Maia arson crimew

pirate informatique suisse

maia arson crimew[1] (anciennement connue sous le nom de Tillie Kottmann, et également connue sous les pseudonymes deletescape et antiproprietary ; née le ) est une développeuse et hackeuse suisse. Elle est connue pour avoir divulgué du code source et d'autres données d'entreprises dont Intel et Nissan, et pour avoir découvert une copie de 2019 de la liste d'interdiction de vol du gouvernement américain sur un serveur non sécurisé de CommutAir. crimew faisait également partie d'un groupe qui a piraté Verkada (en) en et a accédé à plus de 150 000 caméras. crimew a cité l’anarchisme, l’anticapitalisme et son opposition au concept de propriété intellectuelle comme motifs de son piratage.

maia arson crimew
Un selfie de crimew en 2022
Biographie
Naissance
(25 ans)
LucerneVoir et modifier les données sur Wikidata
Surnom
deletescape, antiproprietary
Nationalité
Domicile
Activité
Autres informations
Idéologie
Membre de
Site web
Blog officiel

En , crimew est inculpée par un grand jury aux États-Unis pour à son activité présumée de piratage entre 2019 et 2021. Les accusations n'étaient pas liées au piratage de Verkada. Son domicile et celui de ses parents ont été perquisitionnés par la police suisse à la demande des autorités américaines, et ses appareils électroniques ont été saisis. Le magazine suisse Republik l'a comparée à Jeremy Hammond et Aaron Swartz.

Fuites de données et de code source

modifier

En juillet 2020, crimew publie le code source de dizaines d'entreprises sur un dépôt GitLab[2]. Le Gigaleak de Nintendo lui est attribué par Bleeping Computer, mais elle dit plus tard à Tom's Guide que les données de Nintendo n'étaient pas incluses dans la fuite de juillet et qu'elle n'avait jamais posté de code Nintendo sur GitLab car la société était « réputée pour ses demandes de retrait (en) rapides »[3]. Le , crimew téléverse plus de 20 gigaoctets de données propriétaires et de code source d'Intel sur Mega[4]. Elle les a obtenues d'un autre pirate informatique qui a affirmé les avoir subtilisées d’Intel vers [5], et a décrit la fuite comme une première étape qui serait suivie par d'autres fuites liées à Intel[4],[6]. En , crimew est impliquée dans une fuite de code source de Nissan, déclarant qu'elle avait acquis le code divulgué après avoir appris d'une source anonyme qu'un serveur Bitbucket[7] avait été configuré avec le nom d'utilisateur et le mot de passe par défaut[8],[9].

crimew a déclaré en que la plupart de ses infractions ne nécessitaient pas beaucoup de compétences techniques[10]. En plus de divulguer elle-même des données, elle a maintenu un canal Telegram nommé « ExConfidential »[11] où elle a partagé des détails sur les fuites réalisées par d'autres[2],[6]. En , le site Distributed Denial of Secrets créée un torrent de données à partir du canal après la perquisition du domicile de crimew et la saisie de ses appareils[12].

En , crimew découvre et signale une vulnérabilité dans l'application de santé mentale Feelyou, qui exposait les adresses e-mail de près de 80 000 utilisateurs et permettait à quiconque de faire le lien entre des publications censées être anonymes et les adresses e-mail des utilisateurs qui les avaient publiées[13].

Piratage de Verkada

modifier

Le , un groupe de hackers comprenant crimew se faisant appeler « APT - 69420 Arson Cats »[14],[15] obtient les droits de super-utilisateur sur le réseau de Verkada (en), une société de caméras de sécurité basée sur le cloud[16], en utilisant des informations d'identification qu'ils ont trouvées sur Internet[17]. Le groupe a eu accès au réseau pendant 36 heures[16]. Il collecte environ 5 gigaoctets de données, y compris des images de caméras de sécurité en direct et des enregistrements de plus de 150 000 caméras dans des lieux comme une usine Tesla, une prison en Alabama, un hôpital Halifax Health (en) et des domiciles[18]. Le groupe a également accédé à une liste de clients Verkada et aux informations financières privées de l'entreprise[17] et a obtenu un accès super-utilisateur aux réseaux d'entreprise de Cloudflare et d’Okta via leurs caméras Verkada[19].

crimew a agi en tant que porte-parole du groupe de hackers[20]. Son compte Twitter est suspendu pour avoir enfreint les conditions d'utilisation de Twitter après l'avoir utilisé pour partager plusieurs captures d'écran de flux de caméras de sécurité en direct[21]. Pendant le piratage, crimew tweete « Et si nous mettions définitivement fin au capitalisme de surveillance en deux jours ? »[21]. Elle contacte un journaliste de Bloomberg peu de temps après la fuite de données, qui à son tour a contacté Verkada, qui a supprimé l'accès des pirates au réseau[22],[23],[24]. Elle a déclaré à Bloomberg que le piratage a révélé « à quel point nous sommes largement surveillés et le peu de soin apporté à au moins la sécurisation des plates-formes utilisées pour le faire, ne poursuivant que le profit ». Une connaissance du crimew a dit à Zentralplus (de) qu’elle pense que crimew a effectué le piratage pour le plaisir et sans lien avec ses opinions politiques[25].

Piratage de la No Fly List et de la Selectee list

modifier

Le , crimew a signalé qu'elle avait eu accès aux versions de 2019 de la liste d'interdiction de vol du gouvernement américain, longue de 1,56 million d'entrées, ainsi que de la Selectee list de 250 000 entrées publiées par CommuteAir sur un serveur cloud Amazon Web Services non sécurisé[26],[27],[28],[29]. Selon crimew, les noms dans la Terrorism Scanning Database sont presque exclusivement d’origine arabe et russe[30] ; plus de 10% des entrées répertoriées contenaient « MUHAMMED » dans les champs du prénom ou du nom[29].

Inculpation

modifier
 
Bannière montrant la saisie du domaine git.rip par le FBI

En , crimew est inculpée par un grand jury de la cour de district des États-Unis du district ouest de Washington pour des accusations liées à plusieurs piratages qu'elle aurait commis entre 2019 et 2021. L'acte d'accusation de douze pages[20] alléguait que crimew avait piraté des dizaines d'entités[31], publié des informations et du code propriétaires de plus de 100 entités, y compris des agences gouvernementales[32], et vendu des produits dérivés liés au piratage tels que des t-shirts[33]. Il l'a inculpée de fraude et d'abus informatiques, de fraude électronique (en) et d'usurpation d'identité. L'acte d'accusation et un raid de la police suisse au cours duquel les appareils électroniques de crimew ont été saisis à la demande des autorités américaines, sont intervenus peu de temps après qu'elle a revendiqué son implication dans le piratage de Verkada, mais ne contenait aucune accusation à ce sujet[34],[35],[36]. Sept policiers ont fouillé son domicile pendant le raid et quinze ont fouillé le domicile de ses parents[23]. Le site web git.rip, par l'intermédiaire duquel crimew et d'autres auraient partagé des données obtenues par piratage, a été saisi par le FBI[37].

Au , crimew est représentée en Suisse par l'avocat Marcel Bosonnet[31],[38]. Une campagne de financement participatif a été créée en pour collecter des fonds pour sa défense légale aux États-Unis[39].

Réponse publique

modifier

Le hashtag « #freetillie » a été utilisé pour exprimer du soutien à crimew après le raid de son domicile[25],[40]. La chercheuse en piratage Gabriella Coleman a déclaré qu'elle s'attendait à ce que crimew gagne plus de soutien de la part de la communauté du hacking à la suite de l'acte d'accusation, déclarant que le gouvernement des États-Unis a été trop agressif dans la poursuite des pirates qui poursuivent des idéaux de gauche et anti-autoritaires[33]. Selon un article de Republik, crimew est « dans la tradition de hackers tels que Jeremy Hammond et Aaron Swartz »[23]. Hernâni Marques, membre du comité de la section suisse du Chaos Computer Club, a appelé à la « solidarité » avec crimew[41]. Les procureurs de Seattle ont dénoncé ce soutien, Tessa M. Gorman (en) déclarant que « se cacher dans des motivations prétendument altruistes ne supprime pas les relents criminels d’intrusions, de vols et de fraudes pareils »[33].

Tandis que les médias en dehors de la Suisse ont loué crimew pour avoir révélé des failles de sécurité dans les systèmes de surveillance centralisés aux États-Unis, le magazine null41 rapporte que les médias suisses se sont largement concentrés sur crimew elle-même, en particulier son identité de genre et son apparence[42].

Possibilité d’extradition ou de jugement en Suisse

modifier

Après l'inculpation, un porte-parole du ministère américain de la Justice a déclaré à Blick que la procédure avait été suspendue, expliquant que les États-Unis ne poursuivraient pas l'affaire à moins que crimew ne soit présente aux États-Unis et défendue par un avocat[20]. crimew a exprimé sa confiance qu'elle ne sera pas extradée vers les États-Unis. L’avocat suisse Roman Kost a déclaré que la loi suisse sur l'extradition n'autorise pas l'extradition de citoyens sans leur consentement, mais que les pirates informatiques suisses « peuvent être jugés en Suisse s'il existe suffisamment de soupçons et de preuves, et peuvent être punis s'ils sont reconnus coupables »[33]. Le Département fédéral de justice et police de la Suisse a confirmé à Zentralplus (de) qu'il n'extrade pas les ressortissants suisses contre leur volonté[43]. Le journal suisse Le Temps a rapporté que crimew ne serait pas extradée et serait plutôt jugée en Suisse[44].

20 Minuten a rapporté que si crimew était jugée en Suisse, elle encourrait un maximum de quatre ans et demi de prison[41]. Hernâni Marques a déclaré que « la plupart de ce qu’elle a fait ne serait pas punissable en Suisse », soulignant qu'une grande partie des données criminelles divulguées étaient accessibles au public sur Internet et affirmant que le piratage de Verkada était « légitime et utile pour la société » en raison du problème de confidentialité qu'il a exposé[23]. En , Blick rapporte qu'un mandat d'arrêt potentiel pour crimew émis par les États-Unis serait probablement exécuté par tous les pays qui partagent une frontière avec la Suisse[20]. En septembre 2021, crimew déclare à null41 qu'elle était certaine qu'elle ne pourrait plus jamais voyager dans certains pays, et que même si elle pouvait voyager à l'avenir, cela serait risqué en raison de la possibilité d'extradition d'autres pays. Elle a noté que contrairement à Julian Assange, elle ne comptait pas sur la bonne volonté d'un pays car la constitution suisse interdit son extradition[42]. En octobre 2021, Zeit Magazin a rapporté que bien qu’Interpol ne rende pas publiques la plupart de ses enquêtes, il était probable qu'un mandat d'arrêt international ait été émis contre crimew, ce qui la rendrait potentiellement incapable de quitter la Suisse[45].

Vie privée

modifier

crimew est née le 7 août 1999 [46] et vit dans le district de Bruch de Lucerne en Suisse alémanique[47]. Adolescente, elle travaille dans l’informatique[25]. Elle a été la fondatrice du lanceur Android « Lawnchair », qui est maintenu par une autre équipe de développement depuis [48],[49]. crimew est non binaire[39] et utilise les pronoms it/its et she/her en anglais. Elle a également été connue sous les noms « deletescape » et « tillie crimew ». En 2022, elle change son nom légal en maia arson[50].

crimew est membre des Jeunes socialistes suisses[47], et a été candidate au conseil municipal de Lucerne en 2020[25] ; un post Facebook de la section lucernoise des Jeunes socialistes utilisait le slogan « Kapitalismus zerstört jegliche Kreativität oder Innovation! » (« Le capitalisme détruit toute créativité ou innovation ! ») pour promouvoir sa campagne[40]. Elle a cité la curiosité[25], l’anticapitalisme, l’anarchisme et l'opposition au concept de propriété intellectuelle comme motifs de ses activités[51],[52], déclarant que « ne se soucier de littéralement rien d’autre que le profit n’aboutit assurément pas à la sécurité »[10]. Elle a en outre déclaré qu'elle pensait que le code source et la documentation devraient être publics, et qu'elle se considérait comme une hacktiviste[42]. Être queer et être victime de discrimination a contribué au développement des opinions politiques de crimew[53]. Sur sa biographie Twitter, crimew se décrit comme une « indicted hacktivist/security researcher, artist, mentally ill enby polyam trans lesbian anarchist kitten » (« hacktiviste/chercheuse en sécurité inculpée, artiste, et chaton malade mentale, non-binaire, polyamoureuse, trans, lesbienne et anarchiste »)[54].

Notes et références

modifier
  1. « crimew » (prononcé en anglais : ['kraɪ,mjuː]) est un mot-valise formé des mots « crime » et de « mew », onomatopée du miaulement en anglais. crimew stylise son nom en minuscules.
  2. a et b (en-US) Ionut Ilascu, « Source code from dozens of companies leaked online » [archive du ], Bleeping Computer, (consulté le )
  3. (en) Nicholas Fearn, « Disney, Microsoft, Nintendo and 50 more hit by massive source code leak [updated] » [archive du ], Tom's Guide, (consulté le )
  4. a et b (en-US) Dan Goodin, « More than 20GB of Intel source code and proprietary data dumped online » [archive du ], Ars Technica, (consulté le )
  5. (en-US) M. Moon, « 20GB of Intel internal documents were leaked online » [archive du ], Engadget, (consulté le )
  6. a et b (en) Catalin Cimpanu, « Intel investigating breach after 20GB of internal documents leak online » [archive du ], ZDNet, (consulté le )
  7. (en-US) Eran Orzel, « Lessons in Securing Development Environments » [archive du ], Security Boulevard, (consulté le )
  8. (en) Catalin Cimpanu, « Nissan source code leaked online after Git repo misconfiguration » [archive du ], ZDNet, (consulté le )
  9. (en) Tim Starks, « Nissan investigated source code exposure, says it plugged leak » [archive du ], CyberScoop, (consulté le )
  10. a et b (en) Thomas Brewster, « Swiss Verkada Camera Hacker Says Attacks Were "Easy, Fun Anarchism"—U.S. Files Charges Over Data Theft » [archive du ], Forbes (consulté le )
  11. (en) « Indictment No. CR21-048 RAJ » [archive du ], Justice.gov, (consulté le )
  12. (en) Lorax B. Horne, « Release: Tillie Kottmann (20 GB) » [archive du ], Distributed Email of Secrets, (consulté le )
  13. (en-US) Mikael Thalen, « Anonymous mental health app Feelyou accidentally exposed 70,000 personal emails » [archive du ], The Daily Dot, (consulté le )
  14. (en-US) « Security camera hack exposes hospitals, workplaces, schools », sur The Seattle Times, (consulté le )
  15. (en) Drew Harwell, « Massive camera hack exposes the growing reach and intimacy of American surveillance », The Washington Post,‎ (lire en ligne  )
  16. a et b (en-US) « Hack of video security company Verkada exposes footage from 150,000 connected cameras » [archive du ], CBS News (consulté le )
  17. a et b (en) Chaim Gartenberg, « Security startup Verkada hack exposes 150,000 security cameras in Tesla factories, jails, and more » [archive du ], The Verge, (consulté le )
  18. (en-US) Dan Goodin, « Hackers access security cameras inside Cloudflare, jails, and hospitals » [archive du ], Ars Technica, (consulté le )
  19. (en) John Graham-Cumming, « About the March 8 & 9, 2021 Verkada camera hack » [archive du ], The Cloudflare Blog, Cloudflare, (consulté le )
  20. a b c et d (de-CH) Beat Michel, « Schweizer Hackerin Tillie Kottmann (21) von US-Justiz angeklagt » [archive du ], Blick, (consulté le )
  21. a et b (en) Jason Murdock, « Twitter suspends Verkada hacker Tillie Kottman's account after Tesla security footage leak » [archive du ], Newsweek, (consulté le )
  22. (en) « Swiss Police Raid Apartment of Verkada Hacker, Seize Devices », Bloomberg.com,‎ (lire en ligne, consulté le )
  23. a b c et d (de) Daniel Ryser, « Die Vereinigten Staaten gegen Tillie Kottmann », Republik,‎ (lire en ligne [archive du ], consulté le )
  24. (de-CH) « Firmen weltweit betroffen – Hacker zapfen 150'000 Kameras an – Opfer wurden Tesla, Spitäler und ein Gefängnis » [archive du ], Tages-Anzeiger, (consulté le )
  25. a b c d et e (de-CH) Lena Berger et Claudio Birnstiel, « So tickt die Hackerin aus Luzern, die das FBI mit ihrem Angriff auf Trab hält » [archive du ], zentralplus (de), (consulté le )
  26. (en) Maia arson crimew, « how to completely own an airline in 3 easy steps » [archive du ], maia :3, maia arson crimew, (consulté le )
  27. (en) Channing Reid, « Hacker Gets Access To The FBI's No Fly List », Simple Flying,‎ (lire en ligne [archive du ], consulté le )
  28. (en) Mack DeGeurin, « Hacker Reportedly Gets Hands on Massive No-Fly List of Alleged Terrorist Suspects », Gizmodo,‎ (lire en ligne [archive du ], consulté le )
  29. a et b (en) « The #NoFly list is a #MuslimBan list » [archive du ], PapersPlease.org, The Identity Project (consulté le )
  30. (en) Mikael Thalen et David Covucci, « EXCLUSIVE: U.S. airline accidentally exposes 'No Fly List' on unsecured server », The Daily Dot, maia arson crimew, (consulté le )
  31. a et b (en) « Verkada Hacker Charged With Wire Fraud, Identity Theft in U.S. », Bloomberg,‎
  32. (en) « National Digest: Swiss hacker charged with computer intrusion, identity theft in U.S. », The Washington Post,‎
  33. a b c et d (en) William Turton, « Swiss Hacker’s Indictment Spotlights Ethics of Activist Attacks », Bloomberg,‎ (lire en ligne  )
  34. (en) « Swiss Police Raid Apartment of Verkada Hacker, Seize Devices », Bloomberg,‎
  35. (en) Maggie Miller, « Justice Department indicts hacker connected to massive surveillance camera breach » [archive du ], The Hill, (consulté le )
  36. (en) Sean Hollister, « A hacker who exposed Verkada's surveillance camera snafu has been raided » [archive du ], The Verge, (consulté le )
  37. (de) « USA klagen Schweizer Hackerin an » [archive du ], Der Spiegel, (consulté le )
  38. (en-US) Dell Cameron, « U.S. Indicts 21-Year-Old Accused of Leaking Stolen Data of Disney, Nintendo, and More » [archive du ], Gizmodo, (consulté le )
  39. a et b (de-CH) « Unterstützer sammeln Geld für Luzerner Hackerin » [archive du ], zentralplus (de), (consulté le )
  40. a et b (de-CH) « Verkada-Hack: Polizei durchsucht Wohnung von Tillie Kottmann in Luzern » [archive du ], Blick, (consulté le )
  41. a et b (de) Angela Rosser, « Luzerner Hackerin Tillie Kottmann wird von den USA angeklagt » [archive du ], 20 Minuten, (consulté le )
  42. a b et c (de) Anja Nora Schulthess et Robyn Muffler, « Die Luzerner Hackerin Tillie Kottmann im Interview » [archive du ], 041 - Das Kulturmagazin, (consulté le )
  43. (de-CH) Lena Berger, « Luzerner Hackerin wird in Amerika angeklagt » [archive du ], zentralplus (de), (consulté le )
  44. « Traqué par les Etats-Unis, le hacker suisse risque 20 ans de prison », Le Temps,‎ (lire en ligne [archive du ], consulté le )
  45. (de-CH) Marlon Rusch, « Hackerin Tillie Kottmann: Tillie gegen die Vereinigten Staaten » [archive du ], Zeit Magazin, (consulté le )
  46. (en) tillie crimew, « @deletescape@notbird.site » [archive du ], notbird.site, (consulté le ) : « i hereby confirm that i was born on august 7th 1999 and that my pronouns are it/its fae/faer she/her they/them. »
  47. a et b (de-CH) « So begründet die Luzerner Hackerin ihre Angriffe auf US-Firmen » [archive du ], zentralplus (de), (consulté le )
  48. (en-US) Damien Wilde, « Development on Lawnchair Launcher resumes after break » [archive du ], 9to5Google, (consulté le )
  49. (en-US) Corbin Davenport, « Lawnchair Launcher resumes development after year-long hiatus » [archive du ], Android Police, (consulté le )
  50. (de) « Heikles Hacken und ein Meme werden - maia arson crimew · Trojaner · Radio 3FACH », sur 3fach.ch (consulté le )
  51. (en) James Vincent, « 'Anti-capitalist' Verkada hacker charged by US government with attacks on dozens of companies » [archive du ], The Verge, (consulté le )
  52. (en) « New wave of ‘hacktivism’ adds twist to cybersecurity woes », Reuters,‎ (lire en ligne, consulté le )
  53. (de-CH) Fabian Vogt, « USA wollen sie dingfest machen: Jetzt redet die meistgesuchte Hackerin der Schweiz » [archive du ], Blick, (consulté le )
  54. (en) « maia arson crimew @_nyancrimew » [archive du ], Twitter (consulté le )

Liens externes

modifier

  NODES
chat 1
innovation 2
INTERN 5
Note 2
Project 1
twitter 5