Ep. 02
Speaker 1: Bonjour à toutes et à tous et bienvenue dans cette épisode de ‘il I A de la Cyber’. Speaker 2: Salut Julie ! Et salut à nos auditeurs passionnés de cybersécurité et de technos ! Aujourd’hui, on a un programme chargé, on va naviguer entre espionnage digne d’un film, vols d’identité et même un peu de finance décentralisée… Une vraie course à l’échalote numérique ! Speaker 1: C’est ça. On va commencer direct avec un truc qui va vous plaire, surtout si vous êtes fan de Star Wars. Paul, tu as vu cette histoire ? Speaker 2: Ah oui, la CIA et les faux sites ! Sérieusement, qui aurait cru que derrière une page sur un set Lego Star Wars se cachaient des canaux de communication secrets pour des espions ? C’est dingue ! Speaker 1: C’est complètement fou ! Un chercheur brésilien, Ciro Santilli, un obsédé de tech et de géopolitique, a fouillé des fragments numériques oubliés et a déterré tout ça. En gros, la CIA avait un réseau de faux sites : sports extrêmes, musique brésilienne, et donc, Star Wars. Speaker 2: Le gars a même dit qu’il voulait “rendre la pareille” à la CIA qu’il accuse de surveillance abusive, alors qu’il est juste un développeur Linux chevronné ! J’adore cette motivation. Speaker 1: En utilisant des outils en libre accès, et avec l’aide de journalistes de 404 Media, il a révélé que ces sites anodins étaient en réalité des passerelles vers des plateformes de communication cachées pour les informateurs. Speaker 2: C’est ça, tu tapais un mot de passe dans la barre de recherche et hop, tu étais chez la CIA. La classe ! Mais ça a aussi eu des conséquences dramatiques, avec l’exécution de dizaines d’informateurs après que l’Iran ait découvert le pot aux roses. Speaker 1: Et le coup de grâce : aujourd’hui, starwarsweb.net redirige directement vers le site de la CIA ! Pas très subtil, ça ! Speaker 2: Non, la discrétion, c’est clairement plus d’actualité pour eux sur ce coup-là. Ça montre que même les grandes agences font des erreurs grossières. En parlant d’erreurs et de choses bien réelles, on passe à un sujet un peu moins “galactique” mais tout aussi sérieux : la revente d’identités numériques. Speaker 1: Oui, c’est une affaire qui nous ramène sur terre, en Chine, à Qingdao. La police a démantelé un vaste réseau qui exploitait les données personnelles d’étudiants. Speaker 2: Des jeunes qui pensaient faire du marketing numérique mais qui en fait, vendaient leurs données : noms, numéros de téléphone, reconnaissance faciale… Le tout pour quelques dizaines de yuans ! C’est chaud, ça. Speaker 1: C’est une vraie industrie souterraine qui brassait des millions d’euros. Les criminels recrutaient ces étudiants sous de fausses offres d’emploi pour créer des comptes sur les réseaux sociaux, des applications, et les revendre ensuite. Speaker 2: C’est la professionnalisation du marché noir des données. Et ça ne s’arrête pas là, parce que nos identités numériques peuvent être utilisées pour plein d’autres choses : fraudes, désinformation, manipulation d’opinions… On a l’impression que c’est une usine à faux comptes ! Speaker 1: Exactement. Et ce n’est pas qu’en Chine. Juste après, Adidas a été victime d’une fuite de données massive. Ce n’était pas une attaque directe, mais via un de leurs prestataires de service client. Speaker 2: C’est la fameuse “supply chain attack”, l’attaque de la chaîne logistique numérique. Et ça, c’est de plus en plus courant. 30% des incidents de fuites de données viennent de tiers, et c’est en forte augmentation. Speaker 1: C’est le maillon faible. Même si Adidas dit qu’aucun mot de passe ou donnée de paiement n’a été compromis, ce sont les coordonnées de centaines de milliers de clients qui ont fuité. Ça coûte cher en confiance, ça. Speaker 2: Carrément. Il faut que les entreprises renforcent la gestion des risques liés à leurs prestataires. On parle souvent de la technologie, mais c’est aussi une question de culture de la sécurité. Speaker 1: On continue dans le grand bain des histoires numériques avec un retournement judiciaire inattendu dans l’univers de la finance décentralisée ! Speaker 2: Ah oui, l’affaire Avraham Eisenberg, celui qui a manipulé Mango Markets en 2022. Il avait fraudé 114 millions de dollars et puis avait rendu une partie. Speaker 1: Figure-toi que sa condamnation pour fraude vient d’être annulée par un juge de New York ! La raison ? Un simple problème de juridiction : selon le juge, il n’y avait aucun lien géographique entre l’affaire et l’État de New York. Speaker 2: Mais c’est absurde ! On parle de finance décentralisée, tout se passe en ligne. Où est la notion de “lien géographique” quand une transaction peut se faire depuis n’importe où dans le monde ? Speaker 1: C’est toute la question ! Le juge a estimé qu’Eisenberg, domicilié à Porto Rico, n’avait “jamais appelé, écrit ou voyagé à New York” dans le cadre de cette affaire. Donc, la condamnation pour fraude électronique annulée. Speaker 2: C’est quand même hallucinant. Ce type, que certains considéraient comme un “hacker éthique” ou un lanceur d’alerte, se voit innocenté à cause d’une faille géographique du système légal. Speaker 1: Exactement. Ça met en lumière l’énorme problème de régulation dans la DeFi. Les lois actuelles ne sont pas du tout adaptées à ces nouvelles technologies sans frontières. Speaker 2: Et Mango Markets, la plateforme qu’il avait manipulée, a dû fermer ses portes. Et le MNGO, leur jeton, n’a quasiment plus de valeur. Ça fait cher la manipulation. Speaker 1: Oui, et attention, Eisenberg n’est pas totalement libre : il reste sous la menace d’une affaire pour possession de contenus pédopornographiques. Donc, ça ne l’a pas totalement blanchi. Speaker 2: C’est une sacrée ombre sur son profil. Bon, on passe du juridique très abstrait à du très concret et controversé : la reconnaissance faciale. Speaker 1: Le Royaume-Uni est un peu un laboratoire géant pour ça. Récemment, à Londres, un délinquant sexuel fiché a été arrêté grâce à la reconnaissance faciale en direct, alors qu’il était avec une fillette de six ans. Speaker 2: C’est un succès indéniable pour la police. Ça montre l’efficacité de la technologie pour intercepter des criminels et prévenir des drames. Speaker 1: Oui, mais l’efficacité soulève aussi les débats. La Met Police utilise des algorithmes super performants qui comparent les visages captés par les caméras à une base de données de personnes recherchées. Speaker 2: Et c’est là que les questions se posent : est-ce que ça va trop loin ? Les défenseurs des droits civiques parlent de dérive vers une société de surveillance permanente. On parle de biais algorithmiques, surtout avec les personnes non blanches, les femmes ou les personnes âgées. Speaker 1: Exactement. Et le flou juridique autour de ces technologies inquiète. Il n’y a pas de loi spécifique au Royaume-Uni. Qui décide qui est sur la liste des suspects ? Que deviennent les données si aucune correspondance n’est trouvée ? Speaker 2: C’est des questions fondamentales. Le cas Cheneler, même si son arrestation est une bonne nouvelle, nous rappelle l’impact. Où est la limite entre protection et flicage généralisé ? C’est le dilemme du 21e siècle. Speaker 1: Il faut instaurer un cadre légal. On ne peut pas juste laisser ça se développer sans limites. Speaker 2: Et on termine notre tour d’horizon avec une victoire des autorités contre le cybercrime : le démantèlement de 5socks et Anyproxy. Speaker 1: Oui, le FBI et la police néerlandaise ont mis fin à deux géants de l’anonymat numérique qui, depuis près de vingt ans, masquaient l’identité de milliers de cybercriminels à travers le monde. Speaker 2: Ces services de proxys étaient utilisés pour tout et n’importe quoi : fraudes financières, rançongiciels, attaques, espionnage industriel… Tout ça via un réseau de routeurs compromis. Speaker 1: C’est fou d’imaginer que des routeurs obsolètes, probablement chez des particuliers qui n’en savaient rien, servaient en fait de points d’accès pour des activités criminelles internationales. Speaker 2: Et leurs revenus s’élevaient à plus de 46 millions de dollars ! C’est énorme. C’est surtout un trio russe et un Kazakh qui étaient derrière ça. Speaker 1: Le FBI a pu s’appuyer sur des partenaires privés, comme l’entreprise Lumen, pour cartographier le réseau. Des routeurs infectés jusqu’à l’Oklahoma, c’est dire l’étendue. Speaker 2: Ça souligne la complexité de la lutte contre le cybercrime. C’est une course sans fin où l’anonymat en ligne, qui peut être légitime pour certains usages, devient une arme d’impunité pour les cybercriminels. Speaker 1: Chaque démantèlement est une victoire, mais le défi persiste, surtout que l’IA et les besoins en stockage ne cessent de croître, offrant de nouvelles opportunités aux pirates. Speaker 2: Exactement. Les infrastructures informatiques devront s’adapter rapidement, et la vigilance sera plus que jamais de mise. Speaker 1: Et c’est sur cette note qu’on va se laisser pour cette épisode. Speaker 2: Merci, Julie, pour cette plongée fascinante et un peu effrayante dans les arcanes de la cybersécurité. Speaker 1: Merci à toi, Paul, et surtout, un grand merci à toutes et à tous de nous avoir écoutés ! Speaker 2: Prenez soin de vos données, restez connectés mais prudents ! On se retrouve très bientôt pour un nouvel épisode de ‘il I A de la Cyber’ ! Speaker 1: À très vite et à la prochaine !