Un groupe de hackers se faisant appeler le Armée électronique syrienne (SEA) a reçu une quantité inhabituelle de presse ces derniers temps, plus récemment après avoir détourné les sites Web de Le New York Times entre autres. Mais étonnamment peu de lumière a été faite sur les individus derrière ces attaques qui ont fait la une des journaux. A partir d’aujourd’hui, je vais m’intéresser de plus près à cette organisation, en commençant par l’un des principaux architectes du groupe.
Plus tôt cette année, j’ai signalé que – dans l’observation apparente des sanctions commerciales internationales contre la Syrie – Solutions réseau LLC. et sa société mère Web.com avait saisi des centaines de domaines appartenant à diverses entités syriennes. Parmi les domaines pris dans cette action figuraient plusieurs sites appartenant à la SEA.
A l’époque, la SEA avait la majorité de ses sites hébergés sur des adresses Internet appartenant au Société informatique syrienneune organisation considérée comme un précurseur de l’AES et qui était auparavant dirigée par un Syrien Président Bachar al-Assad. Suite aux saisies du domaine Web.com, la SEA a été obligée de trouver de nouveaux foyers pour ses domaines. Bientôt, le groupe a déplacé ses domaines syrianelectronicarmy.com et mer.sy à un hôte en Russie (ajoutant sans aucun doute un refroidissement supplémentaire aux relations déjà glaciales entre les États-Unis et la Russie vis-à-vis de la Syrie).
Au cours de cette période de transition, le site Web principal de la SEA a été piraté. Comme dans… complètement possédé. Selon une source confidentielle, le ou les attaquants ont eu accès aux serveurs virtuels qui hébergeaient le site de la SEA et ont téléchargé l’intégralité de la base de données des utilisateurs de sea.sy et syrianelectronicarmy.com. Étonnamment (ou peut-être moins pour de nombreux chercheurs en sécurité qui ont rejeté la SEA comme étant principalement un groupe de pirates informatiques tenaces mais relativement non qualifiés), bon nombre des meilleurs membres ont réutilisé les mots de passe qu’ils ont choisis pour leurs comptes sea.sy sur leur Hotmail, Comptes de messagerie MSN et Outlook.
Un extrait de la base de données piratée de syrianelectronicarmy.com. Dans la troisième colonne se trouvent les mots de passe en texte brut.
Dans presque tous les vidages d’une base de données d’utilisateurs de site Web, il est généralement prudent de supposer que les premiers utilisateurs répertoriés sont les fondateurs et les administrateurs du site. Dans la base de données piratée sea.sy, par exemple, nous pouvons voir que les deux premiers noms d’utilisateur du tableau sont « admin » et « admin2 ». L’adresse e-mail d’Admin2 est répertoriée comme [email protected]. La dernière entrée dans la base de données date du 19 avril 2013, quelques jours seulement après que Web.com a commencé à saisir les noms de domaine de son écurie avec la désignation « .sy ».
Une recherche Google sur cette adresse e-mail révèle ses liens avec le SEA et montre que le compte était en 2010 lié à un compte désormais abandonné. hackforums.net utilisateur nommé « SyRiAn_34G13 » (laisser parler pour « l’aigle syrien »). Une recherche WHOIS inversée sur domaintools.com sur l’adresse [email protected] montre qu’elle a été utilisée en février 2011 pour enregistrer un site appelé codepassion.net.
Codepassion.net n’est plus actif (peut-être parce que il a été piraté et dégradé en mai 2012 par d’autres script kiddies), mais grâce au Wayback Machine à l’indispensable Internet Archive, on peut voir que le site répertorie comme son créateur un « web designer virtuose » de 23 ans nommé Mohammed de Damas, en Syrie. Mohammed dit qu’il est développeur principal dans une entreprise à Damas appelée Solutions flexibles. Mohammed révèle que son nom de famille est « Osman » lorsqu’il établit un lien avec son Facebook et DeviantART comptes, ainsi que ses Adresse Gmail ([email protected]). Ce même compte Gmail est également utilisé pour un autre compte dans la base de données sea.sy : يوزر – que Google traduit en « Yozer » « Utilisateur » et utilisé le mot de passe « 963100 ».
Le compte DeviantART d’Osman – « medothelost » – dit en arabe qu’il est membre du Rassemblement national syrien libre, membre fondateur du Mouvement de la jeunesse civile syrienne et membre du Parti nationaliste social syrien. Un autre compte nommé « medothelost » dans la base de données sea.sy utilise l’adresse e-mail [email protected] et le mot de passe « 963100 ».
On dirait que depuis qu’il travaille chez Flex Solutions, Osman s’est retiré de lui-même et a légèrement changé d’identité : l’exécution d’une autre recherche d’enregistrement WHOIS inversée sur domaintools.com montre que [email protected] a été utilisé pour enregistrer le site mohamadstudio.com (Je suppose que mohamMEdstudio.com a déjà été pris ?). Quoi qu’il en soit, Osman Chronologie de Mohamed en dit plus aux lecteurs sur ce gars, qui dit qu’il a récemment a déménagé en Turquie. Il répertorie actuellement son nom comme Mohamad Abd AlKarem. À peu près au même moment où Mohammed Osman a cessé de tweeter à @osmancode (27 avril 2013), @mohamadabdalkarem démarré. Osman/AlKarem n’a pas pu être joint dans l’immédiat pour un commentaire.
Il y a peu de temps, Vice.com ruiné mes intrigues et publié des informations sur le prochain gars que j’avais prévu de profiler dans cette série – l’individu répertorié comme utilisateur enregistré numéro 4 dans la capture d’écran de la base de données ci-dessus : « ThePro ». Voir leur histoire ici pour en savoir plus sur lui. Heureusement, il y a assez ici pour m’occuper encore un moment.
Mise à jour, 29 août, 14 h 23 HE : Plusieurs journalistes m’ont contacté pour dire qu’ils avaient eu des nouvelles de la personne à [email protected], qui a affirmé qu’il n’était pas membre de SEA et que je n’ai jamais été contacté ; en fait, j’ai envoyé un courriel à cette même adresse hier pour demander une entrevue. Je n’ai pas non plus reçu de réponse du Compte Twitter lié à Mohamad Abd Al Karem). Il y a quelques minutes, M. Osman a répondu à mon e-mail, déclarant qu’il ne faisait pas partie de la SEA, et de plus s’il l’était, aurait-il été si négligent avec ses informations ? Il a également déclaré que Mohamad Abd Al Karem n’était pas lui mais son client. Voici sa réponse :
« Cher Monsieur
Je ne suis pas membre de « Syrian Electronic Army », et si je l’étais, est-ce que je mentionnerais où je travaille, publierais ma photo personnelle comme déclarant mes opinions politiques ?
Cher Monsieur, Si j’étais membre de SEA, est-ce que je publierais où j’habite et mon vrai nom, feriez-vous cela ?
En fait, je crois que l’homme le plus stupide du monde ne le ferait pas, alors qu’en est-il de quelqu’un qui pourrait être considéré comme l’un des meilleurs hackers ?
Ainsi cher, vous pouvez vérifier que je ne suis pas membre de SEA, pas aussi leur chef, tout comme vous l’avez mentionné dans l’un de vos articles, en fonction d’informations étranges qui n’ont – en tout cas – aucun rapport avec un fait.
Soit dit en passant, M. Muhammad Abed Al-Karim est mon client, et j’ai fait une réservation comme tout autre client commun régulier.
Mise à jour, 30 août, 12h14 : Mashable publié une histoire après avoir interviewé AlKarem, qui cite AlKarem disant qu’il n’est pas Osman ; AlKarem a déclaré à Mashable qu’il connaissait Osman via le site Web d’art DeviantART, mais les deux ne se sont jamais rencontrés dans la vraie vie. AlKarem a déclaré à la publication que bien qu’Osman ait développé des graphiques pour la SEA, « je ne pense pas qu’il en soit membre ». Entre-temps, Carte mère a couru un morceau Mercredi affirmant avoir identifié un autre membre de la SEA ; cette publication comportait un tweet de l’un des dirigeants de SEA, « ViCt0r », qui l’année dernière a crié à d’autres membres de SEA, dont Mohammed Othman.
À l’appui de la déclaration d’Osman selon laquelle AlKarem n’est qu’un client, les enregistrements d’hébergement de domaine pour mohamadstudio.com, qui répertorient l’employeur d’Osman, FlexSolutions, comme contact technique. Aussi le site personnel d’Osman — osmancode[dot]com – comprend une photo de lui qui semble différente de celle sur le site d’AlKarem. Sur la base des preuves disponibles, il semble probable qu’AlKarem et Osman soient deux personnes différentes. L’image du site d’AlKarem a été retirée de cette histoire.