Comment les hackers de Lizard Squad font leur pub sur le dos de Facebook

Ce matin, Facebook et Instagram ont été victimes d'une panne. Dans les minutes qui ont suivi, le collectif de pirates Lizard Squad, auteur du piratage des réseaux de jeux en ligne de Sony et Microsoft à Noël dernier, ont semblé revendiquer l'action sur Twitter. Encore eux ? Pas cette fois. Facebook a démenti tout piratage et invoque un problème technique. Qui sont ces soi-disant hackers, qui ne reculent devant rien pour accroître leur notoriété ?

Sur son compte Twitter, dont le premier tweet remonte au 13 décembre, Lizard Squad ("la brigade lézard") indique exister depuis 2010. Mais ses premiers faits d'armes renvoient au mois d'août 2014. Le site d'Infosec, un institut de formation en sécurité informatique, retrace leurs opérations. Le 18 août, ils font tomber les serveurs du jeu en ligne League of Legends. Le 24, ils attaquent pour la première fois le Playstation Network (PSN), le serveur de jeu en réseau de Sony. Le 23 novembre, c'est le jeu Destiny qui est visé. Le 1 décembre, au tour du Xbox Live de Microsoft. Le 8, rebelote sur le PSN. Ensuite surviennent les deuxgrosses attaques sur le PSN et le Xbox Live le 25 décembre, qui empêchent pendant deux jours les joueurs de tester les jeux qu'ils ont eu à Noël. Une attaque sur Tor est également menée. Enfin, le 26 janvier, ils piratent le site de la compagnie aérienne Malaysia Airlines. Ils auraient par ailleurs essayé plusieurs fois de pirater le site d'une société d'e-sport, UMG Events.

Le 30 décembre, une première arrestation a lieu à Twickenham dans la banlieue de Londres, dans le cadre de l'enquête, pour des faits de cybercriminalité étalés entre 2013 et août 2014, et impliquant des fraudes sur Paypal, selon la Police. Un jeune homme de 22 ans, Vinnie Omari, est interpelé et suspecté de faire partie de Lizard Squad. En janvier, une seconde interpellation a lieu près de Liverpool, toujours en Angleterre. Il s'agit d'un homme de 18 ans, suspecté d'avoir participé à l'attaque contre le PSN et le Xbox Live à Noël.

Interviewé par le Washington Post, un homme se présentant comme un membre de Lizard Squad a révélé que la plupart de ses comparses résidaient dans l'Union européenne et en Europe de l'Est. D'après des fichiers de membres supposés postés sur Pastebin en août par un ennemi du groupe, d'autres habiteraient au Canada et aux Etats-Unis, écrit Le Monde. Ils répondent à des pseudos comme Komodo, Iguane, Chameleon, Vagineer ou Gecko. C'est tout ce que l'on sait de cette "organisation", si tant est qu'elle en soit une.

Leurs motivations sont floues, mais pas politiques. Et malgré cette interview au Washington Post, dans laquelle le pirate évoque la volonté d'exposer des failles de sécurité dans le but que le public se rende compte qu'il fait confiance à des entreprises qui n'en sont pas dignes, l'explication ne convainc pas. Les attaques de Lizard Squad, qui ne demandent pas de grandes connaissances techniques - des attaques DDOS qui font tomber les sites en noyant leurs serveurs sous des montagnes de requêtes simultanées, et des défacements qui remplacent le contenu original des sites par un autre -, ont surtout pour but de faire parler d'elles et d'emmerder le monde.

"Un de nos plus grands buts est de s'amuser", déclare Lizard au WaPo. Dans un communiqué de l'été 2014, qui parlait alors de dissolution, le groupe expliquait avoir "prouvé qu'un petit groupe d'amis travaillant ensemble peut créer un grand chaos sans subir de répercussions judiciaires".

Lizard Squad a aussi son rap, retraçant ses exploits. La chanson a été mise en ligne sur le site de Malaysia Airlines lors de son piratage.

On a donc affaire à un groupe de casseurs qui annonceraient leurs opérations à l'avance pour avoir un maximum de retombées médiatiques. Et ce n'est pas désintéressé. Car les Lizard gèrent par ailleurs un réseau de routeurs et de botnets (250.000 à 500.000 matériels infectés) utilisés pour louer des capacités d'attaques DDOS. N'importe qui peut recourir à leurs services, vous ou moi, pour rendre un site indisponible quelque temps, pour quelques centaines d'euros. Ils le commercialisent à l'adresse lizardstresser.su, enregistrée en Russie le 26 décembre 2014. Un membre de Lizard a ainsi raconté à DailyDot que l'attaque de Noël n'était qu'un "immense coup marketing" pour promouvoir LizardStresser, qui aurait par exemple été utilisé pour attaquer 4chan début janvier. Le comble, c'est que leur site n'était lui-même pas bien protégé et qu'ils se sont faits hacker mi-janvier, et voler 11.000 dollars en bitcoin.

Via leur compte Twitter, Lizard Squad renvoie aussi sur une page permettant d'acheter des abonnements à vie aux services de Mega, le site de Kim Dotcom, pour 30 dollars en bitcoin. Ce dernier a en effet conclu un marché inattendu avec Lizard Squad, leur offrant 3000 coupons en échange de l'abandon de leur attaque sur le Xbox Live. Le fantasque homme d'affaires avait une envie urgente de jouer...

Chez Lizard Squad, les blagues de mauvais goût sont au service d'une petite cybercriminalité. Une caractéristique qu'il partage avec LulzSec, groupe de hackers dissout en 2011. Le 24 août, le groupe lance une fausse alerte à la bombe contre un avion transportant le président de Sony Online Entertainment John Smedley, qui finira escorté par l'armée. Les fausses alertes semblent être un de leurs passe-temps favori, puisque le jeune de 18 ans arrêté à Liverpool serait également impliqué dans des affaires de "swatting", un genre de canular téléphonique consistant à faire intervenir la police chez des gens sur la foi d'un appel anonyme.

Autre fait d'arme, le défacement du site de la compagnie Malaysia Airlines, dont deux avions se sont crashés l'année dernière. Lizard Squad n'a rien trouvé de mieux qu'afficher sur sa page d'accueil le message "404: Plane not found" ("avion non trouvé", en référence au traditionnel message d'erreur sur internet "404 page non trouvée). Et ce n'est pas fini, puisque le groupe a ajouté que le site avait été "piraté par le CyberCalifat", faisant référence aux cyberdjihadistes de l'EI.

Peu après, ils remplaçaient cette page par une image de lézard à monocle et en smoking. Une image qui là encore fait penser à l'iconographie de LulzSec, dont le pirate qui a répondu au Washington Post se réclame sans doute, puisqu'il a emprunté le pseudo de Ryan Cleary, le nom d'un des hackers de LulzSec condamné en 2011 pour des faits de cybercriminalité.

Ce profil établi, il y a peu de risque que Lizard Square soit en capacité de rendre inaccessible un site comme Facebook, comme il s'en est vanté, selon Amichai Shulman, directeur de la technologie au sein de la société spécialisée dans la sécurité Imperva. Contacté par L'Express, il nous explique que "faire tomber Facebook par une attaque DDOS impliquerait tellement de requêtes que cela 'casserait' internet". "Ce n'est pas impossible, bien sûr, mais ce serait très complexe". Cette fois, Lizard Squad a vu trop grand pour être crédible.