LulzSec, l’ascension éclair d’un groupe de pirates informatiques

1
87

La police de l’Arizona, la CIA, Sony, le Sénat américain, Nintendo, la chaîne de télévision PBS, le réseau de télévision Fox, le site pornographique Pron.com, l’émission “X Factor”, la police britannique, l’éditeur de jeux vidéo Bethesda… La liste des victimes d’attaques informatiques revendiquées par Lulz Security, un groupe de pirates informatiques, est longue.

Mais surtout, l’ensemble de ces attaques ont eu lieu dans un délai très court : inconnu il y a encore deux mois, Lulzsec – “lulz” étant une déformation de l’acronyme anglais pour “mort de rire” – s’est taillé en quelques semaines à peine une renommée internationale.

Quelle est leur motivation ? Pourquoi s’en prendre à des cibles aussi diverses ? “For the lulz”, simplement pour s’amuser, assure le groupe par l’intermédiaire de son site officiel comme de son compte Twitter – tous deux toujours en ligne. “Vous trouvez ça marrant de voir le chaos se développer, et nous nous trouvons ça marrant de le causer”, écrit par exemple le groupe dans l’un de ses nombreux communiqués. Sur le site Internet du groupe, le visiteur est accueilli par un bateau pirate dessiné en art ASCII et la musique de la série télévisée La croisière s’amuse. Cliquez sur le bouton pour couper la musique, et celle-ci double de volume : c’est de l’humour à la sauce LulzSec. Autre exemple du sens de l’humour du groupe : après avoir dérobé les mots de passe des clients du site pornographique Pron.com et les avoir publiés sur Internet, LulzSec a incité ses fans à utiliser ces informations pour s’introduire dans les comptes Facebook des clients – et les y dénoncer comme utilisateurs de sites pornographiques.

ENQUÊTE INTERNATIONALE

Pourtant, entreprises et administrations prennent le groupe au sérieux. Mardi, c’est une opération conjointe du FBI et de Scotland Yard qui a permis d’arrêter un membre présumé du groupe près de Londres. Ryan, 19 ans, est suspecté d’avoir participé à une attaque qui avait paralysé le site Internet de la Serious Organized Crime Agency, l’organe de la police britannique qui lutte contre le crime organisé. Le jeune homme a été inculpé pour sa participation présumée à plusieurs attaques et pour la détention d’un botnet, un réseau d’ordinateurs contrôlés à distance et utilisés pour les attaques.

Du menu fretin, rétorque LulzSec. “Visiblement, la police britannique est tellement désespérée de nous attraper qu’elle est allée arrêter quelqu’un qui n’est, au mieux, qu’un vague associé. Naze.” Le groupe affirme avoir simplement utilisé un canal de discussion hébergé par Ryan, qui ne fait pas partie du “cœur” du groupe.

Mais quel est le “cœur” de LulzSec ? Un noyau dur de cinq personnes à peine, d’après Backtrace Security, un groupe d’anciens membres d’Anonymous aujourd’hui en conflit avec leurs anciens “collègues”. Topiary, Sabu, Tflow, Kayla, Joepie91 : cinq pseudonymes bien connus dans le milieu des activistes Web et du hacking. “Topiary a fait de la prison pour des intrusions informatiques, et Kayla prétend être une jeune fille de 16 ans depuis plus de six ans”, s’amuse un membre de Backtrace Security joint par le Monde.fr. Toujours selon le groupe, Ryan faisait partie d’un second cercle, et utilisait son botnet pour des attaques, mais Kayla dispose également de son propre réseau d’ordinateurs zombis.

Inconnu début mai, LulzSec s’est formé autour de ce noyau dur qui s’est connu par le biais d’Anonymous, lorsque ce réseau informel de cybermilitants et de hackers a pris de l’ampleur, l’an dernier. Apparu pour la première fois en 2008, à l’occasion d’une opération contre l’Eglise de scientologie, Anonymous est devenu fin 2010 un réseau lâche et ouvert, décentralisé et militant, qui montait au coup par coup des opérations punitives contre les entreprises et gouvernements vus comme portant atteinte à la liberté d’expression. Anonymous s’est notamment signalé en s’attaquant à des banques qui avaient choisi de clore les comptes de Julian Assange et de WikiLeaks, puis s’est impliqué dans diverses opérations contre les gouvernements tunisien ou égyptien.

C’est au sein de ce groupe à l’organisation anarchique, qui utilisait des canaux de discussion IRC, que l’embryon de LulzSec s’est solidifié, motivé par la recherche de la gloire, selon Backtrace Security : “Kayla, Tflow et Sabu couraient tous après la reconnaissance du milieu hacker bien avant Anonymous. Anonymous n’était qu’un véhicule pour eux.”

La publication, sur Internet, de comptes rendus de discussions sur l’un des canaux IRC utilisés par LulzSec laisse entendre que le groupe s’est bien constitué en deux temps. Dans ces conversations, Topiary, considéré comme le porte-parole officieux du groupe, explique :

<Topiary> hmm je suis pas sûr de qui EST LulzSec en fait… tflow/Sabu/moi/kayla l’ont lancé, puis tflow était là/pas là, et puis Avunit/pwnsauce nous a rejoints, puis vous… 😀 C’est tout le monde et personne j’imagine
<Topiary> allons poster de la désinfo sur la CIA

DES COMPÉTENCES RÉELLES VARIABLES

Pour autant, LulzSec n’est pas nécessairement un groupe de pirates d’élite. Si les cibles choisies – CIA, sous-traitants du FBI, grandes entreprises – sont impressionnantes, les techniques utilisées par le groupe ne font pas forcément appel à des compétences techniques poussées. Les attaques de déni de service, qui consistent à saturer un site Internet de connexions pour le bloquer, sont simples à mettre en place – pour peu que l’assaillant dispose d’une force de frappe suffisante, le plus souvent un botnet.

Les intrusions perpétrées par LulzSec, qui ont permis au groupe de prendre possession de documents internes d’entreprises et d’administrations, ne sont pas non plus des prouesses. “Ces intrusions ne devraient en théorie pas être simples à mettre en œuvre, mais les techniques utilisées par LulzSec – des injections SQL – sont bien connues dans la communauté du hack et sont considérées comme plutôt triviales, juge Graham Cluley, chercheur en sécurité chez Sophos. Malheureusement, de nombreux sites sont insuffisamment protégés contre ce type d’attaques.” L’injection SQL consiste à tirer parti, par exemple, des formulaires d’un site Web pour injecter un code malveillant directement dans une base de données, afin d’obtenir l’accès à des parties protégées sur le site.

Au cours de leurs discussions sur leur canal IRC, des membres de LulzSec le reconnaissent au coup par coup : c’est l’absence de protections efficaces qui a permis au groupe de pénétrer plusieurs sites visés. Lors d’une discussion sur un communiqué de Nintendo, qui expliquait qu’un serveur pénétré par LulzSec était en réalité mal configuré, Tflow reconnaît qu’il ne s’agissait pas d’un gros hack”. D’après les membres de Backtrace Security, les compétences au sein de LulzSec sont variables, regroupant à la fois des script kiddies – des pirates “amateurs” qui se contentent d’exploiter des outils librement disponibles sur Internet – et des personnes qui ont des connaissances plus poussées en sécurité informatique.

Il y a, en revanche, un domaine dans lequel tous s’accordent à reconnaître les compétences de LulzSec : le marketing du piratage. Inconnu il y a deux mois, le groupe et ses divers logotypes s’affichent presque quotidiennement en une de la presse internationale ; son compte Twitter est passé en quelques semaines de quelques dizaines à plus de 250 000 followers, soit presque autant que le compte du Monde.fr. Chaque nouvelle fuite du groupe est savamment orchestrée, annoncée en avance sur le compte Twitter de LulzSec ; le groupe n’hésite pas à manier le paradoxe, menaçant par exemple de représailles un pirate qui s’était introduit dans les serveurs de l’éditeur de jeux vidéo Sega… alors que LulzSec venait de s’en prendre à Nintendo et à Sony. “Nous sommes des fans de la Dreamcast” [une ancienne console de Sega], justifie le groupe, avant d’inciter Sega à prendre contact avec eux pour retrouver le pirate…

L’ART DE LA DÉSINFORMATION

Pourtant, derrière le côté bravache, le groupe n’est pas aussi sûr de lui lorsque ses membres discutent entre eux. Peu après le piratage d’Infragard, Sabu écrit dans le canal IRC du groupe : “Vous vous rendez compte que nous avons mis une claque au FBI. Cela veut dire que nous devons tous rester extrêmement prudents.” Il explique ensuite avoir, par mesure de précaution, effacé l’ensemble des données volées précédemment sur un serveur de la chaîne de télévision PBS.

L’ampleur des cibles, la fréquence des attaques, le côté provocateur des message publiés par le groupe en ont fait, très vite, une superstar. Avec l’aide de petites astuces : de fortes suspicions portent, par exemple, sur le compte Twitter de LulzSec, qui semble être suivi par de nombreux comptes fantômes ou robots. La comparaison de l’évolution du nombre de followers du compte @LulzSec montre des amplitudes très fortes, une anomalie qui peut être le signe d’une intense activité de comptes automatisés.

LulzSec excelle également dans la désinformation, multipliant les alias et allant jusqu’à publier de fausses fuites pour faire croire que le groupe travaille en sous-main pour la CIA. Sur le canal IRC, Sabu explique la marche à suivre :

<Sabu> nous essayons de cacher nos adresses et toutes ces merdes, on ne veut plus que des gens se fassent doxer [que des informations les concernant soient publiées] sur l’autre canal
<Topiary> ça se comprend
<Topiary> les pseudos qui se font gauler sont des faux
<Topiary> parce que nous avons fait fuiter des faux docs
<Topiary> nous attirons l’attention loin de nos vrais pseudos et d’Anonymous

Se faire “doxer”, voir son identité publiée sur Internet, c’est la hantise des membres de LulzSec, plus encore que d’être repérés par les forces de l’ordre. Car en attirant l’attention du monde entier, LulzSec s’est aussi fait de nombreux ennemis, notamment parmi la communauté hacker. Outre Backtrace Security, plusieurs “hacktivistes”, dont “The Jester” (bouffon, en anglais) ont déclaré la guerre à LulzSec. Les archives des discussions IRC montrent que pour Lulz Security, The Jester est un sujet de préoccupation bien plus important que le FBI, au point de tourner à l’obsession. Pourtant, selon les membres de LulzSec, The Jester n’a aucune compétence, et ne devrait donc pas représenter une menace ; mais en mettant en cause leur propre compétence, il représente une menace pour la réputation du groupe.

“L’HYBRIS” AVANT LA CHUTE

Car, finalement, l’histoire de LulzSec est une histoire de réputation. Les discussions entre membres montrent que plus qu’une motivation financière ou politique, c’est essentiellement la reconnaissance de leurs “pairs” – et de la presse – qui leur importe. Et c’est l’un des germes du conflit entre LulzSec et d’autres groupes, qui leur reprochent leur égoïsme et qui estiment que ce type d’actions très visibles aboutiront nécessairement à une diminution des libertés sur Internet.

Entre les “moralfags” (terme désobligeant pour désigner les “hacktivistes”), les “attention whores” (qui ne recherchent qu’à attirer l’attention) ou les hackers qui considèrent que leurs activités doivent rester dans l’ombre pour éviter d’attirer l’attention, le désaccord de fond semble irréconciliable. Pour les membres de Backtrace Security, qui appartiennent à la dernière catégorie, la recherche de célébrité et l’ego démesuré de LulzSec les mèneront inévitablement à être pris. “C’est un cas classique d’hybris [la démesure qui mène à la chute, pour les Grecs anciens]. Leur recherche de gloire affaiblit leur sens commun.”

Les archives IRC de LulzSec montrent, en effet, que la modestie n’est pas la vertu cardinale du groupe. “Si je faisais partie de la CIA, je chercherais sûrement un groupe comme le nôtre, écrit par exemple Topiary. Sérieusement, si on nous donnait un emploi du temps, un bâtiment et un salaire, on détruirait le monde.”

Source : Damien Leloup, Le Monde

1 COMMENTAIRE

Les commentaires sont fermés.