Propagande 4.0 Sur les traces des hackers russes

© Courtesy Florian Rothlehner / 22 février 2015

© Courtesy Florian Rothlehner / 22 février 2015

 

 

Qu’ils soient, ou non, les auteurs des intrusions dans les messageries de Hillary Clinton et de membres éminents de son parti, comme l’affirment le FBI, la CIA et la NSA, La Cité a remonté la piste des pirates informatiques prétendument à la solde du Kremlin. Elle mène en France, en Allemagne, au Canada et en Ukraine. Ces fouineurs malveillants ne seraient pas à leur coup d’essai.

 

Mattia Pacella
1 mars 2017

Au plus fort de la tourmente médiatique, le président élu Donald Trump a dû concéder, malgré ses précédentes dénégations, que des hackers liés aux services secrets russes s’étaient très probablement introduits dans les ordinateurs de membres des partis démocrate et républicain. «Je ne veux pas que d’autres pays engagent des attaques informatiques contre le nôtre», avait-il alors affirmé au New York Times, reconnaissant implicitement la validité des rapports confidentiels, présentés en décembre et janvier à la Maison-Blanche, établissant des liens entre ces cyberattaques et le pouvoir russe, du Kremlin à Vladimir Poutine en personne. La Cité a lu ces documents dans le détail et suivi la piste des hackers épinglés par le FBI et la CIA, et dans une moindre mesure par la NSA.

Analysons d’abord leur contenu. Les services étasuniens y identifient deux collectifs de «fouineurs», classés sous la catégorie APT, Advanced Persistent Threat (menace persistante avancée). Le «APT 28», également connu sous le nom de Fancy Bears, est accusé du vol d’e-mails et de documents privés de la campagne d’Hillary Clinton. Alors que «APT 29», ou Cozy Bears, serait responsable de la violation du système informatique du Parti démocrate en été 2015.

La CIA et le FBI, modérément la NSA, sont convaincus que le but ultime de ces intrusions était de nuire à Hillary Clinton et de favoriser Donald Trump, ainsi que de discréditer le système électoral américain. «Avec certitude», il est écrit noir sur blanc dans les documents étasuniens, «le président russe, Vladimir Poutine, a commandité une campagne d’influence sur les élections». Par mesures de rétorsion, le président Barack Obama a alors décidé, le 29 décembre dernier, d’expulser 35 diplomates russes liés au GRU (service de renseignement militaire) et au FSB (service fédéral de sécurité) et ordonné la fermeture de deux sites de la Fédération russe à New York et dans le Maryland.

L’intrusion la plus retentissante aurait été réalisée dans le système du Comité national démocrate, organisme chargé de diriger le Parti démocrate au niveau national. Les messageries électroniques de membres éminents du parti, comme le directeur de la campagne de Hillary Clinton, John Podesta, auraient alors été piratées.

 

Montée en puissance

Selon l’intelligence étasunienne, le GRU aurait réussi sa première incursion en juillet 2015 et serait resté dans le système onze mois durant, jusqu’en juin 2016. Le contenu des courriels a été publié une première fois sur un faux site de militants démocrates appelé DCLeaks. Mais ce site n’a pas bénéficié de la visibilité espérée. Les e-mails ont alors été livrés à WikiLeaks. «Moscou a probablement choisi WikiLeaks pour sa réputation d’authenticité auto-proclamée», déclarent les auteurs du rapport. Et d’ajouter: «La façon dont les révélations ont été publiées ne contenait pas de faux évidents.» Autrement dit, les documents publiés par le site d’Assange étaient authentiques. Les pirates auraient choisi de ne pas mettre en ligne les documents volés au Parti républicain.

Dans le rapport intitulé «Grizzly Steppe», l’intelligence étasunienne s’attarde sur le fait que l’attaque s’est déroulée sur deux niveaux: le piratage proprement dit, mais aussi la propagande de médias et sites de fake news (nouvelles bidon). Sur le banc des accusés: la chaîne de télévision RT (anciennement Russia Today) et le site Sputnik.

Comment se sont déroulées les attaques? De la manière la plus «classique»: les hackers auraient utilisé de fausses adresses e-mail, se faisant passer par le service clients de sociétés connues, comme Gmail par exemple. Ils auraient ensuite invité les destinataires à cliquer sur un lien infecté ou à insérer des informations d’identification du courrier. Ce qui ouvre la porte à des logiciels malveillants ou trojan, le cheval de Troie des hackers. Une fois à l’intérieur de l’ordinateur, le pirate peut disposer de tout ou partie du contenu privé des utilisateurs.

Ces méthodes d’espionnage ne sont pas nouvelles. Et les hackers incriminés ne sont pas à leur coup d’essai. Les rapports des services secrets étasuniens ne font en réalité que décrire le dernier fait d’armes des cyberespions russes. En 2014 déjà, la société de sécurité informatique américaine FireEye s’était intéressée de près à APT 29 et APT 28. Voyant que leurs cibles étaient exclusivement des dissidents russes, des journalistes et des organisations militaires aux États-Unis, en Europe, ou même l’OTAN, elle en avait conclu que les deux collectifs étaient directement soutenus par le gouvernement russe.

Mais à ces pirates sont surtout attribués les derniers «actes de cyberguerre» ayant fait sensation dans le monde. Souvenez-vous, en avril 2015, la cyberattaque contre TV5 Monde a provoqué, l’arrêt provisoire des programmes de la chaîne francophone internationale basée à Paris. Sans précédent dans l’histoire de la France, ce black-out informatique avait été revendiqué par le groupe «Cybercaliphate», se réclamant de l’organisation État islamique, sans que cette dernière n’ait à aucun moment confirmé son implication.

Selon l’enquête du Parquet de Paris, le groupe APT 28 serait derrière cette intrusion malveillante survenue dans un contexte de dégradation des relations entre la France et la Russie, à la suite de la suspension de la livraison de deux navires Mistral sur fond de crise ukrainienne. La cyberattaque présentait des similitudes avec le mode opératoire de ce groupe, qui tape son code source sur un clavier en caractères cyrilliques durant les heures de bureau de Saint-Pétersbourg et de Moscou. À la suite de l’intrusion qui l’a paralysée durant des heures, la chaîne TV5 Monde a promis d’investir au moins 10 millions d’euros pour assurer sa cybersécurité.

 

Stratégie de déstabilisation

Des offensives bien plus puissantes ont été menées en Ukraine. Selon le site spécialisé CrowdStrike, entre 2014 et 2016, durant la crise de Crimée, le pays a été pris pour cible à plusieurs reprises par le collectif ATP 28, qui avait utilisé une arme redoutable, le malware X-Agent. Un logiciel malveillant installé sur le système d’exploitation Android des appareils mobiles d’officiers ukrainiens afin de surveiller leurs unités d’artillerie. Ce software espion permettait aux pirates d’accéder aux communications téléphoniques et aux données de localisation. Ce qui a offert à la Russie la possibilité de disposer d’un coup d’avance dans les opérations militaires sur le sol ukrainien.

Fin décembre 2015, ce sont les installations électriques ukrainiennes qui sont mises à l’arrêt par des pirates informatiques. Près de 700 000 personnes sont privées de courant durant deux semaines. Les hackers utilisent le cheval de Troie nommé BlackEnergy, une famille de logiciels redoutables, et aussi l’outil Killdisk. Les deux sont souvent utilisés par APT 28.

Derrière les deux cyberattaques, en septembre 2016, contre l’AMA, l’Agence mondiale antidopage basée à Montréal, il y aurait également la main de ATP 28. Les pirates russes avaient volé les dossiers médicaux confidentiels de nombre de participants aux Jeux Olympiques de Rio, en particulier des athlètes étasuniens et britanniques, mais aussi allemands. Ils ont aussi pu accéder à la base de données ADAMS, le système de gestion et d’administration de l’AMA.

Parmi les données dérobées figurent des informations sur des athlètes célèbres, les joueuses de tennis Venus et Serena Williams, ainsi que la gymnaste étasunienne Simone Biles, qui a remporté quatre médailles d’or à Rio. Les grands noms du cyclisme britannique Bradley Wiggins et Chris Froome ont aussi été visés par ATP 28. Les informations subtilisées puis diffusées par ce groupe de fouineurs indiquent que des dizaines d’athlètes auraient fait usage de médicaments contenant des substances interdites, avec le feu vert des médecins. Les attaques visaient à déstabiliser l’AMA, chargée de l’enquête sur le scandale du dopage d’État dans le sport russe.

De loin plus actif et virulent que son «associé» APT 29, le collectif APT 28 a aussi signé la cyberattaque contre le Parlement fédéral allemand en mai 2015. Victime illustre de cette intrusion, la chancelière Angela Merkel a vu sa messagerie e-mail bloquée pendant plusieurs semaines. Les hackers ont également eu accès aux données des fractions politiques, députés et employés du Bundestag: e-mails, propositions de loi, agendas, tout est tombé dans les filets de APT 28. Ce n’est pas tout, les malfaiteurs ont également réussi à s’emparer des droits d’administrateurs, obligeant le Parlement allemand à remplacer tout son matériel informatique. Ce chantier a coûté plusieurs millions d’euros au contribuable allemand.

Quelques mois plus tard, fin juillet 2015, le «cousin» APT 29 sort ses muscles et s’en prend au Pentagone. Les messageries de quelque 4000 employés, militaires et civils, ont été touchées. Selon la chaîne NBC, citant des sources internes, aucun document confidentiel n’aurait été dérobé, les hackers ayant volé, selon elles, seulement des e-mails non classifiés.

Pays le plus ciblé avec les États-Unis, l’Allemagne constate depuis des mois une recrudescence de la cybercriminalité à des fins politiques et craint une manœuvre pour influencer les élections de septembre prochain, rappelle le quotidien Le Temps dans son édition du 27 décembre 2016. Selon les autorités allemandes, les services de renseignements russes FSB emploient déjà à l’heure actuelle quelque 10 000 hackers dans leurs différents laboratoires, en vue de constituer une véritable cyberarmée à l’horizon 2020. En février 2016, l’Institut de la technologie et des infrastructures critiques des États-Unis comptabilisait 14 groupes de hackers liés à l’État russe, ayant agi contre les intérêts américains. On ignore cependant le nombre global de personnes engagées dans ces quatorze collectifs.

 

Inexactitudes et post-vérité

Véritables bombes incendiaires, enflammant le climat à la veille de l’intronisation de Donald Trump à la Maison-Blanche, les rapports étasuniens contiennent cependant des inexactitudes. Les services de renseignements y ont établi une liste de 875 adresses IP susceptibles d’avoir propagé les cyberattaques. Parmi elles, trois sont signalées au Swaziland. Le site danois Version2, spécialisé dans le cyberpiratage, a analysé ces données et a découvert que les trois adresses en question étaient en réalité hébergées en Suisse. En remontant ces adresses IP, il a été constaté qu’elles menaient à des sites internet signalés comme infectés par des logiciels malveillants utilisés par Fancy Bears, c’est-à-dire APT 28.

Le site Version2 a également relevé un deuxième cafouillage. Le premier cas douteux montrait une confusion probablement due à la proximité des noms anglais Switzerland et Swaziland. Le deuxième découlait, lui, de l’extension géographique similaire des noms de domaines .dk pour le Danemark, .de pour l’Allemagne.

 
© Courtesy Blogtreprenur Photostream / 30 septembre 2016

© Courtesy Blogtreprenur Photostream / 30 septembre 2016

 

À cause de ces imprécisions, la fiabilité des rapports étasuniens reste controversée. Par ailleurs, nombre de médias ont cité des spécialistes proches du dossier affirmant que Washington ne détiendrait pas de preuves concrètes de l’implication directe du Kremlin ou de son homme fort, Vladimir Poutine, dans l’effraction informatique des messageries de Hillary Clinton et du Parti démocrate. «Nous sommes entrés dans une nouvelle ère de guerre de l’information», affirmait Janis Sarts, directeur du Centre d’excellence de l’OTAN, dans Le Temps du 27 décembre 2016. «La Russie a pris les devants.»

La propagande 4.0 fait rage et son levier de déstabilisation, les fake news, se déploie des deux côtés de l’Atlantique. Des cas emblématiques de cette propagande 4.0 ont été dévoilés en 2016. Telle la publication sur yournewswire.com, un site conspirationniste américain, du selfie d’un réfugié syrien posant près de la chancelière Angela Merkel. Des trolls probablement d’origine russe prétendaient qu’il s’agissait d’un des auteurs de l’attentat de Bruxelles en mars 2016. Une fake news qui a généré 32 000 interactions sur Facebook.

L’enquête de la Deutsche Welle démasquant ce mensonge comptait, elle, seulement 13 000 vues. Une autre enquête des journalistes Alberto Nardelli et Craig Silverman, parue dans Buzzfeed News, était arrivée à la conclusion que, derrières ces trolls, figuraient des sites proches du Kremlin et des services russes, non des mouvements d’extrême droite, comme le laissaient entendre des articles publiés jusque-là.

Auparavant, ces deux mêmes journalistes avaient mis au jour les liens entre des sites italiens controversés, antidiplomatico.it, tzetze.it, informarexresistere.it, et le Mouvement 5 étoiles (M5S) de l’humoriste Beppe Grillo, une formation anti-européenne, anti-establishment mais aussi... pro-Poutine. Derrière ces adresses se cachait en effet la société Casaleggio Associati, entreprise de gestion web détenue par Gianroberto Casaleggio, décédé le 12 avril 2016. Il était le co-fondateur du M5S.

En janvier dernier, la publication par BuzzFeed News d’un rapport prétendument compromettant sur le milliardaire Donald Trump a enflammé la polémique sur les fake news et sur les entités qui les colportent, des sites de l’ombre mais aussi des médias établis. La CNN donnait pour vraie l’existence d’une vidéo à caractère sexuel filmée clandestinement par les services russes lors de la visite du milliardaire à Moscou en 2013.  La chaîne globalisée faisait état d’un rapport officiel, composé d’une série de notes datées de juin à décembre 2016 et rédigées par un ex-agent du contre-espionnage britannique.

Au moment où nous passions sous presse, le contenu de ce document n’avait toujours pas été confirmé. Selon des rumeurs relayées par de nombreux sites, cette vidéo aurait été commanditée par un riche membre du Parti républicain. Sans jamais indiquer, bien entendu, de qui il s’agissait. La propagande 4.0 se reconnaît davantage par ce qu’elle cache que par ce qu’elle tente d’imposer comme une vérité.

 

Paru dans l’édition de février 2017