Les attaques revendiquées, le CV de la Lizard Squad

La cible de choix de la Lizard Squad est pour l'heure le monde du jeu vidéo, au moins une partie. La première attaque revendiquée par le groupe est celle des serveurs de League of Legends en août, suivie par une vague d'attaques ayant touché les serveurs de Battle.net puis le PlayStation Network et Twitch. Seul le Xbox Live aura alors résisté aux assauts du groupe. En septembre, le groupe récidive après avoir prédit un "grand nombre de joueurs mécontents ce week-end" sur Twitter. Ces sont les serveurs d'EA et d'Activision qui font cette fois l'objet de l'attention de la Lizard Squad, précisément ceux de Call of Duty : Ghost, de Destiny, de FIFA 15 et des Sims 4. Destiny sera de nouveau frappé le 23 novembre, quelques jours avant que le Xbox Live ne passe à la casserole. Dans la foulée, la Lizard Squad s'en prend à Machinima, cette fois pour un "defacing" de son site officiel, remplaçant la page d'accueil par son logo en ASCII. Déjà en pleine lumière, le groupe attaque le PSN début décembre et annonce alors son intention de s'en prendre massivement au Xbox Live et au PlayStation Network pour les fêtes. Le rendez-vous ne sera pas manqué.

Les exactions de la Lizard Squad ne s'arrêtent pas là. Le groupe revendique également une attaque contre le site du Vatican en août, qui a effectivement été mis hors ligne. Ces derniers jours, le groupe s'en est également, et paradoxalement, pris au réseau Tor, un réseau souterrain dont l'objectif est d'assurer l'anonymat des utilisateurs. Il est fréquenté aussi bien par des personnes soucieuses de leurs empreinte numérique que par des hackers ou, il est vrai, des criminels. A titre d'exemple retentissant, le réseau Tor a été employé par Edward Snowden pour livrer ses révélations sur l'espionnage des citoyens par la NSA. Les hackers se sont emparés d'une partie des noeuds qui composent le réseau, pouvant théoriquement détourner le trafic des utilisateurs. Enfin, dans un registre différent, alors qu'elle commençait tout juste ses actions, la Lizard Squad avait fait détourner un vol d'American Airlines à bord duquel voyageait John Smedley, le PDG de Sony Online, tout simplement en signalant à la compagnie qu'une bombe pourrait se trouver à bord. L'appareil a non seulement été dérouté mais il avait eu droit à une escorte militaire.

En somme, pour autant qu'on le sache, les actions de la Lizard Squad consistent à mettre à mal des services en empêchant leurs utilisateurs d'y accéder et à pourrir le voyage de tout un avion.

DDoS vs Hack : ne pas confondre

Dans l'objectif de mettre les choses au clair et dans la mesure où on entend un peu trop parler de "hack" et de "piratage", en particulier dans les médias généralistes, les attaques de la Lizard Squad ne sont pas des piratages. Rien n'indique qu'il y ait eu d'intrusion sur quelque serveur que ce soit, le groupe n'a d'ailleurs jamais clamé le contraire. Les deux exceptions sont le defacing de Machinima et la façon dont la Lizard Squad a pu savoir sur quel vol se trouvait John Smedley, et il suffit pour cela que le monsieur ait donné quelques informations en public. Les assauts de la Lizard Squad sont des dénis de services distribués, plus connus sous l’acronyme DDoS. Une technique fréquemment employée, soit pour le simple plaisir de l'exploit, soit dans le but d'extorquer de l'argent à sa cible ou parfois à des fins politiques. Bien souvent, personne n'est au courant et, pour le public, le site a simplement été temporairement indisponible.

Qu'est-ce qu'un DDoS ?

En termes simples, la méthode consiste à noyer un serveur sous un flot de données jusqu'à ce qu'il ne puisse plus y répondre et crashe. Selon la solidité de la cible, sa capacité à traiter les demandes et ses méthodes de défense, il faudra déployer des ressources et des méthodes plus ou moins lourdes pour parvenir à ses fins. En matière de logistique, réaliser un DDoS implique de mobiliser un grand nombre de machines d'où proviendront les requêtes, des machines qui sont la plupart du temps des PC d'utilisateurs lambda infectés et qui envoient à la demande les requêtes vers la cible, le propriétaire de la machine n'ayant conscience de rien. Ces PC forment des botnets. A une autre échelle, les PC peuvent même être remplacés par des serveurs. On peut soit créer son propre botnet si on en a les compétences, soit en louer un. Faute de moyens, la Lizard Squad pourrait avoir, au moins en partie, créé son propre réseau... ou avoir accédé à une infrastructure particulièrement performante. On se heurte là aux nombreuses zones d'ombre qui entourent souvent ce genre d'affaires.

Qui sont les membres de la Lizard Squad ?

Il va de soi que savoir qui sont les membres de la Lizard Squad n'est pas chose aisée. En premier lieu parce que quantité d'individus peuvent se faire passer pour tels. C'est un peu le problème quand une activité, par définition plutôt destinée à rester dans l'ombre, se retrouve sous les feux de la rampe. En dehors des déclarations en provenance de pages "certifiées", comme leur page Twitter (en se méfiant des nombreux fakes), il est difficile de trier le bon grain de l'ivraie. Ces derniers jours, quelques médias ont toutefois pu interviewer des personnes se disant membres du groupe, principalement Dailydot.com, BBC Radio (à écouter ici) et Sky News. Attention, les choses peuvent devenir un peu confuses.

Dailydot.com a ainsi pu entrer en contact avec deux jeunes hommes se faisant appeler Vinnie Omari et Ryan Cleary, nom emprunté à un membre du LulzSec emprisonné et remis en liberté l'année dernière. Ce dernier a également accordé un entretien vidéo à Sky News, poussant le vice jusqu'à afficher son visage. Quant à l’interview radio sur la BBC, elle concerne simplement Membre 1 et Membre 2, mais comme le souligne Brian Krebs, journaliste spécialisé dans la cybercriminalité, la voix de Vinnie Omari est facilement reconnaissable. Plus déroutant, Vinnie aurait carrément donné un avis d'expert en sécurité à Sky News au sujet des actions de la Lizard Squad et sa rivalité avec d'autres groupes. Vincent "Vinnie" Omari est âgé de 22 ans, il vit en Angleterre mais dément officiellement être membre de la Lizard Squad, se qualifiant de simple porte-parole. Mais, dans l'interview de la BBC, il revendique bien une part active dans ses opérations.

Quant à "Ryan Cleary", il serait originaire de Finlande, âgé de 17 ans, et son véritablement nom serait Julius Kivimaki. Kivimaki a été arrêté en 2013 pour avoir monté un botnet de 60.000 machines (des serveurs Web) et pour la détention de 3.000 numéros de cartes de crédit. D'après eux, les attaques de Noël n'aurait impliqué que trois personnes. Là où les choses deviennent encore plus obscures, c'est quand on essaie de déterminer le niveau de compétence de ces braves jeunes hommes. Dans une interview, l'un d'eux peut dire "ne pas se considérer comme un hacker top niveau", alors que dans une autre on apprend que le groupe aurait accès à des relais sous-marins capables de transmettre 100GB de données à la seconde et pouvoir ainsi lancer des attaques que même un gouvernement ne pourrait reproduire. Une puissance de feu colossale.

Et le pire dans tout cela, c'est que même si la théorie Omari / Cleary est tentante, il est ardu de confirmer leur appartenance à la Lizard Squad. Cleary a malgré tout apporté quelques éléments à ses interlocuteurs, notamment en postant des messages de confirmation sur Twitter. Le plus troublant étant d'imaginer un hacker se montrant à visage découvert à la télévision. A moins évidemment... qu'il ne soit complètement inconscient et incroyablement sûr de lui. En attendant, Julius Kivimaki est à présent dans les petits papiers du FBI. Son alter ego, Ryan Cleary, affirmant pour sa part que la loi ne pourra pas l'atteindre et qu'il ne court que peu de risques.

La seule certitude que l'on ait concernant la Lizard Squad, c'est qu'elle s'inspire fortement des fameux LulzSec, d'anciens membres d'Anonymous qui ont signé un très grand nombre de hacks et de DDoS, dont le conséquent vol de données du PSN en 2011. Le logo de la Lizard Squad est largement inspiré par celui de LulzSec et le groupe a même repris à son compte sa façon de communiquer, essentiellement la provocation et la raillerie. Pour rappel, la plupart des membres de LulzSec ont été arrêtés.

ffff

Sont-ils liés au piratage de Sony Pictures ?

C'est en tout cas ce qu'ils prétendent, si ce n'est pleinement, au moins indirectement. Concernant le piratage de Sony Pictures (vol de données massif, de films et début de l'affaire du très en vue The Interview), on retrouve Ryan Cleary cette fois dans le Washington Post, il y explique avoir des contacts au sein du groupe Guardians of Peace qui revendique le hack de Sony. La Lizard Squad aurait ici joué un rôle d'entremetteur en fournissant quelques identifiants dérobés à des employés de la société. Alors que la thèse du FBI veut toujours que la Corée du Nord soit derrière cette attaque, la société de sécurité Norse accrédite la théorie du "complot interne", son enquête indépendante l'ayant conduite sur les traces d'ex-employés mécontents reprochant à Sony sa politique de lutte contre le piratage de ses films sur le Net. Les lézards auraient ainsi en effet pu donner un simple coup de main... ou n'avoir rien à voir dans l'affaire.

Mais pourquoi sont-ils si méchants ?

La question que tout le monde se pose, c'est "pourquoi ?". Et là encore, on ne peut pas dire que les motivations soient particulièrement claires. En somme, on obtient un mélange de "c'était pour se marrer" et de volonté d'exposer les faiblesses de leurs cibles et montrer aux joueurs que les grandes compagnies qui gagnent des milliards sur leur dos ne font rien pour les protéger. En somme, la Lizard Squad voudrait dénoncer le manque de sécurité des réseaux de Sony et Microsoft et éveiller les consciences. Voici ce que disait "Ryan Cleary" lors de son entretien par Skype avec Sky News :

Une des grandes idées derrière l’attaque était de sensibiliser les gens au faible niveau de sécurité informatique au sein de ces entreprises. Ces sociétés gagnent des dizaines de millions par mois grâce aux abonnements des utilisateurs et cela ne comprend même pas les achats réalisés par leurs clients. Ils devraient avoir largement assez de fonds pour se protéger contre ces attaques.

Et s’ils ne peuvent pas se protéger contre des attaques sur des réseaux qui constituent le cœur de leur business, je me dis qu’ils ne doivent pas faire grand-chose pour leur niveau de sécurité générale. Et ces mêmes clients continuent de donner, entre autres, leurs coordonnées de carte bancaire à ces entreprises.

Un discours qui placerait la Lizard Squad du côté des "gentils" hacktivistes, à ceci près que ces derniers cherchent en général à exposer des failles de sécurité dangereuses pour les données personnelles, pas simplement à bloquer l'accès à un service et à nuire à l'utilisateur, encore moins si dans le lot on compte des enfants en pleine période de Noël. Notez d'ailleurs que Cleary précise bien ne pas se considérer comme tel. Plus dérangeant encore, le discours n'est pas des plus cohérents. La Lizard Squad n'a pas prouvé un manque de sécurisation des données puisqu'elle n'a dérobé aucune information sensible. Quant à la faiblesse dénoncée des infrastructures... A force d'envoyer de l'eau sur une digue, on finit par atteindre son point de rupture, et succomber à un DDoS répond à la même logique.

L'argument est d'autant plus irrecevable si les propos rapportés à Dailydot.com sont avérés, propos selon lesquels les hackers prétendent avoir accès à une force de frappe inégalable à laquelle personne n'aurait pu résister. Soit cette assertion est fausse et Sony et Microsoft ont en effet succombé à un assaut "classique", soit elle est vraie et on se demande alors qui aurait pu y résister. Avec cette logique, on pourrait aussi bien leur reprocher de ne pas avoir pris de dispositions pour s'abriter d'une éruption solaire. Ni Sony ni Microsoft n'ont de raison de se tenir prêts à subir une attaque d'une envergure telle que décrite par la Lizard Squad. Le discours revient à vouloir larguer une bombe atomique sur une petite ville pour ensuite dénoncer l'incompétence des pompiers locaux à empêcher qu'elle soit rayée de la carte.

En outre, le fait que la Lizard Squad ait accepté de mettre fin à son attaque lorsque Kim Dotcom, le fondateur de Megaupload, a proposé de lui remettre pour 300.000 dollars de coupons donnant accès à son site d'upload crypté, Mega, enterre pour de bon toute volonté d'en faire des Robin des Bois virtuels.

De même, lors de l'attaque à l'encontre du site du Vatican, le compte Twitter du groupe affichait des messages passablement douteux inspirés par la dialectique de l'Etat islamique. La cohérence ne semble vraiment pas à l'ordre du jour. La motivation de la Lizard Squad pourrait donc être bien plus simple, malgré quelques arguments un peu bateaux : on l'a fait, parce qu'on le pouvait et qu'on voulait le montrer.

La guerre des gangs

A la suite des exactions de la Lizard Squad, plusieurs autres figures sont entrées dans la danse pour contrecarrer ses plans. L’intervention qui a fait le plus de bruit, c'est celle supposée d'Anonymous. L'ennui avec les messages en provenance d'Anonymous, c'est que la structure de l'organisation rend difficile de savoir à quoi s'en tenir. De nombreuses vidéos reprenant les codes de la communication du groupe ont fleuri sur le Web, affirmant qu'Anonymous comptait travailler de concert avec les autorités, notamment le FBI, pour faire tomber la Lizard Squad. L'idée était bien peu convaincante et a d'ailleurs été démentie. Depuis, le "non-groupe" de hackers s'est néanmoins manifesté, mais pas tant pour défendre la communauté des joueurs que son propre honneur, n'ayant pas du tout apprécié que la Lizard Squad, par bravade, s'amuse à les qualifier de "vendus au FBI" sur Twitter, pas plus que l'attaque du réseau Tor. Les hostilités ont débuté en vidéo avant de se poursuivre à l'écrit, sans réelles conséquences.

Autre intervenant, la Finest Squad qui aurait tenté de mettre fin aux attaques de la Lizard Squad avant de publier en ligne l'identité de certains membres du groupe. Là encore, échange de bons mots, je te hacke, tu me hackes, même pas cap. Anonymous pour sa part accuse la Finest Squad de n'avoir mené aucune action contre la Lizard Squad et de simplement chercher à récolter un peu de gloire, certains allant jusqu'à insinuer que la Finest Squad ne serait qu'un avatar de la Lizard Squad.

La guerre des mots est lancée et les trois entités s'en donnent à cœur joie, se menaçant à tour de bras. Au final, une trêve a été déclarée lors d'une "rencontre" entre les trois groupes et Kim Dotcom, une discussion qui a fait l'objet d'une vidéo rendue publique le 28 décembre, que vous pouvez consulter ci-dessous. On ne s’étendra pas plus en longueur sur ce conflit, en cours, ou plus en cours on ne sait plus trop, tant ses ramifications sont obscures, notamment quand on essaie de démêler le vrai du faux ou les divergences au sein même des différentes factions, à commencer par Anonymous et ses multiples branches.

Et maintenant ?

Maintenant... on attend. Si la Lizard Squad a promis de ne plus s'en prendre au PSN et au Xbox Live, son intérêt pour Tor montre qu'elle n'a pas l'intention d'en rester là. Le groupe est visiblement avide de sensations fortes autant que de notoriété et de psychodrame. Quant à la trêve avec Anonymous, rien ne dit qu'elle durera bien longtemps.