[ for the English version please click here ]
Jeremy Fleming, directeur du GCHQ, lors de la conférence Cyber UK
organisée par le National Cyber Security Center la semaine dernière
Ah, l’avenir de la guerre : « Nous ne pouvons pas exclure que la Russie tente de se baser sur cette infrastructure pour de nouvelles attaques ». Elle serait exploitée pour l’espionnage, le vol de propriété intellectuelle ou pour « une utilisation en période de tension ». Genre, par exemple, pour une vengeance après des bombardements en Syrie, au hasard.
17 avril 2018 (Pérouse, Italie) – Pendant les quelques jours de repos que je m’accorde après le Festival international du journalisme (FIJ) et alors que je débute une série d’articles sur le sujet du FIJ, j’ai passé ma matinée à parcourir mon dossier d’actualités portant sur la cyberguerre et la cybersécurité. L’article le plus important ? Les gouvernements britannique et américain pensent que des espions financés par le Kremlin pourraient avoir trouvé un moyen d’entrer dans votre bureau personnel.
Le Royaume-Uni et les États-Unis accusent les hackers russes de s’être lancés dans une campagne visant à prendre le contrôle de routeurs présents dans des bâtiments officiels, des infrastructures sensibles et les locaux de fournisseurs d’accès à Internet, mais également dans des bureaux de plus petite envergure et chez des particuliers. Cet avertissement a été émis hier dans le cadre d’une annonce conjointe des renseignements britanniques, du Conseil de sécurité nationale (NSC), du DHS et du FBI. Lors du point presse qui a précédé l’annonce, Rob Joyce, assistant spécial auprès du président des États-Unis et coordinateur de la cybersécurité au sein du Conseil national de sécurité, a affirmé qu’il était très probable que la Russie soit derrière ces attaques. Cette campagne de piratage est dans le viseur des services de renseignement britanniques depuis un an, selon Ciaran Martin, directeur du Centre national de cybersécurité du Royaume-Uni, qui dépend de l’agence de renseignement GCHQ.
L’alerte technique commune aux deux pays indique que des pirates informatiques soutenus par l’État russe ont tenté de pénétrer des routeurs réseau, des commutateurs, des pare-feux et des systèmes de détection d’intrusion dans le monde entier. Le NCSC affirme que ces routeurs ont été visés dans le but de mener des attaques dites « de l’homme du milieu », qui ont pour objectif d’intercepter les données circulant entre ordinateurs et serveurs Internet. Cette opération cherchait à « soutenir des entreprises d’espionnage, extraire des éléments de propriété intellectuelle, maintenir un accès constant aux réseaux victimes et, éventuellement, jeter les bases de futures offensives », selon un communiqué du NCSC.
Pour Ciaran Martin, ce ciblage a duré des mois et a pu être utilisé pour l’espionnage, le vol de propriété intellectuelle, ou pour « une utilisation en période de tension ». Des millions de machines auraient été ciblées, et un grand nombre d’entre elles auraient été compromises par des hackers dans le but d’accéder aux clients des FAI et d’espionner certaines organisations et leurs connexions. Le gouvernement britannique a été touché, a-t-il ajouté.
Rob Joyce a déclaré : « Nous ne pouvons pas exclure que la Russie tente d’utiliser cette infrastructure [piratée] lors de nouvelles attaques ». Des recommandations vont être communiquées aux entités potentiellement affectées aujourd’hui. C’est la première fois que le Royaume-Uni et les États-Unis diffusent conjointement de tels conseils. « Les actions que nous présentons aujourd’hui entrent dans le cadre d’une série de mesures contre ces activités inacceptables », a ajouté Rob Joyce.
Selon Jeanette Manfra, responsable de la cybersécurité pour le DHS, les Russes ont utilisé un certain nombre de techiques, dont le scan de machines équipées du logiciel vulnérable Cisco Smart Install, conçu pour faciliter la configuration des équipements réseau de ce grand constructeur. L’entreprise Cisco elle-même avait récemment averti ses clients d’attaques visant ce produit, et prévenu qu’elles pouvaient mettre en danger un certain nombre d’infrastructures importantes.
Si les agences n’ont guère été loquaces quant aux noms des victimes, elles n’ont eu aucun mal à pointer le Kremlin du doigt. Les gouvernements britannique et américain ont accusé la Russie d’être responsable d’autres cyberattaques récentes, et notamment du ransomware NotPetya qui s’était d’abord propagé en Ukraine avant de toucher des entreprises du monde entier, dont les géants du transport Maersk et FedEx. Lors de sa première intervention publique en tant que directeur du GCHQ la semaine dernière, Jeremy Fleming avait mis en garde contre les activités « irresponsables » de la Russie dans le monde réel, après l’empoisonnement d’un ancien espion vivant au Royaume-Uni, et du comportement « inacceptable » de ce pays sur Internet.
Les États-Unis avaient auparavant affirmé que la Russie était responsable de la cyberattaque ayant visé le Comité national démocrate (DNC) et avait cherché à utiliser des moyens numériques pour influencer l’élection de 2016. Le Kremlin a nié toutes les allégations portées contre son gouvernement.
Une augmentation des cyber-tensions
Concernant les possibilités qui s’offrent à la Russie avec ces routeurs piratés, le professeur Alan Woodward, expert en cybersécurité à l’Université du Surrey, s’est déclaré inquiet du potentiel de nuisance d’une « infrastructure massive à partir de laquelle une offensive pourrait être lancée ».
Imaginez, par exemple, une attaque par déni de service (DDoS) massive dont la source serait des routeurs domestiques. Qui tiendriez-vous responsable ? Imaginez maintenant une situation dans laquelle vous auriez affirmé publiquement savoir que certains routeurs avaient été compromis, possiblement par la Russie, puis qu’une telle attaque se produise… Il devient d’autant plus difficile de nier toute responsabilité.
Et là est bien le problème. Comme me l’avait expliqué cette année David Grout, de FireEye, à l’occasion du FIC2018:
Lorsqu’un pirate contrôle un routeur et a accès à certaines parties de ce qui fait la colonne vertébrale d’Internet, l’inquiétude concerne toujours les possibilités d’utilisation de ces éléments, qu’il s’agisse d’attaques DDoS ou d’autres cyberattaques. Cela montre bien toute l’ampleur du problème.
La Russie répond
Dans une déclaration envoyée par e-mail par l’ambassade de Russie à Londres (leur équipe réseaux sociaux est vraiment à la pointe, soit dit en passant), un porte-parole affirme, en réponse à ces allégations :
Nous considérons ces accusations et ces spéculations comme des exemples frappants d’une politique irresponsable, provocatrice et infondée a l’égard de la Russie. Nous sommes très déçus que des allégations aussi sérieuses aient été exprimées publiquement sans qu’aucune preuve ne soit présentée et sans qu’aucun contact préalable n’ait été recherché par le Royaume-Uni pour clarifier la situation avec la Russie.
Les médias britanniques ayant, ces derniers jours, recommencé à exploiter la question des « cybermenaces venues de Russie » à la suite de ces déclarations officielles, il est de plus en plus envisageable que l’opinion publique britannique fasse actuellement l’objet d’une préparation préalable à une cyberattaque britannique massive contre la Russie, cette attaque présentant alors un caractère de représailles quand elle serait, en réalité, un usage non provoqué de la force.
La Russie n’envisage de mener aucune cyberattaque contre le Royaume-Uni. Nous attendons du gouvernement britannique qu’il déclare la même chose.
Les services de sécurité ont admis ne pas connaître l’ampleur exacte des attaques informatiques commandées par l’État russe. Mais ils sont très clairs sur une chose : la connectivité globale moderne offerte par « l’internet des objets » dans presque tous les pays occidentaux, et en particulier au Royaume-Uni et aux Etats-Unis, sera facilement exploitée par les Russes et par d’autres acteurs malveillants.
Qui ça ? Moi ?