Journal d'investigation en ligne et d'information‑hacking
Dossier
par shaman

Les Cyber-contes : 2020, printemps de l'hacktivisme

Donné pour mort en 2013, en fermentation depuis, l'hacktivisme est réapparu en soutien aux révoltes populaires du printemps dernier.

Le rideau s'ouvre à l'aube de l'année 2020. Depuis octobre 2019, les révoltes au Chili ont pris le relai sur la ligne de front Hong-Kongaise. Le "Be water" fait partie de la résistance dans la rue et l'Amérique Latine a décidé d'entrer dans la danse.

L'union des luttes, c'est aussi des concessions à la culture de l'autre

Comme pour les Gilets Jaunes, c'est un tout petit rien qui a mis le feu aux poudres, ici l'augmentation de 30 centimes des tickets de transports. Expression du creusement des inégalités, ce cycle de résistance amènera jusqu'à 1,2 million de Chiliens dans la rue et déclenchera des émeutes dans les principales villes du pays. Il faudra une pandémie mondiale pour refermer le couvercle de la marmite.

Dès le début des émeutes au Chili, les hackers sont de la partie. Fin octobre, deux hackers chiliens, RebelSide et MentalMalicia publient les données de 21 000 personnelles de carabiniers chiliens, l'équivalent de notre gendarmerie. Cette fuite de donnée est associée à des documents sensibles. Des sources internes aux carabiniers confirmeront aux médias l'existence d'une attaque informatique les ayant visés. La fuite sera nommée "PacoLeaks" ("la fuite de données des flics"). Le compte Twitter "Anonymous Chile" confirmera à CheckNews que les deux hackers sont proches du mouvement : «MenteMalicia et RebelSide ont participé à plusieurs actions organisées par Anonymous, en plus de partager avec nous différents idéaux. Ainsi, on peut dire qu'ils font partie d'Anonymous, bien qu'il ne s'agit pas d'un groupe fermé, plutôt d'un ensemble de personnes qui partagent des idéaux et des objectifs communs».

Le 14 décembre, c'est au tour de l'armée chilienne de concéder dans un tweet avoir été hackée. Cette attaque va être nommée "Milico Leaks" et va donner lieu à quelques découvertes. Le collectif de médias indépendants "Centro de Investigation Periodistica" analysera les données et mettra en lumière comment les militaires condamnés par la justice pour des violations des droits humains passent en fait peu de temps en prison avant d'être relâchés.

Cette nouvelle attaque et la fuite de données qui lui est associée va attirer l'attention de Phineas Fisher. Entré dans la légende pour avoir poursuivi seul le travail des mouvements hacktivistes des années 2012, ce pirate était réapparu mi-novembre 2019 en piratant la "Caiman Nationnal Trust and Bank" et en ouvrant un programme de primes pour les hacks à vocation politiques. Début Mars, Phineas Fisher contactera le magazine VICE et affirmera avoir payé 10.000$ aux pirates responsables des "Milico Leaks". Les hackers chiliens n'auraient pas formellement demandé la prime mais celle-ci correspondant aux critères, Phineas Fisher les aurait contactés et récompensés :

"Ce fut un hack beaucoup plus petit avec un impact plus faible. Mais c'est un hack avec un excellent choix de cible, à un moment important d'une lutte sociale. Et ils ont obtenu certaines choses intéressantes dans les emails fuités, donc ils se qualifient absolument pour une prime." ""Des millions disent "ça suffit" et descendent dans la rue. Et un couple de hackers disent "ça suffit", s'assoient derrière leurs ordinateurs et cela produit les Pacoleaks et les Milicoleaks".

Puis parlant de possibles autres candidats, il précise :

"Vous pourriez dire que, avec l'hacktivisme presque rien n'est arrivé et que c'est un échec. Je pense que cela signifie simplement que moi et d'autres nous concentrons sur d'autres aspects de la vie. Mais il y a un temps pour tout, et le temps du hack viendra."

“Liberté pour les prisonniers politiques au Chili! Justice pour ceux qui ont été mutilés par l'état Chilien !". “Nous sommes fatigués, en colère mais plus unis que jamais. Nous sommes ceux qui ont étés mis laissés de coté. Nous sommes légion. A bientôt dans la rue !
“Liberté pour les prisonniers politiques au Chili! Justice pour ceux qui ont été mutilés par l'état Chilien !". “Nous sommes fatigués, en colère mais plus unis que jamais. Nous sommes ceux qui ont étés mis laissés de coté. Nous sommes légion. A bientôt dans la rue !

La suite de l'année lui donnera raison. La révolte Chilienne va poursuivre son cours avec son lot d'hacktivisme et la pandémie du Covid-19 forcera finalement les Chiliens à rentrer chez eux. Mais le travail aura été fait. Sous la pression de la rue, le président aura été contraint de signer un "Accord pour la paix". À l'automne 2020, les Chiliens approuveront à 78% la mise en place d'une assemblée constituante pour récrire la constitution datant de la dictature de Pinochet. Puis en mai 2021, les électeurs chiliens plébisciteront des candidats indépendants non encartés pour l'assemblée constituante. Les membres élus choisiront alors "Eliza Locon", une activiste Mapuche pour les présider. Celle-ci déclare dans son discours d'ouverture : "Cette Constitution ne bafouera plus les droits des femmes et protègera la Terre Mère et les eaux". Il faut connaitre la longue résistance du peuple Mapuche pour réaliser le caractère historique de ces événements. Le processus constituant suit son cours mais ces victoires d'étape méritent d'être célébrées.

La vague de révoltes populaires ne vas pas se calmer et l'épicentre va se déplacer plus au Nord.

Le 25 mai 2020, Georges Floyd, noir américain, meurt étouffé lors de son arrestation. Il est soupçonné d'avoir utilisé un faux billet de 20 $. Ses derniers mots, "I can't breathe", alors que l'officier de police lui écrase le torse vont résonner dans toute l'Amérique et relancer une vague de mobilisation populaire qualifiée par le New York Times de "peut-être le plus large mouvement de l'histoire des États-Unis". Ce nouveau cycle "Black Lives Matter" verra se dérouler 4.700 manifestations avec une moyenne de 147 par jours. Un Américain sur cinq ira manifester. Le 6 juillet, au pic de la mobilisation, entre 15 et 26 millions de manifestants battront le pavé.

En Amérique du Nord, les mouvements "Black Lives Matter" et Anonymous sont historiquement liés. Ce nouveau cycle de mobilisations va voir une résurgence de l'hacktivisme sur ce continent. Et permettra d'observer une autre facette de ces types de mouvement, dont les Nord-américains seront friands : le marketing révolutionnaire et les attaques sociales.

Comme au Chili, à Hong Kong ou en France, les manifestations s'organisent face à la répression et celles-ci tournent en émeutes. Les lasers et parapluie sont de sortie. À Minneapolis, la ville ou George Floyd est mort, un commissariat est incendié dans les premières nuits. La police semble submergée. Dans les radios qui leur permettent de communiquer résonne le fameux morceau de NWA, "Fuck de police". Des hacktivistes ont pris contrôle de certaines radios et polluent leurs ondes les empêchant de s'organiser. Le même type d'attaque va être réalisée à Chicago.

Mais c'est sur les mers des Internets que le mouvement trouve toute son incarnation.

Le 2 juin, l'opération #OpFanCam est déclenchée par le compte twitter @YourAnonCentral. Ce compte, déjà important à l'époque "OccupyWallStreet", va connaitre un afflux important de nouveaux followers dont de nombreux Sud-Coréens fans de musique K-Pop, la pop coréenne.

L'opération #OpFanCam consiste à uploader des clips de boys bands asiatiques sur les applications de délations de la police américaine. Celles-ci sont mises en avant par la police pour retrouver émeutiers et pillards. L'effet est immédiat et la police de Portland se retrouve contrainte de fermer ce service "temporairement". La mayonnaise a pris. Le compte \@YourAnonCentral remercie ses légions de la K-POP. Ceux-ci lui renvoient des messages d'adorations, "We stan Anonymous", en référence à la passion folle de Eminem dans son clip "Stan". Des fans hardcore prêts à tout faire pour leur idole. Heureusement, la guerre de la communication fait rage et il reste fort à faire. \@YourAnonCentral va alors rediriger ses légions de la K-POP contre les hashtags (ou mots clefs) utilisé sur les réseaux sociaux pour s'opposer au mouvement BLM. Des hashtags comme #BlueLiveMatter, "les vies de nos policiers comptent". Et c'est ainsi que les discussions de patriotes défendant la police se voient envahies de vidéo de boys-band coréen. Le choc des cultures.

Interrogé par Reuters, Gabriela Coleman, une chercheuse et experte du mouvement affirmera que le compte est géré par des anciens membres du mouvement Anonymous et qu'ils sont assistés par un mécanisme d'amplification. Twitter fera le ménage mais les jeux sont faits et le compte \@YourAnonCentral a acquis une base de fans en Asie. Les administrateurs du compte affirment :

"Nous continuons à nous appeler Anonymous malgré plus de dix ans de calomnies dans les médias, des campagnes de trolls contre notre compte et des menaces de mort et du harcèlement contre les activistes qui nous soutiennent, car nous refusons de céder le mouvement à ses ennemis. Beaucoup de gens sont morts, ont été arrêtés et ont vu leur vie détruite pour cet idéal et ils méritent mieux que cela."

Après s'être attaqué à la base patriote américaine pour défendre le mouvement social en cours, les légions du K-POP vont s'attaquer à la tête du serpent, le président Trump lui-même.

La campagne électorale bat son plein et pour Trump, sa réélection ne fait aucun doute. Pour preuve, la tournée de grands meetings qu'il a mis en place s'apprête à faire salle comble. Emballé, celui-ci tweetera "presque un million de requêtes pour des tickets pour le rassemblement de samedi soir à Tulsa", la salle ne faisant pourtant que 20 000 places. Mais le jour dit, à l'étonnement de tous, ce ne sont finalement qu’un peu plus de 6.000 personnes qui se montrent. Les fans de K-POP et le "Tik Tok alternatif" ont réservé les places sans jamais avoir eu l'intention de venir. Les caméras filmeront un stade en grande partie vide et un Trump, touché, qui hésite à prendre la parole. Avec des menaces se profilant sur ses autres meetings et notamment sur celui du New Hampshire, Trump sera contraint d'annuler une grande partie de sa tournée. Et voilà sa réélection gâchée par des adolescents américains et coréens.

Une nouvelle attaque informatique qui naît, le RSVPing - @YourAnonCentral
Une nouvelle attaque informatique qui naît, le RSVPing - @YourAnonCentral

En copie, le tweet du directeur de campagne de Trump, Brad Pascale.  Pour Politico : "le pronostic le plus audacieux, confiant et spectaculairement incorrect de l'année" - @YourAnonCentral
En copie, le tweet du directeur de campagne de Trump, Brad Pascale. Pour Politico : "le pronostic le plus audacieux, confiant et spectaculairement incorrect de l'année" - @YourAnonCentral

Le 26 juin, le compte \@YourAnonCentral plantera la dernière banderille. Surement encore fragilisé par ces meetings remis en questions, Trump va se lever pour son tweet matinal et instantanément, première réponse, un tweet du compte \@YourAnonCentral mettant en avant ses liens avec le pédophile Epstein. Trump, surement ennuyé, va rapidement publier un autre tweet pour faire disparaitre le précédent. Et de nouveau, du tac-au-tac, le compte Anonymous va lui répondre par un autre article prouvant sa connexion avec le milliardaire pédophile assassiné en prison. Ce petit spectacle va se prolonger durant la journée, le président américain rentrant dans une frénésie de tweets plus ou moins cohérents, recevant chaque fois cette première réponse cinglante. Trump finira par effacer tous les tweets de la journée. Le président Américain patriote et complotiste, grand utilisateur des réseaux sociaux, a senti le retour de bâton et a dû comprendre que les Internets n'étaient pas forcément ses alliés. L'extrême droite Américaine n'en a pas fini avec les hackers mais il y a un temps pour tout. Cette histoire devra faire l'objet d'un autre cyber-conte. Ce printemps 2020 recèle encore des surprises et l'hacktivisme résurgent va de nouveau démontrer ses multiples facettes.

Il faut revenir quelques années en arrière, en 2018, et narrer la naissance du site "Distributed Denial of Secrets", une nouvelle plateforme destinée à servir de support a la publication de fuites de données. Issue d'un collectif composé de membres ayant "travaillé de manière informelle depuis de nombreuses années et développés des connexions solides dans les disciplines de la récolte de données, la recherche, le journalisme, l'activisme et la technologie", cette plateforme sera très vite décrite comme "le successeur de wikileaks". Quant aux connections avec le mouvement hacktiviste en général, Gabriella Coleman, la chercheuse experte des mouvements Anonymous explique : "[DDOSecrets] est absolument la prochaine étape de tout ceci. Ils émergent du monde de 2013 et 2014 et sa fermentation de l'action des hackers. Il y a une filiation complète et directe". Un collectif élusif d'une vingtaine de membres dont la tête médiatique est assumée par Emma Best, journaliste spécialiste des requêtes FOIA. Se décrivant comme non binaire et marrié-e à u-n-e autre membre du collectif, elle décrira les débuts de la plateforme en ces termes :

En 2018, "L'architecte" est venu-e à moi avec le désir de voir une nouvelle plateforme pour les données leakées et hackées, ajoutés à d'autres ensembles de données pertinentes. Nous nous connaissions depuis un certain temps et il-elle désirait apporter son expertise technique au projet. Nous avons mutualisé nos ressources, nous nous sommes associés à des personnes qui ont choisi de ne pas être directement reconnus et nous avons travaillé sur l'archive initiale qui fut lancée publiquement en décembre 2018".

Pour leur première archive, le groupe s'attache à récupérer des anciennes fuites de données sur le point de disparaitre des Internets. Leurs premiers gros titres arrivent lorsqu'ils s'attachent à rassembler et ordonner un ensemble éparpillé de fuites sur les autorités russes en cyrilliques. Cette archive sera publiée sous le nom "Dark side of the Kremlin" (la face sombre du Kremlin). Phineas Fisher, après ses déboires avec Wikileaks et les mails de l'AKP, choisira cette plateforme pour publier les données qu'il a dérobées à la "Cayman Island Bank" et ouvrir ce "printemps de l'hacktivisme". Alors que Trump se débat contre les armées de la K-POP, "Distributed Denial Of Secrets" va publier un nouveau leak ou fuite de données qui va propulser la plateforme sur le devant de la scène.

En cette nuit chaude de juin 2020, Emma Best, la face médiatique de DDOSecrets, est au lit avec son.sa épou.x.se, "pas vraiment en train de regarder la télé" quand son ordinateur émet un bip. Elle se lève pour trouver un message cryptique d'une personne non familière : "Seriez-vous possiblement intéressé.e.s à recevoir une fuite de donnée sur les départements de police américains ?" D'abord prudente, Emma loue un serveur informatique en Allemagne et voit les données se déverser dessus. Elle commence par garder le silence pour protéger l'identité d'une source dont elle affirmera "n'avoir aucune idée de l'identité". Elle la nommera "Kaiser Söze" car ils étaient là et un instant plus tard, "juste comme cela, il avait disparu".

Mis au parfum, le collectif autour de DDOSecrets va travailler la fuite jusqu'à en éliminer 100 Gigas de données trop sensibles : numéro de cartes bleues, identité des victimes, fichiers corrompus ou dupliqués. On apprendra par la suite que la société touchée par le piratage se nomme Netsential et est responsable de l'hébergement des sites du "Arizona High Intensity Drug Trafficking Area", le "fusion center" de l'Arizona. Les "fusion center", des centres de partage d'information pour la police américaine, créés pour pallier les erreurs de renseignements constatés durant le 11 septembre. Micah Lee, hacktiviste, journaliste et conseiller du collectif DDOSecrets, publiera son analyse d'un piratage relativement simple. Une erreur classique de manipulation des données donnant lieu au dépôt d'une backdoor, une porte dérobée sur le serveur informatique. Et quelques erreurs de configuration permettant l'accès à toutes les données partagées par ces "fusion centers" répartis sur le territoire Américain. En ce 15 juin 2020 ce ne seront pas moins de 200 départements de police qui verront leurs données divulguées. Des informations sur 700.000 agents de police. Quelque 270 Gigas d'informations contenant des millions de mails, du matériel de formation, des fiches Excel. Une des plus importantes fuites de donnée à caractère politique des dernières années, divulguée en soutien à une vague populaire sans précédent qui touche les États-Unis.

Cette fuite va ouvrir une fenêtre sur la police américaine. On apprend, à San Antonio, que la police adopte les Fake News de l'extrême droite alors que celles-ci ont déjà été débunkées. Que le FBI a repéré des groupes d'extrême-droite qui s'infiltrent dans les manifs et se présentent comme Antifa pour rendre cette menace crédible. On apprend quelles informations partagent Facebook, Twitter, TikTok et Google avec la police, que les plaques d'immatriculation repérées par les détecteurs automatique sont également remontées vers les commissariats locaux. On apprend que des entreprises privées partagent leurs informations sur les activistes environnementaux avec la police et que celle-ci fiche les médics et avocats comme de "dangereux extrémistes". Un document de formation décrit des conseils de protection Internet dispensés aux policiers, des conseils utiles pour tous. Et on découvre l'inquiétude des autorités à propos des masques qui pourraient empêcher toute reconnaissance faciale.

Une fuite de donnée importante qui aidera à comprendre les dérives policières à l'œuvre dans nos sociétés. Et une fuite importante à en croire la réaction des autorités américaines. Quatre jours après la publication des données, Twitter bannit le compte \@DDOSecrets de la plateforme et filtre tous les tweets contenant un lien vers le site public du collectif. Le réseau social va jusqu'à effacer rétroactivement les tweets contenant ces liens. Le 7 juillet, trois semaines après la publication des données, les autorités allemandes saisissent le serveur principal du collectif qui sert à rendre public les données. Le collectif, de son côté, affirmera s'être préparé à la situation et poursuivre son travail sans interruptions.

Cinq jours après la publication des #BlueLeaks, le couperet tombe - @NatSecGeek
Cinq jours après la publication des #BlueLeaks, le couperet tombe - @NatSecGeek

Ce printemps 2020 a vu l'hacktivisme renaitre de ses cendres et les choses n'en resteront pas là. Les attaques vont continuer durant les mois d'août et septembre avec une fuite de données sur la police en Biélorussie, des attaques sur le ministère de la Santé du Nicaragua, une fuite de 4h d'enregistrements de la police en Colombie, des attaques plus visées sur la femme de Bolsonaro, le président d'extrême droite Brésilien, ou sur Alvaro Uribe, ancien président Colombien et paramilitaire notoire.

Encore aujourd'hui, les différentes facettes de l'hacktivisme continuent leurs opérations. Du côté des hackers, des opérations du collectif Anonymous ont actuellement lieu au Myanmar, en Colombie, au Brésil et au Nigéria en support aux mouvements populaires dans ces pays. De leur côté, Emma Best et le collectif DDOSecrets ont entrepris de recenser les fuites de données divulguées par les gangs de ransomware lorsque leurs victimes refusent de payer des rançons. Enfin, le compte \@YourAnonCentral a récemment menacé Elon Musk de représailles face à ses tweets incendiaires qui ont fait s'effondrer le cours du Bitcoin. Des menaces qui pourraient (ou non) être en rapport avec la réception par le site ProPublica des profils fiscaux des 1% des plus riches américains.

Tweet du CEO du compte \@YourAnonCentral datant du 8 juin 2021 et depuis introuvable - @SpartaZC
Tweet du CEO du compte \@YourAnonCentral datant du 8 juin 2021 et depuis introuvable - @SpartaZC

Ainsi se referme ce cyber-conte, il est peut-être temps pour vous d'aller vous rendormir. Mais ne partez pas trop loin, cette histoire comporte une suite, les peuples s'échauffent et les Interwebz recèlent encore des pépites qu'il faudra vous narrer.

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée