Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
War ram Mars - Syrian Electronic Army et Recuperation du discours hacktiviste
1. LA RÉCUPÉRATION DU
DISCOURS HACKTIVISTE
Les ennemis de l’extérieur, d’abord.
Depuis le début de la révolution, Bachar
El-Assad cherche à la présenter comme
une offensive venue de l’étranger. Si,
depuis l’arrivée en force de djihadistes,
cette affirmation n’est plus tout à fait
fausse, elle vise à cacher que la
révolution syrienne est née à l’intérieur
même du pays. SEA a tout fait pour
accréditer cette thèse du “complot de
l’étranger”, avec deux pays en cause :
l’Arabie Saoudite et le Qatar.
L’hypothèse peut faire sourire, tant il est
peu probable que ces deux rivaux
agissent de concert. En janvier 2013,
SEA publiait le site “Qatar leaks”, une
série de documents que le groupe
affirme avoir dérobés sur le ministère
des affaires étrangères du Qatar. En
octobre 2013, le groupe attaquait le
registraire de premier niveau du pays.
En mai de la même année, c’était le
ministère de la défense saoudien que les
pirates affirmaient avoir infiltré.
On peut aussi rappeler, en avril 2012,
la prise de contrôle temporaire des
comptes de la chaîne saoudienne Al-
Arabiya sur Facebook et Twitter. Nous
passons rapidement sur d’autres
ennemis habituels évoqués par Bachar
El-Assad : Israël et les Etats-Unis, qui
sont les cibles régulières d’hacktivistes
venus du monde musulman (on peut
penser au groupe AnonGhost, par
exemple).
A l’inverse, au crédit de ceux qui
analysent la situation géopolitique
syrienne en affirmant que les groupes
djihadistes sont les alliés objectifs de
Bachar El-Assad, SEA ne s’est pas
distingué par l’attaque de sites liés à Al-
Qaïda ou aux djihadistes.
Les ennemis de l’intérieur, ensuite ;
autrement dit, les rebelles syriens. Sur
ce point, la collusion entre le régime et
SEA est plus difficile à établir. On me
pardonnera donc quelques conjectures.
SEA a attaqué 4 éditeurs d’applications
liées à la communication mobile ou à la
VoIP : Tango, Viber, True Caller et
Skype.
Pour les trois premiers, le groupe serait
parvenu à dérober tout ou partie de la
base de données des utilisateurs des
services. Informations précieuses pour
un régime qui cherche à identifier les
moyens de communication des
opposants, dans un pays où le principal
opérateur téléphonique du pays est
dirigé par un cousin du président Assad,
Rami Makhlouf.
L’équipe dirigeante en Syrie a décelé
très tôt l’intérêt économique des
technologies de la communication :
qu’elle voit l’usage politique qu’on peut
en tirer ne devrait pas nous surprendre.
(Suite p.6)
5
L’histoire politique contemporaine de la
Syrie offre un cas d’école d’opportunisme
idéologique. Le régime a été socialiste
laïque ; il a pris un tournant libéral, aussi
bien en matière économique que
religieuse; et au début de la révolution,
Bachar El-Assad tentait sans succès de
se présenter en réformiste. Ces postures
cachaient une autre réalité : la
domination de la secte Alaouite sur le
pays ; la construction d’un empire
économique aux mains de la famille au
pouvoir ; une révolte écrasée dans le
sang.
Bref, la famille Assad s’empare du
discours à la mode, dans le but de
charmer les opinions du monde arabe et
du monde occidental à la fois.
L’hacktivisme pourrait être l’une des
nouvelles facettes de cet opportunisme.
Deux mots d’abord sur l’hacktivisme,
souvent jugé sans intérêt par les
observateurs. Les techniciens seront les
premiers à rire des script kiddies. Le
journal Reflet est tombé en plein dans
cette erreur, en posant la question :
“Sont-ils aussi forts qu’ils le disent et que
leurs cibles le laissent entendre ?” Les
géopolitologues se concentreront plutôt
sur les réseaux sociaux. Les analystes en
sécurité, enfin, s’en désintéresseront au
profit des menaces étatiques, à l’heure
où l’espionnage venu de Chine ou des
Etats-Unis sont plus vendeurs.
On peut répondre qu’un piratage ne se
juge pas à sa qualité technique, mais à
ses effets ; que les réseaux sociaux sont
pilotés par des minorités actives ;
qu’enfin, l’hacktivisme est parfois le
masque commode employé pour
dissimuler les actions d’un Etat. Le
célèbre “APT-1” décrit par Mandiant était
d’abord connu dans les milieux pirates
comme le groupe “Comment Crew”.
Le groupe Syrian Electronic Army (SEA)
est un bon exemple d’hacktivisme au
service d’un État. Beaucoup a déjà été
écrit sur la collusion entre SEA et le
régime syrien. Nous voulons simplement
montrer comment, le masque de
l’hacktivisme sert trois objectifs de ce
régime: la lutte contre les ennemis de
l’extérieur, celle contre les ennemis de
l’intérieur et enfin la propagande.
LES EXPERTS
War RAM – Mars 2014
Capture d’écran du fichier leaké par la SEA contenant le vol des données des utilisateurs de Forbes
2. War RAM – Mars 2014
L’Electronic Frontier Fondation et Citizen Lab
étudient depuis deux ans l’espionnage
informatique dont sont victimes les rebelles
syriens et les ONG qui plaident leur cause.
Leur dernier rapport ne laisse aucun doute
sur l’existence de campagnes d’espionnages.
On ne peut prouver que SEA contrôle les RAT
distribué par phishing ou via des
commentaires laissés sur les pages Facebook
ou sur des vidéos YouTube de
révolutionnaires. Cependant, dès juin 2011,
Citizen Lab attirait l’attention sur le fait que
SEA était derrière l’attaque de plusieurs
pages Facebook d’insurgés. De même, le
phishing semble être la technique privilégiée
de SEA.
La propagande, enfin. C’est sans doute là où
SEA est le plus efficace. Une intervention
contre le régime dépend avant tout de
l’opinion occidentale, mais celle-ci est toujours
prompte à imaginer que la dictature reste la
meilleure façon d’empêcher l’arrivée au
pouvoir de groupes religieux extrémistes. D’où
le storytelling de Bachar El-Assad et de
Vladimir Poutine qui vend l’image d’une Syrie
mise à feu et à sang par des groupes
islamistes. Il faut pour cela détourner
l’attention sur les exactions du régime et
mettre l’accent sur les rebelles les plus
radicaux. SEA est le relais fidèle de cette
stratégie, montrant que l’hacktivisme est un
ressort majeur du soft power.
En novembre 2013, SEA prenait le contrôle
de la page Facebook du journaliste et activiste
Matthew Van Dyke, connu pour son soutien à
la révolution syrienne. Si on avait pu voir, par
le passé, SEA s’en prendre à des journaux,
une attaque aussi ciblée montre bien un
effort calculé d’attaquer en priorité à leurs
adversaires idéologiques les plus motivés.
Plus généralement, tout média qui met en
avant le non-respect des droits de l’homme
par le régime s’attire l’attention de SEA. Le
piratage de CNN en janvier faisait suite à la
diffusion d’un reportage sur la torture et les
exécutions dans les prisons du
gouvernement. Le groupe présentait l’attaque
contre Forbes le 21 février dernier comme
une réponse au côté « anti-syrien » de la ligne
éditoriale du magazine.
Se présenter comme un groupe d’hacktiviste
sert bien évidemment la propagande.
Les observateurs ont tous soulignés la
mutation de SEA. En mai 2011, c’était un
groupe hiérarchisé agissant
essentiellement dans l’orbite du registraire
de premier niveau syrien, organisme jadis
présidée par Bachar El-Assad.
Quelques mois plus tard, le groupe
ressemblait bien plus à Anonymous :
organisation décentralisée, niant
systématiquement tout lien avec le régime,
mettant en avant son côté international (la
diaspora syrienne expliquant pourquoi ses
membres ne sont pas tous en Syrie).
Les vidéos postées sur YouTube par le
groupe reprennent les codes d’Anonymous:
musique exagérément dramatique,
surabondance de couleurs bleutés et
métalliques, etc. Or l’hacktiviste bénéficie
d’un biais positif auprès des populations.
Comme tout underdog, il tend à attirer la
sympathie du public. Bref, SEA contribue
au retournement des rôles qui vise à faire
de Bachar El-Assad une victime plutôt qu’un
bourreau. Cette propagande s’adresse
aussi bien au grand public qu’aux autres
hacktivistes, alliés potentiels. Dans un
milieu aussi porté sur la théorie du
complot, SEA pouvait compter sur des
oreilles attentives en affirmant que le
régime syrien était la victime de l’alliance,
si improbable soit-elle !, du Qatar, de
l’Arabie Saoudite et d’Israël.
Quand bien même, aujourd’hui, de
nombreux « Anonymous » condamnent SEA
et l’attaquent, le groupe peut maintenir aux
yeux de beaucoup l’image d’une petite
équipe de franc-tireur arrivant à prendre
brièvement le contrôle de la communication
d’Associated Press, du New York Times ou
de CNN ; de pourfendeurs de la “pensée
unique”.
On retrouve dans toutes ses actions aussi
bien la volonté de développer une ethos
d’hacktiviste (attaquer Microsoft parce
qu’on le soupçonne d’espionner ses clients)
que les buts de guerre que nous avons
présentés ici (chez Microsoft, attaquer
Skype, outil apprécié des insurgés).
Plus encore, d’autres groupes de la région
s’en inspirent. Le groupe Islamic Cyber
Resistance (ICR) a fondé un site
“wikileak.ir”, imitant cette fois le discours
de l’association fondée par Julian Assange,
et derrière lequel on devine facilement les
intérêts de Téhéran.
Il nous paraît donc probable que les Etats
n’ayant pas les moyens techniques des
Etats-Unis ou de la Chine vont se tourner
vers l’hacktivisme sur le modèle de SEA
comme moyen de peser dans le
cyberespace. En plus de la cybercriminalité
mafieuse et des campagnes d’espionnages
ou de sabotages, il paraît nécessaire
d’inscrire, sur la liste des menaces à
surveiller de près, l’apparition de ce qu’on
pourrait qualifier de “soft power low-tech”.
Alors que le coût économique et technique
des intrusions informatiques diminue et que
l’accès à des outils toujours plus puissants
devient de plus en plus facile, minimiser le
risque que pose l’émergence de groupes
hacktivistes nous paraît très imprudent.
Les attaques de SEA ne sont pas d’une
grande sophistication, c’est un fait. Et
comme la majorité des groupes
d’hacktivistes, leur communication est
pleine d’exagérations et de rodomontades.
Mais les résultats sont là. Voyez le tableau
de chasse de SEA ces deux derniers mois:
détournements de Microsoft, CNN, eBay,
PayPal ; 17 défacements en Arabie
Saoudite ; fuite des données de plus d’un
million d’abonnés à Forbes.
Par Emmanuel Gorand,
Analyste en cybersécurité.
SUITE ARTICLE P.5
"Online Social Media in
the Syria Conflict:
Encompassing the
Extremes and the In-
Betweens«
Cette cartographie des
groupes en présence
en Syrie, élaborée à
partir des réseaux
sociaux, souligne une
situation complexe.
Légende:
Djihadiste – Or
Kurdes – Rouge
Pro-Assad – Violet
Modéré – Bleu
Communautés
multiples – Noir
Ref:
arxiv.org/ abs/ 1401.7
535
6