Joseph Menn journaliste chez Reuters et spécialiste du sujet, vient de consacrer un livre au collectif, Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World (Cult of the Dead Cow: Comment le super-groupe de piratage original pourrait bien sauver le monde). En voici les principaux enseignements.
Come meet @josephmenn, myself, @window, and Omega (and possibly others) at Internet Archive in San Fran on the 18th of June, courtesy of EFF. https://t.co/UQ8a9L6ek3
— ⟨/hacker⟩ (@dildog) 6 juin 2019
We got a panel and some -mingling- to do. You want to mingle don't you?
Dans le sillage des attentats du 11 septembre, alors que l’espionnage américain redouble d’efforts, le gouvernement décide de faire appel à des hackers pour pirater les téléphones d'individus suspects ou installer des serveurs dans des points névralgiques, tel l’Irak. L’unité d’@stake, groupe emblématique du hacking du début des années 2000 est une émanation directe de cette initiative.
Si la grande majorité de ces pirates désirait servir une juste cause, ça n’a pas toujours été le cas. L’un de ses membres, Steven (un pseudonyme) se souvient que les décisions étaient parfois prises à la dernière minute et qu’il s’est retrouvé à faire des choses pour lesquelles il n’était pas psychologiquement prêt. «On a fait du mal à des gens», confie-t-il toujours traumatisé par l’expérience des années plus tard.
Anonymat et gros chèque
Les membres d’@stake vendaient leurs services à un entrepreneur travaillant pour le gouvernement sans trop savoir qui était la personne ou le pays visés ou passaient par des intermédiaires prétendant les faire uniquement intervenir pour le compte de gouvernements occidentaux, sans qu’il soit possible de le vérifier.
Ce que l'on sait de source sûre, c'est que plus le groupe garantissait l’anonymat, plus leur chèque était gros. Le secret entourant ces opérations permettait de protéger le collectif de hackers et d’empêcher que ses membres ne deviennent à leur tour des cibles potentielles.
Vulnérabilité «zero-day» et reconversions
L’une des missions confiées aux hackers consistait à traiter de nombreux cas de vulnérabilité dite «zero-day», nom donné aux failles d’un système informatique qui n'ont été décelées ni par les responsables de la conception de logiciels, ni par les fournisseurs d’antivirus ou par les personnes qui utilisent ce système.
Des failles qui sont autant de «portes d’entrées» idéales pour tout pirater. D’après les révélations du célèbre lanceur d’alerte Edward Snowden, la NSA (Agence nationale de la sécurité) y aurait largement eu recours.
Les membres d’@stake se sont ensuite assez naturellement reconverti·es dans la défense et la sécurité informatique. C’est le cas de Dave Aitel, un ancien de la NSA qui a commercialisé des kits d’espionnage à destination d’entreprises privées ou de gouvernements.
La hackeuse Window Snyder est quant à elle passée par Microsoft avant de rejoindre les rangs d’Apple. Elle y fut l’instigatrice de la technologie empêchant l’accès des iPhone aux services de police, mesure qui a beaucoup fait parler d’elle. Snyder travaille aujourd’hui chez Intel.
La faille d’Android
Autre ancien d’@stake, Alex Stamos a cofondé une boîte de consulting, iSec Partners. En 2008, celle-ci est approchée par Google qui s’apprête à sortir son système d’exploitation de téléphonie mobile Android.
Stamos et son équipe auraient alors repéré un problème majeur: espérant doubler Apple sur son propre terrain, Google avait prévu de donner le logiciel gratuitement aux opérateurs téléphoniques pour qu’ils puissent l’adapter à leur guise.
Le risque, selon iSec Partners, était que Google ne soit plus en mesure de fournir en temps voulu les correctifs à installer par les propriétaires de téléphones mobiles pour résoudre d’inévitables bugs de leur OS.
Selon Stamos, le concepteur d’Android Andy Rubdin aurait ignoré cette mise en garde –ce dernier dément. Ce qui est certain, c’est qu’aujourd’hui encore la faille pointée du doigt par l’ancien hacker demeure le grand problème d’Android. Quant à Stamos, il deviendra un temps le bruyant chef de la sécurité chez Facebook.
