Les pirates du web et autres génies informatiques avançant masqués alimentent largement l’imaginaire collectif : longtemps, ils ont été des objets de fascination et des thèmes de fictions. Pourtant, leur impact est bien réel. Plus que jamais, ils sont perçus comme une menace de premier plan. Bien que certains activistes (que l’on appelle hacktivistes dans le cadre de la cyber) entendent, par leurs actions, dénoncer des comportements, des décisions politiques.
Les grands fléaux des années 2010
Le début du 21e siècle a vu, sinon une multiplication des groupe de cybercriminels , du moins une médiatisation croissante de leurs faits et méfaits. Cette mise en lumière est synonyme :
- D’un début de réaction de la société, qui commence à se prémunir contre les attaques et souhaite alerter au maximum contre la menace réelle que représentent les cyberattaquants ;
- D’une recherche volontaire de reconnaissance, voire de starification, de la part des hackers eux-mêmes.
Voici les noms des principales communautés de hackers ayant fortement marqué la période récente, en raison de l’ampleur de leurs attaques, de leurs modes opératoires, voire de leurs origines. Leurs coups d’éclat appellent à une vigilance renforcée du côté de toutes les victimes potentielles : États, entreprises, collectivités et particuliers. Ces principaux acteurs de la menace sont connus sous le nom d’Advanced Persistent Threat (APT), c’est-à-dire des groupes d’attaquants hautement qualifiés, généralement parrainés par des nations ou des groupes criminels organisés. Ils ciblent principalement les infrastructures critiques, les organisations financières et les institutions gouvernementales. Elles sont qualifiées de persistantes parce que les opérations de ces groupes peuvent rester indétectables sur des réseaux compromis pendant de longues périodes.
Equation Group et les Shadow Brokers (États-Unis)
Leur nom est intimement lié à celui des logiciels malveillants ayant causé le plus de dommages au cours des dernières années : les malwares WannaCry et NotPetya. En mai 2017, la vague WannaCry a submergé pas moins de 150 pays avec un ransomware qui aura fait des milliers de victimes, parmi lesquelles de grands noms comme Telefonica en Espagne, Renault en France, FedEx et les services de santé britanniques, sans oublier la police nationale indienne. Plus dévastateur encore que le chiffrement de donnés opéré par le ransomware WannaCry, NotPetya – un malware de type wiper, détruisant les données – qui pouvait infecter toutes les versions de Windows non patchées (allant de Windows XP à Windows 10). Saint-Gobain, la SNCF, Mars, Nivea : partout dans le monde, des entreprises ont vu leurs affaires mises en péril.
À l’origine du développement et de la propagation de ces deux virus, on trouve le groupe de cybercriminels Equation Group, utilisant un compte Twitter sous le nom @shadowbrokers. En 2016, deux virus espions ont permis de révéler que ce groupe est né au sein de l’unité Tailored Access Operations de la NSA (National Security Agency) américaine. Cette position de choix a permis au groupe :
- D’avoir un accès sans limite aux données rassemblées par la NSA
- D’accumuler des informations cruciales sur des vulnérabilités informatiques afin de les exploiter.
On attribue à Equation la mise en place de Stuxnet, le ver informatique ayant visé le programme nucléaire iranien entre 2005 et 2010. Depuis début 2018, aucune activité connue d’Equation n’est revenue dans les fils d’actualité.
Bureau 121 (Corée du Nord)
C’est le groupe de cybercriminels de Corée du Nord, qui a apporté un soutien direct au développement du ransomware WannaCry au milieu des années 2000. Bureau 121 s’est fait une petite notoriété en 2014 en piratant les systèmes informatiques du studio Sony Pictures. En réaction à la sortie d’un film, la comédie L’Interview qui tue !, de Seth Rodgens, les hackers coréens ont fait fuiter un nombre important d’emails professionnels. Cette opération a coûté plus de 15 millions de dollars au studio de cinéma américain.
Lazarus Group ou APT38 (Associé à la Corée du Nord)
Le collectif connu sous le nom de Lazarus, dont les origines sont souvent associées au territoire nord-coréen, s’est illustré par de multiples actions remarquables dans le domaine de l’intrusion numérique depuis sa première apparition publique il y a une décennie.
Son action la plus médiatisée a été l’incursion dans la structure de Sony Pictures en 2014, qui s’est traduite par une fuite massive de données sensibles.
Par la suite, le collectif Lazarus a été associé à une série d’incidents affectant les réseaux de communication financière mondiaux, le cas le plus marquant étant celui de la Banque centrale du Bangladesh en 2016, avec une somme s’élevant à des dizaines de millions de dollars subtilisés.
En 2017, une autre action majeure a été attribuée à ce collectif : l’épisode WannaCry. Cette incursion a touché un nombre incalculable de systèmes informatiques à travers le monde, y compris des structures vitale comme le système de santé au Royaume-Uni.
Plus récemment, le groupe Lazarus a été signalé pour avoir piraté des ressources informatiques afin de générer des monnaies numériques à leur avantage, en ciblant diverses places d’échanges de ces monnaies.
Unit 8200 (Israël)
Voici un cas illustrant parfaitement les cellules de hackers à la fois clandestines et dépendantes d’un pouvoir étatique. Unit 8200 correspond à l’entité de cyberintelligence chapeautée par le gouvernement israélien. Intervenu à plusieurs reprises pour défendre les institutions du pays et menées des actions de contre-terrorisme, Unit 8200 s’est aussi illustré par ses campagnes d’espionnage de masse, auprès de gouvernements étrangers et de civils. Il a aussi participé au développement :
- Du worm Stuxnet, en collaboration avec la NSA américaine ;
- Du logiciel espion Duqu 2.0, qui a permis d’infiltrer Kaspersky Labs, géant russe des services de cybersécurité. Ce spyware a aussi été utilisé pour infecter les hôtels suisses et autrichiens ayant accueilli les grandes négociations internationales avec l’Iran au cours de l’année 2015.
Lulz Security ou LulzSec (États-Unis)
Voici un autre groupe ayant fait trembler la maison Sony en 2011, en volant des données sur un site maintenu par le groupe. Un million de comptes ont été compromis à travers cette opération. LulzSec fait également partie du petit cercle de hackers ayant réussi à infiltrer les systèmes de la CIA, en rendant le site de l’agence américaine indisponible pendant plusieurs heures.
En termes d’effectifs et de force de frappe, Lulz Security serait comparable à Rex Mundi, autre groupuscule spécialisé dans le chantage sur internet.
The Dark Overlord
Établi depuis 2016, ce groupe a démontré sa capacité à exécuter des attaques de ransomware à grande échelle et à voler des données précieuses.
The Dark Overlord se distingue par sa technique dite de « double extorsion ». En effet, ce dernier s’empare de données sensibles puis menace de les divulguer, à moins que la victime ne paie une rançon. Ce procédé souligne l’importance de la protection des données.
UGNazi (États-Unis)
C’est bien depuis les États-Unis que sont organisées les principales actions de l’Underground Nazi Hacktivist Group. Rassemblant les hackers CosmoTheGod, JoshTheGod, MrOsama, CyberZeist et Daisuke, le groupe est spécialisé dans les attaques DdoS contre le gouvernement fédéral américain, à partir de 2011, mais aussi pour avoir fait fuiter des données sensibles de plusieurs personnalités politique américaines.
Le hacking au Proche-Orient
Depuis le début des années 2010, les groupes d’attaquants (APT) occupent une place de plus en plus importante au Proche-Orient. Au début de la guerre civile, en 2011, la Syrie a vu apparaître les Syrian Electronic Soldiers (Soldats électroniques de Syrie), également présentés sous le nom de Syrian Electronic Army (Armée électronique syrienne). Composé essentiellement de jeunes recrues, le groupe s’attaque principalement aux médias occidentaux hostiles à Bachar el-Assad.
Depuis 2014, OurMine sévit en Arabie Saoudite : la plupart des attaques, menées contre des célébrités et des entreprises, visent à encourager les victimes à renforcer la sécurité de leurs comptes en souscrivant directement aux services d’OurMine.
Plus anciens, les groupes Redhack et Cyber-Warrior Akıncılar opèrent respectivement depuis 1997 et 1999 en Turquie. Redhack a notamment attaqué des institutions comme les forces de police, l’armée de terre, Türk Telecom ou l’Organisation nationale du Renseignement. Cyber-Warrior Akıncılar, à tendance pro-Erdogan, est principalement connu pour avoir piraté le site du journal Charlie Hebdo après la publication de caricatures du prophète Mahomet.
Les outsiders : entre grandes figures de l’hacktivisme et groupuscules en devenir
Certains groupes d’attaquants (APT) se démarquent nettement par leurs visées non frauduleuses, du moins non motivées par des enjeux de gain financier mais davantage à dimension politique et/ou sociale. Les partisans de l’« hacktivisme » – contraction simple des mots « hack » et « activisme » – se réclament de causes plus nobles, bénéfiques à la société de manière générale.
Anonymous (international)
Ils sont sans conteste la communauté de hackers la mieux identifiée : connus pour se cacher sous un masque souriant, aux fines moustaches, lors de leurs manifestations dans la rue – le masque, représentant le visage de Guy Fawkes (un Anglais de confession catholique ayant organisé la Conspiration des poudres au 17e siècle), a été repris dans de nombreuses productions audiovisuelles. Ces hacktivistes se distinguent par un sens de la communication aigu et généralement par la défense de grandes causes.
Anonymous s’est fait connaître en menant une série d’actions, à partir de 2008, contre l’Église de scientologie, notamment en réalisant une attaque de type DdoS ayant bloqué leur site web. Le groupe a continué à défrayer la chronique en menant une opération contre des comptes Twitter appartenant à des militants de Daesh, suite à l’attentat contre Charlie Hebdo, en janvier 2015. En 2010, le groupe d’attaquants (APT) avait frappé fort attaquant le site de MasterCard, après que la société ait décidé de suspendre ses services à WikiLeaks. En 2011, plus de 90 000 adresses ont été dérobées depuis un serveur non protégé de Booz Allen Hamilton, agence conseillant le ministère américain de la Défense. En 2021, le Pentagone faisait l’objet d’une nouvelle attaque.
Lizard Squad (Pays-Bas)
Opérant principalement à travers des attaques par déni de service (DDoS), le groupe Lizard Squad est célèbre pour avoir mis à l’arrêt les réseaux de jeu en ligne Xbox Live et PlayStation Network en 2014. Le groupuscule s’est aussi amusé à pirater le site web de la compagnie aérienne Malaysian Airlines, faisant apparaître un message « 404 – plane not found » (« avion introuvable », un clin d’oeil au message classique d’erreur 404 « page not found », soit « page introuvable »). Lizard Squad a rétabli le site après quelques heures seulement, validant en quelque sorte les hypothèses concernant ce groupe d’attaquants (APT) : il s’agirait d’une petite communauté de hackers novices – pour ne pas dire adolescents – en manque de célébrité (script kiddies). Le fondateur de Lizard Squad a été arrêté en 2016 et le groupe est à ce jour inactif.
Goatsee Security (États-Unis)
Ce collectif se charge de détecter et révéler des failles de cybersécurité. En 2010, le groupe récupérait ainsi les adresses et données de comptes de 114 000 souscripteurs du forfait iPad 3G auprès de l’opérateur AT&T.
Chaos Computer Club (Allemagne)
Le groupe souvent réduit à ses initiales CCC rejoint la catégorie du hacking « inoffensif », voire « justicier ». Créé à Berlin, le Chaos Computer Club opère depuis 1980 et se veut défenseur de causes justes. Un des faits les plus marquants de son histoire est le vol de 134 000 marks à une banque de Hambourg : un acte destiné uniquement à dénoncer le pouvoir des banques, la somme ayant été restituée dans son intégralité dès le lendemain. À ce jour, le CCC est devenu avant tout une communauté de discussion : il organise un grand congrès annuel pour parler de la place de l’informatique et de la robotique dans la société. Quelques actions ponctuelles continuent cependant à être menées.
Le Chaos Computer Club a donné naissance à une branche exclusivement féminine : les Hacksen. Il a également vu apparaître une branche française dès 1989 : le Chaos Computer Club France, dont l’activité consiste en un travail de veille et de documentation sur les attaques de pirates informatiques dans l’Hexagone.
Les deux branches du groupe s’alignent, en quelque sorte, sur les préconisations du groupe de pensée dit « anti-sec », qui appelle appelle à la non-publication des informations permettant la compromission de systèmes informatiques, par opposition au choix du « full disclosure ».
Telecomix (international)
Fondé notamment par le célèbre hacker Azox, Telecomix rassemble des cybermilitants de plusieurs pays, autour d’une cause commune : le liberté d’expression.
Hacking for Girliez (HFG) (international)
Les hacktivistes de HFG ont principalement œuvré en 1998, au moment de l’affaire Bill Clinton. Alors que le New York Times s’apprête à révéler les liaisons extraconjugales du président américain, Hacking for Girliez prend le contrôle du site internet du journal pour bloquer un récit jugé exagéré à de pures fins de maximisation de vente du journal.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Les menaces à surveiller de très près
Certains champions du hacking se démarquent clairement par l’intensification de leurs frappes et la complexification croissante des méthodes employées. Quels sont les groupes de pirates pressentis pour mener la vie dure aux États et aux entreprises dans les années à venir ?
Fancy Bear ou APT28 (Russie)
Soupçonné d’opérer sous une multitude d’appellations différentes, le groupe généralement désigné sous le nom de Fancy Bear – ou, plus rarement, APT 28 – serait directement lié au gouvernement russe. Malgré les démentis publics, des preuves de filiation ont été apportées au fil des années par les médias. Parmi les grands faits d’armes de Fancy Bear, on retiendra notamment des faits de nature politique : le piratage du gouvernement géorgien en 2008, ayant permis d’obtenir des informations clés juste avant l’invasion du pays par les troupes de Vladimir Poutine ; le piratage d’échanges électroniques de membres de la Convention nationale démocrate américaine et, plus récemment, des tentatives de court-circuitage de la campagne présidentielle de Joe Biden.
Le plus souvent, les soldats du web de Fancy Bear évitent de signer leurs attaques. Depuis 2019, le groupe montre une diversification exponentielle du type d’attaques menées et devrait sans aucun doute compter parmi les principales menaces au cours des années à venir.
Cozy Bear ou APT29 (Russie)
Mis en lumière au moment de la crise de Covid-19, le groupe Cozy Bear est lui aussi soupçonné d’entretenir des relations étroites avec le gouvernement russe. Il a été accusé d’une tentative de vol de données confidentielles auprès des pouvoirs publics américains, britanniques et canadiens. Les informations en question concernaient le développement d’un vaccin contre le coronavirus.
Cozy Bear aurait également opéré aux côtés de Fancy Bear pour infiltrer, à partir de l’été 2015, le Parti démocrate américain. Ses cibles privilégiées sont par ailleurs les entreprises et think thanks (groupes de recherche).
DarkSide (Europe de l’Est)
Rendu célèbre par une attaque contre le système d’oléoducs Colonial Pipeline en mai 2021, DarkSide est considéré comme l’un des groupes d’attaquants (APT) parmi les plus dangereux à l’heure actuelle. Cette réputation est liée à l’ampleur de la crise générée sur le territoire américain en déployant un ransomware au sein de Colonial Pipeline. Cette cyberattaque à l’encontre du réseau assurant 45 % de l’approvisionnement en essence de la côte est a provoqué un climat de panique généralisée, conduisant à des achats d’essence outranciers et à un blocage à grande échelle. La veille de cette attaque, DarkSide avait par ailleurs réussi à dérober 100 giga-octets de données sur les serveurs de cette même entreprise.
DarkSide a fait des entreprises de grande notoriété sa cible privilégiée et tient à jour un site d’information à destination des journalistes, cochant de fait les deux cases principales en ce qui concerne la motivation des hackers : l’argent et la reconnaissance à grande échelle.
Lapsus$ (Grande-Bretagne)
Connu depuis fin 2021, ce groupe aurait à sa tête un adolescent britannique, selon les dernières enquêtes, et serait d’ailleurs principalement composé de très jeunes membres allant de 16 à 21 ans, opérant principalement depuis la Grande-Bretagne et l’Amérique du sud.
Malgré son apparition récente, Lapsus$ a d’ores et déjà réussi à faire un hold-up sur pas moins de 37 Go de données appartenant au géant Microsoft. Sur son tableau de chasse, le groupe affiche d’autres très grands noms de l’industrie technologique comme Ubisoft, Samsung, le spécialiste des processeurs graphiques américains Nvidia ou encore le spécialiste en sécurité informatique Okta. Le groupe s’attaque aussi à des spécialistes de la vente au détail, des organisations gouvernementales et des médias.
La marque de fabrique de Lapsus$ est simple : se rapprocher d’employés au sein des grandes entreprises visées (social enginneering) afin de pirater facilement les systèmes de sécurité, récupérer des données sensibles et demander une rançon.
Ils ont aussi marqué l’Histoire et la culture du hacking...
La figure du hacker n’est pas née au 21e siècle. Dans les années 1980 et 1990, les pirates informatiques étaient déjà largement présents. Parmi les groupes ayant largement contribué à populariser le phénomène du hacking, on peut retenir :
- Cult of the Dead Cow ou cDc, forme hybride entre le groupe d’attaquants (APT) et le média de masse, apparu en 1984 aux États-Unis et à qui l’on doit la création de plusieurs outils pensés aussi bien pour les hackers que pour les administrateurs système et le grand public, à l’image de Peekabooty, réseau peer to peer anonyme ;
- Cryptel, groupe d’attaquants (APT) français opérant dans les années 1990 et connu pour le magazine underground publié sous le même nom, en version numérique ;
- Legion of Doom, très actif aux États-Unis entre les années 1980 et 2000, tout comme L0pht Heavy Industries, 1992 et 2000 ;
- Dans les années 2000, l’iPhone Dev Team a fait des heureux en développant plusieurs outils permettant l’utilisation d’applications non autorisées par Apple sur iPhone, iPad et iPod Touch.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
Au-delà des groupes de cybercriminels à proprement parler, plusieurs « individualistes » se sont fait connaître du grand public et des autorités en tant que hackers les plus redoutés de tous les temps. C’est le cas notamment de Kevin Mitnick, ayant piraté le Commandement de la défense aérospatiale de l’Amérique du Nord (NORAD) en 1982 ; Adrian Lamo qui, à 20 ans, en 2001, devient célèbre en réussissant à ajouter une fausse citation dans un article de l’agence Reuters ; ou encore Albert Gonzalez, opérant à travers le forum du darknet Shadowcrew.com et ayant dérobé 256 millions de dollars en piratant des cartes bancaires.
Le virus SpyEye, qui a infecté quelque 50 millions d’ordinateurs, principalement sur le territoire américain, est le fait du hacker algérien Hamza Bendelladj. Il a agi avec la complicité du hacker russe Aleksandr Andreevich Panin, également connu sous le pseudonyme Gribodemon. SpyEye a permis à ses créateurs de détourner entre 10 et 20 millions de dollars en visant plus de 200 structures financières américaines et européennes. Hamza Bendelladj a été capturé après un traque de 5 ans menée par le FBI et Interpol.
Le hacking éthique désigne, à l’origine, toutes les pratiques de piratage non malveillantes. À ce jour, être hacker éthique est devenu un métier à part entière, de plus en plus représenté dans les entreprises. Sa mission : mener des opérations de piratage à titre préventif, afin de lutter contre la cybercriminalité. Un hacking pourra aider à mettre en évidence certaines failles dans un système ou un site web, par exemple, afin d’y remédier sans délai et d’éviter une attaque réelle.
