Spécial sécurité / Scène « hack3rZ » : Acte I, LulzSec et la vengeance des cocus étatiques

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, lève le rideau sur une pièce de théâtre dont le thème principal sont les fameux hacktivistes, et leur recrudescence ces derniers mois. Comment les Etats s’en servent pour leur cause, la rivalité entre gangs, leur traces et empreintes sur le marché. Ils démontrent également que ces cyber-attaques, de part leur omniprésence médiatique, finissent par devenir « mainstream », comme inscrit dans le paysage IT. Nos confrères terminent enfin ce tour de piste par la libération du hacker Ryan Cleary.

Sommaire
1 - Scène « hack3rZ » : Acte I, LulzSec et la vengeance des cocus étatiques
2 - Scène « hack3rZ » : Acte II, jalousies et combats de coqs
3 - Scène « hack3rZ » : intermède, et pendant ce temps, la vie continue
4 - Scène « hack3rZ » : Interlude
5 - Le présumé « pirate anti-flic » Britannique libéré sous caution

1 - Scène « hack3rZ » : Acte I, LulzSec et la vengeance des cocus étatiques
La scène Hacktiviste ressemble de plus en plus à une pièce de boulevard, avec des portes qui claquent, des amants cachés dans des armoires, des quiproquos déjantés et des maris trompés. Portes qui claquent et fausse sortie du clan LulzSec qui disparaît pour se retrouver dans le lit de Anon, tandis que les grandes industries et les administrations notamment US s’aperçoivent qu’elles ont, des années durant, été cocufiées par une tribu de courtisans-vendeurs-d’équipements-de-sécurité-réputés-infaillibles et dont les prétentions au mariage étaient loin de valoir la dote (ou la rente de situation) qu’ils exigeaient.

Pendant ce temps, les gouvernements (principalement européens) jouent le rôle du troisième larron et tirent les marrons du feu en profitant de ce quiproquo. Loz Kaye, du Guardian, revient sur la radicalisation de l’arsenal juridico-policier que justifie le cocufiage de l’industrie et des administrations. Risque que nous dénoncions dans nos colonnes. Il faut admettre que même pour les ministres de l’Intérieur les plus cyniques, l’argument des violeurs, des poseurs de bombe et des cyberpédophiles était usé jusqu’à la corde. Rien de tel pour justifier une énième loi sur la rétention de données ou le filtrage que l’assimilation d’un hack de système à un « acte de guerre ». Les hacktivistes sont-ils nés d’un mouvement de réaction contre les lois répressives, ou les lois répressives sont-elles la conséquence des débordements des hacktivistes ? Question déterministe qui ne connaît aucune réponse, car il n’y a pas d’œuf, il n’y a pas de poule dans cette histoire. Pas plus que le fascisme italien d’avant-guerre n’était la conséquence des attentats prétendument anarchistes qui ont facilité leur accession au pouvoir… car ils en étaient l’origine.

Quoi qu’il en soit, en Grande Bretagne, aux Etats-Unis, en France, il se forge à grand renfort de campagnes médiatique un consensus « anti -pirates » qui reprend l’air des vielles rengaines du danger cyberpédophile. Rengaine qui justifie le fait que les libertés individuelles puissent être mises en veilleuse tant que la « patrie du monde des affaires » et que « l’économie qui propulse les états » sont considérées en danger. Tout compte fait, le nombre de cocus est plus élevé qu’on croit. Les Hacktivistes, tout d’abord, dont les revendications militantes bancales n’ont pas tenu devant l’accusation de cybervandalisme. Certains industriels, responsables sécurité des administrations et grandes organisations, qui se sont couverts de ridicule lorsqu’ont été dévoilées les mauvaises pratiques qui ont permis leur mise à sac, ainsi parfois que leurs « pratiques courantes » lorsque le contenu de leurs fichiers s’est retrouvé publié sur les réseaux P2P. Une partie des internautes en général, qui en arrivent à approuver l’institution d’entreprises spécialisées dans la délation de « coupables de téléchargement » et l’instauration de lois liberticides sans même se rendre compte des conséquences directes de ces lois (un récent sondage du gouvernement annonce que 50 % des sondés « adhèrent » à la mise en place de la Hadopi). Enfin, une majorité des géants du business de la sécurité périmétrique qui ont, de tous temps, tenté de réduire la protection des SI à une suite d’outils, et non à une politique cohérente, à des processus normés, à des campagnes de pentesting sérieuses, a des couches de protection hétérogènes… Quant aux responsables des systèmes d’information touchés par ces attaques, ils ont moins besoin d’une « rallonge budgétaire » destinée à renforcer leurs défenses, que d’une réelle liberté de décision afin de mieux organiser ladite défense.

2 - Scène « hack3rZ » : Acte II, jalousies et combats de coqs
Alors que le bateau anti-sec du groupe Lulz largue l’ancre et rejoint le contingent des Anonymous, un autre groupe de pirates déclare qu’il poursuivra le combat. Ce sont les membres du TeaMp0isoN, un groupe de spécialistes qui, jusqu’à présent, limitait ses actions revendicatives et politiques au simple « defacement » massif de sites Web. Activité d’une très haute portée morale et dénotant d’un profond engagement politique. Il faut dire que l’affaire avait assez mal commencé, surtout depuis que le team des empoisonneurs avait déclaré la guerre au Lulz en leur adressant les pires insultes (nOOb, N3bie… bref, de sous-hacker) ainsi en témoignait récemment le magazine Info Security

Mais les adorateurs de La Voisin ne sont pas les seuls à vouloir occuper la place médiatique laissée libre par les humoristes du Lulz. Les « Ninja du Web » revendiquent eux aussi une plus grande maîtrise de l’art du hacking noir et la connaissance de tous les secrets les plus intimes de leurs ennemis jurés. A tel point qu’ils en publient un site Web baptisé LulzSec Exposed. Dure conflit armé dans le bac à sable des pirates teenagers.

3 - Scène « hack3rZ » : intermède, et pendant ce temps, la vie continue
Le cousin à la mode de Bretagne vient de sortir côté Jar din, et l’agent de police entre en trombe côté cour : le Federal Financial Institutions Examination Council (FFIEC), alias le gendarme des banques aux USA, vient d’émettre une série de règles visant à renforcer la sécurité des transactions… et notamment les mécanismes d’authentification à double facteur (le retour du token ?) et la mise en place d’une défense multicouche (à la Montalembert dit-on en gaulois dans le texte) par opposition à une protection périmétrique dure, « hard and crunchy outside, soft inside ». Rappelons que la notion de double identification a pris un peu de plomb dans l’aile depuis les hacks successifs de Docomo et de RSA et des exploitations qui en ont résulté. Mais le FFIEC n’a jamais brillé pour la lucidité technique de ses analyses et la rapidité de ses recommandations.

Pendant ce temps, à New York, trois associations de joueurs utilisant le réseau PlayStation Network se portent partie civile et accusent Sony de négligence quant à la sécurité de son réseau et la protection des identités de ses clients. Les Anon font au moins quelques heureux en ce bas monde, ce sont les cabinets d’avocats qui, depuis le début de l’histoire, prospèrent au fur et à mesure que se multiplient les « class actions ». En France, nulle réaction des associations et fédérations de joueurs de pétanque, Tarot, Belotte et Beach Volley dont les réseaux semblent totalement inattaquables et qui se moquent éperdument des menaces des Anon à la veille de leur plus importante période d’activité.

Au même moment, un autre éditeur de jeux, Electronic Arts, signale à ses clients que leurs mots de passe ont tous été initialisés, conséquence du « chant du cygne de LulzSec ». Le blog de Sophos en fait mention et recommande pour la énième fois de ne pas utiliser le même mot de passe pour plusieurs services différents, surtout si certains d’entre eux ont des connexions financières.

4 - Scène « hack3rZ » : Interlude
MasterCard aurait subi le flot d’une attaque en déni de service distribuée si l’on en croit les revendications Twittées par un certain ibomhacktivist. Lequel associait son geste à une nouvelle forme de protestation contre les suspensions de paiement visant Wikeleaks. Une « punition » déjà infligée par les Anonymes il y a plus d’un an et qui avait déjà frappé les machines du groupement Visa, de l’intermédiaire Paypal et la banque Helvétique PostFinance. De son côté, MasterCard fait savoir à la presse que certains de ses services ont été partiellement perturbés en raison d’une défaillance de service de son opérateur télécom. Ce qui se résume en trois lignes sur le Wall Street Journal. Une telle action aurait valu la première page des journaux il n’y a pas un an… elle mérite à peine un entrefilet aujourd’hui… la répétition de la violence crée-t-elle une accoutumance ou provoque-t-elle un sentiment de lassitude ? Comme dans la chanson des Frères Jacques « A la Saint Médard », certains « marchands de pépins et de waterproof, se frottent les mains, faut bien qu’ces gens bouffent ». A lire, dans les colonnes de nos confrères du HNS, cette réaction d’un professionnel de la sécurité qui applaudi à tout rompre les hacks des LulzSec, Anonymous, TeamPoison et autres terreurs du clavier et du Ddos qui gratte. Opportunisme ? Un peu. Mais on ne peut lire ce billet sans remarquer un comeback du fameux débat « would you hire a hacker ? » (Engageriez-vous un pirate ?). Le CTO de l’entreprise en question, Andy Kemshall de SecurEnvoy, voit en ces groupes de pirates ses prochaines recrues et déclare « Les pirates d’aujourd’hui qui agissent dans l’ombre du Lulz ou d’Anon sont les experts de demain »…« les gens choisissent d’ignorer que beaucoup de spécialistes reconnus de nos jours sont d’anciens hackers repentis ». Les anciens Trotzkistes finissent toujours Ministres, les anciens pirates achèvent leur carrière comme auditeur 27001, c’est bien connu.

5 - Le présumé « pirate anti-flic » Britannique libéré sous caution
Ryan Cleary a été mis en liberté sous caution par le tribunal de Southwark Crown, rejetant l’appel formulé par la partie civile. Cleary est accusé d’avoir commis un acte de « sabotage » contre le S.I. de la SOCA (Serious Organised Crime Agency Britannique) et lancé une attaque en déni de service contre différents sites web liés à l’industrie de la pornographie du Royaume Uni. Son appartenance au réseau LulzSec a été niée par un porte-parole des hacktivistes mais dénoncé par un autre membre appartenant à un autre réseau. Il semblerait que cette décision du tribunal soit liée au fait que le prétendu coupable ait été diagnostiqué comme victime du syndrome d’Asperger. Rappelons que c’est ce même mécanisme de défense qui avait été utilisé par les avocats de Gary McKinnon, le pirate accusé d’avoir perpétré le plus « grand hack du siècle contre les infrastructures informatiques militaires US » et pénétré les défenses des ordinateurs de la Nasa dans le but prétendu de découvrir la vérité sur l’activité des extraterrestres en villégiature sur notre planète.

Pour approfondir sur Menaces, Ransomwares, DDoS