Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Cyberguerre : la France attribue les #MacronLeaks à la Russie, et menace de « réagir »

GRU, moche et méchant

Cyberguerre : la France attribue les #MacronLeaks à la Russie, et menace de « réagir »

L’ANSSI alerte sur le ciblage et la compromission d’entités françaises par le service de renseignement militaire russe. Cette publication est coordonnée avec le ministère des Affaires étrangères qui dénonce de son côté les agissements russes. Elle attribue à la Russie les attaques de TV5Monde et la fuite des MacronLeaks. Elle promet enfin de « réagir le cas échéant ».

Le 29 avril à 18h40

Faisons les présentations : le mode opératoire d’attaque (MOA) APT28 (ou Fancy Bear) est actif depuis au moins 2004 selon l’Agence de cybersécurité. Il est « attribué publiquement par l’Union européenne à la Russie ». Pour rappel, l’ANSSI n’attribue pas directement les attaques, mais s’en fait l’écho lorsque c’est fait publiquement par des instances officielles.

APT28, nous en avons déjà parlé à plusieurs reprises sur Next. Il faut dire que, comme le rappelle le rapport que l'ANSSI vient de lui consacrer, il « est régulièrement employé pour cibler des organisations gouvernementales et militaires, ainsi que les secteurs de la défense, de l’énergie et des médias, notamment en Europe et en Amérique du Nord ».

Chine, France, Russie et USA sont dans un cyberbateau…

À propos de la situation cyber mondiale, Vincent Strubel (patron de l’ANSSI) affirmait il y a peu que la France était en Ligue 1 face à deux fortes nations : la Russie et la Chine. Pour l’instant, les États-Unis sont toujours des alliés, « avec une coopération étroite ».

Concernant la Russie, Vincent Strubel parlait d’une « forme de singularité [avec] une multiplicité d’acteurs ». Il y a évidemment les services étatiques et les services de renseignements, mais aussi des « groupes criminels qui sont au moins tolérés, et dont on peut se poser la question de leur lien de cohabitation avec l’État russe ». 

Les intérêts français régulièrement pris pour cible

Depuis 2021, plusieurs organisations françaises ont été ciblées ou compromises par le groupe APT28 : entités ministérielles, collectivités territoriales, administrations, de l’industrie de la défense, de l'aérospatial, du secteur de l’économie et de la finance, des groupes de réflexions et de recherche.

En 2024, il était toujours actif et la victimologie comprenait « des entités appartenant majoritairement aux secteurs gouvernemental, diplomatique, et de la recherche ou des think tanks. Certaines campagnes ont notamment été dirigées contre des entités françaises du secteur gouvernemental ».

De quoi faire réagir le ministère des Affaires étrangères qui « condamne avec la plus grande fermeté le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28 » contre des intérêts français.

De TV5Monde aux MacronLeaks : APT28 à la manœuvre

France Diplomatie rappelle au passage que, « par le passé, ce mode opératoire a également été utilisé par le GRU dans le sabotage de la chaîne de télévision TV5Monde en 2015 ». Guillaume Poupard, qui était alors directeur de l'ANSSI, parlait d’une « guerre de l'information ».

Le ministère des Affaires étrangères revient aussi sur une « tentative de déstabilisation du processus électoral français en 2017 ». Sans être directement cité, il s’agit évidemment de l’affaire des MacronLeaks. Sur X, Jean-Noël Barrot (ministre de l'Europe et des Affaires étrangères) a publié un tweet accompagné d’une vidéo de « présentation » d’APT28 et de ses principaux faits d’armes, du point de vue de la France.

La vidéo revient aussi sur les MacronLeaks, là encore sans les citer directement : « 2017, en pleine élection présidentielle, APT28 participe à une opération de piratage massive. Objectif, semer le doute et influencer l’opinion publique. Des milliers de documents sont volés et diffusés, espérant manipuler les électeurs. Mais la manœuvre échoue à réellement impacter le processus électoral. La menace est toujours active ».

« La question de la temporalité, très retardée, de cette attribution officielle se pose »

C’est la première fois que la France attribue officiellement les MacronLeaks à la Russie, six ans après les faits. C’était néanmoins un secret de polichinelle. Sur Bluesky, le journaliste Nicolas Henin rappelle que « l'attribution des MacronLeaks étaient aussi connue dans le milieu cybersec depuis longtemps. La question de la temporalité, très retardée, de cette attribution officielle se pose ».

L’expert du sujet précise qu’il reste un point en suspens : « les MacronLeaks ne sont pas qu'une opération du GRU. Une grosse partie de la propagation avait été assurée par l'alt-right américaine, qui semble avoir été dans la boucle AVANT le leak d'origine. Si jamais Macron veut en garder sous le coude pour une attribution ultérieure… ».

APT28 très actif contre des entités ukrainiennes

Depuis la guerre suite à l’invasion de la Russie en Ukraine, APT28 est régulièrement utilisé pour collecter des renseignements « contre des entités ukrainiennes gouvernementales, militaires, des infrastructures critiques, des entités médiatiques et financières, des collectivités territoriales et des individus », explique l’ANSSI.

Mais ce n’est pas tout. L’Agence ajoute que des campagnes récentes d’espionnage via APT28 « ont ciblé des entités gouvernementales de pays européens, des partis politiques, des entités du secteur de la défense, de la logistique, de l’armement, de l’industrie aérospatiale, de l’informatique ainsi que des fondations et associations ». Bref, une pêche au chalut qui ratisse très large.

L’ANSSI rappelle ses recommandations et préventions

Face à ces menaces, l’ANSSI rappelle que des analyses ont permis d’identifier des chaînes de compromission associées au MOA APT28. Au cours des dernières années, les techniques, tactiques et procédures (TTP) ont peu évolué, les recommandations et préventions formulées en 2023 restent donc d’actualité.

Le ministère des Affaires étrangères ne s’en cache pas, le but de la publication du rapport de l’ANSSI est de « prévenir de futures attaques ».

Les messageries, une cible de choix

APT28 utilise des campagnes d’hameçonnage, des attaques par force brute contre des messageries (notamment ROUNDCUBE), ainsi que des vulnérabilités zero-day telle que la CVE-2023-23397 dans Outlook. Le groupe s’attaque aussi à des équipements de bordure « généralement peu supervisés ». Pour mener leur attaque et tenter de se fondre dans la masse, les pirates s’appuient notamment « sur des infrastructures infogérées à moindre coût et prêtes à l’emploi ».

Les attaquants ne cherchent pas à rester dans le système, ils sont là pour collecter des « informations stratégiques » comme des conversations, des carnets d’adresses, des authentifiants… « L’objectif premier des attaquants pourrait être dans ces cas spécifiques d’accéder directement à des informations d’intérêt à des fins d’espionnage ».

Comment APT28 procède ?

L’ANSSI donne un exemple des agissements d’APT28 :

« Ces campagnes consistaient à envoyer des courriels d’hameçonnage contenant un lien de redirection vers un sous domaine fourni par le service INFINITYFREE pour délivrer des archives ZIP malveillantes contenant la porte dérobée HeadLace. Cette porte dérobée reposait sur la distribution de commandes depuis des points de terminaison web du service MOCKY.IO. Les commandes distribués par les points de terminaisons MOCKY.IO visaient à récupérer des informations sur le système d’information ainsi que des authentifiants de connexion, ou encore à déployer des outils offensifs. Dans certains cas, les opérateurs du MOA ont tenté d’établir des moyens de persistance en créant une tâche planifiée ».

L’ANSSI se fait aussi l’écho du CERT ukrainien qui a documenté l'utilisation d’un code malveillant s’appuyant « sur le protocole IMAP pour exfiltrer les authentifiants stockés dans des navigateurs ».

Autre vecteur d’attaque, depuis début 2023, « les opérateurs du MOA APT28 ont également conduit des campagnes d’hameçonnage visant à rediriger des utilisateurs des services de messagerie UKR.NET et YAHOO vers des fausses pages de connexion afin de voler leurs authentifiants ».

Pour la France, les activités russes sont « inacceptables et indignes »

France Diplomatie rappelle que, l’Union européenne « a imposé des sanctions aux personnes et entités responsables des attaques menées à l’aide de ce mode opératoire ». Le ministère en profite pour taper du poing sur la table :

« Ces activités déstabilisatrices sont inacceptables et indignes d’un membre permanent du Conseil de sécurité des Nations unies. Elles sont par ailleurs contraires aux normes des Nations unies en matière de comportement responsable des États dans le cyberespace, auxquelles la Russie a souscrit ».

La France prévient : elle pourrait « réagir le cas échéant »

La France donne un coup de semonce : et annonce être « résolue à employer l’ensemble des moyens à sa disposition pour anticiper les comportements malveillants de la Russie dans le cyberespace, les décourager et y réagir le cas échéant ».

Commentaires (14)

votre avatar
J'ai une question pour les experts réseaux qui traînent ici : pourquoi, on ne fait pas des micro-coupures avec signatures au niveau des câbles reliant les états entre eux ? Ainsi, en analysant les signatures des micro-coupures, on pourrait aisément déterminer l'origine géographique d'une attaque.

Ma question est peut-être complètement idiote, mais malgré tout je préfères avoir l'air ridicule que de rester ignorant.
"Si tu sais, partage. Si tu ne sais pas, demande." :inpactitude2:
votre avatar
micro-coupures
C'est quoi ?
signatures
de quoi ?
votre avatar
En gros, disons que sur une liaison entre la France et l'Italie, tu aurais des micro-coupures de 1ms toutes les 2,3s, et tu as la "signature de micro-coupures" entre 2 pays. C'est bien sûr un exemple très simplifié. Après, tu fais une signature différente entre chaque pays et tu peux remonter la piste en reconnaissant chaque signature.
votre avatar
Ah oui, tu réinventes complètement les télécoms et Internet !

Tu voudrais marquer au niveau le plus bas (physique) les "trames" comme tu les appelles dans ton autre tentative d'explication et remonter ces marques dans les couches supérieures et les stocker pour pouvoir investiguer sur les incidents, ce qui n'existe pas.
Quand on voit la difficulté à passer à l'IP V6 qui ne concerne qu'une couche, même en laissant de côté les aspects techniques qui seraient difficiles à mettre en place parce qu'aujourd'hui, au niveau transmission, on ne joue pas avec le temps mais on transmet des informations de façon synchrone quelle que soit la couche physique (je laisse le morse de côté), on aurait un truc partiellement mis en œuvre dans une trentaine d'années.

En plus, tes coupures feraient baisser la bande passante et si les passages de frontières se multiplient la charge utile diminuerait.

Enfin, les protocoles divers ne connaissent pas cette notion de frontière.
votre avatar
Je sais pas si je réinvente quoi que ce soit.
C'est pas comme si je disais qu'il fallait modifier un protocole existant ou en créer un nouveau (même si ce dernier point pourrait aider). Il s'agit ici d'avoir un comportement particulier sur les équipements réseaux des opérateurs internationaux (tous) et des hébergeurs qui le souhaitent.
Alors, certes, c'est pas simple, mais ça me semble moins complexe que le passage au IPv6 qui nécessite que TOUS les équipements réseaux soient compatibles.

Et, oui, on aurait une baisse de la bande passante. De quel ordre ? Je n'en sais rien. Est-ce que ce serait forcément non négligeable ? Je n'en sais rien non plus. C'est bien pour ça que je posais ma question ici. ^^
votre avatar
J'ai essayé d'être assez pédagogique dans ma réponse. J'ai cité plusieurs points qui font que ta proposition est complètement irréaliste et en dehors de tout sur quoi s'appuient aujourd'hui les télécoms.

J'arrête ici. Si tu veux reprendre la discussion, commence par apprendre comment marchent les télécoms à partir de la couche physique sur laquelle tu veux intervenir jusqu'à la couche application, tes 4 commentaires sur le sujet montrent que tu n'as pas les bases.

Donc, on va modifier un peu la devise d'ici : si tu ne sais pas, apprends puis demande.
votre avatar
OK
Le ton montre un brin d'agressivité qui doit être lié à un agacement du fait de mes questions probablement stupides.

Du coup, j'ai ma réponse (en partie) : ça se fait pas parce qu'il y a une subtilité technique qui rend sa mise en place au mieux trop complexe, voire juste impossible.

Au moins, ça me permet de me rendre compte que je croyais avoir les bases, mais que je ne les avais pas, à priori.
votre avatar
Pas sûr d'avoir bien compris, mais savoir d'où vient une attaque d'un point de vue réseau ce n'est pas suffisant pour incriminer un pays : une attaque peut provenir de Russie (comprendre de serveurs hébergés en Russie), mais ces mêmes serveurs peuvent avoir été piratés par n'importe qui d'autre ailleurs dans le monde (piratés ou même simplement opérés tout à fait légitimement).
votre avatar
Le truc, c'est que si tu vois (de France) une trame avec la signature russe qui a aussi la signature de la Corée du Nord, ça te donne un indice comme quoi l'attaque vient de Corée et pas de Russie, à l'origine.
votre avatar
tracert / traceroute quoi...
votre avatar
Non, parce que traceroute se base sur les adresses IP et sur le fait qu'un équipement dise : pour aller ici, il faut passer par là.
Dans ce que je présente, il n'y a pas de dépendance à un protocole en particulier. De plus, traceroute s'arrête à l'équipement envoyant la requête, là où des micro-coupures permettraient de retrouver le pays d'où est émis l'ordre qui a fait que la requête a été envoyée.
votre avatar
J'ai peut être un biais de perception car j'ai assez peu d'informations concernant les attaques informatiques attribuées à la Russie envers d'autres pays (excepté l'Ukraine mais la raison me parait évidente), mais j'ai l'impression que la France est pas mal ciblée. Que ce soit en terme de cyberattaque ou de désinformation.

La France est elle réellement plus ciblée par les Russes que d'autre pays ? Est ce que quelqu'un aurait une explication ? Est ce dû à notre présence en Afrique et à notre couverture maritime au travers du globe ? La France est elle réellement redoutée ?

Merci pour l'article.
votre avatar
La France est elle réellement plus ciblée par les Russes que d'autre pays ? Est ce que quelqu'un aurait une explication ? Est ce dû à notre présence en Afrique et à notre couverture maritime au travers du globe ? La France est elle réellement redoutée ?
Oui, la France est plus ciblée car elle est identifiée comme une épine dans le pied de la Russie pour plusieurs raisons : la capacité d'entrainement de l'UE vers une économie de défense qui lui donnerait une capacité dissuasive contre la Russie, et le fait que ce soit un pays doté. L'Afrique n'y est peut être pas pour rien non plus. On n'est pas les seules cibles, les pays de l'Est font beaucoup les frais de ce genre de manœuvres aussi (cf. élections en Roumanie).
votre avatar
"Je vous demande de vous arreter !"

On va aller loin avec ca....

Cyberguerre : la France attribue les #MacronLeaks à la Russie, et menace de « réagir »

  • Chine, France, Russie et USA sont dans un cyberbateau…

  • Les intérêts français régulièrement pris pour cible

  • De TV5Monde aux MacronLeaks : APT28 à la manœuvre

  • « La question de la temporalité, très retardée, de cette attribution officielle se pose »

  • APT28 très actif contre des entités ukrainiennes

  • L’ANSSI rappelle ses recommandations et préventions

  • Les messageries, une cible de choix

  • Comment APT28 procède ?

  • Pour la France, les activités russes sont « inacceptables et indignes »

  • La France prévient : elle pourrait « réagir le cas échéant »

Fermer