On nous demande souvent pourquoi avoir appelé notre école de cyber l’École 2600. C’est un hommage non seulement aux pionniers mais aussi a un état d’esprit.
Avant la cybersécurité, il y avait l’écoute
En 1957, un étudiant aveugle nommé Joe Engressia (aka “Joybubbles”) découvre qu’en sifflant à une fréquence très précise — 2600 Hz — il peut interrompre une communication longue distance et provoquer la libération du trunk côté central distant.
Et tout ceci en Virginie, barycentre de la tech US bien avant la Silicon Valley (et avant le lancement de la console d’Atari, la fameuse VSC ou Atari 2600…)
Il n’a pas lu de documentation interne. Il n’a pas exploité un bug logiciel. Il a simplement écouté, compris, puis reproduit un signal utilisé par le réseau.
Cette fréquence, 2600 Hz, deviendra le symbole d’une époque où le hacking n’avait pas encore de nom, mais possédait déjà sa méthode : comprendre un système mieux que ceux qui l’ont conçu.
Le phreaking — contraction de phone et freak — n’est pas une curiosité folklorique. Il constitue l’un des premiers cas emblématiques documentés d’exploitation méthodique d’une faille architecturale dans une infrastructure critique.
Et ce qu’il révèle sur la confiance, la conception et l’aveuglement institutionnel reste d’une actualité troublante.
Le système téléphonique : quand la signalisation faisait foi
Pour comprendre la vulnérabilité, il faut comprendre l’architecture.
Le réseau téléphonique longue distance américain, alors opéré par AT&T, reposait sur un principe aujourd’hui considéré comme fondamentalement dangereux : la signalisation in-band.
Concrètement, les signaux de contrôle — supervision de ligne, libération de trunk, prise de ligne distante, routage — transitaient sur le même canal physique que la voix.
Lorsqu’un appel longue distance se terminait, l’équipement de commutation envoyait un ton continu de 2600 Hz pour indiquer que le trunk était de nouveau disponible. Lorsqu’un opérateur devait router un appel, il envoyait des combinaisons de tons MF (Multi-Frequency) afin d’indiquer au central distant le numéro à joindre.
Le système faisait confiance au canal :
- si un ton de 2600 Hz était présent, il provenait nécessairement du réseau.
- si des tons MF suivaient, ils étaient supposés émis par un opérateur autorisé.
Aucune authentification du signal. Aucune séparation entre plan de contrôle et plan de communication. Aucune validation de l’origine.
Cette vulnérabilité n’était pas un bug. Elle était structurelle. Elle découlait d’une hypothèse implicite : seuls les équipements du réseau étaient supposés capables — ou susceptibles — d’émettre ces signaux de manière intentionnelle.
L’utilisateur final, bien que techniquement capable de produire certaines de ces fréquences avec des moyens simples, n’était pas perçu comme une entité active ou malveillante.
Cette hypothèse était fausse. Et quelques individus curieux l’ont démontré.
La culture phreaking : comprendre avant d’attaquer
John Draper, dit Captain Crunch, découvre que le sifflet offert dans les boîtes de céréales Cap’n Crunch produit une fréquence très proche de 2600 Hz. Il l’utilise pour libérer des trunks longue distance et injecter ensuite les séquences de signalisation appropriées.
D’autres conçoivent des blue boxes — générateurs électroniques capables de reproduire précisément les tons MF utilisés par les opérateurs.
Steve Wozniak et Steve Jobs en construiront et en vendront avant de fonder Apple.
Mais réduire le phreaking à l’anecdote ou à la fraude serait passer à côté de l’essentiel. Ce qui caractérise cette communauté, c’est une démarche intellectuelle rigoureuse : l’ingénierie inverse comme mode de connaissance.
Les phreakers écoutaient les lignes, enregistraient les signaux, mesuraient les fréquences, observaient les effets produits sur le réseau. Ils reconstituaient, par expérimentation, le fonctionnement réel d’un système conçu pour fonctionner correctement — non pour être compris par ses utilisateurs.
Ils ne se fiaient pas à la documentation officielle, lorsqu’elle existait. Ils validaient empiriquement chaque hypothèse.
Cette posture — observation, doute méthodique, reconstruction mentale du système — est exactement celle qu’adoptent aujourd’hui un auditeur de sécurité, un pentester ou un analyste SOC.
Le phreaking n’était pas du vandalisme : c’était de la recherche appliquée, sans cadre légal, mais avec méthode.
Du 2600 Hz à la cybersécurité moderne
Ce que révèle l’affaire du 2600 Hz, c’est un schéma récurrent dans l’histoire des systèmes d’information.
Un schéma que l’on retrouve, sous des formes différentes, dans la majorité des incidents majeurs contemporains.
La confiance implicite.
Le réseau téléphonique faisait confiance au canal. Les réseaux IP font encore souvent confiance au périmètre. Les applications font confiance au token. Les environnements cloud font confiance à l’identité fédérée. À chaque époque, la confiance est déplacée, rarement éliminée.
L’absence de séparation.
Mélanger signalisation et trafic revient aujourd’hui à faire coexister données et instructions dans un même flux. Les attaques par injection — SQL, LDAP, commande — reposent sur exactement ce principe : provoquer une confusion entre ce qui est interprété comme donnée et ce qui est exécuté comme instruction.
Le décalage entre conception et menace.
Le réseau téléphonique était conçu pour fonctionner à l’échelle nationale, pas pour résister à des utilisateurs intentionnellement malveillants. Cette logique continue de s’appliquer à de nombreux systèmes modernes, où la sécurité est ajoutée a posteriori, par empilement de contrôles compensatoires, rarement intégrée dès l’architecture.
La lenteur de la réponse.
La vulnérabilité de la signalisation in-band était connue dès la fin des années 1950. Elle ne sera réellement éliminée qu’avec la généralisation d’une signalisation hors bande — notamment SS7 — à partir des années 1980.
Ce changement corrigera le problème initial tout en introduisant un nouveau modèle de confiance, avec ses propres vulnérabilités.
Les raisons du nom de l’École 2600
En 20219 nous avons décider de lancer école de cybersécurité et avions choisi de nous appeler École 2600. Ce n’est pas une référence nostalgique. C’est un rappel.
Un rappel que les systèmes disent ce qu’on leur a appris à dire, pas nécessairement ce qu’ils font réellement.
Un rappel que la documentation décrit l’intention, rarement l’implémentation.
Un rappel que la sécurité commence par l’observation concrète et la vérification empirique.
Le chiffre 2600 incarne une pédagogie : celle qui refuse de former des exécutants de procédures et cherche à produire des professionnels capables de déconstruire, de tester et de douter.
Apprendre la cybersécurité n’est pas mémoriser des référentiels. C’est apprendre à regarder un système et à se demander, inlassablement : comment cela fonctionne-t-il vraiment ?
C’est exactement ce que faisaient les phreakers. Sans moyens, sans laboratoire, sans autorisation — mais avec méthode.
2600 Magazine : quand la méthode devient publication
Peu connu en France, cette anecdote court toujours. Je le lis chaque trimestre, depuis une quarantaine d’années. Et la collection complète est disponible à l’école.
En 1984, Eric Corley — sous le pseudonyme Emmanuel Goldstein, emprunté à Orwell — fonde 2600: The Hacker Quarterly. Le choix du nom n’est pas anodin : il ancre explicitement le magazine dans l’héritage du phreaking, tout en élargissant le champ à l’ensemble des systèmes informatiques et de télécommunication.
Ce que 2600 Magazine apporte, c’est la structuration d’une communauté jusqu’alors dispersée. Le magazine publie des articles techniques — analyses de protocoles, descriptions de vulnérabilités, retours d’expérience — mais aussi des réflexions sur l’éthique, la surveillance, les libertés numériques. Il organise les premiers meetings réguliers de hackers, chaque premier vendredi du mois, dans des lieux publics à travers le monde — une tradition qui perdure encore aujourd’hui.
2600 incarne une conviction : le savoir technique ne doit pas rester cloisonné. La sécurité par l’obscurité est une illusion. La diffusion de la connaissance — y compris celle des failles — renforce les défenseurs plus qu’elle n’arme les attaquants. Cette position, controversée à l’époque, est aujourd’hui au cœur du responsible disclosure et de la recherche en sécurité offensive.
Le magazine a également joué un rôle juridique et politique. En 2000, 2600 est poursuivi par la MPAA pour avoir publié le code de DeCSS, permettant de contourner les protections des DVD. L’affaire Universal v. Reimerdes devient un cas emblématique du conflit entre liberté d’expression et propriété intellectuelle — un débat qui structure encore aujourd’hui les questions de publication de vulnérabilités et de recherche en sécurité.
Quarante ans après sa création, 2600 Magazine continue de paraître. Il reste l’un des rares ponts vivants entre la culture hacker originelle et la cybersécurité professionnelle contemporaine — preuve que la transmission de cette méthode n’est pas qu’une affaire d’école, mais aussi de communauté.
La fréquence a disparu mais la méthode demeure
Le 2600 Hz n’est plus utilisé. Le réseau téléphonique analogique a disparu. Mais la leçon est intacte.
Chaque fois qu’un architecte suppose que « personne ne fera ça », il répète l’erreur d’AT&T.
Chaque fois qu’un RSSI fait confiance à un périmètre implicite, il répète l’erreur du trunk non authentifié.
Chaque fois qu’un formateur enseigne la sécurité sans enseigner la curiosité, il passe à côté de l’essentiel.
La cybersécurité n’est pas une discipline de conformité. C’est une discipline de lucidité.
Et la lucidité s’apprend — à condition de transmettre non seulement des outils, mais aussi une posture.
Le 2600 Hz n’était qu’une fréquence.
Mais il a révélé une vérité que chaque génération de professionnels doit redécouvrir :
un système n’est sûr que si quelqu’un a pris la peine de vérifier qu’il l’est réellement.
C’est cette vérification — méthodique, obstinée, sans concession — que nous appelons aujourd’hui la cybersécurité.
