Le point sur Lizard Squad, les tombeurs de Sony et Microsoft

Depuis cet été, on n'entend plus parler que de la Lizard Squad, un groupe de hackers qui fait à présent la une des journaux télévisés et qui s'est fait une spécialité de l'attaque DDoS, de préférence à l'encontre des compagnies du secteur vidéoludique mais pas uniquement. Dernière victime en date, non pas Sony et Microsoft, mais le projet Tor, un réseau parallèle au Web dont l'objectif est l'anonymat et la discrétion des utilisateurs. Mais comme souvent avec les groupes de hackers en pleine lumière, la confusion est de mise, entre fausses déclarations, vraies attaques, revendications opportunistes et interventions d'autres groupes. Voici donc un récapitulatif de ce que l'on sait et de ce que l'on ignore sur la Lizard Squad.

 

LES ATTAQUES REVENDIQUÉES, LE CV DE LA LIZARD SQUAD:

 

 

La cible de choix de la Lizard Squad est pour l'heure le monde du jeu vidéo, au moins une partie. La première attaque revendiquée par le groupe est celle des serveurs de League of Legends en août, suivie par une vague d'attaques ayant touché les serveurs de Battle.net puis le PlayStation Network et Twitch. Seul le Xbox Live aura alors résisté aux assauts du groupe. En septembre, le groupe récidive après avoir prédit un "grand nombre de joueurs mécontents ce week-end" sur Twitter. Ces sont les serveurs d'EA et d'Activision qui font cette fois l'objet de l'attention de la Lizard Squad, précisément ceux de Call of Duty : Ghost, de Destiny, de FIFA 15 et des Sims 4. Destiny sera de nouveau frappé le 23 novembre, quelques jours avant que le Xbox Live ne passe à la casserole. Dans la foulée, la Lizard Squad s'en prend à Machinima, cette fois pour un "defacing" de son site officiel, remplaçant la page d'accueil par son logo en ASCII. Déjà en pleine lumière, le groupe attaque le PSN début décembre et annonce alors son intention de s'en prendre massivement au Xbox Live et au PlayStation Network pour les fêtes. Le rendez-vous ne sera pas manqué.

 

Les exactions de la Lizard Squad ne s'arrêtent pas là. Le groupe revendique également une attaque contre le site du Vatican en août, qui a effectivement été mis hors ligne. Ces derniers jours, le groupe s'en est également, et paradoxalement, pris au réseau Tor, un réseau souterrain dont l'objectif est d'assurer l'anonymat des utilisateurs. Il est fréquenté aussi bien par des personnes soucieuses de leurs empreinte numérique que par des hackers ou, il est vrai, des criminels. A titre d'exemple retentissant, le réseau Tor a été employé par Edward Snowden pour livrer ses révélations sur l'espionnage des citoyens par la NSA. Les hackers se sont emparés d'une partie des noeuds qui composent le réseau, pouvant théoriquement détourner le trafic des utilisateurs. Enfin, dans un registre différent, alors qu'elle commençait tout juste ses actions, la Lizard Squad avait fait détourner un vol d'American Airlines à bord duquel voyageait John Smedley, le PDG de Sony Online, tout simplement en signalant à la compagnie qu'une bombe pourrait se trouver à bord. L'appareil a non seulement été dérouté mais il avait eu droit à une escorte militaire.

 

En somme, pour autant qu'on le sache, les actions de la Lizard Squad consistent à mettre à mal des services en empêchant leurs utilisateurs d'y accéder et à pourrir le voyage de tout un avion.

 

DDOS VS HACK : NE PAS CONFONDRE

 

 

Dans l'objectif de mettre les choses au clair et dans la mesure où on entend un peu trop parler de "hack" et de "piratage", en particulier dans les médias généralistes, les attaques de la Lizard Squad ne sont pas des piratages. Rien n'indique qu'il y ait eu d'intrusion sur quelque serveur que ce soit, le groupe n'a d'ailleurs jamais clamé le contraire. Les deux exceptions sont le defacing de Machinima et la façon dont la Lizard Squad a pu savoir sur quel vol se trouvait John Smedley, et il suffit pour cela que le monsieur ait donné quelques informations en public. Les assauts de la Lizard Squad sont des dénis de services distribués, plus connus sous l’acronyme DDoS. Une technique fréquemment employée, soit pour le simple plaisir de l'exploit, soit dans le but d'extorquer de l'argent à sa cible ou parfois à des fins politiques. Bien souvent, personne n'est au courant et, pour le public, le site a simplement été temporairement indisponible.

 

Grey Hat, White Hat, Black Hat, Red Hat, le monde des hackers et des crackers

Il faut rappeler à ce stade que, parmi les hackers, il y a ceux qui s’introduisent dans les réseaux pour le sport, sans autres intentions, et ceux qui cherchent à en tirer profit ou à nuire. Entre les deux, on trouve les hacktivistes, aux motivations diverses, un courant du cyberterrorisme pour la défense des droits des consommateurs, des libertés individuelles, la lutte contre la corruption, etc. On simplifie volontairement et grandement les choses qui sont autrement un poil plus complexes.

Qu'est-ce qu'un DDoS ?

 

En termes simples, la méthode consiste à noyer un serveur sous un flot de données jusqu'à ce qu'il ne puisse plus y répondre et crashe. Selon la solidité de la cible, sa capacité à traiter les demandes et ses méthodes de défense, il faudra déployer des ressources et des méthodes plus ou moins lourdes pour parvenir à ses fins. En matière de logistique, réaliser un DDoS implique de mobiliser un grand nombre de machines d'où proviendront les requêtes, des machines qui sont la plupart du temps des PC d'utilisateurs lambda infectés et qui envoient à la demande les requêtes vers la cible, le propriétaire de la machine n'ayant conscience de rien. Ces PC forment des botnets. A une autre échelle, les PC peuvent même être remplacés par des serveurs. On peut soit créer son propre botnet si on en a les compétences, soit en louer un. Faute de moyens, la Lizard Squad pourrait avoir, au moins en partie, créé son propre réseau... ou avoir accédé à une infrastructure particulièrement performante. On se heurte là aux nombreuses zones d'ombre qui entourent souvent ce genre d'affaires.

 

 

QUI SONT LES MEMBRES DE LA LIZARD SQUAD ?

 

Il va de soi que savoir qui sont les membres de la Lizard Squad n'est pas chose aisée. En premier lieu parce que quantité d'individus peuvent se faire passer pour tels. C'est un peu le problème quand une activité, par définition plutôt destinée à rester dans l'ombre, se retrouve sous les feux de la rampe. En dehors des déclarations en provenance de pages "certifiées", comme leur page Twitter (en se méfiant des nombreux fakes), il est difficile de trier le bon grain de l'ivraie. Ces derniers jours, quelques médias ont toutefois pu interviewer des personnes se disant membres du groupe, principalement Dailydot.com, BBC Radio (à écouter ici) et Sky News. Attention, les choses peuvent devenir un peu confuses.

 

 

Dailydot.com a ainsi pu entrer en contact avec deux jeunes hommes se faisant appeler Vinnie Omari et Ryan Cleary, nom emprunté à un membre du LulzSec emprisonné et remis en liberté l'année dernière. Ce dernier a également accordé un entretien vidéo à Sky News, poussant le vice jusqu'à afficher son visage. Quant à l’interview radio sur la BBC, elle concerne simplement Membre 1 et Membre 2, mais comme le souligne Brian Krebs, journaliste spécialisé dans la cybercriminalité, la voix de Vinnie Omari est facilement reconnaissable. Plus déroutant, Vinnie aurait carrément donné un avis d'expert en sécurité à Sky News au sujet des actions de la Lizard Squad et sa rivalité avec d'autres groupes. Vincent "Vinnie" Omari est âgé de 22 ans, il vit en Angleterre mais dément officiellement être membre de la Lizard Squad, se qualifiant de simple porte-parole. Mais, dans l'interview de la BBC, il revendique bien une part active dans ses opérations.

 

Quant à "Ryan Cleary", il serait originaire de Finlande, âgé de 17 ans, et son véritablement nom serait Julius Kivimaki. Kivimaki a été arrêté en 2013 pour avoir monté un botnet de 60.000 machines (des serveurs Web) et pour la détention de 3.000 numéros de cartes de crédit. D'après eux, les attaques de Noël n'aurait impliqué que trois personnes. Là où les choses deviennent encore plus obscures, c'est quand on essaie de déterminer le niveau de compétence de ces braves jeunes hommes. Dans une interview, l'un d'eux peut dire "ne pas se considérer comme un hacker top niveau", alors que dans une autre on apprend que le groupe aurait accès à des relais sous-marins capables de transmettre 100GB de données à la seconde et pouvoir ainsi lancer des attaques que même un gouvernement ne pourrait reproduire. Une puissance de feu colossale.

 

C'est en tout cas ce qu'ils prétendent, si ce n'est pleinement, au moins indirectement. Concernant le piratage de Sony Pictures (vol de données massif, de films et début de l'affaire du très en vue The Interview), on retrouve Ryan Cleary cette fois dans le Washington Post, il y explique avoir des contacts au sein du groupe Guardians of Peace qui revendique le hack de Sony. La Lizard Squad aurait ici joué un rôle d'entremetteur en fournissant quelques identifiants dérobés à des employés de la société. Alors que la thèse du FBI veut toujours que la Corée du Nord soit derrière cette attaque, la société de sécurité Norse accrédite la théorie du "complot interne", son enquête indépendante l'ayant conduite sur les traces d'ex-employés mécontents reprochant à Sony sa politique de lutte contre le piratage de ses films sur le Net. Les lézards auraient ainsi en effet pu donner un simple coup de main... ou n'avoir rien à voir dans l'affaire.

 

MAIS POURQUOI SONT-ILS SI MÉCHANTS ?

 

La question que tout le monde se pose, c'est "pourquoi ?". Et là encore, on ne peut pas dire que les motivations soient particulièrement claires. En somme, on obtient un mélange de "c'était pour se marrer" et de volonté d'exposer les faiblesses de leurs cibles et montrer aux joueurs que les grandes compagnies qui gagnent des milliards sur leur dos ne font rien pour les protéger. En somme, la Lizard Squad voudrait dénoncer le manque de sécurité des réseaux de Sony et Microsoft et éveiller les consciences. Voici ce que disait "Ryan Cleary" lors de son entretien par Skype avec Sky News :

Un discours qui placerait la Lizard Squad du côté des "gentils" hacktivistes, à ceci près que ces derniers cherchent en général à exposer des failles de sécurité dangereuses pour les données personnelles, pas simplement à bloquer l'accès à un service et à nuire à l'utilisateur, encore moins si dans le lot on compte des enfants en pleine période de Noël. Notez d'ailleurs que Cleary précise bien ne pas se considérer comme tel. Plus dérangeant encore, le discours n'est pas des plus cohérents. La Lizard Squad n'a pas prouvé un manque de sécurisation des données puisqu'elle n'a dérobé aucune information sensible. Quant à la faiblesse dénoncée des infrastructures... A force d'envoyer de l'eau sur une digue, on finit par atteindre son point de rupture, et succomber à un DDoS répond à la même logique.

 

 

L'argument est d'autant plus irrecevable si les propos rapportés à Dailydot.com sont avérés, propos selon lesquels les hackers prétendent avoir accès à une force de frappe inégalable à laquelle personne n'aurait pu résister. Soit cette assertion est fausse et Sony et Microsoft ont en effet succombé à un assaut "classique", soit elle est vraie et on se demande alors qui aurait pu y résister. Avec cette logique, on pourrait aussi bien leur reprocher de ne pas avoir pris de dispositions pour s'abriter d'une éruption solaire. Ni Sony ni Microsoft n'ont de raison de se tenir prêts à subir une attaque d'une envergure telle que décrite par la Lizard Squad. Le discours revient à vouloir larguer une bombe atomique sur une petite ville pour ensuite dénoncer l'incompétence des pompiers locaux à empêcher qu'elle soit rayée de la carte.

 

En outre, le fait que la Lizard Squad ait accepté de mettre fin à son attaque lorsque Kim Dotcom, le fondateur de Megaupload, a proposé de lui remettre pour 300.000 dollars de coupons donnant accès à son site d'upload crypté, Mega, enterre pour de bon toute volonté d'en faire des Robin des Bois virtuels.......