Attaques russes : les Pays-Bas auraient apporté une aide déterminante aux États-Unis

La presse néerlandaise affirme que les Pays-Bas ont averti les États-Unis d'actions menées par le renseignement russe depuis plusieurs années, dont l’attaque contre le Comité national démocrate (DNC). Les Pays-Bas n’ont rien confirmé, mais la Russie accuse tout de même les médias de « jeter de l’huile sur le feu ».

Depuis les attaques contre le DNC – et le scandale des emails d'Hillary Clinton – et d’autres institutions américaines, le FBI mène l’enquête. La piste russe est évoquée depuis longtemps, mais on ne savait pas vraiment jusqu’ici ce qui avait mené les enquêteurs vers le pays de Vladimir Poutine. Si l’on en croit le média néerlandais Volkskrant, ce sont les Pays-Bas qui ont initialement tiré la sonnette d’alarme.

Dans les grandes lignes, le renseignement néerlandais aurait pénétré une machine russe située dans un bâtiment universitaire de la place Rouge à Moscou. Ce n’est que plus tard que les Pays-Bas auraient réellement compris ce qu’ils avaient découvert, se retrouvant selon Volkskrant aux premières loges pour assister au lancement de plusieurs opérations.

Un observatoire de choix

Il ne semble pas que les Pays-Bas se soient rendu compte, dans un premier temps, de l’importance de la machine piratée. On ne connait pas non plus les raisons qui auraient poussé le renseignement à se diriger vers cette machine particulière ou ce bâtiment. On sait en revanche que l’action est réalisée durant l’été 2014, longtemps avant les élections américaines.

La piste la plus probable est une chasse aux pirates d’un groupe connu pour ses grandes capacités techniques : Cozy Bear, parfois appelé également APT29, dont la réputation était d’être lié au gouvernement russe. Des pirates d’État en quelque sorte.

Toujours selon nos confrères, l'AIVD observe deux ans plus tard une intense activité sur la machine piratée : l’attaque contre le DNC vient d’être lancée. Les agents constatent notamment le rapatriement de milliers d’emails, constituant un signe tangible d’interférence russe dans le processus démocratique américain, selon Volkskrant. Le journal cite d’ailleurs six sources « américaines et néerlandaises », qui ont toutes tenu à rester anonymes.

Nos confrères affirment que les Pays-Bas sont la toute première source d’informations pour les États-Unis dans cette affaire. Un rapport de l’AIVD serait envoyé au renseignement américain, orientant largement l’enquête vers la Russie. Et si l’oreille était attentive, c’était que l’AIVD aurait déjà fourni des informations précises auparavant, pour une autre attaque.

Un lien spécial entre États-Unis et Pays-Bas

Une relation particulière de confiance existerait entre les deux pays. Avant l’attaque contre le DNC, Cozy Bear s’en serait en effet pris au département d'État, l’une des plus grosses administrations américaines, chargée notamment des relations internationales.

Selon ce scénario, en novembre 2014, les pirates sont prêts à lancer leur attaque, armés notamment d’identifiants obtenus par des campagnes de spear phishing. Ces dernières sont pour rappel des versions beaucoup plus ciblées du phishing classique, l’attaquant se faisant passer pour un contact de confiance, grâce à des informations obtenues en amont.

Devant une attaque semblant imminente, l’AIVD aurait communiqué l’information à un représentant de la NSA en poste à l’ambassade américaine de La Hague. Armés de ces données, la NSA et le FBI auraient pu se tenir prêts et défendre les infrastructures du département d'État. Une ligne directe aurait même été ouverte entre la NSA et Zoetermeer, ville hébergeant les locaux du renseignement néerlandais. Un âpre combat que racontait notamment le Washington Post en avril 2017.

Durant tout ce temps, APT29 ne s’est a priori pas douté qu’il était lui-même espionné. Accédant entre autres à l’infrastructure d’attaque, l’AIVD aurait pointé d’autant plus efficacement les serveurs C&C (Command & Control), permettant à la défense américaine de rompre le contact entre eux et le malware qui avait été précédemment implanté dans l’administration.

L’efficacité de la défense n’empêchera toutefois pas un faux email de partir du département d'État vers la Maison blanche. Un employé l’ouvrira et sera finalement redirigé vers un site malveillant copiant un authentique formulaire de connexion. Une attaque en chaine qui aurait permis à Cozy Bear de récupérer de nouvelles informations, notamment des emails circulant entre la Maison blanche et diverses ambassades.

Et il y a plus.

Des visages, des rencontres et des fuites

Toujours d’après ses sources anonymes, Volkskrant ajoute que l’AIVD avait accès à une caméra de sécurité située dans le bâtiment universitaire de la place Rouge. Le renseignement néerlandais aurait donc été en capacité d’observer qui travaillait dans une pièce particulière. Le média évoque un groupe dont « la composition varie », mais avec « en moyenne dix personnes actives » en permanence.

Tous les visages auraient évidemment été scannés puis comparés à la base des agents russes connus. On ne connait pas outre mesure le destin de ces informations, ni mêmes si elles ont été communiquées aux Américains. Car le renseignement, comme le pétrole, est une denrée précieuse qui peut faire l’objet d’échanges fructueux.

Rob Bertholee et Pieter Bindt, respectivement directeurs de l’AIVD et du MIDV (équivalent du premier au sein de l’armée), ont ainsi rencontré en 2016 James Claper, alors directeur national du renseignement américain, et Michael Rogers, directeur de la NSA. Le contenu de ces rencontres n’est pas connu, mais Volkskrant pense savoir qu’il s’agissait de négociations pour des échanges d’informations, les Pays-Bas étant par ailleurs récompensés (en technologie et renseignement).

Depuis l’attaque contre le DNC, l’ingérence russe reste sur toutes les lèvres. L’enquête est toujours en cours et, même en Europe, des chefs d’États n’hésitent plus à aborder le sujet, notamment Theresa May et Emmanuel Macron. Pour autant, Donald Trump s’est refusé jusqu’ici à faire de même, ayant notamment affirmé faire confiance à Vladimir Poutine.

Dans ce qui ressemble à un épisode de Homeland, Volkskrant pointe une frustration des services de renseignement face à un président niant une certaine évidence, expliquant les fuites régulières d’informations vers les médias américains. Pourtant, en dépit de son caractère « fiction », l’histoire racontée par Volkskrant recoupe des éléments que le Washington Post avait déjà obtenus : les États-Unis avaient été aidés par une puissance d’Europe de l’Ouest, qui avait pu fournir de très précieuses informations.

Et maintenant ?

Comme toujours avec le renseignement, les informations révélées sont parcellaires, sans même évoquer la volonté de ne les distribuer qu'au compte-goutte. Les éléments sont tout de même nombreux à se recouper. Le Wall Street Journal indiquait ainsi en novembre, citant lui aussi des sources anonymes, que le département américain de la Justice avait identifié six membres du gouvernement russe impliqués dans l’attaque contre le DNC.

Chez Bloomberg, on se demande désormais pourquoi, à la lumière des informations fournies par les médias néerlandais, il serait encore nécessaire de cacher ces informations. La requête est simple : donner les preuves au grand public qu’il existe un lien direct entre la Russie et l’attaque contre le DNC, plutôt que de s’attaquer à des entreprises comme Facebook et Twitter (même si l’un n’empêche clairement pas l’autre). Toujours selon Bloomberg, il serait tout aussi intéressant de comparer ces éléments avec ceux fournis par Wikileaks, l’organisation étant accusée d’avoir été instrumentalisée par le renseignement russe, qui n’aurait eu qu’à agiter de précieux renseignements.

Pour le grand public évidemment, la situation est très complexe, comme le montre le cas du pirate russe emprisonné en décembre. D’abord parce que la quantité d’informations ne fait qu’augmenter. Ensuite parce que les motivations de chaque source devraient être examinées de près : qui a communiqué quoi, comment et surtout pourquoi ?

En attendant, le ton monte contre la Russie, Kaspersky en ayant notamment fait les frais. Interrogé par le Washington Post, Dmitry Peskov, porte-parole de Vladimir Poutine, s’est montré sarcastique : « Si les journaux néerlandais veulent jeter de l’huile sur le feu de l’hystérie antirusse qui existe actuellement aux États-Unis, ce n’est pas la plus noble des occupations ». Du côté des AIVD et MIVD, personne n’a souhaité répondre.