CAIRN.INFO : Matières à réflexion
2015/9
format_quote Citer ou exporter Ajouter à une liste Suivre cette revue

Article

Les mécanismes de l’hacktivisme

1 Apparu pour la première fois en 1996 au sein du groupe de hackersCult of the Dead Crow, le néologisme hacktiviste est une contraction des termes hacker et activiste. L’activisme peut se définir par « une doctrine qui met l’accent sur une action directe et vigoureuse, plus particulièrement pour exprimer son appui ou son opposition à l’égard d’une question controversée ». L’activisme est avant tout une pratique basée sur une action militante. Le terme hacker fait son apparition dans les années 1980 pour désigner un pirate informatique capable de pénétrer les systèmes. En 1984, l’écrivain Steven Levy publie l’un des tout premiers ouvrages sur le sujet Hackers : Hereos of the Computer Revolution. Traditionnellement, les hackers sont classés dans trois catégories associées à des couleurs (celles des chapeaux de cow-boys) : le hacker white hat qui ne s’aventure pas dans l’illégalité, le hacker grey hat qui franchit la ligne rouge pour tester et étudier les techniques d’intrusion, et le hacker black hat qui se situe constamment dans l’illégalité et tire bénéfice de ses actions de piratage. L’hacktivisme a été défini dès 2004 par Alexandra Samuel dans sa thèse de Doctorat « Hacktivism and the future of political participation - Harvard » comme l’utilisation non violente d’outils numériques illégaux ou transgressifs à des fins politiques.

2 En 2015, les groupes hacktivistes se sont multipliés : Anonymous, AnonGhost, et toutes les cyberarmées présentes et actives au Moyen-Orient – Syrian Electronic Army (SEA), Iranian Cyber Army (ICA), Middle East Cyber Army (MECA), etc. Ces cellules de hackers réunissent des activistes et des cybermercenaires autour d’objectifs politiques communs et peuvent organiser des opérations de grande envergure comme dernièrement OpFrance qui a ciblé plus de 20 000 sites web français en janvier 2015. L’hacktivisme politico-religieux est apparu il y a plus d’une décennie avec l’émergence de groupes de hackers musulmans propalestiniens ou pro-Iraniens. Dès 2011, l’Armée électronique syrienne (SEA) [1] s’organise pour soutenir l’effort de guerre du régime de Bachar el-Assad sur le cyberespace. Entre 2011 et 2014, la SEA se montre particulièrement active et agressive en attaquant des centaines de sites web de grande audience et en pratiquant parfois le vol et la mise en ligne de données sensibles. Parmi ses cibles favorites, on retrouve les grands médias occidentaux, les grands groupes de l’économie numérique, les sites gouvernementaux, les sites de l’US Army, les sites de grandes entreprises, et les comptes Twitter et Facebook de personnalités politiques. La cadence de ces cyberattaques suit parfaitement le rythme des événements politiques et militaires associés au conflit. Lorsque la pression occidentale sur le régime syrien diminue, le nombre d’attaques et leurs intensités diminuent également. La SEA constitue certainement le tout premier exemple de groupe structuré pratiquant l’hacktivisme associé en temps réel à l’évolution d’un conflit armé. La France fait régulièrement l’objet de cyberattaques relevant de l’hacktivisme. Ainsi, l’opération OpFrance menée le 15 janvier 2015 contre plus de 20 000 sites web français ou francophones a marqué les esprits sans produire pour autant de forts dégâts sur les infrastructures numériques. Ces attaques faisaient suite à la campagne « Je suis Charlie » initiée après les attentats contre la rédaction de Charlie Hebdo et l’hyper Cascher. Le groupe Anonymous avait décidé de frapper les sites web djihadistes ou jugés comme tels. Cette première vague de cyberagressions avait alors provoqué une réaction globale des groupes de hackers musulmans islamistes soutenant plus ou moins les attentats de janvier. Plusieurs cellules de hackers ont coordonné leurs attaques au sein d’OpFrance. Des milliers de « petits » sites web mal protégés et peu maintenus ont été défigurés (défacés) par une page d’accueil revendiquant un « Je ne suis pas Charlie ». Quelques attaques par DDoS (Distributed Denial of Service) ont complété la longue liste de défacements des sites français. On notera que les mêmes cellules de hacking avaient participé aux opérations ciblant les sites israéliens OpIsraël I et OpIsraël II[2], les sites liés à l’industrie pétrolière OpPétrol et les sites américains OpUSA. D’une façon générale, ces campagnes d’hacktivisme deviennent de plus en plus violentes et progressent en intensité et en complexité [3].

Vers une complexification des techniques hacktivistes

Des outils de hacking très accessibles

3 Plusieurs facteurs se conjuguent aujourd’hui pour rendre les campagnes hacktivistes plus intenses, plus efficaces et plus radicales [4]. Le premier facteur relève d’une meilleure diffusion des techniques de pénétration des systèmes informatiques. Il existe aujourd’hui des packs logiciels téléchargeables et utilisables sans connaissance particulière qui permettent de détecter des vulnérabilités sur un site et de réaliser des tests de pénétration efficaces. En 2015, la SEA a publié sa propre distribution Linux appelée SEAnux, dotée de nombreux outils de détection de vulnérabilités, de tests de pénétration et de cryptanalyse des mots de passe. Cette distribution SEAnux disponible en libre téléchargement offre aux apprentis hackers une excellente plateforme d’apprentissage. D’autres solutions du même genre existent en libre accès sur des forums spécialisés. Des documentations très complètes ont été rédigées afin de faciliter la prise en main par des débutants de ces outils offensifs. Concernant plus spécifiquement les attaques par déni de service distribué (DDoS), n’importe qui peut aujourd’hui télécharger des logiciels « clés en main » permettant de participer à une campagne d’attaque DDoS, le tout en quelques clics. Ces kits du hacker « préfabriqués » ont contribué, d’une part à augmenter la puissance des campagnes de DDoS et, d’autre part à faciliter la formation rapide de coalitions de cellules de hacking autour d’opérations ciblées comme OPIsraël I-II et OPPetrol. Les Script Kiddie, ou gamins du code, disposant de très peu de connaissances en programmation ont su profiter des solutions de hacking préfabriquées mises à disposition pour participer aux différentes opérations. Motivés par une première cyberattaque réussie, ils ont alors amélioré leurs compétences en codage et ont augmenté leurs capacités de nuisance sur le cyberespace. Cette dynamique systémique fait évoluer la puissance et la complexité des attaques. Les cellules hacktivistes s’adaptent constamment au niveau de défense de leurs cibles.

Une ingénierie sociale qui progresse

4 La première phase d’une cyberattaque repose le plus souvent sur l’ingénierie sociale. Il s’agit pour l’attaquant de piéger un employé de l’entreprise ciblée et ainsi l’inviter à cliquer sur un lien malveillant. Ce piège initial s’appuie sur un ensemble de données fictives imitant par exemple un site web légitime ou un courrier électronique d’une personne de confiance. Les victimes, quant à elles, sont de plus en plus sensibilisées aux dangers du clic sur un lien potentiellement malveillant. L’attaquant doit donc déployer plus d’effort et de ruse pour construire un piège efficace [5]. Aujourd’hui, les cellules hacktivistes n’hésitent pas à mettre en place des infrastructures de données fictives cohérentes et complexes s’appuyant sur des sites web et des profils fictifs créés sur les réseaux sociaux. L’opération iranienne News Online-Newscaster[6] constitue à ce titre un exemple édifiant : un faux site d’information dirigé pendant plus d’une année par une rédaction fictive a été créé de toutes pièces par une cellule de hackers dans le seul but d’installer la confiance auprès de cibles de haut niveau avant de les piéger et de collecter leurs données personnelles. Ainsi, les structures de données fictives utilisées dans la phase d’ingénierie sociale d’une cyberattaque évoluent vers des architectures de plus en plus sophistiquées.

Le vol et la diffusion de puissantes solutions de cybersécurité offensive

5 Plusieurs sociétés de cybersécurité offensive ont subi des attaques sur leur propre système d’information assorties de vols de données et de logiciels sensibles. Les cellules hacktivistes à l’origine de ces attaques ont souhaité « punir » ces sociétés pratiquant le Deep Packet Inspection en mettant à disposition du public les solutions de cybersécurité offensives qu’elles commercialisent. Dans deux cas récents, les cellules ont mis en ligne, tout ou partie, des logiciels professionnels de pénétration de très haut niveau, développés par les équipes d’ingénieurs de ces sociétés. Ainsi, en 2014, la société allemande Gamma International a été victime d’un vol de ses données d’entreprise et d’une partie de sa solution de cyberespionnage Finfisher qui a été rapidement divulguée au grand public et offerte en téléchargement gratuit sur l’ensemble de forums mondiaux de hacking. Plus récemment, c’est la société italienne Hacking Team qui a été ciblée et qui a enregistré un vol de plus de 400 Go de données d’entreprise et de l’intégralité des codes sources de sa solution de cyberespionnage RCS. Là encore, il s’agissait pour l’attaquant de dénoncer les agissements de sociétés considérées comme les ennemies de la liberté sur Internet... La solution complète RCS commercialisée par Hacking Team a été divulguée et livrée au public en libre téléchargement. Les cyberarmes particulièrement puissantes qui la composent ont été livrées gratuitement à l’ensemble de la communauté du hacking. Ce transfert technologique forcé contribue à son tour à la complexification et au renforcement des attaques. Il permet à des cellules de hackers d’augmenter leurs capacités offensives et d’envisager de nouvelles cibles.

Pour conclure...

6 Plusieurs facteurs se conjuguent désormais pour augmenter l’intensité des cyberattaques relevant de l’hacktivisme. La multiplication des supports en ligne « éducatifs » d’autoformation à la mise en œuvre et à la reprogrammation de codes malveillants permet aux cellules de hackers d’être toujours technologiquement à jour. L’accès à des malwares et à des spywares furtifs de dernière génération renforce les capacités offensives des cellules hacktivistes. Ces capacités leur permettent d’envisager des attaques sur des cibles de haut niveau en principe bien sécurisées. L’asymétrie classique que l’on retrouve sur le terrain dans un conflit opposant une armée régulière à un groupe d’insurgés ne s’applique plus au cyberespace qui a tendance à « lisser » les avantages technologiques des belligérants. La phase d’ingénierie sociale précédant une cyberattaque a tendance à se complexifier en s’appuyant sur des structures de données fictives de plus en plus sophistiquées. En conséquence, on peut s’attendre à des attaques de groupes hacktivistes de plus en plus violentes sur des infrastructures d’importances vitales. Cette évolution oblige les sociétés de sécurité informatique à réactualiser en permanence la défense des systèmes d’information. La montée en puissance de l’intelligence artificielle risque d’accentuer encore cette tendance...

Notes

  • [1]
    Olivier Kempf et Thierry Berthier : « L’armée syrienne électronique : entre cyberagression et guerre de l’information », Revue Défense Nationale, n° 770, CEDN, mai 2014.
  • [2]
    Thierry Berthier : « Le hacking d’influence, outil d’un activisme musulman », Les grands dossiers de la revue Diplomatie, n° 23, octobre-novembre 2014, p. 88-93.
  • [3]
    Thierry Berthier : « Cyberconflictualité, hacking d’influence et prévisibilité des attaques », Acte du colloque Digital Intelligence 2014, Nantes.
  • [4]
    Olivier Kempf et Thierry Berthier : « De la cyberveille à la prévision des agressions », Actes de la conférence CESAR-DGA 2014, Rennes.
  • [5]
    Thierry Berthier : « Concurrences et duels algorithmiques », Revue Défense Nationale, n° 761, CEDN, juin 2013.
  • [6]
    Thierry Berthier : « Newscaster, l’opération iranienne », p. 12-14, Vérification sur Internet : quand les réseaux doutent de tout, novembre 2014, Observatoire géostratégique de l’information, Iris.

Résumé

Français

Les cyberattaques gagnent en complexité à travers l’hacktivisme, où des hackers utilisent des outils de plus en plus puissants pour des finalités diverses, avec une agressivité croissante. La défense des systèmes d’information doit donc s’adapter sans cesse à ces menaces majeures.

English

“Hacktivism”: Toward an Increasing Complexity of Cyber Attacks

Cyber attacks gain complexity through “hacktivism,” in which hackers use more and more powerful tools for diverse ends, with a waxing aggressiveness. The defense of information systems must therefore adapt unceasingly to these serious threats.

Plan

  1. Les mécanismes de l’hacktivisme
  2. Vers une complexification des techniques hacktivistes
    1. Des outils de hacking très accessibles
    2. Une ingénierie sociale qui progresse
    3. Le vol et la diffusion de puissantes solutions de cybersécurité offensive
  4. Pour conclure...

Auteur

Thierry Berthier
Chercheur au sein de la Chaire de cybersécurité et cyberdéfense Saint-Cyr Thales.
Dernière publication diffusée sur Cairn.info ou sur un portail partenaire
Résumé Consulterfile_download Télécharger
Mis en ligne sur Cairn.info le 17/02/2020
https://doi.org/10.3917/rdna.784.0045
Pour citer cet article
Distribution électronique Cairn.info pour Comité d’études de Défense Nationale © Comité d’études de Défense Nationale. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...