S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
Dossier
Technos
par shaman

Les Cyber-contes : les hackers démons

Retour sur les attaques contre l'infrastructure internet de l'extrême droite au début 2021 et sur les liens entre Anonymous et anti-fascistes

Le monde virtuel d'internet est un miroir du réel où se dessinent aussi les tendances de notre société et ses lignes de faille. Un nouveau terrain de lutte qui voit s'affronter des acteurs jusque dans la rue. La lutte antifasciste n'y est pas en reste.

Anonymous

Dans le cyber-conte précédent, les liens entre mouvement hacktiviste et révoltes populaires ont été explorés. Vivifié par les mobilisations dans la rue au Chili en fin 2019, puis par le mouvement #BlackLiveMatter du printemps 2020, l’hacktivisme a su ressurgir, surprendre de nouveau et s’imposer dans le débat public en s’appuyant sur des groupes et des structures en gestation depuis lors. On pense à l’équipe de “DDOSecrets” ou “Distributed Denial of Secrets” réinventant le concept “Wikileaks” sur des bases plus solides. Ou à Phineas Phisher, ayant porté le flambeau pendant les années de vide depuis 2014, adoubant les hackers chiliens auteurs des #PacoLeaks et des #MilicoLeaks en leur accordant une prime pirate pour leur hack politique. Ou enfin au compte twitter #YourAnonCentral renforcé de ses armées d’adolescents sud-coréens venant chatouiller les pieds de Donald Trump au point de le faire trébucher durant sa campagne électorale.

Ce nouveau cyber-conte permettra d’aborder une autre facette du mouvement hacktiviste : son importante tendance anti-fasciste. Une valeur du mouvement revendiquée par le compte #YourAnonCentral dans un article publié dès 2018 :

« Anonymous ne soutient pas seulement l’anti-fascisme, c’est une valeur fondamentale de ses légions qui ont été souvent engagée dans des actions anti-fasciste. […] Anonymous collabore avec les anti-fascistes sur le terrain et nos buts sont les mêmes : éradiquer l’oppression et combattre le fascisme où qu’il puisse se cacher. Dit simplement, Anonymous a traditionnellement toujours été un outil de l’action anti-fasciste. »

« Antifa, comme Anonymous est un outil stimergique de collaboration de masse qui suit une idée et non un individu, un groupe, une entité politique ou une idéologie. Les communautés anti-fascistes sont faite principalement de gauchistes ou d’anarchistes qui veulent protéger les droits humains, le droit à exister, et la liberté de choix de gouvernance. Dans sa forme moderne, l’Anti-fachisme est un outil de survie nécessaire qui empêche notre société globale d’atteindre un point de non-retour. »

Les opérations anti-fasciste menées par Anonymous durant la résurgence de l'année 2020 - @YourAnonCentral
Les opérations anti-fasciste menées par Anonymous durant la résurgence de l'année 2020 - @YourAnonCentral

Durant l’année 2020, les opérations contre l’extrême-droite suivent normalement leur cours. Parfois avec des coups d’éclat comme la fuite de données de Nova24, un site d’extrême droite slovène. Souvent dans l’ombre, comme en témoigne l’interview dans Vice de cette professeure d’informatique de 45 ans, « une mère blanche pacifique », qui compulse depuis plusieurs années informations publiques et fuites de données pour maintenir « Whack-a-mole », un « des plus robustes trésors d’information » sur les extrémistes d’extrême droite. Des informations qu’elle communique à différents acteurs, de l’association de surveillance d’extrême droite à ses contacts parmi les groupes anti-fascistes, habitués à des méthodes plus radicales.

Mais soudainement, le 6 janvier 2021, le monde observe avec stupéfaction la galaxie de l’extrême droite complotiste américaine envahir le Capitole américain. Cet évènement va provoquer un électrochoc jusque dans le monde virtuel. Une réponse de gauche radicale doit être donnée à cet évènement et les Internets vont se mettre naturellement à l’œuvre.

Le grand téléchargement de « Parler »

Dans la foulée de l’attaque du Capitole, la « Silicon valley » prend des mesures pour circonscrire le problème de ces émeutiers et leur capacité à communiquer. Le compte Twitter de Donald Trump est banni, suivi par des dizaines de comptes associés à la mouvance Qanon. L’hébergeur Amazon parle alors d'effacer d’internet « Parler », un réseau social que l’extrême-droite affectionne et a utilisé pour organiser son attaque.

L’hacktiviste @donk_enby effectue des recherches sur « Parler » depuis quelque temps déjà. Elle s’est lancée après une rumeur, démentie par la compagnie, que le réseau social aurait subi une fuite de donnée concernant les utilisateurs de sa newsletter. Une rumeur lancée par un autre hacktiviste, Kirtaner, crédité d’avoir été un des membre fondateur du mouvement Anonymous. Elle se plonge alors dans les méandres techniques de son application mobile, et publie, le 9 décembre 2020, le résultat de ses recherches. Pour faire court, le réseau social expose un API (ou point d’accès à l’application) non officielle. Celle-ci permet d’accéder aux données de l’application sans authentification. De plus, les différents messages publiés par les utilisateurs sont référencés par un chiffre incrémenté à chaque nouveau message. Aucune protection n’est en place contre le téléchargement massif et répétitif des données. Pire encore, ce point d’entrée permet d’accéder aux données brutes, notamment aux vidéos et photos contenant encore les métadonnées avec de précieuses informations sur les origines de ces médias.

Quand @donkenby entend que Amazon va supprimer « Parler » d’Internet, elle comprend que vont disparaître ainsi des mois de messages, photos et autres posts, un matériel essentiel pour comprendre comment l'attaque sur la Capitole s'est organisée. Elle décide alors de mettre à profit ses recherches et de sauvegarder les données correspondant au jour de l’attaque. Alors qu’elle annonce son intention, elle est contactée par un groupe appelé « The Archive Team » (« L’équipe de l’Archive ») qui lui propose son aide. Le temps presse et le réseau social peut disparaître d’internet à tout moment. Le groupe met rapidement au point des outils permettant d’automatiser et de répartir la sauvegarde de « Parler ». Il les met à disposition d’utilisateurs qui se proposent de se joindre à l’effort. L’objectif de la sauvegarde est rapidement étendu à l’entièreté du réseau social. Des serveurs informatiques sont loués pour l’occasion et de nombreuses machines à travers le monde se mettent à télécharger messages, photos et vidéos, un effort qui culminera à 50 GB de données téléchargées par secondes. À minuit, l’équipe a téléchargé 96% du réseau social et met ces données à disposition du grand public. Un groupe appelé « North Central Florida Patriots _» publiera sur son compte twitter :

« Mauvaise nouvelle. Des extrémistes de gauche ont capturé et archivé près de 70 TB de données issues des serveurs de "Parler&nbsp". Ceci inclus les messages, les informations personnelles, les lieux, vidéos, images, … Leur but est de faire un doxxing de masse et une liste pour tenir les patriotes "responsables". Il est trop tard pour supprimer vos données, tout est déjà archivé. Il n’y a rien que vous pouvez faire tout est déjà fait. La seule chose à faire est de se préparer pour les conséquences. »

« Gab » et ses démons

Gab est un autre réseau social apprécié par l’extrême droite. En 2018 et après la fusillade de la synagogue de Pittsburgh qui à fait 11 morts et 6 blessés, l’enquête montre que le tireur a publié ses menaces sur cette plateforme. Les grandes entreprises technologiques lâchent alors la plateforme : GoDaddy qui hébergeait son nom de domaine, Joyent qui agissait comme l’hébergeur et PayPal et Stripe pour les flux financiers. Le média social se retrouve alors, de fait, déconnecté d’Internet. Mais il ne restera pas banni très longtemps. C’est d’abord Cloudflare et son PDG Matthew Prince, qui vont apporter leur soutien et continuer à faire affaire avec GAB. En 2017, Cloudflare a « lâché » le site néo-nazi « The Daily Stormer », une décision que le PDG a aussitôt regretté. « Je me suis levé de mauvaise humeur et j’ai décidé que quelqu’un ne devait plus être autorisé sur Internet. Personne ne doit avoir ce pouvoir ». Le deuxième soutien de poids du réseau Gab est l’hébergeur « EPIK » et son PDG Rob Monster. Celui-ci l’a férocement défendu sur un forum, décrivant la décision de GoDaddy de lâcher le réseau comme « un lynchage ». Au moment de l’invasion du capitole, Gab est revenu en ligne. Avec la censure de Twitter, puis le bannissement par Amazon de « Parler », un bonne partie de l'extrême droite américaine va se réfugier sur Gab.

Le 21 février, la fondatrice de « DDOSecrets », Emma Best, reçoit un message d’un Anonyme se faisant appeler « JaXpArO and My Little Anonymous Revival Project ». « JaXpArO », une référence au fameux pirate de « Pirate des Caraïbes » et à une brique technologique « JAX » utilisée dans les applications web. Celui-ci se présente comme non affilié au collectif Anonymous mais « voulant représenter les masses sans nom luttant contre le capitalisme et le fascisme ». Il explique avoir hacké le réseau social « Gab » grâce à une faille classique des sites web, une « Injection SQL ». Et fournit au site pro-transparence l’intégralité de la base de données de cette plateforme. Contactée par le journal Wired qui publiera la nouvelle, le PDG de Gab, Andrew Torba, va s’en prendre d’abord au journaliste qui « écrit pour un journal qui a écrit de nombreux articles diffamant contre Gab par le passé, qui est en contact direct avec le hacker et qui aide celui-ci à diffamer notre métier et faire du mal à vous, nos utilisateurs ». Deux jours plus tard, se trompant encore de cible, il accuse Emma Best, la face médiatique de « DDOSecrets » d’être à la manœuvre en l’insultant publiquement. Par précaution pour la vie privée des utilisateurs, cette fuite de Gab ne sera partagée par DDOSecrets qu’avec les journalistes et les chercheurs. Le site « The Intercept » publiera une analyse de la fuite de donnée.

Le PDG de Gab traitant Emma Best de « démon transexuel mentallement dérangé ». Insulte ou compliment ?
Le PDG de Gab traitant Emma Best de « démon transexuel mentallement dérangé ». Insulte ou compliment ?

Pour l’anecdote, il sera révélé que la faille ayant possiblement permis la compromission serait apparue quelques semaines plus tôt après une mise à jour du directeur technique de « Gab ». La faille aurait été facilement repérée sur les dépôts de code public du fait du caractère « open-source » de ce projet. Une erreur de débutant que le directeur technique fera rapidement disparaitre quelques heures après la médiatisation du piratage. Avant que l'historique du code source ne disparaisse ainsi, la communauté internet ne manquera pas de noter une autre modification publiée en urgence après le piratage et qui attirera des commentaires ironiques. Une modification du système de journalisation de l’application, permettant de suivre les actions de utilisateurs du site qui ne semblait pas noter la bonne adresse des utilisateurs connectés à la plateforme. Pour citer @donkenby « la prochaine fois que Gab sera hacké, peut-être alors leur sera-t-il possible de savoir qui l’a fait_ ».

Un échec aux proportions « EPIK »

Alors que la galaxie d’extrême droite est ébranlée par ces deux attaques successives sur leurs réseaux de prédilection, elle n'est en réalité pas au bout de ses peines. Dans l’ombre, le pire se prépare. Le piratage de l’hébergeur « EPIK », dirigé par Rob Monster, est annoncé le 17 septembre par des hackers affiliés au collectif Anonymous et se présentant comme des « hackers sous stéroïdes ». Les analystes dateront l’intrusion aux alentours de février.

Si le chemin exact employé par les pirates n’est pas connu, de fortes suspicions pèsent quant à son origine. Dès janvier, un chercheur en sécurité informatique a essayé de contacter Rob Monster sur Linkedin pour l’avertir d’une faille critique. Un outil permettant la génération d’un rapport à destination des clients utilise un module périmé et vulnérable permettant d’exécuter des commandes sur la machine. Son avertissement reste lettre morte. Les attaquants pourraient avoir utilisé ce point d’entrée. Une fois cette porte d’entrée utilisée pour prendre pied sur une des machines de l’hébergeur, les pirates semblent avoir bénéficié des pratiques de sécurité extrêmement laxistes de la part de l’hébergeur leur permettant de le compromettre de fond en comble. Ainsi, une fonctionnalité payante destinée à anonymiser les clients était mal implémentée, fournissant l’identifiant secret dans les données publiquement accessibles du site. Les données de chaque client semblaient, elles aussi, hébergées dans une base de donnée unique remettant en cause le principe de compartimentation. Enfin, dans cette base de donnée, les mots de passe et les données de paiement en carte bleue n’étaient pas chiffrées, un principe de sécurité pourtant essentiel.

Les pirates diffuseront les données volées en deux phases pour un total de 480 gigas de données. Ces données comprendront « tout ce qui est nécessaire pour tracer les possessions réelles et le management de la face fasciste d’internet qui a échappé aux chercheurs, aux activistes ». Les données s’étendent sur dix années et comprennent les paiements, les données clients, les boites mails des employés, des identifiants, mots de passes et clefs de connexion SSH. La deuxième fuite révélée le 10 octobre comprend également la tuyauterie interne de l’entreprise : code source des applications internes, images des systèmes utilisées pour l’hébergement des sites. Ces données seront mises à disposition sur un site du nom de « epikfail.win ». Pour citer les pirates :

« Vous savez, lorsque vous appelez une une compagnie « Epik » cela implique que quelque chose de vraiment énorme va arriver. Digne de ce nom. Et bien après des années à soutenir les pires déchets qu’Internet avait à offrir, aujourd’hui est vraiment le moment épique que nous attendions tous. »

Cette troisième attaque, en quelques mois à peine, laissera des stigmates sur l’esprit même des victimes. Pour le journal Le Monde, elle donnera lieu à « possiblement une des plus étranges réponses à un incident de sécurité informatique de l’histoire ». Durant une séance de questions réponses de plus de quatre heures, le PDG de Epik, Rob Monster, se prenant les pieds dans ses propres approximations, prononcera à plusieurs reprises des prières pour défaire les démons et avertira les utilisateurs de se méfier des données dérobées, leurs disques dur pouvant « exploser dans les flammes », à cause de malédictions jetées sur celle-ci par les pirates.

Ainsi se referme ce quatrième cyber-conte, qui aura vu un rassemblement hétéroclite et élusif de hackers démanteler une bonne partie de l’infrastructure de l’ultra-droite sur les mers d’internet. Des attaques qui pourraient avoir des conséquences désastreuses pour cet écosystème extrémiste se développant, avant tout, sur la rumeur, la désinformation et le secret. Un cyber-conte qui aura pu mettre également en lumière le gouffre civilisationnel qui oppose ces acteurs d’internet. D’un côté ces chefs d’entreprise blancs, âgés, chrétiens fondamentalistes, en décalage avec le média qu’ils utilisent, invoquant dieu ou le démon à propos de problèmes techniques. De l’autre une galaxie d’activistes baignant dans ce cyber-monde, aux références libertaires radicales et s’étant affranchis des questions de genre. A l’image d’Emma Best, non genrée et façade médiatique du collectif « DDOSecrets ». Ou de @donk_enby, disparu d’Internet après avoir utilisé ses talents pour soutenir la révolution birmane du printemps 2021. Souvent nommée « elle » dans les médias mais supposé « il » par certains des sites ayant tenté de révéler son identité. Une galaxie hacktiviste pour laquelle le paternalisme, le fascisme sont des ennemis qui doivent être combattus, sans relâche, de la rue jusqu’aux sombres recoins de la toile.

Un tweet sous forme de manifeste du hacker "@donk_enby" - @donk_enby
Un tweet sous forme de manifeste du hacker "@donk_enby" - @donk_enby

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée