Les pirates du web et autres génies informatiques avançant masqués alimentent largement l’imaginaire collectif : longtemps, ils ont été d’abord et avant tout approchés comme des objets de fascination, alimentant tous les fantasmes et la fiction sous toutes ses formes. Leur expertise se joue certes dans un monde abstrait et parallèle, mais leur impact est bien réel : aujourd’hui plus que jamais, ils sont perçus comme une menace de premier plan et leur force de frappe potentielle agite tous les curseurs.
Les grands fléaux des années 2010
Le début du 21e siècle a vu, sinon une multiplication des groupes de hackers, du moins une médiatisation croissante de leurs faits et méfaits. Cette mise en lumière est synonyme :
- d’un début de réaction de la société civile, qui commence à se prémunir contre les attaques et souhaite alerter au maximum contre la menace réelle que représentent les cyberattaquants ;
- d’une recherche volontaire de reconnaissance, voire de starification, de la part des hackers eux-mêmes.
Voici les noms des principales communautés de hackers ayant fortement marqué la période récente, en raison de l’ampleur de leurs attaques, de leur mode opératoire, voire de leurs origines. Leurs coups d’éclat appellent à une vigilance renforcée du côté de toutes les victimes potentielles : États, entreprises et société civile.
Equation et les Shadow Brokers (États-Unis)
Leur nom est intimement lié à celui des logiciels malveillants ayant causé le plus de dommages au cours des dernières années : les malwares WannaCry et NotPetya. En mai 2017, la vague WannaCry a submergé pas moins de 150 pays avec un ransomware qui aura fait des milliers de victimes, parmi lesquelles de grands noms comme Telefonica en Espagne, Renault en France, FedEx et les services de santé britanniques, sans oublier la police nationale indienne. Plus dévastateur encore que le chiffrage de donnés opéré par le ransomware WannaCry, NotPetya – un malware de type wiper, détruisant les données – a infecté en juin 2017 toutes les versions de Windows. Saint-Gobain, la SNCF, Mars, Nivea : partout dans le monde, des entreprises ont vu leurs affaires mises en péril.
À l’origine du développement et de la propagation de ces deux virus, on trouve le groupe de hackers Equation, utilisant un compte Twitter sous le nom @shadowbrokers. En 2015, deux virus espions ont permis de révéler que ce groupe est né au sein de l’unité Tailored Access Operations de la NSA (National Security Agency) américaine. Cette position de choix a permis au groupe :
- d’avoir un accès sans limite aux données rassemblées par la NSA
- et, notamment, d’accumuler des informations cruciales sur des vulnérabilités informatiques afin de les exploiter.
On attribue à Equation la mise en place de Stuxnet, le ver informatique ayant visé le programme nucléaire iranien entre 2005 et 2010. Depuis début 2018, aucune activité connue du groupe Equation n’est revenue dans les fils d’actualité.
Bureau 121 (Corée du Nord)
C’est le groupe de hackers de Corée du nord, qui a apporté un soutien direct au développement du ransomware WannaCry au milieu des années 2000. Bureau 121 s’est fait une petite notoriété en 2014 en piratant les systèmes informatiques du studio Sony Pictures. En réaction à la sortie d’un film, la comédie L’Interview qui tue !, de Seth Rodgens, les hackers coréens ont fait fuité un nombre important d’emails professionnels. Cette opération a coûté plus de 15 millions de dollars au studio de cinéma américain.
Lazarus Group ou APT38 (Associé à la Corée du Nord)
Le collectif connu sous le nom de Lazarus, dont les origines sont souvent associées au territoire nord-coréen, s’est illustré par de multiples actions remarquables dans le domaine de l’intrusion numérique depuis sa première apparition publique il y a une décennie.
Son action la plus médiatisée a été l’incursion dans la structure de Sony Pictures en 2014, qui s’est traduite par une fuite massive de données dont certaines étaient d’une grande sensibilité.
Par la suite, le collectif Lazarus a été associé à une série d’incidents affectant les réseaux de communication financière mondiaux, le cas le plus marquant étant celui de la Banque centrale du Bangladesh en 2016, avec une somme s’élevant à des dizaines de millions de dollars subtilisés.
En 2017, une autre action majeure a été attribuée à ce collectif : l’épisode WannaCry. Cette incursion a touché un nombre incalculable de systèmes informatiques à travers le monde, y compris des structures d’importance vitale comme le NHS au Royaume-Uni.
Plus récemment, le groupe Lazarus a été signalé pour avoir dévié des ressources informatiques afin de générer des monnaies numériques à leur avantage, en ciblant diverses places d’échanges de ces monnaies.
Unit 8200 (Israël)
Voici un cas illustrant parfaitement les cellules de hackers à la fois clandestines et dépendantes d’un pouvoir étatique. Unit 8200 correspond à l’entité de cyberintelligence chapeautée par le gouvernement israélien. Intervenu à plusieurs reprises pour défendre les institutions du pays et menées des actions de contre-terrorisme, Unit 8200 s’est aussi illustré par ses campagnes d’espionnage de masse, auprès de gouvernements étrangers et de civils. Il a aussi participé au développement :
- du worm Stuxnet, en collaboration avec la NSA américaine ;
- du logiciel espion Duqu 2.0, qui a permis d’infiltrer Kaspersky Labs, géant russe des services de cybersécurité. Ce spyware a aussi été utilisé pour infecter les hôtels suisses et autrichiens ayant accueilli les grandes négociations internationales avec l’Iran au cours de l’année 2015.
Lulz Security ou LulzSec (États-Unis)
Voici un autre groupe ayant fait trembler la maison Sony en 2011, en volant des données sur un site maintenu par le groupe. Un million de comptes ont été compromis à travers cette opération. LulzSec fait également partie du petit cercle de hackers ayant réussi à infiltrer les systèmes de la CIA, en rendant le site de l’agence américaine indisponible pendant plusieurs heures.
En termes d’effectifs et de force de frappe, Lulz Security serait comparable à Rex Mundi, autre groupuscule spécialisé dans le chantage sur internet.
The Dark Overlord
Comprendre le groupe de cybercriminels The Dark Overlord est essentiel pour toute organisation souhaitant renforcer ses mesures de cybersécurité. Établi depuis 2016, ce groupe a démontré une capacité à exécuter des attaques de ransomware à grande échelle et à voler des données précieuses.
The Dark Overlord se distingue par sa technique dite de « double extorsion ». En effet, le groupe s’empare de données sensibles puis menace de les divulguer, à moins que la victime ne paie une rançon. Ce procédé souligne l’importance de la protection des données pour toutes les entreprises modernes.
UGNazi (États-Unis)
Contrairement à ce que son nom pourrait laisser penser, c’est bien depuis les États-Unis que sont organisées les principes actions de l’Underground Nazi Hacktivist Group. Rassemblant les hackers CosmoTheGod, JoshTheGod, MrOsama, CyberZeist et Daisuke, le groupe est spécialisé dans les attaques DdoS contre le gouvernement fédéral américain, à partir de 2011, mais aussi pour avoir fait fuiter les données sensibles de plusieurs personnalités de ce gouvernement.
Le hacking au Proche-Orient
Depuis le début des années 2010, les groupes de hackers occupent une place de plus en plus importante en différents points du Proche-Orient. Au début de la guerre civile, en 2011, la Syrie a vu apparâître sur la scène publique les Syrian Electronic Soldiers (Soldats électroniques de Syrie), également présentés sous le nom de Syrian Electronic Army (Armée électronique syrienne). Composé essentiellement de jeunes recrues, le groupe s’attaque principalement aux médias occidentaux hostiles à Bachar el-Assad.
Depuis 2014, OurMine sévit en Arabie Saoudite : la plupart des attaques, menées contre des célébrités et des entreprises, visent à encourager les victimes à renforcer la sécurité de leurs comptes en souscrivant directement aux services d’OurMine.
Plus anciens, les groupes Redhack et Cyber-Warrior Akıncılar opèrent respectivement depuis 1997 et 1999 en Turquie. Redhack a notamment attaqué des institutions comme les forces de police, l’armée de terre, Türk Telecom ou l’Organisation nationale du Renseignement. Cyber-Warrior Akıncılar, à tendance pro-Erdogan, est principalement connu pour avoir piraté le site du journal Charlie Hebdo après la publication de caricatures du prophète Mahomet.
Les outsiders : entre grandes figures de l’hacktivisme et groupuscules en devenir
Certains groupes de hackers se démarquent nettement par leurs visées non frauduleuses, du moins non motivées par des enjeux de gain financier ou de sabotage politique. Les partisans de l’« hacktivisme » – contraction simple des mots « hacking » et « activisme » – se réclament de causes plus nobles, bénéfiques à la société civile de manière générale. À leurs côtés, on peut ranger certains groupuscules dont les attaques contre des entreprises ou des services publics visent essentiellement à :
- mettre en évidence une faille dans leurs systèmes ;
- ou réaliser une prouesse technique, comme les hackers de la première heure, avant de remettre en état les systèmes sous un délai très court.
D’autres groupes se démarquent par leur taille ou leurs méthodes relativement modestes, mais une force de frappe pourtant non négligeable.
Anonymous (international)
Ils sont sans conteste la communauté de hackers la mieux identifiée par la société civile : connus pour se cacher sous un masque souriant, aux fines moustaches, lors de leurs manifestations dans la rue – le masque, représentant le visage de Guy Fawkes, un Anglais de confession catholique ayant organisé la Conspiration des poudres au 17e siècle, a été repris dans de nombreuses productions audiovisuelles, ces hacktivistes par excellence se distinguent par un sens de la communication aigu et, souvent, la défense de grandes causes.
Anonymous s’est fait connaître en menant une série d’actions, à partir de 2008, contre l’Église de scientologie, notamment une attaque de type DdoS ayant bloqué leur site web. Le groupe a continué à défrayer la chronique en menant une opération contre des comptes Twitter appartenant à des militants de Daesh, suite à l’attentat contre Charlie Hebdo, en janvier 2015. En 2010, le groupe de hackers avait frappé fort attaquant le site de MasterCard, après que la société ait décidé de suspendre ses services à WikiLeaks. En 2011, plus de 90 000 adresses dérobées depuis un serveur non protégé de Booz Allen Hamilton, agence conseillant le ministère américain de la Défense. En 2021, le Pentagone faisait l’objet d’une nouvelle attaque.
Lizard Squad (Pays-Bas)
Opérant principalement à travers des attaques par déni de service (DDoS), le groupe Lizard Squad est célèbre pour avoir mis à l’arrêt les réseaux de jeu en ligne Xbox Live et PlayStation Network en 2014. Le groupuscule s’est aussi amusé à pirater le site web de la compagnie aérienne Malaysian Airlines, faisant apparaître un message « 404 – plane not found » (« avion introuvable », un clin d’oeil au message classique d’erreur 404 « page not found », soit « page introuvable »). Lizard Squad a rétabli le site après quelques heures seulement, validant en quelque sorte les hypothèses concernant ce groupe de hackers : il s’agirait d’une petite communauté de hackers novices – pour ne pas dire adolescents – en manque de célébrité. Le fondateur de Lizard Squad a été arrêté en 2016 et le groupe est à ce jour inactif.
Goatsee Security (États-Unis)
Ce collectif se charge de détecter et révéler des failles de cybersécurité. En 2010, le groupe récupérait ainsi les adresses et données de compte de 114 000 souscripteurs du forfait iPad 3G auprès de l’opérateur AT&T.
Chaos Computer Club (Allemagne)
Le groupe souvent réduit à ses initiales CCC rejoint la catégorie du hacking « inoffensif », voire « justicier ». Créé à Berlin, le Chaos Computer Club opère depuis 1980 et se veut défenseur de causes justes. Un des faits les plus marquants de son histoire est le vol de 134 000 marks à une banque de Hambourg : un acte destiné uniquement à dénoncer le pouvoir des banques, la somme ayant été restituée dans son intégralité dès le lendemain. À ce jour, le CCC est devenu avant tout une communauté de discussion : il organise un grand congrès annuel pour parler de la place de l’informatique et de la robotique dans la société. Quelques actions ponctuelles continuent cependant à être menées.
Le Chaos Computer Club a donné naissance à une branche exclusivement féminine : les Hacksen. Il a également vu apparaître une branche française dès 1989 : le Chaos Computer Club France, dont l’activité consiste en un travail de veille et de documentation sur les attaques de pirates informatiques dans l’Hexagone.
Les deux branches du groupe s’alignent, en quelque sorte, sur les préconisations du groupe de pensée dit « anti-sec », qui appelle appelle à la non-publication des informations permettant la compromission de systèmes informatiques, par opposition au choix du « full disclosure ».
Telecomix (international)
Fondé notamment par le célèbre hacker Azox, Telecomix rassemble des cybermilitants de plusieurs pays, autour d’une cause commune : le liberté d’expression.
Hacking for Girliez (HFG) (international)
Les hacktivistes de HFG ont principalement œuvré en 1998, au moment de l’affaire Bill Clinton. Alors que le New York Times s’apprête à révéler les liaisons extraconjugales du président américain, Hacking for Girliez prend le contrôle du site internet du journal pour bloquer un récit jugé exagéré à de pures fins de maximisation de vente du journal.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Les menaces à surveiller de très près
Certains champions du hacking se démarquent clairement par l’intensification de leurs frappes et la complexification croissante des méthodes employées. Quels sont les groupes de pirates pressentis pour mener la vie dure aux États et aux entreprises dans les années à venir ?
Fancy Bear ou APT28 (Russie)
Soupçonné d’opérer sous une multitude d’appellations différentes, le groupe généralement désigné sous le nom de Fancy Bear – ou, plus rarement, APT 28 – serait directement lié au gouvernement russe. Malgré les démentis publics, des preuves de filiation ont été apportées au fil des années par les médias. Parmi les grands faits d’armes de Fancy Bear, on retiendra notamment des faits de nature politique : le piratage du gouvernement géorgien en 2008, ayant permis d’obtenir des informations clés juste avant l’invasion du pays par les troupes de Vladimir Poutine ; le piratage d’échanges électroniques de membres de la Convention nationale démocrate américaine et, plus récemment, des tentatives de court-circuitage de la campagne présidentielle de Joe Biden.
Le plus souvent, les soldats du web de Fancy Bear évitent de signer leurs attaques. Depuis 2019, le groupe montre une diversification exponentielle du type d’attaques menées et devrait sans aucun doute compter parmi les principales menaces au cours des années à venir.
Cozy Bear ou APT29 (Russie)
Mis en lumière au moment de la crise de Covid-19, le groupe Cozy Bear est lui aussi soupçonné d’entretenir des relations étroites avec le gouvernement russe. Il a été accusé d’une tentative de vol de données confidentielles auprès des pouvoirs publics américains, britanniques et canadiens. Les informations en question concernaient le développement d’un vaccin contre le coronavirus.
Cozy Bear aurait également opéré aux côtés de Fancy Bear pour infiltrer, à partir de l’été 2015, le Parti démocrate américain. Ses cibles privilégiées sont par ailleurs les entreprises et think thanks.
DarkSide (Europe de l’Est)
Rendu célèbre par une attaque contre le système d’oléoducs Colonial Pipeline en mai 2021, DarkSide est considéré comme l’un des groupes de hackers parmi les plus dangereux à l’heure actuelle. Cette réputation est liée à l’ampleur de la crise générée sur le territoire américain en déployant un ransomware au sein de Colonial Pipeline : cette cyberattaque à l’encontre du réseau assurant 45 % de l’approvisionnement en essence de la côte est a provoqué un climat de panique généralisée, conduisant à des achats d’essence outranciers et à un blocage à grande échelle. La veille de cette attaque, DarkSide avait par ailleurs réussi à dérober 100 giga-octets de données sur les serveurs de cette même entreprise.
DarkSide a fait des entreprises de grande notoriété sa cible privilégiée et tient à jour un site d’information à destination des journalistes, cochant de fait les deux cases principales en ce qui concerne la motivation des hackers : l’argent et la reconnaissance à grande échelle.
Lapsus$ (Grande-Bretagne)
Connu depuis fin 2021, ce groupe aurait à sa tête un adolescent britannique, selon les dernières enquêtes, et serait d’ailleurs principalement composé de petits génies âgés de 16 à 21 ans, opérant principalement depuis la Grande-Bretagne et l’Amérique du sud.
Malgré son apparition récente, Lapsus$ a d’ores et déjà réussi à faire un hold-up sur pas moins de 37 Go de données appartenant au géant Microsoft. Sur son tableau de chasse, le groupe affiche d’autres très grands noms de l’industrie technologique comme Ubisoft, Samsung, le spécialiste des processeurs graphiques américains Nvidia ou encore le spécialiste en sécurité informatique Okta. Le groupe s’attaque aussi à des spécialistes de la vente au détail, des organisations gouvernementales et des médias.
La marque de fabrique de Lapsus$ est simple : se rapprocher d’employés au sein des grandes entreprises visées afin de pirater facilement les systèmes de sécurité, récupérer des données sensibles et demander une rançon pour ne pas les faire fuiter.
Ils ont aussi marqué l’Histoire et la culture du hacking...
La figure du hacker n’est pas née au 21e siècle. Dans les années 1980 et 1990, les pirates informatiques étaient déjà largement présents. Parmi les groupes ayant largement contribué à populariser le phénomène du hacking, on pourra retenir :
- Cult of the Dead Cow ou cDc, forme hybride entre le groupe de hacker et le média de masse, apparu en 1984 aux États-Unis et à qui l’on doit la création de plusieurs outils pensés aussi bien pour les hackers que pour les administrateurs système et le grand public, à l’image de Peekabooty, réseau peer to peer anonymisant ;
- Cryptel, groupe de hackers français opérant dans les années 1990 et connu pour le magazine underground publié sous le même nom, en version numérique ;
- Legion of Doom, très actif aux États-Unis entre les années 1980 et 2000, tout comme L0pht Heavy Industries, 1992 et 2000 ;
- dans les années 2000, l’iPhone Dev Team a fait des heureux en développant plusieurs outils permettant l’utilisation d’applications non autorisées par Apple sur iPhone, iPad et iPod Touch.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
Au-delà des groupes de hackers à proprement parler, plusieurs « individualistes » se sont fait connaître du grand public et des autorités en tant que hackers les plus redoutés de tous les temps. C’est le cas notamment de Kevin Mitnick, ayant piraté le Commandement de la défense aérospatiale de l’Amérique du Nord (NORAD) en 1982 ; Adrian Lamo qui, à 20 ans, en 2001, devient célèbre en réussissant à ajouter une fausse citation dans un article de l’agence Reuters ; ou encore Albert Gonzalez, opérant à travers le forum du darknet Shadowcrew.com et ayant dérobé 256 millions de dollars en piratant des cartes bancaires.
Le virus SpyEye, qui a infecté quelque 50 millions d’ordinateurs, principalement sur le territoire américain, est le fait du hacker algérien Hamza Bendelladj. Il a agi avec la complicité du hacker russe Aleksandr Andreevich Panin, également connu sous le pseudonyme Gribodemon. SpyEye a permis à ses créateurs de détourner entre 10 et 20 millions de dollars en visant plus de 200 structures financières américaines et européennes. Hamza Bendelladj a été capturé après un traque de 5 ans menée par le FBI et Interpol.
Le hacking éthique désigne, à l’origine, toutes les pratiques de piratage non malveillantes. À ce jour, être hacker éthique est devenu un métier à part entière, de plus en plus représenté dans les entreprises. Sa mission : mener des opérations de piratage à titre préventif, afin de lutter contre la cybercriminalité. Un hacking pourra aider à mettre en évidence certaines failles dans un système ou un site web, par exemple, afin d’y remédier sans délai et d’éviter une attaque réelle.
