Guerre hybride russe contre la France : qui est vraiment le groupe APT28 lié au Kremlin que la diplomatie française pointe du doigt

Author:

5 mai 2017, deux jours avant le second tour des élections présidentielles françaises confrontant les deux finalistes, Emmanuel Macron et Marine Le Pen, une fuite de données massive concernant le candidat d’« En Marche » est mise en ligne sur la plateforme 4chan. Quelque 21 075 e-mails ainsi que d’autres éléments liés à la campagne du candidat Macron sont donc livrés au public, parce qu’ils comportent peut-être des choses compromettantes. Que ce soit vrai ou faux, le doute est instillé. Ces données arrivent juste avant la fin de la campagne, ce qui rend impossible toute explication de la part du candidat. Ce fut ce que l’on a appelé les « MacronLeaks ». Le hashtag doté de ce nom a été massivement relayé sur les réseaux sociauxréseaux sociaux et notamment par des comptes pro-russes, d’extrême droite ou encore trumpistes. WikiLeaks a également contribué à sa propagation.

Cette affaire n’a pas eu de conséquence sur l’élection d’Emmanuel Macron, mais son déroulement a préoccupé les services de l’État, notamment l’Anssi (Agence nationale de la sécurité des systèmes d’information). La méthode utilisée, ainsi que certains éléments techniques, orientaient les soupçons vers la Russie et plus précisément vers un groupe de hackers qui avaient déjà tenté d’influencer les élections en Allemagne en 2016 pour nuire à la CDU, ou encore la campagne des élections américaines au profit de Donald Trump, la même année.

Une attribution sur le bout des lèvres

Si les experts s’accordaient à dire que le Kremlin était derrière ces manœuvres, comme toujours dans les actions de cyberattaques, l’attribution à un pays reste difficile à affirmer. Les années ont passé et les affaires de ce type se sont multipliées.

L’État français a toujours répliqué sans vraiment qualifier ce type de manœuvres comme des actions offensives de la Russie. Et pourtant, hier, le ministre des Affaires étrangères français, Jean-Noël Barrot, a pour la première fois attribué ces attaques au service de renseignement militaire russe (GRU) et plus précisément à un groupe de hackers appelé APT28. En réalité, dès les premières cyberattaques et tentatives d’influences qui visaient la France, les autorités se doutaient bien que le Kremlin était à la manœuvre. Mais tout avait été « mis sous le tapis », car Emmanuel Macron tentait alors de créer les conditions favorables à un rapprochement entre la France et la Russie de Vladimir Poutine.

Le ministre des Affaires étrangères françaises accuse clairement la Russie de mener une guerre hybride contre la France avec un groupe de hackers lié au GRU. © @jnbarrot

APT : menace persistante avancée

Aujourd’hui, après trois années de guerre contre l’Ukraine, la situation a changé et la posture française également. L’attribution de ces actions au GRU via le groupe APT28, autrement appelé Fancy Bear, Sofacy, StrontiumStrontium, ou encore Pawn Storm, reste compliquée, mais le cumul d’indices conduit systématiquement vers ce groupe APT28.

ATPATP signifie Advanced Persistent Threat (menace persistante avancée). C’est le nom générique donné a tout groupe de hackers identifié par la répétition d’actions qui portent sa « patte » par les entreprises de cybersécurité. Le numéro permet de les classer. Il y a des APT de tous pays, qu’il s’agisse de cybercriminels, de groupes de hackers ou bien de pirates liés et pilotés par des États.

Pour la Russie, outre APT28, un autre groupe – appelé APT29 – est connu. De son côté, il agit pour le compte du FSB (service de sécurité intérieur russe) et il est spécialisé dans le vol de données. Qu’est-ce qui caractérise la signature d’APT28 ? Ses attaques débutent généralement par une campagne ciblée de spear phishing : après avoir usurpé l’identité de la cible, des mails vérolés sont envoyés. C’est un grand classique du hacking pour récupérer des identifiants et s’introduire dans les systèmes informatiques d’une organisation. Jusque-là, rien ne permet de faire un lien, ni avec la Russie ni avec le fameux GRU.

Des cibles communes avec le Kremlin

Mais ce qui relie le groupe avec le GRU, c’est surtout ses cibles. APT28 vise l’armée, les industriels de la défense, les partis politiques, les institutions et les infrastructures critiques. Les cibles visées sont systématiquement celles que le renseignement militaire russe et le Kremlin ont également dans le collimateur.

Ainsi, les campagnes de hacking menées par APT28 coïncident toujours avec l’arrivée d’événements politiques majeurs. C’est le cas des élections présidentielles dans les pays d’Europe ou aux États-Unis, ou encore en Ukraine, avant l’invasion. Ils attaquent parfois les médias, comme ce fut le cas en 2015 avec une campagne contre TV5. Celle-ci a paralysé la chaîne et défacé ses sites avec un message revendicatif d’un groupe djihadiste pour brouiller les pistes. L’objectif était surtout de mettre en avant cette menace auprès du public français. Dans tous les cas, la cyberattaque permet de collecter des informations et de les exploiter pour mener des campagnes d’influence destinées à déstabiliser les institutions du pays visé.

Suite à l’annonce française, Anonymous explique qu’il lance une campagne d’attaque contre APT28. © @YourAnonFrench_

Des éléments techniques qui relient au GRU

Ce qui rend difficile l’attribution de ces attaques à ATP28 et à la Russie, c’est le côté purement technique. APT28 se distingue également par sa méthode qui laisse peu de traces. Au lieu d’exploiter leurs propres infrastructures, ils utilisent des services disponibles gratuitement pour tous, comme des VPN ou bien des services d’hébergement peu coûteux, comme InfinityFree ou Mocky.io. Ils exploitent aussi des malwares connus, comme HeadLace ou OceanMap, qui sont utilisés spécifiquement pour exfiltrer des données. En revanche, ce qui permet de les relier au GRU sur ces points, c’est que les schémas d’attaques employées sont similaires avec ceux du service de renseignement dans ses opérations militaires. De même, comme le diable se cache dans les détails, APT28 laisse souvent des éléments compromettants dans le code malveillant ou les serveursserveurs de command and control. Des éléments du même type que ceux du GRU justement…

Autre détail qui compte, les grandes entreprises de cybersécurité (FireEye, Trend Micro, CrowdStrik…) sont à l’affût de ce type d’APT. Dans le cas d’APT28, le traçage des activités renvoie souvent à des adresses IPadresses IP et des serveurs associés à des entités russes. Pas de quoi relier le groupe directement avec le Kremlin, mais la suspicion s’ajoute au reste. Enfin, il y a aussi les bourdes de ses membres. Certains ont laissé physiquement des traces compromettantes en étant suivis par des membres des services de renseignement d’autres pays. Des preuves qui les reliaient directement au GRU en tant qu’agent. 

Avec tous ces éléments assemblés depuis des années, même l’Anssi, l’organe de sécurité des réseaux informatiques du gouvernement français, qui est habituellement sur la réserve lorsqu’il n’a pas de preuves suffisantes, affirme qu’APT28 est bien lié au GRU et qu’il est l’auteur de cyberattaques très régulières contre la France. Les enquêtes ont même été fructueuses, puisque l’organisme a énoncé que derrière APT28 se trouve l’unité 20728 du 166e centre de recherche informationnelle du GRU. Une unité basée à Rostov-sur-le-Don au sud-ouest de la Russie. C’est la première fois que la France est aussi claire sur ce sujet et c’est le signe d’un changement radical de posture face à la Russie.

Categories: HeadLine

Leave a Reply

Your email address will not be published. Required fields are marked *