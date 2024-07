Le renouveau mondial de l’hacktivisme exige une vigilance accrue de la part des défenseurs des droits de l’homme

juillet 2024 par Mandiant

Depuis le début de l’année 2022, Mandiant a observé la reprise et l’intensification de l’activité des acteurs exploitant les tactiques et les techniques de l’hacktivisme. Cela fait des décennies que l’hacktivisme est apparu comme une forme d’activisme en ligne et plusieurs années que de nombreux défenseurs ont considéré l’hacktivisme comme une menace sérieuse. Cependant, cette nouvelle génération d’hacktivisme s’est développée pour englober une fusion plus complexe et souvent plus percutante de tactiques que différents acteurs utilisent pour atteindre leurs objectifs spécifiques.

Les hacktivistes d’aujourd’hui font preuve de capacités accrues en matière d’intrusion et d’opérations d’information, ce qui se traduit par une série d’activités telles que l’exécution d’attaques perturbatrices massives, la compromission de réseaux pour faire fuir des informations, la conduite d’opérations d’information et même l’altération de processus du monde physique. Ils ont tiré parti de leurs compétences pour gagner en notoriété et en réputation, promouvoir des idéologies politiques et soutenir activement les intérêts stratégiques des États-nations. L’anonymat que procurent les personnages d’hacktivistes, associé à la gamme d’objectifs soutenus par les tactiques d’hacktivistes, en ont fait un choix de premier ordre pour les acteurs étatiques et non étatiques qui cherchent à exercer une influence par le biais du domaine cybernétique.

L’analyse de Mandiant sur le paysage des menaces liées à l’hacktivisme fournit des outils analytiques pour comprendre et évaluer le niveau de risque posé par ces groupes. S’appuyant sur des années d’expérience dans le suivi des acteurs de l’hacktivisme, de leurs revendications et de leurs attaques, leur analyse a pour but d’aider les organisations à comprendre et à hiérarchiser les activités de menaces significatives contre leurs propres réseaux et leurs capitaux.

Une surveillance proactive des menaces hacktivistes est nécessaire pour que les défenseurs puissent anticiper les cyberattaques

Mandiant considère qu’il s’agit d’une activité d’hacktivisme lorsque les acteurs prétendent ou mènent des attaques avec l’intention publiquement déclarée de s’engager dans l’activisme politique ou social. La résurgence à grande échelle de l’hacktivisme représente un défi majeur pour les défenseurs qui doivent, de manière proactive, passer au crible le bruit et évaluer le risque posé par une multitude d’acteurs dont le degré de sophistication varie. Alors que dans de nombreux cas, l’activité hacktiviste représente une menace marginale, dans les opérations hacktivistes les plus importantes que Mandiant a suivies, les acteurs de la menace ont délibérément superposé plusieurs tactiques dans des opérations hybrides de telle sorte que l’effet de chaque composant a amplifié les autres. Dans certains cas, les tactiques hacktivistes ont été délibérément employées par des acteurs étatiques pour soutenir des opérations hybrides susceptibles de nuire gravement aux victimes. À mesure que le volume et la complexité des activités augmentent et que de nouveaux acteurs exploitent les tactiques hacktivistes, les défenseurs doivent déterminer comment filtrer, évaluer et neutraliser une série de menaces nouvelles et évolutives. La surveillance proactive des menaces hacktivistes apportera de nombreux avantages aux défenseurs :

• La surveillance des messages et des activités liés à l’hacktivisme peut fournir aux défenseurs des alertes précoces sur les menaces émanant d’acteurs sophistiqués. Cela n’est pas seulement dû à la nature ouverte de l’hacktivisme, mais aussi à son utilisation pour masquer l’activité des États-nations et des criminels.

• L’augmentation de la fréquence et de l’ampleur des activités d’hacktivisme au cours des deux dernières années représente une menace pour un large éventail d’organisations. Même si la plupart des attaques n’ont pas d’impact significatif, les défenseurs doivent filtrer de manière proactive le volume d’activités insignifiantes pour identifier les indications d’un ciblage substantiel de leurs organisations et préparer des stratégies d’atténuation.

• Les attaques hacktivistes sont souvent inspirées par des événements mondiaux, mais elles ciblent fréquemment des organisations qui ne jouent pas nécessairement un rôle dans l’événement lui-même. Le fait de cibler des organisations apparemment sans rapport avec l’événement permet aux acteurs de revendiquer des attaques à plus grande échelle et de choisir des cibles de premier plan - telles que des infrastructures critiques ou de grandes entreprises - dans le but d’accroître le prestige du groupe et la publicité de leurs attaques. La surveillance proactive permet aux défenseurs d’identifier les moments où une organisation ou une région est généralement plus à risque, les événements qui peuvent être des précurseurs d’attaques hacktivistes et les moments où les hacktivistes ont lancé des campagnes ciblant des industries ou des organisations similaires.

• La menace est encore plus élevée pour les réseaux situés dans des régions et des secteurs d’activité où la maturité en matière de cybersécurité est plus faible, et où les victimes sont également plus susceptibles d’être confrontées à un impact important ou durable de cette activité. Dans de tels cas, la surveillance proactive joue le même rôle que d’autres mécanismes de détection en permettant aux organisations d’identifier et d’atténuer les menaces immédiates qui pèsent sur leurs réseaux.

Nouvelle génération d’hacktivisme : ampleur et sophistication accrues

Le terme « hacktivisme » a été inventé au milieu des années 1990 par un membre du collectif de hackers Cult of the Dead Cow. À l’origine, il désignait l’ « activisme en ligne », dans lequel des acteurs tentaient d’infliger des dommages à une victime en menant des attaques pour influencer le public et communiquer des convictions politiques ou idéologiques. Au début, la plupart des groupes hacktivistes affirmaient être motivés par des objectifs anti-establishment, qui menaçaient les gouvernements et les institutions politiques. Au début des années 2010, des acteurs hacktivistes tels que ceux affiliés au collectif Anonymous ont rendu les réseaux moins résistants aux menaces telles que les attaques par déni de service distribué (DDoS), ce qui a souvent suscité une grande attention de la part des médias. Au fur et à mesure que la cybersécurité s’est développée et que les réseaux sont devenus plus résistants - par exemple, avec la création de réseaux de diffusion de contenu (CDN) - et que les forces de l’ordre de certaines régions ont engagé des poursuites judiciaires contre ces acteurs, l’hacktivisme anti-établissement en tant que mouvement et ses méthodes ont perdu de leur pertinence au fil du temps.

Après des années d’opérations de faible intensité et de faible impact, Mandiant a observé une résurgence significative de nouveaux groupes et tactiques hacktivistes autour du début de l’invasion russe de l’Ukraine et du conflit entre Israël et le Hamas. Divers personnages et groupes d’hacktivistes ont déclaré leur allégeance aux parties à ces conflits et ont ciblé une longue liste d’organisations et de gouvernements sous cette allégeance. L’impact de leurs attaques ne s’est pas limité aux parties impliquées dans le conflit, mais a également franchi les frontières pour cibler des tierces parties ayant des liens lâches, comme la nationalité, les relations commerciales ou l’allégeance opposée.

Cette nouvelle vague d’activités hacktivistes s’écarte des activités historiques, notamment en ce qui concerne l’ampleur et la portée des groupes et des activités. Certains acteurs de l’hacktivisme ont fait preuve d’une plus grande dextérité, menant plus efficacement des attaques parallèlement à la diffusion de messages pour faire connaître leur activité de menace et influencer le public. Aujourd’hui, l’hacktivisme n’est plus uniquement composé d’acteurs à faible capacité motivés par des idéologies qui reflètent l’hacktivisme anti-establishment « traditionnel ». Mandiant a observé une évolution plus fréquente vers des groupes motivés par des considérations géopolitiques et financières qui tentent d’obscurcir l’activité menaçante par le biais de façades hacktivistes. Bien que l’idée d’utiliser une façade hacktiviste pour masquer une activité soutenue par un État date d’au moins dix ans, Mandiant n’a jamais observé auparavant une fréquence, un volume et une intensité de l’activité hacktiviste globale comparables à ce qu’ils sont aujourd’hui.

Mandiant note que les hacktivistes n’agissent pas nécessairement en fonction d’une motivation unique. Il est courant que cette activité de menace fluctue entre différentes catégories et change même parallèlement à l’évolution de la dynamique du groupe. Par conséquent, la compréhension des motivations qui sous-tendent l’activité de menace des hacktivistes nécessite une analyse contextuelle menée au fil du temps.

Le moyen, c’est le message : la promotion de messages stratégiques par les hacktivistes permet aux acteurs de mener des opérations d’information.

L’influence est un élément central des attaques des hacktivistes et l’hacktivisme s’aligne souvent sur les opérations d’information secrètes, qui impliquent l’utilisation de tactiques trompeuses pour manipuler l’environnement de l’information. Grâce à une promotion narrative stratégique rendue possible par les personnages d’hacktivistes, les opérateurs peuvent maximiser l’impact réel ou perçu des attaques ou attirer l’attention pour faire avancer leurs programmes. Mandiant considère qu’il s’agit d’une activité d’hacktivisme lorsque les revendications de l’acteur affirment ou impliquent directement que son intention est l’activisme politique ou social et qu’elles impliquent une combinaison de trois tactiques clés : le développement d’un personnage, la diffusion de messages adaptés et une cyberactivité souvent perturbatrice. Ces tactiques sont essentielles pour permettre à l’hacktivisme d’exercer une telle influence. Bien que de nombreux facteurs contribuent probablement à la résurgence de l’hacktivisme, comme indiqué précédemment, les mécanismes intégrés permettant de communiquer des messages et d’obscurcir leur identité expliquent probablement en partie pourquoi les tactiques hacktivistes sont attrayantes pour des acteurs aux motivations diverses.

Les acteurs qui utilisent les tactiques de l’hacktivisme ont recours à des personnages apparents pour masquer l’identité de leurs véritables opérateurs et, dans certains cas, pour donner l’impression d’un soutien public organique à une question ou à un événement donné.

Les personas hacktivistes font la promotion de leur message le plus souvent par le biais de revendications directes ou d’actifs en ligne affiliés aux personas, tels que les médias sociaux ou les sites appartenant à des acteurs. La signification peut également être intégrée à l’attaque elle-même, par exemple par la diffusion de « fuites avariées » contenant des informations modifiées ou fausses, ou en menant des campagnes DDoS massives parallèlement à des événements géopolitiques ou culturels. Le ciblage stratégique et d’autres revendications très médiatisées permettent également aux groupes d’augmenter la probabilité d’être couverts par les médias grand public.

Mandiant souligne l’importance d’analyser soigneusement les messages des groupes, leurs revendications et toute preuve indépendante disponible avant de tirer des conclusions sur la motivation, la capacité ou l’efficacité d’un acteur, car les tactiques des hacktivistes incitent ces acteurs à gonfler l’impact de leurs actions et à faire des revendications inexactes ou fabriquées de toutes pièces. Une bonne compréhension des personas des hacktivistes et de l’impact de leurs actions nécessite une analyse cohérente dans le temps et dans le contexte des communications avec d’autres acteurs. Dans certains cas, il n’est pas possible d’obtenir des preuves concluantes.

Les hacktivistes aux motivations géopolitiques poursuivent souvent des objectifs stratégiques d’États-nations.

Étant donné le chevauchement inhérent entre les tactiques hacktivistes et les opérations d’information, les acteurs hacktivistes motivés par des considérations géopolitiques contribuent souvent à faire avancer les objectifs stratégiques des États-nations. Bien que, dans la plupart des cas, les hacktivistes opèrent probablement de manière indépendante, Mandiant a également découvert des cas récents d’acteurs ayant des liens étroits avec des groupes de cyberespionnage parrainés par des États.

Les hacktivistes à motivation géopolitique liés à des États-nations

Certains acteurs parrainés par des États-nations ont créé des portraits d’hacktivistes ou établi des liens avec des personnages d’hacktivistes pour servir de façade à leurs propres activités. Les personnalités hacktivistes offrent à ces acteurs un mécanisme pour diffuser des messages qui seraient autrement des actions secrètes, mais avec un voile de dénégation plausible pour leur activité de cybermenace. Dans de tels cas, les messages hacktivistes peuvent contribuer à attirer l’attention sur des récits spécifiques ou même influencer des événements de la vie réelle ayant des conséquences physiques, tandis que le déni plausible résultant de l’utilisation de ces découpages étend la menace à la fois aux parties directes et aux tiers associés à un événement ou un problème donné. Les personas d’hacktivistes offrent également aux acteurs disposant de ressources suffisantes la possibilité de développer et/ou d’exploiter des actifs persistants et des marques d’hacktivistes qui augmentent la probabilité que leurs messages atteignent les publics cibles souhaités.

• En 2024, Mandiant a publié un rapport décrivant comment le groupe militaire russe APT44 (également connu sous les noms de Sandworm, FROZENBARENTS et Seashell Blizzard) a cultivé des personnages d’hacktivistes pour revendiquer la responsabilité d’une série d’opérations perturbatrices en temps de guerre et pour amplifier le récit d’une perturbation réussie.

• Des sources publiques ont également indiqué que des États-nations parrainaient des groupes d’hacktivistes tels que CyberAv3ngers, pro-iranien, que le gouvernement américain a associé au Corps des gardiens de la révolution islamique (CGRI), et Gonjeshke Darande (Predatory Sparrow), pro-israélien, que le gouvernement iranien a attribué à Israël.

• Dès 2014, une attaque emblématique visant Sony Pictures Entertainment a illustré l’utilisation par les États-nations de marques hacktivistes pour s’engager dans des activités de cybermenace. L’attaque, au cours de laquelle un faux front hacktiviste appelé Guardians of Peace (#GOP) a effacé l’infrastructure de Sony et divulgué un grand nombre d’informations confidentielles, a été attribuée par le Federal Bureau of Investigation (FBI) des États-Unis au gouvernement nord-coréen.

Des hacktivistes aux motivations géopolitiques qui agissent probablement de manière indépendante

Bien qu’un grand nombre des groupes hacktivistes récemment actifs que Mandiant suit décrivent explicitement leur activité comme soutenant les intérêts d’un État-nation, ces promesses d’allégeance ne signifient pas nécessairement que tous ces groupes sont liés à des États-nations. Mandiant a également observé à plusieurs reprises des groupes hacktivistes qui semblent agir de manière indépendante, mais qui orientent leurs opérations en interprétant la rhétorique et les objectifs politiques communiqués par les dirigeants de l’État-nation ou des groupes politiques qu’ils soutiennent. Dans ce cas, même si l’activité menaçante n’est pas dirigée par les dirigeants nationaux, elle sert tout de même à promouvoir leurs objectifs spécifiques.

• Par exemple, le 18 juin 2022, la Lituanie a imposé une interdiction sur le transit ferroviaire des marchandises soumises aux sanctions européennes vers l’exclave russe de Kaliningrad, située à l’extrême ouest du pays. À la suite de cette interdiction, des groupes d’hacktivistes pro-russes ont annoncé des attaques contre des entités lituaniennes dans de nombreux secteurs, après que les dirigeants russes eurent averti que l’action de la Lituanie aurait des conséquences. Les attaques se sont poursuivies jusqu’à ce que les deux pays parviennent à un consensus.

• Dans certains cas, Mandiant a observé des campagnes qui peuvent durer longtemps ou être relancées par différents groupes au fil du temps. C’est le cas des pics répétitifs d’activité hacktiviste que Mandiant observe souvent au Moyen-Orient, associés à des fêtes telles que la Journée de Qods ou la récurrente #OpIsrael, qui s’est développée depuis au moins 2013 pour impliquer toutes sortes d’activités hacktivistes ciblant Israël chaque année.

Perspectives

Malgré une certaine ressemblance avec les premiers groupes d’hacktivistes apparus il y a plus de dix ans, la vague actuelle d’hacktivisme présente des caractéristiques distinctes en constante évolution. Cependant, la dynamique de l’interaction de cette nouvelle génération d’hacktivistes avec de multiples composantes de la cybermenace et de leur utilisation est complexe et n’a pas été bien décrite dans les analyses actuelles. Les tactiques de l’hacktivisme moderne sont employées par une variété d’acteurs aux motivations multiples et s’appuient sur un ensemble de techniques associées à la cyberintrusion et aux opérations d’information. Chaque personnage hacktiviste adopte son propre ensemble de techniques et opère d’une manière différente, soit pour soutenir sa propre idéologie, soit pour influencer des événements géopolitiques, soit pour obtenir des avantages financiers.

Les défenseurs doivent chercher de manière proactive à comprendre comment ces groupes opèrent et interagissent, quelles sont les techniques qu’ils préfèrent ou avec lesquelles ils ont eu le plus de succès, ainsi que d’autres composantes de leur activité, afin d’élaborer des défenses et des politiques efficaces à l’encontre de ces acteurs. L’un des principaux défis à relever pour faire face à cette menace est que les acteurs hacktivistes utilisent des techniques provenant de différents domaines, mélangeant des méthodes que la communauté de la sécurité a souvent suivies séparément et différemment.

