défendait le truc en disant que c’était pour “protéger les citoyens tout en répondant aux besoins de la sécurité nationale”.

Mouais…

– La puce Clipper avec ses marquages MYK-78, symbole de la tentative gouvernementale de contrôler la cryptographie

L’opposition fut massive. Un drôle de mélange incluant John Ashcroft (sénateur républicain du Missouri), John Kerry (sénateur démocrate du Massachusetts), le télévangéliste Pat Robertson, les dirigeants de la Silicon Valley et l’ACLU. Bref, quand l’extrême droite religieuse et les libertaires tech se retrouvent du même côté, c’est que y’a vraiment un problème !

Puis en 1994, Matt Blaze (un chercheur d’AT&T) découvre une faille majeure dans le Clipper Chip : le hash de 16 bits censé sécuriser le système était trop court, permettant de contourner complètement le système de tiers de confiance. Adieu le Clipper Chip ! AT&T avait d’ailleurs produit le seul téléphone basé sur cette technologie qui a été un bide monumental.

Mais Schneier ne s’arrête pas là. À la fin des années 90, il développe Twofish, successeur de Blowfish avec un bloc de 128 bits pour corriger les faiblesses de son prédécesseur. Twofish sera même candidat pour devenir l’Advanced Encryption Standard (AES), le standard de chiffrement américain. Même s’il ne sera pas retenu (c’est Rijndael qui gagnera), l’algorithme confirme la stature de Schneier dans la communauté cryptographique mondiale. Aujourd’hui encore, Schneier recommande d’utiliser Twofish plutôt que Blowfish si vous cherchez un algo de sa série “poisson”.

En 1999, notre cryptographe se lance alors dans l’entrepreneuriat en co-fondant Counterpane Internet Security à Mountain View, en Californie. L’idée est géniale : proposer des services de sécurité managée à grande échelle. À l’époque, la plupart des entreprises n’ont ni les compétences ni les ressources pour sécuriser correctement leurs réseaux. Counterpane va monitorer jusqu’à 550 réseaux dans le monde pour des clients Fortune 100 et la société devient rapidement une référence, ce qui ne passe pas inaperçu.

En octobre 2006, le géant britannique des télécoms BT Group rachète Counterpane pour “plusieurs dizaines de millions de dollars” et Schneier reste CTO et continue à développer son influence. “J’ai travaillé sur ce deal pendant environ un an”, explique-t-il sur son blog, se disant “ravi” de l’acquisition. Il précise :

Ils savent que je suis un commentateur indépendant en sécurité. Ils ne cherchent pas à ce que je devienne un VRP corporate.

Et effectivement, selon les statistiques internes de BT, sa présence augmente les mentions de l’entreprise dans la presse nord-américaine de 21%, et les mentions associant BT à la sécurité de 330%. “Je n’avais jamais entendu parler de BT… Je veux dire, personne en Amérique ne connaît BT”, reconnaît Schneier. Pas mal donc pour un ancien physicien de Brooklyn !

Et parallèlement, Schneier développe sa notoriété publique avec son blog “Schneier on Security” et sa newsletter mensuelle “Crypto-Gram”. Ces publications, lues par plus de 250 000 personnes, deviennent la référence pour comprendre les enjeux de sécurité informatique et son style accessible et ses analyses percutantes en font l’un des experts les plus écoutés du secteur. Il aborde tout : des failles techniques aux implications sociétales de la surveillance, en passant par la psychologie de la sécurité.

Mais c’est en 2013 que Schneier va connaître sa plus grande exposition médiatique. Quand Edward Snowden révèle l’étendue de la surveillance de la NSA, Schneier devient l’un des analystes techniques des documents confidentiels pour le Guardian. “J’ai travaillé avec Glenn Greenwald sur les documents Snowden, et j’en ai vu beaucoup”, confirme-t-il. Son expertise lui permet de décrypter les capacités réelles des agences de renseignement et d’expliquer au grand public l’ampleur de la surveillance de masse. C’est un travail d’analyse conjoint entre le Guardian, le New York Times et ProPublica dont les conclusions sont terrifiantes :

Ce que ces fuites révèlent, c’est à quel point la surveillance NSA est robuste, à quel point elle est omniprésente, et dans quelle mesure la NSA a réquisitionné l’ensemble d’Internet pour en faire une plateforme de surveillance.*”

– Le logo du programme PRISM révélé par Edward Snowden, que Schneier a analysé pour le Guardian

Selon son analyse pour MIT Technology Review, la NSA a transformé Internet en gigantesque plateforme de surveillance, techniquement et légalement robuste.

Nous voyons la NSA collecter des données de tous les fournisseurs cloud que nous utilisons : Google, Facebook, Apple, Yahoo, etc. Nous voyons la NSA en partenariat avec tous les grands opérateurs télécoms aux États-Unis et beaucoup d’autres dans le monde.

Son pessimisme est certes lucide mais décourageant :

Mes 5 conseils pour se protéger sont nuls. Ce ne sont pas des choses que la personne moyenne peut utiliser… Fondamentalement, l’utilisateur moyen est foutu.

Cette phrase résume parfaitement le dilemme actuel où la technique existe pour se protéger, mais qu’elle reste trop complexe pour monsieur tout-le-monde.

La NSA est capable de déchiffrer la majeure partie d’Internet. Ils le font principalement en trichant, pas par les mathématiques. Ils ont délibérément affaibli les algorithmes cryptographiques, les générateurs de nombres aléatoires, les clés de chiffrement… Et ces faiblesses peuvent être exploitées par tout le monde, pas seulement la NSA. Et il y a encore beaucoup à venir…

En 2013, Schneier quitte BT pour rejoindre Harvard Kennedy School comme professeur adjoint en politique publique. Il devient également fellow au Berkman Klein Center for Internet & Society, et rejoint les conseils d’administration de l’Electronic Frontier Foundation, Access Now et The Tor Project. Cette évolution marque sa transformation d’entrepreneur tech en défenseur de la vie privée et de la liberté numérique. Il donne des conférences partout, écrit des livres (11 au total, vendus à plus de 400 000 exemplaires), et continue son combat pour une crypto accessible.

– L’EFF, dont Schneier est membre du conseil d’administration, défend les libertés numériques

Aujourd’hui, à 61 ans, Bruce Schneier continue son combat pour une cryptographie libre et accessible. Ses algorithmes Blowfish et Twofish sont intégrés dans des milliers d’applications, de 7-Zip à OpenVPN en passant par de nombreux logiciels libres. Il a publié d’autres ouvrages majeurs (lien affilié) comme “Secrets and Lies: Digital Security in a Networked World” (2000), “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” (2003) et “Liars and Outliers: Enabling the Trust that Society Needs to Thrive” (2012).

Ses écrits continuent d’influencer les débats sur la surveillance gouvernementale et la protection des données personnelles et l’homme qui voulait juste écrire le livre qu’il avait envie de lire est devenu malgré lui l’une des figures les plus influentes de la sécurité informatique moderne. Son héritage dépasse largement ses algorithmes : il a démocratisé la cryptographie, sensibilisé le grand public aux enjeux de vie privée, et prouvé qu’un individu peut défier les gouvernements avec du code et des idées. The Economist l’appelle un “gourou de la sécurité”, et c’est mérité.

Car au final, Bruce Schneier nous a appris une leçon fondamentale : la sécurité est un processus, pas un produit. Et dans ce processus permanent, chaque citoyen numérique a un rôle à jouer. Alors la prochaine fois que vous chiffrez un fichier ou que vous vous inquiétez de votre vie privée en ligne, pensez au gars de Brooklyn qui a fracassé le monopole gouvernemental sur la cryptographie.

Après tout, comme il le dit si bien :

La cryptographie est trop importante pour être laissée uniquement aux gouvernements.

– Source :

https://korben.info/bruce-schneier-cryptographe-nsa.html

Vous n’en avez peut-être pas conscience, mais c’est le 2 novembre 1988, qu’Internet a perdu son innocence. Ce jour-là, un étudiant de Cornell a lâché dans la nature un programme qui allait mettre à genoux 10% du réseau mondial et changer à jamais notre perception de la sécurité informatique.

Son nom ? Robert Tappan Morris. Et son arme ? Un ver informatique qui porte aujourd’hui son nom.

Derrière cette attaque qui a fait trembler les 60 000 ordinateurs connectés à l’époque (oui, c’est tout !), se cache une histoire bien plus complexe qu’un simple acte de vandalisme numérique. C’est l’histoire d’un fils de génie, d’une expérimentation qui a mal tourné, et d’une prise de conscience collective qui a façonné l’Internet que nous connaissons aujourd’hui.

Robert Tappan Morris Jr. n’était pas n’importe qui. Né le 8 novembre 1965, ce jeune prodige a baigné dans l’informatique depuis son plus jeune âge. Et pour cause, son père, Robert Morris Sr., était une légende vivante de la cryptographie. Chercheur chez Bell Labs de 1960 à 1986, papa Morris a contribué au développement d’Unix, créé le langage dc, le programme crypt, et même conçu le système de chiffrement des mots de passe Unix. Un CV qui fait rêver, non ?

– Robert Tappan Morris en 2008

Mais attendez, ça devient encore plus intéressant puisqu’au moment où le jeune Robert écrivait son fameux ver, son père occupait le poste de Chief Scientist au National Computer Security Center de la NSA. Oui, vous avez bien lu, pendant que le fils hackait Internet, le père était le responsable scientifique de la sécurité informatique de l’agence de renseignement américaine la plus puissante.

Ironie du sort ou coïncidence embarrassante ? À vous de décider.

Le jeune Morris avait lui-même un parcours brillant. Diplômé de Harvard en juin 1988, il était arrivé à Cornell pour poursuivre ses études en informatique. Mais voilà, notre ami avait une idée derrière la tête : créer un programme capable de se propager automatiquement sur le réseau pour en mesurer la taille. Une sorte de recensement numérique, en quelque sorte. Noble intention ? Peut-être. Exécution catastrophique ? Totalement.

Le 2 novembre 1988, à 20h30 précises donc, Morris junior lance son ver depuis le MIT. Pourquoi le MIT alors qu’il étudiait à Cornell ? C’est simple, il espérait brouiller les pistes et faire croire que l’attaque venait du Massachusetts. Malin, mais pas suffisamment pour échapper au FBI qui remontera rapidement jusqu’à lui.

– Le MIT d’où Robert Morris a lancé son ver.

Techniquement parlant, le ver Morris était une vraie petite merveille d’ingéniosité car il exploitait plusieurs vulnérabilités des systèmes Unix de l’époque. D’abord, il s’attaquait à une backdoor dans le mode debug du programme sendmail. Cette porte dérobée avait été laissée par Eric Allman, le créateur de sendmail, qui l’avait mise en place en 1985 pour pouvoir débugger son programme sur des machines où les administrateurs ne lui donnaient pas accès. Il avait juste oublié de la retirer avant la distribution massive du programme. Oups !

Ensuite, le ver exploitait un buffer overflow dans le service finger. C’était l’une des premières utilisations malveillantes connues de cette technique qui allait devenir le pain quotidien des hackers pendant des décennies.

Mais le plus beau là-dedans, c’est la méthode de propagation par mot de passe. Le ver contenait un dictionnaire de 900 mots de passe courants et pouvait tester des variations simples comme le nom d’utilisateur inversé. Il récupérait le fichier des mots de passe chiffrés et tentait de les craquer systématiquement. Si ça marchait, il utilisait ces identifiants pour se connecter à d’autres serveurs où l’utilisateur avait un compte. Très malin encore une fois !

Le ver exploitait aussi les connexions sans mot de passe via rsh et rexec, une pratique courante à l’époque où la confiance régnait encore sur le réseau.

Pourtant, Morris avait prévu un mécanisme pour éviter que son ver ne surcharge les machines. Avant d’infecter un système, le programme vérifiait s’il était déjà présent. Le problème c’est que Morris craignait que des administrateurs malins ne créent de fausses réponses positives pour se protéger, du coup, il a programmé son ver pour se réinstaller quand même dans 14% des cas, peu importe la réponse.

Résultat, les machines se retrouvaient infectées des dizaines de fois, ralentissant jusqu’à devenir complètement inutilisables. Et en 24 heures, environ 6 000 des 60 000 ordinateurs connectés à Internet étaient touchés. C’est pas top quand au départ on voulait juste compter les machines…

Vous vous en doutez, l’impact a été immédiat et dévastateur. Des universités prestigieuses comme Harvard, Princeton, Stanford, Berkeley, le MIT et bien sûr Cornell ont vu leurs systèmes tomber les uns après les autres. La NASA, le Lawrence Livermore National Laboratory et même des installations militaires ont été touchés. Le coût estimé pour nettoyer chaque installation variait entre 200 et 53 000 dollars. Au total, les dégâts ont été évalués entre 100 000 et 10 millions de dollars. Rien que ça…

– Le code source du ver est exposé au Computer History Museum

Fun fact, c’est grâce à cette attaque que le New York Times a utilisé pour la première fois le terme “Internet” dans ses colonnes le 5 novembre 1988, le décrivant comme “des systèmes reliés par un groupe international de réseaux de communications informatiques”. Avant ça, on parlait plutôt d’ARPANET ou de “réseau de réseaux”.

Morris s’est alors rapidement rendu compte que son expérience avait dérapé. Paniqué, il a contacté un ami pour qu’il envoie un message anonyme expliquant comment arrêter le ver. Mais c’était trop tard… le réseau était déjà largement paralysé et le message n’a pas pu circuler.

Le FBI ne mit pas longtemps à remonter jusqu’à lui et Morris devint ainsi la première personne poursuivie et condamnée en vertu du Computer Fraud and Abuse Act de 1986. En décembre 1990, il écopa de trois ans de mise à l’épreuve, 400 heures de travaux d’intérêt général et 10 050 dollars d’amende. Il a échappé à la prison, mais sa réputation était faite.

L’incident a eu des conséquences majeures pour l’écosystème Internet. La DARPA a financé la création du CERT/CC (Computer Emergency Response Team Coordination Center) à Carnegie Mellon, donnant aux experts un point central pour coordonner les réponses aux urgences réseau. C’était le début de l’ère de la cybersécurité moderne.

Et Morris dans tout ça ? Et bien contre toute attente, il a rebondi de manière spectaculaire. Il a co-fondé Viaweb avec Paul Graham et Trevor Blackwell, l’une des premières applications web qui sera rachetée par Yahoo! pour devenir Yahoo! Store. Il a ensuite co-fondé Y Combinator, l’incubateur de startups le plus prestigieux de la Silicon Valley qui a lancé Dropbox, Airbnb, Reddit et des dizaines d’autres succès.

En 2006, Morris a obtenu un poste de professeur titulaire au MIT, dans le département d’ingénierie électrique et d’informatique. L’homme qui avait lancé son attaque depuis le MIT pour brouiller les pistes y enseigne donc maintenant officiellement. Puis en 2019, il a été élu à la National Academy of Engineering, consécration ultime pour un ingénieur américain.

Son père, Robert Morris Sr., est décédé en 2011 à l’âge de 78 ans, laissant derrière lui un héritage remarquable en cryptographie et sécurité informatique. Il avait même participé à la cyber-offensive contre Saddam Hussein avant la guerre du Golfe de 1991. Bref, une famille de hackers au service du bien et du mal, en quelque sorte.

Le ver Morris reste un moment charnière dans l’histoire d’Internet. Il a marqué la fin de cette époque bénie où on pouvait faire confiance par défaut et aujourd’hui, aucun acteur sérieux de l’informatique ne considère la sécurité comme optionnelle. Les pare-feu, antivirus, systèmes de détection d’intrusion et autres mesures de protection sont devenus la norme.

Bref, si vous vous connectez aujourd’hui à Internet sans craindre qu’un ver ne paralyse votre machine en quelques minutes, c’est bizarrement aussi grâce à Robert Morris et son expérience ratée de 1988.

– Source :

https://korben.info/robert-morris-ver-informatique-histoire.html

Si les ransomwares étaient des films Marvel, REvil serait clairement du niveau de Thanos dans Avengers. Pas juste un méchant lambda qui veut dominer le monde, mais un stratège qui a construit un empire, recruté des sbires partout sur la planète, et qui a failli réussir à prendre en otage l’économie mondiale. Sauf que contrairement au MCU, cette histoire est bien réelle et s’est terminée par des arrestations spectaculaires. Du délire !

– Message de rançon typique affiché lors d’une infection REvil (source)

Entre 2019 et 2022, le groupe REvil (aussi connu sous le nom de Sodinokibi) a réinventé l’art du chantage numérique en mettant au point la double extorsion et en perfectionnant le modèle de “Ransomware-as-a-Service”. Ces génies du mal russo-ukrainiens ont ainsi gagné plus de 200 millions de dollars en rançons (oui, 200 MILLIONS!), paralysé des milliers d’entreprises mondiales, et forcé les gouvernements à repenser complètement leur approche de la cybersécurité.

Leur chute spectaculaire nous offre un thriller digne des meilleurs romans d’espionnage, avec des rebondissements géopolitiques, des erreurs techniques fatales, et une coopération internationale inédite entre le FBI et le FSB russe.

– Les similitudes entre GandCrab (gauche) et REvil (droite) ne sont pas une coïncidence (source)

Du coup, l’histoire commence en avril 2019, quand les experts en cybersécurité détectent un nouveau ransomware particulièrement sophistiqué. Premier indice troublant : ce malware apparaît exactement au moment où GandCrab, l’un des ransomwares les plus prolifiques de l’époque, annonce sa “retraite”.

Coïncidence ? Pas vraiment.

Les analyses techniques révèlent rapidement que les fonctions de décodage de chaînes utilisées par REvil sont quasi-identiques à celles de GandCrab. Plus troublant encore, certains échantillons contiennent des références à “gcfin” dans leurs chemins de débogage, probablement pour “GandCrab Final”. Les mêmes développeurs avaient simplement rebrandé leur création.

Cette continuité n’est pas anodine car GandCrab avait déjà popularisé le modèle Ransomware-as-a-Service (RaaS). Plutôt que de mener les attaques eux-mêmes, les développeurs de REvil ont créé une véritable franchise criminelle. Le principe est diablement efficace : ils fournissent le ransomware hyper sophistiqué à des “affiliés” qui se chargent de l’installer chez les victimes, puis se partagent les profits selon un pourcentage négocié (généralement 70% pour l’affilié, 30% pour les développeurs). Cette approche permet de démultiplier les attaques tout en réduisant les risques pour les créateurs originaux. Y’a même un support technique 24/7 sur le darkweb, c’est vous dire le niveau de professionnalisation!

Mais REvil ne s’est pas contenté de reprendre la recette de GandCrab. En 2020, ils ont introduit une innovation qui va terroriser le monde des entreprises : la double extorsion. Traditionnellement, les ransomwares se contentent de chiffrer les fichiers et demandent une rançon pour la clé de déchiffrement. REvil a ajouté une étape supplémentaire : avant de chiffrer, ils volent massivement les données sensibles (on parle de téraoctets de données exfiltrées via des serveurs compromis). Si la victime refuse de payer ou tente de restaurer ses sauvegardes, ils menacent de publier tous les documents confidentiels sur leur site “Happy Blog”.

Et cette tactique s’avère redoutablement efficace. Même les entreprises avec d’excellentes sauvegardes se retrouvent coincées car elles ne peuvent pas récupérer leurs secrets commerciaux, données clients, ou informations stratégiques une fois publiés. Le chantage devient double : “payez pour récupérer vos fichiers ET pour qu’on ne ruine pas votre réputation”. L’impact psychologique est énorme et les taux de paiement explosent. Du coup, tous les autres groupes de ransomware se mettent à copier cette technique.

Les méthodes d’infiltration de REvil évoluent rapidement et montrent une sophistication technique impressionnante. Initialement, ils exploitent une vulnérabilité critique dans Oracle WebLogic (CVE-2019-2725) pour s’implanter dans les serveurs d’entreprise. Puis ils diversifient leurs vecteurs d’attaque : campagnes de spam avec pièces jointes malveillantes (souvent des documents Office avec macros), attaques par force brute sur les connexions RDP mal sécurisées (ils scannent littéralement tout Internet pour trouver des ports 3389 ouverts), exploitation de failles zero-day dans les logiciels de gestion informatique.

Leur arsenal technique impressionne même les experts puisque le ransomware utilise l’algorithme de chiffrement Salsa20 avec des clés RSA-2048 pour la protection (quasi impossible à casser), peut détecter et contourner plus de 40 solutions antivirus différentes, s’adapte automatiquement aux différents environnements système (Windows, Linux, même certains NAS), et optimise automatiquement sa propagation sur les réseaux internes via des techniques de lateral movement. Le malware est même capable de supprimer les shadow copies Windows pour empêcher toute récupération!

L’année 2021 marque l’apogée de REvil avec une série d’attaques spectaculaires qui font la une mondiale. En mars, ils s’attaquent à Acer, le géant taïwanais de l’informatique, et réclament la rançon record de 50 millions de dollars (doublée à 100 millions en cas de refus après 10 jours). L’audace du montant fait sensation dans la communauté cybersécurité. C’est du jamais vu!

Quelques semaines plus tard, c’est Apple qui se retrouve indirectement visé. REvil infiltre Quanta Computer, sous-traitant taïwanais de la pomme qui fabrique les MacBook, et vole les plans détaillés des futurs produits Apple incluant les schémas techniques du nouveau MacBook Pro et de l’Apple Watch. Les cybercriminels publient quelques documents sur leur Happy Blog (incluant des schémas techniques ultra-confidentiels) et menacent de révéler tous les secrets de conception d’Apple si 50 millions ne sont pas versés avant le 1er mai. Tim Cook refuse catégoriquement de négocier, mais l’incident démontre que même les géants technologiques les plus sécurisés ne sont pas à l’abri.

– Le “Happy Blog” de REvil où étaient publiées les données volées, ici les plans d’Apple (source)

L’attaque la plus spectaculaire frappe ensuite JBS Foods le 30 mai 2021. Ce géant de l’agroalimentaire brésilien, premier transformateur de viande au monde avec 150 000 employés, voit tous ses sites américains et australiens paralysés du jour au lendemain. L’arrêt de production menace l’approvisionnement alimentaire de millions d’Américains et fait flamber les prix de la viande de 25% en quelques jours. La Maison Blanche s’en mêle directement et sous pression gouvernementale intense, JBS accepte finalement de payer 11 millions de dollars en Bitcoin pour récupérer ses systèmes. L’incident révèle alors la vulnérabilité des infrastructures critiques et déclenche une prise de conscience politique majeure.

– Diagramme montrant comment REvil se propage (Source)

Mais c’est l’attaque contre Kaseya VSA le 2 juillet 2021 qui marque le tournant. Kaseya développe des logiciels de gestion informatique utilisés par des milliers de Managed Service Providers (MSP) pour administrer les systèmes de leurs clients. En exploitant une vulnérabilité zero-day dans les serveurs Kaseya VSA (CVE-2021-30116), REvil réussit un effet domino inouï : plus de 1500 entreprises clientes dans 17 pays se retrouvent simultanément chiffrées. Les supermarchés Coop en Suède doivent fermer 800 magasins, des écoles en Nouvelle-Zélande sont paralysées, des entreprises partout dans le monde découvrent le message de rançon. C’est du jamais vu dans l’histoire des ransomwares, une attaque qui touche potentiellement des centaines de milliers d’ordinateurs en une seule fois.

La demande de rançon atteint encore une fois des sommets : 70 millions de dollars en Bitcoin pour une clé de déchiffrement universelle. Mais cette fois, REvil a vu trop grand. L’ampleur de l’attaque déclenche une mobilisation internationale sans précédent. Le FBI, qui enquêtait déjà discrètement sur le groupe depuis des mois, accélère ses opérations. Selon plusieurs sources officielles, les agents fédéraux avaient en fait déjà infiltré certains serveurs de REvil et possédaient une clé de déchiffrement universelle obtenue lors d’une opération secrète.

Dans un coup de théâtre digne d’un film d’espionnage, le FBI a gardé secrètement la clé pendant 3 semaines pour ne pas compromettre une opération de démantèlement plus large baptisée “Operation GoldDust”. Les agents veulent identifier tous les membres du groupe avant de frapper.

Ironie du sort, cette précaution s’est avérée inutile car le 13 juillet, les serveurs de REvil disparaissent mystérieusement du darkweb avant même l’intervention des forces de l’ordre. Panique en interne, querelle entre affiliés sur le partage des 70 millions ? Ou simple mesure de précaution face à la pression internationale ?

Le mystère reste entier.

Cette disparition soudaine marque le début de la fin pour l’empire REvil. Privés de leur infrastructure (serveurs de commande et contrôle, sites de négociation, Happy Blog), les affiliés se dispersent vers d’autres groupes comme BlackCat ou tentent de monter leurs propres opérations. Mais les enquêteurs internationaux continuent méthodiquement de remonter les pistes, analysent les transactions Bitcoin via des outils forensics spécial Blockchain, recoupent les métadonnées techniques laissées dans le code, exploitent les erreurs OPSEC des criminels, et identifient progressivement les acteurs clés.

Toutefois, l’histoire ne s’arrête pas là. En septembre 2021, les serveurs REvil réapparaissent brièvement sur le darkweb, suggérant une tentative de relance. Mais cette résurrection est de courte durée : les serveurs sont rapidement compromis, probablement par les forces de l’ordre qui avaient conservé l’accès. Certains affiliés se plaignent même que leurs portefeuilles Bitcoin ont été vidés, suggérant que les autorités ou des acteurs malveillants ont pris le contrôle total de l’infrastructure.

Puis en novembre 2021, le Département de la Justice américain frappe fort en révélant les identités de 2 figures majeures du groupe. Yaroslav Vasinskyi, jeune Ukrainien de 22 ans arrêté en Pologne, est accusé d’être l’auteur direct de l’attaque Kaseya et de plus de 2500 autres infections via son handle “Profcomserv”. Les enquêteurs révèlent qu’il a demandé personnellement plus de 700 millions de dollars en rançons! Yevgeniy Polyanin, Russe de 28 ans toujours en fuite, aurait quant à lui orchestré environ 3000 attaques pour un total de 13 millions de dollars sous le pseudo “LK4D4”. Les portraits qui émergent révèlent des individus remarquablement jeunes pour de telles responsabilités criminelles mais techniquement brillants.

Le coup de grâce arrive enfin le 14 janvier 2022 avec une opération coordonnée sans précédent. Dans un revirement géopolitique surprenant (on est en pleine crise Ukraine-Russie), le FSB russe annonce l’arrestation de 14 membres présumés de REvil lors de raids simultanés à Moscou, Saint-Pétersbourg, Lipetsk, Voronezh et Leningrad. Les forces spéciales russes diffusent des vidéos hollywoodiennes de l’opération : hélicoptères, commandos cagoulés, portes défoncées à l’explosif. Ils saisissent plus de 426 millions de roubles (6,6 millions de dollars), 600 000 dollars en liquide, des cryptomonnaies, 20 véhicules de luxe dont des McLaren et Mercedes, et des équipements informatiques sophistiqués.

– Image diffusée par le FSB lors des arrestations de membres REvil à Moscou

Cette coopération inhabituelle entre la Russie et les États-Unis dans la lutte contre la cybercriminalité marque un tournant historique. Traditionnellement, Moscou protège ses hackers tant qu’ils évitent de cibler des intérêts russes (la règle non-écrite du “ne chie pas où tu manges”). Mais l’ampleur des dégâts causés par REvil, les pressions diplomatiques américaines intenses, la volonté de montrer sa bonne foi avant les négociations sur l’Ukraine, et peut-être le fait que certains affiliés REvil aient commencé à cibler des entreprises russes ont visiblement pesé dans la balance.

L’histoire de REvil illustre parfaitement l’évolution de la cybercriminalité moderne vers des structures quasi-industrielles. Leur innovation technique majeure, la double extorsion, est désormais adoptée par la quasi-totalité des nouveaux groupes de ransomware (LockBit 3.0, BlackCat/ALPHV, Clop, etc.). Le modèle RaaS qu’ils ont perfectionné avec des dashboards professionnels, du support technique, et même des programmes de “bug bounty” pour leurs affiliés continue de prospérer sous d’autres bannières. Et leurs successeurs spirituels appliquent les mêmes recettes avec des sophistications toujours croissantes.

Sur le plan géopolitique, l’affaire REvil révèle également les limites du “sanctuaire numérique russe”. Pour la première fois, Moscou a accepté d’agir contre ses propres hackers, même si c’est dans un cadre strictement contrôlé et probablement temporaire. Cette évolution suggère que la pression internationale peut effectivement contraindre même les États les plus réticents à agir contre les cybercriminels opérant depuis leur territoire, du moins quand les enjeux deviennent trop importants.

Et il ne faut jamais oublié que même les groupes les plus sophistiqués commettent des erreurs fatales. Leurs similitudes de code avec GandCrab (réutilisation de fonctions identiques), les chemins de débogage oubliés dans le code source, les métadonnées dans les échantillons de malware, et probablement des pratiques de sécurité opérationnelle défaillantes (réutilisation d’infrastructures, patterns de communication identifiables) ont permis aux enquêteurs de remonter jusqu’aux individus physiques.

Dans un univers où l’anonymat est crucial, ces négligences se paient cash.

Bref, l’histoire de REvil/Sodinokibi restera comme celle d’un empire cybercriminel qui a poussé trop loin ses ambitions et pour les entreprises et les particuliers, la leçon est claire : investissez massivement dans votre cybersécurité (sauvegardes offline, segmentation réseau, patches à jour, formation des employés), car les successeurs de REvil préparent déjà leurs prochains coups… Et croyez-moi, ils seront encore plus malins et prudents que leurs prédécesseurs !

– Source :

https://korben.info/revil-sodinokibi-empire-cybercriminel-ransomware.html

A ne pas confondre avec la Team LAZARUS hein :clin_oeil:

Infos indispensables pour mieux comprendre…Merci.

Vous savez ce qui est encore plus classe qu’un hacker à capuche dans sa cave ? Et bien c’est certainement quand un groupe de hackers allemands décide dans les années 80 de faire trembler les gouvernements, de défier le KGB et d’inventer au passage la moitié des techniques de cybersécurité qu’on utilise encore aujourd’hui.

Bienvenue dans l’univers du Chaos Computer Club, une organisation incroyable qui a façonné notre monde numérique moderne.

– Le logo emblématique du Chaos Computer Club

Le 12 septembre 1981, dans les locaux du journal Die Tageszeitung à Berlin-Ouest, une poignée de visionnaires se réunit autour d’une table qui appartenait auparavant à la Kommune 1. Parmi eux, un certain Herwart Holland-Moritz, surnommé Wau Holland, va révolutionner la façon dont le monde perçoit les hackers. Ainsi, ce jour-là naît le Chaos Computer Club, un groupe destiné à devenir la plus grande association de hackers d’Europe avec aujourd’hui plus de 7000 membres actifs.

L’époque est particulière… Berlin reste une ville divisée, l’informatique personnelle balbuie encore et les télécommunications allemandes sont monopolisées par la Deutsche Bundespost. Dans ce contexte, Wau Holland développe une philosophie révolutionnaire qu’il baptise “Computer Guerilla”.

Son credo ? Comprendre et expliquer les mystères des technologies émergentes tout en protégeant les données personnelles contre la surveillance de masse naissante.

– Wau Holland, cofondateur du CCC, en 1981 - Source Reddit

Holland n’est pas qu’un simple passionné d’informatique. Journaliste pour Die Tageszeitung dès 1983, il documente l’émergence de la scène underground allemande et combat toutes les formes de censure. Sa phrase la plus célèbre résume parfaitement l’absurdité de l’époque :

Connecter un modem bricolé maison était puni plus sévèrement que déclencher accidentellement une explosion nucléaire.

La Deutsche Bundespost, surnommée “Postgestapo” par les membres du CCC, contrôlait alors férocement les télécommunications et vendait ses propres modems hors de prix.

Puis en 1984, le CCC va entrer dans la légende avec un coup d’éclat qui marquera à jamais l’histoire de la cybersécurité. La Deutsche Bundespost lance Bildschirmtext (BTX), l’équivalent allemand du Minitel français. Il s’agissait d’un système d’informations en ligne accessible via le réseau téléphonique, avec une résolution de 480x250 pixels et 32 couleurs affichables simultanément. Wau Holland et ses collègues, notamment Steffen Wernéry, découvrent rapidement des failles de sécurité béantes dans le système… Les données sont transmises sans authentification et en clair. Ils préviennent officiellement les autorités, mais leurs avertissements sont ignorés.

– Le logo du système BTX (Bildschirmtext), le “Minitel allemand” piraté par le CCC

La nuit du 16 au 17 novembre 1984, dans l’appartement de Wernéry à Hamburg-Eppendorf, l’opération commence. Les hackers exploitent une vulnérabilité dans la fonction d’édition des pages BTX qui révèle les codes d’accès de la banque Hamburger Sparkasse (Haspa). Le mot de passe ? Un dérisoire “usd7000” ou “USD70000” selon les sources. Ils programment alors un système automatisé - seulement 31 lignes de code - qui appelle en boucle la page BTX du CCC, chaque appel coûtant 9,97 Deutsche marks (environ 4 dollars). Le lendemain matin, ils ont transféré exactement 134 694,70 DM (environ 48 000 dollars de l’époque) sur leur compte.

L’histoire aurait pu s’arrêter là, mais Wau Holland et son équipe ont une vision plus large. Le jour suivant, devant la presse assemblée et dans l’émission “heute-journal” du ZDF, ils restituent intégralement l’argent dérobé. Le directeur de la Sparkasse, visiblement surpris, va même jusqu’à louer la “compétence” des hackers dans le reportage. Cette démonstration spectaculaire visait à “alerter l’opinion publique sur la mauvaise sécurité du système BTX et démontrer son inadéquation”. L’impact est immédiat : IBM perd un contrat d’un million de dollars pour un système similaire en Scandinavie, et le grand public découvre que les hackers ne sont pas forcément des criminels. La réputation du BTX comme système sécurisé est définitivement détruite.

Mais l’histoire du CCC va prendre une tournure beaucoup plus sombre. En 1985, dans le contexte de la Guerre Froide, plusieurs hackers de Hanovre qui fréquentent les congrès du CCC sont approchés par des agents soviétiques.

Karl Koch, un jeune hacker de 20 ans obsédé par la trilogie “Illuminatus!” de Robert Shea et Robert Anton Wilson (d’où son pseudo “Hagbard Celine”), devient l’une de leurs cibles. Influencé par les romans de science-fiction et probablement sous l’emprise de drogues, Koch accepte avec d’autres hackers de vendre des codes sources de systèmes DEC VAX et IBM aux Soviétiques.

– Le Chaos Communication Congress, devenu le plus grand rassemblement de hackers d’Europe

L’affaire éclate en 1987 quand Koch et son groupe sont arrêtés pour avoir piraté des ordinateurs gouvernementaux et d’entreprises américaines. En septembre 1986, les trois jeunes hommes (Karl Koch, Dirk Otto B. alias “DOB”, et Peter C. alias “Pedro”) se rendent à Berlin-Est pour établir le premier contact avec les services secrets soviétiques. Et sur une période de plus de deux ans, ils effectuent environ 25 livraisons de données à un agent du KGB en échange de paiements totalisant 46 000 dollars. C’est la première affaire de cyberespionnage à faire les gros titres internationaux. En mars 1989, l’émission “ARD Im Brennpunkt” présente l’affaire comme “la plus grande instance d’espionnage depuis l’affaire Guillaume, transformant radicalement l’image publique des hackers.

Le 23 mai 1989, Karl Koch prend sa voiture pour aller déjeuner et ne revient jamais. Neuf jours plus tard, le 1er juin, la police allemande découvre une voiture abandonnée dans une forêt près de Celle. Les restes carbonisés de Koch (à ce stade, seulement des os) sont retrouvés à proximité, entourés d’un sol brûlé et calciné, ses chaussures manquantes. Suicide ou assassinat ? Le mystère n’a jamais été élucidé. Certains soupçonnent un règlement de comptes lié à la drogue, d’autres pointent les services secrets occidentaux ou le KGB. Steffen Wernéry, qui avait été emprisonné 78 jours à la prison de Fresnes près de Paris dans le cadre des investigations internationales sur une autre affaire, soupçonne encore aujourd’hui le KGB d’être responsable de cette mort.

Cette tragédie marque un tournant pour le CCC.

Wau Holland prend ses distances avec l’affaire KGB, déclarant :

Les gens qui ont travaillé pour le KGB ne sont pas des hackers pour moi, ceux qui prennent de l’argent s’excluent d’eux-mêmes.

Le club doit reconstruire sa réputation et redéfinir l’éthique du hacking. Le CCC se décrit désormais comme “une communauté galactique de formes de vie, indépendante de l’âge, du sexe, de la race ou de l’orientation sociétale, qui œuvre au-delà des frontières pour la liberté de l’information”.

Car c’est exactement dans cette optique qu’était né le Chaos Communication Congress, la grand-messe annuelle du CCC qui attire aujourd’hui plus de 17 000 participants du monde entier entre Noël et le Nouvel An. Depuis 1984, cet événement a grandi de façon spectaculaire : de 2 500-3 500 participants dans les premières années à 4 230 en 2008, puis 6 600 en 2012, 13 000 en 2015, et 15 000 en 2017.

Le congrès a dû déménager plusieurs fois pour soutenir cette croissance : de Hambourg à Berlin en 1998, retour à Hambourg en 2012, puis Leipzig de 2017 à 2019 pendant la rénovation du centre des congrès de Hambourg.

– La scène principale lors du 37e Chaos Communication Congress (37C3)

En 2007, lors du 24e Congress, deux hommes se rencontrent pour la première fois : Julian Assange et Daniel Domscheit-Berg. Cette rencontre va donner naissance à WikiLeaks tel qu’on le connaît. La fondation Wau Holland, créée en 2003 en mémoire du fondateur du CCC décédé le 29 juillet 2001 des complications d’un AVC, devient même le support financier de WikiLeaks quand les processeurs de paiement américains refusent d’accepter les dons pour l’organisation d’Assange.

Ensuite les connexions entre le CCC et les lanceurs d’alerte modernes ne s’arrêtent pas là. Edward Snowden reçoit le prix du whistleblower en 2013, accompagné d’un discours délivré par Jacob Appelbaum, journaliste du Spiegel qui travaille sur les documents de la NSA. Cette continuité entre les pionniers des années 80 et les lanceurs d’alerte d’aujourd’hui illustre parfaitement cet héritage du CCC.

Aujourd’hui, le Chaos Computer Club continue d’influencer la cybersécurité mondiale. Ses membres participent activement aux débats sur la surveillance de masse, la neutralité du net et la protection des données personnelles. L’organisation a formé des générations d’experts en sécurité informatique qui travaillent maintenant dans les plus grandes entreprises technologiques du monde. Avec ses 7 700 membres répartis dans des chapitres locaux (Erfa-Kreise) à travers l’Allemagne et les pays voisins, le CCC reste la plus grande association de hackers d’Europe.

En écrivant cette histoire, je me rappelle encore une fois que la technologie n’est jamais neutre. Chaque ligne de code, chaque protocole de sécurité, chaque décision architecturale porte en elle une vision du monde. Les hackers du Chaos Computer Club ont choisi le camp de la transparence, de la liberté d’information et de la protection de la vie privée, parfois au péril de leur vie.

Du piratage du BTX aux révélations Snowden, en passant par la tragédie Karl Koch, le Chaos Computer Club a ainsi traversé plus de quatre décennies en restant fidèle à sa mission originelle : défendre la liberté numérique contre toutes les formes d’oppression.

– Source :

https://korben.info/chaos-computer-club-histoire-hackers-allemands.html

@michmich

[mode sarcastique on]

Quel plaisir de voir une relique sacrée du führer, dommage qu’il manque le reste pour un nouvel avènement.

[mode sarcastique off]

Si comme moi, vous pensiez qu’un bon hacker devait avoir un arsenal d’outils sophistiqués, l’histoire d’Adrian Lamo va vous retourner le cerveau.

Windows 98, Internet Explorer et Notepad. C’est tout.

Avec ces 3 outils basiques, ce type a réussi à pénétrer les réseaux de Microsoft, de Yahoo et du New York Times. Et pendant que d’autres développaient des malwares complexes, lui prouvait qu’une faille reste une faille, peu importe vos outils. Voici donc l’histoire de ce “Homeless Hacker”… un mélange de génie technique, de précarité sociale et de tragédie humaine dans un cocktail qui ferait pâlir les scénaristes de Mr. Robot.

– Adrian Lamo en automne 2004 - Photo : Wikimedia Commons

Il y a quelques jours, je me suis donc penché sur l’histoire d’Adrian Alfonso Lamo Atwood, né le 20 février 1981 à Malden, dans le Massachusetts. Dès l’enfance, ce gamin montre une curiosité dévorante pour la technologie. Son père Mario et sa mère Mary bossent tous les deux dans la tech, mais le parcours scolaire d’Adrian ressemble à un parcours du combattant. Entre des études à Bogotá (où vivait son père) et San Francisco, il ne décroche jamais son diplôme mais Adrian apprend tout seul, sur le tas, en bidouillant sur son Commodore 64 offert par ses parents. C’est sur cette machine mythique qu’il fait alors ses premiers pas : hack de jeux vidéo, manipulation de virus sur disquettes, et même du phone phreaking. Argh !

Et surtout, ce qui rend Adrian unique, c’est son mode de vie. Vers ses 20 ans, il adopte un style de vie nomade qui lui vaudra son surnom de “Homeless Hacker”. Le gars voyage à travers les États-Unis en bus Greyhound, dort dans des squats, des bâtiments abandonnés ou sur les canapés d’amis et son bureau c’est un cyber-café, une bibliothèque universitaire ou n’importe quel endroit avec une connexion Web.

Son matos ? Un vieux Toshiba auquel il manque 7 touches (oui, sept !), mais qui suffit largement pour ses exploits numériques. C’est un peu “tricky” comme on dit, mais ça marche !

D’ailleurs, la philosophie de Lamo tranche avec l’image du hacker malveillant véhiculée par Hollywood. Il se définit comme un “grey hat”, c’est à dire quelqu’un qui infiltre les systèmes non pas pour nuire, mais pour alerter. Sa méthode est toujours la même : trouver les failles via des serveurs proxy mal configurés, proposer gratuitement de les corriger, et si l’entreprise refuse, prévenir les médias pour forcer la prise de conscience. Une approche qui ferait sourire les Black Hat d’aujourd’hui, mais qui était révolutionnaire au début des années 2000.

Toutefois, les exploits de Lamo sont impressionnants. En 2001, il s’attaque à toutes les grosses boîtes : Excite@Home en mai, Yahoo en septembre, Microsoft en octobre, MCI WorldCom en novembre, SBC Ameritech en décembre. Il modifie même des articles sur Yahoo News pour démontrer la vulnérabilité du système et ce qu’il décrit comme “l’apathie générale des lecteurs”. Un coup de génie médiatique !

Alors comment fait-il pour hacker les plus grandes entreprises tech avec un laptop tout pourri ? Et bien Lamo découvre que ces entreprises ont activé l’accès à distance à leurs réseaux internes via des proxies Web. N’importe qui connaissant l’adresse Internet et le numéro de port du proxy peut alors parcourir les partages internes et les ressources réseau. C’est complètement dingue, mais c’est la réalité de l’époque. Avec Microsoft, il accède même à du code source sensible et fidèle à sa philosophie, il contacte directement les entreprises pour signaler les failles.

Mais c’est avec le New York Times que Lamo frappe son coup le plus spectaculaire. Le 26 février 2002, il pénètre le réseau interne du journal. Le mec s’ajoute lui-même dans la base de données des sources expertes avec le numéro (415) 505-HACK et ses domaines d’expertise : “computer hacking, national security, communications intelligence”. L’audace ! Il crée aussi 5 comptes fictifs sur LexisNexis (un outil pro pour faire de la recherche juridique) via le compte du Times, et effectue 3000 recherches en 3 mois, générant environ 300 000$ de frais. En février 2002 seulement, ces comptes représentent 18% de toutes les recherches du journal. C’est complètement fou !

L’enquête du FBI dure 15 mois. Adrian devient un homme traqué, mais il refuse de se cacher. Le 9 septembre 2003, il se rend volontairement aux US Marshals de Sacramento. En janvier 2004, il plaide coupable. Sa peine : 2 ans de liberté surveillée dont 6 mois d’assignation à domicile, plus 65 000 dollars de dommages et intérêts. Une sanction relativement clémente qui reflète le caractère non-destructeur de ses actions.

Puis, l’histoire de Lamo bascule complètement en mai 2010. Ce mois-là, une jeune analyste de l’armée américaine, Bradley Manning (aujourd’hui Chelsea Manning) le contacte via des emails cryptés. Lamo ne peut pas les décrypter mais l’invite à chatter sur AOL Instant Messenger. Manning utilise le pseudonyme “Bradass87” et entre le 21 et le 25 mai, lui révèle avoir téléchargé des centaines de milliers de documents classifiés et les avoir transmis à WikiLeaks. Des câbles diplomatiques, la vidéo “Collateral Murder” de Bagdad, des rapports militaires… Manning vient de réaliser la plus grosse fuite de l’histoire américaine. Et elle s’en confesse à Lamo comme à un prêtre. Wololo wololo !

– Chelsea Manning en 2017 - Photo : Tim Travers Hawkins (CC BY-SA 4.0)

Seulement, Lamo n’est pas un confesseur. Après avoir contacté Chet Uber de Project Vigilant et Tim Webster du contre-espionnage de l’armée, il prend une décision qui va tout changer : dénoncer Manning au FBI. Sa justification ? “Les besoins du plus grand nombre l’emportent sur les besoins d’un seul”, expliquera-t-il à PBS Frontline. Une logique utilitariste qui ne passe pas du tout dans la communauté hacker.

La réaction est immédiate et brutale. À la conférence Hackers on Planet Earth de 2010, Lamo se fait huer, traiter de “balance”, cracher dessus. Des menaces de mort pleuvent. Andrew Blake, son ami, témoigne :

Les gens le détestaient. Il ne pouvait plus se connecter nulle part sous son vrai nom sans recevoir des messages de haine.

Chelsea Manning sera condamnée à 35 ans de prison en 2013 avant commutation par Obama en 2017. Étonnamment, Manning ne lui en veut pas :

Je n’ai jamais eu de rancune envers Adrian. Je suis plutôt en colère contre le gouvernement qui s’est servi de lui.

Les dernières années d’Adrian sont marquées par la dégradation. À 35 ans, il marche avec une canne, a pris du poids, souffre de problèmes de dos chroniques. Le 14 mars 2018, la gérante des appartements Shadybrook Senior de Wichita, Kansas, découvre son corps. L’appartement est dans un désordre complet : piles d’ordures, vaisselle sale, pilules et poudres partout. Plus mystérieux encore, un sticker collé sur sa cuisse gauche sous ses vêtements : “Adrian Lamo, Assistant Director, ProjectVigilant, 70 Bates Street, NW, Washington, DC.”

L’autopsie complète ne révèle rien. Le centre de sciences judiciaires du comté de Sedgwick déclare : “Aucune cause de décès définitive n’a pu être identifiée.” Le médecin légiste ne peut même pas écarter l’hypothèse d’un meurtre. La police maintient qu’il n’y a “rien de suspect”, mais les questions demeurent. Le mystère du sticker sera partiellement résolu par Andrew Blake : l’adresse correspond à un endroit où il avait brièvement vécu. Blake l’interprète comme “une blague ou un signal envoyé par son vieil ami”. Mais pourquoi ? Adrian préparait-il sa mort ? Voulait-il laisser un message ?

Je peux vous dire que l’héritage d’Adrian Lamo est complexe et contradictoire. D’un côté, il incarnait l’idéal du hacker éthique : utiliser ses compétences pour améliorer la sécurité, révéler les failles sans les exploiter malicieusement. Ses méthodes artisanales prouvaient qu’il n’était pas nécessaire d’avoir des outils sophistiqués. De l’autre, sa décision de dénoncer Manning reste très controversée. Certains y voient du patriotisme responsable, d’autres une trahison fondamentale des valeurs hacker.

Et sa mort mystérieuse ajoute une dimension presque romanesque. Adrian Lamo, qui avait passé sa vie à révéler les secrets des autres, emporte le sien dans la tombe. Était-il devenu gênant ? Sa connaissance de l’affaire Manning l’avait-elle transformé en cible ? Ou s’agit-il simplement de la fin tragique d’un homme usé par des années de vie chaotique ?

Adrian Lamo restera comme l’incarnation parfaite des paradoxes de notre époque numérique : Un hacker éthique devenu délateur, génie technique vivant dans la précarité, défenseur de la sécurité ayant brisé la confiance d’une communauté entière.

– Source :

https://korben.info/adrian-lamo-homeless-hacker-histoire.html

Génial

Une base de données colossale regroupant plus de 16 milliards d’identifiants volés vient d’être découverte sur un forum de hackers.

Surnommée “rockyou2024”, cette compilation provient de multiples piratages réalisés au fil des années. Les informations exposées comprennent des adresses e-mail, des mots de passe, et parfois des données sensibles associées, notemment chez les géants come Meta, Google, Apple et compagnie…

Ce méga-leak dépasse largement toutes les fuites précédentes en termes de volume, et représente une menace réelle pour la sécurité numérique mondiale.

Il rappelle l’urgence de renforcer les pratiques de cybersécurité, comme l’usage de mots de passe uniques, l’authentification à deux facteurs, les passkeys et la vigilance face au phishing.

L’incident touche aussi bien les particuliers que les entreprises et institutions, risquant de provoquer des vagues massives d’usurpations d’identité et de cyberattaques automatisées.

– Sources :

https://www.clubic.com/actualite-569565-alerte-la-plus-grande-fuite-de-donnees-de-l-histoire-16-milliards-de-mots-de-passe-dans-la-nature.html

https://www.clubic.com/actualite-569613-que-faire-16-milliards-de-mots-de-passe-apple-facebook-et-google-voles-voici-6-conseils-a-suivre-pour-se-proteger.html

Vous pouvez toujours, comme d’habitude, vérifier si vos comptes figurent dans cette fuite via HaveIBeenPwned.com et changer vos password concerné, activer l’auth à 2 facteurs, passkey.

–> On ne le rappellera jamais assez : des mots de passe à usage unique modifiés régulièrement ou mieux des phrases de passe ou passkey. Il est fortement conseillé d’'utiliser des gestionnaires de mot de passe avec générateur de password, passkey et passphrase ainsi que surveiller l’activité de vos comptes.

@Violence Quand je dis que Telegram est une grosse merde et qu’il ne faut pas l’utiliser cela se vérifie tous les jours !

e35adcd6-6db9-4a4b-b522-8e367d4302b2-Live Long & Prosper.jpg 

@Ashura Tout le monde sait que les pirates sont des méchants ! :angry:

Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l’on sait sur cette menace.

AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l’on appelle un “data wiper”, c’est-à-dire un malware dont l’unique but est de détruire les données présentes sur l’appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D’ailleurs, AcidRain a été utilisé dans le cadre d’une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.

Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l’Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu’AcidRain, grâce à la “prise en charge” de la destruction de données sur une plus grande variété d’appareils.

AcidPour est un malware destructeur de données capable de s’attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s’agir de cibler des NAS dont le système est basé sur Linux, car le malware s’intéresse aux chemins de type "/dev/dm-XX.

Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillant :

Il s’agit d’une menace à surveiller. Mon inquiétude est d’autant plus grande que cette variante est plus puissante que la variante AcidRain et qu’elle couvre davantage de types de matériel et de systèmes d’exploitation.

Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.

– Sources :

https://www.bleepingcomputer.com/news/security/new-acidpour-data-wiper-targets-linux-x86-network-devices/

https://www.it-connect.fr/acidpour-un-malware-destructeur-de-donnees-qui-cible-linux-et-les-equipements-reseau/