Les hackers russes au cœur de l’actualité

Les pirates informatiques russes, accusés de perpétrer des attaques à répétition, font régulièrement la Une des médias étrangers. Mais qui sont vraiment ces experts du cyberespace ?

russie-russe-hacker-pirate-cyberespace-cyberattaque-internet-web-criminalité
Photo montage Manon Bouriaud

On les surnomme APT 28, Fancy Bear, Pawn Storm, ou encore Sofacy. Ils sont nombreux, hyperactifs dans le cyberespace et font très régulièrement parler d’eux dans les médias. Ces as de l’informatique russes se sont fait connaître ces dernières années pour leurs cyberattaques.
Parmi eux, deux groupes indépendants ont émergé et symbolisent désormais une “menace” dans le cyberespace international.

Derrière les pseudonymes Fancy Bear et Cozy Bear, reprenant allègrement l’image de l’ours associée à Russie, se cachent deux acteurs majeurs de la cybercriminalité russe. Des protagonistes qui “n’évoluent pas en “meute” organisée, mais se comportent plutôt en loups solitaires”, souligne l’Observatoire FIC. Chacun est spécialisé dans son domaine, la division du travail est claire et la discrétion est de mise”.

Les pirates de Fancy Bear, également désignés par le sigle APT28 (APT signifiant “menace persistante supérieure”), sont “parmi les plus compétents observés”.
Si les premières actions du groupe semblent remonter à 2008, la liste de ses présumées victimes ne cesse de s’agrandir depuis quelques mois. Des opposants du président russe aux gouvernements et ambassades, les hackers russes multiplient les cibles en usant d’une technique devenue en quelque sorte leur marque de fabrique.

Interviewé par Libération, Loïx Guézo, directeur de la stratégie pour l’Europe du Sud chez Trend Micro explique : “Fancy Bear dupe ces cibles via des mails contrefaits et de fausses pages d’accès à leur messagerie. Il use de malwares qui lui sont propres, mais aussi de failles de sécurité dites “zéro day”, des vulnérabilités jusqu’alors inconnues”.

Le second groupe régulièrement cité répond au nom de Cozy Bear, ou APT29. Arrivés seulement en 2014 sur la scène du cyber espionnage, ces pirates semblent faire usage de techniques plus classiques et dirigent majoritairement leurs attaques vers les Etats-Unis, à l’image du supposé piratage du Pentagone en août 2015.

Une réputation de cybercriminels

Tout comme la Chine, les États-Unis ou encore la Turquie, la Russie est réputée disposer d’un très grand nombre de hackers, qui plus est, expérimentés. En 2012, le directeur adjoint de l'Institut de sécurité de l'information de l'Université d'Etat Lomonossov de Moscou expliquait que la Russie possède "une excellente école mathématique qui a formé des programmeurs de haut niveau, dont des hackers".

Cela vaut d’ailleurs à la Russie d’être “classée par les autorités américaines [...] parmi les principaux adversaires des États-Unis dans le cyberespace”. Cela pourrait expliquer pourquoi les pirates russes sont aujourd’hui régulièrement accusés, là où on aurait montré du doigt la Chine ou la Corée du Nord il y a encore quelques années.

Fin janvier, le journal russe Pravda écrit que les hackers russes sont incriminés pour le piratage du Ministère des Affaires Étrangères polonais. Quelques mois auparavant, les regards se tournaient déjà vers la Russie lorsque John Podesta, directeur de la campagne démocrate d’Hillary Clinton, a vu sa boîte mail piratée et des mails dérobés. En réponse à cette cyberattaque, Barack Obama a d’ailleurs pris la décision radicale d’expulser 35 agents diplomatiques russes. Une réaction décriée par la Russie qui n’a toutefois pas exercé de représailles en retour.

Fin d’année 2016, les pirates russes étaient accusés du piratage informatique de l’OSCE (Organisation pour la sécurité et la coopération en Europe, notamment en charge de surveiller le conflit ukrainien). “Selon un service de renseignement occidental, ce piratage serait imputable au groupe de hackers russes APT29”, rapportait le Monde le 28 décembre dernier.

En avril 2015, c’est Cozy Bear (APT29) qui est au devant de la scène, mis en cause pour l’attaque informatique de la chaîne TV5 Monde, la piste du cyber-califat ayant été rapidement écartée. “Le mode opératoire et certaines traces spécifiques laissées par les pirates pointent vers un groupe de pirates russes bien connu des experts en sécurité informatique”.

Des hackers au service du Kremlin ?

La question du possible lien entre ces hackers et l’État russe reste cependant en suspens. Il est vrai que Fancy Bear est décrit comme une branche du GRU, le renseignement militaire russe, et Cozy Bear réputé proche du FSB, organisation en charge de la sécurité intérieure russe. Mais cela en fait-il des pions du Kremlin pour autant ?

“Ces pirates semblent opérer de façon “officielle”, voire seraient proches du Ministère de la Défense qui a lancé des campagnes de recrutement, notamment via les réseaux sociaux”, rapporte le site indépendant russe Meduza qui s’abrite en Lettonie.

Les techniques et habitudes des hackers sont également des indices pour les experts du cyber espionnage qui y reconnaissent des “signatures” propres à chaque groupe. Ainsi, l’origine géographique et les modes opératoires des attaques perpétrées seraient, dans la plupart des cas, caractéristiques des pirates russes.

Mais les preuves semblent manquer, comme dans le cas du piratage de la boîte mail de John Podesta. “Aucune preuve d’une implication directe ou indirecte de la Russie dans ces piratages n’a pu être apportée, comme le plus souvent dans le cas de piratage d’ampleur, la preuve de l’origine d’une attaque étant extrêmement difficile, voire impossible à établir avec certitude”, admettait le Monde en juillet dernier.

Le Kremlin réfute quant à lui l’allégation selon laquelle la Russie serait responsable de ces cyberattaques. Dans un entretien accordé au journal russe Rossiikaïa Gazeta, le secrétaire général du Conseil de sécurité russe Nikolaï Patrouchev affirmait mi-janvier que "l’administration Obama accuse la Russie de cyberattaques sans en donner aucune preuve".

Le Directeur du département intelligence stratégique de SIFARIS Eric Delbecque va même jusqu’à assurer que “l’administration finissante d’Obama n’a pas la moindre preuve sérieuse que les services russes se soient lancés à l’assaut des ordinateurs du parti Démocrate, qu’ils aient volé des informations et des mails, et qu’ils les aient instrumentalisés dans la campagne électorale. [...] L’affirmation de la manipulation des résultats du vote par le Kremlin apparaît encore moins solide. On peut même la juger assez invraisemblable”.

Déjà en 2011, le média russe Russia Beyond The Headlines assurait dans le même sens qu’un tel raisonnement était “en partie à cause des préjugés et d’une certaine fainéantise. Le cliché du hacker russe est devenu tellement fort que les médias nous le resservent encore et encore. Et pour certains, ils constituent un moyen pratique de perpétuer la “menace russe””.

Des propos que le média tempérait lui-même quelques paragraphes plus tard, preuve de la quasi impossibilité de connaître la vérité, en admettant qu’il est tout à fait possible que “le Kremlin contrôle les hackers ou, ce qui est plus probable, ferme les yeux sur leurs activités tant qu’ils apportent leur aide lorsque le gouvernement le leur demande”.

Un cas de figure également vraisemblable pour le journal russe Lenta qui certifie que “le piratage de données aussi importantes ne sauraient être réalisé sans l’aval et la contribution des services spéciaux”.

0


0
Login or register to post comments