Nous avons coupé la tête de LulzSec.

Un officiel du FBI s’est félicité mardi d’une vague d’arrestations de hackers conduites aux Etats-Unis et en Grande-Bretagne. Elle a visé trois groupes de hackers : LulzSec, émanation foutraque du collectif informel Anonymous, AntiSec qui a revendiqué le piratage de l’entreprise de renseignement privé Stratfor, et Internet Feds.

La taupe

Ce coup de filet a été rendu possible grâce au retournement de Sabu, ou Hector Xavier Monsegur à l’état civil. Ce New-yorkais de 28 ans a récolté pendant plusieurs mois des informations au profit du FBI, d’après Fox News qui a révélé l’affaire. Un média bien placé puisque Sabu était accusé d’avoir “participé à une cyber-attaque contre les ordinateurs de Fox” selon l’acte d’accusation [PDF] établi par le procureur de New York, Preet Bharara.

Dans ce document, les faits reprochés s’arrêtent brutalement au 7 juin 2011, date de son arrestation par les autorités américaines. Le 15 août, Sabu plaide coupable pour douze chefs d’inculpation. Le FBI remplace son ordinateur portable par un autre, qu’ils maintiennent sous surveillance.

“Membre influent de trois organisations de hackers”, il lui est reproché d’avoir pris part à des activités illégales au sein de trois collectifs : Anonymous, LulzSec et Internet Feds. Deux derniers groupes auxquels appartiennent des membres arrêtés en début de semaine.

Le logo du collectif de hackers LulzSec

“Ça n’a pas été facile”, a expliqué à Fox News un officier du FBI qui a participé au retournement de Sabu. “On a réussi grâce à ses enfants. Il ne voulait pas partir en prison et les laisser. C’est comme ça qu’on l’a eu”.

L’acte d’accusation détaille les opérations auxquelles Sabu a pris part. Au sein d’Anonymous d’abord, pendant les révoltes arabes. Le procureur l’accuse d’avoir attaqué par déni de service des sites gouvernementaux en Algérie ou en Tunisie et d’avoir identifié puis testé sans autorisation des failles de sécurité dans les serveurs yéménites et zimbabwéens. Avec le collectif Internet Feds, il aurait participé aux piratages de HBGary, de The Tribune et de Fox.

La liste est plus longue, et les cibles plus sérieuses, pour les attaques conduites avec LulzSec : le Sénat américain, la radio publique américaine PBS, une branche d’une société américaine qui travaillent avec le FBI, Infragard-Atlanta, les entreprises Sony, Nintendo et Bethesda Softworks.

Piratage de Stratfor

Je sais qu’un des membres de LulzSec (“CW-1”) a été arrêté par les autorités et a accepté de coopérer avec le gouvernement dans l’espoir d’obtenir une réduction de peine. CW-1 a plaidé coupable pour plusieurs actes d’accusation (…). Selon mes recherches, les informations fournies par CW-1 sont fiables et correctes, et ont été corroborés par d’autres informations obtenues dans le cadre de cette enquête.

Cette déclaration, qui pointe Sabu sans le nommer, provient de l’agent spécial du FBI Milan Patel. Elle apparaît dans la plainte du procureur contre Jeremy Hammond, arrêté lundi à Chicago. Il est l’un des artisans du piratage de Stratfor, l’entreprise de renseignement privée dont WikiLeaks publie les échanges internes depuis le 27 février. Le piratage des boîtes mails de l’entreprise est revendiqué par AntiSec, un groupe de hackers créé en juin 2011, qu’ont rejoint “plusieurs membres de LulzSec” selon l’agent spécial du FBI.

WikiLeaks déshabille Stratfor

En partenariat avec WikiLeaks, OWNI met en évidence le fonctionnement de l'un des leaders du renseignement privé, ...

Les services fédéraux suivent le piratage de Stratfor grâce à l’accès ouvert par Sabu. Les hackers utilisent des protocoles sécurisés pour échanger conversations et documents. Ils stockent les données dérobées à Stratfor sur des serveurs cachés (.onion) accessibles en utilisant Tor, un logiciel permettant d’anonymiser la navigation sur Internet.

Lors du piratage, le FBI demande à Sabu de fournir aux hackers d’AntiSec un serveur pour stocker les données. L’agent spécial Milan Patel les authentifie en les comparant à celles disponibles sur le serveur caché (.onion). Les discussions en temps réel entre Sabu et Jeremy Hammond  sont chiffrées, mais l’agent du FBI en obtient copie. Dès le 6 décembre, Jeremy Hammond raconte avoir choisi une nouvelle cible, Stratfor. Quelques jours plus tard, le 19 décembre, il annonce que l’ensemble des messages internes de l’entreprise de renseignement privé ont été copiés.

Les dernières publications de WikiLeaks, plus de cinq millions d’e-mails dérobés sur les serveurs de l’entreprise de renseignement privé Stratfor, marquent un nouveau départ pour l’organisation d’activistes de la transparence. WikiLeaks est resté bouche cousue sur la manière dont cette énorme quantité de documents a été obtenue. Un indice, néanmoins : des hackers agissant sous la bannière des Anonymous ont revendiqué l’infiltration des serveurs de Stratfor en décembre 2011.

Plus précisément, l’opération a été menée par le groupe Antisec, une sous-section d’Anonymous qui s’est spécialisée dans ce genre de piratage et dans les attaques par déni de service (DDOS). Dans le cadre de l’opération LulzXmas (Lulz renvoie à un rire grinçant et Xmas à Noël, NDLR), Antisec avait déjà publié des informations personnelles sur les clients de Stratfor. Des numéros de cartes de crédit avaient aussi été utilisés pour faire des dons à des organisation de bienfaisance. L’opération s’était achevée sur la publication de cinq millions d’e-mails, les mêmes que ceux publiés par WikiLeaks depuis lundi.

Insomnies

Sur Twitter, des comptes liés aux Anonymous ont publié des déclarations confirmant le don de ces e-mails à WikiLeaks :

Pour clarifier auprès des journalistes – OUI, #Anonymous a donné à WikiLeaks les e-mails obtenus lors du piratage LulzXmas en 2011. #GIFiles [Le hashtag correspondant à la dernière opération de WikiLeaks, NDLR]

Selon le magazine américain Wired, ce tweet codé de WikiLeaks, publié dans les jours suivant le piratage de Stratfor, servait à confirmer la bonne réception des e-mails :

Rats for donavon.

La collaboration entre les hackers d’Antisec et WikiLeaks est sans précédent et elle débouchera très probablement sur quelques insomnies pour les experts en sécurité des États ou des entreprises dans les semaines à venir. Elle pourrait aussi annoncer un nouvel afflux d’information pour une organisation au bord de la mise à mort depuis quelques temps.

WikiLeaks déshabille Stratfor

En partenariat avec WikiLeaks, OWNI met en évidence le fonctionnement de l'un des leaders du renseignement privé, ...

Blocage financier

Depuis plusieurs mois, WikiLeaks annonçait la mise en place à venir d’un nouveau portail d’envoi de documents. Qui ne s’est toujours pas matérialisé. Car ce qui reste des forces vives de l’organisation est surtout occupé à lever des fonds et résoudre les problèmes légaux rencontrés par Julian Assange. Les médias se font d’ailleurs l’écho de guéguerres internes et du style de management erratique d’Assange. A l’inverse, le blocage financier exercé par PayPal ou Amazon contre WikiLeaks a souvent été passé sous silence, alors même que les entreprises auraient subi des pressions du gouvernement américain au lendemain du Cablegate.

Yochai Benkler, chercheur en Entrepreneurial Legal Studies à la faculté de droit de Harvard, fait le lien entre ce blocage et les dispositifs prévus par les projets de loi SOPA et PIPA. Si ces mesures étaient entérinées, elles permettraient au gouvernement américain de contourner les contraintes légales habituelles en exerçant une pression directement sur les fournisseurs d’accès à Internet pour qu’ils ne travaillent pas avec certains sites. Dont WikiLeaks.

La nouveauté de ce type d’attaque réside dans le choix de la cible : un site entier, et non des contenus spécifiques. En plus de viser les systèmes techniques, ce nouveau mode opératoire utilise les leviers financiers et commerciaux et se positionne hors du champ légal pour obtenir des résultats que la loi ne n’autoriserait pas.

Il reste que l’expérience de WikiLeaks dans la manipulation et la diffusion d’informations sensibles n’est plus à prouver, en témoigne la dernière opération secrète pour rendre publique les e-mails de Stratfor. Une opération qu’OWNI, comme les 25 autres partenaires médias, a pu suivre de près. Le groupe de hackers Antisec peut certes accéder à d’immenses quantités de données secrètes, matière première de toute organisation médiatique respectable. Mais WikiLeaks est parvenu à coordonner une équipe internationale de journalistes pour justement exploiter ces données, les analyser et les vérifier. WikiLeaks sert donc aussi de tampon, tant moral que légal.

L’attention du grand public a été attirée sur la marque Anonymous quand ses membres ont attaqué les sites de MasterCard, Visa et PayPal, en représailles des sanctions financières décrétées unilatéralement contre WikiLeaks.

Hackers très qualifiés

Pour soutenir des revendications très variées, Anonymous peut faire appel à des hackers qualifiés partout dans le monde. Et nombreux sont ceux qui s’identifient à la cause de la transparence des données, justement défendue par WikiLeaks. Mais Anonymous manque d’expérience dans la diffusion d’informations secrètes. De grandes erreurs ont été commises par le passé, comme avec l’opération DarkNet, visant à mettre au jour les réseaux pédophiles du web. Le résultat de ces publications massives a bien souvent été préjudiciable sur des affaires que les autorités suivaient depuis des mois.

Néanmoins, quelques figures proéminentes des Anonymous, comme le hacker Sabu, ont commencé à demander ouvertement que les futurs documents leur soient adressés directement pour les publier eux-mêmes :

Si vous avez des données à publier (fuites importantes, codes sources, documents en cache, etc.), faites signe à @anonymouStun.

[MàJ] Sur les traces de Lulz Security, les hackers invisibles

Mais qui est donc LulzSec, ce mystérieux groupe de hackers qui attaque tout ce qui bouge depuis un mois? OWNI est parti à ...

Une contradiction insoluble demeure, cependant. D’un côté, les membres d’Anonymous et WikiLeaks cherchent à ouvrir toujours plus les gouvernements et les entreprises par tous les moyens nécessaires. De l’autre, ils s’indignent lorsque ces mêmes gouvernements et entreprises empiètent sur les droits à la vie privée des citoyens lambda.

Impératif moral

L’examen de conscience reviendra sans doute aux partenaires médias que WikiLeaks invitera lors des prochaines publications. Les Anonymous désireux de commettre autant de piratages que possible ne sont pas prêts de manquer à l’appel. WikiLeaks conserve une croyance ferme en un impératif moral qui justifie la publication de toute information pouvant mettre en lumière ou en difficulté le pouvoir. Beaucoup se sont interrogés sur la valeur des informations de Stratfor rendues publiques. Car la publication de documents dérobés à une entreprise pose de sérieuses questions de morale – même s’il ne s’agit pas d’une entreprise financée par des fonds publics.

Il est pourtant difficile d’avoir de la sympathie pour Stratfor : les e-mails publiés montrent que l’entreprise utilisait elle-même des informations rendues publiques par LulzSec et WikiLeaks pour rédiger leurs rapports, vendus ensuite à prix d’or à leurs clients. Dans un autre e-mail, un analyste de Stratfor évoque les “compétences de hacking assez remarquables” des Anonymous, tout en se demandant si les hactivistes se donneraient un jour la mission de “coordonner une attaque visant à voler du renseignement par exemple”.

Dans les semaines et mois à venir, le niveau de coordination et les compétences en hacking d’Antisec pourraient se préciser, en évoluant peut-être vers une cible plus substantielle qu’une entreprise de renseignement privé qui a tout intérêt à exagérer son accès supposés aux couloirs noirs du pouvoir. Il fait peu de doutes que le résultat de cette opération sera communiqué à WikiLeaks et ses partenaires médias.