Le phénomène LulzSec et le débat sur la sécurité
S'il est vrai que des hackers connus ont fait l'objet de la presse dans les années 80 et 90, ce n'est plus vraiment le cas aujourd'hui. On pourrait penser qu'ils se cachent plus qu'autre chose. Personne n'a envie de servir d'exemple à une époque où la neutralité du net est remise en question par les gouvernements et les grandes entreprises. C'est pourtant cette année que l'on a l'impression que l'âge d'or du hack d'il y a 20 ans revient...
Merci Sony
Si une entreprise a payé cher ses exactions c'est bien Sony. Ce qui a commencé par une vengeance pour les actions entreprises contre le hacker GeoHot, s'est rapidement transformé en véritable jeu.
Sony est devenu un bac à sable. Ses sites sont passés les uns après les autres au crible. La moindre faille est exploitée et la moindre base diffusée sur ThePirateBay. Ce qui était au départ un défi est devenu un parc d'attraction à hackers. Sony mettra énormément de temps à regagner la confiance de son public qui n'est pas prêt d'oublier la débandade du géant japonais.
Hé oui; 19... c'est le nombre de sites et services hackés chez Sony à ce jour. Du hack de bases de données, à la pure fraude, tout y est passé. De ces hacks, 2 groupes émergent. LulzSec d'un côté et Idahc de l'autre.
Si le second, un groupe libanais, est plutôt discret, le premier est une mine d'or pour les blogueurs ou n'importe quel site d'informations.
Le phénomène LulzSec
Plus qu'un simple groupe, LulzSec est en train de devenir un phénomène. Un site web, un compte Twitter de presque 150 000 abonnés et une ligne téléphonique opérationnelle sont les armes "marketing" des pirates.
LulzSec est une véritable machine à buzz. S'attaquant au gouvernement américain, aux compagnies de sécurité informatique ou encore aux entreprises de jeux vidéo (Bethesda, CCP et Minecraft étant les derniers de la liste), tout le monde en prend pour son grade au nom du "Lulz".
Ils ont diffusé des bases de données, distribué des configurations de serveurs Apache et DDOS des sites. Les hackers ont leurs fans et leurs hateboys comme toute grande marque qui se respecte... Les uns fustigent les autres dans des débats houleux, allant jusqu'à la dénonciation pure et simple de l'identité complète d'un ado pas très malin qui pensait sûrement créer le buzz.
D'ailleurs, pour en revenir sur les DDOS, ce n'est pas une entreprise qui en a été victime mais bien 5 simultanément, ce qui démontre la puissance de feu de LulzSec en la matière. Le Titanic Takeover Tuesday fut donc une sorte de... succès.
De plus, question de bien faire les choses, LulzSec dispose d'un système de dons via les Bitcoins, la monnaie virtuelle décentralisée et libre. Si certains donnent l'équivalent de 5 euros ou 5$, un anonyme leur a donné la modique somme rondelette de 7200$...
Si les black hats se cherchaient une image publique, c'est chose faite (quoique je doute que la communauté Black Hat dans son ensemble soit fan). LulzSec entraîne le web dans son lulzboat et l'on peut prendre son popcorn et attendre patiemment de voir qui sera le prochain à faire les frais d'une bonne blague.
Bien entendu, les victimes sont bons ou mauvais joueurs. Si certains se limitent à réparer les failles et s'excuser auprès de leurs clients, d'autres crient au chantage, de peur de perdre leur image de marque auprès de leur clientèle et ça, c'est probablement le pire truc à faire dans ce type de situation.
En effet, LulzSec dispose de la meilleure arme qui soit : l'aval du public. Parce que oui, les hackers ont leur public et ont créé un véritable réseau de communication efficace faisant leur promotion. Les attaquer gratuitement dans un communiqué c'est s'assurer l'étiquette "mauvais joueur" et finir par être tourné en ridicule. Unveillance, une société de sécurité en a fait les frais lors du Fuck FBI Friday (des noms comme ça, ça ne s'invente pas) récemment en accusant LulzSec de les avoir faits chanter. Personne n'y croit vraiment et tout le monde en rit...
La sécurité remise en question
Qu'un géant comme Sony tombe, c'est en général un phénomène atypique et rare. Cela arrive une fois de temps en temps et c'est normal. Mais qu'un groupe puisse attaquer autant de sites importants en toute impunité, cela crée de l'inquiétude.
Derrière le Lulz proclamé par le groupe de hackers apparaît un fait évident; la sécurité sur le web, c'est mal barré.
Si les entreprises peuvent pleurer sur leurs sites mis à mal, que peuvent dire les consommateurs et utilisateurs de ces mêmes sites ? Savoir que nos informations sont (apparemment) rarement cryptées est plus qu'inquiétant.
À une période où le Cloud Computing va faire son entrée dans le grand public via Chrome OS, il y a lieu de réfléchir à ce que nous, consommateurs allons faire.
LulzSec démontre qu'il leur est tout à fait possible de subtiliser des bases d'utilisateurs complètes et de les diffuser... Ils pourraient les vendre dans un total anonymat mais non. Ils ont décidé d'en faire un énorme jeu.
Il est vrai que nous, usagers, payons pour ça. Les bases de données sont disponibles à tous les spammeurs et script kiddies de la planète mais en y réfléchissant un peu, ce n'est peut-être pas plus mal...
Pourquoi ? Tout simplement car la majorité des gens ne comprend pas encore qu'il faut utiliser de vrais mots-de-passe différents d'un site à l'autre, quitte à utiliser une variante d'un mot-de-passe de base. D'ailleurs, on remarque que dans les bases cryptées, l'ensemble des données n'a pas été déchiffré. Ben oui, certains utilisateurs sont plus avertis que d'autres et blindent leurs clés.
Hé bon, en général, les filtres antispams sont assez efficaces pour que l'on ne s'aperçoive de rien...
Par ses interventions bien musclées, les hackers rouvrent un vieux débat sur la sécurité et transforment le tout en une véritable blague. Les responsables ? Les entreprises qui ne prennent pas la sécurité au sérieux. Les victimes ? Les usagers de ces services et sites...
Que l'on soit pour ou contre leurs agissement est un débat en soi mais l'on est forcé de reconnaître que les failles mises en avant auront probablement pour effet d'améliorer, je l'espère, la sécurité des clients de ces différents services.
Le débat est ouvert
LulzSec est clairement un groupe Black Hat. Ils ne s'en cachent pas et agissent comme tel. Là où un white hat décrirait la faille et n'exploiterait pas celle-ci au détriment du site, le black hat déchire le site visé et force la cible à agir rapidement pour corriger le problème.
Certains jugeront que mettre l'usager en situation de victime collatérale est une mauvaise stratégie. Pourtant, je pense que ce dernier est tout aussi responsable si la base est cryptée à l'origine. En effet, si celle-ci est cryptée et que le mot de passe est faible, l'utilisateur va peut-être finir par prendre conscience qu'écrire un mot de 6 caractères est une véritable blague en 2011...
De plus, il a toujours été conseillé d'utiliser des e-mails différents lorsque l'on utilisait, par exemple, des services de jeux en ligne (PSN, MMORPG, etc.). On peut crier, pleurer mais c'est le genre de conseils qu'a longtemps diffusé Blizzard ou encore les forums spécialisés. Après, si le client pense que ce n'est pas nécessaire, tant pis pour lui.
Si c'est certain que les entreprises visées doivent absolument prendre conscience de leur insécurité, l'utilisateur lui, ne doit pas prendre pour acquis que ses données sont en sécurité chez un inconnu qui, à la base, est plutôt intéressé par réduire ses coûts au maximum. Après tout, la sécurité, ce n'est pas comme la pub, ça ne se voit pas... Sauf si on se fait hacker, bien évidement...
Les politiques de gestion du risque finiront peut être par réévaluer les budgets alloués à la sécurité des sites et des serveurs quand les procès et les dégâts provoqués par les hacks se seront goinfrés du budget marketing.
Si aujourd'hui LulzSec est l'un des seuls groupes de hackers à faire sa promotion en relevant toutes sortes de défis, ils pourraient finir par créer un effet boule de neige visant à multiplier le nombre de ces groupes, transformant ainsi le web en un énormissime parc d'attractions.
Pour le moment, LulSec agit en toute impunité aux yeux de tous et c'est là leur plus grande force. S'ils peuvent continuer, il est fort à parier que d'autres pourraient être tentés de suivre la même voie et là, bienvenue au Far West...
Suivre PnG sur
Trouver un emploi
