International
Analyse

7 faits inquiétants sur les cyberguerriers de Poutine

FBI-Fahnungsplakat für Mitglieder der russischen Elite-Hackergruppe Sandworm.
L'unité 74455, alias Sandworm, appartenant au service de renseignement militaire russe, compte sur l'expertise d'informaticiens privés.image: Shutterstock / watson
Analyse

7 faits inquiétants sur les cyberguerriers de Poutine

Les documents divulgués par un lanceur d'alerte inconnu sur les cyberarmes et les plans d'attaque russes laissent perplexe. Les réactions à cette fuite sans précédent le sont tout autant.
11.04.2023, 06:1311.04.2023, 12:15
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi
Plus de «International»

Des milliers de pages de documents secrets montrent comment la Russie planifie et prépare des cyberattaques dans le monde entier. C'est ce qu'a révélé la semaine passée un réseau de recherche.

Ce qui est inquiétant, ce ne sont pas seulement les rapports sur les outils d'attaque commandés par l'armée russe, mais aussi leur origine. Des développeurs et des ingénieurs de la société informatique privée NTC Vulkan ont aidé à préparer des opérations de piratage russe à l'étranger et à former des agents pour attaquer des infrastructures critiques.

👉Suivez en direct l'évolution de la guerre en Ukraine👈

Et cela nous amène aux principales conclusions que nous avons pu retirer des «dossiers Vulkan» et des réactions qu'ils ont suscitées.

1. Le concepteur en chef des cyberarmes russes travaille aujourd'hui chez Amazon

Les journalistes qui enquêtent pour le magazine Spiegel l'appellent Sergei N. et demandent:

«Que fait un spécialiste russe de la cyberguerre dans une entreprise qui héberge une grande partie de l'informatique de centaines de groupes mondiaux, dont l'infrastructure constitue un pilier de l'Internet mondial? AWS ne pouvait-elle pas ou ne voulait-elle pas savoir ce que N. faisait auparavant? En juin 2019 encore, on trouve des commentaires signés de son nom dans un document divulgué [par NTC Vulkan]. A ce moment-là, il a déclaré qu'il travaillait déjà pour AWS.»
source: spiegel.de

AWS est l'acronyme d'Amazon Web Services, leader mondial du cloud computing. La filiale d'Amazon exploite des centres de calcul dans le monde entier, et la Confédération compte parmi ses clients.

Interrogé par le Spiegel, AWS s'est contenté de faire savoir que la sécurité des données des clients était une priorité absolue.

2. Le danger qui pèse sur l'Occident ne peut pas être évalué

Selon les rapports, AWS avait probablement embauché le collaborateur de haut niveau de Vulkan en 2018, soit quatre ans avant l'invasion de l'Ukraine. A l'époque, il semblait apparemment que de nombreux responsables du personnel dans les organisations occidentales ne voyaient aucun problème à embaucher des informaticiens russes.

Il faut noter que certains liens commerciaux existaient entre le NTC Vulkan et des groupes américains. Plusieurs grands fabricants, dont IBM, Boeing et Dell, ont collaboré avec Vulkan, selon leur site web.

Il s'agissait de développer des logiciels à des fins commerciales, sans liens apparents avec les services secrets et les opérations de piratage. Et entre-temps, il n'y aurait plus de relations commerciales.

Ce qui n'est pas vraiment rassurant non plus, c'est que Vulkan était déjà actif depuis longtemps, comme le montrent les recherches. Selon le rapport de la ZDF, Google a confirmé qu'une adresse mail de Vulkan avait été identifiée dès 2012 en lien avec des logiciels malveillants de la troupe de pirates russes Cozy Bear.

«La Russie est dans nos filets»
Mise en garde actuelle de Wolfgang Wien, vice-président du service fédéral de renseignement allemand

3. Personne en Occident ne veut parler de ce danger pour la sécurité

«À partir de 2011, NTC Vulkan a obtenu des licences spéciales du gouvernement pour travailler sur des projets militaires secrets et des secrets d'État»
theguardian.com

Jusqu'à l'invasion russe de février 2022, les employés de Vulkan se rendaient ouvertement en Europe occidentale et assistaient à des conférences internationales sur l'informatique et la cybersécurité, comme l'écrit le Guardian. Aujourd'hui, d'anciens employés vivent en Allemagne, en Irlande et dans d'autres pays de l'UE. Certains travailleraient pour des groupes technologiques mondiaux. Il n'est pas certain que les autorités occidentales de contre-espionnage les aient à l'œil.

Le journaliste d'investigation Andreï Soldatov pose la question:

«Est-il sûr ou éthique d'embaucher un ingénieur russe avec une formation en sécurité de l'information, ce qui, à Moscou, signifie souvent travailler pour une entreprise comme NTC Vulkan?»

Même si quelqu'un quitte la Russie en emmenant sa famille proche, il a toujours des amis et des parents chez lui, ce qui le rend vulnérable.

Le journaliste exilé à Londres estime qu'il ne serait pas non plus juste de renvoyer des ingénieurs informatiques en Russie en raison de leur ancien emploi. Ces personnes n'auraient en effet guère eu d'autre choix. Le Kremlin considère ces ingénieurs comme des pions dont le devoir est d'aider la Russie dans son effort de guerre.

Les contrôles de sécurité des candidats à un emploi doivent empêcher que des personnes ayant un «background» problématique n'exercent des activités jugées sensibles. Comme le montrent les recherches d ...
Les contrôles de sécurité des candidats à un emploi doivent empêcher que des personnes ayant un «background» problématique n'exercent des activités jugées sensibles. Comme le montrent les recherches de l'émission Rundschau de la SRF, cela n'a justement pas fonctionné récemment dans l'armée de l'air suisse.screenshot: srf.ch

4. La Russie ne fait plus de distinction entre guerre et paix

Le journaliste d'investigation russe Andreï Soldatov, qui s'est réfugié au Royaume-Uni, a pu examiner les documents secrets volés par le lanceur d'alerte. Il en conclut que l'armée russe a adopté la mentalité agressive de la police secrète de Poutine.

«Les fichiers qui ont fuité indiquent également que l'armée russe a abandonné depuis longtemps les restrictions de l'époque soviétique concernant les armes offensives, qui ne peuvent être utilisées qu'en temps de guerre. En Russie, les frontières entre la guerre et la paix ne sont pas seulement floues, elles n'existent pas.»

La fuite documente une collaboration intensifiée entre l'armée et les services secrets russes. Les «siloviki» de Poutine, des agents de renseignement et des militaires de haut rang, sont devenus beaucoup plus agressifs depuis l'effondrement de l'Union soviétique, estime Soldatov.

5. Le fait que les cyberarmes elles-mêmes n'aient pas été divulguées n'est pas une bonne nouvelle

Les documents divulgués par le lanceur d'alerte inconnu ne contenaient aucune information concrète sur les programmes malveillants russes (malware) ou autres outils utilisés pour des opérations de piratage.

«En raison de ce qui se passe en Ukraine, j'ai décidé de rendre cette information publique»
Source russe des documents de Vulkan

La personne inconnue a transmis plusieurs milliers de documents, «des PDF, des fichiers Word, des contrats, des concepts, des licences, des e-mails», via une plateforme cryptée, avant de disparaître à nouveau sans laisser de trace quelques semaines plus tard.

Pourquoi la source anonyme n'a-t-elle pas transmis aux journalistes un code de programme ou d'autres détails techniques sur les cyberarmes russes?

Parce qu'elle n'avait pas accès à l'arsenal numérique? Parce qu'elle ne pouvait pas le faire sans se trahir, ou parce qu'elle ne voulait pas tout révéler aux médias occidentaux? Ou alors est-ce que la personne s'est fait prendre?

Le politicien allemand Konstantin von Notz, président de l'organe de contrôle parlementaire responsable des services de renseignement, estime en tout cas que des «centaines de cyberarmes» de ce type sont en cours de développement. Et celles-ci représentent un risque considérable pour la sécurité.

Pour rappel, en 2016, un groupe jusqu'alors inconnu du nom de «Shadow Brokers» a annoncé être entré en possession de cyberarmes américaines dont personne ne connaissait encore l'existence. Elles provenaient de l'unité d'élite Tailored Access Operations (TAO) appartenant aux services de renseignement de la NSA.

En 2017, d'autres outils d'attaque de la NSA ont été publiés sur Internet. Des pirates informatiques russes d'élite, probablement du groupe «Sandworm» appartenant aux services secrets militaires russes, les ont utilisés pour l'attaque de logiciels malveillants NotPetya aux conséquences dévastatrices dans le monde entier.

L'enquête a révélé qu'un informaticien externe, travaillant sous contrat pour la NSA et d'autres agences gouvernementales américaines, avait volé plus de 50 téraoctets de «données hautement sensibles», y compris les dangereux outils de piratage de la NSA basés sur des exploits «zero day».

Le code de programmation russe peut également tomber entre de mauvaises mains. Les cyberarmes correspondantes sont-elles encore sûres? Et quelles sont les personnes internes et externes qui y ont eu accès?

6. La Russie combat ses ennemis (y compris la Suisse) par tous les moyens possibles

«Il pourrait également y avoir eu des attaques contre la Suisse, qui n'ont peut-être pas été identifiées jusqu'à présent»
L'avis de l'experte ukrainienne en informatique Marina Krotofil, qui vit en Suisse et aide à contrer les attaques de pirates informatiques russes contre son pays.source: tages anzeiger

Une chose est sûre: les récentes révélations concernant NTC Vulkan ne sont que la partie émergée de l'iceberg. L'entreprise informatique russe dénoncée fait partie d'un complexe militaro-industriel extrêmement opaque, même après la fuite. Plus de 40 entreprises sont étroitement liées entre elles par le biais de leur travail avec les services secrets russes.

L'objectif de ce partenariat public-privé est de développer des cyberarmes très efficaces «afin de les pointer sur tous ceux que les dirigeants de Moscou ont déclarés comme étant des ennemis».

John Hultquist, vice-président chargé de l'analyse des services de renseignement au sein de la société de cybersécurité Mandiant, qui a pu analyser une partie des «fichiers Vulkan», déclare:

«Ces documents indiquent que la Russie considère les attaques contre les infrastructures civiles critiques et la manipulation des médias sociaux comme une seule et même chose, une même mission, qui est essentiellement une attaque contre la volonté de se battre de l'ennemi.»
source: theguardian

7. Les dernières révélations sont inquiétantes (et ne changent rien)

Les responsables politiques, administratifs et privés sont-ils conscients des dangers? Et que faut-il faire concrètement contre la menace russe?

Le Service de renseignement de la Confédération (SRC) a pris position de manière assez floue auprès du Tages Anzeiger:

«En principe, toutes les infrastructures critiques peuvent devenir des cibles potentielles de cyberattaques, notamment si les vulnérabilités sont exploitées à des fins d'espionnage, de sabotage ou de criminalité.»

L'intérêt du public pour les plans de guerre et les cyberarmes russes découvertes a été jusqu'à présent relativement faible. La politique nationale semble s'être endormie sur le sujet. En tout cas, les réactions sont timides concernant l'affaire «VulkanFiles»; les responsables politiques et de la sécurité informatique restent discrets.

Les 4 jeux vidéo qu’on attend de pied ferme en avril
Video: watson
Ceci pourrait également vous intéresser:
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Cet Ukrainien sait où les hackers russes pourraient frapper la Suisse
Rencontre avec Mykhaïlo Fedorov, vice-premier ministre et ministre de la Transformation numérique de l'Ukraine. Il est notamment responsable de la lutte contre les armées de pirates informatiques russes, et s'exprime à la veille du sommet du Bürgenstock.

Alors que le sommet pour la paix au Bürgenstock débute samedi, les experts et les autorités tirent la sonnette d'alarme. Ils craignent que la Suisse ne devienne la cible de la fameuse cyberarmée de Vladimir Poutine.

L’article