En quelques mois, les hackers AgainstTheWest se sont fait un nom dans l’underground interlope du web. Sans que l’on saisisse vraiment qui ils sont réellement.

Décidément, ils sont bien intrigants, ces membres d’AgainstTheWest. Sont-ils des hacktivistes pétris d’idéalisme, incluant en partie des membres français ? Ou des agents d’un service de renseignement menant une opération d’influence sous un faux drapeau ? Ou tout simplement des mythomanes ? À défaut de pouvoir trancher définitivement, on peut toutefois déjà retracer leur drôle d’épopée.

Pour AgainstTheWest, également connu par ses initiales ATW et plus tard sous le nom de Blue Hornet, tout commence le 14 octobre 2021. Le groupe de hackers fait alors son apparition publique sur le défunt Raidforums. Dans leur second message sur ce site central dans la fuite de données, AgainstTheWest affirme ainsi avoir piraté la banque centrale chinoise. L’opération, qui aurait demandé deux mois de travail, est dénommée « Renminbi », en référence au yuan chinois. Le groupe assure que cet accès non autorisé lui a permis d’avoir accès à des données internes, vendues seulement 1 200 dollars.

Le groupe revendique ensuite à la fin octobre le piratage du ministère chinois de la sécurité publique. Puis propose, à la mi-novembre, des échantillons de code source volés chez ByteDance, les créateurs du réseau social TikTok. Grâce à une série de fuites de données répertoriées par le chercheur indépendant en sécurité Aaron de Vera, les hackers se construisent donc très vite, en quelques semaines, une solide réputation dans les milieux interlopes du web.

Pour défendre les démocraties libérales

Mais leur profil intrigue. Comme leur nom l’indique mal, ces hackers veulent défendre les démocraties libérales occidentales. « Nous sommes un groupe de personnes qui ont une dent contre les gouvernements autoritaires et corrompus », détaillent-ils dans un thread posté à la fin octobre sur Raidforums.

Ils mentionnent ainsi leur exaspération des cyberattaques chinoises. Autre sujet de mécontentement : le soutien de Beijing à la Corée du Nord. Ils s’indignent enfin du sort réservé à la minorité ouïghoure. Sur Github, le groupe résume le périmètre de ses activités entre journalisme, hacktivisme et cybersécurité.

Cherchant la notoriété, AgainstTheWest se plie volontiers au jeu de l’interview. Comme celle publiée par le site Databreaches.net au début du mois d’avril. La personne interrogée affirme que le groupe rassemble six anciens membres de services de renseignement regroupés autour de Pascal. Un prénom français, qui laisse suggérer un lien entre le groupe et la France. Tout comme l’utilisation, avec parcimonie, de quelques mots de la langue de Molière, comme « merci ».

Le tournant de l’invasion russe

Sans surprise, l’invasion russe de l’Ukraine va donner du grain à moudre à AgainstTheWest. Le groupe prétend ainsi s’être offert les cybercriminels du « CoomingProject », qui venait d’annoncer avoir rejoint le camp russe. Fait plutôt inhabituel, les hackers indiquent alors avoir transmis les données des cybercriminels du CoomingProject aux aux autorités françaises compétentes, là encore un lien avec la France.

Les hackers revendiquent également de nombreuses escarmouches cyber lancées après le début des opérations militaires. AgainstTheWest partage ainsi de nouvelles fuites de données ciblant des entreprises et des administrations russes issues de son opération « Ruble »… le rouble, c’est-à-dire la monnaie russe. Les hackers assurent avoir aussi mis la main sur des informations compromettantes à propos de groupes de hacking chinois et russes. Ils publient même un dox d’un soi-disant membre de Killnet, ce collectif de hackers pro-russes.

Autant de faits d’armes qui prouvent, pour Cyberint, qu’il s’agit des hacktivistes « les plus intéressants » de ces derniers mois. « Leurs capacités les positionnent comme l’un des meilleurs à ce jour », résume cette entreprise dans une publication.

Pourtant, d’autres chercheurs sont bien plus dubitatifs sur l’action d’ATW. La firme de cybersécurité Checkpoint s’interroge ainsi sur la réalité des piratages menés. « Une vérification plus approfondie révèle que pour de nombreuses affirmations, il n’y a pas de preuves solides à part des captures d’écran très génériques qui proviendraient prétendument des organisations violées », remarque l’entreprise. La société Socradar se demande également si le groupe ne remettait pas en ligne d’anciennes fuites pour se faire mousser.

Goût du mystère

Une controverse qui n’a pas dû déplaire à ce groupe, qui maîtrise clairement le marketing de l’intrigue. Il a ainsi choisi comme avatar l’effigie de Max Headroom, un clin d’œil au clip Rap God d’Eminem. Mais cette série de science-fiction des années 1980 est toutefois plus connue aujourd’hui pour un mystérieux hack. Un homme portant un masque à l’effigie de ce personnage d’une série était brièvement apparu en 1987 à l’écran d’une télévision locale de Chicago. Quant à la première adresse de messagerie mentionnée, [email protected], elle cache un message ironique en mentionnant une URL devenue une légende du web

Et à propos de Pascal, présenté comme foudroyé par un cancer en mars, le porte-parole du groupe précise de manière étrange: « Nous ne sommes pas sûrs que cela soit la vérité car seuls ses parents nous ont dit qu’il était décédé. » Les hackers ont ensuite affirmé dans un message, depuis supprimé, être un groupe affilié à un État. Ce qui serait plutôt surprenant, si c’était vrai. Les hackers ont enfin annoncé plusieurs fois l’arrêt de leurs activités, comme dans le message (ci-dessous) à la mi-avril sur Telegram.

Mais plus d’un mois plus tard, à tort ou à raison, une nouvelle fuite visant le GRU, le renseignement militaire russe, vient pourtant de leur être récemment rattachée. « AgainstTheWest ou BlueHornet n’existe plus. Cependant, je travaille moi-même maintenant pour le compte de deux agences de renseignement en Europe », assure pourtant à Numerama la personne qui gère la boîte mail d’ATW. 

Capture channel
Les messages en question. // Source : Capture d’écran Telegram

Comme le relevait Aaron De Vera dans sa newsletter, les spécialistes de la cybersécurité peuvent être circonspects quand un groupe de soi-disant hacktivistes émerge d’un coup au milieu de nulle part. « Mais avec AgainstTheWest, il y a peut-être un soupçon d’authenticité », ajoutait-il. À ce titre, les messages parfois déroutants du groupe plaident plutôt en faveur de la thèse d’idéalistes. Certes doués, mais restant des amateurs.