Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#OpSyria : Syrian Electronic Army was hacked and d0xed (WARNING : explicit content)

Après le coup d'éclat de la Syrian Electronic Army qui a consisté en une attaque par phishing pour prendre le contrôle de MelbourneIT, un registar dont des noms de domaines du NewYork Time, de Twitter ou du Huffington Post dépendaient, et donc après avoir rendu inaccessibles ces derniers... La SEA a naturellement cristallisé l'attention sur sa cause. La presse s'intéresse naturellement à ce groupe. Qui sont ils ? Quels sont leurs liens avec le pouvoir ?

Après le coup d'éclat de la Syrian Electronic Army qui a consisté en une attaque par phishing pour prendre le contrôle de MelbourneIT, un registar dont des noms de domaines du NewYork Time, de Twitter ou du Huffington Post dépendaient, et donc après avoir rendu inaccessibles ces derniers... La SEA a naturellement cristallisé l'attention sur sa cause. La presse s'intéresse naturellement à ce groupe. Qui sont ils ? Quels sont leurs liens avec le pouvoir ? Sont ils aussi forts qu'ils le disent et que leurs cibles le laissent entendre ?

Reflets vous apporte quelques éléments de réponses pour que vous puissiez vous faire une idée assez précise des personnes qui composent le gros des troupes de cette armée d'opérette avec ses comptes Hotmail et Facebook.

Mythe numéro 1 : les SEA sont de talentueux hackers

Faux. Dans leur immense majorité, les SEA sont de très jeunes syriens, plutôt localisés sur Damas. Il est cependant probable qu'ils bénéficient de soutiens externes (diaspora et russes notamment). Comme beaucoup d'internautes moyens, ces derniers utilisent des outils parfaitement grand publics, ils se pensent anonymes derrière un pseudo, mais ne disposent pas des rudiments en matière d'anonymisation et de sécurité informatique. A l'image de cette lumière qui s'est inscrite sur le site des SEA et utilise le même mot de passe pour son compte dropbox.

et qui y stocke aussi des photos de lui plus que suggestives... et oui les SEA, ce sont aussi et surtout des branleurs... (UPDATE : nous avons flouté la stouquette sur demande de nos lecteurs, sachez medames que vous ne ratez pas grand chose)

Mythe numéro 2 : les SEA ne se sont jamais faits hacker

Au risque de décevoir nos amis pro Bachar Al Assad, les SEA se sont fait hacker... et pas qu'une fois, en fait il se sont fait  totalement exploser leur VPS. Mettons maintenant en perspective les déclarations des SEA faites à Mashable avec ce que nous savons de notre côté. Disons le clairement, leur serveur était une véritable autoroute et a probablement été fermé par l'hébergeur quand ce dernier s'est aperçu que non seulement le serveur des SEA était compromis, mais que c'était toute l'infrastructure de l'hébergeur qui était mise en péril tant les résidents ont eu le loisir de faire tout ce qu'ils voulaient. SEA a été rooté, et ça ce n'était que le début...

La Syrian Electronic Army déclare  à Mashable ne jamais s'être fait hacker :

_ Mashable : Some of these passwords are allegedly the same passwords that some of the hackers use for their Hotmail, MSN and Outlook accounts, according to Krebs, who also posted a screenshot of a portion of the database that the attacker got his or her hands on.__ SEA : We can guarantee our website has never been hacked, those who claim to have hacked it should publish their evidence. Don't hold your breath. In any case we do not have any sensitive or personal data on a public server. We are a distributed group, most of what we have and need is on our own machines and we collaborate on IRC._

Puisque la SEA veut des preuves... nous allons lui en donner. Il faut dire que nous en avons plusieurs gigaoctets.

On commence par les administrateurs de leur site, avec des privilèges admin (les premiers users de la base de données en fait... on retrouve évidemment  notre ami Th3Pr0 (user avec l'ID 3 dans la base de données :

3,'ThePro','33d5cbc6755c127cc7251932d0ec03d1','1','male','0000-00-00','Syria','admin@thepro.sy','','','not_published','jpg' 

Evidemment, ceci n'est pas un fake, mais bien directement extrait du Dump SQL de 12,1 Mo de leur ancien VPS

Et comme tous les petits rigolos, on gère son serveur avec un CPANEL

Et hop le mail du propriétaire du VPS

Et comme vous pouvez vous en douter, les SEA sont une telle équipe de bras cassés qu'il n'a pas été bien compliqué de trouver des montagnes d'informations en exploitant ces comptes. Voici un extrait de base utilisateurs avec des mots de passe fonctionnels :

Voici encore des mots de passe de comptes Twitter (ils sont évidemment liés à leur messagerie Hotmail / Outlook et à leurs comptes Facebook ou skype nominatifs (là encore, nous en avons beaucoup... beaucoup plus :

Il s'agit de comptes mails bien actifs dont certains ont même leur abonnement téléphonique Syriatel lié à ce mail... de sacrés hackers nos SEA :

Et voici la version traduite :

Mais voilà, les SEA sont en grande majorité des gamins, pas tous pro régime, rien de plus, ils sont inintéressants au possible, ils mènent des attaques spectaculaires par leurs cibles, mais au bout du compte, il s'agit surtout d'exploitation de l'interface chaise/clavier, des attaques par phishing. Rien de transcendant, ce sont des jeunes tout ce qu'il y a de dramatiquement banal, d'un pays en guerre. Leur contribution supposée avec les autorités syriennes est une chose plus dérangeante car ils mettent en péril la vie d'autres jeunes, de leur âge.

Que les SEA jouent à la guéguerre sur Internet est une chose, mais il serait temps qu'eux et leurs sympathisants comprennent qu'à force de jouer avec le feu de cette manière, ils font bien plus de mal à leur pays qu'autre chose et ils se mettent en danger. Cela fait maintenant 5 mois que nous les observons, que nous lisons leurs mails. Si nous le faisons, vous vous doutez bien que nous sommes loin d'être les seuls. La presse le sait, il ne lui manquait plus que des éléments de preuves. Puisque les SEA les demandaient ces preuves, nous avons finit par leur donner.

Chers SEA, nous sommes sur votre épaule à chaque mail que vous lisez, nous sommes sur votre épaule à chaque tweet, à chaque superpoke sur Facebook, à chaque chat sur Badoo avec vos petites amies... nous sommes là, vous ne nous voyez pas, mais nous sommes là, nous vous connaissons mieux que vos propres mères.

With love from Paris...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée