Articles Tagués ‘attaque’

Hier, la police D’Etat italienne a publié un communiqué annonçant un coup de filet au sein de la « cellule italienne d’Anonymous » par le  Centro nazionale anticrimine informatico della polizia postale (Cnaipic) . 32 perquisitions ont été menés en Italie et dans le canton italophone suisse du Tessin menant à l’arrestation de 15 personnes dont 3 hackers. Il y aurait parmi eux 5 mineurs dont un de 15 ans qui menait les « tests de pénétration » pour s’assurer que les actions étaient réalisables. Les individus arrêtés sont accusés d’avoir pénétré frauduleusement dans des systèmes de traitement automatisé des données ainsi que d’avoir mené des attaques DDOS. La police italienne les accuse en l’occurrence d’avoir mené une attaque DDOS contre le site de l’Agcom, l’autorité italienne de régulation des communications ainsi que d’avoir accédé sans autorisation à sa base de données.

Anonymous a réagi à cette série de raids menées par la police italienne. Les anons italiens appellent à la solidarité face à cette vague d’arrestation (le communiqué original en anglais est accessible ici):

A L’ATTENTION DES CITOYENS DU MONDE,

Il y a quelques heures,  la police postale italienne a annoncé qu’elle a procédé à l’arrestation de plusieurs Anonymous italiens suite à des dépôts de plainte. Les médias ont répandu la nouvelle comme quoi le réseau italien d’Anonymous avait été entièrement démantelé et que le leader avait été arrêté.

Anonymous dément les propos des médias, rappelant que c’est impossible: Anonymous n’a pas été démantelé. Anonymous n’a ni leader ni structure. Tous les membres d’Anonymous opèrent au même niveau. Les individus arrêtés ne sont pas de « dangereux pirates informatiques » contrairement à ce que disent les médias. Ils ont été arrêtés alors qu’ils protestaient pacifiquement pour défendre leurs droits et les votres. Notre contestation sera plus forte que jamais.

Les Anonymous italiens ne sont pas tombés à cause d’une lâche tentative visant à les démanteler et déclarent que les actions de la police ne seront pas sans conséquence. Nous sommes là pour montrer qu’Anonymous est présent et continue à se battre. comme ce fut le cas par le passé et comme ça toujours le cas à l’avenir, pour défendre un internet libre. Les anons d’Italie appellent tous les citoyens d’internet et les anons du monde entier: nous avons besoin de vous !

Nous sommes Anonymous

Nous sommes légion

Nous n’oublions pas

Nous ne pardonnons pas

Redoutez-nous.

Le vendredi 20 mai, le parti pirate allemand a vu ses serveurs saisis par la police à la demande d’un juge français. Ce dernier enquêtait sur une attaque en projet contre EDF, cible de l’operation greenrights.

anon pirate

image de arstenicha

Le parti pirate allemand propose un service gratuit qui s’appelle piratenpad. Un pad est un espèce de fichier texte que chacun peut modifier en ligne. C’est un outil très pratique pour pouvoir collaborer à distance. Anonymous l’utilise pour mettre en ligne des infos collectées ou écrire des communiqués de presse. Les manifestants en Espagne, les « indignados » sont aussi adeptes de cet outil.

Les raisons avancées pour justifier la perquisition sont floues. On sait que l’enquête de la police française concerne une attaque DDOS contre EDF. Piratenpad a bien été utilisé par les Anonymous pour recueillir des informations sur edf dans un pad appelé « edf sucks » et écrire un communiqué de presse. Cependant, aucun des deux pads n’appellent à une attaque DDOS contre edf. Les coordonnées des sièges d’EDF dans plusieurs pays du monde ont aussi été recueillis dans le pad de l’opgreenrights. Là non plus rien d’illégal, envoyer des faxs ou des emails de protestation à EDF n’est pas illégal non plus. EDF a fait les frais d’une attaque DDOS le 18 avril mais les pads dédiés à EDF ont été écrits bien après.

On évoque aussi la publication d’une clé SSH sur un pad. Après m’être renseigné, je n’en ai vu aucune trace. Une clé SSH permet de s’authentifier sur un serveur:

La clé permet de garantir à un système qu’un utilisateur est bien celui qu’il prétend être… en deux mots : « Je jure et je prouve que c’est bien moi ».

L’authentification par clé fonctionne grâce à 3 composants :

  • Une clé publique : elle sera exportée sur chaque hôte sur lequel on souhaite pouvoir se connecter.
  • Une clé privée : elle permet de prouver son identité aux serveurs.
  • Une passphrase : Permet de sécuriser la clé privée (notons la subtilité, passphrase et pas password… donc « phrase de passe » et non pas « mot de passe »).

La sécurité est vraiment accrue car la passphrase seule ne sert à rien sans la clé privée, et vice-versa. (source: fedora-fr)

clé SSH

exemple de clé SSH, image de fedora-fr

On peut se demander pourquoi quelqu’un aurait publié une clé d’authentification à un serveur en ligne. L’utilisation du hive nécessite la publication d’une adresse irc que les individus reprennent dans le LOIC pour faire de leur un machine un bot sous les ordres de la personne qui coordonne l’attaque.

Ce qui est notable c’est la disproportion de l’ampleur de la perquisition par rapport aux faits reprochés. Tous les serveurs du parti pirate allemand ont été mis temporairement hors ligne alors qu’un seul était concerné. A deux jours des élections du parlement du land de Brême, le site du parti pirate allemand devenait indisponible.

Piratenpad est aussi utilisé par les manifestants en Espagne que l’Etat a cherché à faire taire avant les élections locales. L’outil collaboratif du pirate allemand est aussi utilisé pour les opérations de soutien aux manifestants dans les pays arabes.

Anonymous a publié en conséquence un communiqué de presse pour réagir aux évènements:

Très cher Peuple,

En se réferant aux restrictions de la police allemande contre les serveurs du Parti Pirate Allemand juste avant les élections locales à Bremen ce vendredi 20 Mai 2010 Anonymous se sent obligé de donner une prise de position.
Sous prétexte que sur les pads présents sur le système se trouvaient des informations sur une attaque prévue contre le groupe nucléaire EDF, ceux-ci ont été coupés et réquisitionnés pour analyse. De ce fait le Parti Pirate fut simultanément coupé de l’un de ses principaux outils de communication.
Cette action s’est faite connaître sous le nom Servergate et s’est rapidement propagée en tant qu’information choquante. Anonymous reconnaît en elle une atteinte à la démocratie et à la liberté de penser.

Comme annoncé sur Twitter, le Parti Pirate Espagnol a également utilisé les Pads pour l’organisation des manifestations en Espagne, qui ont été ainsi temporairement déconnectées du réseau, et ce fut donc un obstacle pour le processus démocratique en cours en Espagne. Certaines de nos opérations furent également touchées, comme par exemple OperationIran qui s’efforce de lutter contre la pression du régime en Iran et d’y aider les habitants.

« SpiegelOnline » a publié le 20 Mai un article disant qu’un groupe du mouvement Anonymous voulait attaquer une centrale nucléaire et que la police dut couper les serveurs afin d’éviter cette attaque terroriste. « Welt » et « TAZ » les ont suivis avec des articles similaires.
Nous méprisons profondément cette propagation délibérée de désinformation, mais notre but n’est pas de restreindre la liberté de la presse; en fait nous voulons donner des réponses précises aux critiques.
Anonymous a légitimement attaqué la présence internet de EDF par une « attaque par déni de service » le 18 avril dans le cadre de #OpérationGreenrights, mais il est impossible de prendre le contrôle d’une centrale nucléaire ou d’infliger des dommages de toute nature de cette manière. Il est également contraire au bon sens de penser que l’infrastructure hautement critique d’une centrale soit utilisée avec une connexion directe à internet.

Des cyberactivistes de la résistance collective Anonymous ont attaqué en réponse la présence internet de la police allemande et de la Bundeskriminalamt. Cela n’a cependant pas affecté la poursuite de délinquants, cela n’a jamais été l’intention. En raison de la gravité de leurs actes contre le Parti Pirate Allemand ces autorités furent rapidement la cible de courants libres au sein des Anonymous. Il n’existe cependant encore aucune action collective.

Résumons: La police allemande a, en raison d’une ancienne action de protestation contre le site internet de EDF, paralysé un parti démocratique juste avant des élections, gêné le mouvement démocratique du peuple espagnol et perturbé des opérations d’Anonymous contre des régimes au Moyen-Orient. Dans l’ensemble #Servergate a donc été un jour très peu démocratique dans l’histoire de nos amis et soutiens.

Nous espérons ne pas avoir à réagir à d’autres actions comme celle-ci

We are Anonymous.
We are Legion.
We do not forgive.
We do not forget.
Expect us !

Pour un contenu d’un pad dont l’illégalité du contenu semble être fort douteuse, on ne peut que condamner le comportement tout simplement disproportionné de la police allemande qui s’est livrée à une perquisition hors-norme.

Anonops a été piraté par un co-administrateur qui a voulu prendre le pouvoir au sein du site (voir l’article précédent à ce sujet).

Ryan Cleary, alias Viral (ou V sur le tchat d’Anonops), n’est pas un inconu. Il avait mené une attaque DDOS contre 4chan et le blogger Mike Abundo en 2008 qu’il avait essayé de faire chanter:

T’es sérieux là? Retire de ton site tout ce que t’as dit sur nous où il sera définitivement hors service. Tu ne peux pas empêcher les attaques DDOS, et t’as surement pas les moyens d’encaisser 70 gbps [gigabits par seconde], donc si j’étais toi, j’obéirais (source: 4chan DDoS Suspect Threatens Me, the Mike Abundo Effect, 21/08/2008)

Mike Abundo n’a pas cédé au chantage et son blog a été indisponible quelques temps suite à l’attaque DDOS de Ryan. Cette fois-ci, le gamin de l’Essex (âge à peine de 17 ans) est passé à la vitesse supérieure en usant de ses droits d’admin pour collecter toutes les IP et en faisant des attaques DDOS contre les IP collectées.

anonops défacé

anonops défacé: anonops.net, anonops.ru et anonops.li mènent à ce site google créé par Ryan et ses partisans où l'on peut trouver les logs des utilisateurs de l'irc d'anonops et des messages privés

Dans une interview donné au webzine thinq, Ryan et ses partisans ont expliqué pourquoi ils ont piraté anonops. Ils reprochent à la communauté d’être trop centralisée avec à son sommet un channel irc où se retrouvait une dizaine de personnes. Selon Ryan, » Il y a une hiérarchie. Tout le pouvoir se concentre dans ce channel où se décide les attaques DDOS« .

Ryan a reconnu avoir diffusé les adresses IP et a estimé que c’était « regrettable mais nécessaire« . Selon lui, « c’était le seul moyen de montrer aux utilisateurs à quel point anonops était peu sur« .

Ryan et ses partisans reprochent aussi à l’équipe d’anonops d’avoir mené des « opérations inutiles » et se montrent particulièrement critiques vis à vis de l’opération sony. Cependant, ils ont affirmé à Thinq qu’ils ne croient pas qu’Anonymous est derrière l’attaque du PSN. J’en profite aussi pour rajouter que contrairement à des rumeurs qui circulent, Ryan n’est pas derrière l’attaque du PSN non plus. (voir le démenti de l’attaque du PSN). Ryan affirme aussi détenir « l’essentiel de la puissance de frappe » qui a servi à l’attaque DDOS contre le site de Sony. Anonymous n’a jamais cherché à nuire aux joueurs. Anonymous s’en est pris à l’entreprise sony en attaquant son site. Confondre l’attaque DDOS du site de sony avec l’intrusion au sein du PSN revient à assimiler un sit-in pacifique à un cambriolage.

L’ancienne équipe d’anonops confirme cet état de fait dans un autre article de thinq, soutenant que Ryan détient une vrai machine de guerre. Il contrôlerait un botnet composé de 800 000 machines. C’est comme « négocier avec quelqu’un qui a un bazooka sur son épaule » explique un anon. L’équipe légitime d’anonops rappelle au passage que Ryan et ses complices, contrairement à ce qu’ils ont dit au webzine thinq, étaient particulièrement impliqués dans l’operation sony qui organisait l’attaque DDOS contre le site de Sony (rien à avoir avec l’intrusion au sein du PSN).

Il est à noter aussi que les accusations de Ryan sont fausses. Il est certes vrai qu’il existait des membres d’anonops qui diposait d’un certain aura mais dire que toutes les opérations étaient dirigées depuis un seul channel, qui était en réalité celui de la modération est faux. Pour l’avoir vu moi même, je peux dire qu’effectivement, il suffisait de créer son propre channel, de contacter un admin ou op, et de ramener du monde. Anonops était un endroit ouvert au débat d’idée où chacun pouvait s’exprimer librement. Les idées fusaient de partout et quand une ralliait suffisamment de monde, une opération pouvait s’organiser. L’avantage d’anonops était le nombre important d’utilisateurs connectés à tout moment, les opérations pouvaient marcher car il y avait toujours des gens connectés à tout moment n’importe où sur la planète. Le travail collaboratif sur les pads pour préparer les opérations s’avérait efficace. Une fois que tout avait été débattu et toutes les informations rassemblées dans des pads, l’opération pouvait être lancée.

L’attitude immature de Ryan et de ses complices est aussi extrêmement critiquable. Diffuser les IP et le nom du FAI revient potentiellement à mettre des utilisateurs en danger. Ce ne sont pas les hackers chevronnés qui se feront avoir mais des internautes curieux qui venaient visiter par hasard le channel irc ou d’autres qui n’avaient pas pu encore installer un système de protection efficace à travers un proxy ou un vpn. Cependant, une IP identifie une machine et non une personne. Seul le FAI peut identifier l’IP et seulement après qu’une plainte ait été déposée:

Un numéro « IP » seul ne permet pas d’identifier une personne. Seuls les fournisseurs d’accès et de services sur Internet connaissent les titulaires des adresses IP. Dans des cas exceptionnels, pour les nécessités d’une enquête, les enquêteurs peuvent demander l’identification d’un numéro IP. Ils doivent obtenir l’autorisation d’un Procureur de la République. (source: escrocs.net)

Néanmoins, on ne sait jamais, il peut toujours se trouver quelqu’un pour faire un usage malveillant de ces données qui nuirait aux utilisateurs dont leur IP et le nom de FAI ont été révélés.

Dans leur dernier communiqué publié sur anonops.in à 00h04 GMT le 10 mai, l’ancienne équipe d’anonops dit que les fonctions basiques du site devaient être accessibles de nouveau d’ici 12h, or ce n’est pas le cas.

Certains lecteurs du blog de l’opération leakspin ont peut être constaté que le blog était inacessible le matin du jeudi 3 mars, heure française. La plateforme wordpress était aussi extrêmement lente. Tout s’explique puisque la plateforme wordpress. com a subi une attaque DDOS massive. WordPress est réputé pour sa solidité vis à vis des attaques DDOS puisque pour mettre hors ligne un blog, il faut rendre inacessible toute la plateforme qui contient près de 18 millions de blogs et des centres de serveur importants. C’est pour ça que la plateforme wordpress.com est très apprécié par certains hackers, comme jester par exemple qui est un hacker anti-wikileaks et anti-anonymous. De nombreux blogs anonymous comme le notre sont aussi sur cette plateforme.

schéma attaque DDOS

une attaque DDOS consiste à envoyer des milliers de requête pour saturer le serveur. Très souvent, des ordinateurs contrôlés à distance appelés "zombies" sont utilisés. Ce procédé est très utilisé par les anonymous pour mettre des sites hors ligne. Petite précision: les anonymous s'attaquent aux sites de gouvernements et organisations malfaisantes qui ne respectent pas les droits individuels. Les anonymous n'attaquent jamais les médias et les plateformes de blog. Surtout que beaucoup d'anons ont leur blog sur wordpress. Image prise sur team-aaa.com

Matt Mullenweg, le fondateur de WordPress a déclaré hier dans un e-mail au journal en ligne cnet:

Il y a une attaque DDOS en cours qui a été suffisamment importance pour affecter le fonctionnement de trois de nos centre de données à Chicago, San Antonio et Dallas[…]. C’es la plus grande et la plus longue attaque que nous avons connu en six années d’existence.

Le fondateur de wordpress a suspecté des motivations politiques derrière ces attaques:

Nous suspectons une attaque avec des motivations politiques contre un de nos blogs non-anglophones but mais nous sommes toujours en train d’enquêter et nous n’avons aucune certitude pour l’instant.

C’est à ce titre que cette attaque DDOS d’une ampleur gigantesque de « plusieurs gigabits par seconde et de dizaines de millions de paquets par seconde« .  Il est probable que des gens aient mis les moyens derrière avec une détermination sans failles pour mener une attaque aussi longue contre une plateforme absolument gigantesque.

Nous regarderons de près les résultats de l’enquête.