Ce Hacker a infecté 1 Million de personnes en 20h

  1. Accueil
  2. Actualités
  3. Ce Hacker a infecté 1 Million de personnes en 20h

C’est une histoire vraie que j’ai toujours voulu raconter. Celle de Samy, alors adolescent, qui voulait montrer ses compétences en informatique tout en gagnant l’intérêt des filles en passant… Il a ainsi rejoint le plus grand réseau social du monde à l’époque, mais a vite été limité par des restrictions arbitraires au niveau du nombre de caractères à mettre dans son profil… Ce qui l’a forcé à inspecter le code source du site pour trouver comment contourner la limite. Mais pas que…

Et c’est là que l’histoire débute…

Cette vidéo est mon premier essai d’utilisation de l’IA pour illustrer l’histoire. J’ai pris beaucoup de temps (et de plaisir) à la réaliser, alors j’espère qu’elle vous plaira également même si tout n’est pas parfait 🙂

Samy Kamkar et le ver Myspace

Le résumé textuel de l’histoire est disponible ci-dessous :

🕰️ ACTE 1 — LE MONDE AVANT LA FAILLE

Retour en 2005. Pas de TikTok. Pas d’Instagram. Le roi des réseaux sociaux s’appelle MySpace.

👉 MySpace permet alors aux utilisateurs :

  • de personnaliser leur page
  • d’ajouter du HTML
  • parfois même du JavaScript

À l’époque, c’est vu comme une liberté. En réalité, c’est une bombe à retardement.

Parce qu’un navigateur… fait exactement ce qu’on lui dit de faire.


👤 ACTE 2 — LE PERSONNAGE CLÉ

À ce moment-là, personne ne connaît son nom. Il a 19 ans. Il aime bidouiller le web. Et il s’appelle Samy.

👉 Samy Kamkar

Samy n’essaie pas de voler des données. Il n’essaie pas de gagner de l’argent. Il essaie juste… de comprendre jusqu’où il peut aller.

Et c’est souvent comme ça que les pires failles commencent.


🧬 ACTE 3 — LA FAILLE

Le problème n’est pas MySpace.

Le problème, c’est une idée fausse :
« Si l’utilisateur peut écrire du code, il sera gentil »

Samy découvre qu’il peut injecter du JavaScript dans son profil… et que ce code s’exécute chez les autres utilisateurs.

Autrement dit : le site fait confiance à des données qui ne le méritent pas.
Aujourd’hui, on appelle ça une attaque XSS. À l’époque, personne ne la prenait vraiment au sérieux.


🦠 ACTE 4 — LE VER

Samy écrit un script très petits avec quelques kilooctets seulement, mais avec trois fonctions clés :

  1. Ajouter Samy en ami automatiquement
  2. Modifier le profil de la victime
  3. Copier le script sur ce nouveau profil

Chaque visite crée une nouvelle infection. Chaque infection devient une source de propagation.

«Ce n’est plus une blague. C’est un ver.


📈 ACTE 5 — LA PERTE DE CONTRÔLE

Samy publie le code puis il va se coucher.

Le lendemain matin, MySpace sature. Les profils se modifient tout seuls.

En moins de 20 heures plus d’un million de comptes touchés.

MySpace n’a qu’une solution : couper le site.


🚨 ACTE 6 — LE RÉVEIL BRUTAL

Et là, tout change. Le Secret Service débarque. Pas pour plaisanter. Pas pour discuter.

Samy plaide coupable. Il est condamné. Interdit d’utiliser Internet librement pendant des années.

Un prank devenu une affaire fédérale.»


🧠 ACTE 7 — LA LEÇON QUE PERSONNE N’A APPRISE

L’erreur serait de croire que cette histoire appartient au passé. Aujourd’hui encore :

  • des formulaires font confiance à l’utilisateur
  • des scripts s’exécutent côté client
  • des plateformes pensent être “trop grosses pour tomber”

Le ver MySpace n’est pas une anomalie. C’est un avertissement.


🎯 CONCLUSION

En 2005, un étudiant a montré que :

  • la confiance est une faiblesse
  • la viralité est une arme
  • et que l’utilisateur peut être une attaque sans le savoir

Et la vraie question n’est pas : « Comment ça a pu arriver ? »

Mais : combien de fois est-ce que ça arrive encore… aujourd’hui ?

Articles similaires

Menu