Les documents dérobés à la NSA par Edward Snowden ont montré de nombreux aspects des activités de surveillance de l’agence de sécurité américaine. Plus rarement, ils impliquent le GCHQ, son équivalent anglais. Or, voilà que NBC publie des informations sur la manière dont des agents secrets britanniques ont infiltré des salons de discussions pour repérer et traquer des membres des mouvances Anonymous et LulzSec.
Crédits : Lorraine Murphy, licence Creative Commons
Chercher et débusquer dans les salons de discussion
Selon des documents révélés par NBC et obtenus d’Edward Snowden, le GCHQ, équivalent anglais de la NSA, s’est livré en 2012 à une vaste opération pour débusquer des pirates appartenant principalement aux Anonymous ou LulzSec. Deux mouvances qui avaient très largement fait parler d’elles et provoqué finalement des arrestations. Au sein de l’agence anglaise, c’est une section spécifique nommée JTRIG, pour « Joint Threat Research Intelligence Group » qui a été chargée de l’opération.
Plusieurs détails sont fournis dans une présentation PowerPoint préparée en 2012 à l’attention de la NSA pour expliquer aux alliés le succès de l’opération. Cette dernière, nommée « Rolling Thunder », avait essentiellement pour objectif d’aller trouver les membres ciblés dans les salons de discussions IRC. Des agents se faisaient ainsi passer pour d’autres « hacktivistes » pour installer des relations de confiance, suffisant pour amener les cibles à effectuer une action bien précise.
Anonymous, LulzSec, Syrian Electronic Army, A-Team...
L’objectif était en effet de faire cliquer la personne visée sur un lien particulier pour récupérer un fichier. Une fois l’action réalisée, le JTRIG pouvait remonter au moins jusqu’à l’adresse IP du contact et ainsi se rapprocher de lui, quand cette donnée était réellement exploitable. Toute la difficulté de l’opération résidait dans la reconnaissance des membres présumés d’Anonymous, LulzSec, mais également d’autres groupes tels que la Syrian Electronic Army, qui s’est illustré récemment dans une attaque contre Facebook, ou encore l’A-Team.
Mais ce n’est pas tout car l’opération Rolling Thunder comprenait un volet beaucoup plus actif. Ainsi, le JTRIG n’a pas hésité à lancer lui-même des attaques par déni de service (DDoS) pour provoquer des pannes dans services de communication. Objectif : forcer les pirates à se rabattre vers d’autres solutions, les retarder et perturber leur organisation.
Une opération à succès
Selon les informations récupérées par NBC, le GCHQ considère réellement l’opération comme un succès. Elle a notamment permis de mener à l’arrestation d’Edward Pearson, un pirate âgé d’une vingtaine d’années et condamné à 26 mois de prison pour le vol de huit millions d’identités et des informations de 200 000 comptes Paypal entre le 1er janvier 2010 et le 31 aout 2011.
Ces documents sont intéressants à plus d’un titre. Ils offrent tout d’abord une vision interne de la lutte contre des mouvances qui ont été très actives ces dernières années. On se souvient particulièrement des attaques de LulzSec contre la CIA ou encore le Congrès américain. Peu après, le porte-parole de LulzSec et Anonymous, Jake David, était arrêté (juillet 2011). Il était alors surtout connu par son pseudonyme : Topiary. Mais ces mêmes documents montrent comment les opérations du GCHQ peuvent prendre plusieurs formes, allant de la traque des individus dans des salons de discussions au déclenchement d’attaques DDOS.
Le GCHQ n’a évidemment pas souhaité réagir, se contentant d’un morne « L’ensemble de notre travail est réalisé en parfait accord avec la structure stricte légale existante ».
