Cyber Bear : organisation et actions de l’état russe dans le cyberespace

Cyber Bear : organisation et actions de l’état russe dans le cyberespace

Ukrinform
Le piratage des serveurs du Parti Démocrate américain a mis en exergue les ambitions grandissantes de la Russie dans le cyberespace.

Exploitée depuis 2007 et l’attaque de déni de service (ou DDoS) contre l’Estonie, l’arme cyber est devenue un outil de propagande, d’espionnage et de déstabilisation de choix pour la Russie vis-à-vis de l’occident. Plongée au cœur de l’hacktivisme russe, à la lumière du récent piratage aux Etats Unis.

1.    Le cyber, axe majeur de la stratégie russe face à l’occident :

A l’image d’autres pays comme l’Iran, la Chine ou la Corée du Nord, la Russie a très tôt compris le potentiel de l’arme cyber, notamment vis-à-vis d’états plus puissants comme les Etats-Unis. L’augmentation exponentielle des données en ligne permet un espionnage efficace pour celui qui sait y accéder, et le relatif anonymat qui y règne en fait un outil idéal de guerre asymétrique. L’assaillant peut bien souvent échapper aux représailles, en se défaussant de toute responsabilité. Dans ce secteur, la Russie dispose d’atouts majeurs : une jeunesse aux compétences scientifiques très poussées, un vrai savoir-faire informatique et une culture assez ancienne des opérations d’infiltrations, de désinformation et de recueil d’informations compromettantes, ou kompromat, au sein des services de sécurité de l’Etat.L’expulsion en 2014 du Colonel Ilyushin du GRU, officiellement attaché de défense air à l’ambassade de Russie à Paris, pour avoir tenté de récolter des renseignements sur la vie privée du président Hollande, fait figure de cas d’école.

C’est néanmoins à partir du raidissement vis-à-vis de l’occident suite à la réélection de Vladimir Poutine en 2012 que les compétences cyber de l’Etat russe vont être grandement renforcées. Ayant interprété les grandes manifestations post législatives de 2011 comme une tentative des Etats Unis de renverser le pouvoir, le Kremlin lance de grandes campagnes de recrutements dans les universités ou sur les réseaux sociaux comme Vkontakte. L’objectif : constituer de véritables brigades militaires spécialisées en guerre électronique. Le pays propose également aux futurs conscrits ayant des compétences de faire leur service dans ces unités plutôt que l’armée régulière, évitant ainsi les bizutages brutaux tristement célèbres dans l’armée russe. Enfin, le FSB propose des remises de peine aux condamnés pour cybercrime, en l’échange de leur collaboration. Ainsi,YevguenyBogachev, développeur du malware Zeus, permettant de hacker des comptes bancaires, apparaît sur la liste des personnes visées par des sanctions américaines suite au piratage du Parti Démocrate. Zeus a en effet été l’un des outils utilisé dans les tentatives de hacking.

Les unités de hackers de l’Etat russe sont réparties entre le GRU (renseignement militaire) et le FSB.L’héritier du KGB sur le plan intérieur a vu son champ de compétence s’élargir sous Vladimir Poutine pour inclure des actions à l’étranger, notamment dans l’ex bloc de l’est. Le SVR, quant à lui, semble plutôt exclu de ce mouvement.Il reste spécialisé dans le renseignement humain à l’étranger, notamment via l’infiltration d’agents dormants ou d’agents dans les services diplomatiques russes. Au moins une dizaine d’unités différentes ont été identifiées, en fonction de leurs méthodes de hacking ou de leurs cibles de prédilection. Par exempleEnergeticBear, groupe qui avait spécifiquement ciblé les acteurs du marché de l’énergie occidental (compagnies pétrolières, producteurs d’électricité…) à des fins d’espionnage. Tous ces groupes sont néanmoins regroupés sous le nom générique de Advanced Persistent Threat, ou APT, et ont pour mission principale l’infiltration et l’espionnage industriel mais surtout politique, ainsi que la déstabilisation. Cette dernière est secondée par les « usines à trolls » mises en place par le Kremlin pour inonder les réseaux sociaux et les médias de messagesappuyant la politique du Kremlin. Ces messages sont également repris et amplifiés dans les pays visés par les organes de propagande du régime que sont RussiaToday et Sputnik. RT prend en charge la propagande audiovisuelle avec un ton plus modéré que Sputnik, axé sur internet et qui relaye plus volontiers théories du complot et articles inventés de toutes pièces.

2.    Le piratage du parti démocrate : acteurs et enjeux

Le piratage de la campagne Démocrate, qui a touché le Democratic CongressionalCampaignCommittee, ou DCCC, et la boite email de John Podesta, a été orchestré selon toute vraisemblance par deux entités russes : le groupe Fancy Bears, aussi appelé APT28 et dépendant du GRU, et le groupe Cozy Bears, aussi appelé APT 29 et dépendant du FSB. Cette redondance n’est surprenante qu’en apparence. Les différents services secrets russes sont en compétition et luttes intestines incessantes pour obtenir la prééminence auprès du chef de l’Etat. Cette guerre de palais entraîne chevauchements dans les actions et analyses parfois galvaudées, plus faites pour être appréciées en haut lieu que pour refléter les faits sur le terrain. Le fiasco des soulèvements en soutien à la « Novorossiya » promue par le Kremlindans le sillage de l’annexion de la Crimée en 2014, notamment à Kharkiv ou encore Odessa, en témoigne.

Fancy Bears est actif depuis 2007 et, de par son affiliation au GRU, se concentre généralement sur des cibles politiques ou militaires. Il est tenu pour responsable du piratage de différentes agences gouvernementales en Pologne, Hongrie ou encore Géorgie, et de l’Agence Mondiale Antidopage en aout 2016. Ses piratages reposent notamment sur un logiciel malveillant appelé X Agent, et dont différentes versions ont été développés pour pirater les plates formes Windows, iOS Apple ou bien encore Google Android.  Selon l’entreprise de cybersécuritéCrowdstrike, qui a enquêté sur le hack Démocrate, le logiciel X Agent était présent depuis avril 2016 sur les ordinateurs de la DCCC. Ce X agent, codé essentiellement en Russe et compilé pour la majeure partie dans les horaires de bureaux du fuseau horaire de Moscou permet à l’assaillant d’accéder à l’ensemble des informations contenues sur le terminal attaqué. La sophistication progressive du X Agent dans le temps, ainsi que sa complexité, indique qu’il a été créé par une agence bénéficiant du soutien d’un état.L’utilisation spécifique du X Agent pour infecter un logiciel d’aide opérationnelle aux artilleurs ukrainiens utilisant le canon D-30 confirme égalementles origines et motivations du groupe APT28.

Cozy Bears est pour sa part tenu pour responsable de quelques actions cyber majeures, dont l’attaque des serveurs non sécurisées de la maison Blanche en avril 2015, ou de la chaîne TV5 Monde. Il est formellement accusé par le BundesamtfürVerfassungsschutz (BfV, renseignement intérieur allemand) des attaques sur le Bundestag en 2015 et l’OSCE en décembre 2016. Présent sur les ordinateurs de la Convention Nationale Démocrate depuis l’été 2015, APT 29 n’utilise pas le logiciel X Agent mais un autre appelé Seadaddy, au fonctionnement similaire : après avoir hameçonné l’utilisateur via un mail frauduleux, le malware s’installe et permet d’accéder à l’ensemble des données contenues.  

Il n’est en soi pas surprenant que le gouvernement russe tente d’espionner la vie politique américaine. Il s’agit même d’un travail de renseignement classique vis-à-vis d’un évènement géopolitique majeur. C’est le choix de révéler au grand jour les informations collectées via Wikileaks qui interpelle, et tend à démontrer la volonté du Kremlin d’avantager Donald Trump vis-à-vis d’Hillary Clinton, même si les votes n’ont pas été manipulés stricto sensu d’après le renseignement américain. Ce choix s’explique peut-être en partie par le fait que la Russie tient Hillary Clinton et l’establishment américain qu’elle représente pour responsable des manifestations de 2011 en Russie, tout comme des divulgations des Panama Papers ou du dopage d’Etat dans le sport russe. De même, le Kremlin espère sans doute une politique plus flexible de la part de l’administration Trump. Mais, avant tout, il est probable que la Russie ait voulu, de façon opportuniste, semer le trouble et la confusion aux USA en exploitant les faiblesses et incohérences de la candidature d’Hillary Clinton. En cela, le résultat dépasse largement les espérances, pour le moment.

Car ce coup de force pourrait bien, à terme, se retourner contre la Russie. Ce hacking renforce l’image négative de la Russie dans le monde et notamment aux Etats-Unis. Les récentes auditions du Congrès sur le sujet ont démontré que le renseignement américain, tout comme le futur secrétaire d’Etat Rex Tillerson ou celui à la défense James Mattis, tiennent la Russie pour responsable et les sanctions prisespar l’administration Obama ne sont probablement qu’une première étape. Si un basculement dans une guerre cyber semble exclu, tant les conséquences en seraient imprévisibles, il est fort probable que l’occident renforce ses mesures de protection et de rétorsion envers la Russie, notamment dans le cadre des futures élections en France et Allemagne.

Ulrich Bounat

[1]comme le montre le succès de Nginx, Vkontakte ou Kaspersky

[2]notamment les pages commentaires des articles de presse

[3] En charge de la levée de fonds et de l’organisation de la primaire Démocrate

[4] Le directeur de campagne d’Hillary Clinton en 2016

[5] Ou Nouvelle Russie, concept issu de l’ère tsariste et désignant la région s’étirant du Donbass à la Crimée

[6] Le logiciel possède ainsi par exemple la capacité de scanner le système attaqué pour y détecter les éventuels logiciels antivirus et les contourner


Let’s get started read our news at facebook messenger > > > Click here for subscribe
Plus d'actualités

Rubriques

L'Agence

Pour toutes citation et utilisation de documents sur Internet, ouverts aux moteurs de recherche, des hyperliens au premier paragraphe vers "ukrinform.fr" sont oblugatoires. En outre, des reproductions de traductions d’articles provenant de médias étrangers ne sont possibles qu’avec un lien hypertexte vers le site ukrinform.fr et sur les sites Web des médias étrangers. Documents marqués "Publicité" ou avec une clause de non-responsabilité: "Le matériel est publié conformément à la partie 3 de l’article 9 de la loi ukrainienne "sur la publicité" n° 270/96-VR du 3 juillet 1996 et à la loi de l’Ukraine "Sur Médias" n° 2849-IX en date du 31 mars 2023 et sur la base de la Convention/facture.

© 2015-2024 Ukrinform. Tous droits réservés.

La conception de site — Studio «Laconica»

Recherche avancéeMasquer la barre de recherche avancee
Par période:
-