Piratage, espionnage, infiltration... Comment certains Etats profitent de la pandémie pour mener des cyberattaques mondiales

Malgré le Covid-19, des Etats ont continué à mener des campagnes de piratage informatique pour récupérer des informations politiques et économiques sensibles. La France se protège, mais se sait menacée.

De l’énergie à l’administration en passant par l’hôpital, nombreux sont les secteurs d’activité touchés par des attaques informatiques en 2021, le plus souvent en échange de rançons. Mais d’autres cyberattaques ont lieu dans l’ombre car elles visent à récolter des informations stratégiques plutôt que de l’argent. Et elles n’obéissent pas à des groupes criminels, mais à des Etats.

De nombreux pays continuent en effet d’utiliser le cyberespace comme terrain de chasse, pour mener des opérations d’espionnage ou de sabotage. Sans avoir connu la même explosion que les attaques par rançongiciel, elles ont, elles aussi, profité de la pandémie de Covid-19 pour réaliser certaines des pires attaques informatiques de l’histoire. Et la France n’est pas épargnée.

Des attaques difficiles à attribuer

En décembre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a révélé que des entités françaises avaient été ciblées par deux campagnes de piratage en 2021. Les noms des groupes désignés comme responsables, Nobelium et APT 31, ne sont pas très évocateurs. Mais chez les professionnels, il y a peu de doute sur leurs commanditaires : il s’agirait respectivement de la Russie et de la Chine.

« Les rançongiciels ont un côté ‘whaou’ parce que les effets sont visibles et immédiats », résume David Grout, directeur technique en Europe pour la société de cybersécurité Mandiant, interrogé par franceinfo.

Mais les acteurs les plus dangereux, ce sont ceux qui veulent passer sous les radars, pour faire de l’espionnage stratégique ou économique."

David Grout, spécialiste en cybersécurité

à franceinfo

Ces actions couvertes, souvent menées par des groupes qui travaillent pour des Etats, ont un nom : les « menaces persistantes avancées » (APT en anglais). La plupart sont associés au « Big Four » des Etats « pirates » : Russie, Chine, Iran et Corée du Nord.

Il est difficile d’attribuer une attaque à un groupe – et encore plus à un Etat. Il faut que des signes caractéristiques reviennent sur plusieurs offensives : le même mode opératoire, la même signature, le même objectif… Et quand un groupe est identifié, « les Etats brouillent les pistes : l’attaquant peut être directement intégré aux services de renseignement, jouer le rôle de prestataire, être soutenu ou juste toléré », explique Julien Nocetti, chercheur associé à l’Institut français des relations internationales.

Un contexte propice aux piratages

Le début de la crise sanitaire a eu un effet plutôt inattendu sur ces attaques. « On a constaté que quand les confinements stricts étaient mis en place, un certain nombre de groupes arrêtaient complètement leur activité », constate David Grout, pour qui les pirates se sont tout simplement retrouvés confinés loin de leur matériel.

Mais ils ont rapidement repris du service, en profitant des faiblesses révélées par la généralisation du télétravail. « Le télétravail a exposé directement à internet des appareils jusqu’ici protégés par le réseau de leur entreprise ou leur administration », remarque Laurent Celerier, vice-président de Orange Cyberdefense. Multiplier les points d’étape (VPN, outils utilisables à distance comme Office 365…), c’est multiplier les portes d’entrée potentielles pour les pirates.

Ils se sont empressés d’exploiter des failles découvertes par d’autres, comme Log4Shell, une des vulnérabilités les plus importantes de l’histoire rendue publique en décembre et qui concerne des millions d’appareils. Mais pas besoin d’être très sophistiqué pour pirater une entreprise : les APT utilisent souvent des techniques de hameçonnage, qui consistent à envoyer un e-mail contenant un lien piégé à un employé pour récupérer des codes d’accès.

Pour ces pirates liés à des Etats, l’activité dépend aussi des tensions géopolitiques. D’après un rapport de la branche cybersécurité de Microsoft, la Russie a multiplié les attaques informatiques contre l’Ukraine depuis juin 2020, attaques qui accompagnent une escalade militaire importante. La guerre informatique entre Israël et l’Iran se serait également intensifiée ces derniers mois, avec des attaques contre des sites de rencontre LGBT, des hôpitaux et même le système de distribution d’essence de Téhéran.

De nouvelles cibles pour les hackers

Ces pirates ont également profité de la pandémie pour continuer à mettre à jour leurs stratégies. Plutôt que de forcer les serrures une par une, les APT attaquent de plus en plus le « serrurier », le fournisseur de services qui possède les clés vers les systèmes de milliers de clients. En attaquant l’entreprise de services informatiques SolarWinds début 2020, le groupe russe Nobelium a été capable d’infiltrer près de 18 000 entités, dont plusieurs agences fédérales américaines. Un autre piratage massif, celui de Microsoft Exchange par un groupe connecté à la Chine en janvier 2021, reposait sur le même principe.

Ces APT sont devenus plus complexes et leur identification plus difficile.

« Avant, les pirates qui travaillaient pour des administrations avaient une méthode et même des horaires fixes. Aujourd’hui, on a de plus en plus de freelances qui lancent des attaques pour une unité de renseignement, puis pour un autre, puis pour eux-mêmes… »

David Grout, spécialiste en cybersécurité

à franceinfo

Certains utilisent par exemple des outils open source librement disponibles sur internet, ce qui réduit les chances de laisser une signature propre.

Les attaques visent également de nouvelles cibles, notamment les ONG. "La motivation est souvent financière, nuance Stéphane Duguin, directeur du centre CyberPeace Institute. Mais elles font évidemment des cibles très intéressantes pour les Etats, grâce aux informations qu’elles possèdent, la liste des bénéficiaires qu’elles soutiennent…"

La France se sait menacée

La France n’est pas épargnée par ces attaques informatiques. D’après les entreprises de cybersécurité interrogées par franceinfo, ses principaux attaquants seraient Moscou et Pékin. « La Russie est très active sur les questions géopolitiques, pour récupérer des informations qui serviront dans les négociations internationales, notamment sur l’Otan ou l’Europe de l’Est », résume David Grout. La Chine, quant à elle, serait plus intéressée par les informations économiques pour gagner des parts de marché, par exemple dans l’industrie pharmaceutique ou l’énergie.

La France ne désigne pas de responsables publiquement en cas d’attaque, contrairement aux Etats-Unis. « Elle considère que ça empêcherait le dialogue, alors elle passe par des canaux diplomatiques plus discrets », explique Alix Desforges, chercheuse au centre Géode. Mais depuis quelques années, elle s’autorise à accuser des groupes dont les liens avec des Etats sont connus, comme APT 31 ou Nobelium.

D’après les spécialistes interrogés par franceinfo, la France a plutôt bien pris conscience du danger. Les cibles potentielles se sont adaptées à la menace, d’après Timothée Crespe, responsable Tech & Cyber chez le courtier en assurance Aon France : « Les entreprises n’ont pas toutes progressé à la même vitesse, mais aujourd’hui, elles sont presque aussi bien protégées en télétravail qu’en présentiel. »

« Le risque zéro n’existe pas, mais la France est plutôt en avance », jusqu’à inspirer les réglementations européennes, affirme Laurent Celerier. Le pays se sait menacé : le contexte géopolitique en fait une cible de choix. « Il y a l’élection présidentielle, la présidence française de l’Union européenne, on organise bientôt la Coupe du monde de rugby et les Jeux olympiques… Certains pourraient avoir intérêt à cibler l’Etat, ou les industries qui tournent autour de ces événements », prédit David Grout.

En savoir plus …