Les Cyber-Contes : Phineas Fisher l'ancien

100.000 dollars de récompense pour des fuites de données à caractère politique

Les lecteurs historiques de Reflets s'en souviennent, l'hacktivisme est apparu sur le devant de la scène en 2011. La vague des révolutions populaires dans les pays arabes battait son plein. Cette lame de fond donnait alors des idées aux révolutionnaires de tout poil, provoquant le mouvement des indignés en Espagne ou encore le mouvement "Occupy Wall Street" aux États-Unis. Malgré la répression, l'hacktivisme n'est pas mort.

"Depuis les montagnes du Sud Est Cybernétiques" - Phineas Fisher

Les vagues du "Printemps Arabe" ont aussi touché le monde des Internets, réveillant les geeks, un milieu pourtant peu connu pour sa politisation. Cette dynamique donnera naissance au mouvement Anonymous et au groupe LulzSec dont les attaques informatiques défraieront les chroniques mondiales. En 2012, le retournement du leader du groupe par le FBI conduit finalement à l'arrestation de huit de ses principaux co-conspirateurs dont Jeremy Hammond, le cyber-ennemi public numéro 1 aux États-Unis. Celui-ci écopera de 10 ans de prison ; et le mouvement hacktiviste, sonné par cette infiltration en son cœur, se dispersera. Depuis, le monde du hacking est accaparé par les cyber-guéguerre entre grandes puissances. L'hacktivisme semble mort. Mais l'est-il vraiment ?

Il aura fallu attendre 2020 pour que le cyberespace se remette enfin à bouger. Et renaîtra de ses cendres, un mouvement hacktiviste moins tape à l'œil, héritier de la mouvance de 2011, et qui n'aura pas à rougir de la tâche accomplie. Mais pour débuter la narration de cette nouvelle cyber chronique, il faudra d'abord remonter dans le temps et aborder l'histoire d'un ancien, un hacker qui fera le lien entre plusieurs époques : Phineas Fisher.

Phineas Fisher (aussi connu sous le nom de Phineas Phisher) apparait en 2014 alors que les observateurs du mouvement Anonymous conviennent que celui-ci s'est éteint. Les arrestations au cœur du mouvement de 2012 ont achevé le travail de sape des psy-ops et les membres encore actifs semblent décider, chacun dans son coin, qu'il est temps de faire profil bas. La révélation que le FBI a téléguidé pendant plus de six mois, l'opération "Antisec", une série d'attaques menées par le groupe LulzSec, fait forcément réfléchir. La fièvre du printemps arabe est en train de retomber et l'hacktivisme, tributaire des révoltes populaires pour trouver son incarnation, passe sur l'arrière de la scène. Les plus vieux croutons, encore, se souviennent également de la période Hacktivismo du groupe Cult of The Dead Cow et des effets néfastes des "histoires" liées aux Hong Kong Blondes.

Le 6 août 2014, un nouveau compte Twitter nommé "Phineas Fisher" s'éveille et revendique le hacking de la firme Gamma Group. Cette société anglo-allemande commercialise FinFisher, un logiciel d'espionnage destiné aux gouvernements et aux entreprises. Le hacker divulgue 400 GB d'informations et commence à se moquer de l'entreprise sur les réseaux sociaux. Quelques jours plus tard, il publie son premier guide de hacking, "Hack Back", un document de quelques pages décrivant la façon dont il a piraté la compagnie. Un guide en forme d'appel aux activistes, démontrant la relative simplicité de son action et soulignant les outils permettant de se soustraire aux conséquences. Un guide qui s'inspire des fanzines datant de l'antiquité de la scène du hacking, la fin des années 90.

Magazine du groupe ZF0 publié durant la campagne pr0j3kt m4yh3m en 2009 - ZF0

Phineas Fisher, par l'intermédiaire de son compte Twitter, justifiera son action ainsi : "Il y a deux ans, leur logiciel a été repéré comme étant utilisé par les gouvernements du Moyen-Orient, pour espionner les ordinateurs et les téléphones des journalistes". Gamma Group a en effet été citée par un journaliste de Citizen Lab qui a remonté la trace du malware reçu par des activistes Bahreïnis jusqu'à l'entreprise Anglo-allemande. Le logiciel espion a aussi été découvert dans l'ordinateur d'un activiste anti-gouvernemental éthiopien. Les 40 GB de données divulguées par le hacker sont mises à disposition sur Wikileaks. Dans celle-ci, on trouvera le code source des différents implants espions, permettant aux solutions Antivirus de renforcer leur détection. Une liste de clients actifs sera déduite des données et l'Allemagne entamera une procédure pour vente de matériel sans licences d'exports.

Et puis, au grand dam des observateurs avertis, Phineas Fisher se tait, et le compte qui a servi à se moquer de la firme "Gamma Group" redevient silencieux.

Il faudra attendre un an, en Juin 2015, pour que le compte Twitter se réveille enfin. Et on comprend que Phineas Fisher est là pour rester.

Cette fois, c'est une entreprise Italienne de hacking privé répondant au nom très explicite de "HackingTeam" qui a été compromise. Dans un article de Wired, on peut lire: "Cette entreprise peut aussi servir d'exemple de la face sombre d'une industrie de la surveillance globale qui, souvent, vend à n'importe quel gouvernement prêt à payer, sans égard, pour le bilan de ce régime en matière de droits de l'homme". Les données subtilisées révèlent des clients en Azerbaïdjan, au Bahreïn, en Egypte, en Ethiopie, eu Kazakhstan, au Maroc, au Niger, à Oman, en Arabie Saoudite, au Soudan, ainsi que plusieurs agences américaines incluant la DEA, le FBI et le Département de la défense. L'entreprise a enfreint, au passage, plusieurs embargos de l'ONU.

Mail de l'entreprise Hacking Team se moquant son concurrent Finfisher lorsqu'ils avaient été hackés par Phineas Fisher

Fidèle à ses habitudes, le hacker va publier un deuxième magazine, "Hack Back". De nouveau, on y trouve une description précise de son intrusion dans les réseaux de l'entreprise, des conseils pour rester anonyme, et des détails sur les armes logicielles qu'il a utilisées. Enfin, en guise de conclusion : "C'est la beauté du hacking : avec 100 heures de travail, une personne peut défaire des années de travail d'une entreprise multimillionnaire. Le hacking donne une chance à l'opprimé de se battre et de gagner".

Mais, pour qui sait lire entre les lignes, les actions du hacker apportent d'autres enseignements.

En 2012, la campagne "Antisec", téléguidée par le FBI et sa marionnette "Sabu", avait déclaré cibles légitimes toutes les organisations du complexe de la sécurité. S'en étaient suivis des mois d'attaques hacktivistes, tous azimuts, visant police, armée, complexes militaires, toutes soigneusement remontées sur un bureau à Washington. L'agence américaine concédera avoir ainsi empêché 3000 intrusions. Mais des débats avaient agité le cœur du mouvement hacktiviste. Les soupçons et la paranoïa se cristallisant sur ce nom #Antisec (ou "anti sécurité"), devenu fourre-tout révolutionnaire, à l'opposé du mouvement historique du même nom des années 2000. Un mouvement opposé au "Full disclosure", principe de divulgation publique des failles de sécurité informatique, accusé de servir uniquement les entreprises de sécurité informatique. Avec ces deux piratages de haut vol, visant le cœur cette l'industrie de la faille informatique, Phinéas Fishier recentre le débat et met tout le monde d'accord. Il n'est pas là pour la gloire, il est efficace et ses actions sonnent comme des leçons.

Zine du groupe el8 (2002) dont une partie de graphisme est repris par Phineas Fisher - ~el8

En Mars 2016, c'est au tour de "Mossos d'Esquadra", un syndicat de la police catalane. Phineas Fisher divulgue une vidéo de 39 minutes montrant le piratage de cette organisation. En fond, du rap et une vidéo de cette même police en train de brutaliser une femme durant une manifestation. Dans un échange par mail avec un journaliste de Vice, le hacker déclarera : "Tous les hacks n'ont pas à être gros. Je voulais faire une petite frappe au système, enseigner un peu de hacking avec la vidéo et inspirer d'autres personnes à passer à l'action". Écartant l'idée de créer un mouvement formel, il affirme : "Je ne veux pas être le hacker solitaire luttant contre le système. Je veux inspirer des personnes à entreprendre des actions similaires et essayer de leur donner les informations pour qu'ils puissent le faire".

En mai, le hacker annonce avoir dévalisé une banque et choisit de faire une donation de 10 000 euros en Bitcoin à la commune du Rojava. il affirmera alors : "Le Rojava est un des projets révolutionnaires les plus inspirants aujourd'hui". Il évoquait, en parlant du Rojava, une alternative alliant "confédéralisme démocratique", "démocratie directe", "anticapitalisme", "féminisme", "écologie sociale" ou "socialisme libertarien".

En Juillet, il accepte de donner une interview au magazine Vice si un acteur interprète, à l'aide d'une marionnette de Kermit, le texte qu'il tape par l'intermédiaire d'une messagerie. Il revient en longueur sur l'industrie de la surveillance, rappelant que les entreprises comme Hacking Team servent surtout à surveiller les opposants politiques et non le crime organisé. Et rappelle au passage les origines du mouvement "Antisec" en citant ses groupes fondateurs venant d'un passé lointain, sans doute oublié par bon nombre de jeune hacktivistes : ~el8, zf0, phc. La filiation est désormais revendiquée, Phineas Fisher construit un pont vers l'histoire de l'hacktivisme. Mais la dynamique révolutionnaire de 2012 n'est pas oubliée.

Mustafa Al Bassam, ancien membre du groupe Lulzsec reconverti en chercheur en sécurité commentera à propos du hacker : "Les stratégies et le message ressemblent à beaucoup d'opérations d'Anonymous dans le passé, mais il a sans doute été plus efficace dans ce domaine en le faisant seul. C'est un des hackers les plus intelligents que j'ai pu voir. Une des personnes les plus inspirantes pour la communauté hacktiviste que l'on a vu récemment. Peut-être même de tout temps."

Biella Coleman, professeure de l'université de Montréal et connue pour ses études du milieu hacktiviste, affirmera que le hacker a été meilleur à choisir ses cibles et meilleur à justifier ses actions avec une vision politique plus sophistiquée. "Avec ses frappes rares, précises, presque chirurgicales, Phineas Fisher a de bonnes chances d'inspirer une nouvelle génération d'hacktivistes".

«Ils nous vilipendent, ces gens infâmes; Quand la seule différence est qu'ils volent les pauvres, protégés par la loi, le ciel le sait, et nous volons les riches sous la seule protection de notre propre courage." - Phines Fisher citant le capitaine Bellamy

Quelques jours après l'interview donnée par le hacker à Vice, Wikileaks publie les mails de l'AKP, le parti turc du président Erdogan. Et très vite, on comprend que la fuite provient de Phineas Fisher. Le hacker accusera plus tard Wikileaks d'avoir précipité la publication de mails peu intéressants pour faire le buzz suite au coup d'état échoué en Turquie en cette année 2016. On apprendra qu'au moment de la publication, le hacker était encore infiltré dans les réseaux de l'AKP pour rechercher des informations plus juteuses, avec l'aide de sources parlant la langue turque recrutées au Rojava.

Ce coup de couteau dans le dos, venu directement du milieu hacktiviste, va laisser des marques. Aucun nouveau hacker ne semble répondre à l'appel de Phineas Fisher. Peut-être, celui-ci commence-t-il à se lasser d'être "le hacker solitaire luttant contre le système".

En 2018, CrimeThink publie une discussion avec le hacker. Ils reviennent sur ses faits d'armes. Et de conclure "Phineas est toujours libre aujourd'hui. Et il ou elle démontre que l'Etat n'a pas un contrôle absolu". Plus loin, citant le hacker : "J'ai tué tous mes comptes car je n'avais plus rien à dire". Et le hacker conclut : "Il est toujours possible d'attaquer le système et de s'en tirer."

Et il semble bien que ce soit le cas, comme une dernière leçon que Phineas ait voulu laisser en partant. Les quelques arrestations réalisées dans les hackerspaces par la police de Barcelone au moment de l'affaire Mossos d'Esquadras ont été vite moquées par le pirate, par un messages aux journalistes de Vice. Et en 2018, les autorités italiennes qui enquêtent sur les suites de l'affaire HackingTeam, avouent qu'elles n'ont actuellement aucune piste sérieuse. Leur seule conclusion, corroborée par des sources dans les services de renseignements américains, est que Phineas Fisher est bien un hacktiviste, comme celui-ci le clame. Un hacktiviste qui semble s'être encore une fois volatilisé.

Qu'est-ce qui aura poussé le hacker à sortir de sa retraite pour remettre en jeu, encore une fois, sa liberté ?

Le mouvement des Gilets Jaunes, en France, en 2018, remet la rue au centre du jeu. Et si au départ, on observe quelques tressautements sur le cyberspace, le mouvement ne fait pas consensus dans la communauté hacktiviste, qu'elle soit francophone ou internationale. Les quelques attaques recensées par l'ANSSI ne feront que perturber légèrement l'accès à quelques sites gouvernementaux.

Durant le printemps 2019, les projecteurs se tournent vers l'Asie et la révolte à Hong Kong. Et encore une fois, la rue reste au centre du jeu. L'influence hacktiviste se fait sentir dans la mobilisation, principalement dans les moyens de communication et de propagation de l'information, dans les moyens de protection mis en œuvre par les révoltés pour éviter d'être identifiés et dans l'utilisation de la technologie dans la rue (lasers, pièges…). Les attaques informatiques qu'on pourra observer seront plutôt le fait du gouvernement chinois visant à compromettre ce système de sécurité des émeutiers.

C'est à l'orée de l'année 2020, une année qui sera riche en cyber-rebondissement, que Phineas Fisher va choisir de revenir sur le devant de la scène. Comme pour ouvrir le cyber-bal et appeler le mouvement hacktiviste à rentrer dans la danse des révoltes en cours.

Le troisième magazine Hack Back, le hacker s'y renomme "sub cowmandante marcos" - Phineas Fisher

En Le 15 Novembre 2019, le site pro-transparence "Distributed Denial Of Secrets" ou DDOSecrets, un successeur prometteur de wikileaks, commence à publier une nouvelle fuite de plus de 2 Terrabyte d'informations. Ces données proviennent d'une banque d'affaire, la "Cayman National Trust And Bank", hébergée sur une minuscule île anglaise, l'île de Man, qui fait office de paradis fiscal. La fuite contient des informations sur 1400 clients venant du monde entier et les données sur 3800 compagnies écrans.

Le site "Unicorn Riot" attribue l'attaque à Phineas Fisher et publie le fameux manifeste écrit par le pirate pour l'occasion. Celui-ci revient sur la hack de Hacking Team, divulguant certains de ses secrets qui n'ont plus à l'être. Il publie aussi une backdoor, un code informatique qui lui a permis de voler des comptes utilisateurs. Le manifeste a des accents beaucoup plus politiques que les précédents. On y trouve une liste de livres cyber-anarchistes, la préconisation du hacking comme thérapie pour la santé mentale avec, en inspiration Willie Sutton, un braqueur américain. Et l'humour est toujours présent : "Si voler une banque pouvait changer le monde, ils l'aurait interdit depuis bien longtemps". Le manifeste s'ancre un peu plus en Amérique Latine. Le hacker se renomme ainsi "Subcowmandante marcos", mettant en avant la lutte zapatiste. La date de la fuite n'est, elle non plus, pas innocente. Le hacker entend commémorer l'exécution de Tupac Kamari un leader et résistant indien exécuté par les espagnols le 17 Novembre 1781.

Et Phineas Fisher n'a pas renoncé à inciter d'autres hackers à suivre ses pas. Le nouveau manifeste annonce le lancement d'un programme de récompense pour les fuites de données à caractère politique. Le hacker annonce ainsi qu'il rétribuera jusqu'à 100.000 dollars pour des hacks à vocation politique. La prime sera attribuée en fonction de la cible et de l'intérêt des données publiées pour la société.

Cette fois, l'appel de Phineas Fhisher sera entendu... A découvrir dans le prochain cyber-conte...