Qu'est-ce que l'hacktivisme ?
Signification du hacktivisme
Le piratage désigne les cyberattaques réalisées dans le but de faire progresser les objectifs politiques ou sociaux. Ces actes impliquent souvent un accès non autorisé au système, utilisé non pas à des fins financières, mais pour soutenir ou s’opposer à des causes, des gouvernements ou des institutions.
Le terme est une fusion de « piratage » et d’« activisme » et a été introduit en 1996 par un membre du Cult of the Dead Cow connu sous le nom d’Omega. Depuis sa création, le terme représente un mélange de protestations numériques et de cyber-interférences.
Ce qui motive les hacktivistes
Les hacktivistes modernes opèrent dans de petites équipes bien organisées avec des compétences techniques modérées à avancées. Leurs motivations peuvent être largement classées en quatre facteurs principaux :
Idéologique
Les motivations idéologiques sont la principale raison de l’activité de hacktivisme. Ces groupes ciblent généralement ceux qu'ils considèrent comme une menace pour leurs croyances, qu'elle soit religieuse, éthique ou géopolitique. Les conflits mondiaux en cours soulignent la profondeur de l’enracinement de ces fossés idéologiques.
Par exemple, le collectif pro-Russie NoName057(16) marque les partisans de l’Ukraine comme alliés des « nazis ukrainiens ». Pendant ce temps, GlorySec, un groupe qui aurait son origine au Venezuela, revendique son allégeance aux valeurs et marques occidentales en tant qu’anarcho-capitaliste. Leurs principes énoncés, centrés sur la liberté et le libéralisme du marché, les placent donc en opposition à la Russie, à la Chine, ainsi qu’à ce qu’ils qualifient de « leurs régimes de procuration » tels que Cuba, Nicaragua, Houthi, Hezbollah et Hamas.
Politique
Bien que moins fréquentes que les campagnes idéologiques, les cyberattaques motivées politiquement visent à modifier les politiques ou à façonner les récits politiques. L’attaque de SiegedSec contre Project 2025, un groupe de réflexion conservateur, en est un exemple. Le groupe a piraté et divulgué une base de données de 200GB, affirmant que l’initiative mettait en danger les droits à l’avortement et la communauté LGBTQ+. SiegedSec a également participé à des opérations telles que #OpTransRights, ciblant les institutions américaines jugées hostiles aux droits transgenres.
Figure 1. SiegedSec expliquant son image de motivation politique
Nationaliste
Les attaques de piratage nationalistes sont moins fréquentes et intègrent souvent des images patriotiques ou des références culturelles pour justifier leurs actions. Par exemple, l'équipe UCC du groupe indien a déclaré sa mission d'« amplifier les voix hindoues » et de démystifier ce qu'elle considère comme de faux récits sur la sécurité hindoue au Bangladesh. Ils ont ciblé les actifs du gouvernement pakistanais sous le bandeau de la défense du cyberespace indien.
De même, de nombreuses campagnes de piratage alignées sur la Russie comprennent souvent des emblèmes nationaux comme des ours et des drapeaux, encadrant leurs attaques comme des actes de défense nationale.
Opportuniste
Le hacktivisme opportuniste est souvent motivé par la facilité d’accès plutôt que par l’idéologie. Les cibles ne sont pas choisies pour leur pertinence politique, mais pour leur vulnérabilité. Par exemple, SiegedSec a autrefois compromis une plateforme de messagerie simplement parce que son infrastructure était mal sécurisée. Bien que l'origine chinoise de l'application ait pu jouer un rôle secondaire, les attaquants étaient principalement motivés par ses compartiments Amazon S3 facilement exploitables. Ces acteurs font souvent preuve d’indignation jeune, considérant l’accès non autorisé comme une protestation justifiée.
Figure 2. SiegedSec décrivant son attaque sur l’image du site Web d’une application de messagerie
Comment fonctionne le hacktivisme
Les groupes de pirates modernes sont généralement constitués d’un petit noyau de personnes de confiance, qui sont souvent des amis ou des connaissances en ligne qui partagent à la fois des capacités techniques et une idéologie politique ou religieuse similaire, qui définit l’alignement du groupe.
Le fondateur de GlorySec, sous l’alias « Charon Wheezy », a décrit les valeurs fondamentales du groupe dans une publication Telegram qui comprenait une photo de groupe avec des membres sur les postes de travail. Pendant ce temps, le créateur de SiegedSec, « Vio », s’identifie ouvertement comme faisant partie de la communauté LGBTQ+ et décrit le groupe comme des « pirates furry gays » avec des affiliations passées à GhostSec et au Soudan anonyme. Ces introductions sont souvent un point de départ pour recruter d’autres pirates partageant les mêmes idées.
Figure 3. Profil personnel du fondateur de SiegedSec
D’autres groupes comme CyberVolk font de la publicité publique pour les nouveaux membres, les collaborations payantes et d’autres opportunités. En revanche, GlorySec recherche des initiés de pays comme la Chine, la Russie et le Venezuela, et peut offrir jusqu'à 200 000 USD pour accéder aux systèmes internes du gouvernement ou des entreprises. La promesse de relocalisation est incluse comme une incitation en cas de problème.
Dans la plupart des groupes, une petite équipe de direction est chargée de vérifier les nouveaux membres et de recruter directement à l’aide de leurs canaux d’annonce. Bien que ces pirates informatiques se considèrent souvent comme des défenseurs de la vérité ou de la liberté, la réalité des risques juridiques reste une préoccupation. Sous pression, certains de ces groupes, en particulier ceux qui opèrent en Occident, se dissoudront, changeront de marque ou prendront des mesures évasives s’ils font l’objet d’une enquête. SiegedSec, par exemple. s’est dissout en juillet 2024, admettant la cybercriminalité et citant la peur de « l’œil du FBI ».
Types de hacktivisme
DDoS
L'une des tactiques les plus fréquemment employées par les hacktivistes est l'attaque par déni de service distribué (DDoS). Ces campagnes sont souvent coordonnées par le groupe central et menées par des volontaires à l’aide d’outils de stress HTTP. Initialement conçus pour tester la capacité du serveur, ces outils sont utilisés de manière abusive pour inonder les sites avec du trafic malveillant, ce qui provoque des perturbations.
Les retraits de sites Web sont une tactique privilégiée en raison de leur simplicité. Cependant, les perturbations DDoS sont généralement brèves et représentent une menace limitée pour les infrastructures bien défendues. Des dommages importants peuvent survenir si les attaques sont programmées de manière stratégique, comme le fait de toucher des sites générateurs de revenus tels que des casinos en ligne ou des plateformes de vente au détail pendant les heures de pointe.
Figure 4. Les cyber-forces indiennes ciblant un site Hamas avec DDoS
Malware
Les malware ne sont pas une méthode de référence pour la plupart des groupes de pirates informatiques, en grande partie en raison de leur complexité. Cela dit, quelques exceptions existent. Certains groupes développent leur propre ransomware pour financer leurs opérations.
Le groupe pro-Ukraine Douze reflèterait les tactiques des gangs de ransomware. Cependant, contrairement aux cybercriminels traditionnels, ils ne demandent pas de paiement. Au lieu de cela, leurs malware chiffrent, exfiltrent et parfois suppriment les données, qui sont ensuite partagées via leur canal Telegram.
Dans un autre cas, GlorySec aurait distribué des malware via des clés USB au Venezuela et aurait infiltré avec succès des systèmes dans environ 100 organisations.Dans un autre cas, GlorySec a placé un malware sur des clés USB dans une ville vénézuélienne et aurait eu accès à des systèmes dans « 100 entreprises différentes ».
Figure 5. GlorySec explique son attaque de malware
Doxing
« Doxing », qui signifie « dropping dox », fait référence à la pratique malveillante consistant à recueillir et à exposer les informations personnelles d’une personne, telles que les adresses, les numéros de téléphone et les données financières, sans le consentement de la victime. Il s’agit d’une tactique utilisée pour harceler, intimider ou nuire aux personnes en rendant les données privées publiques. Cette approche a gagné en popularité à l’ère des réseaux sociaux, où de grandes quantités d’informations personnelles sont facilement disponibles en ligne. Bien que les motivations varient, elles proviennent généralement de litiges idéologiques, de vendettas personnels ou du désir de discréditer une personnalité publique.
Piratage et fuite
Les attaques de piratage et de fuite sont de plus en plus courantes dans les groupes de pirates informatiques actuels. Ces attaques impliquent le piratage de réseaux et de serveurs pour exfiltrer des données sensibles, qui sont ensuite divulguées publiquement via des plateformes de partage de fichiers. Ce type d'attaque est généralement promu sur le canal Telegram d'un groupe. La complexité de ce type d'attaque suggère qu'il existe un processus de recrutement avancé qui donne la priorité aux recrues potentielles qui sont qualifiées dans les techniques de piratage offensives.
Exemples de piratage
GlorySec
GlorySec s'identifie comme un groupe pro-occidental et anti-autoritaire, avec des racines potentiellement au Venezuela. Le groupe s'est ouvertement opposé à la gouvernance russe et chinoise et prétend soutenir la liberté individuelle et la liberté économique. Leurs actions ciblent des entités qu’ils considèrent comme autoritaires ou répressives, y compris les alliés et les mandataires de ces gouvernements, tels que Cuba et le Hezbollah.
Ils ont également apporté leur soutien à Taïwan, lançant #OpPRC pour attaquer les entreprises chinoises. Ils soutiennent que « la RPC est un pays contrefait », plaidant plutôt pour l’indépendance de Taïwan. Pendant ce temps, des pirates informatiques alignés sur la Russie ont lancé une contre-opération, #OpTaiwan, qui s’aligne sur les allégations de la Chine.
Anonyme
Anonyme est peut-être le groupe de pirates le plus reconnaissable, connu pour sa structure mal organisée et son masque emblématique Guy Fawkes. Le collectif a attaqué à la fois les systèmes gouvernementaux et d'entreprise, conformément à diverses causes politiques.
Entre 2008 et 2012, Anonymous a mené plusieurs attaques de premier plan. L'un de leurs efforts les plus notables, « Opération Tunisie », a vu le groupe s'associer à des pirates locaux pour perturber huit sites Web du gouvernement tunisien à l'aide d'attaques DDoS. La campagne faisait partie du mouvement plus large du printemps arabe et a contribué à la sensibilisation mondiale à l’activisme numérique.
Figure 6. Les groupes Hacktivist avec une image de motivations qui se chevauchent
Recherches associées