larges éclaircies
DE | FR
burger
International
hacker

Les hackers pro-russes ciblent les ennemis de Poutine et la Suisse

Russian Yevgeniy Polyanin, wanted by the FBI, is displayed on monitors as Attorney General Merrick Garland accompanied by Deputy Attorney General Lisa Monaco and FBI Director Christopher Wray speaks a ...
Les spécialistes de la sécurité informatique ont alerté sur le fait que les criminels russes utilisant des logiciels d'extorsion de données personnelles ne cherchaient plus seulement à faire du profit. Ils ont désormais d'autres objectifs plus ciblés.image: keystone

Comment les hackers pro-russes ciblent les ennemis de Poutine et la Suisse

Des chercheurs en sécurité informatique, qui observent depuis des années les forums de piratage sur le darknet, ont lancé un signal d'alerte. Des criminels pro-russes s'uniraient pour frapper des cibles importantes en Occident.
21.03.2022, 22:08
Plus de «International»

Les pirates informatiques utilisant des logiciels d'extorsion de données personnelles représentent une menace toujours plus importante pour l'infrastructure dite «critique» des pays occidentaux. Selon la dernière analyse d'experts en sécurité, cette menace concerne également la Suisse.

Leur rapport publié lundi par la Cyber Threat Intelligence Team d'Accenture (ACTI), indique que les «acteurs de ce danger dont les motivations sont pleinement financières» se «divisent progressivement en fractions idéologiques». En raison de l'actuelle guerre en Ukraine, les pirates informatiques pro-russes viseraient davantage l'Occident.

Mais finalement, ne le faisaient-ils pas déjà de toute façon? Cet article aborde les principales questions du point de vue suisse, avec les estimations de Marc Ruef, expert en sécurité informatique.

Un point de départ explosif

Les principaux forums clandestins du darknet sur lesquels les pirates criminels s'échangent des informations sont russophones. Parmi les plus compétents et les plus respectés dans le domaine, et des logiciels d'extorsion de données (aussi dit «ransomwares») en particulier, une portion vient également de Russie.

Sur ces forums clandestins, on publie des offres d'emploi, on vend et transmet des informations privilégiées. Autrefois, ces plateformes appliquaient une politique stricte excluant ce type d'activité «dans les pays de la Communauté des États indépendants (CEI)». Les hackers devaient donc épargner la Russie et les Etats alliés et concentrer leurs attaques sur l'Ouest.

Après l'invasion de l'Ukraine par la Russie le 24 février, le milieu criminel en ligne s'est petit à petit divisé en deux camps: ceux en faveur de la Russie et ceux pour l'Ukraine.

Les querelles entre ces deux groupements, notamment au sein du célèbre groupe de ransomware Conti, ont fait la Une des journaux avant de subitement déboucher sur une fuite inattendue: un chercheur en sécurité pro-ukrainien, agacé par une déclaration pro-russe du groupe, a publié plusieurs gigaoctets de données internes confidentielles.

Le gang russe de hackers les plus dangereux du monde piraté à son tour

L'équipe Cyber Threat Intelligence d'Accenture a tenu à souligné la gravité du problème: pour la première fois depuis plus de 10 ans que l'on suit les activités sur le darknet, on constate que les «acteurs de la menace motivés par des raisons financières» se sont divisés en fractions idéologiques. En d'autres termes, les pirates informatiques ne cherchent plus seulement à réaliser un maximum de bénéfices. Ils ont d'autres objectifs avec un schéma d'attaque très ciblé. Ce qui signifie que:

  • Les acteurs pro-ukrainiens refusent de vendre, d'acheter ou de coopérer avec des acteurs orientés pour la Russie. Au contraire, ils tentent graduellement de s'en prendre aux installations russes.
  • Les acteurs pro-russes, en revanche, se sont de plus en plus orientés vers des «activités de type hacktivisme». Ils visent principalement les «ennemis de la Russie» et notamment les institutions occidentales. La justification principale: ils accusent l'Occident de faire la guerre.

Malheureusement, la vieille devise «United we stand, divided we fall» («unis nous nous soutenons, divisés nous tombons») ne s'applique pas aux groupes criminels, constatent les experts en sécurité d'Accenture dans leur rapport. Ces divisions dues à la guerre en Ukraine auraient conduit les acteurs pro-russes à s'unir contre les objectifs occidentaux.

Ce qui impacte également le niveau de menace en Suisse. En effet, le pays figure sur la liste officielle des Etats que la Russie a classés comme «hostiles».

La Suisse jugée «hostile» par la Russie, qu'est-ce que cela veut dire?
En janvier, le service de renseignement intérieur russe (FSB) a mené une action contre de prétendus membres du gang de ransomware «REvil». La Russie est considérée comme la principale base opérationne ...
En janvier, le service de renseignement intérieur russe (FSB) a mené une action contre de prétendus membres du gang de ransomware «REvil». La Russie est considérée comme la principale base opérationnelle de ce type de criminel. On ne sait pas dans quelle mesure l'Etat laisse agir les commanditaires.image: fsb

Quelle est la menace concrètement?

Ces dernières semaines, plusieurs experts en sécurité informatique ont mis en garde contre des cyberattaques menées par des acteurs pro-russes à l'encontre d'entreprises et d'organisations occidentales.

Dans leur rapport, les chercheurs en sécurité d'Accenture décrivent les observations faites sur les forums clandestins. Ils tirent des conclusions quant à la nature de la menace.

Ci-dessous, watson se concentre sur deux points intéressants du point de vue suisse. Le média donne également la parole à Marc Ruef, un expert en sécurité informatique expérimenté. Le Zurichois est également un fin connaisseur du commerce en ligne et de ce que l'on appelle: les exploits. Des instruments d'attaque pour les pirates informatiques.

1. D'énormes sommes d'argent sont offertes pour des cibles occidentales

Selon Accenture, il est probable que les acteurs pro-russes renoncent aux attaques contre les institutions non occidentales afin de concentrer leurs efforts et leurs ressources. Cela serait important dans la mesure où, depuis 2020, le trafic d'accès à des réseaux étrangers est devenu un pilier central de la cybercriminalité clandestine.

Il faut savoir, à ce sujet, qu'il existe des «Initial Access Brokers». En clair, des criminels spécialisés dans la compromission de réseaux d'entreprises. Leur but est de revendre ces réseaux à d'autres groupes criminels, souvent des groupes de ransomware.

Certains acteurs comme «Integra» et «FlawlessMarble» disposaient de budgets de 5 à 10 millions de dollars. Ceci leur permettait d'acquérir presque tous les instruments dont ils avaient besoin.
Certains acteurs comme «Integra» et «FlawlessMarble» disposaient de budgets de 5 à 10 millions de dollars. Ceci leur permettait d'acquérir presque tous les instruments dont ils avaient besoin. screenshot: accenture.com

De tels courtiers ont permis aux groupes de ransomware d'étendre considérablement leurs activités, écrit Accenture. On constate, depuis, une nette augmentation et même quelques excès de prix dans le commerce des exploits.

D'après les informations délivrées par ce document, les acteurs pro-russes chercheraient davantage d'accès à des «infrastructures critiques» en Europe occidentale/aux Etats-Unis. On offrirait jusqu'à 500 000 dollars pour intégrer au réseau et jusqu'à 10 millions de dollars US pour des exploits «zero-day» sur des forums de pirates. Par «zero-day», comprenez des attaques informatiques qui dont les ingénieurs n'avaient aucune connaissance avant leur diffusion.

C'est ce que pense l'expert en sécurité informatique Marc Ruef, copropriétaire de la société suisse de sécurité informatique Scip AG:

«Dans les forums illégaux, on écrit facilement beaucoup de contenu. Il n'est pas rare d'y trouver des prétentieux dont la seule ambition n'est que de se rendre populaires à l'aide de déclarations chocs et extrêmes. Un accès pour 500 000 dollars est certes onéreux, mais en principe envisageable.

Payer 10 millions de dollars pour un seul exploit est toutefois au-delà du bien et du mal. C'est peut-être le budget annuel d'une organisation mais dépenser tout ce budget pour un seul exploit me semble insensé.»
Mais que signifie le terme «infrastructure critique» ?
Les infrastructures critiques désignent tant les constructions et les installations, mais aussi les systèmes d'approvisionnement et les services qui sont essentiels à la survie d'un Etat et sa société. Des pannes graves, comme un black-out électrique à l'échelle nationale, peuvent causer de graves dommages économiques et affecter massivement la population, comme l'écrit l'Office fédéral de la protection de la population (OFPP). Le Conseil fédéral a adopté, en 2012, une première stratégie nationale pour la protection des infrastructures critiques et l'a actualisée en 2017.

2. les groupes de ransomware sont plus dangereux que les hacktivistes

Le collectif d'hacktivistes Anonymous a réalisé un certain nombre d'actions depuis la déclaration de guerre à Poutine: des attaques de surcharge des serveurs ont mis temporairement hors ligne des sites internet russes. Des vols de données et des actions de protestation très médiatisées, comme l'affichage d'informations non censurées pour les téléspectateurs russes, ont également été réalisés.

Anonymous a piraté le groupe pétrolier russe Rosneft, proche de Poutine

Mais en comparaison avec les hacktivistes, les groupes de ransomware sont beaucoup plus puissants. Ils utilisent des failles de sécurité logicielles inconnues dans leurs attaques (One-Day ou Zero-Day-Exploits). Ils disposent d'un niveau technique relativement plus élevé et de budgets plus importants (généralement sous forme de bitcoin). Ils semblent par ailleurs mieux organisés. Ceci leur permettant de «perturber» les entreprises de manière plus efficace et sur une plus longue période.

Lors de leurs recherches sur le darknet, les experts en sécurité d'Accenture ont découvert plusieurs acteurs qui auraient expressément formulé le souhait d'attaquer des infrastructures critiques occidentales pour soutenir la Russie.

C'est ce que pense l'expert en sécurité informatique Marc Ruef:

«Les développements politiques actuels n'ont que peu d'influence sur les entreprises non exposées en Suisse. Même s'il faut certes s'attendre à une augmentation des campagnes d'hameçonnage basées sur l'Ukraine, les attaques ciblées ne devraient pas se produire.

La situation est en revanche différente pour les organisations politiquement exposées et liées aux parties en conflit. Celles-ci devront faire face à des attaques très concrètes.»

En ce qui concerne la dangerosité des gangs de ransomwares connus comme Conti ou ALPHV, Thomas Uhlemann de la société de sécurité informatique slovaque Eset affirme que «la plupart des gens ne sont pas conscients de la dangerosité de ces logiciels d'extorsion de données»:

«En réalité, la plupart des attaques réussies sont rendues possibles par les victimes elles-mêmes. Les voies d'attaque, par exemple par courrier électronique ou par hameçonnage, se ressemblent toujours plus et n'ont même pas besoin d'être très sophistiquées.»

L'avenir nous dira si les attaques de ransomware contre des organisations gouvernementales et des entreprises économiques importantes se multiplieront dans les semaines qui viendront.

Reste à noter qu'il y a pratiquement tous les jours de nouvelles informations sur des attaques de pirates informatiques ainsi que sur des vols de données et des tentatives d'extorsion liés.

A ce sujet, Marc Ruef a un avis tranché:

«Certes, on observe que les cybercriminels s'immiscent dans les développements politiques en Ukraine, mais il s'agit tout au plus d'un ‹service à la patrie›. En ce sens, nous pouvons nous permettre de douter du maintien de cette liaison dans la durée, qui plus est sans condition. Au final, c'est toujours l'argent qui dicte la loi. Les objectifs prétendument honorables finissent par lui céder.»

Traduit de l'allemand par Nicolas Varin

Voici combien de temps votre mot de passe résistera à un hacker
Analyse
La Suisse aux prises avec des gangs de hackers: pourquoi c'est grave
Commentaire
Doit-on pirater vos toilettes pour que vous réagissiez? Coup de gueule
Thèmes
Les réfugiés ukrainiens
1 / 7
Les réfugiés ukrainiens
Dans un centre d'accueil improvisé en Moldavie.
partager sur Facebookpartager sur X
Une frappe russe sur un centre commercial à Kiev
Video: watson
Plus d'articles sur le thème «Technologie»
Humeur
L'app BeReal se rêve en «anti-Instagram», mais la vraie vie, c'est nul
1
Faux certificats Covid: quelle est l'ampleur de la fraude en Suisse?
2
Voici comment espions et polices suisses décident de vous surveiller
1
Poutine lance un intranet russe et pourrait détruire l'Internet libre
0 Commentaires
Connexion
user avatar
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Les plus lus
1
27 animaux avec des pelages adorables
2
Quel est le supermarché le plus cher de Suisse? Le résultat est inattendu
3
UBS a identifié le gros défaut de Credit Suisse
Scholz fait un impair qui implique la Chine, la Suisse et l'Ukraine
La Chine reste réticente à l'idée de participer à la conférence sur l'Ukraine au Bürgenstock, en Suisse. Même le chancelier allemand n'a rien pu changer à cette situation. Mais... après sa visite à Pékin, il a semé la confusion avec un tweet.

Après la tentative du conseiller fédéral Ignazio Cassis en février, c'était au chancelier allemand Olaf Scholz de se rendre à Pékin pour convaincre la Chine de participer au sommet pour la paix, prévu en juin, en Suisse centrale. Mais les deux hommes sont rentrés bredouilles.

L’article