Qu'est-ce que l'hacktivisme ?
Signification du hacktivisme
Le piratage fait référence aux attaques cybercriminelles qui impliquent souvent de pénétrer dans des systèmes à des fins politiquement ou socialement motivées, généralement pour faire une déclaration à l’appui d’une cause ou contre des gouvernements ou des organisations.
Dérivé de la combinaison des mots « piratage » et « militantisme », le terme « piratage » a été inventé pour la première fois en 1996 par Omega, un membre du collectif de pirates informatiques Cult of the Dead Cow.
Ce qui motive les hacktivistes
Par le passé, les actions de piratage étaient assimilées à des graffitis numériques symboliques. De nos jours, les groupes de pirates ressemblent à des gangs urbains. Auparavant composés de personnes peu qualifiées, ces groupes ont évolué en équipes de compétences moyennes à élevées, souvent de taille plus petite, mais beaucoup plus compétentes. L'augmentation des compétences a directement augmenté les risques posés aux organisations.
Les groupes Hacktivist sont définis par des croyances politiques distinctes reflétées à la fois dans la nature de leurs attaques et de leurs cibles. Contrairement aux cybercriminels, les pirates informatiques ne cherchent généralement pas à obtenir un gain financier, bien que nous ayons observé des chevauchements avec la cybercriminalité. Dans la plupart des cas, ces groupes se concentrent sur l’avancement de leurs programmes politiques, qui varient en transparence. De manière générale, leurs motivations peuvent être classées en quatre groupes distincts : idéologique, politique, nationaliste et opportuniste. Alors que certains groupes s’alignent strictement sur une catégorie, d’autres poursuivent plusieurs ordres du jour, souvent avec une priorité principale complétée par des causes secondaires.
Idéologique
Les motivations idéologiques génèrent l'activité la plus hacktiviste. Ces groupes ciblent des entités qui remettent en question leur vision du monde, en se concentrant souvent sur les croyances religieuses ou les conflits géopolitiques. Les conflits récents révèlent des fossés idéologiques profonds.
Par exemple, le groupe pro-russe « NoName057(16) » accuse ceux qui aident l’Ukraine comme « soutenant les nazis ukrainiens », tandis que les critiques russes « GloySec » prétendent « soutenir la société occidentale de toutes façons » et donc « s’opposer au régime russe ». GlorySec, éventuellement un groupe vénézuélien autodécrit comme anarcho-capitalistes, « croit en la liberté individuelle et aux marchés libres » et s'oppose donc à des pays comme la Russie et la Chine, ainsi qu'à ce qu'ils qualifient de « leurs régimes de procuration » tels que Cuba, le Nicaragua, Houthi, le Hezbollah et le Hamas.
Politique
Certains groupes de pirates cherchent à influencer les politiques gouvernementales ou les résultats politiques, bien que ces attaques soient moins fréquentes que celles idéologiques.
Par exemple, « SiegSec » a ciblé Project 2025, une initiative promouvant des politiques conservatrices. Ils ont justifié un piratage et une fuite ultérieure d’une base de données de 200GB en affirmant que le projet « menace le droit des soins de santé d’avortement et des communautés LGBTQ+ en particulier ». SiegedSec a également été actif dans #OpTransRights, ciblant les organisations qu'ils perçoivent comme s'opposant aux droits transgenres et transsexuels aux États-Unis.
Figure 1. SiegedSec expliquant son image de motivation politique
Nationaliste
Les attaques de piratage nationalistes sont moins fréquentes et intègrent souvent des symboles culturels et une rhétorique patriotique pour justifier leurs actions. Par exemple, le groupe indien « Team UCC » prétend « amplifier les voix hindoues » en « exposant de faux récits qui affirment que les hindous sont sûrs au Bangladesh ». Ils se positionnent en tant que défenseurs de l’indre dans le monde entier, en particulier au Bangladesh. Ils attaquent les sites Web et organisations du gouvernement pakistanais dans le but de « défendre le cyberespace indien ».
De même, de nombreux groupes pro-Russie présentent des motivations nationalistes. Les annonces de leurs attaques comportent souvent des drapeaux russes, des ours comme symboles de fierté nationale et des expressions sur la défense de la Russie.
Opportuniste
Certains groupes de pirates agissent de manière purement opportuniste, ciblant les organisations simplement parce qu'elles sont faciles à pirater. Par exemple, SiegedSec a piraté le site Web d’une application de messagerie, en citant que « ce n’est pas du tout sécurisé ». L’application « fabriquée en Chine » aurait peut-être aggravé leur motivation, mais le groupe a mentionné avoir « accès à leurs buckets AWS S3 », suggérant que l’attaque avait nécessité un effort minimal plutôt qu’une justification. Ces groupes semblent souvent être composés de jeunes motivés par la colère légitime, qui se manifeste par des droits et la conviction que tout piratage est un jeu équitable.
Figure 2. SiegedSec décrivant son attaque sur l’image du site Web d’une application de messagerie
Fonctionnement du hacktivisme
Les groupes de pirates modernes sont généralement dirigés par un petit noyau de personnes de confiance, souvent des amis ou des connaissances en ligne qui partagent des capacités techniques et une idéologie politique ou religieuse commune qui définit l’alignement du groupe.
Par exemple, le propriétaire supposé de GlorySec, utilisant l’alias « Charon Wheezy », décrit les principes du groupe dans une publication qui inclut un selfie avec d’autres personnes dans une salle remplie d’ordinateurs. Le fondateur de SiegedSec, connu sous le nom de « Vio », décrit le groupe comme des « pirates furieux gays » et s’identifie comme « ancien membre de GhostSec et du Soudan anonyme ». Ces introductions sont un point de départ commun pour recruter d'autres pirates qui partagent la même idéologie et les mêmes inclinaisons.
Figure 3. Profil personnel du fondateur de SiegedSec
Les stratégies de recrutement varient. Certains groupes tels que CyberVolk font ouvertement de la publicité pour les membres, les partenariats et les promotions payantes. D’autres, comme GlorySec, recherchent des initiés (« moles ») de pays rivaux tels que la Chine, le Venezuela ou la Russie, pour accéder à des « systèmes de gestion gouvernementaux ou d’entreprise ». Ils mentionnent qu’ils ont 200 000 USD à payer pour cela, offrant également que le grain de beauté « peut être réaffecté » (nous comprenons que cela signifie relocalisé) « si des problèmes surviennent ».
Les dirigeants des groupes, qui semblent être très rares, examinent personnellement les membres et recrutent directement via des canaux d’annonce. Ils perçoivent leurs actions comme défendant des idéaux plutôt que de commettre des crimes. Cependant, la peur des répercussions juridiques est fréquente. Les groupes se dissolvent, renomment ou prennent souvent des mesures évasives lorsqu’ils sont examinés, en particulier s’ils sont basés aux États-Unis ou en Europe. SiegedSec, par exemple, s’est dissout en juillet 2024, reconnaissant leurs actions en tant que cybercriminel et citant la peur de « l’œil du FBI ».
Types de hacktivisme
DDoS
Les groupes Hacktivist s'appuient généralement sur les attaques DDoS et de dégradation du Web, qui sont orchestrées par le groupe et exécutées par des volontaires à l'aide d'outils de stress HTTP. Conçus à l'origine pour permettre aux administrateurs Web de tester la capacité des serveurs, ces outils sont utilisés de manière abusive pour inonder les serveurs de trafic malveillant, ce qui provoque des perturbations.
La suppression d'un site Web cible est une tactique privilégiée en raison de sa simplicité, bien que son impact soit souvent limité. Les attaques DDoS sont limitées dans le temps et leurs effets sur les sites Web organisationnels sont généralement de courte durée. Bien que les attaques soutenues sur des sites générateurs de revenus (par ex., boutiques en ligne, casinos), pendant les périodes de pointe, peuvent causer des dommages importants, la plupart des cibles sont des sites Web gouvernementaux ou d’entreprise, ce qui entraîne un préjudice minimal à la réputation.
Figure 4. Les cyber-forces indiennes ciblant un site Hamas avec DDoS
Malware
Les attaques de malware sont rares parmi les groupes de pirates informatiques, probablement parce que la création et le déploiement de malware sont plus complexes que les attaques rapides et axées sur la réputation. Cependant, certains groupes développent des ransomware pour financer leurs activités.
Par exemple, le « Douze » pro-Ukraine aurait fonctionné comme un groupe de ransomware. Contrairement aux cybercriminels qui demandent une rançon, le malware qu'ils utilisent chiffre, supprime et exfiltre les données, les informations volées étant partagées sur un canal Telegram. Cependant, nous n’avons pas trouvé ce canal ni vérifié les motivations plus profondes du groupe.
Dans un autre cas, GlorySec a placé un malware sur des clés USB dans une ville vénézuélienne et aurait eu accès à des systèmes dans « 100 entreprises différentes ».
Figure 5. GlorySec explique son attaque de malware
Doxing
Le doxing, qui est l’abréviation de « dropping dox » (« dox » étant l’argot pour les documents), est la pratique malveillante consistant à recueillir et à divulguer publiquement les informations personnelles d’une personne, telles que ses adresses personnelles, numéros de téléphone, informations financières ou autres informations personnelles, sans le consentement de la victime.
Avec l’essor des réseaux sociaux et des données en ligne facilement accessibles, le doxing est devenu une tactique populaire qui est souvent utilisée pour harceler, intimider ou nuire aux personnes. Cela est généralement motivé par des vendettas personnels, des conflits idéologiques ou le désir de causer un préjudice à la victime.
Piratage et fuite
Les groupes de pirates informatiques actuels se livrent de plus en plus à des attaques de type « piratage et fuite », qui sont plus sophistiquées que le DDoS et les dégradations du Web. Ils piratent des réseaux et des serveurs pour exfiltrer des données, qui sont ensuite partagées publiquement via des plateformes de partage de fichiers. Ces attaques sont fréquemment promues sur le canal Telegram du groupe. La nature avancée de ces opérations suggère un processus de recrutement plus complexe, en donnant la priorité aux membres ayant des compétences de piratage plus offensives.
Exemples des hacktivistes
GlorySec
Les critiques russes « GloySec » prétendent « soutenir la société occidentale de toutes façons » et donc « s’opposer au régime russe ». GlorySec, éventuellement un groupe vénézuélien autodécrit comme anarcho-capitalistes, « croit en la liberté individuelle et aux marchés libres » et s'oppose donc à des pays comme la Russie et la Chine, ainsi qu'à ce qu'ils qualifient de « leurs régimes de procuration » tels que Cuba, le Nicaragua, Houthi, le Hezbollah et le Hamas.
GlorySec s’est également aligné sur Taïwan dans ses efforts pour se désengager de la Chine, initiant le #OpPRC pour attaquer les entreprises chinoises. Ils ont déclaré que « la RPC est un pays contrefait ; il devrait s’agir de la RDC », faisant référence aux autodésignations de la Chine (RPC) et de Taïwan (RDC). GlorySec n'est ni chinois ni taïwanais. Ironiquement, les pirates russes ont mené #OpTaiwan pour la raison opposée, soutenant la Chine.
Anonymous
Vous avez probablement entendu parler du groupe appelé Anonyme, un collectif de pirates clandestins, et oui, anonymes, qui ont détruit et infiltré des systèmes informatiques appartenant à des entreprises et gouvernements avec lesquels ils ont des désaccords politiques.
De 2008 à 2012, Anonymous a réussi à exécuter un certain nombre de piratages, avec des effets allant d’inconséquents à critiques. L'une de leurs plus tristement célèbres, surnommée « Opération Tunisie », impliquait le recrutement d'un certain nombre de pirates informatiques tunisiens pour aider à détruire huit sites Web gouvernementaux à l'aide d'attaques DDoS (Distributed Denial of Service Attacks) en soutien des mouvements du printemps arabe en 2010.
Ce tableau a compilé certains groupes de hacktivisme couvrant plusieurs conflits :
Figure 6. Les groupes Hacktivist avec une image de motivations qui se chevauchent
Recherches associées