Syrian Electronic Army, la stratégie du coup d'éclat

REUTERS/Pawel Kopczynski.

REUTERS/Pawel Kopczynski.

Depuis ses premières campagnes de spam sur Facebook, au printemps 2011, jusqu'aux récentes attaques contre Twitter et le New York Times, le groupe de «pirates patriotes» syriens a affiné ses attaques. Mais son savoir-faire, jusqu'ici, n'est pas tant technique que social et médiatique.

«Hacked by Syrian Electronic Army»: après la BBC, Associated Press, CBS, Al Jazeera et bien d'autres, ce sont cette fois le New York Times et Twimg.com, un service d'images de Twitter, qui ont essuyé ce qui semble être la dernière offensive, revendiquée sur le réseau social et auprès des médias, des «pirates patriotes» attachés à la défense du régime de Damas.

Remarqué, surtout depuis ce printemps, pour ses piratages spectaculaires de comptes Twitter —celui d'Associated Press annonçant un attentat contre Barack Obama avait provoqué une chute du Dow Jones en avril dernier—, le groupe se serait cette fois attaqué aux serveurs de noms de domaine (ou serveurs DNS) du quotidien et du site de microblogging via leur bureau d'enregistrement commun, l'Australien Melbourne IT.

«À la portée du hacker moyen»

À y regarder de près, l'attaque n'a rien de techniquement très complexe: «à la portée du hacker moyen», dit-on du côté de Telecomix, ce regroupement de hacktivistes qui s'est fait connaître, à l'autre bout du spectre, par son soutien aux cyberdissidents, notamment syriens. Ce sont plutôt les ressorts de «l'ingénierie sociale» —autrement dit, de la manipulation— qui ont été mobilisés, via la technique du spear phishing, ou «harponnage»: des e-mails frauduleux élaborés, envoyés à un petit nombre d'utilisateurs.

La faille est d'abord humaine. La Syrian Electronic Army est coutumière du fait, comme l'explique le hacker français Bluetouff, cofondateur du site Reflets.info:

«Ils procèdent par opportunisme. Ils choisissent une grosse cible, et pour l'atteindre, ils recherchent le maillon faible. Ils vont utiliser le phishing, comme c'était le cas pour Al Jazeera, chercher des mots de passe trop faibles... La sécurité, c'est une chaîne de confiance: si l'un des maillons casse, tout est compromis.»

«Une armée bien réelle dans la réalité virtuelle»

Difficile de savoir qui se cache vraiment derrière la Syrian Electronic Army, ces «jeunes Syriens qui veulent défendrent leur pays contre une campagne médiatique pleine de mensonges», comme ils le proclamaient en mai dernier auprès du Daily Dot. Selon Bluetouff, une tête d'épingle de trois personnes basée à Damas et des forces vives derrière. Sans compter d'éventuels soutiens à l'étranger et l'appoint de script kiddies, tels ceux qui téléchargeaient, il y a deux ans, les logiciels «estampillés» SEA permettant de lancer des attaques par déni de service contre Al Jazeera ou BBC News.

Ses leaders seraient très jeunes, à l'image de «Th3 Pr0», qui se présente sur son blog comme «un hacker syrien de 19 ans», «fier d'être pro-Assad» et que le site américain Motherboard prétendait, hier soir, avoir probablement identifié.

Le groupe a en tout cas pignon sur rue, et pas seulement sur les réseaux sociaux. Si aucun lien organique avec le régime n'est avéré, le chercheur canadien Helmi Noman a mis en lumière de curieuses relations entre la SEA et la Syrian Computer Society, l'organisation syrienne de promotion du numérique dirigée, avant qu'il n'accède à la présidence, par Bachar al-Assad. Lequel tirait, en juin 2011, un coup de chapeau à ce qu'il définissait comme «une armée bien réelle dans la réalité virtuelle».

Reste que le mode opératoire laisse parfois songeur: difficile, par exemple, d'évacuer la dimension potache du du piratage du compte BBC Weather sur Twitter. Beaucoup de «buzz» mais, dans les faits, des nuisances relatives, comme le souligne l'ingénieur réseaux Stéphane Bortzmeyer:

«Quand on a accès aux serveurs DNS, on peut mettre ce qu'on veut dans les domaines. Dans le cas du New York Times, c'est resté limité. Si on veut faire dans le spectaculaire, on travaille un peu plus que ça... On peut aussi garder le web apparemment intact et ajouter du code malveillant dans les pages. Tout ça laisse à penser qu'on a affaire à un groupe en sympathie avec le régime, mais pas forcément très rationnel.»

« Hack de l'attention »

La Syrian Electronic Army enfonce donc beaucoup de portes, mais semble jusque-là se contenter de marquer bruyamment son passage —un mode opératoire qui n'est pas sans rappeler à certains égards ses ennemis d'Anonymous.

Mais, outre la divergence d'objectifs, il y a sans doute également une différence de nature: la SEA n'est manifestement pas une «franchise» que chacun pourrait s'approprier pour agir, et ses leaders se revendiquent comme tels. Et en tout état de cause, elle évolue: «Depuis les campagnes de spam sur Facebook d'il y a deux ans, ils ont beaucoup progressé», note Okhin, un des hacktivistes de Telecomix.

Si patente que soit la stratégie du «hack de l'attention», particulièrement ajustée ces temps-ci au calendrier géopolitique, elle n'est pas sans menaces. Dans le cas du New York Times, comme dans le précédent Al Jazeera, la Syrian Electronic Army aurait eu, techniquement, les moyens d'intercepter des communications. Donc de mettre en danger des sources.

Le soutien ou, à tout le moins, la complaisance des autorités syriennes lui assurant une impunité de fait, la seule réponse possible passe par une amélioration de la sécurité. Ce qui est toujours un casse-tête.

Amaelle Guiton

Partager cet article