AccueilđŸ‡«đŸ‡·Chercher

Maia arson crimew

Maia arson crimew[1] (anciennement connue sous le nom de Tillie Kottmann, et Ă©galement connue sous les pseudonymes deletescape et antiproprietary ; nĂ©e le ) est une dĂ©veloppeuse et hackeuse suisse. Elle est connue pour avoir divulguĂ© du code source et d'autres donnĂ©es d'entreprises dont Intel et Nissan, et pour avoir dĂ©couvert une copie de 2019 de la liste d'interdiction de vol du gouvernement amĂ©ricain sur un serveur non sĂ©curisĂ© de CommutAir. crimew faisait Ă©galement partie d'un groupe qui a piratĂ© Verkada (en) en et a accĂ©dĂ© Ă  plus de 150 000 camĂ©ras. crimew a citĂ© l’anarchisme, l’anticapitalisme et son opposition au concept de propriĂ©tĂ© intellectuelle comme motifs de son piratage.

maia arson crimew
Un selfie de crimew en 2022
Biographie
Naissance
Surnom
deletescape, antiproprietary
Nationalité
Domicile
Activité
Autres informations
Idéologie
Membre de
Site web
Blog officiel

En , crimew est inculpĂ©e par un grand jury aux États-Unis pour Ă  son activitĂ© prĂ©sumĂ©e de piratage entre 2019 et 2021. Les accusations n'Ă©taient pas liĂ©es au piratage de Verkada. Son domicile et celui de ses parents ont Ă©tĂ© perquisitionnĂ©s par la police suisse Ă  la demande des autoritĂ©s amĂ©ricaines, et ses appareils Ă©lectroniques ont Ă©tĂ© saisis. Le magazine suisse Republik l'a comparĂ©e Ă  Jeremy Hammond et Aaron Swartz.

Fuites de données et de code source

En juillet 2020, crimew publie le code source de dizaines d'entreprises sur un dĂ©pĂŽt GitLab[2]. Le Gigaleak de Nintendo lui est attribuĂ© par Bleeping Computer (en), mais elle dit plus tard Ă  Tom's Guide que les donnĂ©es de Nintendo n'Ă©taient pas incluses dans la fuite de juillet et qu'elle n'avait jamais postĂ© de code Nintendo sur GitLab car la sociĂ©tĂ© Ă©tait « rĂ©putĂ©e pour ses demandes de retrait (en) rapides »[3]. Le , crimew tĂ©lĂ©verse plus de 20 gigaoctets de donnĂ©es propriĂ©taires et de code source d'Intel sur Mega[4]. Elle les a obtenues d'un autre pirate informatique qui a affirmĂ© les avoir subtilisĂ©es d’Intel vers [5], et a dĂ©crit la fuite comme une premiĂšre Ă©tape qui serait suivie par d'autres fuites liĂ©es Ă  Intel[4] - [6]. En , crimew est impliquĂ©e dans une fuite de code source de Nissan, dĂ©clarant qu'elle avait acquis le code divulguĂ© aprĂšs avoir appris d'une source anonyme qu'un serveur Bitbucket[7] avait Ă©tĂ© configurĂ© avec le nom d'utilisateur et le mot de passe par dĂ©faut[8] - [9].

crimew a dĂ©clarĂ© en que la plupart de ses infractions ne nĂ©cessitaient pas beaucoup de compĂ©tences techniques[10]. En plus de divulguer elle-mĂȘme des donnĂ©es, elle a maintenu un canal Telegram nommĂ© « ExConfidential »[11] oĂč elle a partagĂ© des dĂ©tails sur les fuites rĂ©alisĂ©es par d'autres[2] - [6]. En , le site Distributed Denial of Secrets crĂ©Ă©e un torrent de donnĂ©es Ă  partir du canal aprĂšs la perquisition du domicile de crimew et la saisie de ses appareils[12].

En , crimew dĂ©couvre et signale une vulnĂ©rabilitĂ© dans l'application de santĂ© mentale Feelyou, qui exposait les adresses e-mail de prĂšs de 80 000 utilisateurs et permettait Ă  quiconque de faire le lien entre des publications censĂ©es ĂȘtre anonymes et les adresses e-mail des utilisateurs qui les avaient publiĂ©es[13].

Piratage de Verkada

Le , un groupe de hackers comprenant crimew se faisant appeler « APT - 69420 Arson Cats »[14] - [15] obtient les droits de super-utilisateur sur le rĂ©seau de Verkada (en), une sociĂ©tĂ© de camĂ©ras de sĂ©curitĂ© basĂ©e sur le cloud[16], en utilisant des informations d'identification qu'ils ont trouvĂ©es sur Internet[17]. Le groupe a eu accĂšs au rĂ©seau pendant 36 heures[16]. Il collecte environ 5 gigaoctets de donnĂ©es, y compris des images de camĂ©ras de sĂ©curitĂ© en direct et des enregistrements de plus de 150 000 camĂ©ras dans des lieux comme une usine Tesla, une prison en Alabama, un hĂŽpital Halifax Health (en) et des domiciles[18]. Le groupe a Ă©galement accĂ©dĂ© Ă  une liste de clients Verkada et aux informations financiĂšres privĂ©es de l'entreprise[17] et a obtenu un accĂšs super-utilisateur aux rĂ©seaux d'entreprise de Cloudflare et d’Okta via leurs camĂ©ras Verkada[19].

crimew a agi en tant que porte-parole du groupe de hackers[20]. Son compte Twitter est suspendu pour avoir enfreint les conditions d'utilisation de Twitter aprĂšs l'avoir utilisĂ© pour partager plusieurs captures d'Ă©cran de flux de camĂ©ras de sĂ©curitĂ© en direct[21]. Pendant le piratage, crimew tweete « Et si nous mettions dĂ©finitivement fin au capitalisme de surveillance en deux jours ? »[21]. Elle contacte un journaliste de Bloomberg peu de temps aprĂšs la fuite de donnĂ©es, qui Ă  son tour a contactĂ© Verkada, qui a supprimĂ© l'accĂšs des pirates au rĂ©seau[22] - [23] - [24]. Elle a dĂ©clarĂ© Ă  Bloomberg que le piratage a rĂ©vĂ©lĂ© « Ă  quel point nous sommes largement surveillĂ©s et le peu de soin apportĂ© Ă  au moins la sĂ©curisation des plates-formes utilisĂ©es pour le faire, ne poursuivant que le profit ». Une connaissance du crimew a dit Ă  Zentralplus (de) qu’elle pense que crimew a effectuĂ© le piratage pour le plaisir et sans lien avec ses opinions politiques[25].

Piratage de la No Fly List et de la Selectee list

Le , crimew a signalĂ© qu'elle avait eu accĂšs aux versions de 2019 de la liste d'interdiction de vol du gouvernement amĂ©ricain, longue de 1,56 million d'entrĂ©es, ainsi que de la Selectee list de 250 000 entrĂ©es publiĂ©es par CommuteAir sur un serveur cloud Amazon Web Services non sĂ©curisĂ©[26] - [27] - [28] - [29]. Selon crimew, les noms dans la Terrorism Scanning Database sont presque exclusivement d’origine arabe et russe[30] ; plus de 10% des entrĂ©es rĂ©pertoriĂ©es contenaient « MUHAMMED » dans les champs du prĂ©nom ou du nom[29].

Inculpation
FBI banner on the website git.rip
BanniĂšre montrant la saisie du domaine git.rip par le FBI

En , crimew est inculpĂ©e par un grand jury de la cour de district des États-Unis du district ouest de Washington pour des accusations liĂ©es Ă  plusieurs piratages qu'elle aurait commis entre 2019 et 2021. L'acte d'accusation de douze pages[20] allĂ©guait que crimew avait piratĂ© des dizaines d'entitĂ©s[31], publiĂ© des informations et du code propriĂ©taires de plus de 100 entitĂ©s, y compris des agences gouvernementales[32], et vendu des produits dĂ©rivĂ©s liĂ©s au piratage tels que des t-shirts[33]. Il l'a inculpĂ©e de fraude et d'abus informatiques, de fraude Ă©lectronique (en) et d'usurpation d'identitĂ©. L'acte d'accusation et un raid de la police suisse au cours duquel les appareils Ă©lectroniques de crimew ont Ă©tĂ© saisis Ă  la demande des autoritĂ©s amĂ©ricaines, sont intervenus peu de temps aprĂšs qu'elle a revendiquĂ© son implication dans le piratage de Verkada, mais ne contenait aucune accusation Ă  ce sujet[34] - [35] - [36]. Sept policiers ont fouillĂ© son domicile pendant le raid et quinze ont fouillĂ© le domicile de ses parents[23]. Le site web git.rip, par l'intermĂ©diaire duquel crimew et d'autres auraient partagĂ© des donnĂ©es obtenues par piratage, a Ă©tĂ© saisi par le FBI[37].

Au , crimew est reprĂ©sentĂ©e en Suisse par l'avocat Marcel Bosonnet[31] - [38]. Une campagne de financement participatif a Ă©tĂ© crĂ©Ă©e en pour collecter des fonds pour sa dĂ©fense lĂ©gale aux États-Unis[39].

RĂ©ponse publique

Le hashtag « #freetillie » a Ă©tĂ© utilisĂ© pour exprimer du soutien Ă  crimew aprĂšs le raid de son domicile[25] - [40]. La chercheuse en piratage Gabriella Coleman a dĂ©clarĂ© qu'elle s'attendait Ă  ce que crimew gagne plus de soutien de la part de la communautĂ© du hacking Ă  la suite de l'acte d'accusation, dĂ©clarant que le gouvernement des États-Unis a Ă©tĂ© trop agressif dans la poursuite des pirates qui poursuivent des idĂ©aux de gauche et anti-autoritaires[33]. Selon un article de Republik, crimew est « dans la tradition de hackers tels que Jeremy Hammond et Aaron Swartz »[23]. HernĂąni Marques, membre du comitĂ© de la section suisse du Chaos Computer Club, a appelĂ© Ă  la « solidaritĂ© » avec crimew[41]. Les procureurs de Seattle ont dĂ©noncĂ© ce soutien, Tessa M. Gorman (en) dĂ©clarant que « se cacher dans des motivations prĂ©tendument altruistes ne supprime pas les relents criminels d’intrusions, de vols et de fraudes pareils »[33].

Tandis que les mĂ©dias en dehors de la Suisse ont louĂ© crimew pour avoir rĂ©vĂ©lĂ© des failles de sĂ©curitĂ© dans les systĂšmes de surveillance centralisĂ©s aux États-Unis, le magazine null41 rapporte que les mĂ©dias suisses se sont largement concentrĂ©s sur crimew elle-mĂȘme, en particulier son identitĂ© de genre et son apparence[42].

PossibilitĂ© d’extradition ou de jugement en Suisse

AprĂšs l'inculpation, un porte-parole du ministĂšre amĂ©ricain de la Justice a dĂ©clarĂ© Ă  Blick que la procĂ©dure avait Ă©tĂ© suspendue, expliquant que les États-Unis ne poursuivraient pas l'affaire Ă  moins que crimew ne soit prĂ©sente aux États-Unis et dĂ©fendue par un avocat[20]. crimew a exprimĂ© sa confiance qu'elle ne sera pas extradĂ©e vers les États-Unis. L’avocat suisse Roman Kost a dĂ©clarĂ© que la loi suisse sur l'extradition n'autorise pas l'extradition de citoyens sans leur consentement, mais que les pirates informatiques suisses « peuvent ĂȘtre jugĂ©s en Suisse s'il existe suffisamment de soupçons et de preuves, et peuvent ĂȘtre punis s'ils sont reconnus coupables »[33]. Le DĂ©partement fĂ©dĂ©ral de justice et police de la Suisse a confirmĂ© Ă  Zentralplus (de) qu'il n'extrade pas les ressortissants suisses contre leur volontĂ©[43]. Le journal suisse Le Temps a rapportĂ© que crimew ne serait pas extradĂ©e et serait plutĂŽt jugĂ©e en Suisse[44].

20 Minuten a rapportĂ© que si crimew Ă©tait jugĂ©e en Suisse, elle encourrait un maximum de quatre ans et demi de prison[41]. HernĂąni Marques a dĂ©clarĂ© que « la plupart de ce qu’elle a fait ne serait pas punissable en Suisse », soulignant qu'une grande partie des donnĂ©es criminelles divulguĂ©es Ă©taient accessibles au public sur Internet et affirmant que le piratage de Verkada Ă©tait « lĂ©gitime et utile pour la sociĂ©tĂ© » en raison du problĂšme de confidentialitĂ© qu'il a exposĂ©[23]. En , Blick rapporte qu'un mandat d'arrĂȘt potentiel pour crimew Ă©mis par les États-Unis serait probablement exĂ©cutĂ© par tous les pays qui partagent une frontiĂšre avec la Suisse[20]. En septembre 2021, crimew dĂ©clare Ă  null41 qu'elle Ă©tait certaine qu'elle ne pourrait plus jamais voyager dans certains pays, et que mĂȘme si elle pouvait voyager Ă  l'avenir, cela serait risquĂ© en raison de la possibilitĂ© d'extradition d'autres pays. Elle a notĂ© que contrairement Ă  Julian Assange, elle ne comptait pas sur la bonne volontĂ© d'un pays car la constitution suisse interdit son extradition[42]. En octobre 2021, Zeit Magazin a rapportĂ© que bien qu’Interpol ne rende pas publiques la plupart de ses enquĂȘtes, il Ă©tait probable qu'un mandat d'arrĂȘt international ait Ă©tĂ© Ă©mis contre crimew, ce qui la rendrait potentiellement incapable de quitter la Suisse[45].

Vie privée

crimew est nĂ©e le 7 aoĂ»t 1999 [46] et vit dans le district de Bruch de Lucerne en Suisse alĂ©manique[47]. Adolescente, elle travaille dans l’informatique[25]. Elle a Ă©tĂ© la fondatrice du lanceur Android « Lawnchair », qui est maintenu par une autre Ă©quipe de dĂ©veloppement depuis [48] - [49]. crimew est non binaire[39] et utilise les pronoms it/its et she/her en anglais. Elle a Ă©galement Ă©tĂ© connue sous les nom « deletescape » et « tillie crimew ». En 2022, elle change son nom lĂ©gal en maia arson[50].

crimew est membre des Jeunes socialistes suisses[47], et a Ă©tĂ© candidate au conseil municipal de Lucerne en 2020[25] ; un post Facebook de la section lucernoise des Jeunes socialistes utilisait le slogan « Kapitalismus zerstört jegliche KreativitĂ€t oder Innovation! » (« Le capitalisme dĂ©truit toute crĂ©ativitĂ© ou innovation ! ») pour promouvoir sa campagne[40]. Elle a citĂ© la curiositĂ©[25], l’anticapitalisme, l’anarchisme et l'opposition au concept de propriĂ©tĂ© intellectuelle comme motifs de ses activitĂ©s[51] - [52], dĂ©clarant que « ne se soucier de littĂ©ralement rien d’autre que le profit n’aboutit assurĂ©ment pas Ă  la sĂ©curitĂ© »[10]. Elle a en outre dĂ©clarĂ© qu'elle pensait que le code source et la documentation devraient ĂȘtre publics, et qu'elle se considĂ©rait comme une hacktiviste[42]. Être queer et ĂȘtre victime de discrimination a contribuĂ© au dĂ©veloppement des opinions politiques de crimew[53]. Sur sa biographie Twitter, crimew se dĂ©crit comme une « indicted hacktivist/security researcher, artist, mentally ill enby polyam trans lesbian anarchist kitten » (« hacktiviste/chercheuse en sĂ©curitĂ© inculpĂ©e, artiste, et chaton malade mentale, non-binaire, polyamoureuse, trans, lesbienne et anarchiste »)[54].

Notes et références
  1. « crimew » (prononcĂ© en anglais : ['kraÉȘ,mjuː]) est un mot-valise formĂ© des mots « crime » et de « mew », onomatopĂ©e du miaulement en anglais. crimew stylise son nom en minuscules.
  2. (en-US) Ilascu, « Source code from dozens of companies leaked online » [archive du ], Bleeping Computer, (consulté le )
  3. (en) Fearn, « Disney, Microsoft, Nintendo and 50 more hit by massive source code leak [updated] » [archive du ], Tom's Guide, (consulté le )
  4. (en-US) Goodin, « More than 20GB of Intel source code and proprietary data dumped online » [archive du ], Ars Technica, (consulté le )
  5. (en-US) Moon, « 20GB of Intel internal documents were leaked online » [archive du ], Engadget, (consulté le )
  6. (en) Cimpanu, « Intel investigating breach after 20GB of internal documents leak online » [archive du ], ZDNet, (consulté le )
  7. (en-US) Orzel, « Lessons in Securing Development Environments » [archive du ], Security Boulevard, (consulté le )
  8. (en) Cimpanu, « Nissan source code leaked online after Git repo misconfiguration » [archive du ], ZDNet, (consulté le )
  9. (en) Starks, « Nissan investigated source code exposure, says it plugged leak » [archive du ], CyberScoop, (consulté le )
  10. (en) Brewster, « Swiss Verkada Camera Hacker Says Attacks Were "Easy, Fun Anarchism"—U.S. Files Charges Over Data Theft » [archive du ], Forbes (consultĂ© le )
  11. « Indictment No. CR21-048 RAJ » [archive du ], Justice.gov, (consulté le )
  12. Horne, « Release: Tillie Kottmann (20 GB) » [archive du ], Distributed Email of Secrets, (consulté le )
  13. (en-US) Thalen, « Anonymous mental health app Feelyou accidentally exposed 70,000 personal emails » [archive du ], The Daily Dot, (consulté le )
  14. (en-US) « Security camera hack exposes hospitals, workplaces, schools », sur The Seattle Times, (consulté le )
  15. (en) Drew Harwell, « Massive camera hack exposes the growing reach and intimacy of American surveillance », The Washington Post,‎ (lire en ligne AccĂšs payant)
  16. (en-US) « Hack of video security company Verkada exposes footage from 150,000 connected cameras » [archive du ], CBS News (consulté le )
  17. (en) Gartenberg, « Security startup Verkada hack exposes 150,000 security cameras in Tesla factories, jails, and more » [archive du ], The Verge, (consulté le )
  18. (en-US) Goodin, « Hackers access security cameras inside Cloudflare, jails, and hospitals » [archive du ], Ars Technica, (consulté le )
  19. (en) Graham-Cumming, « About the March 8 & 9, 2021 Verkada camera hack » [archive du ], The Cloudflare Blog, Cloudflare, (consulté le )
  20. (de-CH) Michel, « Schweizer Hackerin Tillie Kottmann (21) von US-Justiz angeklagt » [archive du ], Blick, (consulté le )
  21. (en) Murdock, « Twitter suspends Verkada hacker Tillie Kottman's account after Tesla security footage leak » [archive du ], Newsweek, (consulté le )
  22. (en) « Swiss Police Raid Apartment of Verkada Hacker, Seize Devices », Bloomberg.com,‎ (lire en ligne, consultĂ© le )
  23. (de) Ryser, « Die Vereinigten Staaten gegen Tillie Kottmann », Republik,‎ (lire en ligne [archive du ], consultĂ© le )
  24. (de-CH) « Firmen weltweit betroffen – Hacker zapfen 150'000 Kameras an – Opfer wurden Tesla, SpitĂ€ler und ein GefĂ€ngnis » [archive du ], Tages-Anzeiger, (consultĂ© le )
  25. (de-CH) Berger et Birnstiel, « So tickt die Hackerin aus Luzern, die das FBI mit ihrem Angriff auf Trab hĂ€lt » [archive du ], zentralplus (de), (consultĂ© le )
  26. (en) Arson crimew, « how to completely own an airline in 3 easy steps » [archive du ], maia :3, maia arson crimew, (consulté le )
  27. Channing Reid, « Hacker Gets Access To The FBI's No Fly List », Simple Flying,‎ (lire en ligne [archive du ], consultĂ© le )
  28. Mack DeGeurin, « Hacker Reportedly Gets Hands on Massive No-Fly List of Alleged Terrorist Suspects », Gizmodo,‎ (lire en ligne [archive du ], consultĂ© le )
  29. « The #NoFly list is a #MuslimBan list » [archive du ], PapersPlease.org, The Identity Project (consulté le )
  30. (en) Thalen et Covucci, « EXCLUSIVE: U.S. airline accidentally exposes 'No Fly List' on unsecured server », The Daily Dot, maia arson crimew, (consulté le )
  31. (en) « Verkada Hacker Charged With Wire Fraud, Identity Theft in U.S. », Bloomberg,‎
  32. « National Digest: Swiss hacker charged with computer intrusion, identity theft in U.S. », The Washington Post,‎
  33. (en) William Turton, « Swiss Hacker’s Indictment Spotlights Ethics of Activist Attacks », Bloomberg,‎ (lire en ligne AccĂšs payant)
  34. (en) « Swiss Police Raid Apartment of Verkada Hacker, Seize Devices », Bloomberg,‎
  35. (en) Miller, « Justice Department indicts hacker connected to massive surveillance camera breach » [archive du ], The Hill, (consulté le )
  36. (en) Hollister, « A hacker who exposed Verkada's surveillance camera snafu has been raided » [archive du ], The Verge, (consulté le )
  37. (de) « USA klagen Schweizer Hackerin an » [archive du ], Der Spiegel, (consulté le )
  38. (en-US) Cameron, « U.S. Indicts 21-Year-Old Accused of Leaking Stolen Data of Disney, Nintendo, and More » [archive du ], Gizmodo, (consulté le )
  39. (de-CH) « UnterstĂŒtzer sammeln Geld fĂŒr Luzerner Hackerin » [archive du ], zentralplus (de), (consultĂ© le )
  40. (de-CH) « Verkada-Hack: Polizei durchsucht Wohnung von Tillie Kottmann in Luzern » [archive du ], Blick, (consulté le )
  41. (de) Rosser, « Luzerner Hackerin Tillie Kottmann wird von den USA angeklagt » [archive du ], 20 Minuten, (consulté le )
  42. (de) Schulthess et Muffler, « Die Luzerner Hackerin Tillie Kottmann im Interview » [archive du ], 041 - Das Kulturmagazin, (consulté le )
  43. (de-CH) Berger, « Luzerner Hackerin wird in Amerika angeklagt » [archive du ], zentralplus (de), (consultĂ© le )
  44. « TraquĂ© par les Etats-Unis, le hacker suisse risque 20 ans de prison », Le Temps,‎ (lire en ligne [archive du ], consultĂ© le )
  45. (de-CH) Rusch, « Hackerin Tillie Kottmann: Tillie gegen die Vereinigten Staaten » [archive du ], Zeit Magazin, (consulté le )
  46. (en) crimew, « @deletescape@notbird.site » [archive du ], notbird.site, (consultĂ© le ) : « i hereby confirm that i was born on august 7th 1999 and that my pronouns are it/its fae/faer she/her they/them. »
  47. (de-CH) « So begrĂŒndet die Luzerner Hackerin ihre Angriffe auf US-Firmen » [archive du ], zentralplus (de), (consultĂ© le )
  48. (en-US) Wilde, « Development on Lawnchair Launcher resumes after break » [archive du ], 9to5Google, (consulté le )
  49. (en-US) Davenport, « Lawnchair Launcher resumes development after year-long hiatus » [archive du ], Android Police, (consulté le )
  50. (de) « Heikles Hacken und ein Meme werden - maia arson crimew · Trojaner · Radio 3FACH », sur 3fach.ch (consulté le )
  51. Vincent, « 'Anti-capitalist' Verkada hacker charged by US government with attacks on dozens of companies » [archive du ], The Verge, (consulté le )
  52. (en) « New wave of ‘hacktivism’ adds twist to cybersecurity woes », Reuters,‎ (lire en ligne, consultĂ© le )
  53. (de-CH) Fabian, « USA wollen sie dingfest machen: Jetzt redet die meistgesuchte Hackerin der Schweiz » [archive du ], Blick, (consulté le )
  54. (en) « maia arson crimew @_nyancrimew » [archive du ], Twitter (consulté le )

Liens externes
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.