Hackback ! Une discussion avec Phineas Fisher

Le piratage comme action directe contre la surveillance d’État et le capitalisme.

paru dans lundimatin#149, le 11 juin 2018

La semaine dernière nos amis de CrimethInc publiaient le résultat d’une discussion avec Phineas Fisher, hacker se revendiquant comme anarchiste et révolutionnaire. Nous diffusons aujourd’hui une version française de cet article - merci à l’équipe de traduction.

Nous nous sommes entretenus avec Phineas Fisher, un hacker qui se revendique anarchiste révolutionnaire. Nous avons évoqué avec lui les motivations politiques qui se trouvent derrière ses attaques contre l’industrie de la surveillance, le parti au pouvoir en Turquie ou encore la police Catalane. Nous vous présentons d’abord une rétrospective des exploits de Phineas Fisher, suivie des commentaires que nous avons recueillis auprès de lui.

Le hacking est souvent décrit à la fois comme quelque chose de très technique, et aussi comme un simple jeu, d’attaque et de défense. Les intentions restent passées sous silence alors qu’elles sont essentielles. Une technique qui sert habituellement à créer des outils d’oppression, peut ainsi être utilisée comme arme d’émancipation. Le hacking, dans sa forme la plus pure, n’a rien à voir avec "l’ingénierie" : il vise à tirer parti des dynamiques de pouvoir en court-circuitant la technologie. C’est une forme d’action directe à l’heure de ce nouveau monde numérique dans lequel nous vivons tous.

À l’ombre de l’empire technologique, la scène hacking est devenue une cible pour la répression et l’infiltration. Mais l’underground ne peut être éradiqué et de nouveaux modes d’action voient régulièrement le jour. Certains pirates produisent des outils garantissant l’anonymat et le respect de la vie privée en ligne. D’autres groupes créent et diffusent des médias alternatifs. Et d’aucuns utilisent les moyens du piratage pour résister, et riposter - ils "hack back".

Le cercle des Hackers disparus

Ce n’est pas un secret, au moins pour qui sait observer : la scène hacker a depuis longtemps appris à choisir son camp dans la guerre en cours. Pourtant, l’effervescence qui caractérisait la scène underground DIY ("Do It Yourself", "Fais-le toi-même") des dernières décennies s’est essoufflée, ou s’est tout du moins déplacée vers des lieux moins visibles. Les pessimistes pleurent la mort des communautés de hackers dans une prolifération de désertions individuelles. Le complexe militaro-industriel est sorti vainqueur de cet essouflement en gonflant les rangs des mercenaires : il y a souvent moyen de soudoyer quelqu’un, même à l’état d’esprit exceptionnel, avec de l’argent, le sentiment de pouvoir, la promesse du succès ou de pouvoir faire joujou avec des gadgets sophistiqués tout en poursuivant ce que la propagande d’État désigne comme « l’ennemi ».

La scène underground a cherché à multiplier les zones d’opacité et de résistance alors que la perception du public se déplaçait vers une normalisation de la relation entre le point de vue et l’attitude (bien singuliers) du hacker et "la technologie". Les hackers ne sont plus vus comme des adolescents rebelles qui peuvent engendrer le chaos (comme le dépeignent les films des années 80 ou 90 tels que War Games ou Hackers), mais plutôt comme faisant partie d’unités spécialisées des forces d’occupation militaires – ou comme leur pendant malveillant des comics. Dans son acceptation la plus dépolitisée, le terme « hacker » se comprend enfin comme un autre nom de l’entrepreneur capitaliste, un mythe qui nourrit les « hackerspaces » de n’importe quelle ville gentrifiée.

L’industrie de la surveillance était si fière de son business qu’elle n’a pas même daigné le dissimuler. Les représentants des forces armées et les marchands de programmes d’espionnage s’affichaient régulièrement dans les événements de la communauté hacker, débauchant ouvertement les talents. Les vidéos publicitaires faisant la promotion de tactiques « de sécurité offensive » circulaient publiquement, vendant des produits aux agences d’espionnage, entreprises et gouvernements.

C’est un classique : les États achètent leur légitimité en se dépeignant comme luttant contre les crimes indéfendables — la pornographie infantile, le trafic d’êtres humains, le terrorisme international. Mais à peine leur arsenal s’enrichit d’armes de surveillances, qu’ils les dirigent contre la population entière.

Dans cette cooptation en cours du monde hacker, le complexe de surveillance subit un coup notable, bien qu’encore invisible. Un individu – ou peut-être un groupe — a contre-attaqué en hackant des entreprises de logiciels espions et en publiant leurs secrets. Quand vous combattez une industrie qui dépend du secret, dévoiler publiquement ses communications internes et ses logiciels peut s’avérer une stratégie relativement efficace...

Le piratage de GammaGroup

En août 2014, un piratage touche « GammaGroup », vendeur de logiciels d’espionnage anglo-allemand. Une fuite de 40 Go de données s’ensuit. Après ce hacking, tout ce qui concernait GammaGroup est rendu public : leurs clients, leur catalogue produits, leur liste de prix ainsi que les logiciels espions eux-mêmes, manuels de formation inclus.

Le produit vedette de l’entreprise, un logiciel appelé « FinFisher », avait été vendu à plus de 30 agences gouvernementales et forces de police pour espionner journalistes, activistes et dissidents. L’entreprise avait alors aidé à surveiller des dissidents du Bahrein et d’Égypte à la suite des printemps Arabes. Elle utilisait généralement des techniques d’ingénierie sociale pour tromper ses cibles et leur faire installer son logiciel.

Un dissident ciblé cliquait sur un document en pièce-jointe d’un email, ou suivait un lien qui installait ensuite le logiciel-espion. Dès lors, les clients ayant acquis ce logiciel auprès de GammaGroup pouvaient contrôler l’ordinateur ou le téléphone infecté, écouter, surveiller les appels vocaux ou Skype, les messages, les emails, sans parler de la localisation géographique en temps réel.

Immédiatement après le piratage, quelqu’un commença à tweeter depuis un compte se faisant passer pour le porte-parole de Gamma. Un hacker se faisant appeler PhineasFisher diffusa un bon vieux fichier texte qui contenait un tutoriel avec les détails de l’attaque contre Gamma :

Je n’écris pas pour me vanter d’être un h4ck3r d’él1t3, ni du t4l3nt fou qu’il faut pour c0ntr0ler Gamma. J’écris ceci pour démystifier le hacking, pour montrer que c’est simple et, je l’espère, pour vous informer et vous inciter à pirater un tas de trucs... J’ai voulu montrer que le hack du Gamma Group n’avait rien de sophistiqué et que vous avez la capacité de faire des actions similaires.

Le nom de ce fichier était “HackBack—A DIY Guide for those without the patience to wait for whistleblowers.” (HackBack - un guide DIY pour ceux qui n’ont pas la patience d’attendre les lanceurs d’alerte). Pour la communauté hacker, salement amochée, pour qui la solidarité, la liberté et l’échange ouvert d’informations ont laissé place à la marchandisation du savoir par le marché et l’Empire, cette action était un bol d’air frais. Et, peut-être, le début d’un mouvement.

HackedTeam

« Vous en voulez plus. Il vous faut hacker votre cible. Il vous faut craquer le cryptage et récupérer les données pertinentes, en restant furtif [sic] et intraçables. Exactement ce que nous faisons. » Ce sont les mots que vous pourrez entendre dans une pub pour un produit nommé « Da Vinci », un « système de contrôle à distance » qui a été vendu mondialement par une entreprise italienne appelée « Hacking team »

Une entreprise qui, sans vergogne, se fait appeler « Hacking team »... voilà ce qui arrive quand une section locale de la police harponne deux hackers mercenaires en vue d’une collaboration. L’unité de cybercriminalité de la police de Milan décide que la simple observation ne suffit plus ; pour satisfaire leurs besoins offensifs, ils demandent à Alor et Naga, deux célèbres hackers italiens, de les aider à modifier un fameux outil de hacking qu’ils avaient eux-mêmes créé.

L’identité de leurs clients et la façon de procéder pour infecter et espionner leurs victimes sont restées secrètes jusqu’au 5 juillet 2015. C’est à cette date qu’un tweet de l’entreprise annonce : « Comme nous n’avons rien à cacher nous allons publier tous nos mails, fichiers, et codes source », fournissant ainsi plus de 400 gigas de données. Comme d’habitude, l’entreprise commence par prétendre que la "fuite" contient de fausses informations lors même qu’il semble presque impossible de créer de toute pièce une telle quantité de données.

Ceux qui ont suspecté que la signature de l’attaque puisse être familière ne se sont pas trompés : le surnom sarcastique de Phineas Fisher est, à nouveau, derrière cette révélation. En publiant toutes les informations internes – et, plus tard, un autre tutoriel précisant détails techniques et motivations politiques – Phineas Fisher offre au monde une preuve indéniable des opérations menées par les 70 clients de Hacking Team. La plupart d’entre eux sont des militaires, des forces de police et des gouvernements fédéraux ou provinciaux ; le total de leurs chiffres d’affaires cumulés dépasse les 40 millions d’euros. Vous pouvez lire la liste exhaustive des clients ici.

Cette fuite de données a confirmé qu’il y avait de très bonnes raisons justifiant une exigence globale de respect de la vie privée et d’anonymisation. Ajoutée aux révélation de Snowden, la possibilité de jeter un œil dans les secrets crasseux de HackingTeam nous donne alors une idée de l’ampleur de la campagne de surveillance ciblée menée par les gouvernements et les grandes entreprises. Nous savons aujourd’hui qu’il existe de nombreuses autres firmes sans scrupules qui profitent d’opérations illégales d’espionnage – comme le groupe NSO basé en Israël, récemment impliqué dans l’infection ciblée d’équipements de journalistes enquêtant sur le massacre d’Iguala au Mexique, qui a utilisé des ficelles de base pour piéger ses victimes et les inciter à compromettre leur propres appareils. Le démasquage anonyme de HackingTeam fut une brillante opération avec des répercussions globales.

Un marché aux secrets

Un business comme celui de Hacking Team repose sur le secret. Pour infecter des cibles, dans la plupart des cas, les attaquants utilisent un "zero day". Un "zero day" est une vulnérabilité dans un programme informatique qui n’a pas encore été divulguée publiquement, qui peut être exploitée pour attaquer les programmes, les données ou les réseaux par quiconque est au courant, offrant la plupart du temps un contrôle total sur ceux-ci. Récemment, le capitalisme de la surveillance a créé un réseau de compagnies qui agissent comme des courtiers, achetant ces vulnérabilités au marché noir et gris. Le prix pour un seul "zero day" peut aller de 10 000$ à 300 000$ et peut même atteindre 1 million de dollars.

Les compagnies de logiciels espions telles que Hacking Team "militarisent" ces vulnérabilités, amalgamant plusieurs d’entre elles et vendant les licences aux forces de répression pour qu’elles n’aient simplement qu’à "cliquer et espionner", avec, en plus, la possibilité d’un développement personnalisé pour pénétrer à l’intérieur des systèmes des victimes choisies.

La fenêtre d’opportunité pour tirer avantage de ces "zero days" devient, avec le temps, de plus en plus réduite. Plus on use des connaissances sur une vulnérabilité inconnue, plus ces attaques ont des chances de se faire repérer et de déclencher des recherches sur les failles qui ont été exploitées, et plus la probabilité que d’autres groupes trouvent les mêmes failles augmente. L’opportunité d’utiliser ces vulnérabilités prend fin lorsque le logiciel de l’appareil de l’utilisateur est mis à jour pour réparer les erreurs : c’est pour cela qu’il est important d’effectuer régulièrement des mises à jour. Toutefois, dans certains cas, les fabricants rendent les mises à jour difficiles voir impossibles.

Les courtiers en vulnérabilité et les vendeurs de logiciels espions offrent à des personnes incompétentes techniquement, d’infecter, espionner et exfiltrer les données de leurs cibles simplement en remplissant des formulaires, en quelques clics sur une application web. Nous avons pu le constater en disséquant des logiciels comme XKeyscore ou Hacking Team’s Galileo suite. L’ironie est que les clients (souvent des policiers) de ces logiciels de piratage "pour les nuls" peuvent eux-mêmes avoir un faux sentiment de sécurité. Phineas a découvert que les utilisateurs de ces systèmes utilisaient des mots de passe ridicules comme “P4ssword,” “wolverine,” ou “universo". Personne n’est dispensé d’utiliser les règles basiques de sécurité opérationelle...

Hack le monde ! Erdogan et Rojava

L’un des avantages du cyberespace est que vous n’avez pas besoin de voyager pour attaquer une cible située à l’autre bout du monde. Vous n’avez pas besoin de bouger de votre lit, même si c’est en général une bonne idée pour garder un esprit sain.

"J’ai hacké l’AKP", annonce Phineas en 2016 après avoir pénétré les serveurs du parti au pouvoir en Turquie. Une fuite de plus de 100GB de fichiers et d’emails de l’AKP sont transmis aux forces révolutionnaires du Kurdistan. Phineas a du se hâter, car Wikileaks publiait l’information avant qu’il eut fini de tout télécharger.

Phineas a également exploité les vulnérabilités des systèmes de sécurité d’une banque dont il n’a pas dévoilé le nom et envoyé 10 000 euros en bitcoins au Plan Rojava, un groupe international solidaire avec les autonomes de la région du Rojava.

Mossos et bouc-émissaires

En mai 2016, après avoir regardé le documentaire "Ciutat Morta", Phineas pense tenter une attaque contre les forces de polices Catalanes. Ciutat Morta est un film sur l’affaire 4F : les forces de l’ordre avaient torturé et emprisonné, par vengeance, plusieurs jeunes d’Amérique du Sud, après qu’un policier soit tombé dans le coma à la suite d’un jet de pierre lors d’une charge policière dans le centre ville de Barcelone.

Résultat de ce nouveau hack : en utilisant une vulnérabilité connue, Phineas a modifié le site de l’union de la police catalane en y insérant un manifeste ironique qui déclare que l’organisation "a été refondée : union pour les droits de l’Homme". Une fuite de données contenant les détails personnels de 5000 comptes de policiers circule, accompagnée d’un tutoriel vidéo de 40 minutes sur les techniques utilisées pour le hack.

Peu de temps après, la police procéde à de nombreuses descentes dans les centres sociaux et hacklab de Barcelone, puis déclare avoir attrapé le fameux hacker... Quelques heures plus tard, des journalistes rapportent pourtant que ce même hacker les a contactés pour témoigner "qu’il est vivant et en bonne santé". La police a emprisonné un bouc-émissaire, qui avait simplement retweeté une info sur la fuite.

Après que la police catalane a mené une série de perquisitions infructueuses pour mettre la main sur le hacker, Phineas Fisher accorde une interview vidéo à Vice, à condition que ses réponses soient données par une marionette.

Mais qui est vraiment ce Phineas Phisher ?

L’une des conséquences les plus intéressantes des actions de Phineas Fisher est le regard de vos amis hackers lorsque vous discutez de ce sujet avec eux. Les Chiliens vous diront que Phineas est forcément un latino. Les squatteurs de Barcelone jurent que son accent est familier. Les Italiens en feront de même. Les Américains pensent qu’elle ou il parle comme l’un des leurs. Puis l’hypothèse classique : comme tout bon hacker, Phineas doit être Russe — l’un de ces Russes qui parlent étonnement bien espagnol.

Il y a effectivement quelque chose de familier dans les actions de ce fantôme : un sens profond de la justice et de l’internationalisme et le sentiment que ses actions continueront de rester hors d’atteinte, puisque personne ne peut imaginer qu’une personne vivant une vie ordinaire puisse se cacher derrière de tels actes.

La vérité est que ça importe peu — sauf pour les les flics, qui ont du mal à identifier cette figure malgré tout leur attirail de "modeling" hyper sophistiqué et leurs outils d’analyse stylistique. Nous ne nous soucions pas de l’identité de la personne derrière tout ça. Cela n’a aucune importance, au final : quand cette identité est grillée, une nouvelle apparait. Une fois que vous abandonnez le culte de la personnalité, vous gagnez d’un coup en liberté. Ce qui nous importe réellement c’est que, quelle que soit son identité, il est l’un des nôtres, et ses actes nous aident à prendre conscience de notre puissance.

Ces actions directes montrent que, si parfois cultiver une compétence concrète réclame un gros effort et une bonne dose de dévouement, la plupart du temps rien d’extraordinaire n’est vraiment nécessaire. Peut-être n’avez-vous pas particulièrement l’esprit technique, mais vous pourriez avoir un bon relationnel : souvent, c’est la seule chose dont vous aurez besoin pour un piratage génial. Dit autrement, vous n’avez aucun background technique mais une persévérance ludique et déterminée peut surpasser n’importe quelle formation quand il s’agit d’ouvrir une brèche dans le royaume des bureaucrates.

La sécurité n’est pas une qualité absolue ; il n’y aura jamais de pouvoir absolu dans le cyberespace. Phineas explique :

C’est là toute la beauté et l’asymétrie du hacking : avec 100 heures de travail, une seule personne peut effacer des années de travail d’une entreprise pesant plusieurs millions de dollars. Le hacking donne aux opprimés une opportunité de lutte, et de victoires.

Les actions d’un hacker humble mais motivé peuvent aller plus loin que les gros égos surgonflés de l’industrie de la cyber-sécurité ou des universitaires qui n’osent agir en dehors des sentiers battus. Ce ne sont pas toujours les gros piratages qui changent la réalité : quelqu’un qui apprend à rester anonyme, quelqu’un qui n’a pas peur et garde la discipline nécessaire pour ne pas laisser fuiter des données personnelles a déjà un énorme avantage. Ne pas avoir un égo à nourrir est aussi crucial dans le maintien de sa liberté personnelle. Finalement, Phineas Fisher s’est tu. « J’ai détruit les comptes parce que je n’avais rien d’autre à dire ». Et c’était probablement suffisant. Parfois une petite action est tout ce qu’il faut pour changer un sentiment collectif et nous rendre conscient de notre propre pouvoir.

Épilogue : les années silencieuses de l’expropriation à venir

Phineas Fisher est mort. C’était plus qu’un nom : la pointe d’un réseau souterrain de pratiques et de désirs. Ce n’était pas une mais plusieurs actions. La guérilla cybernétique : frapper et se cacher.

Toutefois, Phineas apprécie toujours la liberté. Il ou elle nous démontre à tous que l’État n’a pas un contrôle absolu. Comme il aime à le répéter : il est toujours possible d’attaquer le système sans se faire choper.

Phineas reste très occupé. Il aime parler, dans l’ombre, de sa nouvelle occupation. Comme il nous l’a dit :

L’expropriation a des conséquences concrètes, mais en réalité il s’agit d’une arme idéologique. Les règles de ce système ne sont pas immuables mais des règles imposées par une minorité, des règles que nous pouvons questionner, changer et parfois exploser. Quand quelqu’un braque une banque, l’État dépense d’énormes ressources pour enquêter, non pas parce qu’économiquement dépenser 100 000€ pour un braquage à 3 000€ fait sens mais parce que cela préserve l’illusion commune de la propriété privée. Ils essayent d’anéantir cet esprit rebelle qui joue en dehors de leurs règles

Il ajoute :

Vous n’avez pas besoin d’avoir fait des études en ingénierie informatique pour pouvoir participer à ce que l’ancien directeur de la NSA Keith Alexander réfère comme étant responsable du plus grand transfert de richesse dans l’histoire du monde. Dans ce grand projet, la majorité du travail n’est pas réalisé par des hackers mais par des profanes, ceux qui savent où trouver les adresses pour recevoir du courrier et des colis, comment utiliser une fausse identité de manière convaincante et comment détruire les données de leur téléphone. Il s’agit là des seules compétences nécessaires pour ouvrir une ligne de téléphone mobile, un compte en banque et demander des prêts, faire des achats en ligne et les recevoir. Tout le monde peut apprendre comment utiliser le navigateur Tor, les bitcoins et participer aux marchés sur le darknet. La mafia et le crime organisé ont pris en compte ce changement là où les anarchistes ouverts à l’illégalisme et à l’expropriation n’ont pas encore réalisé que nous n’étions plus dans le monde du pré-internet et qu’il y avait de meilleures tactiques que braquer une banque avec un flingue. Nous vivons un moment unique dans l’histoire et nous avons une super opportunité.

Et en effet, c’est le cas. Longue vie au hacking et à toutes les silencieuses expropriations à venir.

lundimatin {papier}

Se procurer la revue

Mouvement 1 min 25 avr. 17
lundimatin c'est tous les lundi matin, et si vous le voulez,
Vous avez aimé? Ces articles pourraient vous plaire :