C’est la fin de l’année. Cela signifie qu’il est temps pour nous de célébrer les meilleurs articles sur la cybersécurité que nous n’avons pas publiés. Depuis 2023, TechCrunch revient sur les meilleures histoires de l’année en matière de cybersécurité.
Si vous n’êtes pas familier, l’idée est simple. Il existe désormais des dizaines de journalistes qui couvrent la cybersécurité en langue anglaise. De nombreux articles sur la cybersécurité, la confidentialité et la surveillance sont publiés chaque semaine. Et beaucoup d’entre eux sont géniaux et vous devriez les lire. Nous sommes ici pour vous recommander ceux que nous avons le plus aimés, alors gardez à l’esprit qu’il s’agit d’une liste très subjective et, en fin de compte, incomplète.
Quoi qu’il en soit, allons-y. —Lorenzo Franceschi-Bicchierai.
De temps en temps, il y a une histoire de hacker qui, dès que vous commencez à lire, vous pensez qu’il pourrait s’agir d’un film ou d’une émission de télévision. C’est le cas du récit très personnel de Shane Harris sur sa correspondance de plusieurs mois avec un hacker iranien de premier plan.
En 2016, le journaliste de The Atlantic a pris contact avec une personne affirmant travailler comme hacker pour les services de renseignement iraniens, où il a affirmé avoir travaillé sur des opérations majeures, comme l’abattage d’un drone américain et le désormais tristement célèbre piratage contre le géant pétrolier Saudi Aramco, où des pirates iraniens ont effacé les ordinateurs de l’entreprise. Harris était sceptique à juste titre, mais alors qu’il continuait à parler au pirate informatique, qui lui a finalement révélé son vrai nom, Harris a commencé à le croire. Lorsque le hacker est mort, Harris a pu reconstituer la véritable histoire, qui s’est avérée d’une manière ou d’une autre plus incroyable que ce que le hacker avait laissé croire à Harris.
Cette histoire captivante est également un excellent aperçu des coulisses des défis auxquels les journalistes en cybersécurité sont confrontés lorsqu’ils traitent avec des sources prétendant avoir de belles histoires à partager.
En janvier, le gouvernement britannique a secrètement délivré à Apple une ordonnance du tribunal exigeant que l’entreprise construise une porte dérobée afin que la police puisse accéder aux données iCloud de n’importe quel client dans le monde. En raison d’un ordre de silence mondial, ce n’est que parce que le Washington Post a annoncé la nouvelle que nous avons appris que cet ordre existait au départ. Cette demande était la première du genre et, si elle aboutissait, ce serait une défaite majeure pour les géants de la technologie qui ont passé la dernière décennie à s’interdire l’accès aux données de leurs utilisateurs afin de ne pas être obligés de les fournir aux gouvernements.
Apple a ensuite cessé de proposer son stockage cloud crypté de bout en bout à ses clients au Royaume-Uni en réponse à la demande. Mais en annonçant la nouvelle, l’ordre secret a été rendu public et a permis à Apple et à ses critiques de voter pour les pouvoirs de surveillance du Royaume-Uni d’une manière qui n’avait jamais été testée en public auparavant. Cette histoire a déclenché une querelle diplomatique de plusieurs mois entre le Royaume-Uni et les États-Unis, incitant Downing Street à abandonner la demande – pour réessayer plusieurs mois plus tard.
Cette histoire était le genre d’accès instantané dont certains journalistes rêveraient, mais le rédacteur en chef de The Atlantic a pu se dérouler en temps réel après avoir été involontairement ajouté à un groupe Signal composé de hauts responsables du gouvernement américain par un haut responsable du gouvernement américain discutant des plans de guerre depuis leurs téléphones portables.

Lire la discussion sur l’endroit où les forces militaires américaines devraient larguer des bombes – puis voir des reportages faisant état de missiles frappant le sol à l’autre bout du monde – était la confirmation que Jeffrey Goldberg avait besoin de savoir qu’il était, comme il le soupçonnait, dans une véritable conversation avec de vrais responsables de l’administration Trump, et tout cela était enregistré et déclarable.
C’est ce qu’il a fait, ouvrant la voie à une enquête (et une critique) de plusieurs mois sur les pratiques opérationnelles de sécurité du gouvernement, dans ce qui a été appelé la plus grande erreur d’opérations de sécurité du gouvernement de l’histoire. Le dénouement de la situation a finalement révélé des failles de sécurité impliquant l’utilisation d’un clone de Signal contrefait qui a encore plus compromis les communications apparemment sécurisées du gouvernement.
Brian Krebs est l’un des journalistes les plus expérimentés en matière de cybersécurité et, depuis des années, il s’est spécialisé dans le suivi des fils d’Ariane en ligne qui l’ont amené à révéler l’identité de cybercriminels notoires. Dans ce cas, Krebs a pu trouver la véritable identité derrière le pseudonyme en ligne d’un pirate informatique, Rey, qui fait partie du célèbre groupe de cybercriminalité avancée et persistante d’adolescents qui se fait appeler Scattered LAPSUS$ Hunters.
La quête de Krebs a été si réussie qu’il a pu parler à une personne très proche du hacker – nous ne gâcherons pas tout l’article ici – puis au hacker lui-même, qui a avoué ses crimes et a affirmé qu’il tentait d’échapper à la vie de cybercriminel.
Le média indépendant 404 Media a réalisé plus de journalisme d’impact cette année que la plupart des médias grand public disposant de beaucoup plus de ressources. L’une de ses plus grandes victoires a été de dévoiler et de fermer efficacement un système massif de surveillance du transport aérien exploité par les agences fédérales et fonctionnant à la vue de tous.
404 Media a rapporté qu’un courtier de données peu connu créé par l’industrie aérienne, appelé Airlines Reporting Corporation, vendait l’accès à cinq milliards de billets d’avion et d’itinéraires de voyage, y compris les noms et les informations financières d’Américains ordinaires, permettant ainsi à des agences gouvernementales comme l’ICE, le Département d’État et l’IRS de suivre les gens sans mandat.
ARC, propriété de United, American, Delta, Southwest, JetBlue et d’autres compagnies aériennes, a annoncé qu’elle mettrait fin au programme de données sans mandat à la suite des rapports de 404 Media qui ont duré plusieurs mois et de la pression intense des législateurs.
Le meurtre du PDG d’UnitedHealthcare, Brian Thompson, en décembre 2024, a été l’une des plus grandes histoires de l’année. Luigi Mangione, le principal suspect du meurtre, a été peu après arrêté et inculpé pour utilisation d’un « pistolet fantôme », une arme à feu imprimée en 3D qui n’avait pas de numéro de série et fabriquée en privé sans vérification d’antécédents – en fait une arme dont le gouvernement n’a aucune idée de l’existence.
Wired, utilisant son expérience de reportage sur les armes imprimées en 3D, a cherché à tester à quel point il serait facile de construire une arme imprimée en 3D, tout en naviguant dans le paysage juridique (et éthique) disparate. Le processus de reportage a été magnifiquement raconté et la vidéo qui accompagne l’histoire est à la fois excellente et effrayante.
DOGE, ou Département de l’Efficacité du Gouvernement, a été l’une des plus grandes histoires en cours de l’année, alors que la bande de laquais d’Elon Musk a saccagé le gouvernement fédéral, démolissant les protocoles de sécurité et les formalités administratives, dans le cadre d’une saisie massive des données des citoyens. NPR a réalisé certains des meilleurs reportages d’enquête révélant le mouvement de résistance des travailleurs fédéraux essayant d’empêcher le vol des données les plus sensibles du gouvernement.
Dans un article détaillant la divulgation officielle d’un lanceur d’alerte partagée avec des membres du Congrès, un employé informatique principal du Conseil national des relations de travail a déclaré aux législateurs que alors qu’il cherchait de l’aide pour enquêter sur l’activité de DOGE, il « a trouvé une lettre imprimée dans une enveloppe tapée à sa porte, qui comprenait un langage menaçant, des informations personnelles sensibles et des photos aériennes de lui promenant son chien, selon la lettre d’accompagnement jointe à sa divulgation officielle.
Toute histoire qui commence par un journaliste disant avoir trouvé quelque chose qui lui a donné « envie de chier dans mon pantalon », vous savez que ce sera une lecture amusante. Gabriel Geiger a trouvé un ensemble de données d’une mystérieuse société de surveillance appelée First Wap, qui contenait des enregistrements sur des milliers de personnes du monde entier dont la localisation téléphonique avait été suivie.
L’ensemble de données, couvrant la période 2007 à 2015, a permis à Geiger d’identifier des dizaines de personnes de premier plan dont les téléphones ont été suivis, notamment une ancienne première dame syrienne, le chef d’une entreprise militaire privée, un acteur hollywoodien et un ennemi du Vatican. Cette histoire explorait le monde obscur de la surveillance téléphonique en exploitant le système de signalisation n° 7, ou SS7, un protocole au nom obscur, connu depuis longtemps pour permettre un suivi malveillant.
L’écrasement est un problème depuis des années. Ce qui a commencé comme une mauvaise plaisanterie est devenu une véritable menace, qui a fait au moins un mort. Swatting est un type de canular dans lequel quelqu’un – souvent un pirate informatique – appelle les services d’urgence et incite les autorités à envoyer une équipe SWAT armée au domicile de la cible du canular, faisant souvent semblant d’être lui-même la cible et prétendant qu’elle est sur le point de commettre un crime violent.
Dans ce reportage, Andy Greenberg de Wired a mis un visage sur les nombreux personnages qui font partie de ces histoires comme les opérateurs d’appels qui doivent faire face à ce problème. Et il a également dressé le portrait d’un prolifique swatter, connu sous le nom de Torswats, qui a tourmenté pendant des mois les opérateurs et les écoles de tout le pays avec de fausses menaces de violence – mais extrêmement crédibles –, ainsi que d’un hacker qui a pris sur lui de retrouver Torswats.

