Le phénomène de l’hacktivisme qui consiste à s’attaquer à un système en particulier ou à le mettre hors service en guise de protestation face aux actions d’un gouvernement ou d’une grande entreprise continue à se développer. Un nouveau groupe, baptisé LulzSec, a fait son apparition au deuxième trimestre. En 50 jours, il a réussi à compromettre plusieurs systèmes et à publier les données personnelles de dizaines de milliers d’utilisateurs.
A l’instar des actions du groupe Anonimous que nous connaissons déjà, les actions de LulzSec ne sont pas motivées par l’argent. Les représentants du groupe eux-mêmes déclarent qu’ils attaquent les serveurs des entreprises uniquement » pour le fun « . Mais à la différence d’Anonimous, ce nouveau groupe a eu plus souvent recours aux médias sociaux, dont Twitter, pour annoncer ses actions au monde.
LulzSec s’en est pris à de grandes sociétés telles que Sony, EA, AOL, etc. et à des institutions publiques comme le Sénat américain, la CIA, SOCA UK, etc. Les informations obtenues dans le cadre de ces attaques ont été publiées sur le site du groupe LulzSec, puis diffusées via des réseaux torrent. Dans la majorité des cas, il s’agissait des données personnelles des utilisateurs.
Il sera intéressant d’étudier la manière dont ce groupe a réussi à déjouer les systèmes de protection. Il se peut que de nombreuses attaques aient été menées à l’aide de mécanismes déjà connus pour la recherche automatique de vulnérabilités telles que les injections SQL. Une fois que les pirates peuvent accéder aux données telles que des noms d’utilisateur et des mots de passe ou des caches de mots de passe sur un serveur moins protégé, ils peuvent les utiliser pour la suite de l’attaque car même les personnes qui ont des privilèges d’administrateur utilisent souvent le même mot de passe pour différents services.
Au fil du temps, les attaques de LulzSec ont pris une tournure politique. LulzSec s’est allié à Anonimous pour organiser diverses attaques contre des organismes publics et de grandes entreprises afin de publier des données secrètes. Ainsi, à l’issue d’une série d’attaques sous le nom de code » AntiSec « , les pirates ont pu accéder aux données de la police d’Arizona. La correspondance des officiers de police, des documents confidentiels ainsi que les données personnelles et les mots de passe de certains agents furent diffusés. Les porte-paroles du groupe ont déclaré que cette attaque avait été organisée en représailles face à la décision du sénat de l’Etat d’Arizona de durcir sa politique d’immigration. ( »We are targeting AZDPS specifically because we are against SB1070 and the racial-profiling anti-immigrant police state that is Arizona. »).
Bien entendu, les autorités judiciaires ne pouvaient pas rester indifférentes face à toutes ces attaques. Trois personnes soupçonnées d’avoir participé aux attaques organisées par le groupe Anonimous ont été arrêtées en Espagne et 32 autres en Turquie. Le groupe LulzSec annonçait son démantèlement à la fin du mois de juin. Il se peut que cette décision ait été prise en raison des enquêtes menées dans plusieurs pays afin d’identifier et d’arrêter les membres du groupes.
La divulgation des données personnelles des utilisateurs pratiquées par les hacktivistes est, malheureusement, un geste irresponsable et amoral. De telles actions, même si elles n’ont aucun rapport avec l’argent à première vue, peuvent avoir des conséquences bien réelles pour les utilisateurs, notamment sur le plan financier. Tout d’abord, nombreux sont les utilisateurs qui, malgré les recommandations des experts en sécurité informatique, utilisent le même mot de passe pour plusieurs services, y compris des services de transactions bancaires en ligne. Ensuite, les données publiées peuvent intéresser des criminels du monde réel et dans ce cas-là, qui peut encore parler d’actions menées » pour le fun » ? A ce propos, les membres de ces groupes redoublent d’efforts pour préserver leur anonymat. Dès lors, les appels à la divulgation des informations provenant de personnes qui font tout ce qui est en leur pouvoir pour masquer leur propre identité peuvent sembler étranges.
Les attaques contre les institutions gouvernementales vont certainement se poursuivre même après la dissolution officielle du groupe LulzSec. Les administrateurs systèmes des grandes entreprises et des institutions publiques doivent absolument tester leurs systèmes sans quoi, la prochaine vague d’hacktivistes pourra les toucher également.