A au fait maman merci pour le conseil.
Ah oui lequel ?
Ouvrir l'assurance vie carac et par une patrimoine ?
Ah oui.
En 2024, le fonds euro de la carac m'a rapporté 3,50%.
Mais oui la carac s'occupe bien de nous et depuis longtemps.
Et nous avons un conseiller en patrimoine dédié qui change tout.
Et jusqu'au 31 mars, la carac me donne 50 euros si je verse 2000 euros.
Et ça peut aller jusqu'à 1000 euros offert.
A la carac, on se bat pour vous.
Les taux passés ne préjuchent pas d'etats à venir.
Taux net de frais avant prélèvement sociaux.
Offre soumise à conditions, plus d'informations sur carac.fr.
Mutuelle soumise au livre 2 du code de la mutualité.
Je lui dis j'espère que ça va.
On ne s'est même pas parlé tout à l'heure parce que j'étais hors-tarque comme d'habitude.
Mais j'espère que tu as été bien accueilli.
Ouais super super.
J'étais avec l'équipe de Dr. Lib.
C'est ça qu'il y a de l'après.
Ah oui ils sont arrivés.
Vous avez parlé SQU.
J'imagine, j'ai hâte moi de savoir ce qu'ils vont me raconter en tout cas.
Toi tu sais déjà mais.
Je sais pas tout.
C'est pas tout.
Ils t'ont gardé des surprises.
Ouais peut-être.
Est-ce que tu as déjà fini de Twitch ou t'as pris la première fois ?
Jamais.
Jamais.
Ok cool.
Avant de te lancer dans le vif du sujet, est-ce que tu veux te présenter,
sans parler de ce dont on va parler aujourd'hui,
mais de nous dire ce que tu as fait, comment tu t'es formé et voilà tout simplement explique-nous.
Bah moi j'ai commencé sur DOFUS.
Il y a un petit moment.
Donc j'étais petit, mes parents voulaient pas payer l'abonnement.
Du coup voilà on s'arrange.
Et du coup de fil en aiguille j'étais sur des forums de hacking où j'ai appris à dev,
à plein de trucs et j'ai toujours essayé de résoudre mes problèmes on va dire petit à petit.
Et après j'ai découvert la communauté SEO,
donc Search Engine Optimization,
qui est l'optimisation dans les moteurs de recherche.
Et j'ai compris qu'on pouvait vivre en tapant des lignes de code.
Du coup j'ai fait ça.
Je remarque comme point d'entrée le SEO.
Je sais qu'il existe une frange du SEO qui a un peu particulière,
genre le Black SEO non ?
Bien sûr Black SEO et Black SEO, moi je fais du Black SEO par exemple,
mais ça n'a pas de rapport avec du hacking Black SEO,
juste qu'on ne respecte pas les guidelines de Google.
C'est quoi ?
Je ne sais pas ce que c'est moi.
Le Black SEO ?
Oui.
En gros pour se positionner sur Google,
donc il va falloir par exemple des liens vers ton site.

Donc tu peux attendre d'avoir des liens naturels qui arrivent,
par exemple qu'il y a un média qui parle de toi, etc.
C'est quelque chose qui est assez bien,
il y a un bon business derrière et souvent un média ne te fait pas des liens comme ça.
Donc après tu peux les acheter.
Ce qui est illégal, enfin illégal,
ce Google ne tolère pas ça dans ses règles du jeu.
Donc il peut te sortir de Google pour ce genre de choses.
Donc en fait quand le Black Hat ça veut dire que tu vas optimiser que ce soit ton contenu,
ce qu'on appelle le off-site,
ce qui est en dehors du site, donc les liens, etc.
Et tu vas optimiser le truc en jouant un peu avec les règles que tu veux sans suivre la politique de Google.
D'accord.
Ok, donc optimiser à tout prix ton référencement.
En gros c'est un peu sauvage,
de l'éthiologie, mais le but c'est que coûte que coûte grimper dans les référencesments.
Mais je crois que ça c'est un peu calmé maintenant
parce que Google est venu assez bon quand même pour détecter des trucs bizarres.
Pardon.
Ils utilisent pas mal les signaux par exemple de Chrome, etc.
Bien qu'ils disent que non, il y a beaucoup de tests qui ont montré que oui, ils utilisent les signaux de Chrome par exemple.
Donc c'est plus dur qu'avant, mais typiquement là aujourd'hui qu'il y a le spam lexing,
c'est revenu à la mode, donc ça se passe encore pas mal.
Ok, ça revient au goût du jour maintenant.
Pardon, du coup j'étais coupé et après ça,
donc après ton passage dans le monde de SEO,
qu'est-ce que tu as fait aujourd'hui, tout simplement, quel est ton lien avec la cyber ?
Après le SEO, donc j'ai travaillé un peu en SEO, donc en CDI.
Après ça s'est arrêté, j'ai monté ma boîte de CQ,
j'ai fait pas mal de CQ, donc pain test, pas mal de désinfection,
malheureusement j'ai énormément travaillé sur la désinfection,
c'est pas quelque chose que j'avais ciblé à la base,
donc je voulais faire pain test à fond, donc j'ai fait pas mal de missions pain test,
mais au final c'était globalement de la désinfection de sites piratés,
parce que les gens souvent attendent de se faire péter les sites pour faire quelque chose.
C'est ça.
Et juste pour savoir quel profil on va entrer dans l'histoire,
mais quel clientèle t'avais, un type ?
Est-ce que c'était plutôt des entreprises ou des particuliers ?
Que des entreprises globalement, je ne me sens pas avoir travaillé avec des particuliers,
c'était globalement dans la sphère SEO où j'ai passé pas mal de temps.
J'étais avec ton réseau.
C'est ça.
Et donc c'est des gens qui se faisaient péter leurs sites et tu les aides à...
C'est ça.
À cette balai.
Souvent, du coup, ils vont faire beaucoup de sites,
parce que comme il faut des liens vers ton site,
tu fais tes sites pour te faire des liens,
et donc du coup les mecs ils se retrouvent avec plein de blogs qui ne sont pas très bien maintenus,
où il y en a beaucoup sur le même FTP, et du coup c'est assez rectifiant.
Ok, ok.
Tu l'as avoir effectivement pas mal d'incomptables.
Mais c'est non que tu vas parler aujourd'hui, pardon.
Justement, il y a un problème avec mon pull ?
Non, qu'est-ce qu'il y a tout ?
Parce que je sais pas, je vois ça là.
Ah si, si, il y a un petit problème avec ton pull, mais c'est rien d'autoramatique.
C'est pas grave.
Mais parce que j'ai vu épargner parmi quoi,
et je me suis dit bah il veut me faire passer un message.
C'est pas mal.
Je pense que c'est quelqu'un qui a mon con.
D'accord, mais vous me dites s'il y a des problèmes techniques à tout moment avant de commencer.
Ton pull est merveilleux.
Il est simple.
Je t'ai fini d'entendre là-bas.
Pardon, du coup j'étais un ton pull, mais je fais du 1, 3 les rêver.
Malheureusement, on n'aura pas le temps de parler de toutes tes histoires.
On a décidé avec toi d'en choisir une bien particulière.
Et qu'on a découvert notamment sur ta chaîne YouTube,
et qui vous allez voir est très très intéressant.
Imaginez, vous vous faites pirater votre serveur
avec une centaine de sites web hébergés dessus.
C'est l'histoire qui est arrivée à Julien et son ami qu'on reçoit aujourd'hui.
Et en temps normal, pour une personne classique,
peut-être désinfecterait son site web,
ou j'éterai son serveur à la poubelle, je ne sais pas.
Mais ça arrêterait là.
Ce n'est pas ce qu'a décidé de faire Julien,
qui a voulu remonter la piste pour savoir
qui avait osé s'infiltrer sur la machine de son pote.
Sauf qu'au lieu de simplement tomber sur un pirate,
un loup solitaire,
il s'est en réalité infiltré dans une équipe de hackers chinois.
Très bien organisé.
Vous allez voir, c'est une histoire avec plein de rebondissements.
Vous allez potentiellement halluciner un peu de ce qu'on peut trouver
tout seul, parce que tu as fait ça tout seul de ton côté.
Et donc vous allez voir ça.
On va vous raconter tout dans les moindres détails.
Merci déjà d'avoir accepté notre invitation.
Et revenons au prémise de cette histoire.
Tu es au Maroc avec tes amis
et tu joues au poker.
La spécificité, c'est que t'es un ancien hacker,
en gros, tu faisais du pen test, etc.
Mais tu t'es reconverti dans le poker, tu es joueur pro.
Oui.
En gros, j'ai découvert ça pendant le confinement.
Et je trouvais ça cool.
J'ai bien aimé le jeu et je me suis dit,
bah vas-y, je deviens pro.
Et donc du coup, j'ai trahère pendant un petit moment.
Donc, j'insite pas les gens du chat à jouer au poker comme ça.
C'est vrai.
Faut vraiment travailler, respecter des règles avec comment on gère son argent, etc.
Donc, il faut pas faire ça de manière...
Stupide.
Stupide.
5% des joueurs sont gagnants.
Donc voilà, j'insite vraiment pas les gens à jouer.
Mais globalement, oui, moi, j'ai aimé ce jeu
et j'ai travaillé, donc là, GTO, Game Theory Optimal,
pour... tu travailles sur des solvers, qui te disent qu'elle est la stratégie
que tu devrais suivre, etc.
Donc j'ai passé pas mal de temps à jouer.
Puis on était au Maroc, du coup, avec mes amis,
parce que, bah, en France, c'est compliqué.
Tu peux pas jouer à l'international, par exemple, avec les Chinois,
les Brésiliens, c'est assez limité.
Donc t'es obligé de partir, en fait, pour pouvoir jouer avec toute la planète.
Et alors, à quel moment tu découvres, justement, qu'il y a eu une faille,
dans... enfin, à quel moment tu découvres qu'il y a eu une intrusion
sur le serveur de ton poids, justement ?
Bah, c'est quelqu'un qui m'ont contacté, en fait, et qui me dit,
bah, j'ai 100 sites qui sont en ligne, est-ce que tu peux gérer ça ?
Ils sont disparus.
Ils sont pas en ligne, tout à fait, en fait, mais il y a du spam-dexing dessus.
Donc ça veut dire qu'il y a beaucoup de pages qui sont générées dessus,
qui renvoient vers des produits japonais.
Et ils me disent, bah, je me suis hacker.
En fait, c'est historique par rapport à mon ancienne activité,
où ils...
Il avait ton contact par rapport à mon ancienne activité.
Voilà, c'est ça, ils me connaissent, et c'est ça.
Et donc, ils me contactent.
Je lui dis, bon, écoute, là, je n'ai pas d'entreprise, actuellement.
Je suis en train de jouer au poker en Maroc.
Et vas-y, envoie les accès, je regarde ce que je peux faire pour toi.
Et donc, du coup, j'ai géré ça.
J'avais un petit trou, je me suis dit, oh, allez, cette semaine,
je vais jouer au poker, je vais gérer ça pour lui.
Et donc, du coup, j'ai géré ça.
Ils étaient vraiment relous, les hackers, parce que, bah...
Enfin, en gros, ils modifiaient, par exemple, les permissions des fichiers en permanence.
Ça veut dire que quand tu édites un fichier,
mais en fait, tu ne peux pas, parce que lui, il a une boucle infinie
qui va réécrire les permissions pour ne pas que tu puisses y toucher.
Donc, c'était des méthodes qui ne sont pas très...
Enfin, ce n'est pas très développé non plus, entre guillemets,
mais ce n'est pas standard de voir ce genre de choses.
Oui, la plupart du temps, ce que toi, tu voyais,
ça ressemble à quoi, comme type d'attaque ?
C'est souvent, en fait, les hackers, ils passent par des plugins
ou des thèmes qui ne sont pas mis à jour, ils vont mettre leur backdoor.
Et au niveau de la persistance, souvent, ce n'est pas fou.
Ça veut dire qu'il va avoir une tâche
qui va passer toutes les heures et qui va réussir
de mettre la backdoor ou quelque chose comme ça.
Mais l'édition de fichiers et de permissions en boucle infinie,
ce n'est pas quelque chose qui est très courant.
Juste pour préciser, pardon, sur les technologies de ces sites web,
c'est quoi qui est utilisé et quel genre de faille
ils emploient pour rentrer ?
C'est globalement du WordPress.
Pourquoi pas ? Parce que WordPress, ce n'est pas sécurisé.
Non, il y a énormément de travail sur WordPress.
On prend WordPress de base, on l'installe.
Ça va être super propre.
Par contre, le truc, c'est qu'il y a toute une panoplie de thèmes,
de plugins, et comme c'est le truc le plus utilisé sur Internet,
c'est 40% des sites, globalement, quand on fait du hacking et de masse,
on a envie d'aller là où il y a de la masse, sur WordPress.
C'est souvent la cible principale.
C'est aussi un endroit où il y a des vulnérabilités,
un grand quantité, parce qu'il y a beaucoup de modules
et beaucoup de plugins, et du coup la surface est hyper large, j'imagine.
C'est ça.
C'est souvent quand on va installer les plugins qui ne sont pas très connus,
qui ne sont pas très maintenus, etc., où ça peut aller.
Et je ne pense même pas que les hackers en question cherchent les failles eux-mêmes.
Je pense qu'ils prennent les dernières failles qui sont sorties et ils testent.
Les failles connues, avec les référencées.
Et donc toi, dans ce cas, Précite, tu te heurtes à des premiers cailloux dans ta question, entre guillemets.
Est-ce que tu arrives malgré tout à les dégager du serveur ?
Oui.
Pour ça, il fallait que je donne tous les sites pendant la manipulation,
parce que, comme ils réécrivent en permanence, si je les laisse passer,
ou faire quoi que ce soit, ils vont être plus rapides que moi,
si je veux supprimer par exemple les 10 000 backdoors qu'il y a sur la machine, c'est long.
Du coup, j'ai dû mettre tout en ligne pour tout dégager tranquillement.
Et donc, tu les tèches, tu fais le nettoyage, on va dire.
Est-ce qu'à ce moment-là, déjà, qu'est-ce que tu notes d'intéressant ?
Est-ce que, au moment du nettoyage, déjà, tu as découvert des premières traces
qui vont ensuite te permettre de remonter une piste ?
Oui.
Je tombe dans la vidéo que j'ai faite et je l'explique assez brièvement,
parce que j'ai essayé de tout condenser pour que ce soit quelque chose d'agréable à regarder.
Mais en fait, je trouve une URL où je vois un dragon qui tourne à l'infini.
Donc ça, je le montre.
Mais en fait, je trouve ça.
Et c'est au moment de la désinfection, je me dis, merde, les mecs, ils se moquent de moi,
genre ils installent, en gros, leur site, ils seraient stockés pas mal de backdoor,
donc de virus entre guillemets, je vais me faire taper le sourire,
ils doivent parler puriste, mais de malware, qui sont téléchargés, en fait,
depuis les WordPress.
Les WordPress se connectent à ce site, télécharge les malware et les mettent sur le serveur.
Et du coup, la page d'accueil, c'est un dragon qui tourne à l'infini.
Du coup, c'est ce truc-là qui m'a intrigué, où je le montre à mon colloque, je lui dis,
mais regarde, ils se moquent de moi, les mecs, moi je...
J'ai jamais vu ça.
Un hébergeur de malware, entre guillemets, un C2 ou un truc comme ça, qui se donne la peine,
oui, un serveur de contrôle détenu par des pirates, qui se donne la peine de faire du marketing.
C'est un très étrange vrai.
Et j'étais un peu surpris de la méthode.
Et est-ce que ça t'a donné envie d'imaginer d'aller plus loin ?
Je me dis, je vais regarder ce qu'il y a sur site.
Effectivement, je trouve les fichiers qui sont stockés en pointe XT,
qui sont téléchargés sur la machine pour maintenir le contrôle.
Et au final, rien.
J'arrive à rien faire du tout de ce site.
Et du coup, c'est là où je me dis, je vais jeter un oeil un peu plus profond,
parce que je trouve ça bizarre qu'il y a une URL accessible et j'ai envie d'en savoir un peu plus.
Et du coup, je cherche de les adresser IP,
parce qu'il y avait pas mal de leur code à ce moment-là qui n'était pas forcément opusqué.
Opusqué, c'est-à-dire que c'est illisible pour un humain, mais la machine va quand même exécuter le code.
Souvent, les hackers font ça pour éviter qu'on remonte sur leur trace,
pour éviter de se faire attraper par les protections, les antivirus de site.
Et sauf que eux, en fait, c'était lisible des fois.
Parce que moi, je m'amuse pas souvent à décoder ce genre de trucs, etc.
Ça prend du temps et je sais pas que ça va faire que de déopusqué tout les cas.
Et du coup, je cherche un peu et je tombe sur une adresse IP.
Donc, je décide de...
Je vois une instruction chinoise sur la page d'accueil qui dit,
ok, ça fonctionne, un truc comme ça.
Et du coup, là-bas, je me dis, je vais essayer de creuser plus en profondeur, voir...
C'est un autre serveur, du coup.
C'est ça. C'est un autre serveur, il y a énormément de serveurs, beaucoup, beaucoup, beaucoup,
qui n'y en a plus aucun qui existe actuellement.
Parce que je pense que j'ai fait un peu de bruit, du coup, c'est la moindre des choses.
Je pense de changer les surailles.
Et donc, cet autre serveur, tu investis ?
J'investis, oui.
Je trouve du coup leurs outils, qu'ils utilisent.
Donc, en faisant du bruit de force, je vais chercher les dossiers qui existent sur la machine
et ils ont laissé un dossier qui s'appelle TOOL.
Et dans ce dossier, il y a pas mal d'outils à eux,
pour rendre les malwares illisibles, pour voir le trafic des sites qui ont piraté.
Enfin, il y a une dizaine d'outils qui traînent.
Juste pour que je comprenne bien comment tu accèdes,
parce que pour l'instant, tu es à l'extérieur du serveur.
Comment tu arrives à récupérer un accès ?
C'est ce que tu peux dire, évidemment.
Bien sûr, je te sens, je dis tout dans la vidéo.
Pas grand chose à cacher, c'est leur donner, donc c'est cadeau.
Et du coup, je trouve une page qui permet de rendre du coup les malwares illisibles.
Et sur cette page...
De lister les fichiers locaux, c'est ça ?
Non, en fait, eux, ils vont upload leur malwares,
qui est du PHP, classique, donc un langage de programmation pour le web.
Et ça va renvoyer un code qui est illisible par un humain,
mais exécuté par la machine.
Et en gros, je me dis, en fait, on peut upload des fichiers,
donc les faillues upload, souvent, c'est ce qui a de plus agréable.
C'est quand tu envoies à toi-même un fichier qui va être exécuté sur la machine.
C'est ça, je le renvoie à un fichier PHP,
donc un fichier de code de site classique.
Et si j'arrive à l'exécuter, c'est cool.
Donc là, pour le coup, ça marche pas.
J'arrive pas à exécuter, enfin, à exploiter cette faille de cette manière.
Par contre, quand tu tapes dans le formulaire de fichier,
tu tapes index.php,
en fait, ils te ressortent le code de tirer sur leur machine.
Ah oui, donc c'est-à-dire que tu as un moyen de lire un par un les fichiers de la machine.
C'est ça.
Et toi, tu vas exploiter ça en brûte-forçant,
enfin, en entrant un maximum de chemins différents, c'est ça ?
Et c'est exposé sur le web.
C'est ça, en plus.
Ouais, il n'y a pas de mot de passe, il n'y a rien.
C'est juste, ils se sont dit, on va mettre un dossier tout, personne ne le trouvera.
Pour moi, c'est vraiment super amateur la protection qui a été faite.
Ouais.
C'est la différence entre le niveau d'attaque et de défense.
C'est curieux le jour et la nuit, en défense,
il n'y a aucune mesure qui a été prise et en attaque, c'est des gros bourreins.
Et donc tu tombes sur tous ces outils, c'est tout les trucs comme ça.
Pour l'instant, tu sais juste, du coup, quels sont leurs outillages,
je le sais qu'ils ne se protègent pas très bien, mais tu ne sais pas encore qui c'est et ce qu'il y a d'ailleurs.
Non, je sais déjà que c'est des chinois parce que tout est écrit en chinois sur leurs outils.
Par contre, je n'en sais pas tellement plus.
Donc je décide de, enfin, en gros, lire le code de leur fichier, c'est cool.
Mais ce qui serait mieux, c'est de pouvoir en fait,
écrire des fichiers, exécuter des commandes,
en fait, essayer d'avoir un niveau d'accès un peu plus important.
Donc pour ça, je lis, je regarde les fichiers de config, je tape des trucs à la main,
tranquillement des fichiers qui pourraient m'intéresser.
Et il se trouve que c'est un serveur qui sert à stocker tout leur virus.
Il y a énormément de virus à eux qui sont stockés dessus, de virus, pardon, de malware.
Et du coup, en fait, je vais rapidement tomber là-dessus
et en fait, je vais utiliser leur backdoor à eux pour rentrer parce qu'elles sont là sur le serveur.
Ah, débars, non ?
Oui.
Ok, donc ça veut dire que tu utilises leurs propres outils pour faire des trucs sur la machine ?
En fait, j'ai trouvé une backdoor qui traînait et du coup, j'ai mis la mienne.
Et à partir de la heure, parce que je comprenais pas tout,
et j'ai trouvé une très simple en fait où je pouvais mettre un fichier facilement, je l'ai fait.
Et là, à partir de ce moment-là, j'ai un accès, enfin, j'ai un accès à un shell,
je peux taper des commandes, je peux modifier les fichiers, je peux les télécharger,
et je suis déjà un peu plus à la maison.
Donc là, à partir de ce moment-là, c'est littéralement comme si tu avais un accès complet, quasi complet à la machine ?
Normalement, ça devrait pas être le cas, parce que, normalement, un serveur web, ça va tourner sur Apache,
enfin, il va avoir des permissions particulières.
Eux, pour le coup, c'est un serveur Windows, et le serveur web tourne en tant qu'admine.
Donc ça veut dire que, en fait, c'est vraiment open bar, moi, je fais une petite commande,
je me déplace, je vois, c'est fou.
Dis ce que tu veux Windows, et puis je suis sur la racine de C, je suis en mode OK.
T'as un code.
OK, donc là, tu es le roi du Petravo, là, gros. Sur cette machine, en tout cas.
Clairement.
Alors, j'imagine, déjà question au taux bête, mais...
T'es comment toi, perso, à ce moment-là ?
Parce que ça ne doit pas être tous les jours que tu remontes aussi loin une piste.
Non, et surtout pas aussi rapidement, en fait, parce que ça commence à...
Cette histoire, elle commence vers minuit, une heure du matin,
et après, je vais chercher, et plus rapidement, en fait, j'ai l'accès,
et le lendemain matin, mes colloques, ils se lèvent, ils me disent, putain,
ils me voient de bouée dix heures, ils me disent, toi, t'as pas dormi.
Oui, j'ai dormi.
Et du coup, je leur dis, là, je crois que j'ai quelque chose,
et donc, du coup, moi, je suis comme un fou,
je suis obligé de...
Tu es pris au jeu de trouver quoi ?
C'est ça, à partir du moment où, enfin, j'ai le site, OK,
ma curiosité, on peut plus arrêter là.
À partir du moment où j'ai le site avec leurs outils,
c'est fini, je peux plus faire machine arrière.
Et du coup, j'ai enquêté pas mal, et je sais plus ce qui était la question.
Non, c'était... Je te demandais, comment tu te sentais ce mois ?
Oui, énormément d'adrénaline, peu de sommeil, et beaucoup de recherche.
Parce qu'en gros, cette histoire s'étale sur trois jours, maximum, je pense,
quatre jours, peut-être, il y a eu un jour de trop au milieu, mais globalement, c'est ça.
Et du coup, je décide de... Je commence à lire un peu tout leur fichier de code,
je me dis, comment ils travaillent, parce que moi, des hackers, j'en sors beaucoup,
des WordPress, ça m'est... Si j'en ai sorti des sites, j'en ai désinfecté,
je te dirais, des milliers, vraiment, parce que souvent,
en fait, ils hackent un site, et puis ils appliquent 99 autres à côté.
Du coup, juste sur cette mission, on a 100, donc ça va vite, quoi.
Et du coup, j'ai rarement l'occasion de voir comment ces mecs la travaillent.
Donc je lis un peu leur fichier de code, j'essaye de voir comment ils opèrent,
et au final, je me promène sur le Windows et je trouve un fichier BAT, qui s'appelle IP.BAT.
Et dans ce fichier, en fait, il y a nom de compte, donc administrator,
et mot de passe, et IP, et on dirait un truc avec du flush DNS, machin...
Je me dis, pour moi, c'est un accès RDP pour se connecter via bureau à distance,
sur la machine, et donc je me dis, je vais essayer, et ça marche.
Je suis sur leur machine, en fait.
Donc là, pour expliquer, c'est que tu as vraiment un accès visuel à une machine,
ce qui n'existe jamais, normalement, quand personne n'utilise RDP.
Pessé, clavier, et puis c'est parti, double clic sur Firefax.
En gros, c'est ça, quoi.
Normalement, personne n'utilise déjà les serveurs Windows,
et c'est rare, faire tourner ton serveur web en admina, c'est n'importe quoi,
et eux, ils ont le...
Les bataillons, les e-vois, ils sont tout ce qu'il faut.
Et là, pour le coup, tu arrives sur vraiment une machine utilisateur avec une interface,
donc d'ailleurs, tu ne sais pas à monter, tu ne sais pas si quelqu'un ne peut pas te voir ton activité.
Il me semble que j'utilise avec mon shell, ma pack d'or.
En gros, je fais une commande qui permet de voir
est-ce qu'il y a des connexions actives sur tel port,
et du coup, je vois qu'il n'y a pas de connexion active sur le port de connexion au bureau à distance.
Donc je sais qu'il n'y a personne dessus.
Par contre, je ne sais pas ce que c'est cette machine,
donc potentiellement, je vais me connecter,
et je ne sais pas, ça se trouve, c'est une machine physique.
Enfin, non, parce que c'est une IP américaine, donc c'est un serveur virtuel.
Donc en fait, non, je me dis que ça va être cool,
si tu n'en as personne.
Et du coup, je me connecte, et j'arrive sur un télégramme tout en Chinois,
je vois plein d'outils, ça clignote partout,
et là, je ferme, je me dis ok, ça marche.
Quand je mets les accès, je ne me dis pas, je vais me connecter sur la machine.
Tu as enregistré ton écran ?
Je me suis connecté et j'enregistrais mon écran.
Là, je me connecte, ça marche, je ferme.
Et ça, c'est ce que tu vois ?
C'est ça.
Putain.
Ah ouais, c'est une dingue.
Donc là, ça veut dire que tu as vraiment un PC utilisé par un pirate.
Pour l'instant, tu peux te dire qu'il est tout seul.
Quand je vois le télégramme, je me dis quand même,
en plus, j'attends un petit coup d'œil, je vois un groupe avec du coup,
30 000 personnes dans la conversation de groupe, qui parlent toute la journée, etc.
Et là, à ce moment-là, je décide de fermer, je me dis, bon, je vais...
Il faut que je réfléchisse, qu'est-ce que je fais de ce truc ?
Donc je mets un message sur Twitter, je dis, voilà, je suis dedans, je fais quoi ?
En public ?
En public, ouais.
Pourquoi pas, écoute.
Bill dans public, il y est.
Et donc on me dit, bah vas-y, mets-leur un ransomware, donc ça, non,
je n'ai pas envie de leur demander une rançon et de récupérer de la crypto,
enfin je ne sais pas, ça me dérange un peu.
On me dit, bah ça quête d'infecter toutes les victimes,
et je me dis pourquoi pas, en soi, on peut essayer,
mais là, j'enquête un peu sur du coup comment fonctionne leur code, etc.
Et ça me paraît impossible en fait,
parce qu'ils contrôlent les machines qui ont piraté avec plein de serveurs,
c'est pas le... j'ai pas acquis le serveur qui contrôle tout, tout, tout, quoi.
Du coup, je me dis, bah franchement, tant qu'à faire, je vais tout casser,
parce que, enfin, j'ai déjà essayé d'échanger avec la police sur ce genre de sujet,
notamment pour une histoire qui a eu lieu en France.
C'est difficile, quoi, les... enfin je les ai contactées, c'est encore en activité,
il faut relancer, etc.
Enfin ça marche pas, alors je me dis en Chine,
si même pas la peine d'essayer, enfin j'y crois pas du tout.
Du coup, je me dis que je vais faire un petit peu de nettoyage, et...
Ouais, c'est cadeau.
Un peu comme quand on voit les gens qui prennent le contrôle de call-center,
qui font de l'arnaque au super-prophénique.
Ah oui, les brouteurs, ah oui non non.
On sait que c'est compliqué de faire fermer ces endroits,
même si certains y arrivent.
Et donc la plupart du temps, bah ce qui est de bonne mesure,
c'est au moins d'essayer de faire un emmerdement maximal en fait.
Du coup c'est un peu ce que t'as essayé.
Ouais, je suis allé faire un petit peu de bâche, j'ai fait un petit peu de ménage,
j'ai tout supprimé pour essayer de les ralentir un petit peu et...
Vous vous souvenez que ça va foutre, toi, ça?
C'est au Maroc, en vacances.
Faut faire d'autre.
Et là?
Et bah du coup, j'ai tout supprimé.
Allez, c'est une trace quand même de ton passage,
je vous laisse un petit message pour m'excuser,
parce que c'est pas...
C'est comment dire, en fait je me mets aussi à la place du mec,
faut dire que ce mec, pour moi il est sûrement...
Enfin j'ai vu des photos sur les télésgrammes,
il y a une photo d'un mec qui...
Je lui donne pas du tout 18 ans, peut-être 16.
Non, pour moi ils sont très jeunes globalement.
Ah t'as vu une photo du mec?
Il y a...
Sur la...
Comment ça va?
Sur...
On peut voir sur la machine quand j'arrive en fait,
il y a un mec qui s'appelle Michel T.
Et en fait il a un avatar et on voit sa tête et on se dit...
15 ans, 15 ans...
Il fait vraiment hyper jeune et dans leur conversation,
ça a l'air assez jeune dans le sens où j'ai mis un pareil,
sur la vidéo je mets un extrait où on voit écrit
fait ça comme un devoir parascolaire.
Qui est enfin...
En gros le boss qui dit à la personne que j'ai hackée
fait ça comme un devoir parascolaire.
Donc en mode, pour moi c'est un étudiant,
quand il commence à aller et conversation avec son boss,
le mec c'est même pas tellement ce que c'est WordPress,
son boss lui dit tu connais WordPress?
Et il dit oui,
connaître, je...
Il a entendu parler de quoi?
Il a entendu, oui, tu vas étudier le code,
machin, il lui dit...
Enfin c'est...
Alors qu'est-ce que c'est que ce groupe?
Est-ce que justement après avoir tout le lutte,
tu as eu suffisamment de temps pour comprendre
c'est quoi cette histoire là?
Salut, si vous appréciez Ender Score,
vous pouvez nous aider de ouf en mettant 5 étoiles
sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive,
ça permet de faire remonter Ender Score, voilà.
Telle une fusée.
Pour moi,
c'est sûrement...
Ça ressemble à une école.
Je dirais que c'est peut-être des...
Parce qu'il y a une histoire de groupe A,
groupe B, groupe C, groupe D,
il y a plein de groupes,
ils sont 34,
une classe 34 ça colle.
Donc je me demande,
frère si c'est pas une classe,
avec en fait le boss qui est le professeur,
enfin quelque chose comme ça,
et c'est sûr qu'ils sont tous dans le même bâtiment,
parce qu'ils ont des réunions au premier étage,
ils ont...
Ils ont mangé,
enfin des messages comme ça,
qui sont échangés.
Donc c'est sûr que c'est...
Ils sont au même endroit.
Pas de fait, c'est trop bizarre.
Parce qu'on a des extraits,
si jamais tu nous en as...
Une théorie que j'avais là,
en voyant un truc comme ça,
c'est peut-être que ce soit des groupes de jeunes
qui s'amusent le soir
en entrant de l'école à faire la merde,
mais là ce que tu dis,
c'est qu'ils ont des horaires de boulot,
en gros, c'est ça.
Ce sont des horaires de boulot,
c'est 8h, 18h,
et ils s'y sont tous les jours.
Le lundi, il doit faire son rapport au patron,
enfin c'est quand même plutôt structuré.
Tu le vois en échange télégramme.
Ouais, j'ai téléchargé toute leur conversation,
j'ai lu beaucoup, beaucoup, beaucoup,
pour essayer de comprendre un peu
comment ils travaillent, comment ils fonctionnent.
Et ouais, c'est ce que j'ai pu lire
dans leur conversation.
Mais alors tu vois,
la théorie c'est que,
dans les écoles chinoises,
ils s'entraînent à la cyber
sur des WordPress européens,
genre.
Ouais mais c'est même pas que de l'entraînement,
parce qu'ils monnaitisent en fait,
ils monnaitisent avec de l'affiliation
de produits japonais.
Donc pour moi, ça leur apporte,
enfin ils sont payés aussi.
Il y a une histoire de salaire
et ils disent que les heures supplémentaires
sont super bien payées
et qu'ils sont trop contents d'en faire.
Mais j'ai pas vraiment poussé le truc
jusqu'au bout de remonter à eux,
parce que de toute façon,
ça sert à rien.
Enfin je vais,
même si je trouve qu'ils saient,
je compte pas sur la police chinoise
pour faire quelque chose,
et je ne vais pas aller non plus
leur pourrir la vie tout le temps.
J'ai fait un petit peu de ménage,
mais il n'y a pas grand chose d'autre à faire.
C'est ça.
Donc ça veut dire que t'aurait des organisations
qui rémunèrent des gens très très jeunes
pour faire du hacking de WordPress occidental
afin de faire la monnaitisation
avec de l'affiliation.
Oui, occidental mais pas que.
Il y avait le plus gros site qu'ils avaient,
c'était un site brésilien.
Mais oui,
toute la planète y cible globalement,
peut-être qu'ils ignorent la Chine,
ça m'étonnerait pas,
vu un peu leur méthode de fonctionnement.
Mais ouais.
C'est super bizarre.
Mais du coup, ils se monétisent
via l'affiliation, la pub, etc.
Et sur les WordPress, ils mettent
des liens affiliés, des pubs, etc.
En gros, ils vont générer des pages
en japonais sur les sites,
avec une fortité de 10 000 pages par site,
par exemple.
Le but, ça va être en gros,
en référencement,
t'as besoin de ce qu'on appelle
l'algorithme de base de Google
et faite du pays joranc.
Ça veut dire,
c'est quelle est la puissance d'un site
qui dépend du nombre de liens qui reçoit.
Donc faire du spam sur un nombre d'omènes
qui est tout neuf, c'est pas fou.
Alors que faire du spam
sur un site d'actualité brésilien,
typiquement, un gros média brésilien,
c'est top.
Il me semble qu'ils avaient des sites
gouvernementaux aussi,
sur lesquels ils faisaient du spam.
Donc du coup, ils profitent de la puissance
du site de base
pour pouvoir se positionner facilement
avec du contenu de qualité très pauvre.
Ok.
Alors ?
Il y a un truc qui est intéressant
parce que ça ne s'arrête pas là,
l'histoire, entre guillemets.
Ça, c'est le moment où tu découvres tout,
tu télécharges tout ce que tu peux
et après,
suis un jeu du chat et de la souris
entre toi et les gens qui gèrent leur dit.
Est-ce que tu peux nous expliquer
les petites gouttes de sueur que t'as eues ?
Enfin, comment ça se passe après ?
Moi, je n'avais pas prévu de repasser à la base
parce que je me dis,
je défense tout,
les mecs qui vont changer de serveur assez vite.
Donc, au début,
je ne me dis pas que je pourrais revenir,
mais quand même,
je vois que tu parles, je oublie une étape.
Je leur ai laissé un petit mail,
du coup,
j'aurais bien aimé rentrer en contact avec eux
pour discuter.
Je leur laisse un mail jetable
et du coup, le lendemain, je me réveille,
je me dis, est-ce qu'ils m'ont contacté ?
Et du coup, non.
Et je dessine de les attendre sur leur machine
pour quand il va...
J'attends à 8 heures chinoise,
donc l'heure à laquelle il commence le travail,
puisque entre temps,
j'ai lu toutes leurs conversations telegrammes,
je sais quels sont leurs horaires, etc.
Donc je me dis, je vais l'attendre sur sa machine
et quand il va se connecter, je vais le voir,
puisque connexion du roi distance RDP,
on ne peut pas être deux à être connectés,
donc quand il y en a qui se connectent, l'autre se fait déconnecter.
Du coup, je l'attends sur sa machine
et au moment où je me déconnecte,
je le laisse un peu de temps
parce que je laisse le temps de profiter
de la machine toute vie du message que je vais laisser.
Et là, je le redéconnecte
pour lui dire que j'ai des backups
et j'écris dans la conversation de groupe.
Sur telegrammes ?
Sur telegrammes, oui.
En anglais, du coup ?
En anglais, oui,
avec un message que j'ai écrit au préalable,
en fait, et que je copie-colle,
parce que le clavier chinois, c'est compliqué,
plus ça va vite, etc.
Il a juste un reclic,
enfin, c'est automatique, la reconnection,
donc il faut vraiment être rapide.
Et du coup, je ne sais pas un peu la conversation,
il y a les 34 personnes.
Dès quoi ?
I have backup,
et je laisse mon email,
je me dis, je vais voir ce que je fais après,
j'aimerais bien qu'ils me contactent
pour essayer de les récupérer.
C'est juste d'avoir, de créer un lien, quoi.
C'est ça.
Ah oui, d'accord.
Ah oui, d'accord.
Ça, ça l'aide tellement.
Ça, c'est une reproduction,
parce que, enfin, je les regrette, etc.
pour le besoin de la vidéo,
parce que, ben, c'était, en gros,
j'étais dehors, dans le salon marocain,
avec mes colocs,
on rigolait devant l'ordinateur,
même pas brancher à la prise,
enfin, c'était rapide,
c'était juste l'histoire de dire, bon,
comment va-t-il réagir face à ça ?
Et alors,
qu'est-ce qu'il s'est passé ?

du coup, après, je vais les dormir.
Au bout d'un moment,
et du coup, ben, ils m'ont pas contacté,
et pas news de leur part.
Par contre, ma backdoor était toujours là.

Matt.
Donc c'est-à-dire qu'ils ne te répondent pas,
ils sont tous au courant que
t'as infiltré la machine,
mais ils ne t'entend pas dégager, quoi.
Non, j'avais mis un petit truc,
j'avais caché le fichier, etc.
Mais j'ai pas eu de...
Enfin, il n'a pas supprimé,
il s'est pas trop posé de questions,
il a changé le mot de passe,
il a rajouté un certificat de sécurité
pour que je puisse plus me connecter,
et j'ai réessayé,
et ne marche pas.
Du coup, après, j'ai sur-tourné les hackets une fois.
C'est là où je pensais, en fait,
que je ne pourrais pas les hacker deux fois.
Enfin, moi, à partir du moment où je supprime tout,
je l'attends sur sa machine,
je lui dis que j'ai des sauvegarde,
je m'attends que c'est fini,
pour moi, ça signé déjà la fin,
mais je suis quand même reparti les hackets un petit coup,
parce qu'ils avaient laissé la bague d'or.
Et du coup, tu retournes dessus ?
Je retourne dessus,
évidemment, j'ai téléchargé
toutes leurs conversations telegrammes, etc.
Et je me dis, bon, je vais aller voir
quelle est sa réaction suite au piratage.
Donc, j'arrive pas à craquer le certificat de sécurité,
j'installe du coup un outil spécifique,
donc Tite VNC,
donc ces protocoles de VNC, c'est comme RDP,
Connexion Bureau de Distance, on peut contrôler souris,
tout ça.
Par exemple, c'est la télégramme et tout ?
C'est ça. Et à partir de ce moment-là,
je l'installe en ligne de commande via
donc ma louère, ma bague d'or qui est restée
sur la machine,
et puis je me dis, je vais me coucher,
puis au final, je me dis, j'arrive pas,
en fait, je me dis, il finit le travail
à donc du coup, vers 11h du matin,
et je me dis, je fais l'attendre pour...
Est-ce que tu as pu voir les réactions sur la télégramme
après tes messages ?
Oui.
Et alors ?
Vomir du sang.
Quoi ?
Ça a l'air une expression chinoise.
Ils ont dit ça.
Alors, le traducteur Google Translate,
t'es pas fou-fou.
C'est quelqu'un, c'est ce que veut dire vomir du sang.
En chinois.
Mais bon, ils n'ont pas apprécié, évidemment.
Non mais c'était la réaction du jeune
qui a dit ça, et en gros,
je suis dégoûté,
je suis abattu.
Je pense qu'il s'en voulait beaucoup.
C'est ce qui dit à son amie,
à son amie lui dit, vomir du sang.
Après, je sais plus ce qui dit,
puissent enfin, au revoir la maison,
quelque chose comme ça.
Le traducteur Google est vraiment pas fou,
en sachant qu'à partir du moment
où j'ai commencé à travailler cette vidéo,
et le moment où j'ai fini de travailler cette vidéo,
je devais plus forcément les mêmes traductions,
parce que Google a pas l'air au point
avec cette traduction.
Et donc, est-ce que c'est la dernière interaction
que tu auras vécue ?
Du coup, j'ai repris leur données,
et après, machine HS,
elle n'a pas bougé pendant un petit moment.
Je crois qu'il y a eu le week-end entre temps,
quelque chose comme ça.
Et au bout d'un moment,
elle a disparu total d'internet.
Donc je pense qu'ils ont fait une migration,
et puis tous les serveurs que j'avais sur Telegram
ont disparu petit à petit.
En tout cas, je sais que le chat est comme...
Ils sont connes.
Parce que c'est quand même pas tous les gens
qui entendent ce genre de stuff.
Non, il y a quand même un truc qu'il faut qu'on précise,
c'est que le hackback,
c'est-à-dire que...
une intrusion dans un système d'information,
c'est illégal, d'accord ?
Donc là, on se trouve dans une zone grise très particulière,
où toi, tu t'es fait hacker,
ce qui est parfaitement illégal de leur part,
est-ce que ça s'est estimé de la légitime défense ?
Est-ce que c'est plus compliqué que ça ?
On ne va pas rentrer dans ce débat qui est extrêmement complexe.
On ne sait pas exactement
qui fait du hackback dans quelle circumstance,
même dans le gouvernement,
même dans les grandes entreprises.
C'est un sujet très intéressant,
dont on peut en reparler une autre fois,
avec d'autres interlocuteurs.
Mais c'est vrai que la légitime défense,
en termes de cyber-espace,
n'est pas définie par le droit.
C'est pas définie, non non plus.
Et donc du coup, bah...
Juste, on peut établir la théorie
qu'il y a peu de chance qu'on t'amène au tribunal
pour ce que tu viens de faire,
parce qu'il faudrait assumer
en même temps qu'on vient de te pirater.
Donc c'est ça qui est compliqué.
Mais quel est ton avis, ton...
par rapport à ça ?
Moi je sais du coup que c'est illégal
au moment où je publie cette vidéo,
mais ce que j'ai répondu
à ceux qui me disaient mais c'est illégal,
pourquoi tu fais ça, t'es fou.
Mais j'aurais répondu que moi je part du principe
que j'ai encore assez foi en la justice
pour pas qu'on me condamne
d'avoir supprimé le serveur
de mecs qui défoncent
des centaines de serveurs par jour
et qui n'auraient pas été punis
si j'avais contacté la police,
parce qu'il n'y aurait pas eu
de travail de fait, c'est compliqué,
c'est en Chine.
On va dire que c'est un risque
que tu te permets de prendre.
Je me permets de prendre ce risque.
Quand t'étais dans le feu de l'action,
t'as hésité ?
Non, dans le feu de l'action.
Tu as pas posé de cas du tout.
Tu as remonté à piste et tu dis
je vais au bout.
Je vais pas les accès admis.
C'est trop tard, il faut faire quelque chose.
Je pense que j'aurais essayé
d'essayer de remonter plus haut
dans le réseau.
J'ai chouté une machine.
C'est bien, mais c'est 34.
Le code, ils vont le refaire.
Est-ce que tu t'es posé la question
de aller en mode bourrin ?
De laisser un onipote
ou une bagde d'or cachée un peu
pour essayer d'avoir une tour
de surveillance sur leurs activités ?
J'y ai pensé, mais
j'étais pas trop dans le...
C'était en one shot.
J'allais déménager.
J'avais joué au poker.
Il y avait des gros tournois qui arrivaient.
C'était une semaine...
On va dire...
qui s'est passé...
C'est le hasard.
Je t'emmènerais juste à un truc.
Il y a l'hypothèse que c'est une classe.
C'est peut-être plus un centre
de formation, de hacking.
C'est déjà leur business,
mais il y a des gens qui ne s'y connaissent pas.
Il y a un tag de trucs.
On sait pas ce que c'est,
mais il ne faut pas forcément voir le truc
comme c'est des gens en seconde
et c'est leur activité de 8h10.
C'est peut-être un mélange de tout ça.
C'est peut-être un mélange de centres de formation,
d'entreprises, de bootcamps...
En même temps, monétiser avec des gens très jeunes,
ça reste très étrange.
Il y a un mystère autour de cette histoire
qui est assez incroyable.
En tout cas, juste pour conclure,
on ne vous incite pas à faire du hack back
fait ce que vous voulez,
mais pas à nous dire que vous vous incitez.
Mais n'est-ce pas que c'est à cause de nous.
Voilà, exactement.
Et sur ce, est-ce qu'il y a peut-être
des trucs qu'on a oubliés, mais je crois qu'on a un peu raconté tout.
Des anecdotes, enfin des peut-être...
N'hésitez pas à les retrouver à chaîne, évidemment.
Est-ce que tu comptes faire d'autres sujets ?
Alors, c'est peut-être pas tous les jours qu'on retrouve des hackers chinois, mais...
Je ne compte pas faire beaucoup de...
J'ai pas...
J'ai quelques idées, mais globalement,
je ne compte pas faire du contenu pour faire du contenu.
Par contre, j'insite tout le monde
à aller s'abonner à la chaîne,
metter un j'aime, je...
Je vais rencontrer beaucoup de choses ici, mais hésitez vraiment pas,
ça me soutiendrait pas mal,
notamment pour le sponsor de la vidéo, etc.
Bref, ça peut être
quelque chose qui m'apporte du positif potentiellement,
mais je ne compte pas faire du contenu
pour faire du contenu.
J'aime rester dans des histoires
plutôt qualitatives de ce genre.
Et donc, un jour où tu trouves
des hackers coréens
de la vidéo,
j'en ai quelques-uns,
mais c'est trop...
Il s'agit en France,
il y a beaucoup d'argent à la clé, et j'aimerais pas...
Je crois qu'il allait me dire...
Les problèmes...
Je crois qu'il allait dire, c'est beaucoup trop banal.
Non, non, non, non, c'est la merce.
Je vais pas raconter toute l'histoire,
mais c'est une entreprise que j'ai...
Un réseau que j'avais hacké,
une pyramide de Ponzi, il y a 3-4 ans,
qui avait... En gros,
j'avais récupéré toute leur base de données,
et en gros,
ils avaient encaissé 300 000 euros
sur les comptes
des personnes qui étaient sur le pyramide
de Ponzi. En gros, si tu prenais
tous les comptes des utilisateurs et que tu faisais la somme
de...
de leur solde, bah ça faisait 726 000 euros,
donc plus de 2 fois et demi
plus que ce qu'ils ont encaissé, et ils avaient
reversé en réalité 26 000 euros.
Donc ça, c'est il y a 3-4 ans,
donc j'avais essayé de contacter la police, mais...
compliqué.
C'est là où t'avais pas eu autant d'un résultat que toi, Amy.
Bah j'aurais pu tout défoncer, mais juste...
En fait, viser de la défense...
Ouais, pour la police, t'avais pas eu de résultat.
C'était compliqué,
ça avait pas abouti.
Ok, ok, bah peut-être...
...à notre épisode.