Uncategorized

Russie bloque WhatsApp : Max et l’Internet souverain

Posted on November 29, 2025November 29, 2025 by FMTAD

29
Nov

La Russie bloque WhatsApp par étapes et menace désormais de « bloquer complètement » la messagerie, accusée de servir à organiser des actes terroristes, des sabotages et des fraudes massives. Derrière cette offensive, il ne s’agit pas seulement d’un conflit juridique entre Roskomnadzor et Meta : Moscou cherche à remplacer une messagerie globale chiffrée par un écosystème domestique intégralement surveillable, centré sur la superapp Max et l’architecture de l’Internet souverain russe.

Résumé express — Ce qu’il faut retenir de « Russie bloque WhatsApp

Lecture rapide ≈ 4 min — Le régulateur russe Roskomnadzor a déclaré qu’il pourrait aller jusqu’à un blocage complet de WhatsApp si la messagerie ne se conforme pas aux lois russes de lutte contre la criminalité, le terrorisme et l’« extrémisme ».

Contexte — De la tolérance à la rupture programmée

Pendant des années, Moscou a toléré WhatsApp malgré la classification de Meta (Facebook, Instagram) comme « organisation extrémiste ». L’application était devenue indispensable aux communications quotidiennes de dizaines de millions de Russes. Cependant, à mesure que l’Internet souverain russe se met en place, ce compromis devient de moins en moins tenable. Le blocage progressif des appels, puis la menace de blocage total, marquent le passage à une incompatibilité assumée entre chiffrement de bout en bout global et exigences de surveillance russes.

Fondement — Un droit pensé pour l’accès aux communications

En parallèle, la loi de localisation des données, le paquet Iarovaïa et la loi sur l’Internet souverain imposent que les opérateurs et les services de messagerie soient capables de remettre contenus, métadonnées et moyens de déchiffrement aux services de sécurité. Or, par conception, WhatsApp ne peut pas déchiffrer les messages de ses utilisateurs. Pour être « conforme » au droit russe, l’application devrait affaiblir son modèle de sécurité (backdoor, scanning côté client) ou accepter de quitter de facto le marché russe.

Principe — Remplacer WhatsApp par la superapp Max

Dans le même temps, la Russie pousse une alternative nationale, Max, développée par VK et présentée comme la messagerie nationale. Max ne propose pas de chiffrement de bout en bout vérifiable. Elle est conçue comme une superapp intégrant messagerie, paiements et e-administration.
Plus Moscou rend l’usage de WhatsApp difficile et risqué, plus elle pousse les Russes vers Max, où les services de sécurité disposent d’une visibilité maximale sur les flux.

Enjeu souverain — Du terrorisme au contrôle social

Officiellement, WhatsApp serait un vecteur majeur de fraude, de sabotage et de terrorisme. Pourtant, les données russes montrent que les appels téléphoniques classiques restent le canal principal de fraude. Surtout, dans un système où l’« extrémisme » englobe l’opposition, les ONG et le mouvement LGBT, exiger de WhatsApp qu’elle « exclue les activités criminelles » revient à réclamer une police politique intégrée à la messagerie. Ainsi, la séquence « Russie menace de bloquer complètement WhatsApp » devient le révélateur d’un choix stratégique : remplacer les services globaux chiffrés par des solutions nationales contrôlées, et redéfinir la souveraineté numérique autour de la surveillance plutôt que du chiffrement.

Paramètres de lecture

Résumé express : ≈ 4 min
Analyse centrale : ≈ 10–12 min
Chronique complète : ≈ 25–30 min
Date de publication : 2025-11-29
Dernière mise à jour : 2025-11-29
Niveau de complexité : Souverain & Géopolitique
Densité technique : ≈ 70 %
Langues disponibles : FR · EN
Focal thématique : Russie bloque WhatsApp, Roskomnadzor, Max, Internet souverain, chiffrement E2E
Type éditorial : Chronique — Freemindtronic Cyberculture Series
Niveau d’enjeu : 8.4 / 10 — souveraineté & communications chiffrées

Note éditoriale — Cette chronique s’inscrit dans la collection Freemindtronic Cyberculture. Elle analyse la séquence « Russie bloque WhatsApp » à travers le prisme des architectures souveraines de communication et des doctrines de contrôle de l’Internet. Elle met en regard la pression sur WhatsApp, la montée de la superapp Max et l’Internet souverain russe avec des architectures alternatives fondées sur le chiffrement local et des dispositifs matériels de protection des secrets.

Dans la doctrine Freemindtronic, la souveraineté ne se mesure pas à la seule capacité à intercepter, mais à la capacité à concevoir des systèmes qui n’ont pas besoin de backdoors. Là où la Russie cherche à reprendre la main en affaiblissant les messageries globales chiffrées au profit d’une superapp nationale comme Max, des solutions comme DataShielder HSM PGP et DataShielder NFC HSM illustrent une approche 100 % hors serveur (chiffrement local, HSM hors ligne). De son côté, CryptPeer ajoute une couche pair à pair avec un serveur relais auto-hébergeable et auto-portable qui ne voit que des flux déjà chiffrés et ne détient aucune clé de déchiffrement. Dans tous les cas, les données demeurent inexploitables même en cas de saisie ou de blocage de la messagerie.

Sommaire

Résumé express — Ce qu’il faut retenir
Contexte — De Meta « extrémiste » à la menace de blocage total
Cadre juridique — Localisation, Iarovaïa et Internet souverain
WhatsApp — Chiffrement de bout en bout et impasse technique
Escalade programmée — Telegram, Meta, puis WhatsApp
Max — Superapp domestique et remplacement de WhatsApp
Fraude, terrorisme, extrémisme — Narratif officiel vs réalité
Roskomnadzor — Pivot technique et politique du Runet
Scénarios prospectifs — Vers quel Internet russe ?
Signaux faibles — Balkanisation et superapps de contrôle
Cas d’usage souverain — Messagerie hors juridiction
À relier avec… (Cyberculture & Tech Fixes)
FAQ — Russie bloque WhatsApp, Max et Internet souverain
Ce que nous n’avons pas couvert
Sources officielles et références

Points saillants — Lignes de force

La séquence « Russie bloque WhatsApp » est l’aboutissement d’une stratégie graduelle : lois Iarovaïa, Internet souverain, mise au ban de Meta, puis pression sur les messageries chiffrées.
La Russie reproche moins à WhatsApp de ne pas filtrer la criminalité que de ne pas être structurellement compatible avec une surveillance étatique intégrale.
La superapp Max joue le rôle de remplacement domestique de WhatsApp, sans chiffrement de bout en bout vérifiable, intégrée aux paiements et à l’e-administration, sous le regard du FSB.
Les chiffres officiels de fraude montrent que les appels téléphoniques classiques restent le vecteur principal, ce qui relativise le narratif centré sur WhatsApp comme problème numéro un.
Les architectures sans clé de déchiffrement côté serveur — HSM locaux hors serveur (DataShielder NFC HSM, DataShielder HSM PGP) et serveur relais auto-hébergeable sans clé (CryptPeer) — offrent une alternative où aucun État ne peut exiger une backdoor centrale exploitable.

Contexte — De Meta « extrémiste » à la menace de blocage total de WhatsApp

Résumé de section — En 2022, la Russie classe Meta comme « organisation extrémiste » mais épargne WhatsApp.
En 2025, le blocage des appels et le durcissement de l’Internet souverain changent l’équation.
Roskomnadzor évoque désormais la possibilité d’un blocage complet de WhatsApp.
Cette évolution ne relève pas du hasard.
Elle clôt une phase de tolérance contrainte et ouvre une phase de rupture programmée.

2022 — Meta classée « extrémiste », WhatsApp épargnée

En mars 2022, au début de l’invasion de l’Ukraine, un tribunal russe déclare Meta « organisation extrémiste ».
Facebook et Instagram sont alors bloqués en Russie.
Pourtant, un point attire immédiatement l’attention : la décision précise qu’elle ne s’applique pas à WhatsApp.
L’application reste la principale messagerie du groupe Meta en Russie.

Une messagerie devenue centrale dans la vie quotidienne

À ce moment-là, WhatsApp est omniprésente dans la société russe.
Elle sert aux familles, aux petites entreprises et aux administrations locales.
Écoles, universités et certains services publics l’utilisent aussi pour coordonner l’information courante.
Bloquer brutalement la messagerie provoquerait une rupture massive dans le quotidien de millions de personnes.
À ce stade, aucune alternative nationale crédible n’est encore prête à prendre pleinement le relais.

Montée en puissance de l’Internet souverain russe

Progressivement, cependant, le contexte technique et politique change.
D’une part, l’architecture de l’Internet souverain russe se met en place.
Les opérateurs déploient des équipements de Deep Packet Inspection et des capacités de routage centralisé.
Ils mettent aussi en place des mécanismes techniques permettant d’isoler le Runet du reste de l’Internet.
D’autre part, le discours politique se durcit autour de la « guerre de l’information ».
Les autorités invoquent l’« extrémisme » et la lutte contre des plateformes étrangères jugées hostiles.

2025 — Du blocage des appels à la menace de coupure

Le 13 août 2025, la Russie franchit un seuil dans cette stratégie graduelle.
Les appels audio et vidéo sur WhatsApp et Telegram sont bloqués.
Officiellement, la mesure vise la lutte contre la fraude et le terrorisme.
Les messages textuels restent possibles, mais l’usage est déjà dégradé dans de nombreuses régions.
Trois mois plus tard, Roskomnadzor évoque publiquement la possibilité d’un blocage complet de WhatsApp.
Le régulateur explique que la messagerie doit se conformer au droit russe ou accepter ce scénario.

Un tournant politique plus qu’un simple incident technique

Autrement dit, la formule « Russie bloque WhatsApp » ne relève plus d’un simple scénario prospectif.
Elle décrit désormais un horizon politique assumé par les autorités russes.
Dans ce contexte, il devient nécessaire d’examiner le socle juridique qui rend ce scénario plausible.
Ce socle éclaire aussi la logique profonde de la confrontation avec WhatsApp.
Il permet de comprendre la trajectoire choisie par le pouvoir russe.

Cadre juridique — Localisation des données, loi Iarovaïa et Internet souverain

Résumé de section — Trois briques normatives rendent la position de WhatsApp intenable : la localisation des données, le paquet Iarovaïa et l’Internet souverain. Ensemble, elles visent un Runet où aucune communication de masse ne devrait échapper à la capacité d’interception de l’État.

Pour comprendre pourquoi la Russie peut menacer de blocage complet de WhatsApp, il faut maintenant examiner l’architecture juridique construite depuis une décennie. Celle-ci repose sur trois piliers complémentaires.

Localisation des données — Garder les PII « à portée de main »

Tout d’abord, la loi de localisation des données impose que les données personnelles de citoyens russes soient stockées sur des serveurs situés en Russie. Un service qui refuse de localiser ses données s’expose à des amendes, voire à un blocage total. Roskomnadzor tient la liste des contrevenants et orchestre les sanctions techniques.

Pour une messagerie globale comme WhatsApp, cette exigence est déjà problématique. Son infrastructure est répartie, mutualisée, conçue pour un Internet sans frontières nettes. Forcer une stricte segmentation « données russes / données non russes » revient à remettre en cause le modèle même de la plateforme.

Paquet Iarovaïa — Stockage massif et obligation de déchiffrement

Ensuite, le paquet Iarovaïa, voté en 2016, va beaucoup plus loin. Il impose aux opérateurs et aux « organisateurs de diffusion d’information » de :

stocker le contenu des communications pendant plusieurs mois,
conserver les métadonnées pendant une période plus longue encore,
et surtout, fournir aux services de sécurité les moyens de déchiffrer les communications, y compris la remise des clés de chiffrement.

En clair, une messagerie utilisée massivement en Russie doit être capable, au moins en théorie, de remettre le contenu des conversations en clair aux autorités qui en font la demande. Cette exigence n’est pas compatible, par construction, avec un chiffrement de bout en bout où le fournisseur ne détient aucune clé de déchiffrement.

Internet souverain — DPI et contrôle central du Runet

Enfin, la loi sur l’Internet souverain complète le dispositif :

les fournisseurs d’accès doivent installer des équipements de Deep Packet Inspection (DPI) contrôlés par Roskomnadzor ;
l’État peut rediriger, filtrer, ralentir ou couper des services ciblés ;
le segment russe de l’Internet (Runet) peut être isolé du reste du réseau mondial en cas de crise ou de décision politique.

Ainsi, ce triptyque (« localisation des données », « Iarovaïa », « Internet souverain ») converge vers un modèle où, sur le papier, aucun service de communication de masse ne devrait être hors de portée : ni du point de vue de l’hébergement, ni du point de vue du chiffrement, ni du point de vue de l’acheminement réseau.

Dans un tel univers normatif, une messagerie globale chiffrée de bout en bout comme WhatsApp devient une anomalie juridique et technique. Cette anomalie explique en grande partie pourquoi la séquence « Russie bloque WhatsApp » n’est pas une simple crise d’humeur, mais l’expression d’un conflit structurel entre deux philosophies du chiffrement.

WhatsApp — Chiffrement de bout en bout et impasse technique pour le FSB

Résumé de section — WhatsApp chiffre les messages de bout en bout.
Meta ne peut pas déchiffrer leur contenu, même si l’État le demande.
Pour devenir « conforme » aux lois russes, la messagerie devrait renoncer à son modèle de sécurité.
Elle devrait accepter un affaiblissement majeur ou quitter purement et simplement le marché russe.
C’est le cœur de la tension derrière l’expression « Russie bloque WhatsApp ».

Un modèle technique fondé sur le chiffrement de bout en bout

D’abord, une fois ce cadre juridique posé, il faut revenir au modèle technique de WhatsApp.
La messagerie repose sur un chiffrement de bout en bout (E2E).
Concrètement :

les messages sont chiffrés sur le terminal de l’expéditeur ;
ils ne peuvent être déchiffrés que sur le terminal du destinataire ;
Meta n’a pas accès au contenu en clair, seulement aux métadonnées.

Une demande russe incompatible avec la conception de WhatsApp

Ensuite, il faut confronter ce modèle aux exigences des lois russes.
Dans un tel modèle, les lois russes exigent la remise des clés ou du contenu en clair.
Une telle demande est techniquement impossible sans modifier la conception même du service.
La tension ne vient donc pas d’un simple refus politique.
Elle résulte surtout d’une incompatibilité de design entre messagerie et cadre légal russe.

Trois issues théoriques pour WhatsApp en Russie

Pour se mettre en conformité avec la Russie, WhatsApp n’a que trois options théoriques :

Introduire une backdoor ou de l’analyse côté client : scanner les messages sur le téléphone avant chiffrement.
Le système détecterait certains contenus ou comportements interdits et enverrait des rapports aux autorités.
Abandonner le chiffrement de bout en bout pour tout ou partie des utilisateurs russes.
Le serveur pourrait alors lire les messages et les remettre aux services de sécurité.
Refuser et accepter un blocage complet, avec un service réduit à une application de niche.
Dans ce cas, WhatsApp resterait accessible surtout via VPN et autres contournements techniques.

Deux modèles irréconciliables de souveraineté sur les communications

Pour l’instant, Meta continue de défendre publiquement le chiffrement E2E.
Selon l’entreprise, ce chiffrement reste indispensable à la protection des communications privées.
Dès lors, la formule « Russie bloque WhatsApp » décrit moins une simple provocation.
Elle marque surtout un point de collision entre deux modèles de sécurité des communications.
Le premier modèle pense le chiffrement comme une protection forte contre tous les États.
Le second modèle refuse qu’un service de masse puisse échapper à la surveillance étatique.

À partir de là, il devient nécessaire de replacer cette impasse dans une chronologie claire.
Cette chronologie retrace les principales tentatives russes de contrôle des messageries chiffrées.

Escalade programmée — Telegram, Meta, puis WhatsApp

Résumé de section — La menace de blocage total ne tombe pas du ciel. Elle s’inscrit dans une séquence : tentative de blocage de Telegram, classification de Meta comme « extrémiste », déploiement de l’Internet souverain, blocage des appels WhatsApp/Telegram, puis menace de coupure complète.

Pour mesurer la portée de la menace actuelle, il faut remonter le fil des épisodes précédents.

Tentative de blocage de Telegram (2018–2020)

En 2018, la Russie tente de bloquer Telegram pour refus de fournir les clés de chiffrement. Roskomnadzor bloque des millions d’adresses IP, y compris celles d’Amazon et de Google. Les dégâts collatéraux sont considérables. Malgré tout, Telegram reste largement accessible via des contournements. En 2020, le régulateur renonce officiellement au blocage.

Cette tentative ratée montre deux choses. D’abord, sans Internet souverain pleinement opérationnel, bloquer une messagerie populaire est techniquement difficile et politiquement coûteux. Ensuite, la simple pression réglementaire ne suffit pas si l’État ne dispose pas d’une alternative crédible à proposer.

Meta « extrémiste », WhatsApp tolérée (2022)

En 2022, la Russie franchit un nouveau cap en classant Meta comme « organisation extrémiste ». Facebook et Instagram sont bloqués. Cependant, la décision précise que l’interdiction ne concerne pas WhatsApp. Ce choix traduit une forme de réalisme pragmatique : frapper les réseaux sociaux considérés comme politisés, tout en ménageant la messagerie utilisée par la population.

Internet souverain, durcissement légal et blocage des appels (2024–2025)

Entre 2024 et 2025, la situation évolue à nouveau. Les équipements de DPI sont généralisés, la notion d’« extrémisme » s’étend, et de nouvelles dispositions pénalisent déjà la recherche en ligne de contenus qualifiés d’« extrémistes », tandis qu’un projet de loi vise explicitement les accès à ces contenus via des VPN.

Le 13 août 2025, Roskomnadzor annonce des restrictions ciblées sur les appels audio et vidéo via WhatsApp et Telegram. Officiellement, il s’agit d’une mesure « anti-fraude » et « anti-terroriste ». Dans la pratique, la qualité des communications vocales se dégrade au point de devenir inutilisable dans de nombreuses régions.

Quelques mois plus tard, la menace de blocage complet de WhatsApp en Russie est brandie publiquement. Ainsi, la séquence « Russie bloque WhatsApp » ne tombe pas du ciel : elle prolonge une escalade graduelle, techniquement préparée et politiquement assumée.

Cette escalade n’a de sens que parce qu’une alternative domestique a été préparée en parallèle : la superapp Max, appelée à remplacer WhatsApp dans l’écosystème de l’Internet souverain russe.

Max — Superapp domestique et remplacement de WhatsApp

Résumé de section — Max, développée par VK, n’est pas qu’une messagerie.
C’est une superapp qui agrège chat, paiements, e-administration et identité numérique.
Elle ne propose pas de chiffrement de bout en bout vérifiable.
Elle se place comme remplaçante « souveraine » de WhatsApp dans un Runet de plus en plus fermé.

Une superapp « tout-en-un » au cœur du Runet

Au moment où la Russie durcit le ton contre WhatsApp, une autre pièce essentielle est déjà en place.
Il s’agit de la superapp Max, développée par le groupe VK et promue comme « messenger national ».

Concrètement, Max se présente comme une application « tout-en-un » :

messagerie individuelle et de groupe ;
paiements, portefeuille numérique et transferts ;
accès à certains services administratifs (Gosuslugi) ;
intégration annoncée avec l’identité numérique et la signature électronique.

Un chiffrement limité et compatible avec l’Internet souverain

Par ailleurs, deux caractéristiques pèsent lourd dans la balance.
La première concerne le chiffrement.

Max ne propose pas de chiffrement de bout en bout vérifiable.
Les informations publiques et les analyses indépendantes indiquent que les échanges sont au mieux chiffrés en transit.
Ils restent toutefois lisibles par l’opérateur.
Ils demeurent aussi accessibles aux autorités sur demande.
Cette conception rend la superapp structurellement compatible avec les exigences de l’Internet souverain russe.

Préinstallation obligatoire et dépendance progressive

La deuxième caractéristique tient à son mode de diffusion.
À partir du 1er septembre 2025, la préinstallation de Max devient obligatoire sur tous les smartphones et tablettes vendus en Russie.
Dans le même temps, certaines administrations imposent déjà son usage.
Elles l’utilisent pour les communications avec les parents, les écoles ou les services publics.
Progressivement, Max devient donc un passage obligé de la vie quotidienne numérique.

De WhatsApp à Max : une stratégie assumée de substitution

Dans ce contexte, la formule « Russie bloque WhatsApp » ne décrit pas un simple blocage punitif.
Elle s’inscrit plutôt dans une stratégie de substitution.

En pratique, plus WhatsApp est pénible ou risqué à utiliser, plus Max s’impose.
Elle devient le point de passage obligé pour communiquer, payer et interagir avec l’État.
Le blocage potentiel de WhatsApp et l’essor de Max se renforcent ainsi mutuellement.
Cette dynamique oblige à s’interroger sur le narratif invoqué par Moscou pour justifier cette bascule : fraude, terrorisme, extrémisme.

Il convient donc d’examiner ce discours plus en détail dans la section suivante.
Ce sera la clé pour comprendre comment la séquence « Russie bloque WhatsApp » sert aussi un projet plus large de contrôle social.

Fraude, terrorisme, extrémisme — Narratif officiel vs réalité

Résumé de section — Moscou justifie la pression sur WhatsApp par la lutte contre la fraude et le terrorisme.
Pourtant, les chiffres officiels montrent que les appels téléphoniques classiques restent le premier vecteur de fraude.
Surtout, la définition russe de ce qui est « criminel » est extrêmement large.
Elle inclut l’opposition, les ONG et le mouvement LGBT.

Un récit officiel centré sur la fraude et le terrorisme

Dans ses communiqués, Roskomnadzor affirme que WhatsApp et Telegram sont devenus des outils centraux.
Selon le régulateur, ces messageries serviraient notamment à :

fraudes de masse et escroqueries financières ;
recrutement pour le terrorisme et le sabotage ;
coordination d’actions criminelles et d’« extrémisme ».

À première vue, l’argumentaire semble cohérent avec une logique de sécurité publique.
En réalité, les données officielles dessinent un paysage beaucoup plus nuancé.

Les chiffres de la Banque de Russie racontent une autre histoire

Les rapports de la Banque centrale de Russie dressent un constat différent.
Ils indiquent que :

les appels téléphoniques classiques demeurent le canal principal de fraude ;
les messageries chiffrées ne constituent qu’un vecteur parmi d’autres ;
le blocage des appels sur WhatsApp et Telegram a surtout entraîné une reprise du trafic voix traditionnel, sans faire disparaître la fraude elle-même.

Autrement dit, la dimension « fraude » sert autant de narratif de légitimation que de justification technique.
Ce décalage ouvre sur un second glissement, plus politique encore.

Une définition extensible de ce qui est « criminel »

En parallèle, la référence permanente aux « activités criminelles » et à l’« extrémisme » joue un rôle structurant.
En 2025, ces catégories incluent en Russie :

les structures liées à Alexeï Navalny, qualifiées d’« extrémistes » puis de « terroristes » ;
le mouvement LGBT international, classé comme organisation extrémiste ;
de nombreuses ONG, médias indépendants et organisations de défense des droits ;
des formes d’expression anti-guerre ou critiques de l’armée.

Progressivement, la frontière entre criminalité réelle et dissidence politique devient floue.
Le vocabulaire pénal sert alors à encadrer l’espace public et non plus seulement à poursuivre des infractions.

De la lutte contre la fraude à la police politique embarquée

Dans ce cadre, exiger que WhatsApp « exclue les activités criminelles » signifie, concrètement, plusieurs choses.
Il s’agit de :

censurer proactivement les conversations sur ces sujets ;
identifier les personnes qui participent à ces échanges ;
et orienter les données vers les services compétents.

Or, une messagerie chiffrée de bout en bout ne peut pas réaliser ce programme sans renoncer à son modèle de sécurité.
Introduire ces fonctions reviendrait à transformer l’application en outil de surveillance politique.

C’est précisément ce qui fait de la séquence « Russie menace de bloquer complètement WhatsApp » un révélateur.
L’État exige d’un outil global qu’il devienne une police politique embarquée, ce que WhatsApp ne peut ni ne veut être.
Ce constat renvoie directement au rôle pivot de Roskomnadzor.
L’organisme agit à la fois comme gendarme juridique, chef d’orchestre technique et narrateur officiel de cette confrontation.

Roskomnadzor — Pivot technique et politique du Runet

Résumé de section — Roskomnadzor n’est pas un simple gendarme administratif.
C’est le chef d’orchestre de l’Internet souverain russe.
Il gère la censure, pilote les équipements de DPI, supervise la localisation des données.
Il coordonne aussi la substitution progressive des services globaux par des solutions nationales.

Un régulateur au cœur de l’Internet souverain russe

Pour bien comprendre son rôle, il faut partir de ses fonctions opérationnelles.
Roskomnadzor cumule plusieurs responsabilités clés au sein de l’Internet souverain russe :

il administre la liste noire des sites et services bloqués ;
il contrôle l’application de la localisation des données ;
il supervise le déploiement des équipements de DPI chez les FAI ;
il coordonne les opérations de throttling ou de coupure de services étrangers (réseaux sociaux, VPN, plateformes vidéo, outils de mesure, etc.).

Autrement dit, il ne se contente pas d’édicter des règles.
Il orchestre aussi leur mise en œuvre technique sur l’infrastructure du Runet.

Un bras technique de la fermeture progressive du Runet

Dans le récit officiel, Roskomnadzor agit pour « protéger les citoyens ».
Il serait également chargé de garantir la « stabilité de l’infrastructure ».
Dans les faits, il est devenu le bras technique d’une politique de fermeture progressive du Runet.
À ce titre, ses communiqués sur WhatsApp ont une portée qui dépasse largement la messagerie elle-même.
Ils signalent l’orientation générale de la politique numérique russe.

La menace de blocage complet comme signal stratégique

La menace de blocage complet contre WhatsApp en est un bon exemple.
Elle s’inscrit dans un ensemble cohérent de signaux, parmi lesquels :

pression sur les services étrangers jugés « non coopératifs » ;
promotion active de la superapp Max comme alternative « patriotique » ;
rappel régulier des obligations de partage de données, de localisation et de déchiffrement.

Ainsi, chaque prise de position de Roskomnadzor ne vise pas seulement une plateforme.
Elle contribue à redessiner le périmètre de ce qui est toléré ou non dans l’espace numérique russe.

Un triptyque qui redéfinit la liberté de communication

Le triptyque « Russie bloque WhatsApp », « Max comme superapp nationale », « Internet souverain » décrit, en creux, un nouveau modèle.
Dans ce modèle, la liberté de communication est conditionnée à la conformité au dispositif de surveillance.
Autrement dit, une messagerie de masse n’est légitime que si elle s’insère dans cette architecture de contrôle.
C’est ce modèle qu’il faut maintenant projeter dans l’avenir à travers plusieurs scénarios possibles.
Ces scénarios permettront d’évaluer jusqu’où peut aller la fermeture du Runet et la marginalisation des services globaux chiffrés.

Scénarios prospectifs — Vers quel Internet russe ?

Résumé de section — Trois trajectoires se dessinent : un blocage progressif de facto, un accord opaque avec surveillance côté terminal, ou une rupture assumée avec blocage complet. Dans tous les cas, le Runet devient plus fermé, plus surveillé et plus dépendant de solutions nationales comme Max.

À partir de la situation actuelle, plusieurs trajectoires réalistes peuvent être envisagées pour la relation entre la Russie, WhatsApp et l’Internet souverain.

Blocage progressif de facto

Premier scénario : il n’y a pas de « ban » brutal, mais une érosion continue de l’usage de WhatsApp.

les appels restent durablement bloqués ;
les pièces jointes sont ralenties ou intermittentes ;
certains nouveaux comptes peinent à s’enregistrer ;
le service est officiellement présenté comme « peu fiable » ou « dangereux ».

Dans ce cas, WhatsApp ne disparaît pas complètement du Runet, mais son usage se concentre sur :

les utilisateurs les plus technophiles, capables de manier VPN et contournements ;
les communications transfrontières, notamment avec la diaspora ou des partenaires étrangers.

Ainsi, « Russie bloque WhatsApp » devient une réalité de facto, sans nécessité d’un ban spectaculaire. Max, de son côté, gagne mécaniquement les usages de masse.

Accord opaque et surveillance côté terminal

Deuxième scénario : un compromis discret où WhatsApp resterait accessible, mais au prix d’un scanning côté client ou d’intégrations imposées.

Par exemple :

analyse automatique de certains contenus sur le terminal avant chiffrement ;
signalement obligatoire de pattern associés à l’« extrémisme » ou à la fraude ;
journalisation renforcée des métadonnées au profit des autorités.

Cette trajectoire ne casserait pas formellement le chiffrement de bout en bout, mais elle en viderait une large part de sa substance : la sécurité dépendrait moins de la cryptographie que de l’intégrité des mécanismes de contrôle imposés par l’État russe.

Rupture assumée et blocage complet

Troisième scénario : Moscou assume une rupture totale avec WhatsApp.

la messagerie est pleinement bloquée au niveau réseau ;
l’usage via VPN est criminalisé ou assimilé à un comportement suspect ;
Max devient la porte d’entrée quasi exclusive pour les communications quotidiennes, l’e-administration et une partie des paiements.

Dans cette configuration, le Runet ressemble de plus en plus à un intranet d’État : les flux sont filtrés, les services globaux remplacés par des équivalents locaux, et les rares poches de chiffrement réel sont reléguées à des niches à haut risque.

Quel que soit le scénario retenu, une question demeure : comment préserver une souveraineté du chiffrement lorsque l’infrastructure de messagerie est sous contrôle d’un État qui rejette l’idée même d’opacité ? C’est précisément là qu’entrent en jeu les architectures souveraines hors plateformes.

Signaux faibles — Balkanisation et superapps de contrôle

Bloc signaux faibles

1. Balkanisation accélérée de l’Internet — La trajectoire russe renforce l’image d’un Internet découpé en sphères (Russie, Chine, bloc occidental, etc.), chacune avec ses propres plateformes, clouds « souverains » et règles de surveillance. La séquence « Russie bloque WhatsApp » devient un cas d’école de cette balkanisation.

2. Superapps comme vecteurs de contrôle — Après WeChat en Chine, Max en Russie illustre un modèle où une seule application concentre messagerie, paiements, e-administration et identité. Plus la superapp est centrale, plus la surface de contrôle étatique est large.

3. Narratif sécuritaire permanent — Lutte contre la fraude, protection des enfants, anti-terrorisme : ces registres, légitimes en soi, deviennent des leviers rhétoriques pour remettre en cause le chiffrement de bout en bout et normaliser les backdoors.

4. Lignes de fracture autour du chiffrement — La question du chiffrement ne se limite plus aux régimes autoritaires. Certaines démocraties débattent de « portes dérobées légales ». Ces débats offrent des arguments aux États qui veulent aller beaucoup plus loin.

5. Rôle stratégique des solutions hors plateformes — À mesure que les grandes messageries globales sont prises entre États aux exigences contradictoires, les solutions hors juridiction fondées sur le chiffrement local gagnent en importance : modèles sans serveur (DataShielder NFC HSM, DataShielder HSM PGP) et modèles avec serveur relais auto-hébergeable qui ne détient aucune clé (CryptPeer). Dans les deux cas, le serveur ne peut pas déchiffrer les messages, ce qui change radicalement le rapport de force.

En filigrane, ces signaux faibles indiquent que la réponse à la formule « Russie bloque WhatsApp » ne peut pas se limiter à un débat sur les seules messageries. Elle doit porter sur la conception même des architectures de chiffrement à l’échelle des États, des organisations et des individus.

Cas d’usage souverain — Messagerie hors juridiction et chiffrement local

Résumé de section — Quand l’infrastructure de messagerie est contrôlée par un État, la confidentialité dépend de la bienveillance de cet État.
Les architectures sans serveur, avec HSM et clés segmentées (DataShielder), ou avec serveur relais auto-hébergeable sans clé (CryptPeer), proposent une alternative.
Il n’y a alors aucune clé centrale à livrer et aucune base à saisir.

Un cas d’école : quand l’État contrôle la messagerie

L’affaire « Russie bloque WhatsApp » pose finalement une question plus large.
Que se passe-t-il quand un État exige d’un fournisseur de messagerie de livrer contenus, métadonnées ou clés de chiffrement ?
Tant que la sécurité repose sur une plateforme centrale, cette plateforme devient le point de pression évident.
Elle concentre les leviers techniques, juridiques et économiques.

Dans un modèle centralisé :

la messagerie, même chiffrée, s’appuie sur des serveurs et des infrastructures qu’un État peut contraindre ;
l’éditeur peut être poussé à introduire des exceptions, des backdoors ou des mécanismes de scanning côté client ;
les utilisateurs ne contrôlent ni l’emplacement réel de leurs données, ni la manière dont elles circulent.

Autrement dit, la promesse de chiffrement reste fragile si la racine de confiance reste concentrée chez un acteur unique.

Limiter la confiance dans les plateformes grâce aux HSM à clés segmentées

Les architectures comme DataShielder et CryptPeer partent d’une autre hypothèse.
Elles visent à réduire au maximum la confiance accordée aux plateformes et aux réseaux.
Elles déplacent aussi la racine de sécurité au plus près des utilisateurs.

DataShielder NFC HSM et DataShielder HSM PGP :
pas de serveur, pas de base de données centrale.
Le système peut fonctionner 100 % hors ligne, sans cloud ni compte.
Le chiffrement est réalisé dans un HSM matériel (NFC HSM ou HSM PGP).
Les clés (AES-256, RSA-4096 selon les cas) sont générées et stockées localement.
Un système de clés segmentées répartit enfin la confiance entre Main Operator et détenteurs de modules.
CryptPeer :
le chiffrement de bout en bout est géré côté pairs.
Un serveur relais auto-hébergeable et auto-portable ne reçoit que des données déjà chiffrées.
Il ne possède aucune clé de chiffrement ou de déchiffrement.
Le serveur ne fait qu’acheminer les paquets.
Il ne peut ni lire le contenu, ni reconstituer les secrets partagés entre les pairs.

Encapsulation de chiffrement — Un message chiffré dans un autre

Même lorsqu’on continue à utiliser une messagerie comme WhatsApp ou Telegram, il est possible de changer la donne.
Pour cela, on pratique l’encapsulation de chiffrement.

Concrètement :

le contenu sensible est chiffré en local dans un HSM NFC (par exemple, DataShielder NFC HSM) ;
ce qui transite dans WhatsApp n’est plus qu’un bloc chiffré opaque ;
même si la messagerie ou l’infrastructure réseau sont compromises, l’attaquant ne récupère qu’un « chiffrement dans le chiffrement ».

Du point de vue d’un État, exiger des clés à l’éditeur de messagerie devient alors inopérant.
Les clés critiques ne sont pas chez ce fournisseur.
Elles résident dans des HSM matériels souverains ou dans des paires cryptographiques gérées au niveau des pairs, comme dans CryptPeer.
Pendant ce temps, le serveur relais ne voit que des données chiffrées qu’il ne peut pas ouvrir.

Souveraineté du chiffrement au-delà de WhatsApp et Max

Dans un monde où « Russie bloque WhatsApp » devient un précédent, ces architectures jouent un rôle de démonstrateur.
Elles montrent qu’il est possible de :

continuer à utiliser des messageries grand public pour l’ergonomie ;
rendre les données structurellement inexploitables sans le HSM ou sans la clé du pair, y compris en cas de saisie ou de blocage ;
rester conforme à des cadres de contrôle à l’export de biens de chiffrement à double usage, comme celui qui encadre la solution DataShielder en Europe.

Autrement dit, la souveraineté réelle ne se joue pas uniquement dans le choix entre WhatsApp et Max.
Elle se mesure à la capacité d’architecturer des systèmes où ni Moscou ni aucun autre État ne peuvent exiger une backdoor centrale exploitable.
C’est là que se situe la véritable frontière entre sécurité nominale et souveraineté opérationnelle du chiffrement.

À relier avec…

À relier avec d’autres chroniques et publications Freemindtronic

https://freemindtronic.com/digital-security-articles-freemindtronic/ — Collection de chroniques stratégiques sur la sécurité numérique.
https://freemindtronic.com/cyberculture-a-collection-of-articles/ — Cyberculture et mutations géopolitiques de l’Internet.
https://freemindtronic.com/technical-news/ — Actualités techniques et cryptographiques liées aux produits Freemindtronic.
https://freemindtronic.com/tech-fixes-security-solutions/ — Solutions techniques de contre-espionnage et de résilience.

FAQ — Russie bloque WhatsApp, Max et Internet souverain

Questions fréquentes sur « Russie bloque WhatsApp »

Pourquoi la Russie menace-t-elle de bloquer complètement WhatsApp ?

Une incompatibilité entre chiffrement de bout en bout et Internet souverain

La menace de blocage complet de WhatsApp n’est pas un simple geste politique ponctuel. Elle découle d’un conflit structurel entre, d’un côté, une messagerie chiffrée de bout en bout que Meta ne peut pas déchiffrer, et de l’autre, un cadre légal russe (localisation des données, loi Iarovaïa, Internet souverain) qui exige que les services de communication puissent remettre contenus et moyens de déchiffrement aux autorités.
Tant que WhatsApp conserve son modèle de sécurité E2E, elle reste structurellement non conforme aux attentes de Moscou, ce qui rend la menace de blocage logique dans la doctrine de l’Internet souverain russe.

WhatsApp est-elle déjà bloquée en Russie ?

Blocage partiel aujourd’hui, menace de blocage total demain

À ce stade, la Russie a déjà bloqué les appels audio et vidéo sur WhatsApp (et sur Telegram), ce qui dégrade fortement l’usage de la messagerie dans la vie quotidienne.
Les messages textuels restent encore accessibles pour la majorité des utilisateurs, mais la menace de « blocage complet » est désormais explicite dans les déclarations de Roskomnadzor.
En pratique, on se dirige vers un scénario où :

l’usage « normal » de WhatsApp devient de plus en plus pénible ;
les fonctions clés (appels, fichiers) sont visées en priorité ;
les usages résiduels se concentrent chez les personnes capables de gérer VPN et contournements, avec des risques juridiques croissants.

Qu’est-ce que la superapp Max et remplace-t-elle vraiment WhatsApp ?

Max, superapp domestique et pivot de l’Internet souverain russe

Max, développée par VK, est présentée comme la messagerie nationale. Ce n’est pas seulement un clone de WhatsApp :

elle combine messagerie, paiements, portefeuille numérique et accès à certains services administratifs ;
elle est préinstallée sur les smartphones vendus en Russie et promue par des administrations ;
elle ne propose pas de chiffrement de bout en bout vérifiable, ce qui la rend compatible avec les exigences de l’Internet souverain russe.

En rendant progressivement WhatsApp plus difficile à utiliser, l’État crée un effet de nasse : pour continuer à communiquer et interagir avec les services publics, les citoyens sont incités à basculer vers Max, où la visibilité de l’appareil d’État est maximale.

Les Russes peuvent-ils contourner un blocage de WhatsApp avec un VPN ?

VPN, contournements et risque croissant de criminalisation

Techniquement, un blocage de WhatsApp peut être partiellement contourné via des VPN, des proxies ou des outils d’anti-censure. Cependant :

la Russie dispose d’un dispositif de DPI lui permettant de détecter et de perturber certains VPN ;
la consultation de contenus interdits et l’usage de services bloqués peuvent être assimilés à des comportements suspects, et des lois récentes visent déjà la recherche de contenus qualifiés d’« extrémistes » en ligne ;
la pression légale peut monter contre les fournisseurs de VPN eux-mêmes.

Autrement dit, le contournement reste possible sur le plan technique, mais il devient de plus en plus risqué et incertain sur le plan juridique et opérationnel, surtout dans un contexte où l’« extrémisme » est défini très largement.

Qu’est-ce que l’Internet souverain russe change par rapport à une régulation classique ?

Du simple encadrement à la capacité de couper, filtrer et isoler

La plupart des États régulent l’Internet : protection des données, lutte contre la criminalité, encadrement des plateformes. L’Internet souverain russe va plus loin en combinant :

la localisation forcée des données et le stockage massif des communications ;
l’installation d’équipements de Deep Packet Inspection chez les FAI, pilotés par Roskomnadzor ;
la capacité légale et technique d’isoler le Runet du reste du réseau mondial en cas de décision politique.

On passe ainsi d’une simple régulation à une capacité d’intervention en temps réel sur les flux, les services et les architectures, avec la possibilité d’invalider de facto des modèles de sécurité comme le chiffrement de bout en bout à grande échelle.

Quelles alternatives pour protéger des communications sensibles dans un tel contexte ?

Chiffrement local, HSM et serveurs relais sans clé

Lorsque l’infrastructure de messagerie est contrôlée par un État, la confidentialité ne peut plus reposer uniquement sur la bonne volonté du fournisseur de service. Deux grandes familles d’architectures se dégagent :

Modèles sans serveur de déchiffrement comme DataShielder NFC HSM et DataShielder HSM PGP : le chiffrement est effectué dans un HSM matériel, sans cloud ni base centrale. Les clés sont générées et stockées localement, selon une logique de clés segmentées, ce qui rend impossible la remise d’une « clé maître » à un État.
Modèles avec serveur relais sans clé comme CryptPeer : les pairs chiffrent entre eux, et un serveur relais auto-hébergeable et auto-portable ne voit que des données déjà chiffrées, sans détenir aucune clé de chiffrement ou de déchiffrement. Même en cas de saisie du serveur, les contenus restent inexploitables.

Ces approches ne dispensent pas du respect des lois locales, mais elles montrent qu’il est possible de concevoir des systèmes où aucune entité centrale ne détient les clés, ce qui limite fortement les effets d’une pression politique sur un fournisseur unique.

Cette affaire concerne-t-elle seulement les régimes autoritaires ?

Une ligne de fracture globale autour du chiffrement

Non. Si la séquence « Russie bloque WhatsApp » est particulièrement brutale, le débat sur le chiffrement dépasse largement les régimes autoritaires. Dans plusieurs démocraties, des responsables politiques évoquent régulièrement des backdoors « légales » ou des « accès exceptionnels » aux messageries chiffrées pour la lutte antiterroriste ou la protection des mineurs.
L’exemple russe agit comme un miroir grossissant : il montre jusqu’où peut aller un État lorsqu’il dispose d’un Internet souverain, de superapps nationales et d’un narratif sécuritaire permanent. Il rappelle aussi qu’une fois que l’on accepte le principe d’une porte dérobée, la frontière entre usage légitime et usage politique devient très difficile à tracer.

Ce que nous n’avons pas couvert

Cette chronique se concentre sur la séquence « Russie bloque WhatsApp », l’architecture juridique et technique de l’Internet souverain russe, la montée de Max et les architectures souveraines de chiffrement.

Elle laisse volontairement de côté plusieurs axes qui pourraient faire l’objet de chroniques dédiées :

une cartographie détaillée de l’écosystème des superapps et de leurs modèles de gouvernance (WeChat, Max, futures superapps dans d’autres zones géopolitiques) ;
une comparaison fine des cadres juridiques sur le chiffrement (Europe, États-Unis, Russie, Chine) et de leurs convergences possibles autour de l’idée de backdoors « légales » ;
une analyse opérationnelle des capacités de DPI russes (types d’équipements, fournisseurs, scénarios d’usage en temps de crise) ;
une exploration détaillée des stratégies de chiffrement de surcouche (DataShielder, CryptPeer, autres modèles sans serveur ou sans clé côté serveur) adaptées à des contextes de plus en plus fragmentés.

Ces dimensions pourront être développées dans de futures chroniques de la série Cyberculture, avec un focus spécifique sur la souveraineté opérationnelle du chiffrement dans un Internet balkanisé.

Sources officielles et références

Loi dite « Iarovaïa » — lois fédérales n° 374-FZ et 375-FZ du 06.07.2016, texte officiel (russe) disponible sur le portail juridique de l’État russe : http://pravo.gov.ru ; synthèse en anglais : https://en.wikipedia.org/wiki/Yarovaya_law
Loi fédérale n° 90-FZ sur l’« Internet souverain » (modification de la loi sur les communications et sur l’information) — texte officiel consultable via le portail juridique : http://pravo.gov.ru ; analyses comparatives : rapports d’ONG (Access Now, Human Rights Watch).
Communiqués de Roskomnadzor relatifs à WhatsApp, Telegram et Max (blocage des appels, menace de blocage complet, promotion de Max comme messagerie nationale) : https://rkn.gov.ru
Banque de Russie — données sur la fraude et les pertes financières liées à l’ingénierie sociale et aux canaux de communication (rapports officiels et bulletins statistiques) : https://www.cbr.ru
Décision de justice classant Meta comme « organisation extrémiste » et exclusion explicite de WhatsApp du champ d’interdiction — documents et communiqués accessibles via le Parquet général de Russie : https://genproc.gov.ru, complétés par les résumés de la presse internationale.
Analyses de la superapp Max et de son rôle dans l’Internet souverain russe — presse russe spécialisée et observatoires de la souveraineté numérique (par exemple : Reporters sans frontières, Financial Times, etc.).

Uncategorized

766 Trillion Years 20 char EviPass: Code like a randomly generated

Posted on October 4, 2025 by FMTAD

Résumé express — 766 trillion years to find randomly generated 20-character code

⮞ Summary

This express digest takes ≈ 3–4 minutes. It summarizes the simulation that estimates how long a brute-force attempt would take to find a random 20-character password built from printable ASCII symbols.

⚡ The Discovery

Using Bob Beeman’s Password Strength Calculator (default parameters, 60–109 billion attempts/sec), a random 20-character password drawn from 94 symbols requires approximately 766,076,000,000,000,000 years (~766 trillion years) to be found by brute force.

✦ Immediate Impact

Demonstrates practical infeasibility of brute force against long, full-ASCII random passwords.
Shows how specialized GPU clusters (e.g. Radeon City) change the practical attack surface for fast hash algorithms.
Frames EviPass-generated codes as effectively resistant to brute-force when combined with HSM/NFC protections.

⚠ Strategic Message

Randomness + length + secure storage (HSM/NFC) are decisive. Short, human-memorable passwords remain fragile; hardware-anchored secrets and slow, salted algorithms are required for resilient protection.

⎔ Sovereign Countermeasure

Prefer hardware-managed secrets (EviPass / EviTag / EviCard), offline HSM anchoring, and slow key-derivation functions (bcrypt/PBKDF2/Argon2) to mitigate brute-force risk.

Got two more minutes? Jump to the Advanced Summary for figures, attack-models and a technical comparison with Radeon City and ANSSI’s estimator.

Reading Parameters

Express summary reading time: ≈ 4 minutes
Advanced summary reading time: ≈ 6 minutes
Full chronicle reading time: ≈ 36 minutes
Last updated: 2025-10-02
Complexity level: Advanced / Expert
Technical density: ≈ 73%
Languages: CAT · EN · ES · FR
Linguistic specificity: Sovereign lexicon — high technical density
Accessibility: Screen-reader optimized — semantic anchors included
Editorial type: Strategic Chronicle — Digital Security ·Technical News· Quantum Computing · Cyberculture
About the author: Jacques Gascuel, inventor and founder of Freemindtronic®, embedded cybersecurity and post-quantum cryptography expert.
A pioneer of sovereign solutions based on NFC and hardware encryption, his work focuses on system resilience against quantum threats and multi-factor authentication without cloud dependency.

Editorial Note — This chronicle is living:
it will evolve with new attacks, standards, and technical demonstrations related to quantum computing.
Check back regularly.

Résumé avancé — Simulation, Radeon City & cost of brute force

⮞ Summary

Numbers, reference machines and economic scale: what 766 trillion years means in practice.

Why we used Bob Beeman’s simulator

We used the Password Strength Calculator by Bob Beeman (last updated January 4, 2013) available on www.bee-man.us. The code is public and transparent, allowing parameter control (attempts/sec, symbol set, length).

Radeon City: reference attacker

⮞ Summary

Radeon City (Jeremi Gosney / Stricture Consulting) used five servers with AMD Radeon HD7970 GPUs to reach ~350 billion NTLM guesses/sec in 2012 — a practical baseline for fast algorithms.

Simulation parameters & formula

We applied the common brute-force formula: a^b / (c * 2), where “a” = possible symbols (94), “b” = password length (20), and “c” = hash computations/sec. With a 50% chance benchmark (divide by 2) and default Beeman values (60–109 billion/sec), the result is ~766,076,000,000,000,000 years.

Financial implications

Using Gosney’s reference machine cost (~$30,000 in 2012 for the Radeon cluster at scale), extrapolating to achieve brute force capabilities to invert such a password within feasible time would require astronomical investment — the article estimates nearly $25 billion to reach parity with the simulation’s target workload, a figure compared to global military spending references.

Beyond brute force

This analysis focuses strictly on brute force. Other countermeasures (physical blockchain anchoring, jamming, HSM protections) further increase attack cost and complexity — topics to be addressed in follow-ups.

☰ Quick Navigation

🔝 Back to top
Executive Summary
Advanced Summary
Headline & Origin
Discovery & Context
Methodology
Radeon City
Advantages & Disadvantages
Simulation Parameters & Results
ANSSI Simulator
Password Generation Options
Use Cases — EviPass
References
Strategic Outlook
What We Didn’t Cover
Weak Signals
Glossary
FAQ

Key Insights

Full-ASCII 20-char random passwords are effectively uncrackable by brute force with current public GPU technology.
Fast hash algorithms (NTLM, MD5, SHA1) massively reduce brute-force cost; prefer slow, salted KDFs.
Hardware anchoring (NFC HSM / EviPass family) materially increases attack complexity and cost.

766 trillion years to find randomly generated 20-character code

766 trillion years to find randomly generated 20-character code is the result of a simulator to find a 20-character generated by technology EviPass. The age of the universe is estimated at only 14 billion years, this gives you an idea of comparison.

Discovery & Context

⮞ Summary

We ran Bob Beeman’s Password Strength Calculator with default parameters (60–109 billion attempts/sec) and a 94-symbol alphabet for a 20-character random string. The computed time to find the password by brute force is ~766 trillion years.

How did I find this result that you can control on your own?

We used the Password Strength Calculator developed by Bob Beeman [1] which was last updated on January 4, 2013. This simulator is freely available on the www.bee-man.us website as well as the source code used.

Why We Chose Bob Beeman’s Simulator

In our quest to estimate the time it would take to crack a random 20-character code, we had several simulation tools at our disposal, including lastbit.com [2], password-checker.online-domain-tools.com [3], and ANSSI’s [4] simulator from ssi.gouv.fr. However, we ultimately opted for Mr. Bob BEEMAN’s simulator due to its transparent calculation method and its technical approach to brute force attacks.

Acknowledging Mr. Bob BEEMAN

Before delving into the details of our simulation, we must extend our gratitude to Mr. Bob BEEMAN for making his code freely accessible and copyable while upholding his copyrights, as explained on his website. We hope our research can contribute to his already impressive achievements, including a record-breaking 15-millisecond feat.

Reference to Ultra-Powerful Computers

To provide you with a comprehensive understanding of the state-of-the-art technology for brute force attacks in 2013, we examined Bob Beeman’s simulator’s reference to an ultra-powerful computer designed in 2012 specifically for password cracking.

Considering Computational Capacity

Bob Beeman’s simulator takes into account the computational capabilities of computers, including the 2012 design, for executing brute force attacks on passwords. It allows for adjustments in the “Values of Hacker: Axes/Second,” providing a valuable point of reference and comparison.

Staying with Default Parameters

For the sake of consistency, we maintained the default example provided by Bob Beeman, which assumed a rate of 60-109 (billion) attempts per second.

Radeon City: Revolutionizing Password Security

Jeremi Gosney, the visionary behind Radeon City and the CEO of Stricture Consulting Group, sought to create a powerhouse capable of cracking passwords with unprecedented speed and efficiency. His solution? Virtual OpenCL (VCL), a groundbreaking virtualization software. Gosney assembled five servers, each armed with five AMD Radeon HD7970 graphics cards, interconnected through VCL. The cluster, aptly named Radeon City, was born at a cost of approximately $30,000 in 2012.

Radeon City Specifications

server filled with 25 AMD Radeon HD 7970 GPUs

Here’s a snapshot of Radeon City’s technical specifications:

Servers: 5
Graphics Cards: 25 AMD Radeon GPUs
Model: AMD Radeon HD7970
Memory: 3 GB GDDR5
Clock Speed: 925 MHz
Compute Units: 32
Stream Processors: 2048
Peak Performance: 3.79 TFLOPS
Virtualization Software: Virtual OpenCL (VCL)
Password-Cracking Software: ocl-Hashcat Plus
Cost: $30,000 (2012)

This powerhouse enables Radeon City to achieve unprecedented speeds in password cracking, making it a game-changer in the realm of data security.

Advantages & Disadvantages of Radeon City

⮞ Summary

A high-throughput GPU cluster is powerful and flexible, yet costly and demanding to operate.

Advantages

Power: can attack both fast and, to a degree, slow algorithms with extensive rules and wordlists.
Flexibility: supports many attack modes (brute-force, dictionary, combinator, hybrid).
Innovation: virtualization (VCL) overcame hardware limits in 2012.

Disadvantages

Cost: build & operation are expensive (electricity, cooling).
Noise & Cooling: requires specialized environment.
Ethics: legal/ethical concerns about use.

Simulation Parameters and Results

To calculate the estimated time required to find a 20-character code with 94 symbols, we used the formula:

a^b / (c * 2)

Where:

“a” represents the number of possible characters,
“b” denotes the number of characters in the password,
“c” indicates the number of hash calculations achievable per second.

By selecting 94 symbols, a password length of 20 characters, and a 50% probability of success compared to the theoretical result, our simulation yielded an astonishing result: 766.076,000,000,000,000 years or 766 trillion [5] years.

Understanding the Financial Implications

This simulation approach not only provides insights into the time required but also sheds light on the financial investments necessary to establish a computer system capable of cracking such a password.

Consider this: The reference computer, as configured by Gosney, relies on a pool of 25 virtual AMD GPUs to crack even robust passwords. Yet, a single unit of this type, priced at approximately $30,000 in 2012, can generate just 348 billion hashes of NTLM passwords per second. To achieve results within the realm of 766 trillion years, one would need to acquire multiple such machines.

Hence, to decipher only a 20-character password generated with EviPass technology, residing within an EviTag NFC HSM or EviCard NFC HSM device, an investment of nearly $25 billion would be required. A remarkable comparison, given that global military expenses were estimated at 1.7 billion dollars [6].

Beyond Brute Force

It’s important to note that this test focused solely on brute force attacks without taking into account the activation and utilization of additional countermeasures, such as physical blockchain and jamming, which will be explored in future articles.

ANSSI’s Simulator — a point of reference

⮞ Summary

ANSSI’s online simulator (ssi.gouv.fr) limits inputs to 20 characters and 90 symbols and returns a maximum score of 130, comparable to a 128-bit AES key. Our generator uses 95 printable ASCII symbols and 20 chars, exceeding ANSSI’s standard presets.

Diverse Password Generation Options

Our password creation options offer versatility. Users can either select passwords from the pool of 95 available characters, opt for a semi-automatic generation followed by modification, or automate the process entirely according to default criteria, allowing passwords of up to 20 characters.

Adaptability to Website Constraints

For websites that impose restrictions on symbols or character limits, users can customize their password generation preferences, choosing between identifiers, letters, and/or numbers, with or without symbols.

Hexadecimal Generator for Added Utility

We’ve also introduced a hexadecimal generator to facilitate programming of digital codes. This feature proves invaluable in various domains, including electronics, electromechanics, and maintenance services, enabling the creation and modification of digital access codes with ease. Furthermore, codes can be securely shared with building residents through functions like “scrambling” or encryption via a QR Code, all made possible by EviCore technologies from Freemindtronic.

Forming Your Own Opinion

The aim of this article is to empower you to form your own assessment of the resilience of our password generators against brute force attacks. While we are not the sole providers of powerful password generators, our test stands as a benchmark against other comparable implementations.

Ensuring Ongoing Security

Our embedded password generator undergoes regular updates to maintain its complexity and withstand the evolving landscape of brute force attacks. Our commitment is to enhance security without compromising user convenience—a complex yet vital undertaking.

Cas d’usage souverain — EviPass & Freemindtronic

⮞ Cas d’usage souverain | Résilience avec Freemindtronic
Storing long random passwords inside an NFC HSM device (EviTag / EviCard) managed by the Freemindtronic app reduces attack surface: secrets never transit the DOM, access is hardware-gated and audit trails are preserved.

References & links

[1] https://www.bee-man.us/computer/password_strength.html
[2] http://lastbit.com/pswcalc.asp
[3] http://password-checker.online-domain-tools.com/
[4] https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
[5] https://www.btb.termiumplus.gc.ca/tpv2guides/guides/clefsfp/index-fra.html?lang=fra&lettr=indx_catlog_m&page=9-nI6-pQZOTM.html
[6] https://www.lesechos.fr/24/04/2017/lesechos.fr/0212007699237_les-depenses-militaires-atteignent-2-2–du-pib-mondial.htm
[7] https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
[8] EviPass uses all the symbols of the printable ASCII table, i.e., 95 symbols. The NFC EviPass device can store contactless up to 51 randomly generated characters with the Freemindtronic app.
[9] https://fr.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange
Bee-Man home: https://www.bee-man.us/

Strategic Outlook

The brute-force infeasibility demonstrated here strengthens the case for combining cryptographic best practices (KDFs, salts), hardware anchoring (HSM/NFC), and user-friendly password managers (EviPass). Future research will compare operational attack chains, side-channels and hybrid attacks to refine protective doctrines.

What We Didn’t Cover

⧉ What We Didn’t Cover
This article focuses on brute force estimates. Physical countermeasures (blockchain anchoring, jamming), side-channel attacks, and full operational attack chains are for future work.

[/ux_text] [/col] [/row]

Weak Signals — Emerging Threats

AI-assisted brute-force optimizations could reduce entropy exploration, though current gains remain marginal vs 20-char ASCII codes.
Quantum computing acceleration for hash inversion (beyond Shor’s factoring) remains theoretical but under exploration.
Specialized ASICs for password cracking may alter economics but not exponential scales.

Glossary

ASCII — American Standard Code for Information Interchange; 95 printable characters used for passwords.
Brute force — Exhaustive testing of all possible combinations to guess a secret.
GPU cluster — Array of graphics processors used for parallel computation in password cracking.
HSM — Hardware Security Module; secure enclave for managing secrets like cryptographic keys.

FAQ

Why is a 20-character ASCII password unbreakable?

Because the keyspace (94^20 possibilities) is astronomically large. Even with modern GPU clusters, brute force would take ~766 trillion years.

What makes Radeon City significant?

It set a benchmark in 2012 by reaching 350 billion NTLM guesses/sec, showing how GPU parallelism changed brute-force feasibility for short passwords.

Is ANSSI’s simulator still relevant?

Yes, as a reference point. However, it caps inputs at 20 chars / 90 symbols, while Freemindtronic generators use 20 chars / 95 symbols, exceeding its scope.

Uncategorized

Vulnerabilitat Passkeys: Les Claus d’Accés Sincronitzades no són Invulnerables

Posted on August 31, 2025September 14, 2025 by FMTAD

31
Aug

Vulnerabilitat Passkeys: Una vulnerabilitat crítica, revelada a la DEF CON 33, demostra que les passkeys sincronitzades poden ser objecte de phishing en temps real. De fet, Allthenticate va provar que una sol·licitud d’autenticació falsificable pot segrestar una sessió WebAuthn en viu.

Resum Executiu — La Vulnerabilitat Passkeys i el WebAuthn API Hijacking

▸ Conclusió Clau — Atac de WebAuthn API Hijacking

Oferim un resum dens (≈ 1 min) per a decisors i CISOs. Per a una anàlisi tècnica completa (≈ 13 min), però, hauríeu de llegir l’article sencer.

Imagineu un mètode d’autenticació elogiat com a resistent al phishing — anomenat passkeys sincronitzades — i després explotat en viu a la DEF CON 33 (del 8 a l’11 d’agost de 2025, Las Vegas). Llavors, quina era la vulnerabilitat? Era una fallada de WebAuthn API Hijacking (un atac d’intercepció al flux d’autenticació), que va permetre la falsificació de la sol·licitud de passkeys en temps real.

Aquesta única demostració, de fet, desafia directament la seguretat proclamada de les passkeys sincronitzades al núvol i obre el debat sobre alternatives sobiranes. Vam veure emergir dues troballes clau de recerca a l’esdeveniment: primer, la falsificació de la sol·licitud en temps real (un atac d’intercepció de WebAuthn), i segon, el DOM extension clickjacking. Cal destacar que aquest article se centra exclusivament en la falsificació de la sol·licitud perquè innegablement soscava la promesa “resistent al phishing” per a les passkeys sincronitzades vulnerables.

▸ Resum

El punt feble ja no és la criptografia; en canvi, és el disparador visual. En resum, els atacants comprometen la interfície, no la clau criptogràfica.

Visió Estratègica Aquesta demostració, per tant, exposa una fallada històrica: els atacants poden abusar perfectament d’un mètode d’autenticació anomenat “resistent al phishing” si poden falsificar i explotar la sol·licitud en el moment adequat.

Crònica per llegir
Article to Read
Temps de lectura estimat: ≈ 13 minuts (+4–5 min si mireu els vídeos incrustats)
Nivell de complexitat: Avançat / Expert
Idiomes disponibles: CAT · EN · ES · FR
Accessibilitat: Optimitzat per a lectors de pantalla
Tipus: Article Estratègic
Autor: Jacques Gascuel, inventor i fundador de Freemindtronic®, dissenya i patenta sistemes de seguretat de maquinari sobirans per a la protecció de dades, la sobirania criptogràfica i les comunicacions segures. Com a expert en conformitat amb ANSSI, NIS2, GDPR i SecNumCloud, desenvolupa arquitectures by-design capaces de contrarestar amenaces híbrides i garantir una ciberseguretat 100% sobirana.

▸ Fonts Oficials

Xerrada « Your Passkey is Weak : Phishing the Unphishable » (Allthenticate) — llistada a la programació oficial de la DEF CON 33
Presentació « Passkeys Pwned : Turning WebAuthn Against Itself » — disponible al servidor de mitjans de la DEF CON
Article « Phishing-Resistant Passkeys Shown to Be Phishable at DEF CON 33 » — retransmès per MENAFN / PR Newswire, secció Science & Tech

TL; DR

A la DEF CON 33 (del 8 a l’11 d’agost de 2025), investigadors d’Allthenticate van demostrar un camí de WebAuthn API Hijacking: els atacants poden segrestar passkeys anomenades “resistents al phishing” a través de la falsificació de la sol·licitud en temps real.
La fallada no resideix en els algorismes criptogràfics; més aviat, es troba a la interfície d’usuari—el punt d’entrada visual.
En última instància, aquesta revelació exigeix una revisió estratègica: hem de prioritzar les passkeys lligades al dispositiu per a casos d’ús sensibles i alinear els desplegaments amb models d’amenaça i requisits reglamentaris.

Affiche de style cinéma représentant la fuite OpenAI Mixpanel, montrant un utilisateur devant un écran d’alerte de phishing et un nuage OpenAI, avec une ambiance numérique sombre évoquant les métadonnées et la cybersécurité

2025 Digital Security

OpenAI fuite Mixpanel : métadonnées exposées, phishing et sécurité souveraine

December 2, 2025

2025 Digital Security

Russia Blocks WhatsApp: Max and the Sovereign Internet

November 29, 2025

bot telegram usersbox, affiche cyber-thriller sur le marché noir probiv russe et l’illusion de contrôle des données par l’État

2025 Digital Security

Bot Telegram Usersbox : l’illusion du contrôle russe

November 29, 2025

Illustration de CryptPeer messagerie P2P WebRTC montrant un appel vidéo sécurisé chiffré de bout en bout entre plusieurs utilisateurs.

2025 Cyberculture Cybersecurity Digital Security EviLink

CryptPeer messagerie P2P WebRTC : appels directs chiffrés de bout en bout

November 14, 2025

Missatgeria P2P WebRTC segura amb CryptPeer, bombolla local de comunicació sobirana amb trucades de grup i compartició de fitxers xifrats de Freemindtronic

2025 CyptPeer Digital Security EviLink

Missatgeria P2P WebRTC segura — comunicació directa amb CryptPeer

November 28, 2025

Image of the Intersec Awards 2026 ceremony in Dubai. Large screen announcing PassCypher NFC HSM & HSM PGP (FREEMINDTRONIC) as a Best Cybersecurity Solution Finalist. Features Quantum-Resistant Passwordless Manager patented technology, designed in Andorra 🇦🇩 and France 🇫🇷.

2026 Awards Cyberculture Digital Security Distinction Excellence EviOTP NFC HSM Technology EviPass EviPass NFC HSM technology EviPass Technology finalists PassCypher PassCypher

Quantum-Resistant Passwordless Manager — PassCypher finalist, Intersec Awards 2026 (FIDO-free, RAM-only)

November 3, 2025

typologique illustrant l’arnaque mobile WhatsApp Gold avec un smartphone doré et une silhouette menaçante en arrière-plan

2020 Digital Security

WhatsApp Gold arnaque mobile : typologie d’un faux APK espion

November 11, 2020

Illustration montrant la faille Tycoon 2FA failles OAuth persistantes : une application OAuth malveillante obtenant un jeton d’accès persistant malgré la double authentification, symbolisée par un cloud vulnérable et un HSM souverain bloquant l’attaque.

2025 Digital Security

Tycoon 2FA failles OAuth persistantes dans le cloud | PassCypher HSM PGP

October 22, 2025

Cinematic cyber illustration showing a user authorizing a malicious OAuth app symbolizing the Persistent OAuth Flaw exploited by Tycoon 2FA, with PassCypher PGP as the Zero-Cloud defense solution.

2025 Digital Security

Persistent OAuth Flaw: How Tycoon 2FA Hijacks Cloud Access

October 23, 2025

dark du spyware ClayRat Android se cachant dans un smartphone face à la défense matérielle DataShielder NFC HSM. Le hacker est éclairé en rouge, la protection est un bouclier bleu.

2025 Digital Security

Spyware ClayRat Android : faux WhatsApp espion mobile

October 14, 2025

Digital poster showing a hooded hacker holding a smartphone wrapped by a glowing red digital serpent with a bright eye, symbolizing ClayRat Android spyware. A blue NFC HSM shield glows on the right, representing sovereign hardware encryption.

2025 Digital Security

Android Spyware Threat Clayrat : 2025 Analysis and Exposure

October 14, 2025

Diagram illustrating WhatsApp hacking techniques (Zero-Click exploit CVE-2025-55177 and QR Code hijack) countered by Sovereign Zero-DOM / HSM defense, showing data isolation and ephemeral RAM decryption.

2023 Digital Security

WhatsApp Hacking: Prevention and Solutions

January 18, 2025

Flat graphic poster illustrating SSH key breaches and defense through hardware-anchored SSH authentication using PassCypher HSM PGP, OpenPGP AES-256 encryption, and BLE-HID zero-trust workflows.

2025 Digital Security Technical News

Sovereign SSH Authentication with PassCypher HSM PGP — Zero Key in Clear

October 11, 2025

Illustration cyber réaliste représentant SSH Key PassCypher HSM PGP, avec un ordinateur affichant un terminal SSH, un HSM USB et un environnement de serveurs OVHcloud en arrière-plan

2025 Digital Security Tech Fixes Security Solutions Technical News

SSH Key PassCypher HSM PGP — Sécuriser l’accès multi-OS à un VPS

October 10, 2025

2025 Digital Security Technical News

Générateur de mots de passe souverain – PassCypher Secure Passgen WP

October 6, 2025

Science-fiction movie style poster showing a quantum computer cryostat with 6,100 qubits. A researcher is observing the device. The title warns of a "MAJOR BREAKTHROUGH & CYBERSECURITY RISKS" related to the trapped neutral atoms. Blue laser beams (optical tweezers) are visible, highlighting the zone-based architecture.

2025 Digital Security Technical News

Quantum computer 6100 qubits ⮞ Historic 2025 breakthrough

October 3, 2025

Infographie illustrant un ordinateur quantique à atomes neutres piégés, montrant le saut d’échelle de 500 à 6100 qubits et ses implications pour le chiffrement et la sécurité

2025 Digital Security Technical News

Ordinateur quantique 6100 qubits ⮞ La percée historique 2025

October 2, 2025

Schéma explicatif de l’Authentification Multifacteur illustrant les étapes 0FA, 1FA, 2FA et MFA sur fond blanc

2025 Cyberculture Digital Security

Authentification multifacteur : anatomie, OTP, risques

September 26, 2025

Póster estilo cine sobre clickjacking extensiones DOM, riesgos sistémicos, vulnerabilidades de gestores de contraseñas y wallets cripto, con contramedidas Zero DOM soberanas.

2025 Digital Security

Clickjacking Extensiones DOM — Riesgos y Defensa Zero-DOM

August 28, 2025

Cartell digital en català sobre el clickjacking d’extensions DOM amb PassCypher — contraatac sobirà Zero DOM

2025 Digital Security

Clickjacking extensions DOM: Vulnerabilitat crítica a DEF CON 33

August 23, 2025

Movie poster style illustration of DOM extension clickjacking unveiled at DEF CON 33, showing hidden iframes, Shadow DOM hijack, and sovereign Zero-DOM countermeasures

2025 Digital Security

DOM Extension Clickjacking — Risks, DEF CON 33 & Zero-DOM fixes

August 27, 2025

Affiche cyberpunk illustrant DOM Based Extension Clickjacking présenté au DEF CON 33 avec extraction de secrets du navigateur

2025 Digital Security

Clickjacking des extensions DOM : DEF CON 33 révèle 11 gestionnaires vulnérables

August 23, 2025

Illustration vulnérabilité WhatsApp zero-click CVE-2025-55177 exploit DNG et CVE-2025-43300 Apple avec protection HSM NFC et PGP

2025 Digital Security

Vulnérabilité WhatsApp Zero-Click — Actions & Contremesures

September 30, 2025

Chrome V8 zero-day CVE-2025-10585 — affiche cinématographique : œil de surveillance dans l’onglet Chrome, silhouette d’espion, lignes de code V8

2025 Digital Security

Chrome V8 Zero-Day CVE-2025-10585 — Ton navigateur était déjà espionné ?

September 19, 2025

Affiche de cinéma "La Bataille des Frontières des Métadonnées" illustrant un défenseur avec un bouclier DataShielder protégeant l'Europe numérique. Le bouclier est verrouillé, symbolisant la protection de la confidentialité des métadonnées e-mail contre la surveillance. Des icônes GDPR et des e-mails stylisés flottent, représentant les enjeux légaux et la fuite de données. Le fond montre une carte de l'Europe illuminée par des circuits numériques. Le texte principal alerte sur ce que les messageries et e-mails révèlent sans votre savoir, promu par Freemindtronic.

2025 Digital Security

Confidentialité métadonnées e-mail — Risques, lois européennes et contre-mesures souveraines

September 3, 2024

Cinematic poster-style artwork of “The Battle of Metadata Borders” showing a hooded figure with a glowing DataShielder shield, standing before a futuristic city skyline with neon data icons, symbolizing email and messaging privacy.

2025 Digital Security

Email Metadata Privacy: EU Laws & DataShielder

September 7, 2025

Chrome V8 confusió RCE — zero-day de tipus confusió amb execució remota drive-by; guia Zero-DOM i passos d’urgència per a Catalunya i Andorra

2025 Digital Security

Chrome V8 confusió RCE — Actualitza i postura Zero-DOM

September 20, 2025

Cinematic poster style showing cyber espionage in a city night scene, symbolizing Chrome V8 confusion RCE zero-day vulnerability.

2025 Digital Security

Chrome V8 confusion RCE — Your browser was already spying

September 20, 2025

Movie poster-style image of a cracked passkey and fishing hook. Main title: 'WebAuthn API Hijacking', with secondary phrases: 'Passkeys Vulnerability', 'DEF CON 33', and 'Why PassCypher Is Not Vulnerable'. Relevant for cybersecurity in Andorra.

2025 Digital Security

WebAuthn API Hijacking: A CISO’s Guide to Nullifying Passkey Phishing

August 29, 2025

Image type affiche de cinéma: passkey cassée sous hameçon de phishing. Textes: "Passkeys Faille Interception WebAuthn", "DEF CON 33 Révélation", "Pourquoi votre PassCypher n'est pas vulnérable API Hijacking". Contexte cybersécurité Andorre.

2025 Digital Security

Passkeys Faille Interception WebAuthn | DEF CON 33 & PassCypher

August 29, 2025

Visual composition illustrating coordinated cyber smear campaigns during geopolitical tensions

2025 Cyberculture Digital Security

Reputation Cyberattacks in Hybrid Conflicts — Anatomy of an Invisible Cyberwar

July 31, 2025

APT28 spear-phishing with NotDoor Outlook backdoor using VBA macros, DLL side-loading via OneDrive.exe, and Proton Mail covert exfiltration in European cyberattacks

2025 Digital Security

APT28 spear-phishing: Outlook backdoor NotDoor and evolving European cyber threats

April 30, 2025

Cybersecurity theme with shield, padlock, and computer screen displaying warning signs, highlighting the Russian cyberattack on Microsoft.

2024 Cyberculture Digital Security

Russian Cyberattack Microsoft: An Unprecedented Threat

July 1, 2024

Digital world map showing cyberattack paths with Midnight Blizzard, Microsoft, HPE logos, email symbols, and password spray illustrations.

2024 Digital Security

Midnight Blizzard Cyberattack Against Microsoft and HPE: What are the consequences?

March 10, 2024

Illustration showing a strategic breach of certified eSIM mobile identity — eSIM Sovereignty Failure

2025 Digital Security

eSIM Sovereignty Failure: Certified Mobile Identity at Risk

July 30, 2025

Comparative infographic contrasting ToolShell SharePoint zero-day with NFC HSM mitigation strategies

2025 Digital Security

ToolShell SharePoint vulnerability: NFC HSM mitigates token forgery & zero-day RCE

July 25, 2025

image illustrating the Chrome V8 Zero-Day exploit affecting password managers and browser security

2025 Digital Security

Chrome V8 Zero-Day: CVE-2025-6554 Actively Exploited

July 4, 2025

Illustration showing Atomic Stealer AMOS malware process on macOS with fake update, keychain access, and crypto exfiltration

2025 Digital Security

Atomic Stealer AMOS: The Mac Malware That Redefined Cyber Infiltration

July 8, 2025

Realistic visual representation of APT41 Cyberespionage and Cybercrime operations involving Chinese state-backed hackers, cloud abuse, and memory-only malware.

2025 Digital Security

APT41 Cyberespionage and Cybercrime Group – 2025 Global Analysis

July 5, 2025

Realistic image of APT29 deceiving a person to bypass 2FA using app passwords

2025 Digital Security

APT29 Exploits App Passwords to Bypass 2FA

June 25, 2025

Realistic photo of a hacker in a dark room in front of a computer, illustrating the darknet credentials breach and the protection by PassCypher

2015 Digital Security

Darknet Credentials Breach 2025 – 16+ Billion Identities Stolen

June 22, 2025

Illustration of Signal clone breached scenario involving TeleMessage with USA and Israel flags

2025 Digital Security

Signal Clone Breached: Critical Flaws in TeleMessage

May 22, 2025

Illustration of APT29 spear-phishing Europe with Russian flag

2025 Digital Security

APT29 Spear-Phishing Europe: Stealthy Russian Espionage

April 30, 2025

APT36 SpearPhishing India header infographic showing phishing icon, map of India, and cyber threat symbols

2025 Digital Security

APT36 SpearPhishing India: Targeted Cyberespionage | Security

May 16, 2025

Microsoft Outlook Zero-Click vulnerability warning with encryption symbols and a secure lock icon in a professional workspace.

2025 Digital Security

Microsoft Outlook Zero-Click Vulnerability: Secure Your Data Now

January 18, 2025

Illustration depicting the Microsoft MFA Security Flaw, highlighting a digital lock being bypassed with code streams in the background, symbolizing the vulnerability nicknamed AuthQuake.

Digital Security

Microsoft MFA Flaw Exposed: A Critical Security Warning

December 24, 2024

Why Encrypt SMS? NFC card protecting encrypted SMS communications from espionage and corruption on Android NFC phone.

2024 Digital Security

Why Encrypt SMS? FBI and CISA Recommendations

December 16, 2024

A hyper-realistic digital illustration showing the severity of Microsoft vulnerabilities in 2025, with interconnected red warning signals, fragmented systems, and ominous shadows representing critical zero-day exploits and cybersecurity risks.

2025 Digital Security

Microsoft Vulnerabilities 2025: 159 Flaws Fixed in Record Update

January 21, 2025

Illustration of a Russian APT44 (Sandworm) cyber spy exploiting QR codes to infiltrate Signal, highlighting advanced phishing techniques and vulnerabilities in secure messaging platforms.

2025 Digital Security

APT44 QR Code Phishing: New Cyber Espionage Tactics

February 24, 2025

Visual representation of BadPilot Cyber Attacks by APT44, showcasing global cyber-espionage targeting critical infrastructures with PassCypher and DataShielder defenses.

2025 Digital Security

BadPilot Cyber Attacks: Russia’s Threat to Critical Infrastructures

February 25, 2025

Government office under cyber threat from Salt Typhoon cyber attack, with digital lines and data streams symbolizing espionage targeting mobile and computer networks.

2024 Digital Security

Salt Typhoon & Flax Typhoon: Cyber Espionage Threats Targeting Government Agencies

November 14, 2024

A visual representation of BitLocker Security featuring a central lock icon surrounded by elements representing Microsoft, TPM, and Windows security settings.

2024 Digital Security

BitLocker Security: Safeguarding Against Cyberattacks

February 10, 2024

French Minister at G7 holding a hacked smartphone, with a Bahraini minister warning him about a cyberattack.

2024 Digital Security

French Minister Phone Hack: Jean-Noël Barrot’s G7 Breach

December 6, 2024

Cyberattack exploits backdoors in telecom systems showing a breach of sensitive data through legal surveillance vulnerabilities.

2024 Digital Security

Cyberattack Exploits Backdoors: What You Need to Know

October 15, 2024

2021 Cyberculture Digital Security Phishing

Phishing Cyber victims caught between the hammer and the anvil

May 17, 2021

Google Sheets interface showing malware activity, with the keyphrase 'Google Sheets Malware Voldemort' subtly integrated into the image, representing cyber espionage.

2024 Digital Security

Google Sheets Malware: The Voldemort Threat

September 3, 2024

2024 Articles Digital Security News

Russian Espionage Hacking Tools Revealed

August 31, 2024

Side-channel attacks visualized through an HDMI cable emitting invisible electromagnetic waves intercepted by an AI system.

2024 Digital Security Spying Technical News

Side-Channel Attacks via HDMI and AI: An Emerging Threat

August 20, 2024

Digital Security Spying Technical News

Are fingerprint systems really secure? How to protect your data and identity against BrutePrint

October 23, 2023

Illustration of an Apple MacBook with a highlighted M-series chip vulnerability, surrounded by symbols of data security breach and a global impact background.

2024 Digital Security Technical News

Apple M chip vulnerability: A Breach in Data Security

March 25, 2024

Digital Security Technical News

Brute Force Attacks: What They Are and How to Protect Yourself

November 1, 2023

2024 Digital Security

OpenVPN Security Vulnerabilities Pose Global Security Risks

August 12, 2024

Hacker accessing a laptop displaying Google Workspace with a security breach notification.

2024 Digital Security

Google Workspace Vulnerability Exposes User Accounts to Hackers

August 1, 2024

Predator Files How a Spyware Consortium Targeted Civil Society Politicians and Officials

2023 Digital Security

Predator Files: The Spyware Scandal That Shook the World

October 19, 2023

BITB attacks Browser-In-The-Browser remove delete destroy by IRDR Ifram Redirect Detection Removal since EviCypher freeware web extension open-source from Freemindtronic in Andorra

2023 Digital Security Phishing

BITB Attacks: How to Avoid Phishing by iFrame

May 10, 2023

2023 Digital Security

5Ghoul: 5G NR Attacks on Mobile Devices

December 29, 2023

Multiple computer screens displaying data breach alerts in a dark room, with the Pentagon in the background.

2024 Digital Security

Leidos Holdings Data Breach: A Significant Threat to National Security

July 25, 2024

RockYou2024 data breach with millions of passwords streaming on a dark screen, foreground displaying advanced cybersecurity measures and protective shields.

2024 Digital Security

RockYou2024: 10 Billion Reasons to Use Free PassCypher

July 8, 2024

Europol office showing a security breach alert on a computer screen, with agents discussing in the background.

2024 Digital Security

Europol Data Breach: A Detailed Analysis

May 16, 2024

2024 Digital Security

Dropbox Security Breach 2024: Phishing, Exploited Vulnerabilities

May 17, 2024

NFC Hardware Wallet Credit Card Manager PCI DSS Compliant EviToken Technology working contactless by nfc phone online autofill payment from Freemindtronic Andorra

Digital Security EviToken Technology Technical News

EviCore NFC HSM Credit Cards Manager | Secure Your Standard and Contactless Credit Cards

June 14, 2023

Shadowy hacker with a laptop in front of a digital map of Russia highlighted in red, symbolizing the origin of Kapeka Malware.

2024 Digital Security

Kapeka Malware: Comprehensive Analysis of the Russian Cyber Espionage Tool

April 18, 2024

A modern cybersecurity control center with a diverse team monitoring national cyber threats during the Andorra National Cyberattack Simulation.

2024 Cyberculture Digital Security News Training

Andorra National Cyberattack Simulation: A Global First in Cyber Defense

April 15, 2024

EviVault NFC HSM and EviCore NFC HSM Embedded ISO 15693 VS Flipper Zero

Articles Digital Security EviVault Technology NFC HSM technology Technical News

EviVault NFC HSM vs Flipper Zero: The duel of an NFC HSM and a Pentester

July 4, 2023

Securing IEO STO ICO IDO INO the challenges and solutions EviCore NFC HSM by Freemindtronic

Articles Cryptocurrency Digital Security Technical News

Securing IEO STO ICO IDO and INO: The Challenges and Solutions

June 14, 2023

2023 Articles Digital Security Technical News

Remote activation of phones by the police: an analysis of its technical, legal and social aspects

June 11, 2023

A man holding a resident card of a person in Andorra, wearing a badge of an identity card of a Spanish woman and surrounded by other identity cards of different countries including France and on his left a hacker in front of his computer with a phone

Articles Cyberculture Digital Security Technical News

Protect Meta Account Identity Theft with EviPass and EviOTP

May 31, 2023

Digital world map with cybersecurity icons representing the Cybersecurity Breach at IMF.

2024 Digital Security

Cybersecurity Breach at IMF: A Detailed Investigation

March 15, 2024

2023 Articles Cyberculture Digital Security Technical News

Strong Passwords in the Quantum Computing Era

May 5, 2023

PrintListener technology concept with NFC security solutions.

2024 Digital Security

PrintListener: How to Betray Fingerprints

February 22, 2024

Digital shield by Freemindtronic repelling cyberattack against Microsoft Exchange

2024 Articles Digital Security News

How the attack against Microsoft Exchange on December 13, 2023 exposed thousands of email accounts

February 8, 2024

Woman holding a smartphone with a padlock icon on the screen, promoting protection from stalkerware.

2024 Articles Digital Security News Spying

How to protect yourself from stalkerware on any phone

January 26, 2024

Pegasus The Cost of Spying with the Most Powerful Spyware

2023 Articles DataShielder Digital Security Military spying News NFC HSM technology Spying

Pegasus: The cost of spying with one of the most powerful spyware in the world

October 17, 2023

Digital representation of Ivanti Zero-Day Flaws threatening cybersecurity in a futuristic cityscape

2024 Digital Security Spying

Ivanti Zero-Day Flaws: Comprehensive Guide to Secure Your Systems Now

February 5, 2024

2024 Articles Compagny spying Digital Security Industrial spying Military spying News Spying Zero trust

KingsPawn A Spyware Targeting Civil Society

April 16, 2023

SSH handshake with Terrapin attack and EviKey NFC HSM

2024 Articles Digital Security EviKey NFC HSM EviPass News SSH

Terrapin attack: How to Protect Yourself from this New Threat to SSH Security

January 11, 2024

Articles Crypto Currency Cryptocurrency Digital Security EviPass Technology NFC HSM technology Phishing

Ledger Security Breaches from 2017 to 2023: How to Protect Yourself from Hackers

December 16, 2023

google account security flaw how to protect yourself from hackers digital artwork that conveys the concept of a security breach in online services due to persistent cookies attacks

2024 Articles Digital Security News Phishing

Google OAuth2 security flaw: How to Protect Yourself from Hackers

January 8, 2024

2024 Articles Digital Security

Kismet iPhone: How to protect your device from the most sophisticated spying attack?

January 2, 2024

TETRA Security Vulnerabilities secured by EviPass or EviCypher NFC HSM Technologies from Freemindtronic-Andorra

Articles Digital Security EviCore NFC HSM Technology EviPass NFC HSM technology NFC HSM technology

TETRA Security Vulnerabilities: How to Protect Critical Infrastructures

November 27, 2023

2023 Articles DataShielder Digital Security EviCore NFC HSM Technology EviCypher NFC HSM EviCypher Technology NFC HSM technology

FormBook Malware: How to Protect Your Gmail and Other Data

November 23, 2023

Articles Digital Security

Chinese hackers Cisco routers: how to protect yourself?

October 4, 2023

Articles Digital Security

ZenRAT: The malware that hides in Bitwarden and escapes antivirus software

September 27, 2023

Articles Crypto Currency Digital Security EviSeed EviVault Technology News

Enhancing Crypto Wallet Security: How EviSeed and EviVault Could Have Prevented the $41M Crypto Heist

September 11, 2023

Recover and protect your SMS and secure by EviCypher NFC HSM Technology by Freemindtronic from Andorra

Articles Digital Security News

How to Recover and Protect Your SMS on Android

August 31, 2023

Coinbase Blockchain Hack 2023 How it happened and how to avoid it

Articles Crypto Currency Digital Security News

Coinbase blockchain hack: How It Happened and How to Avoid It

August 21, 2023

Articles Compagny spying Digital Security Industrial spying Military spying Spying

Protect yourself from Pegasus spyware with EviCypher NFC HSM

August 2, 2023

Protect your emails from Chinese hackers How to protect your emails from Chinese hackers with EviCypher NFC HSM technology

Articles Digital Security EviCypher Technology

Protect US emails from Chinese hackers with EviCypher NFC HSM?

July 31, 2023

Articles Digital Security

What is Juice Jacking and How to Avoid It?

May 6, 2023

BIP39 EviSeed post Freemindtronic from Andorra web site

2023 Articles Cryptocurrency Digital Security NFC HSM technology Technologies

How BIP39 helps you create and restore your Bitcoin wallets

May 28, 2023

En Ciberseguretat Sobirana ↑ Aquest article forma part de la nostra secció de Seguretat Digital, continuant la nostra recerca sobre els exploits de maquinari de confiança zero i les contramesures.

Navegació Estratègica

Resum Executiu
Què és un Atac d’Intercepció de WebAuthn?
Història de les Vulnerabilitats de Passkey / WebAuthn
Vulnerabilitat del Model de Sincronització
Demostració de la DEF CON 33
Context Tècnic
Falsificació de Sol·licitud vs. DOM Clickjacking
Implicacions Estratègiques
Regulacions i Conformitat
Estadístiques Europees i Francòfones
Cas d’Ús Sobirà
Per què PassCypher Elimina el Risc d’Intercepció de WebAuthn
PassCypher NFC HSM — Neutralització de Maquinari de la Intercepció
PassCypher HSM PGP — Claus Segmentades contra el Phishing
Comparació de la Superfície d’Atac
Senyals Febles
Glossari Estratègic
FAQ Tècnica (Integració i Casos d’Ús)
Consell CISO / CSO – Protecció Universal i Sobirana
FAQ CISO / CSO
Pla d’Acció CISO / CSO
Perspectives Estratègiques

▸ Punts Clau

Vulnerabilitat Confirmada: Les passkeys sincronitzades al núvol (Apple, Google, Microsoft) no són 100% resistents al phishing.
Nova Amenaça: La falsificació de la sol·licitud en temps real explota la interfície d’usuari en lloc de la criptografia.
Impacte Estratègic: Les infraestructures crítiques i les agències governamentals han de migrar a credencials lligades al dispositiu i a solucions sobiranes fora de línia (NFC HSM, claus segmentades).

Què és un Atac de WebAuthn API Hijacking?

Un atac d’intercepció de WebAuthn a través d’una sol·licitud d’autenticació falsificable (WebAuthn API Hijacking) consisteix a imitar en temps real la finestra d’autenticació mostrada per un sistema o navegador. Per tant, l’atacant no busca trencar l’algorisme criptogràfic; en lloc d’això, reprodueix la interfície d’usuari (UI) en el moment exacte en què la víctima espera veure una sol·licitud legítima. Els enganys visuals, el cronometratge precís i la sincronització perfecta fan que l’engany sigui indistingible per a l’usuari.

Exemple simplificat:
Un usuari creu que està aprovant una connexió al seu compte bancari a través d’una sol·licitud legítima del sistema d’Apple o Google. En realitat, està interactuant amb un quadre de diàleg clonat per l’atacant. Com a resultat, l’adversari captura la sessió activa sense alertar la víctima.

▸ En resum: A diferència dels atacs de phishing “clàssics” a través de correu electrònic o llocs web fraudulents, la falsificació de la sol·licitud en temps real té lloc durant l’autenticació, quan l’usuari té més confiança.

Història de les Vulnerabilitats de Passkey / WebAuthn

Malgrat la seva robustesa criptogràfica, les passkeys — basades en els estàndards oberts WebAuthn i FIDO2 de la FIDO Alliance — no són invulnerables. La història de les vulnerabilitats i les recerques recents confirmen que el punt feble sovint resideix en la interacció de l’usuari i l’entorn d’execució (navegador, sistema operatiu). La indústria va adoptar oficialment les passkeys el 5 de maig de 2022, després d’un compromís d’Apple, Google i Microsoft per estendre el seu suport a les seves respectives plataformes.

Cronologia exhaustiva de l'evolució de les vulnerabilitats Passkey i WebAuthn (2012-2025), des de la creació de FIDO fins als atacs d'IA, destacant solucions com PassCypher per a la ciberseguretat a Andorra i Catalunya. — Evolució Accelerada de les Vulnerabilitats Passkey i WebAuthn (2012-2025): Una cronologia detallada que il·lustra els punts d’inflexió clau en la seguretat de les credencials, des de la fundació de FIDO fins a l’aparició de l’IA com a multiplicador d’amenaces, incloent-hi les revelacions de la DEF CON 33 i l’emergència de solucions sobiranes com PassCypher, crucial per a la protecció digital a Andorra i Catalunya.

Cronologia de la Vulnerabilitat Passkeys

SquareX – Navegadors Compromesos (agost 2025):

A la DEF CON 33, una demostració va mostrar que una extensió o script maliciós pot interceptar el flux de WebAuthn per substituir les claus. Vegeu l’anàlisi de TechRadar i l’informe de SecurityWeek.
CVE-2025-31161 (març/abril 2025):

Salt d’autenticació a CrushFTP mitjançant una condició de carrera. Font Oficial del NIST.
CVE-2024-9956 (març 2025):

Apoderament de comptes mitjançant Bluetooth a Android. Aquest atac va demostrar que un atacant pot desencadenar remotament una autenticació maliciosa a través d’un intent `FIDO:/`. Anàlisi de Risky.Biz. Font Oficial del NIST.
CVE-2024-12604 (març 2025):

Emmagatzematge en text clar de dades sensibles a Tap&Sign, explotant una mala gestió de contrasenyes. Font Oficial del NIST.
CVE-2025-26788 (febrer 2025):

Salt d’autenticació al Servidor FIDO de StrongKey. Font Detallada.
Passkeys Pwned – Segrest de l’API basat en el navegador (inicis de 2025):

Un estudi de recerca va mostrar que el navegador, com a mediador únic, pot ser un punt de fallada. Llegiu l’anàlisi de Security Boulevard.
CVE-2024-9191 (novembre 2024):

Exposició de contrasenyes a través d’Okta Device Access. Font Oficial del NIST.
CVE-2024-39912 (juliol 2024):

Enumeració d’usuaris a través d’una fallada a la biblioteca PHP `web-auth/webauthn-lib`. Font Oficial del NIST.
Atacs de tipus CTRAPS (2024):

Aquests atacs a nivell de protocol (CTAP) exploten els mecanismes d’autenticació per a accions no autoritzades. Per a més informació sobre els atacs a nivell de protocol FIDO, vegeu aquesta presentació de Black Hat sobre les vulnerabilitats de FIDO.
Primer Desplegament a Gran Escala (setembre 2022):

Apple va ser el primer a desplegar passkeys a gran escala amb el llançament d’iOS 16, fent d’aquesta tecnologia una realitat per a centenars de milions d’usuaris. Comunicat de Premsa Oficial d’Apple.
Llançament i Adopció de la Indústria (maig 2022):

La FIDO Alliance, unida per Apple, Google i Microsoft, va anunciar un pla d’acció per estendre el suport de les passkeys a totes les seves plataformes. Comunicat de Premsa Oficial de la FIDO Alliance.
Atacs de Cronometratge a keyHandle (2022):

Una vulnerabilitat que permet la correlació de comptes mesurant les variacions de temps en el processament dels `keyHandles`. Vegeu l’article d’IACR ePrint 2022.
Phishing de Mètodes de Recuperació (des del 2017):

Els atacants utilitzen proxies AitM (com Evilginx, que va aparèixer el 2017) per amagar l’opció de passkey i forçar un retorn a mètodes menys segurs que es poden capturar. Més detalls sobre aquesta tècnica.
Black Hat FIDO 2017 → CTRAPS (CTAP Replay / Protocol-level Attacks):

A la conferència Black Hat USA 2017 es van presentar vulnerabilitats a nivell de protocol CTAP, demostrant la possibilitat de repetir missatges d’autenticació per realitzar accions no autoritzades.
Vegeu la presentació oficial de Black Hat.

La IA com a Multiplicador de la Vulnerabilitat Passkeys

La intel·ligència artificial no és una fallada de seguretat, sinó un catalitzador que fa que els atacs existents siguin més eficaços. Des de l’aparició dels models d’IA generativa com GPT-3 (2020) i DALL-E 2 (2022), han aparegut noves capacitats per a l’automatització d’amenaces. Aquests desenvolupaments permeten notablement:

Atacs a Gran Escala (des del 2022): La IA generativa permet als atacants crear sol·licituds d’autenticació i missatges de phishing personalitzats per a un volum massiu d’objectius, augmentant l’efectivitat del phishing de mètodes de recuperació.
Recerca de Vulnerabilitats Accelerada (des del 2023): La IA es pot utilitzar per automatitzar la cerca de fallades de seguretat, com l’enumeració d’usuaris o la detecció de fallades lògiques en el codi d’implementació.

Nota Històrica — Els riscos associats a les sol·licituds falsificables a WebAuthn ja van ser plantejats per la comunitat a l’issue #1965 de W3C GitHub (abans de la demostració de la DEF CON 33). Això demostra que la interfície d’usuari ha estat reconeguda des de fa temps com un punt feble en l’autenticació anomenada “resistent al phishing”.

“Aquestes vulnerabilitats recents i històriques ressalten el paper crític del navegador i del model de desplegament (device-bound vs. synced). Reforcen la crida a arquitectures sobiranes que estiguin desconnectades d’aquests vectors de compromís.”

Vulnerabilitat Passkeys i del Model de Sincronització

Una de les vulnerabilitats de seguretat de les passkeys més debatudes no concerneix el protocol WebAuthn en si mateix, sinó el seu model de desplegament. La majoria de les publicacions sobre el tema diferencien entre dos tipus de passkeys:

Passkeys lligades al dispositiu: Emmagatzemades en un dispositiu físic (com una clau de seguretat de maquinari o una Secure Enclave). Aquest model es considera generalment molt segur perquè no es sincronitza a través d’un servei de tercers.
Passkeys sincronitzades: Emmagatzemades en un gestor de contrasenyes o un servei al núvol (iCloud Keychain, Google Password Manager, etc.). Aquestes passkeys es poden sincronitzar a través de múltiples dispositius. Per a més detalls sobre aquesta distinció, consulteu la documentació de la FIDO Alliance.

La vulnerabilitat rau aquí: si un atacant aconsegueix comprometre el compte del servei al núvol, podria potencialment obtenir accés a les passkeys sincronitzades a tots els dispositius de l’usuari. Aquest és un risc que les passkeys lligades al dispositiu no comparteixen. La recerca acadèmica, com aquest article publicat a arXiv, explora aquesta qüestió, destacant que “la seguretat de les passkeys sincronitzades es concentra principalment en el proveïdor de passkeys.”

Aquesta distinció és crucial perquè la implementació de passkeys sincronitzades vulnerables contradiu l’esperit mateix d’un MFA anomenat resistent al phishing, ja que la sincronització introdueix un intermediari i una superfície d’atac addicional. Això justifica la recomanació de la FIDO Alliance de prioritzar les passkeys lligades al dispositiu per a la màxima seguretat.

La Demostració de la DEF CON 33 – WebAuthn API Hijacking en Acció

El WebAuthn API Hijacking és el fil conductor d’aquesta secció: expliquem breument el camí d’atac mostrat a la DEF CON 33 i com una sol·licitud falsificable va permetre la presa de control de la sessió en temps real, abans de detallar les proves en viu i els fragments de vídeo.

Passkeys Pwned — La Vulnerabilitat Passkeys a la DEF CON 33

Durant la DEF CON 33, l’equip d’Allthenticate va presentar una xerrada titulada “Passkeys Pwned: Turning WebAuthn Against Itself.”
Aquesta sessió va demostrar com els atacants podien explotar el WebAuthn API Hijacking per comprometre passkeys sincronitzades en temps real utilitzant una sol·licitud d’autenticació falsificable.

Utilitzant la frase provocadora “Passkeys Pwned”, els investigadors van emfatitzar deliberadament que fins i tot les credencials anomenades resistents al phishing poden ser segrestades quan la pròpia interfície d’usuari és el punt feble.

Proves de WebAuthn API Hijacking a la DEF CON 33

A Las Vegas, al cor de la DEF CON 33 (del 8 a l’11 d’agost de 2025), la comunitat de hackers més respectada del món va presenciar una demostració que va fer que molts es remoguessin. De fet, els investigadors d’Allthenticate van mostrar en viu que una passkey sincronitzada vulnerable – malgrat ser etiquetada com a “resistent al phishing” – podia ser enganyada. Llavors, què van fer? Van executar un atac de WebAuthn API Hijacking (falsificació de la sol·licitud del sistema) del tipus de falsificació de la sol·licitud d’autenticació en temps real. Van crear un quadre de diàleg d’autenticació fals, perfectament cronometrat i visualment idèntic a la UI legítima. En última instància, l’usuari creia que estava validant una autenticació legítima, però l’adversari va segrestar la sessió en temps real. Aquesta prova de concepte fa tangible la “Fallada d’Intercepció de WebAuthn de les Passkeys” a través d’una sol·licitud falsificable en temps real.

Fragments de Vídeo — WebAuthn API Hijacking en la Pràctica

Per visualitzar la seqüència, mireu el clip següent: mostra com el WebAuthn API Hijacking sorgeix d’un simple engany de la UI que alinea el temps i l’aparença amb la sol·licitud del sistema esperada, conduint a una captura de sessió sense problemes.

▸ Autors Oficials i Mitjans de la DEF CON 33
▸ Shourya Pratap Singh, Jonny Lin, Daniel Seetoh — investigadors d’Allthenticate, autors de la demo “Your Passkey is Weak: Phishing the Unphishable”.
• Vídeo d’Allthenticate a TikTok — explicació directa per l’equip.
• Vídeo de la DEF CON 33 Las Vegas (TikTok) — un cop d’ull a la conferència.
• Fragments destacats de la DEF CON 33 (YouTube) — incloent la fallada de les passkeys.

▸ Resum

La DEF CON 33 va demostrar que les passkeys sincronitzades vulnerables poden ser compromeses en viu quan una sol·licitud d’autenticació falsificable s’insereix al flux de WebAuthn.

🔗 Relacionat amb:

Secció de Seguretat Digital

Solucions de Seguretat i Solucions Tècniques

Comparació – Fallada d’Intercepció de WebAuthn: Falsificació de Sol·licitud vs. DOM Clickjacking

A la DEF CON 33, dues grans troballes de recerca van sacsejar la confiança en els mecanismes d’autenticació moderns. De fet, ambdós exploten les fallades relacionades amb la interfície d’usuari (UX) en lloc de la criptografia, però els seus vectors i objectius difereixen radicalment.

Comparació de l'arquitectura de PassCypher i FIDO WebAuthn destacant la resistència al phishing i els riscos de falsificació de sol·licituds — Comparació de les arquitectures de PassCypher i FIDO WebAuthn mostrant per què les Passkeys són vulnerables al WebAuthn API hijacking mentre que PassCypher elimina els riscos de falsificació de sol·licituds.

Falsificació de Sol·licitud en Temps Real

Autor: Allthenticate (Las Vegas, DEF CON 33).
Objectiu: passkeys sincronitzades vulnerables (Apple, Google, Microsoft).
Vector: sol·licitud d’autenticació falsificable, perfectament cronometrada amb la UI legítima (falsificació de la sol·licitud en temps real).
Impacte: atac d’intercepció de WebAuthn que provoca phishing “en viu”; l’usuari valida sense saber-ho una sol·licitud maliciosa.

DOM Clickjacking

Autors: Un altre equip d’investigadors (DEF CON 33).
Objectiu: Gestors de credencials, extensions, passkeys emmagatzemades.
Vector: iframes invisibles, Shadow DOM, scripts maliciosos per segrestar l’autocompletat.
Impacte: Exfiltració silenciosa de credencials, passkeys i claus de la cartera de criptomonedes.

▸ Conclusió clau: Aquest article se centra exclusivament en la falsificació de sol·licituds, que il·lustra una fallada d’intercepció de WebAuthn important i posa en dubte la promesa de “passkeys resistents al phishing”. Per a un estudi complet sobre DOM clickjacking, consulteu l’article relacionat.

Implicacions Estratègiques – Passkeys i Vulnerabilitats d’UX

Com a resultat, la “Fallada d’Intercepció de WebAuthn de les Passkeys” ens obliga a repensar l’autenticació al voltant de models sense sol·licitud i sense núvol.

Ja no hem de considerar les passkeys sincronitzades vulnerables com a invulnerables.
Hem de prioritzar les credencials lligades al dispositiu per a entorns sensibles.
Hem d’implementar salvaguardes d’UX: detectar anomalies en les sol·licituds d’autenticació i utilitzar signatures visuals no falsificables.
Hem de formar els usuaris sobre l’amenaça del phishing en temps real mitjançant un atac d’intercepció de WebAuthn.

▸ Anàlisi
No és la criptografia el que falla, sinó la il·lusió d’immunitat. La intercepció de WebAuthn demostra que el risc resideix en la UX, no en l’algorisme.

Regulacions i Conformitat – MFA i Intercepció de WebAuthn

Documents oficials com la guia de la CISA sobre MFA resistent al phishing o la directiva OMB M-22-09 insisteixen en aquest punt: l’autenticació és “resistent al phishing” només si cap intermediari pot interceptar o segrestar el flux de WebAuthn.
En teoria, les passkeys de WebAuthn respecten aquesta regla. A la pràctica, però, la vulnerabilitat passkeys sincronitzades obre una fallada d’intercepció que els atacants poden explotar a través d’una sol·licitud d’autenticació falsificable.

A Europa, tant la directiva NIS2 com la certificació SecNumCloud reiteren el mateix requisit: cap dependència de serveis de tercers no controlats.

Com a tal, la “Fallada d’Intercepció de WebAuthn de les Passkeys” contradiu l’esperit d’un MFA anomenat resistent al phishing, perquè la sincronització introdueix un intermediari.

En altres paraules, un núvol dels EUA que gestiona les vostres passkeys queda fora de l’abast d’una sobirania digital estricta.

▸ Resum

Una passkey sincronitzada vulnerable pot comprometre el requisit d’un MFA resistent al phishing (CISA, NIS2) quan un atac d’intercepció de WebAuthn és possible.

Estadístiques Europees i Francòfones – Phishing en Temps Real, Intercepció de WebAuthn i la Vulnerabilitat Passkeys

Els informes públics confirmen que els atacs de phishing avançats — incloent tècniques en temps real — representen una amenaça major a la Unió Europea i a la zona francòfona.

Unió Europea — ENISA: Segons l’informe Threat Landscape 2024, el phishing i l’enginyeria social representen el 38% dels incidents reportats a la UE, amb un augment notable dels mètodes de Adversary-in-the-Middle i de la falsificació de sol·licituds en temps real, associada a la intercepció de WebAuthn. Font: ENISA Threat Landscape 2024
França — Cybermalveillance.gouv.fr: El 2023, el phishing va generar el 38% de les sol·licituds d’assistència, amb més d’1.5M de consultes relacionades amb aquest tipus d’atac. Les estafes de falsos assessors bancaris van augmentar un +78% respecte al 2022, sovint mitjançant sol·licituds d’autenticació falsificables. Font: Informe d’Activitat 2023
Canadà (Francòfon) — Centre Canadenc per a la Ciberseguretat: L’Avaluació Nacional d’Amenaces Cibernètiques 2023-2024 indica que el 65% de les empreses esperen patir un atac de phishing o ransomware. El phishing segueix sent un vector preferit per eludir l’MFA, incloent-hi mitjançant la intercepció del flux de WebAuthn. Font: Avaluació Oficial

▸ Lectura Estratègica
La falsificació de sol·licituds en temps real no és un experiment de laboratori; forma part d’una tendència en què el phishing s’adreça a la interfície d’autenticació en lloc dels algorismes, amb un ús creixent de l’atac d’intercepció de WebAuthn.

Cas d’Ús Sobirà – Neutralitzant la Vulnerabilitat Passkeys

En un escenari pràctic, una autoritat reguladora reserva les passkeys sincronitzades per a portals públics de baix risc. Per contra, l’opció PassCypher elimina la causa fonamental de la “Fallada d’Intercepció de WebAuthn de les Passkeys” eliminant la sol·licitud, el núvol i qualsevol exposició al DOM.
Per a sistemes crítics (govern, operacions sensibles, infraestructures vitals), desplega PassCypher en dues formes:

PassCypher NFC HSM — autenticació de maquinari fora de línia, sense servidor i emulació de teclat BLE AES-128-CBC. Per tant, no pot existir cap sol·licitud d’autenticació falsificable.
PassCypher HSM PGP — gestió sobirana de claus segmentades inexporables, amb validació criptogràfica sense núvol i sense sincronització.
▸ Resultat
En aquest model, el vector de sol·licitud explotat durant l’atac d’intercepció de WebAuthn a la DEF CON 33 queda completament eliminat dels camins crítics.

Per què PassCypher Elimina la Vulnerabilitat Passkeys

Les solucions PassCypher contrasten radicalment amb les passkeys FIDO que són vulnerables a l’atac d’intercepció de WebAuthn:

Sense sol·licitud del sistema operatiu/navegador — per tant, sense sol·licitud d’autenticació falsificable.
Sense núvol — sense sincronització vulnerable ni dependència de tercers.
Sense DOM — sense exposició a scripts, extensions o iframes.

✓ Sobirania: En eliminar la sol·licitud, el núvol i el DOM, PassCypher elimina qualsevol punt d’ancoratge per a la fallada d’intercepció de WebAuthn (falsificació de sol·licituds) revelada a la DEF CON 33.

PassCypher NFC HSM — Eliminant el Vector d’Atac de Falsificació de Sol·licituds WebAuthn

L’atac d’Allthenticate a la DEF CON 33 demostra que els atacants poden falsificar qualsevol sistema que depèn d’una sol·licitud del sistema operatiu/navegador. PassCypher NFC HSM elimina aquest vector: no hi ha sol·licitud, ni sincronització al núvol, els secrets estan encriptats de per vida en un nano-HSM NFC, i es validen amb un toc físic. Funcionament per a l’usuari:

Toc NFC obligatori — validació física sense interfície de programari.
HID BLE Mode AES-128-CBC — transmissió fora del DOM, resistent als keyloggers.
Ecosistema Zero-DOM — cap secret apareix mai al navegador.

▸ Resum

A diferència de les passkeys sincronitzades vulnerables, PassCypher NFC HSM neutralitza l’atac d’intercepció de WebAuthn perquè una sol·licitud d’autenticació falsificable no existeix.

WebAuthn Hijacking i la Vulnerabilitat Passkeys Neutralitzats per PassCypher NFC HSM

Tipus d’Atac	Vector	Estat
Falsificació de Sol·licitud	Diàleg fals del sistema operatiu/navegador	Neutralitzat (sense sol·licitud)
Phishing en Temps Real	Validació capturada en viu	Neutralitzat (toc NFC obligatori)
Registre de Tecles	Captura de teclat	Neutralitzat (HID BLE encriptat)

PassCypher HSM PGP — Claus Segmentades contra el Phishing

L’altre pilar, PassCypher HSM PGP, aplica la mateixa filosofia: sense sol·licitud explotable.
Els secrets (credencials, passkeys, claus SSH/PGP, TOTP/HOTP) resideixen en contenidors encriptats AES-256 CBC PGP, protegits per un sistema patentat de claus segmentades.

Sense sol·licitud — per tant, no hi ha finestra per falsificar.
Claus segmentades — són inexportables i s’acoblen només a la memòria RAM.
Desencriptació efímera — el secret desapareix immediatament després d’utilitzar-lo.
Sense núvol — no hi ha sincronització vulnerable.

▸ Resum

PassCypher HSM PGP elimina la superfície d’atac de la sol·licitud falsificada en temps real: proporciona autenticació de maquinari, claus segmentades i validació criptogràfica sense exposició al DOM ni al núvol.

Comparació de la Superfície d’Atac

Criteri	Passkeys Sincronitzades (FIDO)	PassCypher NFC HSM	PassCypher HSM PGP
Sol·licitud d’Autenticació	Sí	No	No
Núvol de Sincronització	Sí	No	No
Clau Privada Exportable	No (UI atacable)	No	No
WebAuthn Hijacking/Intercepció	Present	Absent	Absent
Dependència de l’Estàndard FIDO	Sí	No	No

▸ Anàlisi En eliminar la sol·licitud d’autenticació falsificable i la sincronització al núvol, l’atac d’intercepció de WebAuthn demostrat a la DEF CON 33 desapareix completament.

Senyals Febles – Tendències Relacionades amb la Intercepció de WebAuthn

▸ Senyals Febles Identificats

L’adopció generalitzada d’atacs a la UI en temps real, incloent la intercepció de WebAuthn mitjançant una sol·licitud d’autenticació falsificable.
Una dependència creixent de núvols de tercers per a la identitat, que augmenta l’exposició de les passkeys sincronitzades vulnerables.
Una proliferació d’esquives a través de l’enginyeria social assistida per IA, aplicada a les interfícies d’autenticació.

Glossari Estratègic

Una revisió dels conceptes clau utilitzats en aquest article, per entendre la Vulnerabilitat Passkeys i les solucions.

Passkey / Passkeys

Una credencial digital sense contrasenya basada en l’estàndard FIDO/WebAuthn, dissenyada per ser “resistent al phishing.”
- Passkey (singular): Es refereix a una única credencial digital emmagatzemada en un dispositiu (p. ex., Secure Enclave, TPM, YubiKey).
- Passkeys (plural): Es refereix a la tecnologia en general o a múltiples credencials, incloses les passkeys sincronitzades emmagatzemades als núvols d’Apple, Google o Microsoft. Aquestes són particularment vulnerables al WebAuthn API Hijacking (falsificació de la sol·licitud en temps real demostrada a la DEF CON 33).
Passkeys Pwned

Títol de la xerrada a la DEF CON 33 d’Allthenticate (“Passkeys Pwned: Turning WebAuthn Against Itself”). Destaca com el WebAuthn API Hijacking pot comprometre les passkeys sincronitzades en temps real, demostrant que no són 100% resistents al phishing.
Passkeys sincronitzades vulnerables

Emmagatzemades en un núvol (Apple, Google, Microsoft) i utilitzables a través de múltiples dispositius. Ofereixen un avantatge d’UX però una debilitat estratègica: dependència d’una sol·licitud d’autenticació falsificable i del núvol.
Passkeys lligades al dispositiu

Lligades a un sol dispositiu (TPM, Secure Enclave, YubiKey). Més segures perquè no tenen sincronització al núvol.
Sol·licitud (Prompt)

Un quadre de diàleg del sistema o del navegador que demana la validació de l’usuari (Face ID, empremta digital, clau FIDO). Aquest és l’objectiu principal de la falsificació.
Atac d’Intercepció de WebAuthn

També conegut com a WebAuthn API Hijacking, aquest atac manipula el flux d’autenticació falsificant la sol·licitud del sistema/navegador i imitant la interfície d’usuari en temps real. L’atacant no trenca la criptografia, sinó que intercepta el procés de WebAuthn a nivell d’UX (p. ex., una sol·licitud de Face ID o d’empremta digital clonada). Vegeu la especificació oficial de W3C WebAuthn i la documentació de la FIDO Alliance.
Falsificació de la sol·licitud en temps real

La falsificació en viu d’una finestra d’autenticació, que és indistingible per a l’usuari.
DOM Clickjacking

Un atac que utilitza iframes invisibles i Shadow DOM per segrestar l’autocompletat i robar credencials.
Zero-DOM

Una arquitectura sobirana on cap secret s’exposa al navegador o al DOM.
NFC HSM

Un mòdul de maquinari segur que està fora de línia i és compatible amb HID BLE AES-128-CBC.
Claus segmentades

Claus criptogràfiques que es divideixen en segments i només es tornen a muntar en memòria volàtil.
Credencial lligada al dispositiu

Una credencial adjunta a un dispositiu físic que no és transferible ni clonable.

▸ Propòsit Estratègic: Aquest glossari mostra per què l’atac d’intercepció de WebAuthn apunta a la sol·licitud i a l’UX, i per què PassCypher elimina aquest vector per disseny.

FAQ Tècnica (Integració i Casos d’Ús)

P: Com podem resoldre la Vulnerabilitat Passkeys?

R: Sí, la millor manera de mitigar la Vulnerabilitat Passkeys és amb un model híbrid: manteniu FIDO per a casos d’ús comuns i adopteu PassCypher per a l’accés crític per eliminar completament els vectors d’intercepció.
P: Quin és l’impacte en la UX sense una sol·licitud del sistema?

R: L’acció es basa en el maquinari (toc NFC o validació HSM). No hi ha cap sol·licitud o quadre de diàleg d’autenticació falsificable per suplantar, la qual cosa resulta en una eliminació total del risc de phishing en temps real.
P: Com podem revocar una clau compromesa?

R: Simplement revoqueu l’HSM o la clau en si mateixa. No hi ha cap núvol a purgar ni cap compte de tercers a contactar.
P: PassCypher protegeix contra la falsificació de sol·licituds en temps real?

R: Sí. L’arquitectura PassCypher elimina completament la sol·licitud del sistema operatiu/navegador, eliminant així la superfície d’atac explotada a la DEF CON 33.
P: Podem integrar PassCypher en una infraestructura regulada per NIS2?

R: Sí. Els mòduls NFC HSM i HSM PGP compleixen amb els requisits de sobirania digital i neutralitzen els riscos associats a les passkeys sincronitzades vulnerables.
P: Les passkeys lligades al dispositiu són completament inviolables?

R: No, però eliminen el risc d’intercepció de WebAuthn basat en el núvol. La seva seguretat depèn llavors de la robustesa del maquinari (TPM, Secure Enclave, YubiKey) i de la protecció física del dispositiu.
P: Un malware local pot reproduir una sol·licitud de PassCypher?

R: No. PassCypher no es basa en una sol·licitud de programari; la validació es basa en el maquinari i és fora de línia, per la qual cosa no existeix cap visualització falsificable.
P: Per què els núvols de tercers augmenten el risc?

R: Les passkeys sincronitzades vulnerables emmagatzemades en un núvol de tercers poden ser objectiu d’atacs Adversary-in-the-Middle o d’intercepció de WebAuthn si la sol·licitud es veu compromesa.
P: Hi ha suport tècnic local a Andorra o Catalunya?

R: Sí. Com a empresa andorrana, oferim un suport tècnic directe i local, la qual cosa facilita la implementació i la resolució de problemes per a empreses de la regió, garantint una comunicació fluida i una resposta ràpida.
P: Com puc adquirir els HSM físics des d’Andorra o Catalunya?

R: L’adquisició es fa directament a través del nostre lloc web i el procés d’enviament o lliurament in situ està optimitzat per a Andorra i la regió catalana, la qual cosa garanteix una logística ràpida i eficient. No hi ha cap complicació d’importació.

Consell CISO/CSO – Protecció Universal i Sobirana

Per saber com protegir-se de la intercepció de WebAuthn, és important saber que EviBITB (Embedded Browser-In-The-Browser Protection) és una tecnologia integrada a PassCypher HSM PGP, inclosa la seva versió gratuïta. Detecta i elimina automàticament o manualment els iframes de redirecció utilitzats en atacs BITB i de falsificació de sol·licituds, eliminant així el vector d’intercepció de WebAuthn.

Desplegament Immediat: És una extensió gratuïta per als navegadors Chromium i Firefox, escalable per a un ús a gran escala sense una llicència de pagament.
Protecció Universal: Funciona fins i tot si l’organització encara no ha migrat a un model sense sol·licituds.
Compatibilitat Sobirana: Funciona amb PassCypher NFC HSM Lite (99 €) i el PassCypher HSM PGP complet (129 €/any).
Sense Contrasenya Complet: Tant PassCypher NFC HSM com HSM PGP poden reemplaçar completament FIDO/WebAuthn per a tots els camins d’autenticació, amb zero sol·licituds, zero núvol i 100% sobirania.

Recomanació Estratègica:
Desplegueu EviBITB immediatament a totes les estacions de treball per neutralitzar la falsificació de BITB/sol·licituds, i després planifiqueu la migració de l’accés crític a un model PassCypher complet per eliminar permanentment la superfície d’atac.

FAQ CISOs/CSOs

P: Quin és l’impacte regulador de la Vulnerabilitat Passkeys?

R: Aquest tipus d’atac pot comprometre el compliment dels requisits de MFA “resistent al phishing” definits per la CISA, NIS2 i SecNumCloud. L’existència d’una Vulnerabilitat Passkeys en el vostre sistema fa que l’organització s’enfronti a sancions del GDPR (i de la Llei 29/2021 d’Andorra) i a una qüestió sobre les seves certificacions de seguretat.

P: Existeix una protecció universal i gratuïta contra la Vulnerabilitat Passkeys?

R: Sí. EviBITB és una tecnologia integrada a PassCypher HSM PGP, inclosa la seva versió gratuïta. Bloqueja els iframes de redirecció (Browser-In-The-Browser) i elimina el vector de sol·licitud d’autenticació falsificable explotat en la intercepció de WebAuthn. Es pot desplegar immediatament a gran escala sense una llicència de pagament.

P: Hi ha solucions per a la Vulnerabilitat Passkeys?

R: Sí. PassCypher NFC HSM i PassCypher HSM PGP són solucions completes i sobiranes sense contrasenya que aborden directament la Vulnerabilitat Passkeys: permeten l’autenticació, la signatura i l’encriptació sense infraestructura FIDO, amb zero sol·licituds falsificables, zero núvols de tercers i una arquitectura 100% controlada.

P: Quin és el pressupost mitjà i el ROI d’una migració a un model sense sol·licitud?

R: Segons l’estudi Temps Dedicat als Mètodes d’Autenticació, un professional perd una mitjana de 285 hores/any en autenticacions clàssiques, la qual cosa representa un cost anual d’uns 8.550 $ (basat en 30 $/h). PassCypher HSM PGP redueix aquest temps a ~7 h/any, i PassCypher NFC HSM a ~18 h/any. Fins i tot amb el model complet (129 €/any) o l’NFC HSM Lite (99 € de compra única), el punt d’equilibri s’assoleix en pocs dies o poques setmanes, i l’estalvi net supera 50 vegades el cost anual en un context professional.

P: Com podem gestionar una flota híbrida (llegat + moderna)?

R: Manteniu FIDO per a usos de baix risc mentre els substituïu gradualment per PassCypher NFC HSM i/o PassCypher HSM PGP en entorns crítics. Aquesta transició elimina les sol·licituds explotables i manté la compatibilitat amb les aplicacions.

P: Quines mètriques hem de seguir per mesurar la reducció de la superfície d’atac?

R: El nombre d’autenticacions a través de sol·licituds del sistema vs. autenticació per maquinari, incidents relacionats amb la intercepció de WebAuthn, temps mitjà de correcció i el percentatge d’accessos crítics migrats a un model sobirà sense sol·licituds.

Pla d’Acció CISO/CSO

Per als professionals de la ciberseguretat a Andorra i Catalunya, la Vulnerabilitat Passkeys és un senyal d’alerta. L’estratègia digital busca la màxima sobirania, i els models sense sol·licitud i sense núvol — encarnats per HSMs sobirans com PassCypher — redueixen radicalment la superfície d’atac.

Acció Prioritària	Impacte Esperat
Implementar solucions per a la Vulnerabilitat Passkeys, substituint-les per PassCypher NFC HSM (99 €) i/o PassCypher HSM PGP (129 €/any)	Elimina la sol·licitud falsificable, elimina la intercepció de WebAuthn i permet un accés sobirà sense contrasenya amb un període de recuperació de la inversió de dies segons l’estudi sobre el temps d’autenticació
Migrar a un model PassCypher complet per a entorns crítics	Elimina tota la dependència de FIDO/WebAuthn, centralitza la gestió sobirana d’accessos i secrets, i maximitza els guanys de productivitat mesurats per l’estudi
Desplegar EviBITB (tecnologia integrada a PassCypher HSM PGP, versió gratuïta inclosa)	Ofereix una protecció immediata i sense costos contra BITB i el phishing en temps real mitjançant la falsificació de sol·licituds
Endurir la UX (signatures visuals, elements no clonables)	Complica els atacs a la UI, el clickjacking i la recuperació
Auditar i registrar els fluxos d’autenticació	Detecta i segueix qualsevol intent de segrest de flux o d’atacs Adversary-in-the-Middle
Alinear-se amb NIS2, SecNumCloud i GDPR	Redueix el risc legal i proporciona proves de conformitat
Alinear-se amb la Llei 29/2021 d’Andorra	Reforça la sobirania digital, evita la dependència de tercers i assegura la conformitat amb el marc legal del Principat
Formar els usuaris sobre les amenaces d’interfície falsificable	Enforteix la vigilància humana i la detecció proactiva

]

Perspectives Estratègiques davant la Vulnerabilitat Passkeys

El missatge de la DEF CON 33 és clar: la seguretat de l’autenticació es guanya o es perd a la interfície. En altres paraules, mentre l’usuari validi les sol·licituds d’autenticació gràfica sincronitzades amb un flux de xarxa, el phishing en temps real i la intercepció de WebAuthn continuaran sent possibles.

La Vulnerabilitat Passkeys, lligada a la sincronització al núvol, és una preocupació major per a les organitzacions que busquen la sobirania digital.

A curt termini, cal generalitzar l’ús de **solucions lligades al dispositiu** per a aplicacions sensibles. Això és el primer pas per contrarestar la Vulnerabilitat Passkeys. A mitjà termini, l’objectiu és eliminar la UI falsificable dels camins crítics. Finalment, la trajectòria recomanada serà eliminar permanentment la Vulnerabilitat Passkeys dels camins crítics mitjançant una transició gradual a un model PassCypher complet, proporcionant una solució definitiva per a les passkeys vulnerables en un context professional.

2024, Cyberculture, Uncategorized

Chinese cyber espionage: a data leak reveals the secrets of their hackers

Posted on March 2, 2024March 2, 2024 by FMTAD

02
Mar

Unprecedented Data Leaks Expose Chinese Cyber Espionage Programs

Following an unprecedented data leak from a Beijing regime hacking service provider, the secrets of Chinese cyberespionage are revealed. The I-Soon company is said to have infiltrated dozens of strategic targets around the world. This is what you will discover here by reading this brief cyberculture. Unprecedented data leaks reveal China’s cyberespionage program.
Following an unprecedented data leak from a Beijing regime hacking service provider, the secrets of Chinese cyberespionage are revealed. Based on the analysis of this data, it appears that the I-Soon company has infiltrated dozens of strategic targets around the world. This is what you will discover here by reading this brief Cyberculture.

2025 Digital Security

OpenAI fuite Mixpanel : métadonnées exposées, phishing et sécurité souveraine

December 2, 2025

2025 Digital Security

Russia Blocks WhatsApp: Max and the Sovereign Internet

November 29, 2025

2025 Digital Security

Bot Telegram Usersbox : l’illusion du contrôle russe

November 29, 2025

2025 CyptPeer Digital Security EviLink

Missatgeria P2P WebRTC segura — comunicació directa amb CryptPeer

November 28, 2025

2025 Cyberculture Cybersecurity Digital Security EviLink

CryptPeer messagerie P2P WebRTC : appels directs chiffrés de bout en bout

November 14, 2025

2026 Awards Cyberculture Digital Security Distinction Excellence EviOTP NFC HSM Technology EviPass EviPass NFC HSM technology EviPass Technology finalists PassCypher PassCypher

Quantum-Resistant Passwordless Manager — PassCypher finalist, Intersec Awards 2026 (FIDO-free, RAM-only)

November 3, 2025

2025 Digital Security

Persistent OAuth Flaw: How Tycoon 2FA Hijacks Cloud Access

October 23, 2025

2025 Digital Security

Tycoon 2FA failles OAuth persistantes dans le cloud | PassCypher HSM PGP

October 22, 2025

Stay informed with our posts dedicated to Cyberculture to track its evolution through our regularly updated topics.

Read the secrets of Chinese cyber espionage revealed by an unprecedented data leak, written by Jacques Gascuel, a pioneer of contactless, serverless and databaseless sensitive data security solutions. Stay up to date and secure with our frequent updates..

Chinese cyber espionage I-Soon: A data leak reveals the secrets of their hackers

Chinese cyber espionage poses a serious threat to the security and stability of the world. Many countries and organizations face hackers who try to steal sensitive information, disrupt critical infrastructure, or influence political outcomes. One of the most active and sophisticated cyber espionage actors is China, which has a large and diverse hacking program. But how does China conduct its cyber operations? What methods, targets, and objectives does it have? And how can we protect ourselves from its attacks?

In this brief, we will explore these questions of Chinese cyber espionage, based on a recent data leak that revealed the inner workings of a Chinese cybersecurity vendor working for the Chinese government. The vendor, I-Soon, is a private contractor that operates as an advanced persistent threat (APT) for hire, serving the Chinese Ministry of Public Security (MPS). The leaked data, published on GitHub, contains hundreds of documents that document I-Soon’s Chinese cyber espionage activities, from staff complaints to hacking tools and services.

We will also look at some of the solutions that exist to counter the cyber espionage threat, both from a technical and a strategic perspective. We will focus on the solutions developed by Freemindtronic, an Andorran company that specializes in security and encryption technologies, based on the NFC HSM (Near Field Communication and Hardware Security Module) technology. We will also examine the means of counter espionage against the methods of I-Soon, which are varied and sophisticated.

I-Soon data leak reveals insight into Chinese cyber espionage hacking program

The I-Soon data leak is a significant revelation in Chinese cyber espionage, as it offers a rare glimpse into the inner workings of a major spyware and APT-for-hire provider. The leak exposes I-Soon’s methods, tools and goals, as well as the challenges and frustrations of its staff.

According to the leaked data, I-Soon infiltrated several government agencies, including those from India, Thailand, Vietnam, South Korea, and NATO. Some of the tools that I-Soon used are impressive. For example, they had a tool that could steal the user’s Twitter email and phone number, read personal messages, and publish tweets on the user’s behalf. They also had custom Remote Access Trojans (RATs) for Windows, iOS, and Android, that could perform various malicious actions, such as keylogging, file access logging, process management, and remote shell. They also had portable devices for attacking networks from the inside, and special equipment for operatives working abroad to establish safe communication.

The leak also reveals some of the challenges and difficulties that I-Soon faced, such as losing access to some of their data seized from government agencies, dealing with corrupt officials, and working in sensitive regions like Xinjiang. The leak also shows some of the internal complaints and grievances of I-Soon’s staff, such as low pay, poor management, and lack of recognition.

The leak is a treasure trove of intel for cybersecurity researchers and analysts, as it provides a rare insight into the day-to-day operations of China’s hacking program, which the FBI says is the biggest of any country. The leak also raises serious concerns for the security and sovereignty of the countries and organizations targeted by I-Soon, as it exposes the extent and the impact of China’s cyber espionage activities.

In summary, the I-Soon data leak exposed the secrets of Chinese cyber espionage, which poses a major challenge to world security and stability. Faced with this threat, it is necessary to strengthen cooperation and defense in cybersecurity, while respecting the principles of freedom and transparency on the internet. It is also important to understand China’s motivations and objectives, in order to find peaceful and lasting solutions.

Reactions and challenges to the Chinese cyber espionage threat

The revelation of the I-Soon data leak comes amid growing tensions between China and its rivals, notably the United States, which regularly accuses it of carrying out cyberattacks against their interests. China, for its part, denies any involvement and presents itself as a victim of cyberwar. Faced with this threat, the countries targeted by I-Soon are calling for strengthening their cooperation and defense in cybersecurity.

For example, the European Union adopted a legal framework in 2023 to impose sanctions on perpetrators of cyberattacks, including China. Likewise, NATO has recognized cyberspace as a domain of operation, and affirmed its willingness to retaliate in the event of an attack. Finally, democratic countries have launched initiatives to promote the values of freedom and transparency on the internet, such as the Partnership for an Open and Secure Cyberspace.

However, these efforts remain insufficient to confront the Chinese threat, which has considerable resources and sophisticated strategies. It is therefore necessary to develop a global and coordinated approach, which involves governments, businesses, organizations and citizens. This would involve strengthening the resilience of information systems, sharing information and good practices, raising users’ awareness of the risks and opportunities of cyberspace, and promoting constructive dialogue with China.

The solutions of Freemindtronic against the cyber espionage threat

Facing the cyber espionage threat, especially from China, requires effective and adapted solutions, both from a technical and a strategic perspective. One of the companies that offers such solutions is Freemindtronic, an Andorran company that develops security and encryption technologies, based on the NFC HSM (Near Field Communication and Hardware Security Module) technology. The NFC HSM technology allows to create hardware security modules on any type of device, that ensure the encryption and the signature of any data, without contact, without energy source, and without internet connection.

Freemindtronic offers several solutions against the cyber espionage DataShielder Defense NFC HSM: a solution for sovereign communications, that allows to encrypt and sign any data on any type of device, with an unmatched level of confidentiality and trust. DataShielder uses the EviCore HSM OpenPGP technology, which is interoperable, retrocompatible, and versatile. DataShielder allows to customize the security of secrets, and to meet various specific needs.

PassCypher NFC HSM: a solution for the management and storage of passwords, that allows to create, store, and use complex and secure passwords, without having to remember or enter them. PassCypher uses the EviPass NFC HSM technology, as well as the NFC HSM devices of Freemindtronic, EviTag and EviCard. PassCypher offers a maximum security and a simplicity of use.
PassCypher HSM PGP: a solution for the management and storage of PGP keys, that allows to create, store, and use PGP keys, certificates, and signatures, without having to remember or enter them. PassCypher uses the EviCore HSM OpenPGP technology, as well as a hybrid solution via a web extension. PassCypher works without server and without database, and stores the encrypted containers on any storage device, protected by a post-quantum AES-256 encryption.

These solutions of Freemindtronic allow to protect oneself from the cyber espionage threat, by encrypting and signing the data, by managing and storing the passwords and the keys, and by communicating in a confidential and sovereign way. They are based on the NFC HSM technology, which guarantees a hardware and software security, without contact, without energy source, and without internet connection.

The means of counter espionage against the methods of I-Soon

Against the methods of cyber espionage of I-Soon, which are varied and sophisticated, the countries and organizations targeted must implement effective and adapted means of counter espionage. These means can be of several types:

Preventive: they consist of strengthening the security of the information systems, by using up-to-date software, antivirus, firewall, complex passwords, encryption protocols, etc. They also consist of training the users to good practices, such as not opening suspicious attachments or links, not disclosing confidential information, not using public or unsecured networks, etc.
Defensive: they consist of detecting and blocking the intrusion attempts, by using tools of surveillance, analysis, tracing, filtering, neutralization, etc. They also consist of reacting quickly and limiting the damage, by isolating the compromised systems, backing up the data, alerting the competent authorities, communicating transparently, etc.
Offensive: they consist of retaliating and deterring the attackers, by using tools of counter-attack, disinformation, sabotage, sanction, etc. They also consist of cooperating with the allies and partners, by sharing the information, the evidence, the strategies, the resources, etc.

These means of counter espionage must be adapted to the specificities of the methods of I-Soon, which are varied and sophisticated. For example, to face the security flaws, it is necessary to use trustworthy software, verify their integrity, and update them regularly. To face the malware, it is necessary to use efficient antivirus, scan the systems regularly, and clean them in case of infection. To face the social engineering techniques, it is necessary to raise the awareness of the users, verify the identity and the credibility of the interlocutors, and not let oneself be influenced or corrupted.

Chinese cyberespionage statistics

The I-Soon data leak constitutes unprecedented testimony to the scale and impact of Chinese cyberespionage, which is based on close collaboration between the authorities and the private sector. Here are some statistics that illustrate the phenomenon:

China spent at least US$6.6 billion on cyber censorship in 2020, according to the Jamestown Foundation.

According to official sources, at least 2 million people were working for China’s cyberespionage system in 2013, a number that has almost certainly increased over the past eight years.
GreatFire, a censorship monitoring organization in China, estimates that 16% of the world’s 1,000 most visited websites are currently blocked in China.
In 2022, ANSSI handled 19 cyber defense operations and major incidents, compared to 17 in 2021. Nine of them were intrusions attributed to Chinese actors.

In conclusion, the means of counter espionage against the methods of I-Soon are essential to protect the interests and the sovereignty of the countries and organizations targeted. They must be implemented in a coordinated and proportionate way, respecting the principles of legality and legitimacy.

Uncategorized

LitterDrifter: A USB Worm for Cyberespionage

Posted on November 28, 2023November 28, 2023 by FMTAD

28
Nov

LitterDrifter by Jacques Gascuel: This article will be updated with any new information on the topic.

LitterDrifter: USB Worm Threat and Safeguarding

Explore the LitterDrifter USB worm threat and effective safeguards. Learn to protect against this cyber threat and enhance data security.

2025 Digital Security

OpenAI fuite Mixpanel : métadonnées exposées, phishing et sécurité souveraine

December 2, 2025

2025 Digital Security

Russia Blocks WhatsApp: Max and the Sovereign Internet

November 29, 2025

2025 Digital Security

Bot Telegram Usersbox : l’illusion du contrôle russe

November 29, 2025

2025 CyptPeer Digital Security EviLink

Missatgeria P2P WebRTC segura — comunicació directa amb CryptPeer

November 28, 2025

2025 Cyberculture Cybersecurity Digital Security EviLink

CryptPeer messagerie P2P WebRTC : appels directs chiffrés de bout en bout

November 14, 2025

2026 Awards Cyberculture Digital Security Distinction Excellence EviOTP NFC HSM Technology EviPass EviPass NFC HSM technology EviPass Technology finalists PassCypher PassCypher

Quantum-Resistant Passwordless Manager — PassCypher finalist, Intersec Awards 2026 (FIDO-free, RAM-only)

November 3, 2025

2025 Digital Security

Persistent OAuth Flaw: How Tycoon 2FA Hijacks Cloud Access

October 23, 2025

2025 Digital Security

Tycoon 2FA failles OAuth persistantes dans le cloud | PassCypher HSM PGP

October 22, 2025

LitterDrifter: A USB Worm for Cyberespionage and Its Threats to Data Security

LitterDrifter is a computer worm that spreads through USB drives and is utilized by a Russian cyber espionage group known as Gamaredon. This group, active since at least 2013, primarily targets Ukraine but has also infected systems in other countries. LitterDrifter enables Gamaredon to gather sensitive information, execute remote commands, and download other malicious software. In this article, we will explore how this worm functions, methods to safeguard against it, and the motivations behind its creators.

Understanding Gamaredon

Gamaredon is a cyber espionage group suspected to have ties to Russia’s Federal Security Service (FSB). It conducts intelligence and sabotage operations against strategic targets in Ukraine, including government institutions, law enforcement, media, political organizations, and dissidents. Gamaredon plays a part in the hybrid warfare between Russia and Ukraine that emerged in 2014 following the annexation of Crimea and the armed conflict in Donbass.

Gamaredon employs a diverse range of cyberattack techniques, including phishing, disinformation, sabotage, and espionage. The group possesses several malicious tools such as Pterodo, Outlook Forms, VBA Macros, LNK Spreader, and, of course, LitterDrifter. Gamaredon is considered a group that learns from its experiences and adapts its tactics based on responses from its adversaries. It also serves as a training ground for Russia, observing the potential of cyber warfare in contemporary conflicts.

How LitterDrifter Works

LitterDrifter is a computer worm initially discovered in October 2021 by cybersecurity company Check Point Research. It is written in VBS and consists of two main modules: a propagation module and a communication module.

LitterDrifter’s Propagation

The propagation module is responsible for copying the worm to USB drives connected to the infected computer. It creates an autorun.inf file that allows the worm to launch automatically upon inserting an infected drive. Additionally, it generates an LNK file that serves as bait, featuring a random name to entice the user to click on it. The worm’s name is derived from the initial file name, “trash.dll,” which means “garbage” in English.

LitterDrifter’s Communication

The communication module establishes contact with the worm’s authors’ command and control (C2) server. It uses domains as markers for the actual IP addresses of the C2 servers. It can also connect to a C2 server extracted from a Telegram channel, a technique employed by Gamaredon since early 2021. The communication module allows the worm to collect information about the infected system, such as the computer name, username, IP address, operating system, process list, files on the hard drive, and USB drives. It can also execute remote commands, download and install other malicious software, and delete files or partitions.

How LitterDrifter Propagates

LitterDrifter is primarily intended to target Ukraine but has also been detected in other countries, including Latvia, Lithuania, Poland, Romania, Turkey, Germany, France, the United Kingdom, the United States, Canada, India, Japan, and Australia. The worm appears to spread opportunistically, taking advantage of USB exchanges and movements among individuals and organizations. Some of the victims may be secondary targets infected inadvertently, while others could be potential targets awaiting activation.

LitterDrifter Statistics

LitterDrifter is a rapidly spreading worm that affects a large number of systems. According to data from Check Point Research, the worm has been submitted to VirusTotal more than 1,000 times since October 2021, originating from 14 different countries. The majority of submissions come from Ukraine (58%), followed by the United States (12%) and Vietnam (7%). Other countries each represent less than 5% of submissions.

The worm also uses a large number of domains as markers for C2 servers. Check Point Research has identified over 200 different domains used by the worm, with most being free or expired domains. Some domains have been used by Gamaredon for a long time, while others are created or modified recently. The worm also uses Telegram channels to extract C2 server IP addresses, making their blocking or tracking more challenging.

The worm is capable of downloading and installing other malicious software on infected systems. Among the malicious software detected by Check Point Research are remote control tools, spyware, screen capture software, password stealers, file encryption software, and data destruction software. Some of these malicious software are specific to Gamaredon, while others are generic or open-source tools.

Uncontrolled Expansion and Real Consequences of LitterDrifter

LitterDrifter is a worm with uncontrolled expansion, meaning it spreads opportunistically by taking advantage of the movement and exchange of USB drives among individuals and organizations. It doesn’t have a specific target but can infect systems in various countries, without regard to the industry sector or security level. Consequently, it can affect critical systems, including infrastructure, public services, or government institutions.

The real consequences of LitterDrifter are manifold and severe. It can compromise the confidentiality, integrity, and availability of data. Moreover, it can serve as a gateway for more sophisticated attacks, such as deploying ransomware, spyware, or destructive software. Additionally, it can enable the worm’s authors to access sensitive information, including confidential documents, passwords, personal data, or industrial secrets.

LitterDrifter can have serious repercussions for victims, including damage to reputation, financial costs, data loss, disruption of operations, or legal liability. It can also impact national security, political stability, or the sovereignty of targeted countries. It is part of the context of a hybrid war waged by Russia against Ukraine, aiming to weaken and destabilize its neighbor through military, political, economic, media, and cyber means.

LitterDrifter’s Attack Methods

Understanding the attack methods employed by LitterDrifter is crucial in safeguarding your systems. This USB worm leverages various techniques to infiltrate systems and establish contact with its command and control (C2) servers. Below, we delve into the primary attack methods used by LitterDrifter:

Attack Method	Description	Example
Vulnerability Exploitation	Exploiting known vulnerabilities in software and network protocols, such as SMB, RDP, FTP, HTTP, SSH, etc. It employs tools like Metasploit, Nmap, and Mimikatz to scan systems, execute malicious code, steal credentials, and propagate.	Utilizing the EternalBlue vulnerability to infect Windows systems via the SMB protocol and install a backdoor.
Phishing	Sending fraudulent emails containing malicious attachments or links that entice users to open or click. Attachments or links trigger the download and execution of LitterDrifter.	Sending an email pretending to be an invoice from a supplier but containing a malicious Word file that exploits the CVE-2017-0199 vulnerability to execute LitterDrifter.
Identity Spoofing	Impersonating legitimate services or applications through similar names, icons, or interfaces. This deceives users or administrators into granting privileges, access, or sensitive information.	Using the name and icon of TeamViewer, a remote control software, to blend into the process list and establish a connection with C2 servers.
USB Propagation	Copying itself to USB drives connected to infected computers, automatically running upon insertion. It also creates random-named LNK files as bait, encouraging users to click.	When a user inserts an infected USB drive into their computer, the worm copies itself to the hard drive and executes. It also creates an LNK file named “Holiday Photos.lnk” pointing to the worm.
Domain Marker Usage	Using domains as markers for actual C2 server IP addresses. It generates a random subdomain of a hardcoded domain (e.g., 4fj3k2h5.example.com from example.com) and resolves its IP address through a DNS query. It then uses this IP address for communication with the C2 server.	Generating the subdomain 4fj3k2h5.example.com from the hardcoded domain example.com, resolving its IP address through a DNS query (e.g., 192.168.1.100), and using it to send data to the C2 server.

LitterDrifter’s Malicious Actions

LitterDrifter is a worm that can cause significant damage to infected systems. It not only collects sensitive information but can also execute remote commands, download and install other malicious software, and delete files or partitions. Here’s a table summarizing LitterDrifter’s main malicious actions:

Action	Description	Example
Information Collection	The worm gathers information about the infected system, including computer name, username, IP address, OS, process list, files on the hard drive, and USB drives.	The worm sends the collected information to the C2 server via an HTTP POST request.
Remote Command Execution	The worm can receive remote commands from the C2 server, such as launching a process, creating a file, modifying the registry, opening a URL, etc.	The worm can execute a command like `cmd.exe /c del /f /s /q c:\.` to erase all files on the C drive.
Download and Malware Installation	The worm can download and install other malicious software on the infected system, such as remote control tools, spyware, screen capture software, password stealers, file encryption software, and data destruction software.	The worm can download and install the Pterodo malware, allowing Gamaredon to take control of the infected system.
File or Partition Deletion	The worm can delete files or partitions on the infected system, potentially leading to data loss, system corruption, or boot failure.	The worm can erase the EFI partition, which contains system boot information.

Protecting Against LitterDrifter

Safeguarding your systems against LitterDrifter and similar threats is essential in today’s interconnected digital landscape. Here are some steps you can take to enhance your cybersecurity posture:

Keep Software Updated: Regularly update your operating system, software, and antivirus programs to patch known vulnerabilities that malware like LitterDrifter exploits.
Exercise Caution with Email Attachments and Links: Be cautious when opening email attachments or clicking on links, especially if the sender is unknown or the email seems suspicious. Verify the legitimacy of the sender before taking any action.
Use Reliable Security Software: Install reputable security software that can detect and block malware. Ensure that it is regularly updated to recognize new threats effectively.
Employ Network Segmentation: Implement network segmentation to isolate critical systems and data from potentially compromised parts of your network.
Educate Employees: Train your employees to recognize phishing attempts and the importance of safe browsing and email practices.
USB Drive Security: Disable autorun features on computers and use endpoint security solutions to scan USB drives for malware upon insertion.
Network Monitoring: Implement network monitoring tools to detect unusual activities and unauthorized access promptly.
Encryption and Authentication: Use encryption for sensitive data and multi-factor authentication to secure critical accounts.

Enhancing Data Security with HSM Technologies

In addition to the steps mentioned above, organizations can enhance data security by leveraging NFC HSM (Near Field Communication and Hardware Security Module). These specialized devices provide secure storage and processing of cryptographic keys, protecting sensitive data from unauthorized access.

HSMs offer several advantages, including tamper resistance, hardware-based encryption, and secure key management. By integrating HSMs into your cybersecurity strategy, you can further safeguard your organization against threats like LitterDrifter.

Leveraging NFC HSM Technologies Made in Andorra by Freemindtronic

To take your data security to the next level, consider utilizing NFC HSM technologies manufactured in Andorra by Freemindtronic. These state-of-the-art devices are designed to meet the highest security standards, ensuring the confidentiality and integrity of your cryptographic keys.

Freemindtronic innovates, manufactures white-label NFC HSM technologies, including PassCypher NFC HSM and DataShielder Defense NFC HSM. These solutions, like EviPass, EviOTP, EviCypher, and EviKey, effectively combat LitterDrifter. They enhance data security, protecting against unauthorized access and decryption, even in the era of quantum computing.

With HSMs from Freemindtronic, you benefit from:

Tamper Resistance: HSMs are built to withstand physical tampering attempts, providing an added layer of protection against unauthorized access.
Hardware-Based Encryption: Enjoy the benefits of hardware-based encryption, which is more secure than software-based solutions and less susceptible to vulnerabilities.
Secure Key Management: HSMs enable secure generation, storage, and management of cryptographic keys, reducing the risk of key compromise.

By integrating HSMs into your organization’s security infrastructure, you can establish a robust defense against threats like LitterDrifter and ensure the confidentiality and integrity of your sensitive data.

Conclusion

Staying One Step Ahead of LitterDrifter

LitterDrifter, the USB worm associated with the Gamaredon cyber espionage group, poses a significant threat to cybersecurity. Its ability to infiltrate systems, collect sensitive data, and execute malicious actions underscores the importance of proactive protection.

By understanding LitterDrifter’s origins, functionality, and impact, as well as implementing robust cybersecurity measures, you can shield your organization from this perilous threat. Additionally, NFC HSM technologies offer an extra layer of security to safeguard your data and secrets.

Stay vigilant, stay informed, and stay ahead of LitterDrifter and the ever-evolving landscape of cyber threats.

Articles, EviVault Technology, News, Uncategorized

Why choose a Cold Wallet NFC HSM to secure your cryptocurrencies?

Posted on September 10, 2023September 13, 2023 by FMTAD

10
Sep

secure your cryptocurrencies with a cold wallet NFC HSM by Jacques Gascuel: This article will be updated with any new information on the topic.

Secure your cryptocurrencies offline by Cold Wallet NFC HSM

Did you know that password managers and hot wallets can be hacked, leaked or stolen? In this article, we will show you a better solution: the cold wallet NFC HSM. It is a physical wallet that uses NFC technology to store and manage your private keys and recovery phrases offline. It is simple, efficient, durable and secure. Read on to find out more!

2025 Digital Security

OpenAI fuite Mixpanel : métadonnées exposées, phishing et sécurité souveraine

December 2, 2025

2025 Digital Security

Russia Blocks WhatsApp: Max and the Sovereign Internet

November 29, 2025

2025 Digital Security

Bot Telegram Usersbox : l’illusion du contrôle russe

November 29, 2025

2025 CyptPeer Digital Security EviLink

Missatgeria P2P WebRTC segura — comunicació directa amb CryptPeer

November 28, 2025

2025 Cyberculture Cybersecurity Digital Security EviLink

CryptPeer messagerie P2P WebRTC : appels directs chiffrés de bout en bout

November 14, 2025

2026 Awards Cyberculture Digital Security Distinction Excellence EviOTP NFC HSM Technology EviPass EviPass NFC HSM technology EviPass Technology finalists PassCypher PassCypher

Quantum-Resistant Passwordless Manager — PassCypher finalist, Intersec Awards 2026 (FIDO-free, RAM-only)

November 3, 2025

2025 Digital Security

Persistent OAuth Flaw: How Tycoon 2FA Hijacks Cloud Access

October 23, 2025

2025 Digital Security

Tycoon 2FA failles OAuth persistantes dans le cloud | PassCypher HSM PGP

October 22, 2025

How to secure your cryptocurrencies with a cold wallet NFC HSM is the topic of this article. Cryptocurrencies are digital currencies that offer many benefits, but also pose risks, especially in terms of security. To avoid losing or having your funds stolen, there is a solution: the cold wallet NFC HSM. It is a physical wallet that uses NFC technology to store and manage your private keys and recovery phrases offline, without internet connection or contact with a third party. The cold wallet NFC HSM uses patented technologies by Freemindtronic, an Andorran company specialized in security and protection of computer systems and information systems. These technologies are EviSeed and EviVault. In this article, we will explain why you should use a cold wallet NFC HSM to secure your cryptocurrencies and how to do it.

Why you need a cold wallet NFC HSM to secure your cryptocurrencies

If you own cryptocurrencies, you know that it is essential to protect your private keys and recovery phrases, which are the only means of accessing your funds. These sensitive data are often stored on online services, such as password managers, clouds or exchange platforms. These services offer some convenience, but they also pose significant risks:

You depend on a third party that can be victim of an attack, a flaw or a closure. If the service is compromised, you can lose access to your cryptocurrencies or have them stolen.
You do not have full control over your data, which can be exposed to leaks, thefts or legal requests. If someone accesses your private keys or recovery phrases, they can transfer your cryptocurrencies to another wallet without your consent.
You do not have the guarantee that your data are encrypted end-to-end, which means that they can be read or modified by the service or by a third party. If your data are stored in plain text or with weak encryption, they can be easily decrypted by a hacker.

These risks are not hypothetical. They are real and have already caused many losses for cryptocurrency users. Here are some statistics that show the dangers of storing cryptocurrencies online:

The statistics on the security incidents of password managers and hot wallets

A study by Verizon in 2021 showed that 81% of global data breach notifications were related to a password issue.
A survey conducted by Google in 2020 revealed that only 15% of users used an online password manager.
A report by CipherTrace published in 2020 stated that thefts and frauds related to cryptocurrencies reached 1.9 billion dollars in 2020.
A study by Chainalysis published in 2019 reported that exchange platforms suffered 11 major attacks in 2019, resulting in the loss of more than 283 million dollars in cryptocurrencies.
An analysis performed by Independent Security Evaluators in 2017 found that five of the main password managers presented critical vulnerabilities that allowed attackers to access the stored passwords.

The recent example of the hacking of LastPass and the thefts of cryptocurrencies

A recent example shows the dangers of storing recovery phrases or private keys online. LastPass, a password management service, had two major security incidents in 2022. A hacker accessed the source code, technical information and vaults of customers. Several experts linked these incidents to a series of cryptocurrency thefts. More than 150 victims lost more than 35 million dollars. These experts said that the victims had used LastPass to store their recovery phrases.

These incidents prove that virtual password managers are not good for securing cryptocurrencies. They do not encrypt or protect your data enough. They can also suffer from attacks or flaws that expose or change your data.

For more details about these incidents and their link to the crypto thefts, you can check these sources:

Experts link LastPass security breach to a string of crypto heists by Jess Weatherbed on The Verge
Experts Say LastPass Data Breach Led to A Ton of Crypto Heists by Adam Rowe on Tech.co
LastPass Vaults Linked to Major Cryptocurrency Heists Exceeding $35M on EconoTimes

Therefore, you need a safer and more reliable solution to store and manage your cryptocurrencies: the cold wallet NFC HSM. It is a physical wallet that uses NFC technology to store and manage your private keys and recovery phrases offline, without internet connection or contact with a third party. The cold wallet NFC HSM uses patented technologies by Freemindtronic, an Andorran company specialized in security and protection of computer systems and information systems. These technologies are EviSeed and EviVault.

In the next section, we will explain how the cold wallet NFC HSM works and what are its advantages.

How the cold wallet NFC HSM works and what are its advantages

The cold wallet NFC HSM is a physical wallet that uses NFC (Near Field Communication) technology to store and manage your private keys and recovery phrases offline, without internet connection or contact with a third party. The cold wallet NFC HSM uses patented technologies by Freemindtronic, an Andorran company specialized in security and protection of computer systems and information systems. These technologies are EviSeed and EviVault.

EviSeed is a technology that allows you to backup your recovery phrases in an encrypted way on the NFC HSM support of your choice. EviSeed also generates a QR code containing your encrypted recovery phrase, which you can print, share, send or save between NFC HSM supports by scanning the QR code encrypted in RSA 4096. You can also exchange your encrypted recovery phrases in NFC Beam or proximity between phones by wifi or Bluetooth.

EviVault is a technology that allows you to store and manage your private keys on the NFC HSM support of your choice. It is designed to protect your sensitive data and transactions from unauthorized access or alteration. It can be used as a secure element for authentication, encryption, digital signature or blockchain applications.

The cold wallet NFC HSM offers several advantages over other cold wallets:

Simplicity

You do not need to write or engrave your recovery phrases or private keys, just scan them with the application developed by Freemindtronic that embeds the EviSeed or EviVault technologies dedicated to securing blockchain and cryptocurrency keys on your NFC Android smartphone and transfer them to the NFC HSM support of your choice.

Efficiency

You do not need to memorize or type your recovery phrases or private keys, just scan them with your smartphone to restore your wallet.

Durability

The NFC HSM support that you choose to store your recovery phrases or private keys can be resistant to water, fire, shocks and scratches. It does not deteriorate over time. It does not require battery or internet connection.

Security

The NFC HSM support uses a patented segmented key technology, which means that your private keys are divided into several parts that are distributed between the support, the application and your smartphone. Thus, even if one of the elements is compromised, your cryptocurrencies remain protected.

To use a cold wallet NFC HSM to secure your cryptocurrencies, you must follow these steps:

Download the application developed by Freemindtronic that embeds the EviSeed or EviVault technologies dedicated to securing blockchain and cryptocurrency keys on your NFC Android smartphone.
Create or import your cryptocurrency wallet on the application.
Scan your recovery phrase or private key with the application.
Choose the NFC HSM support on which you want to save your recovery phrase or private key: an EviVault compatible Keepser or an EviSeed compatible SeedNFC.
Transfer your encrypted recovery phrase or private key to the NFC HSM support.
To restore your wallet, scan again the NFC HSM support with the application.

To sum up, a cold wallet NFC HSM is a simple, efficient and durable way to secure your cryptocurrencies. Freemindtronic, an innovative and patented company, created this solution. You have full control over your private keys and recovery phrases with a cold wallet NFC HSM. You do not depend on an online service. It protects you from hackers, thieves or losses. You should use a cold wallet NFC HSM to protect your cryptocurrencies if you own them. You can order it on Freemindtronic’s website or from its partners.

Uncategorized

How Freemindtronic designs eco-friendly security products

Posted on May 3, 2023May 3, 2023 by FMTAD

By Jacques gascuel

This article will be updated with any new information on the topic, and readers are encouraged to leave comments or contact the author with any suggestions or additions.

2026 Awards Cyberculture Digital Security Distinction Excellence EviOTP NFC HSM Technology EviPass EviPass NFC HSM technology EviPass Technology finalists PassCypher PassCypher

Quantum-Resistant Passwordless Manager — PassCypher finalist, Intersec Awards 2026 (FIDO-free, RAM-only)

November 3, 2025

Courtroom scene with a judge's gavel and legal documents on a wooden desk in the foreground, symbolizing a ruling on IT liability. A screen in the background displays a ransomware warning, emphasizing the case's digital focus.

2025 Cyberculture Legal information

French IT Liability Case: A Landmark in IT Accountability

January 22, 2025

PassCypher HSM PGP password manager software box and laptop displaying web browser interface

2025 PassCypher Password Products Technical News

Passwordless Password Manager: Secure, One-Click Simplicity to Redefine Access

January 8, 2025

Laptop and smartphone displaying 2FA MFA security features with OATH initiative, key management solutions for 2024.

2024 Articles Technical News

Best 2FA MFA Solutions for 2024: Focus on TOTP & HOTP

October 8, 2024

Flags of France and the European Union on a white background representing ANSSI cryptography authorization

2024 Articles Cyberculture Legal information

ANSSI Cryptography Authorization: Complete Declaration Guide

October 7, 2024

laptop displaying Microsoft Uninstallable Recall feature, highlighting TPM-secured data and uninstall option, with a user's hand interacting, on a white background.

2024 Articles Technical News

New Microsoft Uninstallable Recall: Enhanced Security at Its Core

October 3, 2024

Ultra-realistic image illustrating Andorra's shared EAN code with Spain, featuring a barcode starting with 84 and a map connecting Andorra and Spain.

2024 Articles Cyberculture

EAN Code Andorra: Why It Shares Spain’s 84 Code

September 9, 2024

2024 Articles Digital Security News

Russian Espionage Hacking Tools Revealed

August 31, 2024

Eco friendly & Data Security

Do you want to know how to protect your data and devices from cyberattacks while being eco-friendly? Do you want to discover a company that designs innovative and sustainable cybersecurity products that respect the planet and society? If yes, then this article is for you. In this article, we will introduce you to Freemindtronic, a company that follows the eco-friendly approach in its research and development of customized cybersecurity and cyber-safety products. We will explain what are the concepts of green tech, eco friendly and circular economy and why they are important for the future of humanity. We will also present the products and services offered by Freemindtronic and their advantages in terms of environmental, social and economic benefits. By reading this article, you will learn how Freemindtronic combines technological innovation and ecological responsibility to meet the current and future needs of its customers. So, don’t wait any longer and read on!

How Freemindtronic designs eco-friendly cybersecurity products

What are green tech, eco friendly and circular economy?

Firstly, green tech, eco friendly and circular economy are concepts that aim to reduce the environmental impact of our human activities while promoting economic and social development. Secondly, they involve rethinking the way we use natural resources, design products and manage waste. Moreover, these concepts are increasingly important in the face of the challenges of climate change, scarcity of raw materials and social inequalities.

Freemindtronic is a company that follows this eco-friendly approach. Based in Andorra and France, it specializes in research and development of customized cybersecurity and cyber-safety products for its clients. In addition, its products are designed with industrial-grade electronic components, manufactured in Europe, and respect the principles of green tech, eco friendly and circular economy.

Among its flagship products, we can mention EVICARD, EVIKEY and EVITAG. These products allow to store, protect, encrypt, decrypt, authenticate, share and control sensitive data with high security and reliability.

EVICARD, an NFC card that allows to store and protect sensitive data such as passwords, encryption keys or biometric identifiers. It has an anti-bruteforce system that makes brute force hacking impossible. It is also customizable and reusable at will.
EVIKEY, a secure USB key that allows to encrypt and decrypt data on any computer without leaving a trace. It is equipped with a biometric sensor that verifies the identity of the user before allowing access to the data. It is also resistant to shocks, water and extreme temperatures.
EVITAG, an NFC tag that allows to create secure links between connected objects or people. It can be used to authenticate, share or control information or actions remotely. It is also programmable and adaptable to different uses.

The benefits of these concepts for the planet and humanity

Freemindtronic est donc un exemple d’entreprise qui allie innovation technologique et responsabilité écologique. Ses produits de cybersécurité et de cybersécurité répondent aux besoins actuels et futurs de ses clients tout en respectant l’environnement et la société.

These products have several environmental, social and economic benefits:

They reduce resource consumption by using recyclable or biodegradable materials, optimizing the size and weight of the products, and limiting unnecessary packaging.
They extend the lifespan of the products by guaranteeing their reliability, robustness and scalability. Some products are even guaranteed for life by the manufacturer.
They recycle resources by offering customers to return used or obsolete products for repair, refurbishment or recycling.
They regenerate resources by supporting reforestation or biodiversity protection projects. For example, for each product sold, Freemindtronic plants a tree with the association Reforest’Action.

Freemindtronic: a company that follows the eco-friendly approach

Freemindtronic is therefore an example of a company that combines technological innovation and ecological responsibility. Its cybersecurity and cyber-safety products meet the current and future needs of its customers while respecting the environment and society.

Finally, if you want to know more about Freemindtronic and its products, you can visit its website https://freemindtronic.com or its social networks. You can also contact us for any questions or requests. We will be happy to help you.

Thank you for reading!

Uncategorized

IK CODE NF EN 62262

Posted on September 16, 2022September 16, 2022 by FMTAD

Shock resistance

The European standard EN 62262, the equivalent of the international standard IEC 62262 (2002), concerns IK ratings. This is an international numerical classification of the degrees of protection provided by the enclosures of electrical equipment against external mechanical impacts. It specifies the ability of an enclosure to protect its contents from external impacts. The IK10 classification is the highest vandal resistance rating with an impact energy of 20 joules repeatedly applied to the GRP enclosure.

Impact test characteristics
Indice IK	IK 01	IK 02	IK 03	IK 04	IK 05	IK 06	IK 07	IK 08	IK 09	IK 10
Impact energy (joules)	0.15J	0.20J	0.35J	0.5J	0.70J	1J	2J	5J	10J	20J
R mm (radius of striking element)	10	10	10	10	10	10	25	25	50	50
Material	Polymide	Polymide	Polymide	Polymide	Polymide	Polymide	Polymide	Polymide	Polymide	Polymide
Mass Kg	0.2	0.2	0.2	0.2	0.2	0.5	0.5	1.7	5	5
Pendulum hammer	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes	Yes
Spring hammer	Yes	Yes	Yes	Yes	Yes	Yes	No	No	No	No
Free fall hammer	No	No	No	No	No	No	Yes	Yes	Yes	Yes

1 J = 1 N m = 1 kg m² s (The expression for the joule in the basic units of the international system is kilograms per square metre per square second.)

Bug Bounty, CONAND, Events, Uncategorized

Bug Bounty Express on Evitag: Conand 2018, the cybersecurity congress in Andorra

Posted on January 8, 2018February 20, 2024 by FMTAD

08
Jan

Do you have what it takes to hack the contactless security solution by Fullsecure and Freemindtronic Andorra? If yes, then you should join the Bug Bounty Express on Evitag NFC HSM that took place at CONAND 2018, the cybersecurity congress in Andorra. It was a security challenge that consisted of detecting vulnerabilities on the innovative product Evitag NFC HSM, which allows to secure your secrets via an NFC electronic module. The Bug Bounty Express was organized by Fullsecure, partner of CONAND 2018, on its booth during the second edition of the event, on February 7 and 8, 2018.

Conand Show Events

What is CONAND 2018?

CONAND 2018 is an event organized by Andorra Telecom, the telecommunications operator of the country, in collaboration with the government of Andorra, the Cybersecurity Research Center of the University of Andorra and the Chamber of Commerce, Industry and Services of Andorra. It aims to promote cybersecurity as a key element of digital transformation and to strengthen Andorra’s position as a technological and innovative hub. The second edition of this congress took place from February 7 to 8, 2018 at the Congress Center of Andorra la Vella and brought together national and international experts, companies, institutions and researchers around conferences, workshops, demonstrations and business meetings.

Bug Bounty Show Events

What is a Bug Bounty?

A Bug Bounty is a reward offered to anyone who can find and report a security flaw in a software, a hardware, a website or an application. The reward can be monetary, in-kind or in recognition. The Bug Bounty aims to encourage ethical hackers to help improve the security of the products and services they use, and to prevent malicious hackers from exploiting the vulnerabilities they find.

Demo show in booth

How to use Evitag NFC HSM?

To use Evitag NFC HSM, you just need to have an Android NFC smartphone and the Android application developed by Freemindtronic Andorra. By passing the NFC HSM module under the phone, you can display your secret, share it in RSA 4096 (a very robust asymmetric encryption algorithm) or use it directly on your phone or on a computer via a web extension coupled to the phone serving as a terminal.

Safety and Cybersecurity System presented at Conand 2018

What are the advantages of Evitag NFC HSM?

EviTag NFC HSM has several advantages over traditional solutions for storing your secrets:

It works without server or database, which reduces costs and risks of hacking.
It works only without contact, which avoids compatibility or connectivity issues.
It is lifetime without battery, without maintenance and tamperproof and waterproof, which ensures its reliability and durability.
It uses an AES 256 encryption algorithm, recognized as one of the safest in the world, to encrypt your secrets stored in the EPROM memory of the NFC.

Use case

Who is Evitag NFC HSM for?

Evitag NFC HSM is for anyone who needs to secure their secrets in a convenient and reliable way. It is especially useful for private users who want to protect their online accounts, digital wallets, social media profiles and other sensitive information. Indeed, with Evitag NFC HSM, you can:

Manage and access your secrets easily without having to memorize or write them down.
Log in to your online accounts using the NFC HSM to display your password in volatile memory on your phone without leaving any trace of it.
Share your secrets with your friends or family in a secure and controlled way.
No risk in case of loss, theft or attempted compromise of the NFC HSM module locked to access with more than 9 trust criteria serving as a multifactor authentication system. Knowing that your secrets contained in the NFC HSM can be cloned, backed up in an encrypted way for later restoration in a new NFC HSM.
Benefit from a high level of security thanks to the physical and logical protection of the NFC HSM module encrypted in AES 256 with segmented key.

Bug Bounty Information

What was the Bug Bounty Express on Evitag NFC HSM at CONAND 2018?

The Bug Bounty Express on Evitag NFC HSM was a security challenge that consisted of detecting vulnerabilities on the product Evitag NFC HSM. The product included an Android application and an NFC electronic module. The challenge was to recover the login and password hosted inside an Evitag NFC HSM safe.

The Bug Bounty Express lasted for two days, from 10 am to 6:30 pm, on February 7 and 8, 2018. It was free and open to anyone who wanted to participate. It took place on the Fullsecure booth at the Congress Center of Andorra la Vella, where five Evitag NFC HSM devices were available for testing. Each device contained five labels, five login and five passwords, brute force enabled with administrator password and jamming enabled. One device was dedicated to physical brute force attacks (Tamper-proof).

Each participant had to register online and submit their vulnerability reports online. The material provided for testing included an oscilloscope, a NFC reader card for PC, a professional thermal sensor with thermal image capture, a WIFI router for creating a local network for the EVILOCK NFC function, and the Android application and the web plugins for Evitag NFC HSM.

The participant was free to use any type of material to carry out their attacks. The participant brought their material under their sole responsibility, such as computer, smartphone, measuring devices and/or radio frequency.

For physical brute force attacks, the participant had to bring their tools and/or physical attack solutions. However, tools and/or solutions that could harm the physical integrity of people were prohibited within the framework of the CONAND event. In the event that the participant wanted to carry out this type of test, they had to make an explicit and motivated request. The request accepted by Fullsecure, had to be carried out outside the framework of the event in a secure environment by the participant. At least one witness was present during the physical attack and was filmed by a person from Fullsecure.

In general, all brute force attacks were allowed, whether passive and/or intrusive.

What were the rewards for the Bug Bounty Express on Evitag NFC HSM at CONAND 2018?

The rewards for the Bug Bounty Express on Evitag NFC HSM were as follows:

For each vulnerability detected, the participant received a certificate of participation and a trophy with the name of the vulnerability and the name of the participant.
For the first vulnerability detected, the participant received a gift voucher of 100 euros.
For the second vulnerability detected, the participant received a gift voucher of 200 euros.
For the third vulnerability detected, the participant received a gift voucher of 300 euros.
For the fourth vulnerability detected, the participant received a gift voucher of 400 euros.
For the fifth vulnerability detected, the participant received a gift voucher of 500 euros.

The maximum amount of rewards per participant was 1500 euros. The rewards were cumulative and could be combined with other rewards offered by other partners of the event.

Buy

How to get Evitag NFC HSM?

Evitag NFC HSM is a product marketed in white label by Fullsecure, a company specialized in the distribution of IT security solutions. To learn more about Evitag NFC HSM or to place an order, you can contact Fullsecure at the following coordinates:

Send us a message

How to join the Bug Bounty Express on Evitag NFC HSM?

If you are interested in joining the Bug Bounty Express on Evitag NFC HSM, you can find more information about the challenge, the rules, the rewards and the registration process on the following link: Bug Bounty Express on Evitag NFC HSM. This is a great opportunity to test your skills, learn new techniques and earn incentives for finding vulnerabilities on this innovative product. Don’t miss this chance to join the cybersecurity community and contribute to making the digital world safer.