Publié le 22-02-2004 dans le thème Tous thèmes

Pays : Europe - Auteur : Damien Bancal

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Barbouillage de site
Comment décrire la réalité des "defacers", dans un domaine ou par définition le risque encouru est directement lié à l'effort de discrétion et de dissimulation ?

Qui sont les barbouilleurs ?
Contrairement à une idée répandue, et s'il n'est pas toujours facile d'identifier les auteurs de ces actes, entrer en contact avec eux est d'une simplicité confondante. L'ensemble des groupes possèdent soit une adresse e-mail, souvent indiquée sur les pages modifiées, soit un canal IRC, et souvent les deux. Nous avons décidé de ne pas nous contenter de simples interviews par e-mails et sommes entrés en contact direct avec les responsables des 10 premiers groupes du monde, selon les statistiques fournies par alldas.de. Le top 20 (sources:Alldas.de / Force-H / ZATAZ) à la date du 28 juin 2002 :

Silver Lords | 1602
BHS | 1205
Poizonb0x |784
Prime Suspectz | 512
Hi-Tech Hate | 492
Unknown | 452
Demonios | 313
WFD | 291
Quit Crew | 285
Hackweiser | 280
limit.br | 241
tty0 | 223
Data Cha0s | 214
WoH | 214
GForce | 206
xst | 191
fux0r Inc. | 183
cr1m3 0rg4n1z4d0 | 178
Supreme Entity | 172
pr0phet | 162

Stats au 28/06/2002

Ajoutons le groupe GForce Pakistan, Moins de 300 sites, aux motivations particulières. Malgré la diversité des cibles, des motivations et des situations géographiques, on a vu des domaines où il était autrement plus difficile de dégager des généralités !Au profil des "defacers" correspondent un certain nombre de caractéristiques communément partagées :

L'age des membres :
Le taggueur de sites typique a 17 ou 18 ans. On note que le groupe le plus jeune (Silver Lords, 15 à 17 ans) est aussi le plus actif, mais cela n'est pas surprenant : le "defacement" est une activité qui demande un réel investissement en temps, une attirance certaine pour l'interdit, et qui correspond pour certains à une période de construction : on teste ses propres limites en les confrontant aux limites d'organisations sociales ou économiques très developpées. C'est une façon d'exister, de se le prouver, et de le prouver aux autres. Le plus âgé des interviewé a 24 ans.

L'existence récente du groupe :
Rares sont les groupes qui dépassent les 2 ans d'ancienneté, et on ne peut se pencher sur cette durée de vie sans parler des raisons qui sont la cause d'une interruption, souvent définitive, de l'activité de ceux-ci :

Changement d'activité : les attaques de sites web ne sont pas vraiment compatibles avec une vie professionnelle stable. Les risques encourus au niveau de l'emploi, le temps libre qui se réduit, la socialisation "forcée" (sécurité sociale, domicile en son nom propre...etc) et l'apparition de centres d'intérêts plus critiques sont autant de paramètres nouveaux qui peuvent amener un membre à
quitter le groupe.

Changement affectif : l'histoire d'amour est souvent citée comme pouvant amener à la dissolution d'un groupe. Celui-ci est constitué en moyenne de 3 a 5 individus, mais il est fréquent que seulement un ou deux d'entre eux soient actifs, les autre se contentant d'être présent, de donner des idées, ou de coder (pour les plus anciens). Une relation suivie, en détournant parfois définitivement l'un des acteurs majeurs du groupe, peut mettre à mal celui-ci.

Evolution technique : tous les groupes interrogés, sans aucun exception, reconnaissent que le barbouillage de sites ne demande en aucun cas de compétences techniques particulières... et que le "defacement" peut, l'age et la compétence technique s'élevant, devenir lassant. C'est probablement la cause principale de disparition d'un groupe. En découvrant d'autres horizons techniques, les participants prennent conscience de l'intérêt limité de cette activité potentiellement dangereuse et passent tout simplement à autre chose.

L'interpellation : l'arrestation d'un des membres est toujours ressentie comme un évènement extrêmement traumatisant par le groupe. Elle est presque systématiquement synonyme de disparition de l'équipe et de son activité. Ce paramètre est d'autant plus important que les structures législatives du pays sont clairement établies. Les groupes opérant depuis des états dont la police peut parfois être corrompue sont plus rarement inquiétés. C'est ce qui explique en partie la faible représentativité des pays fortement développés...

L'origine géographique :
Plus de la moitié des 10 groupes rencontrés sont d'origine brésilienne. Les deux nationalités les plus représentées sont ensuite le Pakistan et l'Indonésie. Les Etats-Unis arrivent en troisième position avec la Chine (et notamment "sysadmcn", qui totalise à lui seul plus d'attaques que tous les membres américains des autres groupes); les pays européens font l'objet d'une représentation anecdotique.

Les systèmes d'exploitation :
Les systèmes d'exploitation Windows, de Microsoft, sont de loin les plus souvent mis à mal. Plus de 70% des attaques de ces derniers temps concernaient des serveurs NT4.0 ou 2000. On peut estimer que les différentes distributions de Linux représentent 20% des barbouillages, les autres OS (AIX, Solaris, Irix, HPUX ...etc) se partageant les 10% restants. Tous les groupes, à l'exception notable de GForce Pakistan qui s'en prend surtout à Linux, ciblent principalement des machines sous Windows. Cela s'explique bien entendu par les parts de marché que se partagent chacun de ces systèmes d'exploitation, mais aussi et surtout (commentaire général des interrogés) par la facilité avec laquelle un serveur NT ou 2000 standard peut être compromis (GForce n'a défiguré que peu de serveurs sous Windows, jugeant ceux-ci "trop facile à attaquer").

Le niveau technique :
Au sein des équipes interrogées, on trouve souvent un développeur et un ou deux "defacers" seulement. Cela s'explique en grande partie par l'age des acteurs, le plus jeune étant âgé de 15 ans et le plus âgé de 24 ans environ. Mais il ne faut pas sous-estimer pour autant ceux que l'on a qualifié de "Script Kiddies". Tous font preuve d'une grande soif d'apprendre et d'une curiosité qui leur promet une évolution rapide dans le domaine.

La prudence, toute relative :
Si la plupart des équipes se montrent méfiantes quand il s'agit de rentrer en contact direct avec un inconnu, il faut pourtant noter que presque toutes:

> Sont joignables facilement sur IRC.
> Fournissent une adresse e-mail valable sur les pages piratées.
> Signent les pages de leur nom de groupe ET de leur pseudo. (A cet égard, il est intéressant de noter qu'on assiste en ce moment à une attaque massive de sites arabes de la part d'un defacer qui, étrangement, reste parfaitement anonyme... rendant ainsi le décompte de ses forfaits difficile : le résultat de ses action apparaissant dans la rubrique "unknown" au même titre que des dizaines d'autres attaques diverses).
> Utilisent des adresses IP souvent proches des leurs quand ce ne sont pas tout directement leurs propres adresses.
> N'effacent pas les logs générés par leurs attaques (par manque de temps, méconnaissance de l'environnement, ou tout simplement par flemme...).

Ce manque de précaution s'explique par la volonté unanime de faire connaître le fruit de leurs actions au plus grand nombre possible tout en étant facilement identifiable en tant que groupe. L'envie d'être reconnu s'accommode difficilement de l'anonymat total. Les chances d'identifier les membres d'une équipe étant directement proportionnelles aux moyens mis en oeuvre pour ce faire, la relative impunité des délinquants dépend en grande partie d'un simple postulat : le coup de la poursuite judiciaire est supérieur à celui des dégâts causés. Ceci explique cela : la plupart des actions de justice engagées à l'encontre des "defacers" le sont par des services gouvernementaux, ceux-ci mettant ensuite à contribution les entreprises victimes afin qu'en fournissant les traces des méfaits elles participent à l'établissement de l'accusation.

Les motivations :
L'envie de montrer aux "admins" à quel point leurs machines sont peu ou pas sécurisées est une motivation régulièrement invoquée. Mais elle cache souvent, en plus d'une réelle excitation pour le danger et le plaisir de l'interdit, des raisons beaucoup plus personnelles de passer à l'action.

> Hi-Tech Hate, dont le nom pourrait laisser croire qu'ils sont en lutte contre une émanation technologique de la mondialisation, n'a qu'un seul membre vraiment actif. Celui explique qu'il pirate en mémoire d'une personne chère qui serait décédée et en l'honneur de sa petite amie et de celles de ses trois meilleurs amis.

> Silver Lords et GForce Pakistan partagent une motivation commune : L'envie de faire connaître au monde la situation politique du Kashmir... mais les moyens diffèrent : quand Silver Lords privilégie la quantité, s'attaquant indiféremment à des sites de toute nationalité, GForce s'en prend uniquement aux sites indiens et israëliens, donnant ainsi l'image d'une "cyber-guerilla".

> La volonté de PoizonB0x semble être plus ludique : le "defacement" fait pour eux partie intégrante de la culture des "net-crackers". Les World of Hell, dans une interview à "Security News Portal", donnent leur propre vision de l'activité :

<< n0|d: The rush, adrenaline the so called natural drugs that a body can feel when doing something that you know its illegal, but you still do it for the rush and the adrenaline again and again. theslacker: I like the fact that you can get your message out to people, especially to a government if you hack alot of their *.gov sites. cowhead2000: The best thing about it is it kills boredom. It's so boring idling on IRC for 8 hours a day. And it's cool to look at some of the weird stuff you can find on some servers you hack that shouldn't be there >>

Le piratage de sites web en France :
Il est intéressant de noter que la "scène française", étonnamment absente des statistiques de Alldas, semble en pleine période de gestation. Le piratage de sites français est en nette recrudescence, comme l'atteste le miroir qui lui est dédié par zataz, L'arrivée de nouveaux éléments, tels que Neocid qui s'attaque seul à un certain nombres de sites à haute visibilité, et les récentes attaques de masse sur des sites de l'hexagone en sont le reflet frappant. Neocid, tout juste 18 ans, n'a pas seulement attiré l'attention d'un certain nombre de groupes sur les domaines francophones (2600 France, par exemple); il pourrait être à l'origine d'un certain nombre de "vocations" et il ne serait pas surprenant que le barbouillage de site devienne pour un certain nombre de jeunes une alternative attirante aux activités beaucoup plus répandues telles que le piratage de logiciels. Souhaitons de notre côté que ce ne sera pas le cas.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

L´ANSSI recrute de manière originale

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

ThePirateBay Dancing, l´app qui fait sauter le filtrage des majors

Pour contrer le blocage et le filtrage de certains sites Internet dédiés au warez, un add-on baptisé ThePirateBay Dancing permet de contrer les restrictions imposées par les majors.

Consultation sur la neutralité du Net

Consultation sur la neutralité du Net : La Quadrature dénonce l'échec de l'approche attentiste

Vos fichiers pornos et votre patron

Votre employeur peut-il ouvrir les fichiers trouvés sur votre ordinateur de bureau... même les très intimes ?

Logitech Alert relie la vidéosurveillance HD à l’iPad

L´application Logitech Alert pour l´iPad comprend le visionnement à distance et la gestion du système de vidéosurveillance Logitech Alert pour la maison.

Fuite d´informations concernant Bank of America

Un internaute, se disant être des Anonymous, diffuse des contenus privés appartenant à la Bank of America.

Pour la presse Russe, Wikileaks est un nid du MI-6

Nous connaissions James Bond. Voici venir Julian Assange et Wikileaks, siège numérique du MI-6.

Les coiffeurs font la grève de la musique

Pour protester contre une augmentation de 1000% de la taxe musique imposée par la SPRE, les coiffeurs coupe la musique dans leur salon.

Réagissez à ce contenu