Piratage de pirates au service de la surveillance en ligne
Présent sur la liste des ennemis d’Internet de Reporters Sans Frontières pour sa contribution à la surveillance en ligne, Hacking Team vient d’être victime d’un piratage.
Ce dimanche 4 juillet, les pirates ont publié sur Internet un vaste ensemble de 400 Go de données exfiltrées de l’infrastructure de l’italien Hacking Team, avant de prendre un peu plus tard le contrôle de son compte Twitter.
Depuis plusieurs années, Reporters Sans Frontières (RSF) identifie Hacking Team comme l’une des « 5 entreprises ennemies d’Internet », ou « mercenaires de l’ère digitale », aux côtés de Gamma International, Trovicor, Amesys et Blue Coat. Dans une présentation dévoilée précédemment par WikiLeaks, Hacking Team revendiquait le développement d’un « système de sécurité IT offensive hautement innovante qui, dans des circonstances précises, permet aux autorités d’attaquer et de contrôler des PC à distance ». En somme, un logiciel espion.
Il y a un an, Kaspersky mettait la main sur Galileo, un logiciel espion de Hacking Team pour Android et iOS. L’éditeur estimait alors que Galileo serait contrôlé par plus de 320 serveurs répartis dans plus de 40 pays. La majorité des serveurs se trouverait aux Etats-Unis, au Kazakhstan, en Equateur, au Royaume-Uni et au Canada. Sergey Golovanov, de Kaspersky, soulignait qu’il était impossible, en l’état, d’affirmer que ces pays utilisaient les outils d’Hacking Team. Mais selon lui, « il est pertinent pour les utilisateurs de RCS de déployer des serveurs de commande et de contrôle dans des endroits qu’ils maîtrisent - là où les risques de problèmes légaux frontaliers ou de saisie de serveurs sont minimes. »
L’analyse des fichiers présentés comme piratés chez Hacking Team a commencé. Les premiers examens semblent confirmer leur origine. Et d’indiquer que l’entreprise compterait notamment des clients en Egypte, au Maroc, au Mexique, en Equateur, aux Etats-Unis, en Allemagne, en Espagne ou encore en Pologne.
Chez Hacking Team, Christian Pozzi a reconnu l’incident de sécurité, précisant « informer tous nos clients » et « travailler étroitement avec la police ». Et d’affirmer que « le fichier torrent dont les attaquants prétendent qu’il est propre contient un virus », avant d’assurer qu’il ne faut pas « croire tout le faux dans ce que diffusent les attaquants ». Son compte Twitter a depuis été fermé, mais son contenu reste accessible.