Dave Aitel, Window Snyder, Alex Stamos, anciens d'@stake, ont rejoint des grandes entreprises ou fondé des sociétés de consulting.  | Ed Ivanushkin /  Flickr
Dave Aitel, Window Snyder, Alex Stamos, anciens d'@stake, ont rejoint des grandes entreprises ou fondé des sociétés de consulting.  | Ed Ivanushkin /  Flickr

L'histoire d'@stake, groupe de hackers et cheville ouvrière de l’espionnage américain

Des membres de ce collectif très actif auprès du gouvernement américain au début des années 2000 se sont reconverti·es dans la cybersécurité.

Joseph Menn journaliste chez Reuters et spécialiste du sujet, vient de consacrer un livre au collectif, Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World (Cult of the Dead Cow: Comment le super-groupe de piratage original pourrait bien sauver le monde). En voici les principaux enseignements.

Dans le sillage des attentats du 11 septembre, alors que l’espionnage américain redouble d’efforts, le gouvernement décide de faire appel à des hackers pour pirater les téléphones d'individus suspects ou installer des serveurs dans des points névralgiques, tel l’Irak. L’unité d’@stake, groupe emblématique du hacking du début des années 2000 est une émanation directe de cette initiative.

Si la grande majorité de ces pirates désirait servir une juste cause, ça n’a pas toujours été le cas. L’un de ses membres, Steven (un pseudonyme) se souvient que les décisions étaient parfois prises à la dernière minute et qu’il s’est retrouvé à faire des choses pour lesquelles il n’était pas psychologiquement prêt. «On a fait du mal à des gens», confie-t-il toujours traumatisé par l’expérience des années plus tard.

Anonymat et gros chèque

Les membres d’@stake vendaient leurs services à un entrepreneur travaillant pour le gouvernement sans trop savoir qui était la personne ou le pays visés ou passaient par des intermédiaires prétendant les faire uniquement intervenir pour le compte de gouvernements occidentaux, sans qu’il soit possible de le vérifier.

Ce que l'on sait de source sûre, c'est que plus le groupe garantissait l’anonymat, plus leur chèque était gros. Le secret entourant ces opérations permettait de protéger le collectif de hackers et d’empêcher que ses membres ne deviennent à leur tour des cibles potentielles.

Vulnérabilité «zero-day» et reconversions

L’une des missions confiées aux hackers consistait à traiter de nombreux cas de vulnérabilité dite «zero-day», nom donné aux failles d’un système informatique qui n'ont été décelées ni par les responsables de la conception de logiciels, ni par les fournisseurs d’antivirus ou par les personnes qui utilisent ce système.

Des failles qui sont autant de «portes d’entrées» idéales pour tout pirater. D’après les révélations du célèbre lanceur d’alerte Edward Snowden, la NSA (Agence nationale de la sécurité) y aurait largement eu recours.

Les membres d’@stake se sont ensuite assez naturellement reconverti·es dans la défense et la sécurité informatique. C’est le cas de Dave Aitel, un ancien de la NSA qui a commercialisé des kits d’espionnage à destination d’entreprises privées ou de gouvernements.

La hackeuse Window Snyder est quant à elle passée par Microsoft avant de rejoindre les rangs d’Apple. Elle y fut l’instigatrice de la technologie empêchant l’accès des iPhone aux services de police, mesure qui a beaucoup fait parler d’elle. Snyder travaille aujourd’hui chez Intel.

La faille d’Android

Autre ancien d’@stake, Alex Stamos a cofondé une boîte de consulting, iSec Partners. En 2008, celle-ci est approchée par Google qui s’apprête à sortir son système d’exploitation de téléphonie mobile Android.

Stamos et son équipe auraient alors repéré un problème majeur: espérant doubler Apple sur son propre terrain, Google avait prévu de donner le logiciel gratuitement aux opérateurs téléphoniques pour qu’ils puissent l’adapter à leur guise.

Le risque, selon iSec Partners, était que Google ne soit plus en mesure de fournir en temps voulu les correctifs à installer par les propriétaires de téléphones mobiles pour résoudre d’inévitables bugs de leur OS.

Selon Stamos, le concepteur d’Android Andy Rubdin aurait ignoré cette mise en garde –ce dernier dément. Ce qui est certain, c’est qu’aujourd’hui encore la faille pointée du doigt par l’ancien hacker demeure le grand problème d’Android. Quant à Stamos, il deviendra un temps le bruyant chef de la sécurité chez Facebook.

En ce moment

Le survivalisme des ultra-riches, les miracles du CBD, un open-space de l'enfer, une semaine sur korii

Et Cætera

Le survivalisme des ultra-riches, les miracles du CBD, un open-space de l'enfer, une semaine sur korii

De quoi bien occuper votre dimanche.

Du mieux pour les trottinettes, du rififi dans la vape, les deepfakes pour les nuls, aujourd'hui sur korii.

Et Cætera

Du mieux pour les trottinettes, du rififi dans la vape, les deepfakes pour les nuls, aujourd'hui sur korii.

(Et plein d'autres choses aussii.)

Les deepfakes pour les nuls, c'est pour (très) bientôt

Tech

Les deepfakes pour les nuls, c'est pour (très) bientôt

Des deepfakes open source et prêts à l'emploi, c'est pour demain et ils risquent d'en rajouter dans le chaos existant.