Trois pays désignent la Russie comme responsable de piratages d'organisations antidopage et de celle chargée de contrôler la prolifération des armes chimiques. Quatre ressortissants russes ont été expulsés des Pays-Bas en avril et les États-Unis viennent d'accuser directement sept agents. L'Otan et la Commission européenne ont réagi à ces annonces.

Dans un tir groupé, États-Unis, Pays-Bas et Royaume-Uni accusent la direction générale des renseignements russes (GRU) de divers piratages ces quatre dernières années. Ces atteintes concerneraient les Jeux olympiques d'hiver de Sotchi en 2014, l'élection présidentielle américaine de 2016 et la sécurité nucléaire ukrainienne.

Les services russes auraient à la fois mené des opérations à distance et sur le terrain, dans le but de compromettre des réseaux informatiques, principalement pour voler des documents. Parmi les cibles, plusieurs agences antidopage (dont l'américaine), l'Organisation pour l'interdiction des armes chimiques (OIAC) de La Haye (Pays-Bas), la FIFA ou encore la Westinghouse Electric Company, spécialisée dans la sûreté nucléaire.

Des doigts pointés et de nombreux détails

Le gros de la charge a été mené par les États-Unis, qui listent des attaques menées entre décembre 2014 et mai 2018. Pour le ministère de la Justice, la Russie aurait tenté des intrusions de longue durée dans des réseaux de particuliers, d'organisations et d'entreprises. Des opérations lancées « suivant les intérêts stratégiques des autorités russes ».

Le dossier concerne l'Unité 74455 du GRU, que l'Oncle Sam assure être la Fancy Bears’ Hack Team (ou Fancy Bear). L'agence britannique de cybersécurité (NCSC) corrobore cette association entre GRU et Fancy Bear. Elle lui attribue même les noms de groupe (et opérations) liées à APT28, BlackEnergy Actors, CyberCaliphate, Cyber Berkut, Pawnstorm, Sandworm, Sednit, Sofacy, STRONTIUM, Tsar Team et Voodoo Bear.

Si certains de ces noms étaient déjà associés entre eux, l'attaque est ici franche contre le renseignement russe. Les États-Unis nomment sept « hackers » russes. Trois sont d'abord désignés pour des campagnes informatiques menées à distance. Quatre autres, des renseignements techniques russes, auraient été chargés d'opérations physiques quand les premières tentatives en ligne n'obtenaient pas les accès ou les documents voulus.

L'acte d'accusation (PDF) entre en grand détail dans ces tentatives, comme le discours du ministère de la Justice.

La conférence de presse du ministère américain de la Justice

Les organisations antidopage ciblées

Pour les autorités américaines, la Russie a tenté de délégitimer les travaux d'organisations antidopage et la parole de responsables dénonçant un programme de dopage russe, lors des Jeux de Sotchi. Les ressortissants russes auraient collecté et disséminé des données personnelles de centaines de responsables de l'antidopage et d'athlètes, pour « écarter l'attention » du programme de dopage russe.

Christopher Wray, directeur du FBI, et l'avocat général des États-Unis Scott Brady accusent trois personnes de spearphishing (hameçonnage ciblé) et d'attaques par malwares, qu'ils auraient contrôlés. Les quatre autres personnes auraient disposé d'équipements spéciaux pour atteindre physiquement les cibles, visant particulièrement les réseaux Wi-Fi.

Selon une série d'enquêtes débutées en 2015, le GRU aurait compromis des systèmes informatiques des organisations antidopage afin de voler des identifiants, dossiers médicaux et autres documents, dont des exceptions pour usage thérapeutique. En juillet 2016, sortait le premier rapport McLaren, accusant la Russie de manipulations des échantillons de contrôle de dopage, sous l'égide de l'Agence mondiale antidopage.

Ces révélations avaient conduit à l'exclusion de 111 athlètes russes des jeux suivants, à Rio de Janeiro.

Des avions et du Wi-Fi

Après cette décision, les États-Unis auraient repéré des préparatifs de piratage de l'agence américaine antidopage et du Tribunal Arbitral du Sport (TAS) via la création de faux noms de domaine (imitant ceux officiels) et des analyses de réseaux d'organisations. Des employés des agences antidopage mondiale et américaine auraient aussi été hameçonnés.

De plus, des agents se seraient rendus à Rio de Janeiro pour assurer un accès à des réseaux Wi-Fi utilisés par des responsables antidopage. En août 2016, avec les identifiants d'un responsable du Comité International Olympique (CIO), ils auraient récupéré des informations de l'Agence mondiale antidopage sur les contrôles.

La même année, un officiel de l'agence américaine aurait d'ailleurs utilisé le réseau Wi-Fi de son hôtel à Rio, permettant à des officiers de récupérer l'accès à son compte email, contenant des données médicales d'athlètes.

En septembre 2016, à Lausanne en Suisse, deux agents auraient exploité le réseau Wi-Fi lors d'une conférence de l'Agence mondiale antidopage dans un hôtel, obtenant des identifiants d'un membre de l'agence canadienne. Cette attaque leur aurait ouvert les portes des réseaux du CCES.

En décembre 2016 et janvier 2017, le GRU serait entré dans les réseaux de la Fédération internationale de football (FIFA) et de l'Association internationale des fédérations d'athlétisme (IAAF), en visant les comptes de pontes de ces organisations. Des frappes claviers, dossiers, politiques antidopage, résultats de laboratoires et données sur l'organisation auraient notamment été aspirés.

Une partie des informations volées auprès de 40 organisations antidopage auraient été publiées sur plusieurs canaux, dont fancybear.net. Ces données privées concerneraient 250 athlètes de 30 pays. Les noms de domaine fancybear.net et fancybear.org ont depuis été saisis par le FBI.

Comité national démocrate et entreprise du nucléaire

Les sept « hackers » sont au moins accusés de piratage informatique, de fraude électronique et de tentative de blanchiment d'argent. La première charge leur rapporterait cinq ans de prison, les deux dernières 20 ans chacune. Les quatre agents présumés dans les missions « physiques » sont soupçonnés d'usurpation d'identité aggravée (deux ans de prison). Ivan Sergeyevich Yermakov est associé à cinq cas de fraude électronique, à lui seul.

Lui et deux autres « agents » sont accusés d'intrusion dans des systèmes informatiques américains, et d'avoir orchestré la fuite de ces données pour interférer dans l'élection présidentielle de 2016. Le NCSC britannique leur attribue le piratage du Comité national démocrate (DNC).

L'unité du GRU aurait eu des échanges avec 186 journalistes, pour amplifier l'effet de fuites. Entre septembre 2016 et juillet 2018, 70 journalistes auraient été approchés avec des informations. La seule condition posée aurait été la citation du groupe sous le nom Fancy Bear. Un journaliste se serait particulièrement pris au jeu, recommandant même des sujets d'intérêt à explorer.

Le GRU aurait également visé la Westinghouse Electric Company, siégée à Pittsburg. Ivan Sergeyevich Yermakov, le plus lourdement accusé des sept « hackers », y aurait mené une opération de reconnaissance en novembre 2014.  Le 30 octobre 2014, la société annoncait fournir des systèmes de sécurité pour les centrales nucléaires ukrainiennes.

Par la suite, les renseignements russes auraient tenté d'hameçonner des employés sur leurs comptes email personnels et professionnels, pour obtenir des identifiants de comptes.

Le FBI se félicite bien sûr de ses révélations, assorties d'une menace contre quiconque s'attaquerait au pays.

Le Royaume-Uni offensif

En délicatesse avec la Russie suite à l'affaire Skripal, le NCSC britannique s'est chargé de lier le GRU à de nombreux noms de « groupe de hackers » et opérations. En plus du piratage du DNC américain et de la diffusion de données sur le dopage, le service attribue deux autres nouvelles cyberattaques aux services russes.

À l'été 2015, le GRU aurait volé le contenu de comptes email d'une petite chaine de TV britannique. En octobre 2017, il aurait mené une attaque via le rançongiciel BadRabbit, qui a chiffré des disques durs, affectant le métro de Kiev, l'aéroport d'Odessa, la banque centrale russe et deux médias russes.

« Ces attaques ont été menées en violation flagrante du droit international, ont affecté les citoyens de plusieurs pays (dont la Russie) et a coûté des millions de livres à ces économies nationales » accuse le NCSC. Il estime que la Russie tente de saboter le droit et les institutions internationales.

Dans une déclaration commune, la Première ministre britannique Theresa May et le Premier ministre des Pays-Bas, Mark Rutte, ont jugé ces actions « irresponsables ».

Une opération « interrompue » aux Pays-Bays

Cette déclaration commune suit une opération conjointe en avril dernier. Quatre agents russes auraient été interrompus lorsqu'ils préparaient une intrusion dans le réseau informatique de l'Organisation pour l'interdiction des armes chimiques à La Haye. « Pour garantir la sécurité de l'OIAC, les Pays-Bas ont préempté l'opération du GRU et escorté les officiers du renseignement russe hors du pays », déclare le gouvernement néerlandais.

Les agents seraient entrés dans le pays avec des passeports diplomatiques, et auraient positionné une voiture de location dans le parking de l'hôtel Marriott de La Haye, près des locaux de l'OIAC, assurent les renseignements néerlandais. Un équipement aurait été placé dans le coffre de la voiture, pour pirater des réseaux Wi-Fi. Un agent russe aurait d'ailleurs tenté de détruire un smartphone pendant l'interruption de l'opération.

Le tout est détaillé dans une présentation, avec deux éléments considérés comme des erreurs : deux numéros de passeports aux numéros successifs (un cas peu probable) et un reçu de voyage en taxi joignant directement des locaux du GRU (à Nesvizhskiy Pereulok) et l'aéroport de Moscou.

Des experts se sont étonnés de ces « erreurs » de sécurité opérationnelle (OPSEC). Pour le blogueur Krypt3ia, l'explication est simple : « L'OPSEC du GRU est nulle parce qu'ils s'en foutent ». Selon lui, les renseignements russes ont longtemps été face à des acteurs uniquement capables de name and shame, sans incidence sur ses opérations. Du moins jusqu'à ces accusations et l'interruption néerlandaise à La Haye.

Un des accusés aurait aussi été identifié en Malaisie, ciblant l'enquête sur le crash du MH17 de Malaysia Airlines. La Russie est accusée par l'Otan et l'UE d'avoir abattu l'avion à son survol de l'Ukraine en 2014, ce qu'elle nie en bloc.

Des réactions vives de l'Otan et de l'UE

Avec ces dossiers précis, très rarement publiés, les trois pays veulent décourager de nouvelles opérations russes. L'attribution d'attaques est une arme diplomatique lourde, régulièrement utilisée par les États-Unis, très rarement par la France.

« Nous constatons avec regret cet empoisonnement de nos relations par les États-Unis, via de nouvelles accusations sans fondement contre la Russie » a commenté Sergey Ryabkov, le ministre des Affaires étrangères russe. Il accuse le pays de créer volontairement ces tensions entre puissances nucléaires, « une voie dangereuse ».

Pour sa part, Jens Stoltenberg, secrétaire général de l'Otan a dénoncé les actions russes alléguées. « La Russie doit cesser son comportement irresponsable, qui comprend l'usage de force contre ses voisins, des tentatives d'ingérence dans des élections étrangères et de larges campagnes de désinformation. »

En réponse, il promet de renforcer ses capacités de cyberdéfense. La Commission européenne a également réclamé à la Russie l'arrêt de ses opérations contre « le droit et les organisations internationales ».