Vous l'avez probablement lu sur le papier, le site web de la BART (réseau de transports publics métropolitains desservant la région de San Francisco) a été piraté dimanche dernier. Quelques heures après l'intrusion, un fichier contenant les noms d'utilisateurs, accompagnés de leur mot de passe respectif, a été diffusé sur Internet. Les données d'authentification de plus de 2'000 clients du réseau de transports publics ont ainsi été rendues accessibles au public.


Contexte social de l'attaque

L'attaque a été revendiquée et les motivations des pirates s'inscrivent dans le contexte du décès d'un homme de 19 ans, le 18 juillet dernier, tué par un officier de police de la ville de San Francisco. Selon les témoignages relayés par la presse, l'homme aurait été maintenu isolé au sol, agonisant jusqu'au décès, après avoir été abattu par la police alors qu'il n'était pas armé.

C'est la troisième fois en deux ans que les autorités abattent un homme (mais pas le même à chaque fois) perçu par la population comme "désarmé et peu dangereux*" dans, ou autour, des rames du métro de San Francisco. Comme l'on pouvait facilement s'y attendre, l'acte n'a pas manqué de soulever un mouvement citoyen de protestations sous la forme de manifestations, atteignant leur paroxysme jeudi dernier.


*L'on notera que dans ce contexte particulier, la ville de San Francisco est équipée de la technologie de surveillance ShotSpotter, un dispositif de sondes permettant la surveillance et la triangulation en temps réel de tout événement sonore impliquant l'utilisation d'armes à feu.


S'estimant investie d'une mission divine visant à réduire les capacités de coordination des manifestants (et très probablement inspirée par les événements se déroulant simultanément à Londres), la Direction de la BART a alors décidé d'interrompre son système de relais de signaux cellulaires sous-terrain, plaçant ainsi les usagers des transports publics dans un désarroi total. Et oui, nombreux sont celles et ceux qui supportent mal cette sensation d'avoir un téléphone portable déconnecté du réseau, même si ce n'est que pour trois arrêts de métro!

Des membres du groupe de pirates informatiques Anonymous ont alors estimé que la liberté d'expression des citoyens de San Francisco et leur droit de manifester venait d'être bafouée par la BART avec la plus généreuse bénédiction des autorités de la Ville.


Séquencement des intrusions

La première attaque a été menée dans la nuit du dimanche au lundi 15 août dernier contre une plateforme web utilisée par la BART à des fins d'actions marketing. Les pirates se sont emparé des données personnelles (fiches d'identité et coordonnées de contact) de plus de 50'000 usagers des transports publics inscrits dans le site.

Une seconde attaque, elle aussi portant sur les plateformes web du service de transports publics, s'est conclue par l'extraction de plus de 2'000 éléments d'authentification (nom d'utilisateur + mot de passe) des clients de la BART. L'intégrité de son système d'information ayant été compromise en plusieurs points, la BART a alors décidé de limiter l'accès aux rames durant les heures de pointe, bloquant ainsi lundi soir l'accès aux passagers des quatre stations de métro et de train régional parmi les plus fréquentées de la ville.

Une troisième attaque survenue ce mercredi a porté cette fois sur le réseau du groupement de policiers de la police des transports, permettant ainsi l'extraction des données personnelles et codes d'accès de plus d'une centaine d'officiers.

Vous l'aurez probablement deviné, toutes les données volées durant les attaques ont respectivement été rendues publiques peu après leur vol.


Des moyens d'intrusion plus modestes que ce que l'on tente de nous faire croire?

L'élément ironique se trouvera probablement dans les fuites relatives au mode opératoire mis en oeuvre par les pirates pour réaliser ces intrusions. Plusieurs extraits de discussions en ligne ont en effet permis d'identifier les détails techniques de la troisième intrusion informatique: elle aurait été perpétrée par un pirate particulièrement novice vu qu'il s'agissait de sa toute première action offensive. Ou plutôt devrais-je écrire "une pirate particulièrement novice" puisque le suspect numéro un serait actuellement une jeune française Selon les extraits obtenus, il se serait renseigné et formé à différentes techniques d'intrusion dans le but de répondre aux actions récentes de la BART.

Cette intrusion a d'ailleurs été rendue possible grâce à la présence d'une faille logicielle dite "d'injection." Ce type de faille de sécurité est généralement connu de tout pirate informatique, et est placé au sommet du podium des faiblesses logicielles depuis près de cinq ans dans la majorité, sinon l'entièreté, des référentiels et guides de sécurisation d'applications.

Dans la mesure où il s'agit de services publics, le citoyen aurait été en mesure de s'attendre à ce que les recommandations de sécurité aient été mises en oeuvre et que leur bonne implémentation eut été contrôlée par des auditeurs avant leur mise en ligne...


David contre Goliath, épisode 42

Une fois encore, le cas relayé ici présente les caractéristiques typiques, et les opportunités, d'une opposition citoyenne faisant un usage efficace de moyens de lutte relativement asymétriques en comparaison avec ceux déployés par le gouvernement et les autorités. Pas d'inquiétude toutefois, car comme l'on peut s'y attendre, les auteurs de ces infractions seront (comme il en devient coutume) probablement identifiés, inculpés et condamnés à de lourdes peines d'emprisonnement.

L'incarcération de longue durée des "cyberdélinquants"? Une approche résolument durable pour notre société et beaucoup plus économique que de concevoir des systèmes informatiques un tant soit peu résistants aux intrusions, surtout lorsqu'elle vise des jeunes tout récemment entrés dans la vie adulte...



Pour en savoir plus:
- SF police data shows 3 weapons fired (SF Examiner)
- BART site hacked: Anonymous protest decision to block cellphones (International Business Times)
- Bart Network Hacked by Anonymous - passenger data leaked (International Business Times)
- BART Police Site Hacked by Beginner (International Business Times)
- BART Police Website Hacker Claims to Be French Girl Doing First Hack (SF weekly.com)
- Shotspotter system: technology overview
- Le pouvoir des réseaux sociaux dans le collimateur des autorités américaines (Le Point.fr)