Le mouvement des Anonymous est-il en train de vivre une crise de mi-parcours ? Il ne fait aucun doute que le collectif de pirates, plus ou moins organisé, a gagné des soutiens et de l'attention au cours de l'année, suite notamment aux attaques menées contre PayPal, Sony, l'entreprise de sécurité HBGary Federal qui travaille pour le gouvernement américain, mais aussi grâce aux diverses perturbations créées par son groupe parent, LulzSec. Mais, le groupe a peut-être besoin de gagner un peu en maturité, afin de mieux faire passer son message. A l'occasion de la conférence Defcon, samedi dernier à Las Vegas, des experts en sécurité informatique ont donné trois conseils aux Anonymous, afin qu'ils soient plus efficaces.

1. Attention aux nouveaux membres.

Suite à l'attaque par déni de service (DoS) menée contre le site de PayPal en décembre 2010, l'entreprise avait remis au FBI (Federal Bureau of Investigation) environ 1 000 adresses IP en relation avec l'assaut. Mais les personnes impliquées pensaient sans doute qu'elles téléchargeaient simplement le logiciel LOIC (Low Cannon Ion Orbit) qu'Anonymous utilise pour mener ses attaques. Elles l'ont fait pour se joindre à un mouvement de protestation, et non pour être accusées de commettre un crime fédéral.

« Les Anonymous sont porteur d'une idée qui fait son chemin : n'importe qui peut se joindre à eux et prendre les armes. Mais ils ne préparent pas ceux qui veulent les soutenir à utiliser leurs outils », a déclaré un expert en sécurité, connu sous le pseudonyme de Jericho, et fondateur du site web Attrition.org sur lequel on peut trouver des informations sur la sécurité informatique. « Anonymous doit éduquer ses supporters et bien informer le public sur ses objectifs. »

Gregg Housh, un porte-parole des Anonymous, dit avoir été submergé de courriels pendant les attaques du mois de décembre. Ceux-ci émanaient de néophytes qui cherchaient à rejoindre le mouvement. Tous les courriels disaient : « je ne sais pas ce que vous faites, mais je voudrais vous aider », a t-il raconté. « Pendant plus de deux jours, toutes les heures, j'ai reçu 100 à 150 messages de ce genre. » Mais il ne pouvait même pas répondre aux mails, « car j'aurais pu être accusé de participer à des activités criminelles. » Celui-ci fait remarquer au passage qu'il existait un canal IRC (Internet Relay Chat) du nom de « New Blood », utilisé par les membres d'Anonymous pour communiquer et apporter leur aide.

2. Attention à ce que vous divulguez.

Anonymous a fait connaître au public les campagnes de désinformation menées par HBGary Federal pour discréditer des organisations comme Wikileaks. Mais, selon un autre blogueur, expert en sécurité, connu sous le pseudo de Krypt3ia, l'entreprise de sécurité est loin d'être la seule à mener ce type d'opérations. « Voilà longtemps que ça se passe comme ça dans le secteur privé », a-t-il indiqué. « Ce n'est pas nouveau. Et HBGary est juste une entreprise épinglée parmi d'autres. »

Cela signifie qu'il y a de bonnes chances pour qu'Anonymous soit un jour la cible d'une campagne de désinformation de ce genre. N'importe quel pirate pourrait laisser sur l'ordinateur où il s'est introduit un fichier avec le slogan d'Anonymous, « Nous sommes légion » pour porter préjudice au groupe. Il n'y a aucun moyen de l'en empêcher. « Comment faire la différence entre une vraie action ciblée et une action de désinformation ? », demande Krypt3ia.

3. Attention aux dommages collatéraux.

Lorsque, il y a deux mois, le groupe LulzSec, a publié les noms et mots de passe de milliers d'utilisateurs, il n'a pas fallu longtemps pour que quelques-uns soient touchés. Certains ont vu leurs comptes de messagerie compromis et constaté que des commandes frauduleuses avaient été passées en leur nom sur Amazon suite à la diffusion de cette liste. Les Anonymous disent qu'ils veulent dénoncer l'hypocrisie des entreprises et la corruption des gouvernements. Mais rendre publiques les informations personnelles de gens ordinaires ne contribue pas à servir cette cause. 

« Anonymous a livré les mails de HBGary. Mais historiquement, la meilleure information est toujours venue de sources internes.» Ce fut le cas de Deep Throat (l'agent du FBI Mark Felt) dans le cas du Watergate, ou encore de Bradley Manning, le membre des forces armées qui a livré les câbles diplomatiques et autres documents à Wikileaks. « Ces informations ne sont pas venues des pirates eux-mêmes », a déclaré Krypt3ia. « Les véritables révélations émanaient des initiés. »

Il était prévu que, pendant la conférence où se sont exprimés Jericho et Krypt3ia, l'ancien PDG de HBGary Federal, Aaron Barr, prenne également la parole. Mais suite aux menaces juridiques formulées par son ancien employeur, celui-ci est resté à l'écart du podium. « HBGary essaie de prendre ses distances avec Aaron Barr, mais le fait de l'empêcher de s'exprimer ne va probablement pas plaire aux pirates qui soutiennent les Anonymous », a déclaré Joshua Corman, un chercheur en sécurité, également présent à la conférence. Selon lui, HBGary vient en quelque sorte « de se désigner comme cible. »

Illustration : DefCon (crédit IDGNS)