Le gouvernement de Donald Trump n'a cessé, au cours de son mandat, de minimiser la cybermenace russe. Mais à deux mois des élections, de nouveaux indicateurs pointent vers un pic d'activité des hackers responsables de l'attaque contre l'équipe de campagne d'Hillary Clinton en 2016.

« Fancy Bear », ou « l’ours raffiné » en français. Voici le nom inoffensif attribué à un dangereux bras cyberarmé du renseignement militaire russe. Connue plus formellement sous le nom de code APT28, cette division est identifiée comme une « menace persistante avancée », car elle s’en prend aux grands groupes, institutions étatiques et petites entreprises sans distinction, à des fins d’espionnage politique ou industriel.

En 2016, Fancy Bear avait frappé deux grands coups sur l’élection présidentielle américaine. Le groupe avait d’abord infiltré le comité national des démocrates, puis avait piégé le directeur de campagne de la candidate Hillary Clinton. Grâce à ces accès privilégiés, APT28 avait obtenu et publié dans la foulée des gigaoctets d’emails confidentiels pour influencer l’élection. L’année suivante, Fancy Bear était parvenu à infiltrer de la même manière la campagne d’Emmanuel Macron.

Les équipes des deux candidats, Donald Trump et Joe Biden, sont visées par des cyberattaques. // Source : Gage Skidmore / Flickr

D’après les chercheurs de Microsoft, dont Wired se fait l’écho, cette division militaire russe (qu’ils appellent Strontium) tenterait de réitérer son coup sur l’élection présidentielle américaine qui se tiendra en novembre, et multiplie les tentatives depuis le début d’année.

L’entreprise cite également des attaques chinoises et iraniennes, mais la Russie se distingue par la finalité de ses manœuvres. Au-delà de la collecte d’information, APT28 a un objectif plus destructeur : déstabiliser les pays qu’il cible.

Biden déjà ciblé, comme Clinton en 2016

En tout, Microsoft a repéré des attaques contre plus de 200 organisations impliquées de près ou de loin dans l’élection depuis septembre 2019. Sans donner les noms des cibles ou le nombre de victimes, les chercheurs citent des équipes de campagne, des lobbies, des partis politiques ou encore des consultants politiques. Des organisations issues des deux bords politiques américains, démocrates et républicains. Microsoft précise que ce n’est que récemment qu’il a pu attribuer cette activité à Strontium.

Parmi les cibles de APT28, on retrouverait des partenaires de l’équipe de campagne de Joe Biden, le candidat démocrate. Reuters rapportait dès le jeudi 10 septembre qu’une entreprise de communication stratégique, SKDKnickerbocker, qui travaille pour Biden subit depuis deux mois des cyberattaques régulières. Elles seraient lancées par « des hackers soutenus par l’État russe » : une description et un mode opératoire proche de Fancy Bear.

Les Russes plus dangereux que les autres pays

Microsoft a aussi identifié des attaques lancées par les Chinois de APT31 et les Iraniens de APT35 contre les équipes des deux candidats.

Dans un communiqué, l’entreprise FireEye, spécialiste du sujet, sépare les activités chinoises et iraniennes, « simplement » à la recherche d’information, et la menace russe : « le ciblage d’organisations politiques est un trait commun du cyberespionnage. Les partis politiques et les équipes de campagnes sont des bonnes sources d’informations sur les mesures politiques futures, et il est probable que les acteurs chinois et iranien ciblent les campagnes américaines pour collecter des informations silencieusement, mais l’histoire de APT28 fait planer la menace d’une activité dévastatrice par la suite. »

Fancy Bear est aussi  l’unité 26165 du GRU, le renseignement militaire russe, connu pour leaker les informations qu’il collecte, comme les emails de campagnes d’Hillary Clinton en 2016. L’objectif final pour les espions est de déstabiliser le processus démocratique. Peu importe qui sort de la mêlée, sa légitimité sera questionnée. Au bout de la chaîne de conséquence d’un tel événement, le renseignement russe vise l’affaiblissement de la puissance du pays ciblé.

Un nouveau mode opératoire à plus grand échelle

Microsoft relève dans son rapport l’évolution du mode opératoire des hackers russes. Leur objectif reste le même : voler les identifiants de leurs victimes pour s’emparer d’informations critiques. En 2016, ils lançaient des emails de phishing très ciblés, qui renvoyaient vers de fausses pages de connexion. Comme le relève Wired, c’est ainsi que John Podesta, le directeur de campagne de Clinton, a communiqué son adresse Gmail et son mot de passe.

Désormais, APT28 se diversifie : il utilise aussi des attaques de force brute, qui consistent à essayer de nombreux mots de passe pour accéder aux comptes de ces victimes. Ils essayent des mots de passe couramment utilisés et d’autres, issus de fuites annexes. L’avantage de ce nouveau mode opératoire, c’est qu’il peut être automatisé. Et pour éviter d’être détecté par les services de protection, le groupe envoie ses attaques depuis plus d’un millier d’adresses IP différentes, en passant par le réseau Tor.

Trump, docile avec les Russes, préfère pointer vers la Chine

La désormais célèbre enquête Mueller a conclu à l’interférence du gouvernement russe dans l’élection de 2016, et ainsi confirmé les conclusions du renseignement américain. Mais le président Donald Trump, qui aurait profité de cette aide étrangère pour être élu, continue de nier.

Pire, il continuerait d’influencer les services de cybersécurité gouvernementaux. Ses rapports avec le renseignement américain se sont envenimés tout au long du mandat et début septembre, une nouvelle étape a été franchie. Brian Murphy, un ancien dirigeant du ministère de l’Intérieur, en charge de la branche dédiée au renseignement, a décidé de lancer l’alerte : d’après lui, le gouvernement continue de minimiser la dangerosité de la menace russe sur l’élection et le pousserait à écarter des preuves.

Il a été transféré à un autre poste en juillet, à quelques mois des élections. Dans une plainte qu’il a déposée au Congrès mardi 8 septembre, Brian Murphy affirme que son supérieur hiérarchique, Chad Wolf, lui aurait demandé de mettre en attente un rapport, car « cela donnerait une mauvaise impression du président ». Indirectement, il accuse ses supérieurs de préparer le terrain pour que Vladimir Poutine puisse soutenir Donald Trump. À la place de ses recherches sur l’ingérence russe, les dirigeants du ministère lui auraient demandé de se concentrer sur les menaces iraniennes et chinoises. La rhétorique selon laquelle la Chine serait la principale menace est également appuyée à la télévision par des hauts représentants de la justice, comme le pointe le New York Times.

7 000 attaques en 2 semaines

Ces révélations inquiètent d’autant plus que le nouveau chef du renseignement américain John Ratcliffe — un proche de Trump dont la faible légitimité a mené à une controverse étalée sur plusieurs mois — a annoncé que les agences ne feraient plus de rapport au Congrès. Il a invoqué les fuites pour justifier ce choix, qui réduira la déjà faible transparence de l’espionnage américain.

Pour l’instant, aucune des attaques lancées par Fancy Bear ne semble avoir fonctionné, d’après Microsoft, mais les deux prochains mois devraient s’avérer particulièrement éprouvants pour les équipes de sécurités impliquées dans l’élection. Rien qu’entre le 18 août et le 3 septembre, Fancy Bear a visé 6 912 adresses email appartenant à 28 organisations. Et leur rythme d’attaque pourrait encore s’accélérer.

Crédit photo de la une : Gage Skidmore/CC

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux