Plus de 18 000 utilisateurs travaillant pour des agences de renseignement américaines, le Pentagone ou de grandes entreprises du Fortune 500 ont téléchargé un cheval de Troie mis au point par des hackers russes, annonce le New York Times ce 15 décembre. Le fichier malveillant était déguisé en mise à jour logicielle de SolarWinds, dont les logiciels de gestion informatique sont utilisés jusqu’à la NSA. Les renseignements américains enquêtent actuellement pour savoir quel volume de données a été compromis, et de quelle importance. La cyberattaque pourrait être d’une envergure sans précédent, et perpétrée par un groupe bien connu sous le nom de Cozy Bear…
Cozy Bear
Un concert de voix retentit de part et d’autre de l’Atlantique ce jeudi 16 juillet 2020. À l’unisson, des agences de renseignement américaine, canadienne et britannique accusent le gouvernement russe, à travers le groupe de hackers APT29, plus connu sous le nom de Cozy Bear, de tenter de voler des recherches sur le développement d’un vaccin contre le Covid-19.
À en croire un ancien directeur du GCHQ – l’équivalent de la NSA au Royaume-Uni – interrogé par le New York Times, l’université d’Oxford et le groupe pharmaceutique anglo-suédois AstraZeneca compteraient parmi les victimes de cyberattaques « quasi certainement » menées par les hackers de Cozy Bear, que les agences de renseignement disent affilié au FSB.
Outre le GCHQ britannique (à travers son National Cyber Security Centre), le même son de cloche est donné par le Centre de la sécurité des télécommunications (CST) canadien et la NSA américaine. Elles affirment cependant que les Russes ne visent pas cette fois-ci à déstabiliser des puissances rivales, mais à ne pas rester à la traîne en matière de vaccin contre le coronavirus.
Ces accusations interviennent au lendemain d’une annonce du ministère russe de la Défense, qui se félicitait mercredi 15 juillet des résultats prometteurs des premiers essais cliniques d’un vaccin développé par ses chercheurs et ceux du Centre de recherches en épidémiologie et microbiologie Nikolaï Gamaleïa de Moscou. Le 18 juin dernier, les médecins russes ont vacciné 18 volontaires pour participer à ces essais, qui ont duré 28 jours sous étroite observation. S’il est trop tôt pour crier victoire, les résultats sont semble-t-il suffisamment encourageants pour que le gouvernement russe nie avec aplomb les accusations dont il fait l’objet.
« Nous ne savons pas qui a pu pirater des sociétés pharmaceutiques et des centres de recherches en Grande-Bretagne », a déclaré ce jeudi le porte-parole du Kremlin Dmitri Peskov, interrogé par l’agence de presse russe TASS. « Tout ce que nous pouvons dire, c’est que la Russie n’a rien à voir avec ces attaques. Et nous ne tolérons pas ce genre d’accusations. » Naturellement, si la Russie est en vérité responsable de ces attaques, son administration ne le reconnaîtra pas.
Faute de sources non-gouvernementales, qui faut-il croire ? Le camp NSA-GCHQ-CST, dont le réseau clandestin de surveillance de masse avait été révélé par Edward Snowden en 2013, et qui représente l’unique source du New York Times et de la BBC ? Ou le camp du Kremlin, dont les hackers comptent parmi les meilleurs du monde et ont mené par le passé des cyberattaques de plus grande ampleur ? Ce qui est certain, c’est que ces deux camps se livrent une guerre invisible à l’échelle du monde. Et ils ne sont pas les seuls.
La grande simulation
À la télévision israélienne, un voile noir recouvre l’écran. La musique s’arrête. Sur la chaîne Kan, mardi 14 mai 2019, la retransmission de l’Eurovision est interrompue par une alerte. En plein programme, les téléspectateurs voient apparaître l’inquiétant message « risque de missiles, tous aux abris » sous le logo de Tsahal, l’armée nationale. Pendant deux minutes, des images de bombardements de Tel Aviv défilent alors, ponctuées par la menace « Israël n’est pas en sécurité, vous verrez ».
« Nous savons avec un certain degré de certitude qu’il y a eu une tentative, apparemment par le Hamas, de pirater notre retransmission », affirme dans les heures qui suivent le directeur de Kan, Eldad Koblenz. « Mais je suis heureux de dire qu’en quelques minutes nous avons réussi à reprendre le contrôle. » Dix jours plus tôt, les forces israéliennes ont tiré sur un immeuble de la bande de Gaza où se terraient d’après leurs informations des hackers du Hamas. Cette frappe est présentée comme la réplique à une attaque informatique lancée par l’organisation armée palestinienne. Et c’est la première de ce genre dans l’histoire.
Le Britannique Junaid Hussain a bien été tué par un drone américain en août 2015, mais l’assassinat visait officiellement à neutraliser la menace globale que représentait ce pirate de l’État islamique. Depuis, les États ont pris de plus en plus au sérieux les manœuvres numériques, rivalisant de feux et de contre-feux. La Revue stratégique de cyberdéfense publiée par le gouvernement français en 2018 prévoit de recourir à la force face à un piratage, pourvu qu’il soit assimilable à une « agression armée » au sens de l’article 51 de la Charte des Nations Unies.
Lorsque la France a pris la présidence du G7 en juin, elle a d’ailleurs organisé avec ses alliés une grande simulation de cyberattaque transfrontalière, où 24 institutions financières ont testé leur réactivité, afin de se préparer à pareille situation. Les autorités ne sont pas sans savoir qu’une entreprise sur cinq a été affectée par un virus l’an passé. Or, les menaces sont de plus en plus sophistiquées. En recourant à la sténographie, cette technique qui consiste à intégrer une ligne de code dans un fichier anodin, les groupes de hackers APT28 et APT29 (aussi appelés Fancy Bear et Cozy Bear) sont parvenus à entrer dans la messagerie du Parti démocrate américain en 2016.
Le 20 février dernier, Microsoft a mis en garde à son tour le Vieux continent contre une tentative de déstabilisation des élections européennes. Le géant américain a observé « de nombreux efforts d’États-nations et d’autres acteurs d’influencer les scrutins ». Autrement dit, les coups pleuvent. Pour s’en prémunir, les États et les entreprises doivent « engager un hacker avant d’être hacké », comme le dit la conférence éponyme organisée au salon parisien VivaTech vendredi 17 mai. Alors que le Parlement de Strasbourg va bientôt être renouvelé, le sujet est d’autant plus brûlant en Europe que les pirates américains, chinois et russes ne se gênent pas pour y opérer. On trouve même la trace de Fancy Bear jusqu’en Angleterre.
L’arme du crime
À Oldham, au nord-est de Manchester, les cheminées d’usine ont arrêté de cracher leur fumée depuis des décennies. Abandonnée par les grandes usines du siècle dernier, cet ancien fleuron de l’industrie textile a été nommé ville la plus défavorisée d’Angleterre en 2016. Mais une odeur de suie froide demeure. Parmi ses rangées de maisons en brique rouge, la BBC vient de retrouver ce que les Anglo-Saxons appellent un smoking gun, autrement dit l’arme du crime. Pour mener ses attaques, un groupe de hackers surnommé Fancy Bear a été hébergé par une entreprise un temps basée ici, Crookservers.
« Nous ne savons jamais comment un client utilise notre serveur », se défend son propriétaire, Ousmane Ashraf. En 2015, apprenant que des hackers s’en servaient, il aurait supprimé leur compte. Aujourd’hui installé au Pakistan, l’homme sait le danger qu’il y a à être associé à Fancy Bear. Ce dernier est accusé de s’en être pris au parlement allemand, au gouvernement nigérian et, surtout, au Comité national du parti Démocrate américain.
La conviction de la communauté du renseignement américain est faite : ce gang russe a dérobé les e-mails du parti d’Hillary Clinton à l’été 2016. Le Kremlin aurait même été à la manœuvre d’après les entreprises de sécurité américaines Crowdstrike, FireEeye, Threatconnect et SecureWork. « On ne sait pas qui est derrière », relativise l’expert en cyber-sécurité étasunien Jeffrey Carr. « Ce n’est pas comme un club dont les membres auraient une carte de visite sur laquelle est écrit “Fancy Bear”. C’est juste le nom qu’on a attribué à un groupe associé à ces attaques. Il est rare d’avoir la confirmation que ces groupes existent bel et bien ou que l’attribution est effectivement correcte. »
La découverte de Crookservers peut-elle aider à démasquer Fancy Bear ? Rien n’est moins sûr. Les hackers sont habitués à naviguer de serveur en serveur sans laisser de trace. Ils n’ont du reste probablement pas de bureau au Kremlin. Quand ils s’intéressaient aux sites propageant de fausses informations favorables à la candidature de Donald Trump, plusieurs journalistes ont réussi à rencontrer leurs gérants à Veles, un petite village de Macédoine lui aussi victime de la désindustrialisation. Mais on n’a jamais su qui les payait.
La cyberguerre menée par les États possède une géographie étrange. « Il y a un morcellement du théâtre des opérations », constate Nicolas Arpagian, chercheur à l’INHESJ. Auteur du livre La Cybersécurité, dans la collection Que sais-je ?, il participe à la conférence de VivaTech sur le hacking. « Sur Internet, des gens élaborent des outils offensifs, d’autres s’en servent et d’autres encore en sont bénéficiaires. » En outre, les informations peuvent être facilement copiées. Dans ces conditions, il est non seulement difficile de détecter une attaque mais plus encore de l’imputer.
« Alors que l’environnement international s’est beaucoup judiciarisé, les États apprécient l’émergence d’un domaine où règne une relative impunité », pense Nicolas Arpagian. « Ça ne coûte pas cher et personne ne peut remonter jusqu’à soi. » Bien qu’il n’y ait pas de déclaration de guerre officielle, chacun, selon sa doctrine en la matière, lance des opérations plus ou moins discrètes. En public, les échanges restent cordiaux. Mais leur atmosphère compassée trahit une tension permanente des relations internationales.
Brouillard de guerre
Il y a cent ans, en pleine révolution d’octobre 1917, Nikolaï Ogarkov voit le jour dans le village de Molokovo, au nord de Moscou. Entré dans l’armée en 1938, ce fils de paysans diplômé en ingénierie militaire gravit pied à pied tous les échelons au sein de l’état-major. Devenu membre du comité central en 1971, il est nommé, promotion suprême, maréchal en janvier 1977. Ayant observé attentivement la débâcle américaine au Vietnam, Nikolaï Ogarkov n’est pas sûr qu’une intervention russe en Afghanistan serait couronnée de succès. Moscou s’y embourbe quand même.
La puissance ne peut pas tout. D’autant moins en Union soviétique, où la guerre froide prend une tournure dangereusement déséquilibrée. « La technologie soviétique a une ou deux générations de retard sur celle des États-Unis », concède le maréchal à un journaliste américain en 1982. « Dans notre pays, les petits enfants jouent avec des ordinateurs que nous n’avons pas même dans chaque bureau du ministère de la Défense. Et pour des raisons que vous connaissez, nous ne pouvons pas les rendre accessibles à tous. » Quelques-uns pourraient toutefois s’en servir afin de remporter la guerre de l’information, de plus en plus décisive. Ogarkov compte sur ces « nouvelles méthodes tactiques » pour refaire son retard.
À sa suite, Washington s’adapte aux technologies. Plus que les méthodes d’espionnage anciennes, cette « Revolution in military affairs » doit, en se jouant des frontières physiques, dissiper le « brouillard de guerre » dont le stratège prussien Carl von Clausewitz théorisait les dangers. Autrement dit, transparence ne rimerait avec défiance qu’en poésie. « Connais ton ennemi », disait le général Sun Tzu. Sauf que le brouillard est en réalité tellement épais sur les réseaux qu’on y aperçoit rarement le fameux smoking gun.
Le premier apparaît finalement pour partie en Estonie, 90 ans après la révolution d’octobre. Au printemps 2007, l’ancienne république soviétique décide de déplacer une immense statue en bronze représentant un fantassin de l’armée rouge. Dans la nuit du 26 au 27 avril, des manifestations contre la mesure dégénèrent. Une personne meurt. Des millions d’ordinateurs se connectent alors, à l’insu de leurs propriétaires, aux sites de l’administration, des banques et des médias du pays pour les saturer.
À Tallinn et à Washington, on a tôt fait d’interpréter l’attaque comme une manœuvre de Moscou en défense de la communauté russe, laquelle s’était mobilisée contre le déplacement du monument. Cependant, aucune mesure de rétorsion n’est prise, ni par le pays balte ni par ses alliés du traité de l’Atlantique nord. « Les autorités de l’Otan ont renoncé à appliquer l’article 5 », rappelle Nicolas Arpagian. Celui-ci prévoit qu’une attaque contre l’un de ses membres est considérée comme une attaque contre tous. Or, dans ce cas, « comment désigner avec certitude l’assaillant ? », poursuit le chercheur.
La tâche paraît plus aisée lorsque le suspect opère des manœuvres militaires. C’est le cas en août 2008. La Géorgie lance une offensive vouée à expulser les soldats russes déployés dans une de ses régions, l’Ossétie du Sud. L’inverse se produit. Repoussé, le pays du Caucase se plaint alors d’avoir subi, en parallèle, une série d’attaques informatiques. « Mais cela pourrait aussi bien prouver l’inverse de ce que les experts géorgiens et occidentaux prétendent », estime Yasha Levine. « La Géorgie avait prévu son invasion militaire. » D’après le journaliste russe, l’intérêt de Moscou à affecter l’Internet géorgien balbutiant était faible. Tbilissi pouvait en revanche gagner à se prévaloir du statut de victime.
Méfiance partout
En arrivant sur la scène du Air and Space Museum de New York, ce 11 octobre 2012, Leon Panetta arbore un large sourire au-dessus de son nœud papillon noir. Un portrait dithyrambique de son action vient d’être dressé. Le secrétaire d’État à la Défense et ancien directeur de la CIA remercie, parle baseball et lance quelques blagues. Puis, il fronce le sourcil droit. Les États-Unis, prévient-il, courent le risque d’être ciblés par « des attaques informatiques au niveau de leurs infrastructures, en même temps que physiquement ». Cela représenterait « un Pearl Harbor cybernétique qui pourrait provoquer une destruction physique et tuer, paralyser et choquer la nation, et enfin créer un profond sentiment de vulnérabilité ».
Leon Panetta cite en exemple la compagnie pétrolière d’État saoudienne Aramco, récemment victime d’un virus. Des données ont été effacées sur les disques durs de 30 000 ordinateurs. Sans donner de preuve, Washington pointe la responsabilité d’un concurrent du royaume wahhabite, l’Iran. Il faut dire que Téhéran a lui-même été touché par Stuxnet, en 2010, un programme malveillant conçu par les États-Unis et Israël. Le gouvernement américain prétend néanmoins qu’il lui a échappé.
« Aujourd’hui, il n’y a pas un ascenseur, un système de transport, un système de traitement des eaux, un système de pilotage d’armes qui ne soit pas géré par un système informatique », détaille Nicolas Arpagian. À côté de la traditionnelle diplomatie physique a donc émergé une diplomatie numérique. Chacune s’exerce dans les trois dimensions stratégiques des relations internationales : la force militaire, politique et économique. « Les États les plus puissants sont ceux qui ont de l’influence dans ces domaines tant par les canaux traditionnels qu’en ligne », avance Jared Cohen, PDG de Jigsaw, la filiale de Google spécialisée dans les problèmes d’accès à l’information et de cyberattaques.
La Russie, prend en exemple Jared Cohen, « a ressuscité beaucoup de sa tactique de la guerre froide, plus dans le monde numérique que physique ». Son engagement en Syrie prouve toutefois qu’elle est loin de délaisser le terrain. Singapour ou l’Estonie sont quant à eux clairement mieux dotés en informaticiens qu’en soldats.
Leon Panetta ne le dit pas mais, en 2012, les États-Unis ne font pas que craindre l’attaque d’un ennemi. Ils espionnent aussi… leurs alliés. L’ancien directeur technique de la Direction générale de la sécurité extérieure française (DGSE), Bernard Barbier, découvre un malware dans le système informatique de l’Élysée. Convaincu qu’il provient des États-Unis, il traverse alors l’Atlantique. Gênée aux entournures, la National Security Agency (NSA) finit par admettre devant lui sa responsabilité. « Les alliés diplomatiques sont des concurrents sur le plan économique », analyse Nicolas Arpagian. « Or, ces outils peuvent être utilisés à des fins économiques. » Afin d’être épargnés, les services de renseignements allemands auraient par ailleurs accepté d’espionner la France pour le compte de la NSA.
Si même le « couple franco-allemand » est concerné, une méfiance généralisée n’est-elle pas en train de gagner le concert des nations ? La sphère informatique apaise rarement les choses. « Cela démultiplie les champs d’expositions aux risques », considère le chercheur français. « Là où on avait des théâtres d’opération extérieures, on a aujourd’hui un état de tension permanente. » Le début des hostilités dans l’est de l’Ukraine, en 2014, a été suivi par une vague d’attaques informatiques. Ni les combats sur le terrain, ni les opérations en ligne n’ont depuis vraiment cessé.
« Je pense que dans le futur, toutes les guerres commenceront par être des cyberguerres », suppose Jared Cohen. Cet ancien conseiller de Condoleeza Rice et de Hillary Clinton au secrétariat d’État plaide pour la définition d’un corpus de règles, une sorte de droit international de la diplomatie numérique. Mais comment vérifier son application si une attaque ne peut être tracée ? À Oldham, au nord-est de Manchester, rien n’a filtré.
Couverture : Cyberwar. (Ulyces.co)