Le groupe de hackers Anonymous, fondé en 2003, revient en force après plusieurs années passées dans l’ombre avec l’affaire “BlueLeaks“.

S’étant focalisé sur les données policières aux USA, le groupe a entreprit de s’infiltrer dans les réseaux et de dérober de nombreuses informations relatives à la réponse du gouvernement au Covid-19, Black Lives Matter et aux suspects de crimes ou de terrorisme, car Anonymous combat désormais le terrorisme (officiellement depuis les attentats en France du 13/11/15).

Quelles données ont été volées et dans quelles mesures ? Cette affaire est-elle si critique ?

Note importante : Le but ici est vraiment de présenter la fuite et de réfléchir à ce qu’elle implique. Cet article de Pensée Artificielle n’encourage ni à consulter ni à télécharger la moindre donnée du site DDoSecrets, et on vous recommande la plus grande prudence :

  • les informations publiées ne sont pas forcément véridiques (de faux fichiers ont pu être ajoutés pour orienter l’opinion public)
  • des virus peuvent être présents parmi les fichiers (en particulier ceux en téléchargement Torrent) ou même sur le site, exploitant une faille de votre ordinateur
  • les informations sont à caractère privé pour la plupart et sont (pour certaines) soumises à plusieurs niveaux de confidentialité : les partager pourrait induire des poursuites judiciaires
  • enfin, pour les données sur les “suspects”, rappelons qu’ils ne sont, par définition, pas encore reconnus coupables par la justice

Un million de fichiers du gouvernement américain dans l’affaire BlueLeaks

La plateforme DDOSecrets est connue pour lister des données souvent volées par des pirates informatiques, des hacktivistes. Très récemment, Anonymous y a dépos un jeu de données pesant 269GB et comportant plus d’un million d’images, documents pdf, pages webs, emails, numéros de téléphone… et même numéro de compte bancaires ! Ces données remontent, pour certaines jusqu’à 24 ans (même si le coeur a entre 0 et 10 ans).

Le point commun entre toutes ces informations ? Les agences gouvernementales américaines et la police américaine : ce sont environ 200 départements de police, “fusion centers” (entités aidant à la communication entre les différents services/agences gouvernementaux), et bien d’autres sources qui ont été infectés ou piratés grâce, au départ, à un simple compte corrompu (selon KrebsonSecurity)…

Comme le dit Emma Best (fondatrice de DDoSecrets), “c’est le plus grand hack publié des agences américaines d’application de la loi. Il fournit le regard intérieur le plus proche sur les agences étatiques, locales et fédérales chargées de protéger le public, y compris la réponse du gouvernement au Covid-19 et aux manifestations liées à Black Lives Matter“. De quoi alimenter les médias dans les prochaines semaines, tant les révélations attendues sont importantes.

Les données de BlueLeaks accessibles en ligne, très facilement

Se faire voler des millions de données c’est effrayant. Retrouver librement l’ensemble de ses données en lecture sur Internet, c’est catastrophique !

Sur la page de DDoSecrets, les données sont librement consultables (crédit : screenshot du site DDoSecrets, tous droits réservés)

Comme on le voit dans la screenshot ci-dessus 564 701 images sont consultables, et les documents concernent… 254 pays ! On peut aussi y trouver quels sont les emails touchés, certains ayant permis à Anonymous de récupérer jusqu’à 14 055 documents (hors screenshots pour des raisons de confidentialité), un millier de numéros de comptes bancaires ou 422 numéros de téléphones (à noter qu’il y a évidemment des doublons).

Conclusion : un problème d’état ou généralisé ?

Si cette fuite est impressionnante, c’est avant tout pour l’impact politique qu’elle va avoir. Comment le gouvernement américain va-t-il réagir, en pleine campagne électorale, aux scandales qui risquent d’éclater ? Et en quoi cette publication va dans le sens de la lutte contre le terrorisme, si des suspects (et non des criminels, c’est important) sont dévoilés puis stigmatisés ?

Pour notre part, en France, la plupart des gens n’ont pas confiance en le gouvernement pour conserver leurs données personnelles. En tant qu’entreprises, on constate la même méfiance et on sait qu’il est très difficile (voire impossible) de garantir une sécurité totale pour nos services en ligne.

Ceci étant, en formant les collaborateurs aux règles basiques de sécurité, on peut éviter de nombreux drames – dont BlueLeaks – en évitant d’avoir un compte corrompu servant de cheval de Troie dans son réseau…

Au final, cette fuite nous concerne toutes et tous, car elle souligne encore une fois l’incapacité des gouvernements à assurer la protection de leurs données, puis des nôtres, mais cela vaut aussi pour les entreprises (je pense notamment à l’affaire de la reconnaissance faciale des minorités en Chine de l’été dernier). L’intelligence artificielle s’appuie sur ces données, et dans l’absolu rien ne nous empêche d’utiliser des données volées pour entraîner nos IA, cela “ne peut pas se savoir une fois l’IA en production”. Pourtant, il est important de placer une limite éthique et morale à ce que l’on utilise et comment on sécurise ce que prédit notre IA, ou ce que l’on génère/utilise pour l’entraîner.

L’affaire BlueLeaks a donc le mérite de soulever des questions pour nous qui travaillons tous autour et avec la donnée !

Crédit de l’image de couverture : image modifiée (coupée) de TheDigitalArtistPixabay License