Ce Hacker a infecté 1 Million de personnes en 20h
C’est une histoire vraie que j’ai toujours voulu raconter. Celle de Samy, alors adolescent, qui voulait montrer ses compétences en informatique tout en gagnant l’intérêt des filles en passant… Il a ainsi rejoint le plus grand réseau social du monde à l’époque, mais a vite été limité par des restrictions arbitraires au niveau du nombre de caractères à mettre dans son profil… Ce qui l’a forcé à inspecter le code source du site pour trouver comment contourner la limite. Mais pas que…
Et c’est là que l’histoire débute…
Cette vidéo est mon premier essai d’utilisation de l’IA pour illustrer l’histoire. J’ai pris beaucoup de temps (et de plaisir) à la réaliser, alors j’espère qu’elle vous plaira également même si tout n’est pas parfait 🙂
Samy Kamkar et le ver Myspace
Le résumé textuel de l’histoire est disponible ci-dessous :
🕰️ ACTE 1 — LE MONDE AVANT LA FAILLE
Retour en 2005. Pas de TikTok. Pas d’Instagram. Le roi des réseaux sociaux s’appelle MySpace.
👉 MySpace permet alors aux utilisateurs :
- de personnaliser leur page
- d’ajouter du HTML
- parfois même du JavaScript
À l’époque, c’est vu comme une liberté. En réalité, c’est une bombe à retardement.
Parce qu’un navigateur… fait exactement ce qu’on lui dit de faire.
👤 ACTE 2 — LE PERSONNAGE CLÉ
À ce moment-là, personne ne connaît son nom. Il a 19 ans. Il aime bidouiller le web. Et il s’appelle Samy.
👉 Samy Kamkar
Samy n’essaie pas de voler des données. Il n’essaie pas de gagner de l’argent. Il essaie juste… de comprendre jusqu’où il peut aller.
Et c’est souvent comme ça que les pires failles commencent.
🧬 ACTE 3 — LA FAILLE
Le problème n’est pas MySpace.
Le problème, c’est une idée fausse :
« Si l’utilisateur peut écrire du code, il sera gentil »
Samy découvre qu’il peut injecter du JavaScript dans son profil… et que ce code s’exécute chez les autres utilisateurs.
Autrement dit : le site fait confiance à des données qui ne le méritent pas.
Aujourd’hui, on appelle ça une attaque XSS. À l’époque, personne ne la prenait vraiment au sérieux.
🦠 ACTE 4 — LE VER
Samy écrit un script très petits avec quelques kilooctets seulement, mais avec trois fonctions clés :
- Ajouter Samy en ami automatiquement
- Modifier le profil de la victime
- Copier le script sur ce nouveau profil
Chaque visite crée une nouvelle infection. Chaque infection devient une source de propagation.
«Ce n’est plus une blague. C’est un ver.
📈 ACTE 5 — LA PERTE DE CONTRÔLE
Samy publie le code puis il va se coucher.
Le lendemain matin, MySpace sature. Les profils se modifient tout seuls.
En moins de 20 heures plus d’un million de comptes touchés.
MySpace n’a qu’une solution : couper le site.
🚨 ACTE 6 — LE RÉVEIL BRUTAL
Et là, tout change. Le Secret Service débarque. Pas pour plaisanter. Pas pour discuter.
Samy plaide coupable. Il est condamné. Interdit d’utiliser Internet librement pendant des années.
Un prank devenu une affaire fédérale.»
🧠 ACTE 7 — LA LEÇON QUE PERSONNE N’A APPRISE
L’erreur serait de croire que cette histoire appartient au passé. Aujourd’hui encore :
- des formulaires font confiance à l’utilisateur
- des scripts s’exécutent côté client
- des plateformes pensent être “trop grosses pour tomber”
Le ver MySpace n’est pas une anomalie. C’est un avertissement.
🎯 CONCLUSION
En 2005, un étudiant a montré que :
- la confiance est une faiblesse
- la viralité est une arme
- et que l’utilisateur peut être une attaque sans le savoir
Et la vraie question n’est pas : « Comment ça a pu arriver ? »
Mais : combien de fois est-ce que ça arrive encore… aujourd’hui ?








