Des milliers de pages de documents secrets montrent comment la Russie planifie et prépare des cyberattaques dans le monde entier. C'est ce qu'a révélé la semaine passée un réseau de recherche.
Ce qui est inquiétant, ce ne sont pas seulement les rapports sur les outils d'attaque commandés par l'armée russe, mais aussi leur origine. Des développeurs et des ingénieurs de la société informatique privée NTC Vulkan ont aidé à préparer des opérations de piratage russe à l'étranger et à former des agents pour attaquer des infrastructures critiques.
👉Suivez en direct l'évolution de la guerre en Ukraine👈
Et cela nous amène aux principales conclusions que nous avons pu retirer des «dossiers Vulkan» et des réactions qu'ils ont suscitées.
Les journalistes qui enquêtent pour le magazine Spiegel l'appellent Sergei N. et demandent:
AWS est l'acronyme d'Amazon Web Services, leader mondial du cloud computing. La filiale d'Amazon exploite des centres de calcul dans le monde entier, et la Confédération compte parmi ses clients.
Interrogé par le Spiegel, AWS s'est contenté de faire savoir que la sécurité des données des clients était une priorité absolue.
Selon les rapports, AWS avait probablement embauché le collaborateur de haut niveau de Vulkan en 2018, soit quatre ans avant l'invasion de l'Ukraine. A l'époque, il semblait apparemment que de nombreux responsables du personnel dans les organisations occidentales ne voyaient aucun problème à embaucher des informaticiens russes.
Il faut noter que certains liens commerciaux existaient entre le NTC Vulkan et des groupes américains. Plusieurs grands fabricants, dont IBM, Boeing et Dell, ont collaboré avec Vulkan, selon leur site web.
Il s'agissait de développer des logiciels à des fins commerciales, sans liens apparents avec les services secrets et les opérations de piratage. Et entre-temps, il n'y aurait plus de relations commerciales.
Ce qui n'est pas vraiment rassurant non plus, c'est que Vulkan était déjà actif depuis longtemps, comme le montrent les recherches. Selon le rapport de la ZDF, Google a confirmé qu'une adresse mail de Vulkan avait été identifiée dès 2012 en lien avec des logiciels malveillants de la troupe de pirates russes Cozy Bear.
Jusqu'à l'invasion russe de février 2022, les employés de Vulkan se rendaient ouvertement en Europe occidentale et assistaient à des conférences internationales sur l'informatique et la cybersécurité, comme l'écrit le Guardian. Aujourd'hui, d'anciens employés vivent en Allemagne, en Irlande et dans d'autres pays de l'UE. Certains travailleraient pour des groupes technologiques mondiaux. Il n'est pas certain que les autorités occidentales de contre-espionnage les aient à l'œil.
Le journaliste d'investigation Andreï Soldatov pose la question:
Même si quelqu'un quitte la Russie en emmenant sa famille proche, il a toujours des amis et des parents chez lui, ce qui le rend vulnérable.
Le journaliste exilé à Londres estime qu'il ne serait pas non plus juste de renvoyer des ingénieurs informatiques en Russie en raison de leur ancien emploi. Ces personnes n'auraient en effet guère eu d'autre choix. Le Kremlin considère ces ingénieurs comme des pions dont le devoir est d'aider la Russie dans son effort de guerre.
Le journaliste d'investigation russe Andreï Soldatov, qui s'est réfugié au Royaume-Uni, a pu examiner les documents secrets volés par le lanceur d'alerte. Il en conclut que l'armée russe a adopté la mentalité agressive de la police secrète de Poutine.
La fuite documente une collaboration intensifiée entre l'armée et les services secrets russes. Les «siloviki» de Poutine, des agents de renseignement et des militaires de haut rang, sont devenus beaucoup plus agressifs depuis l'effondrement de l'Union soviétique, estime Soldatov.
Les documents divulgués par le lanceur d'alerte inconnu ne contenaient aucune information concrète sur les programmes malveillants russes (malware) ou autres outils utilisés pour des opérations de piratage.
La personne inconnue a transmis plusieurs milliers de documents, «des PDF, des fichiers Word, des contrats, des concepts, des licences, des e-mails», via une plateforme cryptée, avant de disparaître à nouveau sans laisser de trace quelques semaines plus tard.
Pourquoi la source anonyme n'a-t-elle pas transmis aux journalistes un code de programme ou d'autres détails techniques sur les cyberarmes russes?
Parce qu'elle n'avait pas accès à l'arsenal numérique? Parce qu'elle ne pouvait pas le faire sans se trahir, ou parce qu'elle ne voulait pas tout révéler aux médias occidentaux? Ou alors est-ce que la personne s'est fait prendre?
Le politicien allemand Konstantin von Notz, président de l'organe de contrôle parlementaire responsable des services de renseignement, estime en tout cas que des «centaines de cyberarmes» de ce type sont en cours de développement. Et celles-ci représentent un risque considérable pour la sécurité.
Pour rappel, en 2016, un groupe jusqu'alors inconnu du nom de «Shadow Brokers» a annoncé être entré en possession de cyberarmes américaines dont personne ne connaissait encore l'existence. Elles provenaient de l'unité d'élite Tailored Access Operations (TAO) appartenant aux services de renseignement de la NSA.
En 2017, d'autres outils d'attaque de la NSA ont été publiés sur Internet. Des pirates informatiques russes d'élite, probablement du groupe «Sandworm» appartenant aux services secrets militaires russes, les ont utilisés pour l'attaque de logiciels malveillants NotPetya aux conséquences dévastatrices dans le monde entier.
L'enquête a révélé qu'un informaticien externe, travaillant sous contrat pour la NSA et d'autres agences gouvernementales américaines, avait volé plus de 50 téraoctets de «données hautement sensibles», y compris les dangereux outils de piratage de la NSA basés sur des exploits «zero day».
Le code de programmation russe peut également tomber entre de mauvaises mains. Les cyberarmes correspondantes sont-elles encore sûres? Et quelles sont les personnes internes et externes qui y ont eu accès?
Une chose est sûre: les récentes révélations concernant NTC Vulkan ne sont que la partie émergée de l'iceberg. L'entreprise informatique russe dénoncée fait partie d'un complexe militaro-industriel extrêmement opaque, même après la fuite. Plus de 40 entreprises sont étroitement liées entre elles par le biais de leur travail avec les services secrets russes.
L'objectif de ce partenariat public-privé est de développer des cyberarmes très efficaces «afin de les pointer sur tous ceux que les dirigeants de Moscou ont déclarés comme étant des ennemis».
John Hultquist, vice-président chargé de l'analyse des services de renseignement au sein de la société de cybersécurité Mandiant, qui a pu analyser une partie des «fichiers Vulkan», déclare:
Les responsables politiques, administratifs et privés sont-ils conscients des dangers? Et que faut-il faire concrètement contre la menace russe?
Le Service de renseignement de la Confédération (SRC) a pris position de manière assez floue auprès du Tages Anzeiger:
L'intérêt du public pour les plans de guerre et les cyberarmes russes découvertes a été jusqu'à présent relativement faible. La politique nationale semble s'être endormie sur le sujet. En tout cas, les réactions sont timides concernant l'affaire «VulkanFiles»; les responsables politiques et de la sécurité informatique restent discrets.