HMA et LulzSec (2011) : quand le service Hide My Ass livre des données au FBI

En septembre 2011, Hide My Ass (HMA) transmet les logs de connexion d’un de ses utilisateurs au FBI, sur ordonnance d’un tribunal britannique. L’utilisateur en question, Cody Kretsinger, 23 ans, est membre du groupe de hackers LulzSec. Il venait de participer au piratage des serveurs de Sony Pictures. Sa condamnation s’appuie en partie sur les données fournies par le service qu’il utilisait pour masquer son identité.
Illustration : HMA et LulzSec

C’est une affaire abondamment documentée, et l’une des plus instructives sur le fonctionnement réel des services VPN et proxy commerciaux. Elle pose une question que beaucoup de fournisseurs préfèrent esquiver : que se passe-t-il vraiment quand les autorités frappent à leur porte ? La réponse dépend de ce qu’ils conservent réellement, et de la juridiction dans laquelle ils opèrent. Dans le cas de HMA, le fait d’être basé au Royaume-Uni, pays membre des 5 Eyes, éclaire le contexte. Mais ce sont surtout le droit applicable, les canaux judiciaires britanniques et les logs de session conservés qui ont rendu l’identification possible.

HMA et LulzSec : Sommaire

Contexte : LulzSec et le piratage de Sony Pictures

LulzSec (contraction de « Lulz Security ») est un groupe de hackers issu de la mouvance Anonymous. En mai-juin 2011, ils s’en prennent à Sony Pictures via une injection SQL sur le site de l’entreprise. Résultat : les données personnelles de plusieurs dizaines de milliers de clients partent dans la nature, noms, adresses, téléphones, e-mails.

Cody Kretsinger, étudiant de Phoenix (Arizona), participe à l’attaque sous le pseudo « recursion ». Pour masquer son IP, il utilise le proxy web de Hide My Ass. Petite erreur de débutant : il utilise le même pseudonyme sur HMA et au sein du groupe. Il efface aussi son disque dur après les faits, geste inutile selon les experts du Département de Justice américain, qui ont récupéré les données quand même.

Le 24 juin 2011, The Guardian publie l’intégralité de logs IRC attribués à LulzSec. HMA expliquera ensuite que c’est à ce moment-là que l’utilisation de son service par certains membres du groupe est venue à son attention. Il ne prend alors aucune initiative visible. Les sources publiques montrent surtout qu’à ce stade, HMA dit avoir eu connaissance de l’affaire via la publication des logs IRC, sans faire état d’une demande judiciaire ni d’une action immédiate de sa part.

Logo de Hide my Ass en hauteur

Chronologie de l’affaire

Logo LulzSec
  • Mai–juin 2011 : LulzSec pirate Sony Pictures. Kretsinger utilise le service proxy de HMA pour dissimuler son IP.
  • 24 juin 2011 : Publication de logs IRC attribués à LulzSec par The Guardian. HMA prend connaissance de l’utilisation de son service, sans agir.
  • Septembre 2011 : Le FBI remonte l’adresse IP utilisée lors de l’attaque jusqu’aux serveurs de HMA. Une ordonnance judiciaire britannique est obtenue pour contraindre HMA à divulguer les logs associés.
  • 22 septembre 2011 : Arrestation de Cody Kretsinger par le FBI.
  • 23 septembre 2011 : HMA publie un billet de blog intitulé « LulzSec fiasco » pour expliquer sa position.
  • Avril 2012 : Kretsinger plaide coupable, conspiration et atteinte non-autorisée à un système informatique protégé.
  • 18 avril 2013 : Condamnation à 1 an et 1 jour de prison fédérale, 1 an de détention à domicile, 1 000 heures de travaux d’intérêt général et 605 663 dollars de restitution à Sony Pictures.

La mécanique juridique : comment le FBI a obtenu les données

HMA était basé au Royaume-Uni en 2011. Ce qui compte ici, ce n’est pas l’appartenance du pays à une alliance de renseignement, c’est ce que le droit britannique imposait concrètement, et ce que HMA avait techniquement conservé.

Sur le plan légal : le Royaume-Uni avait transposé la directive européenne 2006/24/CE via les Data Retention Regulations de 2009, qui imposaient des obligations de conservation de métadonnées à certains fournisseurs de services de communications électroniques. HMA, dans sa configuration de l’époque, était potentiellement concerné, mais le fournisseur lui-même, dans son billet de septembre 2011, ne s’appuie pas sur cette obligation pour justifier sa coopération. Il parle d’un « court order » et du respect des canaux judiciaires britanniques.

Sur le plan procédural : le cadre d’entraide judiciaire entre les États-Unis et le Royaume-Uni (MLAT) permet, pour des enquêtes pénales nécessitant des moyens coercitifs, d’obtenir une assistance formelle, notamment via l’intervention d’un juge britannique. HMA a lui-même indiqué qu’il n’acceptait les demandes étrangères que via les canaux britanniques appropriés et avec l’intervention d’un juge britannique. Selon HMA, la demande a bien été acheminée de cette façon. Les sources publiques accessibles ne permettent toutefois pas d’en reconstituer chaque étape procédurale dans le détail. Ce recours aux canaux judiciaires pour contraindre un fournisseur à divulguer des données rappelle l’affaire IPVanish, où une demande similaire a abouti à la transmission de logs malgré une politique no-logs affichée.

Note : des journalistes et commentateurs de l’époque ont émis des doutes sur la réalité de cette ordonnance formelle, suggérant que HMA aurait pu coopérer volontairement par crainte de voir ses serveurs américains saisis. HMA a démenti cette version dans son billet de septembre 2011. Le débat reste ouvert dans les sources primaires.

Ce que révèle l’affaire sur les logs de session

C’est le point technique central.

HMA ne conservait pas de logs de contenu, il ne savait pas ce que vous regardiez, ni ce que vous téléchargiez. Mais il conservait des logs de session. Ce que HMA décrit dans son billet de septembre 2011, c’est une session logging permettant de savoir qui était connecté à une IP donnée à un instant donné, avec des horodatages de connexion et de déconnexion.

Ces données suffisent à identifier un utilisateur : en croisant l’IP source et l’horodatage, on remonte à l’abonné via son FAI. C’est sur cette session de logging que repose la démonstration documentée dans cette affaire.

Le FBI avait déjà identifié l’adresse IP du serveur HMA dans les logs d’accès de Sony Pictures, avec un horodatage précis. En transmettant cette IP et cet horodatage à HMA via l’ordonnance judiciaire, le FBI a obtenu en retour l’IP réelle de l’utilisateur connecté à ce serveur à ce moment précis, puis les informations d’abonnement associées. Le même type de demande judiciaire adressée à un fournisseur VPN est au cœur de l’enquête PureVPN de 2017.  TorrentFreak résume : « en croisant les horodatages et les adresses IP, ‘Recursion’ est devenu Cody Kretsinger de Phoenix en un instant. »

La leçon technique : un service peut ne pas enregistrer le contenu de vos communications et rester parfaitement capable de vous identifier, à condition de conserver des logs de session. Les deux notions sont distinctes et souvent confondues dans le langage VPN.

HMA était-il un service sans logs ?

Non. Et l’affaire Kretsinger le démontre de façon implacable.

HMA conservait des logs de session pour des raisons opérationnelles qu’il assumait publiquement, dans un cadre britannique où une ordonnance judiciaire pouvait le contraindre à coopérer. Ce que les sources publiques permettent d’établir avec certitude, c’est l’existence du « court order » invoqué par HMA et l’existence de logs de session exploitables. Leur formule « nous n’enregistrons pas vos activités en ligne » était techniquement exacte, mais trompeuse par omission : les données conservées ne portaient pas sur le contenu du trafic, elles permettaient quand même d’identifier un utilisateur.

Un fournisseur qui n’aurait pas conservé ces logs de session n’aurait pas eu ces données à transmettre. L’ordonnance aurait abouti à un simple : « nous ne disposons pas de ces informations. » C’est ce qu’a démontré Mullvad en 2023 : la police suédoise a saisi des serveurs dans un datacenter néerlandais,  et est repartie les mains vides, faute de données exploitables. OVPN a vécu une situation comparable en Suède, où l’absence de logs n’a pas pu être contredite devant le tribunal.

Ce que cette affaire change pour les utilisateurs

L’affaire HMA/LulzSec a provoqué en 2011 un débat public sur ce que signifie réellement « VPN sans log« , un débat qui a conduit plusieurs fournisseurs à revoir leur architecture technique pour rendre la conservation de données impossible par conception, et non seulement interdite par politique.

Les enseignements pratiques :

  • La juridiction compte, mais pas comme on le croit. L’appartenance à une alliance de renseignement (5, 9, 14 Eyes) n’est pas, en elle-même, une base juridique de rétention de données. Ce qui détermine réellement l’exposition d’un utilisateur, c’est la loi locale applicable au fournisseur, la structure juridique de l’entreprise, la portée des ordonnances auxquelles elle peut être soumise, et surtout ce qu’elle conserve techniquement. Un fournisseur sans logs exploitables ne peut pas transmettre ce qu’il n’a pas, quelle que soit sa juridiction.
  • La politique no-logs doit être vérifiable. Une déclaration commerciale ne suffit pas. Les audits VPN indépendants, les warrant canaries et les cas de perquisitions infructueuses constituent des preuves bien plus solides.
  • Logs de contenu ≠ logs de session. L’absence de logs de navigation ne protège pas contre l’identification si des logs de session (IP + horodatage) sont conservés.
  • Un VPN ne rend pas anonyme. Il réduit la surface d’exposition. Pour une anonymisation plus poussée, des outils comme Tor, combinés à des pratiques opérationnelles rigoureuses, sont nécessaires, et même cela ne garantit rien si l’utilisateur commet des erreurs de pseudonymat, comme Kretsinger avec le pseudonyme « recursion ».

Près de quinze ans après, l’affaire HMA et LulzSec reste la leçon la plus claire sur ce que « confidentialité VPN » veut vraiment dire, et sur ce qu’elle ne veut pas dire du tout.

FAQ

HMA était-il un service sans logs en 2011 ?

Non. Hide My Ass conservait au minimum des logs de session permettant de relier un utilisateur à une IP donnée à un moment donné, avec des horodatages de connexion et de déconnexion. C’est ce niveau de journalisation qui a suffi à identifier Cody Kretsinger. Un fournisseur sans ces logs de session n’aurait pas eu ces données à transmettre.

HMA a-t-il coopéré volontairement avec le FBI ?

HMA affirme avoir agi sur ordonnance d’un tribunal britannique, obtenue via le cadre d’entraide judiciaire américano-britannique (MLAT). Le fournisseur a déclaré ne pas répondre aux demandes directes d’un gouvernement étranger, uniquement via les canaux judiciaires britanniques appropriés. Certaines sources de l’époque ont mis en doute l’existence d’une ordonnance formelle, mais HMA a maintenu sa version.

Pourquoi des logs de session suffisent-ils à identifier un utilisateur ?

Un session logging permet de savoir quel utilisateur était relié à une IP donnée à un instant précis. En croisant cette information avec l’IP HMA observée côté cible et un horodatage, les autorités peuvent remonter jusqu’à l’abonné Internet via son FAI, sans avoir besoin du contenu du trafic. C’est exactement ce que HMA décrit publiquement comme capacité de son système de journalisation.

Quelle peine a reçu Cody Kretsinger ?

Kretsinger a été condamné le 18 avril 2013 à 1 an et 1 jour de prison fédérale, 1 an de détention à domicile, 1 000 heures de travaux d’intérêt général et 605 663 dollars de restitution à Sony Pictures. Source : communiqué officiel du Département de Justice américain (USAO-CDCA, 2013).

L'affaire concerne-t-elle uniquement les activités illégales ?

Non. La mécanique est identique pour tout utilisateur : journaliste, lanceur d’alerte, militant dans un pays répressif. Si le fournisseur conserve des logs de session et est soumis à une juridiction coopérative, ces données peuvent être obtenues sur demande judiciaire, quelle que soit la nature de l’activité.

Share This