04 mai 2022

13min

Hacktivisme et élections !

Quand le débat d’idées devient source de menace sur le cyberespace

 

Entre élections présidentielles et législatives, nos experts cyber de onepoint continuent à échanger avec les étudiants des écoles spécialisées en Cyber. Cette semaine, nos experts sont allés à la rencontre des étudiants de l’Ecole de Guerre Economique (EGE) qui suivent les masters en Intelligence économiques et risques & Cybersécurité pour aborder les risques cyber liés à l’hacktivisme.

Le hacktivisme

Apparu au milieu des années 1990, le hacktivisme résulte de la contraction des termes “hacking” et “activisme”. A l’intersection de ces deux univers, il désigne d’abord l’utilisation non-violente d’outils numériques à des fins politiques et trouve ses fondements dans une double dynamique : d’une part, l’évolution des mobilisations citoyennes via la baisse de la légitimité des enceintes traditionnelles d’expression des discours politiques, d’autre part, le développement des technologies de l’information et la démocratisation de leur accès, plus de 90% des foyers disposant d’un accès à internet en France selon l’INSEE.

Cette évolution duale conduit une part des militants à utiliser un répertoire d’actions nouvelles basées sur l’usage d’internet afin de faire valoir leurs revendications, de diffuser leurs idées ou encore de lutter contre des positions politiques et leurs promoteurs. L’avènement du hacktivisme n’est toutefois pas sans défis. Quel cadre pour les actions de ces hackers-militants ? Comment et dans quelle mesure les États peuvent-ils agir afin de réguler cette pratique ?

Cet article aborde l’hacktivisme dans le cyber espace en ayant à l’esprit l’histoire du mouvement hacktiviste ainsi que ses différentes évolutions et manifestations.

À l’intersection du hacking et de l’activisme

a)   Genèse du phénomène, entre hackers et idéalistes

Le terme “hacktivisme” apparaît pour la première fois en 1995 sous la plume de l’auteur Jason Sack et désigne initialement une mouvance liée à la “désobéissance civile électronique” qui se manifeste par des actions ambigües légalement, voire illicites menées sur l’internet. L’hacktivisme se veut initialement promoteur d’un web libre, protecteur de la confidentialité des échanges et préservé de toute régulation étatique. Les premiers groupes d’hacktivistes, tels que L0pht, The Yes Men ou encore Cult of the dead Cow, bâtissent d’ailleurs leur réputation en codant des outils de cryptographie ou encore en prenant part en ligne à diverses actions de promotion des droits humains.

b)   Du cyber-militantisme au hacktivisme

Décrit initialement à la fois par les observateurs des prémices de l’internet que nous connaissons et par ses acteurs, l’hacktivisme continue d’avoir des contours flous, oscillant entre hacking et simple militantisme 2.0. En effet, le fossé est important entre des techniques comme les attaques DDoS, les vols de données ou les injections SQL et la création de sites ou la présence sur les réseaux sociaux.

Il est cependant communément admis que l’hacktivisme évolue dans une zone grise[1] du point de vue légal, et que les actions des pirates-militants, même si elles font l’objet d’une certaine sympathie de la part des diverses opinions publiques par le monde, restent pour la majorité d’entre elles ancrées dans un narratif proche des idéaux anarchistes. Ces derniers, couplés à la pratique hacktiviste, sont calqués sur les valeurs d’horizontalité, de liberté totale et d’absence de structure hiérarchique, tout en ayant pour but l’influence de l’opinion, soit en faveur d’une cause, soit contre les idéaux d’adversaires.

Les hacktivistes : justiciers ou simples pirates ?

Évoluant dans un entre-deux, l’ambiguïté des pratiques hacktivistes va de pair avec celle de leur positionnement : dépositaires des idéaux de liberté et de justice luttant unis contre l’arbitraire pour les uns, délinquants et cyber-voyous pour les autres, la figure de l’hacktiviste varie d’un extrême à l’autre en fonction de la position dans laquelle on se place.

On parvient cependant à identifier plusieurs catégories d’hacktivistes. Le collectif Anonymous[2] est sans conteste la plus célèbre d’entre elles. Il s’illustre depuis le début des années 2010 par des actions d’ampleur au mode opératoire parfois complexe et à la communication soignée, initialement au soutien de mouvements citoyens comme #OccupyWallStreet, voire même en s’immisçant dans des conflits, que ce soit entre Israël et la Palestine, ou plus récemment encore à l’encontre de chaînes télévisées russes dans le cadre du conflit en Ukraine.

L’objectif est d’abord médiatique, et les racines de la lutte sont ancrées dans le champ matériel, bien que la notoriété soit aussi source de croissance numérique et donc de dilution des idéaux originels du fait d’une diversité grandissante des profils de ses membres. Au-delà de collectifs citoyens tels qu’Anonymous ou Télécomix, ce dernier participant notamment à des actions humanitaires et en faveur de la liberté de la presse, d’autres acteurs du monde hacktiviste n’agissent pas sans être sponsorisés par des Etats, à l’instar de la Syrian Electronic Army ou de l’Iranian Cyber Army.

Ces derniers opèrent à la manière de proxies, davantage tournés vers une cyber-guérilla afin de compenser les faiblesses structurelles des pays qui les hébergent que vers la défense de valeurs qui leurs sont propres. Enfin, la figure du militant trouve également sa place dans la famille hacktiviste. C’est par exemple le cas de Julian Assange, fondateur de la plateforme Wikileaks, alimentée par des documents recueillis notamment via des cyberattaques. Ces catégories ne sont pas figées mais elles décrivent à grands traits les principales manifestations de l’hacktivisme qui, si elles n’ont parfois d’appétence pour la défense des intérêts démocratiques qu’en façade, s’inscrivent toutes dans une logique de contre-pouvoir.

Les hacktivistes : de multiples techniques pour des usages variés

Les hacktivistes présentent un risque majeur lié à la protection des systèmes d’information. Ils détournent la donnée, voire la rendent publique afin de servir une cause politique, idéologique ou sociale. L’objectif peut varier en fonction de l’enjeu et de l’effet final recherché : ce peut être une simple divulgation, la dénonciation de ce qui est perçu comme injuste ou encore la déstabilisation d’une personnalité publique. Pour se protéger face à une telle menace, il est donc nécessaire d’assurer la confidentialité, l’intégrité et la disponibilité de la donnée.

Le DDoS, l’arme du silence utilisée par les hacktivistes

Une des techniques favorites des hacktivistes est le DDoS, l’attaque par déni de service distribué. Très facile à mettre en œuvre, ce type d’action vise à rendre un système inaccessible par l’envoi d’un très grand nombre de requêtes simultanées. Le serveur n’étant pas capable de gérer autant d’informations entrantes, il cessera d’opérer, se rendant ainsi indisponible pour les internautes qui souhaiteraient y accéder. Les cibles privilégiées des mouvements hacktivistes sont les sites web et plus précisément les vitrines de gouvernements ou d’acteurs publics, à l’instar du site d’un candidat au Congrès américain, qui a fait l’objet d’une telle attaque en 2018. En fonction de l’envergure de l’attaque, les sites web peuvent se retrouver inaccessibles pendant plusieurs heures, voire plusieurs jours.

Onepoint, en tant qu’architecte de la transformation des entreprises et des acteurs publics, recommande la mise en place d’une architecture informatique robuste avec des règles de filtrage des connexions pour limiter ce type de menace. Ainsi, nous recommandons à nos clients d’avoir une architecture composée de plusieurs serveurs offrant le même service au client afin de répartir les points d’accès aux services et offres. En cas d’attaque, les clients subissent un ralentissement, plus acceptable qu’un arrêt de service.

Le défacement ou l’affichage sauvage à l’heure d’internet

Le défacement est également une pratique très répandue chez les hacktivistes. Le principe de l’attaque est de défigurer le visuel d’un site web en y insérant des messages, photos ou vidéos de revendication. L’objectif est toujours de diffuser un message de propagande, de déstabiliser la cible ou de sensibiliser à une cause.

Le 17 octobre 2021, un hacker au discours pro-turc commet une attaque par défacement sur le site internet de l’ancien président des USA Donald Trump. Cette attaque survient un an après que les sites de campagne de Joe Biden et de Donald Trump aient subi le même type de cyber-vandalisme, les dernières d’une série d’attaques visant de grandes entreprises et des entités politiques américaines.[3]

Faire ainsi passer un message de manière inattendue sur un support censé être contrôlé par la cible crée souvent un effet notoire dans la pensée collective, car il met en évidence une faiblesse et instille un sentiment de vulnérabilité. Un attaquant peut parvenir à ses fins par différents vecteurs comme l’exploitation de vulnérabilités logicielles, la déduction d’identifiants faiblement sécurisés ou par campagne de phishing, il est donc important d’assurer une veille et une détection efficace des vulnérabilités potentielles sur ses systèmes d’information pour diminuer au maximum l’occurrence sur ce type de menace.

Les 10 mesures de sécurité recommandées par onepoint pour limiter les risques de défacement :

  1. Appliquer les mises à jour recommandées pour votre CMS. Chaque mise à jour dite « de sécurité » apporte des améliorations notables du point de vue de la sécurité et bouche les failles de sécurité découvertes à ce jour.
  2. Faire des analyses de risques le plus en amont possible afin de respecter le principe du « security by design »
  3. Changer de mot de passe de manière fréquente sur les accès aux environnements de développement et de code du site web
  4. Tenir à jour le registre des accès aux environnements de développement
  5. Etablir une stratégie de tests de sécurité à intervalles réguliers accompagnée d’outils et référentiels reconnus (OWASP, par exemple)
  6. Identifier, Mettre à jour, désinstaller ou remplacer les extensions ou modules vulnérables
  7. Sécuriser le serveur et les différents répertoires habituellement visés par les hackers lorsque le site est hébergé en interne.
  8. Changer l’adresse de la console d’administration du site
  9. Effectuer une veille active sur le mailing et les moteurs de recherche pour identifier les usurpations illégitimes de sites web
  10. Sensibiliser ses collaborateurs et les développeurs à la nécessité d’appliquer et de respecter certaines bonnes pratiques de sécurité

Ces préconisations sont issues de nos expériences et de notre expertise sur les domaines du développement sécurisé.

Le doxxing, quand le droit à la vie privée cède à la cause

Afin de servir leurs desseins les hacktivistes n’hésitent pas, dans certains cas, à décrédibiliser un individu en usant de doxxing. Cette technique se base sur la publication de documents compromettants pour un individu. Une telle stratégie peut aussi comprendre l’insertion de faux documents incriminants parmi les données révélées afin d’amplifier la polémique, voire la créer de toute pièce. Le doxxing est fréquent car extrêmement aisé à mettre en œuvre. Dans le cadre du mouvement Black lives matter, les informations personnelles de nombreux policiers américains avaient été divulguées par des groupes d’hacktivistes anarchistes à la suite de l’assassinat de George Floyd en 2020. L’exposition de documents confidentiels est fortement préoccupante tant son impact sur la vie privée peut être dévastateur. Il est donc important de s’assurer de la confidentialité de ses données personnelles et d’anticiper un plan de réaction si un tel événement venait à se produire.

Onepoint recommande aux organisation de se baser sur des référentiels éprouvés tels que le RGPD (Règlement Général sur la Protection des données) pour garantir la confidentialité des données personnelles et d’avoir une approche par les risques. En effet, il convient d’adopter une vision globale et d’étudier les conséquences et les impacts sur les personnes concernées grâce à une Analyse d’Impact relative à la Protection des Données (AIPD) que propose la CNIL.Modification de l’Open Source, effet pervers de la liberté.

Méconnue mais redoutable, l’exploitation de l’ouverture des programmes open source, dont l’accès, la modification et le partage peuvent être ouverts à tous, constitue une arme supplémentaire aux mains des hacktivistes. En effet, de nombreux programmes et systèmes tirent parti de ce type de solutions, le plus fameux étant le système d’exploitation Linux.

Le principal avantage de l’open source est aussi sa plus grande faiblesse : pouvant être modifié par n’importe quel individu, le risque qu’un développeur malveillant insère un code malicieux dans une nouvelle version d’un module libre de droits n’est pas négligeable, une telle manifestation hacktiviste ayant d’ailleurs été constatée sur le module node-ipc à l’occasion du conflit ukrainien afin que soient effacés puis remplacés par des emojis “cœur” les fichiers des utilisateurs dont l’adresse IP était russe ou ukrainienne.

La forte prévalence de l’open source rend donc aujourd’hui ce risque significatif, d’où l’importance d’une surveillance renforcée des programmes libres, d’une identification des dépendances indirectes résidant dans les bibliothèques et les packages tiers utilisés pour rationaliser les développements, et de leurs mises à jour.

Le fait que les hacktivistes utilisent des méthodes variées afin de parvenir à un gain politique n’est cependant pas sans risques à l’égard du système démocratique, d’autant plus lors d’évènements majeurs comme les élections présidentielles. Ce scrutin étant historiquement le plus suivi de la Ve République, il se doit d’être préservé d’éventuelles manœuvres hacktivistes nocives, tout en respectant les droits et libertés fondamentaux, au premier chef desquels la liberté d’expression.

A) Hacktivisme et démocratie, une conciliation impossible ?

A la lumière des différentes menaces émanant d’hacktivistes, l’État organise son action afin de pouvoir tout à la fois garantir l’existence de modes d’expression démocratiques et sécuriser l’écosystème politique et a fortiori électoral en période de scrutin. D’une part, la limitation légale de l’hacktivisme est claire en France puisque la loi pénale, par les articles 323-1 à 323-8 du Code pénal, réprime entre autres le fait de s’introduire ou de se maintenir frauduleusement dans un système de traitement automatisé de données. Cela interdit de facto toute activité hacktiviste autre que le cyber-militantisme[4].

D’autre part, l’État a étoffé son dispositif de réponse en créant à l’été 2021 l’agence Viginum, dépendante du Secrétariat Général de la Défense et de la Sécurité Nationale et rattachée fonctionnellement à Matignon.

Ce nouvel organisme a la charge de la surveillance et de la lutte contre les ingérences numériques étrangères et trouve une certaine complémentarité avec les acteurs tels que la DGSI gérant les menaces susceptibles de venir de l’intérieur du pays. De manière plus générale, la sécurité des systèmes d’information reste l’apanage des partis politiques même si ces derniers peuvent être assistés par l’ANSSI afin d’assurer une capacité de réponse adéquate aux menaces existantes.

B) Futur de l’hacktivisme et convictions

La variété de profils observables parmi les hacktivistes conduit invariablement à la conclusion suivante : il n’y a pas une communauté hacktiviste, mais bien une multitude de groupes de tailles et de motivations variables : humanitaires pour les uns, politiques pour les autres, en défense de valeurs libertaires voire anarchistes ou à l’inverse partisanes de régimes autoritaires, force est de constater qu’il y a autant de types d’hacktivismes qu’il y a de causes à défendre. Le développement exponentiel du réseau de réseaux que constitue internet et la multiplication des protagonistes qui trouvent à s’y exprimer complexifie d’autant l’analyse que la question de l’attribution des actions des hacktivistes n’est pas sans poser d’épineuses difficultés. Qui plus est, le caractère versatile de certains des acteurs du monde hacktiviste ne contribue pas à clarifier un écosystème parfois difficile à éclaircir. Ainsi, si l’hacktivisme constitue un moyen d’expression, de lutte et de préservation de certaines libertés fondamentales, force est de constater qu’il reste dans certains cas une menace qu’il est nécessaire d’identifier et dont nous devons nous prémunir des effets les plus malicieux.

Ainsi, alors qu’il est de plus en plus essentiel de garantir ces libertés de débat et d’opinion, il devient vital de conserver nos principes démocratiques au travers de la mise en place de protections adéquates pour les cibles potentielles d’un hacktivisme plus pernicieux.

Onepoint préconise approche holistique et « By Design » de la sécurité

Dans un contexte accru de transformations numériques accéléré par une situation de crise récurrentes et systémiques, onepoint accompagne les transformations numériques des organisations d’un point de vue stratégique, technique et opérationnel en préservant une confiance numérique, garante de l’intégrité des actifs informationnels des acteurs des tissus administratif, économique et social de notre société.

Par des initiatives de sensibilisation, par l’intégration de la sécurité au plus tôt dans les projets, par l’accompagnement à la définition et l’implémentation d’architectures sécurisées, et l’augmentation des capacités de résilience, il est nécessaire de protéger les aspects techniques et humains de nos organisations pour leur permettre de parer à toute menace.

 

Merci à Raphaël Barrasset & Guillaume Brechler, étudiants de l’EGE (Ecole de Guerre Economique)

 

[1] Jonathan BOCQUET, « La culture pirate à l’épreuve de la forme partisane », Tracés. Revue de Sciences humaines, 26 | 2014

[2] Bœnisch, G. (2012). Frédéric Bardeau, Nicolas Danet, Anonymous : pirates informatiques ou altermondialistes numériques ?: Limoges, fyp Éd., coll. Présence/Monographie critique, 2011, 208 p.. Questions de communication, 21, 357-360.

[3] https://portail-ie.fr/analysis/3074/cybercriminalite-lexemple-du-defacement

[4] Doutriaux, C. (2013). Droit et piraterie virtuelle : les hacktivistes face à la loi. Sécurité globale, 24, 69-80.

Morgane Le Coguic

Consultante en cybersécurité

Alexis Bouin

Consultant en cybersécurité