Les pirates LulzSec annoncent cesser leurs activités

Après 50 jours de piratage intensif, le collectif a annoncé sa dissolution, non sans un dernier coup d'éclat et avoir passé le relai à d'autres activistes. Leur communication aura été aussi originale que redoutable.

"Notre aventure de 50 jours prend fin", a annoncé, à la surprise générale, le collectif de pirates LulzSec ce week-end. Selon les membres du groupe, cette durée était initialement prévue. Une période pendant laquelle les six pirates auront fait trembler le Web en déjouant la sécurité informatique de grands noms.

Comme bouquet final, le collectif a accompagné l'annonce de sa dissolution par la diffusion de données dérobées (mémos internes, données personnelles) en provenance de sociétés comme AOL ou AT&T.
 

 

Ton moqueur


En moins de deux mois, les "Lulz Security" auront revendiqué des attaques réussies contre la CIA, le Sénat américain ou un site affilié au FBI. Les LulzSec s'en sont également pris à des multinationales comme Sony, Nintendo, ou les chaînes de télévision PBS et Fox.

A chaque fois, avec un ton moqueur, le groupe a revendiqué ses attaques par déni de service ou ses intrusions dans des systèmes d'informations. Le collectif a de nombreuses fois publié ensuite les informations dérobées.

Bases de données d'utilisateurs, informations sur le personnel, configurations de serveurs, entre autres, ont ainsi été diffusées sur le site de collectif, qui faisait la promotion des attaques sur Twitter via un compte très actif et suivi par plus de 300 000 personnes.

Leurs méthodes ne se résument donc pas aux attaques par déni de service, qu'affectionnent leur cousins Anonymous, mais plutôt à des intrusions et la diffusion d'informations plus ou moins sensibles. C'est l'injection de script (injection SQL) qui semble avoir été leur technique de piratage privilégiée.

"LulzSec n'a pas basé ses attaques sur des vulnérabilités sophistiquée ou des failles de type 0 Day, mais sur des vulnérabilité au contraire assez basiques. Ils ont également utilisé des outils publics. Cela fait aussi partie de leur philosophie et contribue finalement à dresser un état des lieux encore plus alarmant de la sécurité telle qu'elle est pratiquée au sein d'administrations prestigieuses ou de grandes multinationales", décrypte le spécialiste Guillaume Lovet, expert en sécurité chez Fortinet.

 

"Obtenir légalement les preuves numériques peut être difficile"

Informations sensibles ?

Toutes les informations dérobées et diffusées n'étaient pas sensibles, mais bon nombre d'entre elles avaient été extorquées à des noms prestigieux (ce fut notamment le cas pour Nintendo ou certains sites gouvernementaux américains). Le collectif a cependant publié des informations plus critiques, comme les quelque 62 000 comptes e-mails ainsi que leurs mots de passe.

Vendredi dernier, le collectif a également embarrassé la police américaine en publiant des informations confidentielles sur une agence chargée de faire respecter la loi en Arizona. LulzSec a expliqué que son acte, de nature politique, visait à dénoncer les lois anti-immigration et les pratiques racistes et de cet Etat. L'attaque était le point d'orgue de l'opération AntiSec, conjointement menée avec Anonymous, qui devait cibler les informations embarrassantes des banques et autres établissements de haut rang.

A noter qu'au moment de revendiquer cette attaque, LulzSec avait bien précisé qu'il s'agissait de reproduire ce type d'opération chaque semaine. C'est pourquoi la soudaine dissolution du collectif, au faîte de sa notoriété, n'a pas manqué de surprendre.

 

Preuve numérique et vice de forme


Pourquoi cette dissolution ? Force est de constater que l'annonce intervient peu après l'arrestation d'un jeune homme anglais, très indirectement lié à LulzSec, selon les pirates. S'agit-il de se faire plus discret pour ces pirates en vue d'éviter de se faire appréhender par la police ? En tout cas, des informations à leur sujet commençaient à filtrer.

 "Les membres de LulzSec sont désormais connus sur les forums sous terrains spécialisés. Il semble bien qu'ils soient répartis sur plusieurs juridictions, peut-être en Angleterre, aux Etats-Unis et ailleurs... ce qui peut aussi compliquer l'obtention des preuves numériques. En outre, obtenir légalement ces preuves est toujours difficile et un vice de forme suffit pour annuler leur valeur légale... "Le fait qu'ils aient rejoint Anonymous peut également leur permettre de se faire plus discret, en se fondant dans un collectif plus large", tente d'expliquer Guillaume Lovet.

L'arrêt de LulzSec ne signifie cependant pas que ses membres mettent un terme à leur activité. Leur dernier communiqué expliquait d'ailleurs clairement qu'ils passaient désormais le relai à Anonymous. Par ailleurs, les LulzSec semblent déjà avoir fait des émules, au Pérou, au Brésil ou au Danemark... Une école du piratage aurait même été créée sur le Web sous leur impulsion.

 

Que retenir des LulzSec ?

Au-delà des grands noms attaqués, "leur plus grande prouesse a sans doute été de capter autant l'attention", estime Guillaume Lovet, qui rappelle que les collectifs de pirates ou le "defacement" de site Internet ont déjà connu leur heure de gloire dans le passé. Selon l'observateur, c'est d'ailleurs cette soudaine notoriété qui a sans doute agacé d'autres collectifs de pirates actifs.

C'est également cette grande habilité à communiquer, et à finalement révéler à quel point la sécurité informatique de grandes structures est faible qui peut faire trembler les RSSI, car c'est finalement de leur responsabilité que le collectif se moque publiquement.