• Catégories
    • Toutes les catégories
    • Planète Warez
      Présentations
      Aide & Commentaires
      Réglement & Annonces
      Tutoriels
    • IPTV
      Généraliste
      Box
      Applications
      VPN
    • Torrent & P2P
    • Direct Download et Streaming
    • Autour du Warez
    • High-tech : Support IT
      Windows, Linux, MacOS & autres OS
      Matériel & Hardware
      Logiciel & Software
      Smartphones & Tablettes
      Graphismes
      Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
      Tutoriels informatiques
    • Culture
      Actualités High-Tech
      Cinéma & Séries
      Sciences
      Musique
      Jeux Vidéo
    • Humour & Insolite
    • Discussions générales
    • Espace détente
    • Les cas désespérés
  • Récent
  • Populaire
  • Résolu
  • Non résolu
Réduire

Planète Warez

,
  • Politique
  • Règlement
  • À propos
  • Annonces
  • Faire un don
  • Feedback
  • Team
  • Tutoriels
  • Bug Report
  • Wiki
    • Light
    • Default
    • Ubuntu
    • Lightsaber
    • R2d2
    • Padawan
    • Dim
    • FlatDark
    • Invaders
    • Metallic
    • Millennium
    • Leia
    • Dark
    • DeathStar
    • Starfighter
    • X-Wing
    • Sith Order
    • Galactic
ko-fi

[Dossier] LulzSec : 50 jours de chaos par 6 hackers légendaires

Planifier Épinglé Verrouillé Déplacé Discussions générales
lulzsechacking
1 Messages 1 Publieurs 43 Vues
    • Du plus ancien au plus récent
    • Du plus récent au plus ancien
    • Les plus votés
Répondre
  • Répondre à l'aide d'un nouveau sujet
Se connecter pour répondre
Ce sujet a été supprimé. Seuls les utilisateurs avec les droits d'administration peuvent le voir.
  • Violenceundefined Hors-ligne
    Violenceundefined Hors-ligne
    Violence Admin
    écrit dernière édition par Violence
    #1

    Dans notre histoire du jour, il y 6 ados, 1 botnet de 24 millions de PC zombies, 50 jours de chaos absolu, et 1 balance qui va tout faire foirer. Oui, on va parler de LulzSec, le Ocean’s Eleven version cave de banlieue, qui au lieu de braquer Las Vegas, ont décidé de ridiculiser Sony, la CIA et le Sénat américain, le tout équipés des mêmes outils qu’un script kiddie de 2005.

    Bon, installez-vous confortablement avec votre café (ou votre bière, je juge pas), parce que l’histoire de LulzSec est un concentré de tout ce que l’Internet des années 2010 avait de plus fou, de plus naïf et de plus tragique à la fois. C’est parti pour un voyage dans le temps, direction 2011, l’époque bénie où on croyait encore qu’Anonymous allait sauver le monde.

    Facebook avait encore une âme (enfin, on y croyait), Twitter était le temple de la liberté d’expression, et Anonymous était à son apogée. Le collectif au masque de Guy Fawkes faisait trembler les PDG dans leurs costumes Armani avec des opérations qui faisaient la une de CNN. Mais voilà, pour quelques membres particulièrement doués (et particulièrement cons, faut le dire), le collectif commençait à manquer de… comment dire… de panache. De style. De lulz, quoi.

    C’est donc dans ce contexte ultra-fertile que naît LulzSec, ou “Lulz Security” pour les intimes. Rien que le nom, c’est déjà tout un programme : “Lulz” (déformation de “LOL”, parce que c’est marrant) + “Security” (parce que c’est sérieux, enfin pas trop). Mdr, on est en plein dans l’ironie post-moderne sauce 4chan, avec un soupçon de nihilisme digital et une grosse dose de “on s’en bat les couilles”. Leur logo ? Un bonhomme avec monocle et haut-de-forme qui sirote son thé. La classe britannique version meme Internet.

    Le groupe se forme officiellement en mai 2011, après que ses membres aient participé à l’attaque contre HBGary Federal. Pour ceux qui ont raté cet épisode épique : HBGary, c’était cette boîte de sécurité informatique dont le PDG, Aaron Barr, avait eu la brillante idée de dire publiquement qu’il avait identifié les leaders d’Anonymous. Spoiler alert : c’était du flan. Anonymous l’a tellement humilié que le mec a dû démissionner. Mais bref, contrairement à leur collectif d’origine qui fonctionnait en mode anarchie totale, LulzSec avait une vision à savoir faire le maximum de dégâts en un minimum de temps, avec un maximum de style. Genre Fast & Furious mais avec des claviers.

    Et bien, permettez-moi maintenant de vous présenter les 6 membres de ce qui allait devenir le groupe de hackers le plus médiatisé de la décennie. Attention, c’est du lourd :

    Sabu (Hector Xavier Monsegur), le big boss, 28 ans à l’époque (né en 1983, j’ai fait le calcul), chômeur de longue durée vivant dans le Lower East Side de New York avec ses 2 nièces qu’il élevait seul. Ancien d’Anonymous depuis les temps héroïques, il avait ce qu’il fallait pour tenir la barre du navire pirate : du charisme à revendre, des compétences techniques solides (le mec codait depuis ses 14 ans), et surtout une très grande gueule sur IRC. Ce qu’on ne savait pas encore, c’est qu’il avait aussi une très grande trouille de la prison. Normal, avec deux gamines à charge.

    Topiary (Jake Davis), 19 ans, habitant des îles Shetland. Oui, les Shetland, ces îles paumées au nord de l’Écosse où y’a plus de moutons que d’habitants. Lycéen surdoué qui s’ennuyait ferme dans son trou perdu, il était devenu le porte-parole officiel de LulzSec. C’est lui qui gérait le compte Twitter du groupe (@LulzSec, 400k followers à l’époque, du jamais vu pour des hackers) et qui pondait ces communiqués de presse sarcastiques qui faisaient marrer tout Twitter. Imaginez un ado qui a lu trop de Terry Pratchett et qui a un talent naturel pour le trash-talking niveau championnat du monde.

    Kayla (Ryan Ackroyd), 26 ans, le ninja de l’ombre qui avait choisi de se faire passer pour une adolescente de 16 ans. Pourquoi ? Mystère. Peut-être qu’il pensait qu’une fille serait moins suspecte, ou alors il avait des fantasmes chelous. Toujours est-il qu’Ackroyd était LE spécialiste des botnets, ces réseaux de machines zombies qui permettent de mener des attaques DDoS massives. Et son arsenal, accrochez-vous, c’était pas moins de 80 000 serveurs compromis dans le monde entier, représentant environ 24 millions de PC infectés. De quoi faire tomber n’importe quel site web en quelques clics. Le mec avait littéralement une armée de bots sous ses ordres.


    – Schéma d’une attaque DDoS typique - Le genre d’attaque que LulzSec maîtrisait parfaitement

    Tflow (Mustafa Al-Bassam), 16 ans, le petit génie du groupe. Né au Koweït, élevé à Londres, ce gamin avait des compétences techniques qui dépassaient largement son âge. Il était LE spécialiste des injections SQL.

    Pwnsauce (Darren Martyn), 25 ans, irlandais, le profil le plus classique du hacker old school. Barbe de trois jours, sweat à capuche, Red Bull à la main, vous voyez le tableau. Compétences techniques solides, discrétion maximale, et une certaine philosophie de la chose. Martyn était celui qui préférait rester dans l’ombre et faire le boulot sans faire de bruit. Le genre de mec qui code à 3h du mat’ en écoutant du métal finlandais.

    Ryan Cleary, 21 ans, un membre qu’on oublie souvent mais qui était pourtant crucial. Diagnostiqué Asperger, ce britannique était un génie de l’IRC et des attaques DDoS. Il avait rejoint le groupe un peu par hasard et s’était retrouvé embarqué dans l’aventure. Fun fact : il vivait encore chez sa maman et ne sortait jamais de sa chambre. L’archétype du hacker asocial.

    Jeremy Hammond (Anarchaos), 27 ans, l’activiste politique du groupe. Contrairement aux autres qui hackaient surtout “for the lulz”, Hammond avait une véritable motivation idéologique. Anarchiste convaincu depuis ses 18 ans, membre actif de Occupy Chicago, il voyait dans le hacking un moyen de lutter contre le système capitaliste. Le mec avait déjà fait 2 ans de prison pour avoir hacké un site conservateur en 2006. C’est lui qui allait payer le plus cher les activités du groupe, avec une peine de 10 ans ferme. Respect pour la constance dans ses convictions, même si c’était pas malin.

    Bon, vous vous attendez à des outils de ouf, des exploits zero-day à 100k$ sur le dark web, des techniques de la NSA ? Bah non. LulzSec a révolutionné l’art du hacking en utilisant des techniques que n’importe quel étudiant en première année d’informatique pouvait maîtriser. C’est exactement ce qui rendait le groupe si dangereux… pas besoin d’être un génie pour reproduire leurs exploits. N’importe quel Kevin de 15 ans pouvait faire pareil depuis sa chambre.

    Du coup, leur arsenal se résumait à quatre techniques principales :

    Les injections SQL - LA technique favorite du groupe, et pour cause puisqu’elle marchait dans 90% des cas à l’époque.

    Le principe ? L’attaquant balance du code SQL malveillant dans les formulaires de connexion pour accéder aux bases de données. Genre, au lieu de mettre ton mot de passe, tu mets : admin’ – et hop, t’es connecté. Bon, c’est un peu plus compliqué que ça mais vous voyez l’idée.

    Sony en a fait les frais avec leur plateforme musicale, hackée en littéralement 3 heures grâce à une injection SQL basique. Comme l’a tweeté Topiary : “SonyPictures.com was owned by a very simple SQL injection, one of the most primitive and common vulnerabilities.” Le pire c’est que Sony stockait les mots de passe en clair et en 2011, pour une multinationale, j’vous dis pas le niveau.

    Les attaques RFI (Remote File Include) - Technique de sioux pour prendre le contrôle de serveurs web en leur faisant exécuter des fichiers distants. En gros, vous trouvez une faille dans le code PHP du site, et vous lui faites charger votre propre code malveillant hébergé ailleurs. Une fois le serveur compromis, il devenait une machine zombie dans le botnet de Kayla. Simple, efficace, dévastateur.

    Les attaques DDoS - Grâce au botnet monstrueux de Kayla (24 millions de machines, je le répète parce que c’est juste énorme), LulzSec pouvait littéralement “éteindre” n’importe quel site web en l’inondant de requêtes. C’est comme ça qu’ils ont mis hors service le site de la CIA pendant 3 heures le 15 juin 2011. Les serveurs de l’agence la plus puissante du monde qui fondent comme neige au soleil ! C’était beau à voir !

    Le XSS (Cross-Site Scripting) - Technique pour injecter du JavaScript malveillant dans les pages web. LulzSec l’utilisait surtout pour défacer des sites (remplacer la page d’accueil par leurs messages moqueurs) ou pour voler des cookies de session. Moins spectaculaire que le DDoS, mais très efficace pour l’humiliation publique.

    Mais attendez, le plus beau dans tout ça c’est que pour coordonner leurs opérations ultra-sensibles, le groupe utilisait des canaux IRC publics. Oui, vous avez bien lu : PUBLICS. Ces génies discutaient de leurs plans pour hacker la CIA sur des serveurs IRC que n’importe qui pouvait rejoindre. Ils avaient même créé un canal “#school4lulz” pour former de nouvelles recrues aux techniques de base du hacking. Genre cours magistral : “Aujourd’hui les enfants, on va apprendre à hacker le FBI”. L’OPSEC (sécurité opérationnelle) ? Connais pas. Et c’est exactement ce qui les a perdus.

    Alors en mai 2011, LulzSec publie son premier tweet : “Hello, good day, and how are you? Splendid!” suivi rapidement de leur première revendication. Première cible : Fox.com, le site de la chaîne conservatrice américaine.

    Pourquoi Fox ? Parce que pourquoi pas. Objectif : faire leurs preuves et montrer qu’ils étaient sérieux (enfin, façon de parler). Et le résultat, c’est 73 000 comptes utilisateurs dans la nature, avec noms, emails et mots de passe en clair. Oui, Fox aussi stockait les mots de passe en clair. En 2011. On se demande à quoi servaient leurs équipes de sécurité.

    Mais bon, tout ceci n’était qu’un échauffement. Le groupe avait annoncé une campagne de exactement 50 jours - ni 49, ni 51, mais 50 pétantes. Pourquoi 50 ? D’après Topiary dans une interview donnée plus tard, c’était “un bon chiffre rond, assez long pour marquer l’histoire, mais assez court pour pas se faire choper”. Spoiler : ça n’a pas marché comme prévu.

    Le 30 mai d’abord, c’est PBS qui morfle. PBS, la gentille chaîne publique américaine qui avait diffusé un documentaire critique sur WikiLeaks et Julian Assange. Du coup, LulzSec défigure leur site et publie un article fake annonçant que Tupac et Biggie sont toujours vivants et vivent ensemble en Nouvelle-Zélande. L’info fait le tour du monde, certains y croient vraiment. Twitter s’enflamme. Mission accomplie.

    Mais c’est le 2 juin que les choses sérieuses commencent. LulzSec s’attaque à Sony Pictures Entertainment et là c’est le carnage : 1 million de comptes compromis (ils n’en publieront “que” 150 000 par manque de place), incluant les données de 75 000 comptes de musique et 3,5 millions de coupons. Le communiqué de LulzSec est un chef-d’œuvre de sarcasme : “Nous avons pénétré si profondément dans leur système que nous nous sommes littéralement promenés parmi des plaines de serveurs mal configurés et obsolètes.” Ils révèlent même que Sony utilisait des serveurs sous Windows Server 2003. En 2011. L’humiliation est totale.

    Logo Sony
    – Sony - La cible favorite de LulzSec qui a subi pas moins de 6 attaques en 50 jours

    Sony, c’était l’ennemi public numéro 1 de LulzSec. La raison c’est que la firme japonaise avait eu l’outrecuidance de poursuivre en justice George “GeoHot” Hotz, ce génie de 21 ans qui avait réussi à jailbreaker la PlayStation 3. Pour la communauté hacker, c’était l’équivalent d’une déclaration de guerre. Genre, tu touches pas à GeoHot, c’est notre pote !

    Le 7 juin, rebelote : Sony Music Japan et Sony BMG se font défoncer. Cette fois, c’est 8 500 comptes supplémentaires qui partent dans la nature. LulzSec publie même un guide “Sony Hacking Guide” pour expliquer comment ils ont fait. C’est du foutage de gueule niveau olympique. Dans leur communiqué, ils écrivent : “Ça devient embarrassant pour Sony. Quelqu’un devrait peut-être les aider à sécuriser leurs serveurs, parce que clairement ils n’y arrivent pas tout seuls.”

    Un peu avant, le 3 juin, entre deux attaques sur Sony, LulzSec pirate InfraGard Atlanta, le programme de coopération entre le FBI et le secteur privé. 180 comptes compromis, incluant des PDG, des directeurs de sécurité, et même des agents du FBI. Ils publient tout avec ce message : “Nous espérons que les agents du FBI apprécient cette intrusion autant que nous.” Le culot.

    Mais le moment qui fait basculer LulzSec dans la légende, c’est le 15 juin 2011 à 17h48 (heure de la côte Est). Le tweet tombe : “Tango down - CIA.gov - for the lulz”.

    Pendant 3 heures, le site public de la Central Intelligence Agency est complètement HS, victime d’une attaque DDoS massive orchestrée par le botnet de Kayla. Les médias du monde entier s’emballent. CNN, BBC, Fox News, tout le monde en parle. Des ados ont mis KO le site de la CIA. L’agence qui est censée protéger l’Amérique ne peut même pas protéger son propre site web.

    Topiary, fidèle à lui-même, en rajoute une couche sur Twitter : “On n’a pas hacké la CIA, on leur a juste demandé poliment de faire une sieste.” Les retweets se comptent par milliers. LulzSec devient trending topic mondial et le 13 juin, comme pour montrer qu’ils s’attaquent à tout le monde sans discrimination, LulzSec pirate Bethesda Game Studios et Nintendo.

    Mais là, plot twist : ils adorent ces boîtes. Du coup, ils récupèrent les données mais ne les publient pas. À la place, ils envoient un email à Nintendo : “Salut Nintendo, on a trouvé des failles dans votre système. On n’a rien cassé parce qu’on vous aime bien, mais vous devriez vraiment corriger ça.” C’est ça, l’éthique LulzSec : on pirate tout le monde, mais on est sympa avec ceux qu’on aime.

    Le 21 juin, c’est l’apothéose. LulzSec s’attaque au Sénat américain et réussit à compromettre senate.gov. Ils ne récupèrent “que” quelques fichiers de config, mais le message est passé : personne n’est à l’abri. Dans leur communiqué, ils lâchent cette punchline : “Nous ne nous contentons pas de représenter les 99%, nous sommes les 99%.” Référence directe au mouvement Occupy Wall Street qui battait son plein.

    Pendant ce temps, leur compte Twitter explose : 400 000 followers, des milliers de retweets pour chaque message. Ils deviennent une véritable marque. Des t-shirts LulzSec se vendent sur Internet. Des gens se tatouent leur logo. C’est la folie totale.

    Le 20 juin, sentant peut-être que la fin approche, LulzSec annonce l’Opération AntiSec en partenariat avec Anonymous. Le manifeste est épique : “Volez et divulguez tous les documents gouvernementaux et corporatifs que vous pouvez trouver. Défigurez et détruisez les sites gouvernementaux. Ensemble, nous pouvons déstabiliser l’infrastructure corrompue qui nous opprime.” C’est plus du hacking, c’est carrément un appel à la révolution.

    Dans le cadre d’AntiSec, ils s’attaquent à l’Arizona Department of Public Safety le 23 juin. La raison c’est la loi SB 1070 sur l’immigration, jugée raciste par les activistes. LulzSec publie les données personnelles de centaines de policiers arizoniens : noms, adresses, numéros de téléphone, photos de famille. C’est la première fois qu’ils s’en prennent directement à des individus. Certains policiers reçoivent même des menaces. La ligne rouge est franchie.

    Et puis, le 25 juin 2011 à 23h59, un dernier tweet : “50 days of lulz is over. We hope you enjoyed the ride as much as we did.” À 00h01 le 26 juin, ils publient leur communiqué final, un texte de 4 pages qui restera dans l’histoire du hacking.

    Extraits choisis : “Nos 50 jours de lulz sont maintenant terminés, et nous nous retirons, laissant derrière nous - nous l’espérons - l’inspiration, la peur, le déni, la joie, l’approbation, la désapprobation, la moquerie, l’embarras, la bienveillance, la jalousie, la haine, et peut-être même l’amour.” C’est beau, on dirait du Shakespeare version 4chan.

    Ils publient aussi un dernier cadeau : un torrent de 400 Mo contenant toutes les données qu’ils n’avaient pas encore divulguées. Dedans, des documents d’AT&T, d’AOL, de l’US Navy, et même des infos sur un contrat du FBI. Le baroud d’honneur.

    Bon, romantique, non ? Sauf que derrière ce lyrisme de fin d’adolescence se cachait une réalité beaucoup plus sordide. Ce que les fans de LulzSec ne savaient pas, c’est que leur héros Sabu avait été arrêté par le FBI… le 7 juin. Soit 19 jours avant la dissolution officielle du groupe. Alors voici comment ça s’est vraiment passé.

    Le 7 juin 2011, Sabu se connecte à IRC depuis son appart’ miteux du Lower East Side. Comme d’hab, il passe par Tor et des VPN pour masquer son IP sauf que ce jour-là, pendant genre 30 secondes, sa connexion VPN plante. 30 secondes. C’est tout ce qu’il a fallu au FBI pour chopper sa vraie adresse IP.

    Comment le FBI surveillait IRC ? Mystère. Certains disent qu’ils avaient des agents infiltrés, d’autres qu’ils surveillaient directement les serveurs. Toujours est-il qu’à 6h du mat’, le 8 juin, les fédéraux débarquent chez Hector Monsegur. “FBI ! Ouvrez !” Le mec en caleçon qui ouvre la porte, les deux nièces qui dorment dans la chambre d’à côté. L’image est pathétique.

    Les agents lui montrent les preuves : captures d’écran IRC, logs de connexion, tout y est. Monsegur est cuit. Face à une peine potentielle de 124 ans de prison (oui, 124 ans, le système judiciaire américain ne rigole pas), et surtout face à la perspective de laisser ses nièces se débrouiller seules, il craque. En moins de 24 heures, le grand Sabu, le leader charismatique de LulzSec, devient “CW-1” (Cooperating Witness 1) dans les documents du FBI.

    Du coup, dès le 8 juin, Sabu devient un agent double. Il continue donc à jouer son rôle de leader de LulzSec et pendant 18 jours, il guide le groupe dans ses dernières opérations… tout en transmettant chaque détail aux fédéraux. Chaque conversation IRC, chaque plan d’attaque, chaque vulnérabilité découverte, tout est relayé au FBI.


    – Sabu, l’informateur du FBI qui a aidé à démanteler LulzSec de l’intérieur

    Le plus dégueulasse, c’est que Sabu va activement pousser ses anciens potes à faire des conneries pour que le FBI puisse les coincer. En décembre 2011, six mois après la fin officielle de LulzSec, il contacte Jeremy Hammond : “Yo mec, j’ai trouvé une faille chez Stratfor, tu veux pas t’en occuper ?” Hammond, qui fait confiance à son ancien leader, accepte.

    Stratfor, pour ceux qui connaissent pas, c’était une boîte de renseignement privé, genre CIA du pauvre pour les entreprises. Hammond pirate leur système et récupère 5 millions d’emails confidentiels qu’il refile à WikiLeaks. C’est un des plus gros coups de l’année. Sauf que tout était orchestré par le FBI via Sabu. Hammond s’est fait avoir comme un bleu.

    D’ailleurs, petite anecdote croustillante, le serveur où Hammond a stocké les données de Stratfor appartenait au FBI. Oui, le FBI a fourni le serveur pour le hack. C’est comme si les flics vous filaient une voiture pour braquer une banque et vous arrêtaient à la sortie. Le niveau de manipulation est stratosphérique.

    Bon, une fois Sabu retourné, les arrestations s’enchaînent plus vite qu’un épisode de 24 heures chrono. Le FBI avait désormais accès à toutes les conversations privées du groupe, tous les pseudos, toutes les techniques. C’était open bar.

    27 juillet 2011 - C’est le “LulzSec Takedown Day”. En coordination internationale, les flics arrêtent simultanément :

    • Jake Davis (Topiary) aux îles Shetland. Le gamin de 19 ans se fait cueillir chez ses parents. Sa mère pleure. Lui reste stoïque. Il savait que ça finirait comme ça. Condamné à 24 mois de prison, il en fera 10 en centre pour jeunes délinquants.


    – Topiary

    • Ryan Ackroyd (Kayla) à Londres. C’est l’arrestation la plus drôle car les flics s’attendaient à trouver une ado de 16 ans, et ils tombent sur un mec de 26 ans barbu. “Euh, on cherche Kayla ?” “C’est moi.” Gros malaise. Condamné à 30 mois, il en purgera 15.

    – Kayla*

    • Mustafa Al-Bassam (Tflow) à Londres aussi. À seulement 16 ans (il avait menti sur son âge), il écope de 20 mois avec sursis et 300 heures de travaux d’intérêt général. Aujourd’hui, plot twist ultime, il a cofondé une startup blockchain qui vaut des millions. La rédemption version Silicon Valley.


    – Tflow

    • Et Ryan Cleary avait déjà été arrêté le 21 juin. Le mec pleurait comme un bébé lors de son arrestation. Sa mère a dû venir le consoler au commissariat. 32 mois de prison, le prix à payer quand on veut jouer les durs.


    – Ryan Cleary

    Ensuite, en septembre 2011, c’est le moment pour Darren Martyn (Pwnsauce) de se fait choper en Irlande. 18 mois avec sursis. Il disparaît complètement des radars après ça. Certains disent qu’il bosse dans la sécurité sous un faux nom.


    – Pwnsauce

    Puis le 5 mars 2012, c’est au tour de Jeremy Hammond. L’arrestation est brutale car le FBI défonce sa porte à Chicago, le plaque au sol, menottes serrées. Hammond ne dit rien. Il sait qu’il est foutu. En novembre 2013, il écope de 10 ans ferme, la peine maximale. Pourquoi le max ? Parce qu’il a refusé de coopérer et qu’il a continué à revendiquer ses actes. “Je l’ai fait pour dénoncer l’injustice”, dit-il au tribunal. Le juge s’en fout. 10 ans.


    – Jeremy Hammond

    Voilà et c’est donc le 6 mars 2012 que le FBI annonce officiellement et fièrement l’arrestation de Sabu et révèle qu’il collaborait depuis juin 2011. C’est un séisme dans la communauté hacker. Sur tous les forums underground, c’est l’incompréhension totale. Sabu, une balance ? Impossible. Et pourtant.

    Le 23 mai 2014, Hector Monsegur est condamné à… “time served”. 7 mois de prison au total pour sa “coopération exceptionnelle”. Le procureur révèle qu’il a aidé à identifier plus de 300 hackers dans le monde. 300. Le mec a balancé tout le monde pour sauver sa peau.

    La communauté hacker ne lui pardonnera jamais et aujourd’hui encore, en 2025, si vous tapez “Sabu” sur n’importe quel forum underground, vous vous faites ban direct. Le mec est persona non grata à vie. Il bosse maintenant comme consultant en sécurité, mais tout le monde sait qui il est. Une fois balance, toujours balance.

    Alors maintenant, vous vous demandez peut-être : qu’est-ce qui reste de LulzSec en 2025 ? Eh bien, beaucoup plus que vous ne le pensez. Ces gamins ont vraiment changé la face d’Internet.

    D’abord, LulzSec a inventé le concept du “hacker influenceur”. Avant eux, les pirates étaient des ombres anonymes. LulzSec a transformé le hacking en spectacle avec Twitter, des GIFs, des memes, et même une hotline téléphonique (véridique, ils avaient mis en place un numéro que les gens pouvaient appeler pour suggérer des cibles). Aujourd’hui, tous les groupes de ransomware ont leur canal Telegram, leur site .onion avec blog, leurs comptes Twitter de backup. C’est l’héritage direct de LulzSec.

    Ensuite, ils ont démocratisé les techniques d’attaque. En montrant qu’on pouvait hacker Sony ou la CIA avec des injections SQL de base qu’on apprend en cours d’info, ils ont inspiré toute une génération. Le problème c’est que cette génération a muté et que la plupart des script kiddies de 2011 sont devenus les cybercriminels professionnels de 2025. Les groupes de ransomware actuels comme LockBit ou BlackCat, c’est LulzSec en version corporate : même techniques, mais avec un business model.

    Leur approche du “hacktivisme spectacle” a créé un précédent car aujourd’hui, quand on voit Killnet attaquer les sites gouvernementaux occidentaux ou Anonymous Sudan faire du DDoS sur Microsoft, c’est du copier-coller de la méthodologie LulzSec : attaque, revendication immédiate sur les réseaux sociaux, message politique/sarcastique, next target. La différence c’est qu’en 2025, c’est souvent financé par des États. Les “lulz” sont devenus géopolitiques.

    Le plus ironique là dedans, c’est que LulzSec a probablement plus aidé la cybersécurité qu’ils ne l’ont affaiblie. Après le “Summer of Lulz”, les entreprises ont enfin compris que stocker les mots de passe en clair, c’était pas ouf. Les budgets cybersécurité ont explosé, les programmes de bug bounty se sont généralisés et autant en 2011, trouver une injection SQL sur un site corporate, c’était la routine, en 2025, c’est devenu très rare (bon, ça arrive encore, mais moins).

    Les gouvernements aussi ont appris. Après LulzSec, la création d’unités cyber militaires s’est accélérée. Le US Cyber Command, l’Agence nationale de cybersécurité française, le National Cyber Security Centre britannique… Tous ont été créés ou renforcés après 2011 et d’un point de vue purement technique, LulzSec c’était de l’amateurisme total. Mais du bel amateurisme, celui qui prouve que David peut encore battre Goliath avec trois fois rien. Leurs erreurs OPSEC étaient d’ailleurs monumentales :

    • Utiliser les mêmes pseudos partout (Topiary avait le même pseudo depuis ses 14 ans)
    • Discuter sur des IRC publics sans chiffrement
    • Réutiliser des serveurs compromis (le FBI les surveillait)
    • Faire confiance aveuglément à leur leader
    • Tweeter depuis leurs vraies timezones
    • Garder des logs de leurs conversations (Jake Davis avait 750 000 lignes de chat IRC sur son laptop)

    C’est exactement pour ça que LulzSec reste un cas d’école. Ils ont prouvé que la sécurité de la plupart des systèmes reposait sur l’espoir que personne n’essaierait vraiment de les attaquer et visiblement, c’était une mauvaise stratégie ^^.

    Ce que LulzSec a surtout apporté, c’est la démonstration que la sécurité par l’obscurité ne marche pas. “Security through obscurity” était le mantra de beaucoup d’entreprises. En gros, on cache nos failles et on espère que personne ne les trouve. LulzSec a montré que des gamins motivés trouveront toujours. Personnellement, j’ai suivi toute l’affaire LulzSec en temps réel en 2011. J’étais scotché à Twitter, je refreshais leur compte toutes les 5 minutes, c’était carrément mieux que Game of Thrones. A la fois jubilatoire et flippant.

    Mais ils ont causé des dommages collatéraux énormes. Des gens ont perdu leurs économies à cause d’usurpations d’identité, des flics arizoniens ont dû déménager après la publication de leurs adresses. C’était plus “for the lulz”, c’était des vies brisées.

    Après les mecs se pensaient vraiment être intouchables. Ils se croyaient dans un film, les gentils hackers contre les méchantes corporations et la réalité les a rattrapés à 200 km/h… Ouch.

    Mais quelque part, l’esprit LulzSec survit. À chaque fois qu’un chercheur en sécurité publie une faille critique avec un GIF sarcastique. À chaque fois qu’un groupe hacktiviste ridiculise un gouvernement autoritaire. À chaque fois que quelqu’un prouve que la sécurité par l’obscurité, c’est de la merde…

    Ils voulaient les lulz. Ils ont eu la prison. Mais ils ont changé un peu Internet.


    – Source :

    https://korben.info/lulzsec-50-jours-chaos-hackers-legendaires.html

    V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
    ╚═ Admin, Dev et auteur de la plupart des bugs de PW…

    ░░░▒▒▒▓▒▒▒░░░
    ░░░░░░▓░░░░░░
    ▒▒▒▒▓▓▓▓▓▒▒▒▒
    ░░░░░░▓░░░░░░

    1 réponse Dernière réponse
    2






©2025 planete-warez.net
L'actualité Warez & underground en continu
Icône café Faire un don
Politique   RGPD  @dev  Sudonix
    • Se connecter

    • Vous n'avez pas de compte ? S'inscrire

    • Connectez-vous ou inscrivez-vous pour faire une recherche.
    • Premier message
      Dernier message
    0
    • Catégories
      • Toutes les catégories
      • Planète Warez
        Présentations
        Aide & Commentaires
        Réglement & Annonces
        Tutoriels
      • IPTV
        Généraliste
        Box
        Applications
        VPN
      • Torrent & P2P
      • Direct Download et Streaming
      • Autour du Warez
      • High-tech : Support IT
        Windows, Linux, MacOS & autres OS
        Matériel & Hardware
        Logiciel & Software
        Smartphones & Tablettes
        Graphismes
        Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
        Tutoriels informatiques
      • Culture
        Actualités High-Tech
        Cinéma & Séries
        Sciences
        Musique
        Jeux Vidéo
      • Humour & Insolite
      • Discussions générales
      • Espace détente
      • Les cas désespérés
    • Récent
    • Populaire
    • Résolu
    • Non résolu