La semaine dernière, le président américain Joe Biden a de nouveau mis en garde contre les cyberattaques russes. Selon lui, de plus en plus d'éléments indiquent que la Russie étudie les attaques numériques en réaction aux sanctions économiques de l'Occident. Il a appelé les entreprises américaines à renforcer leurs mesures de protection: «Durcissez vos cyberdéfenses, immédiatement!»
Trois jours plus tard, le gouvernement américain a rendu publiques deux accusations contre quatre citoyens russes, jusque-là gardées secrètes.
L'accusation leur reproche d'avoir infiltré et saboté, pendant des années, des entreprises d'énergie occidentales avec des attaques de piratage sophistiquées. De 2012 à 2018, trois des hommes auraient attaqué «et dans de nombreux cas, piraté» plusieurs entreprises du secteur de l'énergie dans plus de 135 pays dont des entreprises aux Etats-Unis, en Allemagne et en Suisse. Et ce pour le compte des services secrets russes (FSB). Des groupes pétroliers, des exploitants de gaz et de réseaux électriques, des centrales nucléaires et des entreprises du secteur des énergies renouvelables ont notamment été touchés.
La mission des pirates consistait à infiltrer des cibles en vue d'attaques ultérieures. Pour ce faire, des logiciels de hacking devaient être introduits illégalement dans les installations centrales. Dans le pire des cas, cela permet de manipuler ou d'arrêter complètement l'infrastructure à un jour X choisi par le pirate. Des fournisseurs d'énergie ou d'eau pouvaient ainsi être mis hors service à distance, simplement en appuyant sur un bouton. Autrement dit, un scénario catastrophe pour un pays.
Les deux accusations séparées datent de la mi-2021, mais n'ont été rendues publiques par les autorités américaines qu'à la fin de la semaine dernière. Ce moment n'a pas été choisi au hasard. Il s'agit de donner du poids à la mise en garde de Biden contre les cyberattaques: «une menace qui a des visages humains sera peut-être prise plus au sérieux qu'une liste de pirates des services secrets», écrit spiegel.de. Le portail d'information allemand a résumé les principaux points des deux accusations.
Elle concerne un Russe de 36 ans, Evgeny G., qui travaillerait pour un institut de recherche du ministère russe de la Défense.
En 2017, lui et d'autres acolytes se seraient introduits pendant plusieurs mois dans une raffinerie située hors des Etats-Unis, dont le nom n'a pas été précisé. Grâce à un logiciel de piratage sophistiqué appelé Triton, ils auraient pu, dans le pire des scénarios, «manipuler et désactiver le système de sécurité du groupe français Schneider Electric qui y était installé sans que les employés de la raffinerie ne le remarquent sur leurs écrans de contrôle», écrit spiegel.de. Selon le rapport, la cyberattaque avait le potentiel:
La manœuvre des hackers a échoué. Le système de sécurité a donné l'alerte et a réagi par un arrêt d'urgence. Les mêmes hackers auraient attaqué plusieurs raffineries aux Etats-Unis en 2018. Egalement sans succès selon les informations américaines.
En cas de condamnation, un hacker risque jusqu'à 45 ans de prison. Comme la Russie n'a pas d'accord d'extradition avec les Etats-Unis, il est fort probable qu'il ne foulera jamais le sol d'un établissement pénitentiaire américain.
Triton est un puissant programme informatique qui a fait les gros titres pour la première fois en 2017 lors d'une tentative de cyberattaque contre des installations pétrochimiques saoudiennes. L'attaque aurait pu avoir des conséquences potentiellement catastrophiques. Elle aurait pu entraîner une fuite de gaz toxiques, voire une explosion. Selon les médias, seule une petite erreur des pirates avait alors déclenché le système de sécurité.
Le système de sécurité de Schneider Electric, visé par l'attaque, est utilisé dans le monde entier au sein:
Il porte sur «des années de tentatives sophistiquées à plusieurs niveaux pour attaquer des institutions du secteur de l'énergie». Le document mentionne 135 pays, dont la Suisse. Les noms des entreprises suisses concernées n'y figurent pas.
Trois collaborateurs de l'unité 71330 des services secrets russes (FSB), nommés et identifiés par des photos, sont mis en cause. Ils appartiendraient à un groupe de pirates informatiques d'Etat qui sévit depuis une dizaine d'années sous des noms tels que:
Selon l'accusation, les prévenus agissent depuis 2012. Ils s'en prennent aux systèmes de contrôle d'entreprises du secteur de l'énergie dans la moitié du monde. Les attaques ont eu lieu dans une phase précoce par le biais de courriels d'hameçonnage ou de fausses mises à jour de logiciels. Dans plus de 17 000 cas, les hackers auraient réussi à installer leur logiciel de piratage, appelé Havex, sur les appareils ciblés.
A partir de 2014, ils ont notamment envoyé des e-mails d'hameçonnage ciblés à 3300 collaborateurs dans plus de 500 entreprises internationales. Ils auraient infiltré de nombreuses firmes, dont la société installée dans le Kansas, au Etats-Unis et nommé Wolf Creek. Cette dernière exploite une centrale nucléaire. Les pirates auraient eu accès à la comptabilité, mais se seraient cassé les dents sur des systèmes de contrôle externes.
Les accusés, âgés de 36, 39 et 42 ans, risquent théoriquement des peines de prison allant de 25 à 47 ans. Théoriquement, car la Russie n'extradera certainement pas ses citoyens. Mais ils savent désormais qu'ils doivent s'attendre à être arrêtés à l'étranger. Cette dénonciation est un message adressé au Kremlin, écrit spiegel.de. Cela sonne comme:
Depuis plusieurs années, le gouvernement américain a recours au «Naming and Shaming». Il s'agit d'amener sur la place publique les identités d'agents et de pirates d'Etat démasqués.
En Occident, la crainte des cyberattaques russes a encore augmenté de manière significative avec le déclenchement de la guerre en Ukraine. Le Service allemand de protection de la Constitution avertit que la Russie dispose «sans aucun doute» des capacités de «saboter considérablement et durablement» aussi bien les infrastructures critiques que les installations militaires et les activités politiques.
Cette inquiétude est justifiée. En 2015 et 2016, des pirates informatiques d'élite des services secrets russes ont provoqué des black-out dans plusieurs centrales électriques en Ukraine. On craignait donc que la Russie ne provoque une panne d'électricité à l'échelle nationale dès le début de l'invasion de l'Ukraine.
Cela ne s'est pas produit. Probablement parce que l'Ukraine est, désormais, en mesure de protéger ses infrastructures contre les cyberattaques. Ou parce que même les pirates informatiques russes ont été surpris par la guerre provoquée par Poutine.
Il est également possible que Poutine ait d'abord jugé inutiles les cyberattaques massives contre les entreprises d'énergie ukrainiennes, car il s'attendait à une victoire écrasante. Dans ce cas, cela n'aurait pas eu beaucoup de sens de porter atteinte à l'infrastructure ukrainienne.
Ce n'est pas non plus la première fois que Biden met en garde contre les cyberattaques. En juillet 2021 déjà, il sonnait l'alerte: les cyberattaques pourraient «déboucher sur une véritable guerre avec une grande puissance», avait-il alors déclaré en réaction à une attaque de pirates informatiques contre l'un des principaux pipelines d'essence des Etats-Unis. Le fonctionnement de l'oléoduc avait alors été complètement interrompu, provoquant des pénuries d'essence dans certaines régions du pays, de longues files d'attente devant les stations-service et des achats de panique.