Cyberguerre froide, bloc de l’Est versus bloc de l’Ouest

Lundi 19 octobre 2020, lors d’une conférence de presse, John C. Demers le procureur adjoint du département de la justice américaine a annoncé l’inculpation de 6 agents des renseignements militaire russe.

Cette annonce donne suite à de nombreuses autres, en effet le département de la justice a lancé des poursuites pénales contre plusieurs ressortissants étrangers ces derniers mois. Des dizaines concernent des activités criminelles en rapport avec le numérique. Il faut rappeler que les États-Unis profitent du principe d’extraterritorialité de son droit. Ce qui lui permet d’appliquer les lois votées aux États-Unis à des personnes morales ou physique d’un pays tiers. C’est ce principe qui permet à une juridiction américaine, même de première instance, d’inculper des ressortissants étrangers comme dans le cas des 6 agents russes. John C. Demers rappelle donc ces poursuites engagées et la constatation de leur importance, le département de la justice appelle au renforcement pour chaque pays des règles dans le cyber espace.

Ce discours et ces accusations envers différentes nations montrent que les États-Unis sont dans une dynamique de protection et de renforcement de leurs infrastructures numériques. Puisqu’en effet ces cyberattaques d’ampleur ont été perpétrées entre 2015 et 2019, elles ont visé plusieurs pays dont la France, la Géorgie, les Pays bas, la Corée du sud, l’Ukraine, et le Royaume Uni.  Ainsi, le procureur général adjoint pour la sécurité nationale indique que c’est la série de cyberattaques « … la plus perturbatrice et la plus destructrice jamais attribuée à un seul groupe. »

 

Cette unité a utilisé plusieurs « types » d’attaques informatiques

Dans un premier temps, les pirates ont utilisé « des malwares », désignant un programme malveillant qui a pour but de détruire tout ou partie du fonctionnement d’un système informatique. Ainsi leur première cible a été l’Ukraine en 2015 et 2016, grâce à ces programmes malveillants ils ont attaqués le réseau électrique ukrainien, ce qui a eu pour conséquence de priver la population de chauffage durant l’hiver. Cette unité a également pris pour cible le ministère des finances et le service de trésor public ukrainien.

En 2017, c’est un autre type d’attaque que l’unité a utilisé en amont des élections françaises : l’hameçonnage. C’est une pratique qui consiste à imiter une adresse et un message afin de tromper le destinataire. Lors de cette attaque, les pirates sont rentrés dans les systèmes des équipes de campagne du mouvement « En marche ». Via un logiciel malveillant « malware » inséré dans une pièce jointe, qui été envoyée dans un mail provenant d’une adresse proche de celle du porte-parole du candidat. Ce qui a conduit les équipes de campagne du parti à publier de vraies et fausses informations. Mais les pirates ne sont pas arrêtés là. Ils ont également fait fuiter et publier des milliers de documents par le forum américain 4Chan, relayés par Wikileaks. Ce sont donc des milliers de documents internes au parti qui ont été diffusés autre entre des factures, la comptabilité ou encore des discussions internes. Ces documents ont ensuite circulé sur les réseaux sociaux deux jours avant le second tour des élections présidentielles.

Par ailleurs, cette unité basée dans un bâtiment appelé « la Tour » se situant à Moscou a fait bien d’autres victimes grâce au logiciel malveillant connu sous le nom de NotPetya. Une attaque a été lancée sur le réseau d’hôpitaux de Pennsylvanie causant près d’un milliard de dollars de perte. Ainsi que la suppression de milliers de données de santé paralysant le fonctionnement de ces établissements. Ce document mentionne également des attaques contre les Jeux olympiques d’hiver de Corée en 2018, avec une attaque via un logiciel et une campagne de harponnage par mail comme celle utilisée pour l’affaire « Macron Leaks ». Puis ce sont les entités britanniques menant l’enquête sur l’utilisation du poison « Novichok » qui ont été visées avec le même procédé de harponnage. Ce poison avait couté la vie à Serguei Skripal, et empoisonné sa fille et deux citoyens britanniques.

Et enfin entre 2018 et 2019 c’est la Géorgie qui a été victime d’attaques à répétition visant ses médias, le réseau de son Parlement et le site web de celui-ci.

L’acte d’accusation recense ces cas d’attaques mais il n’est pas exclu que ce groupe soit aussi l’auteur d’autres attaques par le monde. Notamment les contrôles sur le site de l’accident nucléaire de Tchernobyl ainsi que les ports de Bombay et d’Amsterdam.

 

Les chefs d’inculpations et leurs finalités stratégiques pour la Russie

Les six membres de l’unité russe ont donc été accusés chacun de 7 chefs d’inculpations dans l’acte dont notamment :

– conspiration en vue de commettre des fraudes

– abus informatiques

– la conspiration en vue de commettre des fraudes électroniques

– la fraude électronique

– l’endommagement d’ordinateurs protégés

– le vol d’identité aggravé

Chaque fait est listé et attribué à un membre de cette unité dans le document. On connait donc maintenant le nom du pirate qui s’est attaqué à la France en 2017. Ce serait un certain Anatoliy Sergeyevich Kovalev, il est accusé personnellement d’avoir « développé des techniques de harponnage et des messages utilisés pour cibler : les fonctionnaires d’En Marche ! » entre autres cibles.

Pour rappel la loi française condamne les attaques de type « phishing » ou hameçonnage à travers plusieurs textes du Code pénal. Dans un premier temps, l’article 226-4-1 du Code pénal qui sanctionne l’usurpation d’identité avec une précision lorsqu’elle intervient dans un contexte numérique ainsi que son usage dans un but malveillant. Ce délit est puni d’un an d’emprisonnement et de 15 000 € d’amende. L’article 226-18 précise qu’une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende. Ensuite, c’est l’escroquerie qui est visé par l’article 313-1 du même code celle-ci est passible de cinq ans d’emprisonnement et de 375 000 euros d’amende. L’article suivant le 131-2 lui pose les 5 cas qui aggravent les faits d’escroquerie qui porte donc la peine à sept ans d’emprisonnement et à 750 000 euros d’amende. De plus, il précise que l’escroquerie en bande organisée est punie de dix ans d’emprisonnement et 1 000 000 euros d’amende.

On peut noter que ces attaques ont la plupart du temps visé des infrastructures essentielles, des structures sans quoi le fonctionnement d’un pays ou d’un service essentiel ne peut se faire. Comme le dit le document d’inculpation ces attaques avaient une finalité stratégique. On peut penser que les cibles ont donc été choisies afin d’affaiblir, récupérer ou effacer des données essentiellement stratégiques.

 

Une coopération globale

Une enquête menée en collaboration : Une communauté d’intérêt s’est formée autour de cette affaire avec d’une part les institutions américaines, qui ont fait conjointement l’annonce de l’inculpation : comprenant le département de la justice, le FBI ainsi que ses bureaux locaux et enfin le procureur pour le district ouest de Pennsylvanie. En outre, lors de sa conférence de presse John C. Demers énonce que ces accusations sont le fruit de plus de deux ans d’investigations en coopérations avec différents acteurs. En effet, une aide a été apportée à l’international avec les gouvernements victimes entre autres. Mais plus surprenant du point de vue européen, les GAFA ont aussi joué un rôle dans cette affaire. Ce sont Google, Twitter et Facebook qui ont apporté leur aide à travers leurs groupes d’analyse et de renseignement. Une coopération globale des acteurs principaux du monde de la sécurité numérique mondiale. Une coopération qui fait rêver pour l’avenir.

Concernant la France, pour donner suite au scandale des fuites des documents du mouvement « En marche », le parquet de Paris avait ouvert une enquête en 2017 pour « atteintes aux secrets des correspondances » prévu à l’article 226-15 du code pénal passible d’un an d’emprisonnement et de 45 000 euros d’amende. Et « accès frauduleux à un système de traitement automatisé de données » c’est l’article 323-1 du code pénal qui le sanctionne par deux ans d’emprisonnement et de 30000 euros d’amende. Il est ensuite précisé dans ce texte que la peine est de trois ans d’emprisonnement et de 45000 euros d’amende quand il y a eu « suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système ». Celle-ci avait été confiée à la Brigade d’enquêtes sur les fraudes aux technologies de l’information. Depuis, aucune information n’a été communiquée officiellement sur les suites de cette enquête pour le moment. Pourtant plusieurs pays visés par ces attaques ont poursuivi également les pirates c’est le cas de l’Ukraine, Géorgie, Royaume Unis, Corée du Sud et Nouvelle Zélande.

Pour autant, aucune sanction diplomatique n’a encore été prise. Les pirates n’ont que peu de chance d’être arrêtés tant qu’ils demeureront sur le territoire russe, puisqu’aucune poursuite internationale n’a été engagée à leur égard.  Mais comme il a été dit lors de cette conférence de presse retransmise à la radio nationale américaine, la finalité de ces poursuites publiques rentre dans une stratégie de dissuasion.

La France suivra-t-elle cette stratégie ? C’est la question qui se pose maintenant. Les sanctions diplomatiques seront-elles une arme redoutable dans cette cyberguerre froide ? Une affaire à suivre.

SOURCES :

JUSTICE NEWS, Department of Justice, Office of Public Affairs ; Monday, October 19, 2020

https://www.justice.gov/opa/speech/remarks-assistant-attorney-general-national-security-john-c-demers-announcement-charges

https://www.lexpress.fr/actualite/monde/amerique-nord/etats-unis-six-agents-russes-inculpes-pour-des-cyberattaques-mondiales_2136800.html

https://www.lefigaro.fr/flash-actu/six-agents-militaires-russes-inculpes-aux-etats-unis-pour-des-cyberattaques-mondiales-20201019

https://www.facebook.com/watch/?v=406343164103916 France 2, France télévision Moscou MacronLeaks : des pirates russes poursuivis par les États-Unis

https://www.senat.fr/rap/l04-117/l04-1171.html

https://www.franceculture.fr/emissions/revue-de-presse-internationale/la-revue-de-presse-internationale-emission-du-mardi-20-octobre-2020