Les pirates du web et autres génies informatiques avançant masqués alimentent largement l’imaginaire collectif : longtemps, ils ont été des objets de fascination et des thèmes de fictions. Pourtant, leur impact est bien réel. Plus que jamais, ils sont perçus comme une menace de premier plan. Bien que certains activistes (que l’on appelle hacktivistes dans le cadre de la cyber) entendent, par leurs actions, dénoncer des comportements, des décisions politiques.
Les grands fléaux des années 2010
Le début du 21e siècle a vu, sinon une multiplication des groupe de cybercriminels , du moins une médiatisation croissante de leurs faits et méfaits. Cette mise en lumière est synonyme :
- Une prise de conscience croissante des risques cyber par la société, avec des efforts accrus pour se prémunir contre les attaques et sensibiliser le public aux menaces que représentent les cyberattaquants ;
- Une recherche de reconnaissance de la part de certains hackers, utilisant les réseaux sociaux et forums pour revendiquer leurs exploits et capter l’attention médiatique et satisfaire leur ego.
Voici les noms des principales communautés de hackers ayant fortement marqué la période récente, en raison de l’ampleur de leurs attaques, de leurs modes opératoires ou de leurs affiliations. Leurs actions appellent à une vigilance renforcée pour toutes les potentielles cibles : États, entreprises stratégiques, infrastructures critiques et certaines organisations du secteur public ou privé. Ces groupes sont souvent regroupés sous le terme Advanced Persistent Threat (APT), une menace avancée et persistante provenant généralement d’acteurs hautement qualifiés, souvent soutenus par des États ou des organisations criminelles organisées. Ils visent principalement les infrastructures critiques, les secteurs financiers, les organisations technologiques et les institutions gouvernementales. La persistance de ces APT réside dans leur capacité à maintenir un accès prolongé aux réseaux compromis, en adaptant leurs opérations pour rester actifs même après des tentatives de détection et de neutralisation.
Equation Group et les Shadow Brokers (États-Unis)
Leur nom est intimement lié à celui des logiciels malveillants ayant causé le plus de dommages au cours des dernières années : les malwares WannaCry et NotPetya. En mai 2017, la vague WannaCry a submergé pas moins de 150 pays avec un ransomware qui aura fait des milliers de victimes, parmi lesquelles de grands noms comme Telefonica en Espagne, Renault en France, FedEx et les services de santé britanniques, sans oublier la police nationale indienne. Plus dévastateur encore que le chiffrement de donnés opéré par le ransomware WannaCry, NotPetya – un malware de type wiper, détruisant les données – qui pouvait infecter toutes les versions de Windows non patchées (allant de Windows XP à Windows 10). Saint-Gobain, la SNCF, Mars, Nivea : partout dans le monde, des entreprises ont vu leurs affaires mises en péril.
À l’origine du développement et de la propagation de ces deux virus, on trouve le groupe de cybercriminels Equation Group, utilisant un compte Twitter sous le nom @shadowbrokers. En 2016, deux virus espions ont permis de révéler que ce groupe est né au sein de l’unité Tailored Access Operations de la NSA (National Security Agency) américaine. Cette position de choix a permis au groupe :
- D’avoir un accès sans limite aux données rassemblées par la NSA
- D’accumuler des informations cruciales sur des vulnérabilités informatiques afin de les exploiter.
On attribue à Equation le développement de Stuxnet, le ver informatique ayant visé le programme nucléaire iranien entre 2005 et 2010. Depuis début 2018, aucune activité connue d’Equation Group n’est revenue dans les actualités.
Bureau 121 (Corée du Nord)
Bureau 121 est le principal groupe de cyberattaquants de la Corée du Nord, largement accusé de soutien au développement du ransomware WannaCry en 2017. Ce groupe a attiré l’attention internationale en 2014 en piratant les systèmes informatiques du studio Sony Pictures.. En réaction à la sortie de la comédie L’Interview qui tue !, réalisée par Seth Rogen, des hackers associés à la Corée du Nord ont exfiltré et divulgué une grande quantité d’emails et de données internes, causant des pertes estimées à plus de 15 millions de dollars pour le studio américain.
Lazarus Group ou APT38 (Associé à la Corée du Nord)
Le collectif connu sous le nom de Lazarus, dont les origines sont souvent associées au territoire nord-coréen, s’est illustré par de multiples actions remarquables dans le domaine de l’intrusion numérique depuis sa première apparition publique il y a une décennie.
Son action la plus médiatisée a été l’incursion dans la structure de Sony Pictures en 2014, qui s’est traduite par une fuite massive de données sensibles.
Par la suite, le collectif Lazarus a été associé à une série d’incidents affectant les réseaux de communication financière mondiaux, le cas le plus marquant étant celui de la Banque centrale du Bangladesh en 2016, avec une somme s’élevant à des dizaines de millions de dollars subtilisés.
En 2017, une autre action majeure a été attribuée à ce collectif : l’épisode WannaCry. Cette incursion a touché un nombre incalculable de systèmes informatiques à travers le monde, y compris des structures vitale comme le NHS (National Health Service) au Royaume-Uni.
Plus récemment, Lazarus s’est orienté vers le piratage de plateformes de cryptomonnaie, ciblant des plateformes d’échanges pour générer des profits en cryptomonnaie.
Unit 8200 (Israël)
Voici un cas illustrant parfaitement les cellules de hackers à la fois clandestines et dépendantes d’un pouvoir étatique. Unit 8200 correspond à l’entité de cyberintelligence chapeautée par le gouvernement israélien. Intervenu à plusieurs reprises pour défendre les institutions du pays et menées des actions de contre-terrorisme, Unit 8200 s’est aussi illustré par ses campagnes d’espionnage de masse, auprès de gouvernements étrangers et de civils. Il a aussi participé au développement :
- Stuxnet, un ver informatique conçu en partenariat avec la NSA américaine pour perturber les infrastructures nucléaires iraniennes ;
- Du logiciel espion Duqu 2.0, qui a permis d’infiltrer Kaspersky Labs, géant russe des services de cybersécurité. Ce spyware a aussi été utilisé pour infecter les hôtels suisses et autrichiens ayant accueilli les grandes négociations internationales avec l’Iran au cours de l’année 2015.
Lulz Security ou LulzSec (États-Unis)
Voici un autre groupe ayant fait trembler la maison Sony en 2011, en volant des données sur un site maintenu par le groupe. Un million de comptes ont été compromis à travers cette opération. LulzSec s’est aussi fait remarquer en rendant indisponible le site de la CIA pendant plusieurs heures, en signe de défi envers les agences de sécurité.
En termes d’effectifs et de force de frappe, Lulz Security serait comparable à Rex Mundi, autre groupuscule spécialisé dans le chantage sur internet.
The Dark Overlord
Actif depuis 2016, The Dark Overlord s’est fait connaître par sa capacité à voler des données sensibles et à extorquer des organisations de diverses industries. Ce groupe utilise une technique dite de « double extorsion » : après avoir accédé à des informations confidentielles, il menace de les publier si la victime refuse de payer la rançon demandée. Ce procédé met en évidence l’importance cruciale de protéger les données sensibles et d’anticiper les cyberattaques.
UGNazi (États-Unis)
C’est bien depuis les États-Unis que sont organisées les principales actions de l’Underground Nazi Hacktivist Group. Rassemblant les hackers CosmoTheGod, JoshTheGod, MrOsama, CyberZeist et Daisuke, le groupe est spécialisé dans les attaques DdoS contre le gouvernement fédéral américain, à partir de 2011, mais aussi pour avoir fait fuiter des données sensibles de plusieurs personnalités politique américaines.
Le hacking au Proche-Orient
Depuis le début des années 2010, les groupes d’attaquants (APT) occupent une place de plus en plus importante au Proche-Orient. Au début de la guerre civile, en 2011, la Syrie a vu apparaître les Syrian Electronic Soldiers (Soldats électroniques de Syrie), également présentés sous le nom de Syrian Electronic Army (Armée électronique syrienne). Composé essentiellement de jeunes recrues, le groupe s’attaque principalement aux médias occidentaux hostiles à Bachar el-Assad.
Depuis 2014, OurMine sévit en Arabie Saoudite : la plupart des attaques, menées contre des célébrités et des entreprises, visent à encourager les victimes à renforcer la sécurité de leurs comptes en souscrivant directement aux services d’OurMine.
Plus anciens, les groupes Redhack et Cyber-Warrior Akıncılar opèrent respectivement depuis 1997 et 1999 en Turquie. Redhack a notamment attaqué des institutions comme les forces de police, l’armée de terre, Türk Telecom ou l’Organisation nationale du Renseignement. Cyber-Warrior Akıncılar, à tendance pro-Erdogan, est principalement connu pour avoir piraté le site du journal Charlie Hebdo après la publication de caricatures du prophète Mahomet.
Les outsiders : entre grandes figures de l’hacktivisme et groupuscules en devenir
Certains groupes d’attaquants se distinguent par des objectifs non financiers. Leur motivation relève davantage de dimensions politiques ou sociales. Ces groupes, souvent qualifiés de « hacktivistes » — un terme issu de la contraction des mots « hack » et « activisme » – se réclament de causes plus nobles, bénéfiques à la société de manière générale.
Anonymous (international)
Ils sont sans conteste la communauté de hackers la mieux identifiée : connus pour se cacher sous un masque souriant, aux fines moustaches, lors de leurs manifestations dans la rue – le masque, représentant le visage de Guy Fawkes (un Anglais de confession catholique ayant organisé la Conspiration des poudres au 17e siècle), a été repris dans de nombreuses productions audiovisuelles. Ces hacktivistes se distinguent par un sens de la communication aigu et généralement par la défense de grandes causes.
Ils constituent sans conteste l’une des communautés de hackers les plus reconnaissables : connus pour arborer, lors de manifestations, le masque de Guy Fawkes, un symbole popularisé par des productions audiovisuelles, représentant cet Anglais du 17e siècle ayant participé à la Conspiration des poudres. Anonymous se distingue par son sens de la communication et par ses prises de position en faveur de causes variées.Anonymous a gagné en notoriété en 2008 en lançant une série d’actions contre l’Église de scientologie, y compris des attaques de type DDoS qui ont temporairement bloqué leur site web. Le groupe a ensuite mené des opérations de grande envergure, comme celle contre des comptes Twitter affiliés à Daesh, à la suite de l’attentat contre Charlie Hebdo en janvier 2015. En 2010, Anonymous a également ciblé MasterCard, en réaction à la décision de l’entreprise de suspendre ses services à WikiLeaks. En 2011, le groupe a exfiltré plus de 90 000 adresses électroniques depuis un serveur non protégé de Booz Allen Hamilton, un prestataire du ministère américain de la Défense. Plus récemment, en 2021, des attaques revendiquées par Anonymous ont visé des systèmes du Pentagone.
Lizard Squad (Pays-Bas)
Opérant principalement via des attaques par déni de service (DDoS), Lizard Squad est connu pour avoir mis à l’arrêt les réseaux de jeu en ligne Xbox Live et PlayStation Network. Le groupe a également piraté le site web de Malaysian Airlines, où il a affiché un message humoristique « 404 – plane not found » (un clin d’œil au message d’erreur 404 « page not found »). Lizard Squad a rétabli le site quelques heures plus tard.Souvent qualifié de groupe de script kiddies — de jeunes hackers peu expérimentés cherchant surtout la notoriété — Lizard Squad est généralement vu comme une petite communauté de hackers attirée par l’impact médiatique. Le fondateur du groupe a été arrêté en 2016, et depuis, Lizard Squad semble inactif.
Goatsee Security (États-Unis)
Ce collectif s’est fait connaître pour la détection et la divulgation de failles de cybersécurité. En 2010, il a récupéré les adresses email et les données de comptes de 114 000 souscripteurs du forfait iPad 3G via une vulnérabilité présente dans le système de l’opérateur AT&T. Cette faille a permis d’accéder aux informations de souscripteurs sans authentification, attirant une attention médiatique importante sur les questions de sécurité des données mobiles.
Chaos Computer Club (Allemagne)
Le groupe souvent réduit à ses initiales CCC rejoint la catégorie du hacking « inoffensif », voire « justicier ». Créé à Berlin, le Chaos Computer Club opère depuis 1980 et se veut défenseur de causes justes. Un des faits les plus marquants de son histoire est le vol de 134 000 marks à une banque de Hambourg : un acte destiné uniquement à dénoncer le pouvoir des banques, la somme ayant été restituée dans son intégralité dès le lendemain. À ce jour, le CCC est devenu avant tout une communauté de discussion : il organise un grand congrès annuel pour parler de la place de l’informatique et de la robotique dans la société. Quelques actions ponctuelles continuent cependant à être menées.
Le Chaos Computer Club a donné naissance à une branche exclusivement féminine : les Hacksen. Il a également vu apparaître une branche française dès 1989 : le Chaos Computer Club France, dont l’activité consiste en un travail de veille et de documentation sur les attaques de pirates informatiques dans l’Hexagone.
Les deux branches du groupe s’alignent, en quelque sorte, sur les préconisations du groupe de pensée dit « anti-sec », qui appelle appelle à la non-publication des informations permettant la compromission de systèmes informatiques, par opposition à la philosophie du « full disclosure ».
Telecomix (international)
Fondé notamment par le célèbre hacker Azox, Telecomix rassemble des cybermilitants de plusieurs pays, autour d’une cause commune : le liberté d’expression.
Hacking for Girliez (HFG) (international)
Les hacktivistes de HFG ont principalement œuvré en 1998, au moment de l’affaire Bill Clinton. Alors que le New York Times s’apprête à révéler les liaisons extraconjugales du président américain, Hacking for Girliez prend le contrôle du site internet du journal pour bloquer un récit jugé exagéré à de pures fins de maximisation de vente du journal.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Les menaces à surveiller de très près
Certains groupes de hackers se distinguent par l’intensification de leurs attaques et la sophistication croissante de leurs méthodes. Mais quels collectifs sont considérés comme les plus susceptibles de poser des défis majeurs aux États et aux entreprises dans les années à venir ?
Fancy Bear ou APT28 (Russie)
Soupçonné d’opérer sous une multitude d’appellations différentes, le groupe généralement désigné sous le nom de Fancy Bear – ou, plus rarement, APT 28 – serait directement lié au gouvernement russe. Malgré les démentis publics, des preuves de filiation ont été apportées au fil des années par les médias. Parmi les grands faits d’armes de Fancy Bear, on retiendra notamment des faits de nature politique : le piratage du gouvernement géorgien en 2008, ayant permis d’obtenir des informations clés juste avant l’invasion du pays par les troupes de Vladimir Poutine ; le piratage d’échanges électroniques de membres de la Convention nationale démocrate américaine et, plus récemment, des tentatives de court-circuitage de la campagne présidentielle de Joe Biden.
Le plus souvent, les soldats du web de Fancy Bear évitent de signer leurs attaques. Depuis 2019, le groupe montre une diversification exponentielle du type d’attaques menées et devrait sans aucun doute compter parmi les principales menaces au cours des années à venir.
Cozy Bear ou APT29 (Russie)
Mis en lumière au moment de la crise de Covid-19, le groupe Cozy Bear est lui aussi soupçonné d’entretenir des relations étroites avec le gouvernement russe. Il a été accusé d’une tentative de vol de données confidentielles auprès des pouvoirs publics américains, britanniques et canadiens. Les informations en question concernaient le développement d’un vaccin contre le coronavirus.
Cozy Bear aurait également opéré aux côtés de Fancy Bear pour infiltrer, à partir de l’été 2015, le Parti démocrate américain. Ses cibles privilégiées sont par ailleurs les entreprises et des think thanks (groupes de recherche), privilégiant l’espionnage de données stratégiques et les informations sensibles..
DarkSide (Europe de l’Est)
Rendu célèbre par une attaque contre le système d’oléoducs Colonial Pipeline en mai 2021, DarkSide est considéré comme l’un des groupes d’attaquants parmi les plus dangereux à l’heure actuelle. Cette réputation est liée à l’ampleur de la crise générée sur le territoire américain en déployant un ransomware au sein de Colonial Pipeline. Cette cyberattaque à l’encontre du réseau assurant 45 % de l’approvisionnement en essence de la côte est a provoqué un climat de panique généralisée, conduisant à des achats d’essence outranciers et à un blocage à grande échelle. La veille de cette attaque, DarkSide avait par ailleurs réussi à dérober 100 giga-octets de données sur les serveurs de cette même entreprise.
DarkSide a fait des entreprises de grande notoriété sa cible privilégiée et tient à jour un site d’information dédié aux médias; il s’agit en réalité d’une tactique de pression et de publicité visant à pousser les victimes à payer en raison de la menace de divulgation de données.
Lapsus$ (Grande-Bretagne)
Connu depuis fin 2021, ce groupe aurait à sa tête un adolescent britannique, selon les dernières enquêtes, et serait d’ailleurs principalement composé de très jeunes membres allant de 16 à 21 ans, opérant principalement depuis la Grande-Bretagne et l’Amérique du sud.
Malgré son apparition récente, Lapsus$ a d’ores et déjà réussi à faire un hold-up sur pas moins de 37 Go de données appartenant au géant Microsoft. Sur son tableau de chasse, le groupe affiche d’autres très grands noms de l’industrie technologique comme Ubisoft, Samsung, le spécialiste des processeurs graphiques américains Nvidia ou encore le spécialiste en sécurité informatique Okta. Le groupe s’attaque aussi à des spécialistes de la vente au détail, des organisations gouvernementales et des médias.
La marque de fabrique de Lapsus$ est simple : se rapprocher d’employés au sein des grandes entreprises visées (social engineering) afin de pirater facilement les systèmes de sécurité, récupérer des données sensibles et demander une rançon.
Ils ont aussi marqué l’Histoire et la culture du hacking...
La figure du hacker n’est pas née au 21e siècle. Dans les années 1980 et 1990, les pirates informatiques étaient déjà largement présents. Parmi les groupes ayant largement contribué à populariser le phénomène du hacking, on peut retenir :
- Cult of the Dead Cow ou cDc, forme hybride entre le groupe d’attaquants et le média de masse, apparu en 1984 aux États-Unis et à qui l’on doit la création de plusieurs outils pensés aussi bien pour les hackers que pour les administrateurs système et le grand public, à l’image de Peekabooty, réseau peer to peer anonyme ;
- Cryptel, groupe d’attaquants français opérant dans les années 1990 et connu pour le magazine underground publié sous le même nom, en version numérique ;
- Legion of Doom, très actif aux États-Unis entre les années 1980 et 2000, tout comme L0pht Heavy Industries, 1992 et 2000 ;
- Dans les années 2000, l’iPhone Dev Team a fait des heureux en développant plusieurs outils permettant l’utilisation d’applications non autorisées par Apple sur iPhone, iPad et iPod Touch.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
Au-delà des groupes de cybercriminels à proprement parler, plusieurs « individualistes » se sont fait connaître du grand public et des autorités en tant que hackers les plus redoutés de tous les temps. C’est le cas notamment de Kevin Mitnick, ayant piraté le Commandement de la défense aérospatiale de l’Amérique du Nord (NORAD) en 1982 ; Adrian Lamo qui, à 20 ans, en 2001, devient célèbre en réussissant à ajouter une fausse citation dans un article de l’agence Reuters ; ou encore Albert Gonzalez, opérant à travers le forum du darknet Shadowcrew.com et ayant dérobé 256 millions de dollars en piratant des cartes bancaires.
Le virus SpyEye, qui a infecté quelque 50 millions d’ordinateurs, principalement sur le territoire américain, est le fait du hacker algérien Hamza Bendelladj. Il a agi avec la complicité du hacker russe Aleksandr Andreevich Panin, également connu sous le pseudonyme Gribodemon. SpyEye a permis à ses créateurs de détourner entre 10 et 20 millions de dollars en visant plus de 200 structures financières américaines et européennes. Hamza Bendelladj a été capturé après un traque de 5 ans menée par le FBI et Interpol.
Le hacking éthique désigne, à l’origine, toutes les pratiques de piratage non malveillantes. À ce jour, être hacker éthique est devenu un métier à part entière, de plus en plus représenté dans les entreprises. Sa mission : mener des opérations de piratage à titre préventif, afin de lutter contre la cybercriminalité. Un hacking pourra aider à mettre en évidence certaines failles dans un système ou un site web, par exemple, afin d’y remédier sans délai et d’éviter une attaque réelle.
