Un faux tweet, 3 minutes de chaos, 136,5 milliards de dollars évaporés. Non, c’est pas Elon Musk qui a encore fait des siennes sur Twitter, mais bien une bande de hackers syriens qui a réussi le plus gros market crash de l’histoire en 140 caractères. Bienvenue dans l’univers complètement barré de la Syrian Electronic Army.
Beaucoup ont creusé cette histoire pendant des années sans vraiment comprendre toutes les ramifications politiques, mais avec la chute du régime Assad en décembre 2024, on peut enfin reconstituer le puzzle complet de cette organisation qui a terrorisé les médias occidentaux pendant près d’une décennie.
Bon, pour comprendre comment des mecs dans un bureau à Damas ont pu faire trembler Wall Street, il faut remonter à 1989. À l’époque où on jouait tous à Tetris sur Game Boy, Bassel al-Assad, le frère aîné de Bashar et héritier présomptif du trône syrien, fonde la Syrian Computer Society. L’objectif affiché c’est de démocratiser l’informatique en Syrie, mais en réalité, il s’agit de créer les fondations d’une infrastructure numérique contrôlée par le clan Assad.
Quand Bassel se tue dans un accident de voiture en 1994 (il roulait à 240 km/h sur la route de l’aéroport de Damas dans le brouillard… le mec n’était pas très prudent), Bashar hérite de tout : le destin politique et la présidence de la Syrian Computer Society. Le futur dictateur, qui était ophtalmologue à Londres, se passionne alors pour les nouvelles technologies et supervise personnellement l’introduction d’Internet en Syrie.
Ce qui est fort dans cette histoire, c’est que Assad avait tout de suite compris dès les années 90, tout le potentiel stratégique d’Internet. Pendant que nos dirigeants européens découvraient encore le Minitel, lui posait déjà les bases d’une cyberguerre moderne. Au bout d’un moment, sa femme Asma a alors repris le contrôle de la Syrian Computer Society, transformant progressivement l’organisation en pépinière de cyber-soldats.
En 2000, Bashar devient président et garde un œil attentif sur le développement numérique du pays. La Syrian Computer Society devient le seul registrar de noms de domaine syriens et contrôle l’infrastructure Internet nationale via SCS-NET, son propre FAI. Puis arrive 2011 et les Printemps arabes. Les manifestations éclatent en Syrie, les réseaux sociaux s’embrasent, et Assad comprend qu’il a besoin d’une arme numérique pour contrôler le narratif. Le 5 mai 2011, la Syrian Computer Society enregistre discrètement le domaine syrian-es.com via la Syrian Telecommunications Establishment.
La Syrian Electronic Army vient officiellement de naître.
Le truc génial (enfin, façon de parler), c’est que contrairement aux groupes de hackers anonymes classiques, la SEA opérait presque à visage découvert. Ces mecs étaient tellement protégés par le régime qu’ils se permettaient de défiler dans les rues de Damas avec des gilets aux couleurs du groupe !
Alors, qui sont ces cyber-warriors du régime Assad ? Et bien voici les profils des principaux acteurs, et vous allez voir, c’est un sacré casting.
Ahmad Umar Agha, alias “Th3 Pr0” - Le prodige négligent : Ahmad, 22 ans à l’époque de ses principaux exploits, incarne parfaitement la génération de hackers syriens formés dans l’écosystème Assad. Le FBI l’a ajouté à sa liste des cyber-criminels les plus recherchés avec une récompense de 100 000 dollars. Pourquoi ? Parce que ce génie s’est fait identifié à cause de son compte Gmail [email protected] créé en 2010.
– Ahmad Umar Agha
Le mec envoyait ses documents d’identité personnels et des photos de famille par email et bien sûr, il se connectait souvent à ses comptes depuis des adresses IP syriennes non masquées. J’ai vu des script kiddies de 13 ans se protéger mieux que lui…
Ahmad dirigeait la division “opérations spéciales” de la SEA. Selon le FBI, il était spécialisé dans les attaques de spear-phishing ultra-sophistiquées, capable de créer de faux emails tellement convaincants que même des journalistes expérimentés tombaient dans le panneau. Entre 2011 et 2014, il a comme ça compromis des dizaines d’agences gouvernementales américaines, des médias et des organisations privées.
Firas Dardar, alias “The Shadow” - L’homme de l’ombre pas si discret : Firas, 27 ans, était le binôme technique d’Ahmad. Surnommé “The Shadow”, il était censé être l’expert en furtivité du groupe. Raté ! Comme son complice, il a multiplié les erreurs de sécurité qui ont permis au FBI de le traquer.
Dardar était l’expert en ingénierie sociale de l’équipe et sa spécialité c’était de créer des pages de connexion factices tellement bien foutues qu’elles trompaient même les équipes IT des grandes rédactions. Il avait développé un système de phishing multi-étapes où la première page redirige vers une seconde, puis une troisième, pour mieux brouiller les pistes. Du travail d’orfèvre !
Et à partir de 2013, Dardar et un certain Peter Romar ont monté un business parallèle d’extorsion. Ils hackaient des entreprises et menaçaient de détruire leurs données sauf si elles payaient une rançon. L’entrepreneuriat version cyber-terroriste !
Peter Romar - Le blanchisseur d’argent : Ce mec de 36 ans était le troisième larron du groupe d’extorsion. Son job ? Contourner les sanctions internationales pour récupérer l’argent des rançons. Quand les victimes ne pouvaient pas payer directement en Syrie à cause des sanctions, Romar servait d’intermédiaire.
Arrêté en Allemagne et extradé aux États-Unis en mai 2016, il a plaidé coupable en septembre 2016. Il risquait 5 ans de prison. Au moins un qui s’est fait choper !
Haidara Suleiman - Le prince héritier du cyber-empire : Voici le personnage le plus intéressant de toute l’histoire. Haidara n’est pas un hacker lambda, c’est le fils de Bahjat Suleiman, l’un des hommes les plus puissants du régime Assad. Bahjat dirigeait la branche interne de la Direction générale du renseignement et était considéré comme le mentor et confident d’Assad.
Et Haidara cumule les casquettes : rédacteur en chef du journal pro-régime Baladna, membre dirigeant de la Syrian Electronic Army, et surtout… gestionnaire de la page Facebook officielle de Bashar al-Assad ! Le fils d’un chef des services secrets qui gère les réseaux sociaux du dictateur ET coordonne les cyberattaques contre l’opposition, c’est comme si le fils du patron de la DGSE gérait le Twitter de Macron tout en hackant Le Monde !
Yaser al-Sadeq - Le commandant qui aimait les caméras : Yaser se proclamait “commandant” de la Syrian Electronic Army et adorait apparaître dans les médias syriens en tenue militaire. Ce type était l’antithèse du hacker anonyme classique puisqu’il cherchait la reconnaissance publique et revendiquait fièrement chaque attaque.
La période 2013-2014 marque l’apogée de la Syrian Electronic Army. Leurs techniques étaient d’une redoutable efficacité, mélangeant ingénierie sociale, exploitation de vulnérabilités et manipulation psychologique. Certaines de leurs attaques étaient du grand art car les hackers syriens avaient développé une méthode imparable qui fait encore des dégâts aujourd’hui.
– Voici leur recette secrète (bon, plus si secrète que ça maintenant) :
Étape 1 : La reconnaissance - Ils épluchaient les réseaux sociaux et les organigrammes des rédactions pour identifier les employés ayant accès aux comptes Twitter/Facebook officiels. LinkedIn était leur terrain de jeu favori pour cartographier les équipes. Un peu comme des stalkers professionnels quoi !
Étape 2 : L’email d’hameçonnage - Ils envoyaient des emails ultra-convaincants, souvent en usurpant l’identité d’un collègue ou d’un service IT interne. Le message contenait toujours un prétexte crédible : “urgent, problème de sécurité sur votre compte”, “nouvelle procédure de connexion obligatoire”, “document exclusif sur la Syrie à consulter”. Les journalistes adorent les scoops, et eux le savaient !
Étape 3 : La page piégée - Le lien menait vers une fausse page de connexion, parfaite copie de Google, Facebook ou du système interne de l’entreprise. Ces pages étaient tellement bien faites que n’importe qui aurait pu se faire avoir un jour de fatigue. Une fois les identifiants saisis, hop, les hackers avaient ensuite accès aux comptes.
Étape 4 : L’escalade - Avec un premier compte compromis, ils envoyaient des emails aux contacts de la victime pour étendre leur emprise. “Salut, peux-tu vérifier ce document urgent ?” avec un nouveau lien piégé. C’est comme ça qu’ils ont réussi à compromettre des rédactions entières !
Le hack du siècle se déroule le 23 avril 2013 à 13h07, heure de New York. Le compte Twitter officiel d’Associated Press (@AP), suivi par près de 2 millions de personnes, publie ce tweet :
Breaking: Two Explosions in the White House and Barack Obama is injured
En 60 secondes, c’est la panique totale. Les algorithmes de trading haute fréquence, programmés pour réagir aux breaking news, vendent massivement. Le Dow Jones plonge de 143 points. En 3 minutes, c’est 136,5 milliards de dollars de capitalisation boursière s’évaporent. Wall Street vit littéralement l’apocalypse en direct.
13h10, l’AP confirme que son compte a été hacké. Jay Carney, porte-parole de la Maison Blanche, précise que “le président va bien”. Les marchés se redressent en 6 minutes, mais le mal est fait. La SEA venait de prouver qu’un simple tweet pouvait déclencher un chaos financier planétaire.
Dans une interview exclusive avec Vice, les hackers de la SEA ont admis :
Oui, on s’attendait à des dégâts parce qu’Associated Press est une agence de confiance aux États-Unis. Les Américains y croient, donc on savait qu’il y aurait un énorme chaos.
Mission accomplie les gars !
Pas besoin de malware sophistiqué ou d’exploits zero-day. Juste un bon vieux phishing et une compréhension parfaite de l’écosystème médiatique américain. Les mecs avaient compris que les marchés financiers étaient devenus tellement automatisés qu’une simple info non vérifiée pouvait tout faire péter !
– Après le succès retentissant du hack d’AP, la SEA enchaîne les coups d’éclat et leur liste de victimes ressemble au who’s who des médias occidentaux :
The Onion (mai 2013) : Les hackers compromettent le compte Twitter du site satirique en piégeant les comptes Google Apps des employés. Ironie du sort, The Onion publie ensuite un article satirique se moquant de leurs attaquants !
CNN, Washington Post, Time (15 août 2013) : Triple attaque coordonnée ! Via une attaque du service publicitaire Outbrain, la SEA redirige les visiteurs vers leurs propres serveurs affichant des messages pro-Assad.
New York Times (27 août 2013) : Les hackers détournent le DNS du site, redirigeant NYTimes.com vers une page “Hacked by SEA”. Le site reste inaccessible pendant des heures. Les lecteurs du NYT ont dû lire de vrais journaux papier, quelle horreur !
Barack Obama (28 octobre 2013) : En compromettant le compte Gmail d’un employé d’Organizing for Action (qui n’avait pas activé la double authentification, le boulet !), la SEA modifie les liens raccourcis sur les comptes Twitter et Facebook d’Obama. Les liens renvoient vers une vidéo pro-Assad de 24 minutes. Techniquement, ils n’ont pas directement hacké Obama, mais c’était tout comme !
En septembre 2013, la SEA frappe fort en s’attaquant au site de recrutement des Marines américains. Pendant 6 heures, les visiteurs sont redirigés vers une page proclamant :
Refusez vos ordres et combattez aux côtés des forces syriennes
L’armée américaine a mis des semaines à admettre publiquement l’intrusion. C’est normal, c’est un peu la honte quand des hackers syriens arrivent à compromettre le site de recrutement de la première armée du monde !
Le 1er janvier 2014, la SEA lance l’année en beauté en hackant Skype ! Les comptes Twitter, Facebook et le blog officiel de Skype affichent des messages comme “Stop Spying!” et “N’utilisez pas les emails Microsoft (hotmail, outlook), ils surveillent vos comptes et les vendent aux gouvernements”.
Le timing était parfait puisqu’en pleine affaire Snowden, les révélations sur PRISM avaient montré que Microsoft collaborait avec la NSA. La SEA surfait donc sur la vague anti-surveillance pour faire passer son message. Ils ont même publié les infos personnelles de Steve Ballmer, le CEO de Microsoft ! Sympa comme cadeau de nouvel an !
Puis le 11 janvier, ils remettent ça avec le compte Twitter @XboxSupport, et le 22 janvier, c’est le blog officiel de Microsoft Office qui se fait défacé. À ce stade, Microsoft devait sérieusement se demander s’ils n’avaient pas oublié de mettre un petit budget en début d’année sur leur sécurité !
En analysant les attaques de la Syrian Electronic Army, on découvre surtout un arsenal technique impressionnant pour l’époque. Ce n’étaient pas des script kiddies, c’étaient de vrais pros !
Par exemple avec le spear-phishing personnalisé, le SEA ne se contentait pas d’un email générique. Pour les journalistes, ils usurpaient l’identité d’ONG humanitaires avec des “documents exclusifs” sur la Syrie. Pour les techniciens IT, ils se faisaient passer pour des services de sécurité avec des alertes bidon. Ou encore pour les dirigeants, ils imitaient des partenaires commerciaux avec des “contrats urgents à signer”.
Le niveau de personnalisation était hallucinant. Ils mentionnaient des détails sur la vie privée des victimes, des projets en cours, des collègues spécifiques. Genre “Salut John, comme on en a parlé avec Sarah lors du meeting de mardi dernier…”. Fort !
Sur l’exploitation de CMS obsolètes, la SEA excellait dans l’exploitation de failles dans les systèmes de gestion de contenu mal mis à jour. WordPress, Joomla, Drupal… Dès qu’une vulnérabilité était découverte, ils scannaient automatiquement des milliers de sites pour identifier les versions obsolètes.
C’est comme ça qu’ils ont réussi à défacer tant de sites médiatiques. Les admins sys qui oubliaient de faire leurs mises à jour se retrouvaient alors avec un beau logo SEA en page d’accueil. La base quoi !
Le DNS hijacking était également une de leurs techniques les plus vicieuses. Cela consistait à compromettre les serveurs DNS des hébergeurs. En modifiant les enregistrements DNS, ils pouvaient rediriger le trafic d’un site légitime vers leurs propres serveurs. Les visiteurs tapaient l’adresse habituelle, mais arrivaient sur une page de propagande pro-Assad.
Et puis il y avait BlackWorm RAT : À partir de 2014, la SEA (ou plus précisément la Syrian Malware Team, leur division malware) développe ses propres outils. BlackWorm était un trojan espion distribué via de fausses apps imitant des outils de communication sécurisée.
Le malware existait en deux versions : la v0.3.0 originale et la Dark Edition v2.1. Cela permettait de tuer des processus Windows, redémarrer le système, collecter les infos système, copier sur USB avec autorun, contourner l’UAC, désactiver les firewalls, se propager sur le réseau… Du grand classique mais très efficace !
Une fois installé, BlackWorm collectait contacts, messages, géolocalisation et même les enregistrements audio. Les dissidents syriens qui pensaient utiliser une app sécurisée se retrouvaient alors complètement surveillés. Pas cool !
Puis en 2017, quelque chose change dans la stratégie de la Syrian Electronic Army. Le groupe abandonne progressivement les opérations de hacking pour se concentrer sur la guerre informationnelle et la propagande.
Yaser al-Sadeq l’explique dans une interview : “Avant, on travaillait en secret sur l’axe militaire. Maintenant que le gouvernement a gagné, on veut devenir les auxiliaires médiatiques de l’armée syrienne.”
Cette version 2017 de la SEA n’a plus grand-chose à voir avec le groupe underground des débuts. Al-Sadeq organise des défilés publics dans Damas, ses hackers portent des uniformes avec le logo SEA, ils donnent des interviews à la télé.
Et plutôt que de pirater des sites web, la nouvelle SEA se concentre sur la création de fake news. En 2021, Facebook découvre et supprime un réseau de faux comptes gérés par la SEA ciblant l’opposition syrienne, les Casques blancs et les combattants kurdes avec de la désinformation massive.
Leurs techniques ont donc évolué, mais l’objectif reste le même : contrôler le narratif, sauf qu’au lieu de pirater le compte Twitter d’AP, ils créent des milliers de comptes pour noyer l’info. C’est moins spectaculaire, mais tout aussi efficace !
Puis le 8 décembre 2024, c’est la fin. Le régime Assad s’effondre face à l’offensive des rebelles menés par Hayat Tahrir al-Sham et Bashar fuit vers la Russie avec sa famille, mettant fin à plus de 50 ans de dictature familiale.
Avec la chute du régime, la Syrian Electronic Army perd sa raison d’être, Yaser al-Sadeq et ses troupes disparaissent dans la nature, Haidara Suleiman s’exile probablement avec papa et Ahmad Agha et Firas Dardar restent introuvables et sont encore aujourd’hui sur la liste des plus recherchés du FBI avec 100 000 dollars de récompense sur leur tête.
Cette organisation qui se vantait de maîtriser l’information n’a pas vu venir la chute de son propre camp et leurs talents en cyber-guerre n’ont pas suffi à sauver Assad. C’est le karma !
Tchao !
L’attaque contre AP reste LE cas d’école sur la fragilité des marchés face aux fake news et depuis, plusieurs incidents similaires ont eu lieu, la preuve que les gens n’apprennent pas vite et que les algos de trading sont toujours aussi cons.
En ciblant les médias occidentaux, la SEA a normalisé l’idée que l’info était un champ de bataille et aujourd’hui, que ce soit l’Ukraine, Gaza, Taiwan… partout, la guerre de l’info fait rage.
Bref, la Syrie c’est peut-être pas la Silicon Valley, mais ses hackers ont réussi à faire crasher Wall Street donc ça remet un peu les pendules à l’heure sur la prétendue supériorité technologique occidentale !
– Sources :
U.S. Department of Justice - Syrian Electronic Army Charges, Washington Post - AP Hack Market Crash, NPR - Syrian Electronic Army Overview, Wikipedia - Syrian Electronic Army, Washington Post - SEA Profile, The Hacker News - Skype Hack, Vice - SEA Interview
https://korben.info/syrian-electronic-army-hackers-assad-cyber-guerre.html
