Quelques
semaines après l'élection de Donald Trump, les agences américaines
de renseignement ont publié une synthèse sur le piratage du Parti
Démocrate par des hackers russes et la transmission à Wikileaks des
emails dérobés en vue de nuire à la campagne électorale de
Hillary Clinton. Malheureusement, la crédibilité de ce rapport fut
vite cannibalisée par la culture du secret et par les pesanteurs
stratégiques et industrielles de la cybersécurité et du
renseignement électronique.
Publié
en décembre 2016 par plusieurs services américains de sécurité
(FBI, CIA, DNI, DHS, US-CERT), le rapport Grizzly
Steppe était
d'abord et surtout un produit dérivé des conclusions de CrowdStrike
et de Fire Eye, firmes spécialisées dans la cybersécurité et
l'expertise informatique.
Ce document évoque « une activité cyber malicieuse russe », décrit quelques fondamentaux de la guerre d'information made in Russia, et compile des signatures de malwares génériques, des botnets, des fuseaux horaires, des adresses IP et des services Web (Tor, Google, Dropbox, Yahoo!) couramment utilisés par des hackers et des spammers du monde entier... et connus depuis belle lurette par les experts en sécurité informatique qui avaient hâte d'analyser de véritables « indicateurs de compromission » (indicators of compromise) caractérisant précisément
Ainsi,
le malware X-Agent utilisé
dans plusieurs opérations de piratage (Parti
Démocrate, Bundestag, TV5)
est présenté dans le rapport Grizzly Steppe comme une récente
fabrication des hackers russes FancyBear (alias
APT28 : partenaire potentiel du GRU, service russe de
renseignement militaire) et donc comme un élément de preuve à leur
encontre.
Or,
un malware « lâché dans la jungle numérique » par son
développeur est très souvent partagé, dérivé, personnalisé et
réutilisé à volonté par d'autres champions du code. Depuis 2015,
X-Agent est
disponible en
versions iOS/Android/Windows et constitue une matière première pour
les industries de la cybersécurité : expertise informatique,
édition d'antivirus, lutte informatique, etc.
En-deça
des affirmations du renseignement américain, les hackers russes
- agissant sous la houlette supposée du renseignement russe
(FSB, SVR, GRU) – ont eu recours à des malwares génériques
et à des tactiques classiques de hameçonnage pour
pénétrer les serveurs d'un Parti Démocrate très peu regardant sur
sa sécurité informatique, et de
facto exposé
en première ligne au hacker débutant ou au cybercriminel en quête
de données sensibles... et revendables au plus offrant.
Un
mode opératoire trop exclusif et une signature trop particulière
nuiraient à un anonymat « à ciel ouvert ». Il vaut
mieux emprunter et reconfigurer une Kalachnikov et un Glock bon
marché plutôt que des armes rares ou spécialisées, ceci afin de
donner du fil à retordre aux enquêteurs et de faire jaser experts,
journalistes, blogueurs, juristes et commissions parlementaires.
Pourtant,
les agences de renseignement américaines - notamment la NSA -
disposent de capacités extraordinaires offrant une visibilité
large, profonde et dynamique sur les réseaux informatiques (la
preuve par l'affaire Snowden ou le projet
Plan X),
en particulier sur ceux russes et chinois. Leurs outils peuvent
reconstituer les trajets des données dérobées sur les serveurs du
Parti Démocrate jusqu'à Wikileaks (aucunément mentionné dans le
rapport Grizzly Steppe !) via les hackers russes. Toutefois, ces
agences – et leurs homologues de par le monde - tiennent par-dessus
tout au secret de leurs procédés, de leurs modes opératoires, de
leurs relais techniques ou humains et de leurs connaissances.
Une élection houleuse et quelques hackers russes n'en valent pas la chandelle.
En effet, le rapport Grizzly Steppe ne livre aucune information technique afin « de ne pas révéler des sources ou méthodes qui pourraient mettre en péril notre capacité à collecter des renseignements essentiels dans le futur » (sic).
Pourquoi
le FBI, autorité de police judiciaire dotée des moyens du
renseignement et pourvue d'une Cyber Division et
de Computer Forensic Labs dignes de ce nom,
externalise-t-il l'expertise informatique aux firmes privées
Crowdstrike et Fire Eye (déjà sous contrat avec le Parti
Démocrate) ? N'est-ce pas étrange que le FBI n'ait
eu aucun accès physique aux serveurs piratés du Parti
Démocrate afin de mener à bien son expertise informatique ? La
cybersécurité d'une élection et des partis politiques n'est-elle
pas un enjeu critique de sécurité publique et nationale exigeant de
surcroît une enquête marquée du sceau de l'Etat ?
Les
partenaires privés du gouvernement fédéral, parfois trop soucieux
d'améliorer leur notoriété, peuvent également être victimes et
vecteurs de désinformation.
Afin de consolider la thèse d'une implication du GRU dans le piratage du Parti Démocrate, CrowdStrike a invoqué l'usage par Fancy Bear du malware X-Agent dans la dérivation d'une app Android, ensuite dédiée à la géolocalisation d'artilleurs de l'armée ukrainienne par des rebelles du Donbass et leurs alliés officieux de l'armée russe.
D'où
ce système d'équations à zéro inconnue, conformément aux
conclusions de CrowdStrike :
Fancy
Bear + X-Agent + Parti Démocrate = GRU
Fancy
Bear + X-Agent + Donbass = GRU
Fancy
Bear = GRU
Quelques
semaines plus tard, l'expert en cybersécurité Jeffrey
Carr révélait toute
la désinformation militaire entourant la narration de Crowdstrike au
sujet de Fancy Bear et son X-Agent en Ukraine. En gros, un partenaire
privé du renseignement américain a concocté un
séduisant storytelling autour
d'une intox en zone de guerre : l'application mobile de
géolocalisation "X-Agent
inside"
n'a jamais existé, les artilleurs ukrainiens piégés et tués non
plus.
En
réalité, des firmes de cybersécurité et d'expertise informatique
telles que CrowdStrike et Fire Eye réservent les juteux détails
techniques à leurs meilleurs clients qui sont le gouvernement
fédéral et les grandes ou moyennes entreprises abonnées à leurs
solutions intégrales (audit, veille & alerte sécurité,
investigation, etc), et ce, afin de protéger leurs secrets
industriels et de préserver leur compétitivité. Les commissions
parlementaires et le grand public sont consolés avec des faisceaux
d'indices, des white papers, des brochures conviviales,
et des noms de codes à la sauce cyberpunk : Grizzly Steppe,
APT28, APT29, FancyBear, CozyBear...
Ces
divers handicaps informationnels et stratégiques n'ont certainement
pas échappé à l'oeil de Moscou. L'Amérique aura beau aboyer et
menacer, la Russie ne fera que nier ou se taire, faute de preuves
solides et irréfutables.
Néanmoins, gardons à l'esprit que le hacking (et/ou le renseignement électronique) est un sport international pratiqué par tous contre tous à des fins de documentation, d'espionnage, de surveillance, de planification stratégique/tactique, avec des coûts et risques relativement faibles. Il revient à chaque puissance de passer pour un acteur neutre, bienveillant et/ou protecteur, de garder autant que possible le silence sur ses innovations, ses vulnérabilités, ses mésaventures et ses exploits... et d'endosser avec brio le rôle de la victime.
Au
final, la synthèse du renseignement américain sur le piratage du
Parti Démocrate a été dépouillée de sa substance à cause de
contraintes stratégiques et d'inerties industrielles imprégnant les
enjeux de cybersécurité, et a suscité encore plus de mystères,
d'incertitudes et de spéculations. Il a également pâti de la
médiocre et tonitruante communication de l'administration sortante
Obama, de divergences mineures entre agences de renseignement ("minor
disagreements among intelligence officials about the agency's
assessement"),
des antécédents de la CIA (ingérences
électorales à l'étranger,
armes de destruction disparition
massive en Irak, rapport sur la torture), et ne pouvait revivre qu'à travers un imbroglio
d'agendas politiques.
L'élection
de Donald Trump et la crise post-électorale aux Etats-Unis
doivent-elles pour autant à la main invisible de Vladimir Poutine ?
Les succès électoraux de mouvements populistes ou
ultra-conservateurs en Europe - peu ou prou eurosceptiques et
favorables à un rapprochement avec la Russie – relèvent-ils
forcément d'une longue et basse œuvre de Moscou ? Qu'en est-il
des évolutions politiques, socioéconomiques et technologiques au
coeur de l'Amérique et de l'Europe ? Les observateurs occidentaux
prêteraient-ils des super-pouvoirs au maître du Kremlin, aux médias
et aux hackers venus du froid ?
Entre
culture du secret, course à l'information-spectacle, batailles
d'égos, guerres d'influence et confrontation géostratégique, la
vérité est ailleurs.
« Tout
ce que nous voyons est un secret d'Etat. Si c'est une illusion, c'est
un secret d'Etat. Et même si ça ne marche pas, et que ça ne
marchera jamais, c'est un secret d'Etat. Et si c'est un mensonge du
début à la fin, alors c'est le plus grand des secrets
d'Etat. » | John le Carré, La Maison
Russie
Aucun commentaire:
Enregistrer un commentaire