Alors là, c’est le pompon. Une app de rencontre censée protéger les femmes vient de se retrouver avec 72 000 photos perso sur 4chan. Selfies, permis de conduire, messages privés… tout ça parce que les devs ont laissé leur Firebase grand ouvert comme une porte de saloon. Force donc aux femmes qui vont subir le harcèlement des trolls à cause de cette incompétence monumentale.

TEA, c’est cette app qui cartonne en ce moment. Numéro 1 sur l’App Store cette semaine, elle revendique plus de 1,6 million d’utilisatrices et des dizaines de milliers d’avis.

Le concept ? Les femmes peuvent échanger des infos sur les mecs qu’elles rencontrent, vérifier s’ils sont clean, pas des catfish, et pas déjà en couple. Pour s’inscrire, faut donc prouver qu’on est une femme avec un selfie et une pièce d’identité. Logique pour éviter les infiltrations. Sauf que…

Les génies derrière l’app ont stocké TOUTES ces données de vérification dans un bucket Firebase sans aucune authentification. Genre vraiment aucune. Même pas un mot de passe basique. Les mecs de 4chan ont juste eu à trouver l’URL et hop, open bar pour le scrapping. “DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN!” qu’ils criaient sur leur forum de dégénérés. Comme des vautours qui ont trouvé une carcasse.

Le truc qui me tue, c’est que Firebase, c’est pas sécurisé par défaut. Amazon S3 verrouille tout, et faut vraiment le vouloir pour rendre public. Firebase, eux, non, c’est porte grande ouverte direct. Les devs qui l’utilisent peuvent choisir entre “Locked mode” (tout fermé) ou “Test mode” (tout ouvert) et devinez ce qu’ont choisi les champions de TEA ?

Et les trolls de 4chan ? Ils n’ont pas perdu une seconde. Ils ont créé des scripts Python pour automatiser le téléchargement de milliers de photos aspirées avant que Google ferme enfin le robinet. 13 000 selfies et permis de conduire. 59 000 images de posts et messages privés. Et des femmes qui pensaient être en sécurité et qui se retrouvent exposées aux pires raclures d’internet.

TEA essaie bien sûr de minimiser en disant que les données ont plus de 2 ans. Ah bah ça va alors, c’est des vieux permis de conduire ! Genre ça change quoi ? Les permis de conduire, ils n’expirent pas en 2 ans. Les adresses non plus. Et puis franchement, même si c’était des données d’hier ou d’il y a 10 ans, c’est inacceptable. Ces femmes ont fait confiance à une app qui promettait de les protéger, et résultat, elles sont servies sur un plateau aux harceleurs.

Mais le pire dans tout ça, c’est que c’est pas un cas isolé. En mars 2024, trois chercheurs en sécurité ont trouvé près de 20 millions de mots de passe en clair sur des Firebase mal configurés ainsi que 125 millions de dossiers utilisateurs exposés sur 916 sites web. Firebase, c’est donc devenu le paradis des fuites de données.

Et pourquoi ? Parce que les devs copient-collent des tutos Stack Overflow sans comprendre ce qu’ils font. “Tiens, ça marche en mode test, on ship !” Non mais allo quoi.

Bref, arrêtez avec Firebase si vous ne savez pas ce que vous faites. Prenez Supabase, c’est open source et sécurisé par défaut. Ou Appwrite qui a des SDK pour tout et qui prend la sécurité au sérieux. Même PocketBase, qui tient dans un seul fichier exécutable, est plus sûr que votre Firebase mal configuré. Ces alternatives ont d’ailleurs toutes un point commun : elles vous forcent à réfléchir à la sécurité au lieu de vous laisser tout grand ouvert.

Pour les utilisatrices de TEA, je sais que ça craint. Vérifiez vos comptes bancaires, changez vos mots de passe partout, et surveillez toute activité suspecte. Pensez aussi à utiliser un numéro virtuel pour les apps de rencontre à l’avenir. Et si vous recevez des messages chelous, bloquez et signalez. Puis si vous avez des preuves de harcèlement suite à cette fuite, portez plainte.

Bref, force à toutes celles qui vont devoir gérer les retombées de ce désastre. J’espère que TEA va prendre ses responsabilités, dédommager les victimes, et virer les incompétents.

Source

Bon, Google va tuer goo.gl dans un mois et ce sont moins de 4 milliards de liens vont partir en fumée. Snif…

Vous le savez, ça fait des années que je dis qu’il ne faut JAMAIS utiliser ces services pour du long terme. J’ai même eu des discussions houleuses avec des internautes qui me trouvaient parano. “Mais nooooon, Google va pas fermer ça, tout le monde l’utilise !” Bah voilà, on y est. C’est d’ailleurs exactement pour ça que j’ai pris mon propre domaine kbn.im car au moins, je contrôle mes liens raccourcis.

Donc à partir du 25 août 2025, tous les liens créés avec le raccourcisseur de Google vont renvoyer une erreur 404. Cela représente 3,6 milliards de liens actifs répartis sur 3,2 millions de sites web. Des années d’archives, de QR codes, de campagnes marketing…etc… tout va disparaître d’un coup.

Alors pour comprendre comment on en est arrivé là, petit flashback…

Google avait fermé son service de raccourcissement d’URL en 2019. À l’époque, ils avaient cité des “changements dans la façon dont les gens trouvent du contenu sur internet” ce qui veut dire en langue Google que ça ne rapportait pas assez. Mais les liens existants ont continué à fonctionner, donc tout le monde s’est dit “ouf, on est sauvés”. Mais que nenni car depuis juillet 2024, Google affiche un message d’avertissement quand on clique sur un lien goo.gl. Genre “ce lien ne fonctionnera bientôt plus, bande de tocards”. Les gens ont bien sûr commencé à flipper, mais beaucoup se sont dit “bah on verra bien”. Et maintenant, c’est la sentence finale : extinction totale dans un mois.

Les raccourcisseurs d’URL, c’est vraiment la plaie du web moderne. D’abord, niveau sécurité, c’est une catastrophe. Par exemple, des chercheurs ont découvert que certaines URL raccourcies ne sont pas générées aléatoirement comme on pourrait le croire. Résultat ? On peut les deviner par force brute. Sur OneDrive, ils ont scanné 100 millions de liens courts et ont eu accès à 1,1 million de fichiers. Vos photos de vacances, vos factures, vos documents perso… tout ça accessible à n’importe qui avec un peu de patience. Sympa pour la confidentialité.

Et puis y’a le phishing. Quand vous cliquez sur un lien raccourci, vous ne savez pas où vous allez atterrir. C’est l’outil parfait pour les arnaqueurs. Sans compter que ces services peuvent être hackés. C’est arrivé à urlmin.com : un pirate a pris le contrôle du serveur et pouf, tous les liens raccourcis ont été détournés.

Du coup, qu’est-ce qu’on fait maintenant ? Et bien si vous avez des liens goo.gl, vous avez plusieurs options. Les alternatives classiques comme Bitly, TinyURL ou Rebrandly existent toujours. Mais franchement, vous allez refaire la même erreur ? Dans 5 ans, on aura le même problème quand l’un d’eux fermera boutique. Sinon, il y a aussi Shlink, une alternative moderne à YOURLS que j’aime bien.

L’avantage, c’est qu’avec ce genre d’outils, vous contrôlez tout. Les stats, les redirections, les personnalisations… Vous pouvez même faire des trucs marrants, genre des liens qui changent selon l’heure de la journée et surtout, si un jour vous arrêtez, vous pouvez toujours garder le domaine et faire des redirections manuelles pour les liens importants. Bref, un domaine court, ça coûte entre 10 et 50 euros par an selon l’extension. C’est le prix de quelques kebabs et franchement c’est rien comparé au bordel que ça évite.

En tout cas, Google, c’est le champion toutes catégories pour tuer ses services. Vous vous souvenez de Google Reader ? Google Wave ? Google+ ? Stadia ? Code Jam ? La liste est longue. Le site “Killed by Google” recense 297 produits morts. C’est leur spécialité… Ils lancent un truc, tout le monde devient accro, et paf ! “Désolé, ça correspond plus à notre stratégie”.

Bref, retenez cette leçon. Je sais que je radote avec mon “contrôlez vos données” mais là, on a la preuve en direct que moi et bien d’autres avons raison. Ne confiez jamais vos données critiques à un service que vous ne contrôlez pas. Que ce soit pour les raccourcisseurs d’URL, ou n’importe quoi d’autre. Le jour où le service ferme, vous êtes dans la merde. Prenez les devants, faites des backups et investissez dans votre propre infrastructure.

Un nom de domaine et un petit hébergement, c’est pas la mer à boire, et au moins vous dormez tranquille…

Source

Ce matin, j’ai réalisé un truc de dingue. Je ne clique presque plus sur aucun lien quand je fais une recherche Google. L’IA me donne un résumé, et hop, je passe à autre chose. Et apparemment, je ne suis pas le seul dans ce cas.

D’ailleurs, une étude du Pew Research Center vient de sortir et les chiffres sont carrément déprimants. Sur 900 utilisateurs américains étudiés, seulement 1% (!!) cliquent encore sur les liens sources dans le résumé IA. C’est la mort du web tel qu’on le connaît, ni plus ni moins.

Le truc marrant c’est que Google prétend que tout va bien dans le meilleur des mondes. Pourtant, comme je l’expliquais récemment, les éditeurs web subissent déjà les conséquences. Sundar Pichai, le CEO, nous sort que l’IA “étend la façon dont les gens recherchent et accèdent à l’information”. Ouais, elle étend surtout le temps que les gens passent sur Google sans jamais aller voir ailleurs. Avec 2 milliards d’utilisateurs mensuels pour leurs AI Overviews, ils ont réussi leur coup : Transformer le web ouvert en jardin fermé.

Mais attendez, c’est pas fini. Vous vous souvenez quand Google AI a conseillé de mettre de la colle dans la pizza pour que le fromage tienne mieux ? Ou quand il a recommandé de manger “au moins une petite pierre par jour” pour la santé ? Ces erreurs dataient de mai 2024, mais l’IA continue ses bourdes. Elle a même conseillé que “les médecins recommandent de fumer 2-3 cigarettes par jour pendant la grossesse”. Google prétend que certaines captures d’écran étaient fausses, mais admet que son IA peut halluciner à cause des fameux “data voids”, des trous dans les données. En gros, quand l’IA ne sait pas, elle invente n’importe quoi avec la même assurance qu’un enfant.

Et surtout, ça nous rend littéralement plus cons. Une étude de Microsoft et Carnegie Mellon publiée cette année montre que l’utilisation intensive d’outils IA comme Copilot ou ChatGPT “atrophie” notre pensée critique. Les chercheurs parlent d’une “ironie de l’automatisation” car en confiant les tâches routinières à l’IA, on perd l’occasion de pratiquer notre jugement.

Et les chiffres parlent d’eux-même car selon BrightEdge, les impressions Google ont augmenté de 49% sur un an, mais les clics ont chuté de 30%. Pour les mots-clés informationnels avec AI Overview, le CTR (taux de clics) est passé de 7,3% en mars 2024 à 2,6% en mars 2025. Et quand une AI Overview apparaît, seulement 8% des utilisateurs cliquent sur un lien, contre 15% sans résumé IA. Traduction, Google montre plus de pages mais envoie moins de trafic vers les sites.

Ah et j’oubliais un détail important. Vous savez qui sont les grands gagnants dans cette histoire ? Wikipedia, Reddit et YouTube. L’IA pompe principalement sur ces trois sources maintenant. Les petits blogs indépendants, les sites spécialisés, …etc, tout ça est en train de crever. Google ne cite même plus les sources originales, il préfère les agrégateurs. Un problème qu’ils commence à reconnaître, même si c’est un peu tard.

Le pire dans tout ça, c’est que 18% des recherches Google génèrent maintenant un résumé IA selon Pew Research, mais ce chiffre grimpe à près de 90% pour les requêtes dans la santé et l’éducation d’après BrightEdge. Des domaines où les erreurs peuvent avoir des conséquences graves. Google Gemini a beau avoir un taux d’hallucination réduit à 0,7% selon les dernières données, quand on parle de santé, même 0,7% c’est trop.

Même les utilisateurs commencent à s’en rendre compte car d’après l’étude, les gens qui voient un résumé IA sont plus susceptibles de quitter Google complètement que de cliquer sur un lien. En gros, soit l’IA leur donne ce qu’ils veulent et ils s’arrêtent là, soit elle raconte n’importe quoi et ils vont voir ailleurs.

Sam Altman d’OpenAI l’a même dit en février dernier : “Je ne fais plus de recherches Google”, il préfère ChatGPT qui est devenu son “Oracle”. Mais paradoxalement, même lui admet que ChatGPT ne détrônera “probablement pas” Google, qu’il qualifie de “concurrent féroce”. Le problème, c’est que Google est en train de se tirer une balle dans le pied car en voulant garder les utilisateurs sur ses pages, il tue l’écosystème qui a fait sa richesse.

D’après l’étude Pew, les recherches avec 10 mots ou plus génèrent un résumé IA dans 53% des cas, contre seulement 8% pour les recherches d’un ou deux mots. Pour les requêtes informatives type “comment”, “quand”, “où”, les sites dans le top 4 ont vu leur CTR sur desktop chuter de 7,31 points. Et c’est logique car pourquoi cliquer quand l’IA te donne déjà la réponse (même si elle est potentiellement fausse) ?

Bon, je vous laisse méditer là-dessus. Perso, je vais essayer de forcer mes vieux réflexes et cliquer sur les liens au lieu de me contenter des résumés IA. Parce que si on continue comme ça, dans quelques années, il restera plus grand-chose du web qu’on aime tant… Mais juste des IA qui nous racontent ce qu’elles croient savoir, avec 2-3 gros sites en source.

Sympa l’avenir, non ?

Source

Tout comme NVIDIA, Intel a également mis en ligne cette semaine de nouveaux drivers graphiques Game On prenant en charge la mise à jour 11.02 de VALORANT qui exploite le moteur 3D Unreal Engine 5 (UE5) au lieu d'UE4 mais qui apporte aussi le support du jeu de rôle-action WUCHANG : Fallen Feathers. ...

CORSAIR vient d'annoncer la sortie du firmware EIFM31.7 pour les SSD M.2 PCIe 4.0 NVMe MP600 PRO Series. D'après le constructeur, par rapport à la précédente version EIFM31.6 cette mise à jour corrige un problème de dégradation des performances lors du traitement de blocs de données qui ont un certa...

Logiciel gratuit et portable permettant de compresser vos PDF c'est-à-dire de diminuer leurs poids...

Lecteur audio très léger, gratuit et portable...

Le navigateur Web alternatif...

Alternez rapidement les couleurs de votre barre des tâches...

Coup dur pour les bleus ! Hier étaient dévoilés les résultats d’Intel pour le second trimestre 2025, et force est de constater qu’ils ne sont pas au goût de la direction. En effet, à peine un jour plus tard, le PDG Lip-Bu Tan annonce être en train de se séparer de pas moins de 15 % de ses salariés,...

C'est l'été, et nous vous avons trouvé de quoi vous amuser sans rogner sur le budget vacances !

Apple vous propose un fond d'écran personnalisé pour célébrer l'ouverture de l'Apple Store en Arabie saoudite.

Depuis l'arrivée de la GDDR7, le marché a montré une certaine disparité dans le déploiement des nouvelles puces de VRAM des trois gros acteurs du marché : Samsung, SK hynix et Micron. Le premier s'est rapidement taillé la part du lion en intégrant notamment directement les cartes graphiques GeForce...

Bon, apparemment il suffit que des puces Nvidia soient “tombées du camion” pour qu’un milliard de dollars de GPU ultra puissants se retrouvent sur le marché noir chinois. Le Financial Times a enquêté et ce qu’ils ont découvert est assez dingue.

Alors que les États-Unis font tout pour empêcher la Chine d’accéder aux dernières technologies d’IA, des B200, H100 et H200 de Nvidia circulent tranquillement sur les réseaux sociaux chinois. Leur prix ? 50% au-dessus du tarif normal, mais visiblement ça ne freine personne. Les vendeurs proposent même des racks pré-assemblés avec 8 puces B200, prêts à brancher dans un datacenter. Genre tu commandes sur WeChat et hop, tu reçois ton rack de 150 kilos à 560 000 dollars.

D’après l’enquête du FT, rien qu’entre avril et juin 2025, c’est plus d’un milliard de dollars de matos qui aurait transité. Les puces passent par la Thaïlande, la Malaisie, et d’autres pays d’Asie du Sud-Est où les contrôles sont… disons plus souples. La Malaisie a d’ailleurs vu ses importations de GPU avancés exploser de 3400% début 2025. Coïncidence ? Je ne crois pas…

Le plus ironique dans l’histoire, c’est que ces restrictions viennent juste d’être assouplies pour les puces moins puissantes comme la H20. Mais bon, pourquoi se contenter d’une 2CV quand on peut avoir une Ferrari, même au marché noir ?

Une boîte chinoise basée à Shanghai, “Gate of the Era” (ça ne s’invente pas), créée en février juste avant que les restrictions ne tombent (le timing est parfait), aurait à elle seule écoulé pour 400 millions de dollars de systèmes B200. Ils vendent même des racks complets entre 3,9 et 3,95 millions de yuans pièce.

Un rack de B200

Et Nvidia, de son côté, fait la sourde oreille. Leur réponse officielle ? “Nous ne fournissons support et service qu’aux produits Nvidia autorisés”. Traduction : démerdez-vous avec vos GPU de contrebande. Mais bon, avec une valorisation de 4000 milliards de dollars, ils vont pas trop pleurer sur quelques puces qui s’égarent.

Ce qui est fascinant, c’est comment les Chinois ont industrialisé le contournement. Les vendeurs testent même les puces avant de les vendre pour garantir qu’elles fonctionnent. Service après-vente inclus apparemment. Un opérateur de datacenter chinois l’a dit cash au FT : “Les contrôles à l’export n’empêcheront pas les produits les plus avancés de Nvidia d’entrer en Chine. Ça ajoute juste de l’inefficacité et crée d’énormes profits pour les intermédiaires prêts à prendre des risques.”

Pendant ce temps, DeepSeek et d’autres boîtes d’IA chinoises prétendent faire aussi bien que les modèles américains avec beaucoup moins de ressources, mais visiblement, ça ne les empêche pas de quand même vouloir mettre la main sur les derniers joujoux de Nvidia.

Jensen Huang, le CEO de Nvidia né à Taiwan, voit toujours la Chine comme une opportunité énorme. C’est d’ailleurs lui qui aurait négocié avec Trump pour assouplir certaines restrictions. Mais pour les B200 et H100, c’est toujours un niet officiel !

Le gouvernement américain essaie surtout pendant ce temps de boucher les trous. Le Department of Commerce envisage par exemple d’imposer des contrôles plus stricts sur des pays comme la Thaïlande dès septembre. Mais franchement, quand y’a autant d’argent en jeu, croyez-moi, les contrebandiers trouveront toujours un moyen.

Au final, cette histoire montre bien les limites d’une guerre commerciale technologique. C’est un peu comme la drogue… Tu peux interdire, restreindre, sanctionner, mais quand la demande est là et que les profits sont juteux, le marché trouve toujours un chemin où les seuls qui s’enrichissent vraiment, ce sont les intermédiaires qui prennent leur commission de 50% au passage.

Source

Alors ça, c’est le genre de news qui pourrait foutre en l’air le marché de l’or. En effet, une startup américaine, Marathon Fusion, vient de publier un papier scientifique où ils expliquent tranquillement comment transformer du mercure en or dans leurs réacteurs à fusion nucléaire. Et attention, je ne vous parle pas de trois grammes pour faire joli, mais bien de 5 tonnes d’or par gigawatt d’électricité produit par an.

C’est le rêve des alchimistes du Moyen Âge qui devient réalité grâce à la physique nucléaire. C’est un truc de fou, surtout que le principe est relativement simple (enfin, sur le papier). Vous prenez du mercure-198, un isotope assez commun du mercure. Vous le bombardez avec des neutrons rapides de 14 MeV générés par la fusion deutérium-tritium dans un tokamak. Le mercure-198 perd alors un neutron et devient du mercure-197, qui est instable. Et en 64 heures environ, pouf, il se transforme naturellement en or-197, le seul isotope stable de l’or.

Le cœur d’un réacteur Tokamak

D’après leurs calculs, un réacteur à fusion d’un gigawatt pourrait ainsi produire 5000 kilos d’or par an. Au cours actuel de l’or (environ 3400 dollars l’once), ça représente plus de 544 millions de dollars. De quoi donc largement rentabiliser l’exploitation du réacteur et avoir de quoi s’offrir un yacht ou deux.

Mais attendez, avant de vous emballer et de vendre tous vos lingots, y’a quelques détails importants à connaitre avant. D’abord, Marathon Fusion n’a pas encore construit de réacteur. Leur papier, intitulé “Scalable Chrysopoeia via (n, 2n) Reactions Driven by Deuterium-Tritium Fusion Neutrons” (la chrysopoeia, c’est le nom savant pour la transmutation en or), est encore en attente de validation par les pairs même si l’équipe a l’air solide avec des anciens de SpaceX, Helion Energy, TAE Technologies et une dizaine de PhD en physique et chimie.

Le physicien Ahmed Diallo du Department of Energy américain, qui a passé en revue l’étude, déclare : “Sur le papier, ça a l’air génial et tous ceux à qui j’en ai parlé jusqu’à présent restent intrigués et excités”. C’est plutôt bon signe quand même.

Ce qui est vraiment malin dans leur approche, c’est que la production d’or ne compromet pas la génération d’électricité du réacteur. En fait, les réactions (n, 2n) du mercure-198 participent à la multiplication des neutrons nécessaire au fonctionnement du réacteur. C’est du win-win car vous produisez de l’énergie propre ET de l’or en même temps.

Alors évidemment, si cette technologie devient réalité et se déploie à grande échelle, qu’est-ce que ça veut dire pour la valeur de l’or ? Et surtout, est-ce que le Bitcoin va enfin pouvoir prendre sa place comme “l’or numérique” ? Parce que bon, si on peut fabriquer de l’or à la chaîne dans des réacteurs, l’argument de la rareté du métal jaune prend un sacré coup.

Les experts en crypto sont déjà sur le coup. Standard Chartered prédit que le Bitcoin pourrait atteindre 200 000 dollars d’ici fin 2025, avec une trajectoire vers 500 000 dollars en 2028. VanEck table sur 180 000 dollars pour 2025. Et certains analystes plus optimistes parlent même de 220 000 dollars comme objectif “raisonnable”.

Le truc, c’est que le Bitcoin a cet avantage indéniable, à savoir que sa quantité est limitée à 21 millions d’unités, point barre. Pas moyen d’en créer plus avec un réacteur nucléaire ou d’aller en chercher dans l’espace. Cette rareté programmée pourrait devenir son principal atout face à un or qui deviendrait soudainement beaucoup moins rare.

Mais bon, restons réalistes deux secondes. Même si Marathon Fusion arrive à faire fonctionner leur truc, on parle de combien de réacteurs dans le monde ? Une centaine ? Deux cents dans le meilleur des cas ? À 5 tonnes par réacteur par an, ça fait maximum 1000 tonnes d’or supplémentaires par an. C’est beaucoup, mais la production minière actuelle est déjà d’environ 3000 tonnes par an. Donc on augmenterait la production de 33%, ce qui est significatif mais pas non plus apocalyptique pour le marché de l’or.

Et puis y’a la question du mercure. Pour produire tout cet or, il faut du mercure-198 enrichi à 90%. Le processus d’enrichissement n’est pas gratuit et le mercure n’est pas exactement un matériau super sympa à manipuler (coucou les problèmes environnementaux). N’empêche, l’idée qu’on puisse créer de l’or comme sous-produit de la production d’énergie propre, c’est quand même bluffant. Les alchimistes cherchaient la pierre philosophale, on a trouvé le tokamak. Et au passage, comme je vous le disais, ça pourrait bien donner un coup de boost au Bitcoin comme alternative à l’or physique.

Donc en attendant que Marathon Fusion construise son premier réacteur (ils n’ont pas donné de date, mais vu la complexité de la fusion, on peut tabler sur 10-15 ans minimum). Bref, on verra bien !

Source

Aujourd’hui dans ma série “les ados qui ont failli déclencher la Troisième Guerre mondiale”, je vous présente l’histoire complètement dingue de Mathew et Richard, respectivement 21 ans de Cardiff et 16 ans de la banlieue londonienne, qui ont réussi l’exploit de faire trembler le Pentagone armés d’un simple modem 56k et d’une obsession maladive pour les petits hommes verts.

Le Pentagone, cette forteresse imprenable… sauf pour deux ados obsédés par X-Files

Si comme moi, vous êtes fans de X-Files, vous allez kiffer cette histoire. Mathew Bevan, alias “Kuji”, et Richard Pryce, surnommé “Datastream Cowboy” (déjà rien que les pseudos, c’est tout un programme) ont piraté pendant des mois les systèmes les plus secrets de l’armée américaine. Et leur but étaint encore plus fou : Prouver que le gouvernement américain cache l’existence des extraterrestres. Cheh !

Et ils ont effectivement réussi à s’introduire dans ces systèmes ultra-sensibles. Pire encore, ils ont failli créer un incident diplomatique majeur. Un agent du Pentagone a même qualifié Kuji de “plus grande menace pour la paix mondiale depuis Adolf Hitler”. Rien que ça ! C’est beau, j’en suis ému.

L’histoire commence donc dans les bureaux du Rome Laboratory à Griffiss Air Force Base, dans l’État de New York. Les administrateurs système découvrent qu’un programme espion, un “sniffer”, a été installé clandestinement sur leur réseau et le machin avait collecté tellement de mots de passe et d’informations qu’il avait saturé le disque dur et fait crasher le système. Breeeef, imaginez la tronche des admins : le laboratoire de recherche le plus secret de l’US Air Force, celui qui développe l’intelligence artificielle militaire et les systèmes de guidage radar, venait de se faire trouer comme un emmental.

Rome Laboratory, le cerveau technologique de l’US Air Force… infiltré par deux ados

Le 28 mars 1994, Jim Christy, chef des investigations cybercriminelles de l’Air Force Office of Special Investigations (AFOSI) de l’époque, reçoit l’appel qui va bouleverser sa vie.

“On a un problème”, lui annonce son équipe. Ancien de la NSA reconverti dans la lutte contre la cybercriminalité militaire, Christy comprend immédiatement l’ampleur du désastre. Rome Lab, c’est pas n’importe quoi, c’est l’endroit où se développent les armes du futur de l’armée américaine.

L’équipe de Christy découvre alors rapidement que les intrus utilisent deux pseudonymes : “Datastream” et “Kuji”. Deux hackers fantômes qui se baladent dans les systèmes militaires américains comme dans leur salon mais le pire reste à venir puisqu’ils utilisent les serveurs compromis de Rome Lab comme tremplin pour attaquer d’autres cibles : La NASA, Wright-Patterson Air Force Base (vous savez, là où sont censés être planqués les aliens), Hanscom Air Force Base, et même des contractants de défense en Californie et au Texas.

Pendant 26 jours, Christy et ses équipes surveillent les deux pirates sans intervenir. Ils veulent comprendre l’ampleur de l’attaque et remonter jusqu’aux coupables. Ce qu’ils découvrent les fait flipper grave : plus de 150 intrusions sur Rome Lab, des téraoctets de données sensibles copiées, des emails d’officiers lus et effacés, et des programmes de simulation de champ de bataille téléchargés. Hé oui, c’est qu’ont découvert les enquêteurs.

Jim Christy quelques années avant la traque des cyber-intrus

Mais le véritable moment de panique arrive quand les agents voient Datastream tenter d’accéder à un ordinateur dans un laboratoire nucléaire en Corée.

“Holy shit”, se dit Christy. On est en 1994, les États-Unis sont en pleine négociation tendue avec la Corée du Nord sur son programme nucléaire alors si les Nord-Coréens détectent une attaque sur leur installation nucléaire venant d’une base aérienne américaine, ils vont croire à un acte de guerre.

Les agents retiennent leur souffle. Heureusement, ils découvrent par la suite que la cible était en Corée du Sud, pas au Nord. Mais Datastream a quand même téléchargé les données du Korean Atomic Energy Research Institute et les a transférées sur les serveurs de l’US Air Force. Et si les Sud-Coréens découvrent ce transfert, c’est l’incident diplomatique assuré. Elle est pas belle la vie ?

Mais alors qui est ce mystérieux Kuji qui fait trembler le Pentagone ? Et bien c’est Mathew Bevan, né le 10 juin 1974 à Cardiff, au Pays de Galles. Un gamin qui vit un calvaire à l’école, harcelé par ses camarades, en difficulté scolaire, alors la nuit, pendant que ses parents dorment, il trouve refuge dans les bulletin boards (BBS) et les premiers forums Internet.

L’univers de Mathew Bevan : une chambre, un ordinateur, et des rêves d’extraterrestres

C’est là qu’il découvre le phone phreaking, l’art de manipuler les systèmes téléphoniques pour passer des appels gratuits n’importe où dans le monde. Cette compétence devient son passeport pour le monde du hacking et un jour, quelqu’un lui donne accès à Sin City, un bulletin board belge, repaire de hackers bien connu de l’époque. En échange de ses techniques de phone phreaking, les habitants de Sin City lui offrent alors documents et méthodes pour pirater des ordinateurs.

Mais le véritable déclic arrive quand Bevan tombe sur Destiny Stone, un bulletin board géré par un phone phreaker australien surnommé Ripmax. “Ce que j’ai trouvé sur son système, c’étaient des centaines de documents sur les OVNIs, les dissimulations gouvernementales et les théories du complot”, se souvient Bevan. Il y découvre notamment l’histoire de 40 hackers qui auraient disparu mystérieusement après avoir ciblé des systèmes militaires pour découvrir la vérité sur les OVNIs.

X-Files - La série qui a inspiré toute une génération de hackers conspirationnistes

Et là, c’est le moment “eureka” de Bevan car si ces 40 hackers ont disparu en cherchant la vérité sur les OVNIs, c’est qu’il y a forcément quelque chose à cacher. Sa mission est donc toute trouvée : reprendre là où les disparus se sont arrêtés, pirater chacune des bases militaires citées par le magazine underground PHRACK, et prouver une bonne fois pour toutes que le gouvernement américain cache l’existence des extraterrestres.

En 1994, Bevan entre alors en contact via IRC avec Richard Pryce, un gamin de 16 ans passionné de musique et d’informatique. Pryce, qui se fait appeler “Datastream Cowboy”, partage la même fascination pour les théories du complot. Il admire les compétences techniques de son aîné et accepte de devenir son “apprenti” dans cette quête de vérité.

IRC : le terrain de jeu des hackers des années 90

C’est Pryce qui découvre Rome Laboratory par hasard, en scannant les adresses IP du réseau militaire américain. “Regarde ce que j’ai trouvé”, écrit-il à Kuji. “Un labo de recherche de l’Air Force avec des sécurités ridiculement faibles.” Bevan comprend immédiatement l’opportunité. Rome Lab est un nœud central du réseau militaire américain, une porte d’entrée vers des dizaines d’autres installations.

Mais contrairement aux espions professionnels, les deux compères ne cherchent pas à passer inaperçus. Ils laissent des traces partout, copient des gigaoctets de données sans discrimination, et communiquent entre eux sans précaution particulière. C’est cette négligence va permettre à Christy de les traquer.

Pour traquer les deux fantômes, l’AFOSI fait appel à son réseau d’informateurs sur Internet. Un de ces informateurs parvient à entrer en contact avec Datastream Cowboy sur Cyberspace, un fournisseur d’accès à Seattle. Le gamin, naïf et impatient de communiquer avec d’autres hackers, tombe alors directement dans le piège et donne son numéro de téléphone personnel à l’informateur.

Le 12 mai 1994, Scotland Yard arrête Richard Pryce à son domicile de Colindale. Le gosse est terrorisé et il avoue tout : les intrusions dans Rome Lab, les attaques contre la NASA, le transfert des données coréennes. Mais surtout, il balance son complice Kuji, même s’il ne connaît pas sa véritable identité.

Pryce comparaît devant la Woolwich Crown Court en mars 1996. Il plaide coupable pour 12 infractions au Computer Misuse Act britannique et écope d’une amende dérisoire de 1 200 livres sterling. Pas de prison, pas de casier judiciaire lourd.

Pendant ce temps, Christy continue sa traque obsessionnelle de Kuji et l’AFOSI met des moyens considérables sur l’enquête. Les experts en profilage psychologique dressent un portrait-robot : homme, entre 25 et 35 ans, très intelligent, formation scientifique, probablement financé par une organisation étatique. Le Senate Permanent Subcommittee on Investigations va même jusqu’à qualifier Kuji “d’agent étranger, possiblement d’origine est-européenne”.

Ils se plantent complètement puisque Kuji n’est qu’un jeune employé informatique de Cardiff, obsédé par X-Files et financé par son maigre salaire dans une petite boîte galloise. Breeeef, les profileurs du FBI peuvent aller se rhabiller.

Le matos de Mathew Bevan à l’époque

Le 21 juin 1996, à l’aube, une escouade de Scotland Yard débarque chez Mathew Bevan. Ils s’attendent à tomber sur un espion professionnel, un agent dormant est-européen et ils découvrent un geek de 21 ans vivant chez ses parents dont la chambre est tapissée d’affiches d’X-Files et de science-fiction. “Les agents ont finalement découvert que l’identité de Kuji était Mathew Bevan, 21 ans, un informaticien avec une fascination pour la science-fiction”, rapporte le dossier d’enquête.

Bevan est arrêté et inculpé, mais contrairement à son jeune complice, il refuse de coopérer. Son père étant policier, il connaît ses droits et prend un avocat. S’ensuit un bras de fer judiciaire de 20 audiences. En novembre 1997, coup de théâtre : le Crown Prosecution Service abandonne toutes les charges. “Décision commerciale”, justifie le procureur. Traduction : ça coûte trop cher et l’opinion publique s’en fout.

Bevan sort libre mais marqué à vie. “Je ne peux plus faire de mal à une mouche maintenant”, confie-t-il. Il se reconvertit dans la sécurité informatique éthique, rejoint Tiger Computer Security, devient développeur chez Nintendo, et finit par fonder sa propre entreprise, Kuji Media Corporation. L’ironie de l’histoire veut que l’ancien pirate du Pentagone soit aujourd’hui payé pour empêcher d’autres de faire ce qu’il a fait.

De hacker à protecteur : la reconversion réussie de Mathew Bevan

Quant à Pryce, traumatisé par son arrestation, il disparaît complètement des radars. Après la confiscation de son ordinateur, il n’en rachète même pas un nouveau. Certains disent qu’il a repris ses études de musique, d’autres qu’il s’est reconverti totalement. Une chose est sûre : l’expérience l’a vacciné à vie contre le hacking.

Le rapport d’évaluation des dégâts, publié le 31 octobre 1994, chiffre les pertes directes de l’US Air Force à 211 722 dollars, sans compter les coûts de l’enquête et du nettoyage des systèmes. Mais les enquêteurs admettent n’avoir découvert que la partie émergée de l’iceberg. Combien d’autres Kuji et Datastream Cowboy se baladent dans les systèmes militaires américains ? On verra bien…

Avant 1994, les militaires américains considéraient leurs réseaux comme protégés par leur complexité technique mais après Kuji et Datastream Cowboy, ils comprennent qu’Internet a aboli les frontières et que n’importe quel ado avec un modem peut devenir une menace nationale. Cette prise de conscience va déclencher une révolution dans la cybersécurité militaire, avec des milliards de dollars investis pour sécuriser ce que deux gamins britanniques avaient démontré être un gruyère numérique.

Et la mauvaise nouvelle, c’est que malgré des mois d’intrusions dans les systèmes les plus secrets de l’US Air Force et de la NASA, Bevan n’a jamais trouvé la moindre preuve de l’existence d’extraterrestres. Pas de débris de Roswell, pas de documents sur la Zone 51, pas de technologies aliens. “J’ai fouillé partout”, confiera-t-il. “Wright-Patterson, la NASA, tous les endroits où étaient supposés être cachés les secrets sur les OVNIs. Rien, nada, que dalle.”

Cette conclusion aurait dû clore le débat, mais les théoriciens du complot ont retourné l’argument : si Kuji n’a rien trouvé, c’est justement la preuve que la conspiration existe et qu’elle est plus complexe et secrète que ce qu’on pourrait imaginer. The truth is ‘still’ out there, comme dirait Mulder… Mais elle n’est pas dans les serveurs du Pentagone visiblement…

Sources : Security in Cyberspace - Rome Laboratory Case Study, Wikipedia - Mathew Bevan, Kuji Media - Confessions of a hacker, InformIT - The Rome Labs Case, ISC2 - 30 Years After Two Kids Broke into the Air Force, Cryptologic Foundation - 1994: Griffiss Air Force Base finds malware

Utilitaire permettant d'identifier les doublons sur votre ordinateur afin de les supprimer...

Utilitaire gratuit et en français permettant de lister les pilotes installés sur votre ordinateur et de vérifier si des mises à jour de ceux-ci sont disponibles...

Utilitaire gratuit permettant de défragmenter votre disque dur pour optimiser les performances de votre ordinateur...

Utilitaire gratuit et en français permettant de synchroniser le contenu de deux dossiers selon des critères personnalisables...

Utilitaire gratuit, en français et portable permettant de centraliser l'ensemble de vos connexions à distance, identifiants et mots de passe...

Utilitaire gratuit permettant de répertorier et de supprimer les fichiers temporaires et inutiles sur votre disque dur...

Logiciel gratuit et en français permettant d'afficher en transparence sur votre Bureau d'ordinateur un véritable calendrier et de le synchroniser avec vos autres appareils...

Ecoutez légalement et en toute simplicité des millions de titres, podcasts et radios...