Les agences de cybersécurité américaines et britanniques révèlent les méthodes de piratage russes

Les attaques par force brute impliquent la pulvérisation automatisée de sites grâce à l’utilisation de mots de passe potentiels qui finissent par permettre aux pirates d’en forcer l’accès. (Shutterstock).
Les attaques par force brute impliquent la pulvérisation automatisée de sites grâce à l’utilisation de mots de passe potentiels qui finissent par permettre aux pirates d’en forcer l’accès. (Shutterstock).
Short Url
Publié le Vendredi 02 juillet 2021

Les agences de cybersécurité américaines et britanniques révèlent les méthodes de piratage russes

  • Le directeur de la cybersécurité de la National Security Agency (NSA), Rob Joyce, déclare que la campagne est «probablement en cours à l'échelle mondiale»
  • L'ambassade de Russie à Washington dément l'implication d'agences gouvernementales russes dans des cyberattaques contre des agences gouvernementales américaines

WASHINGTON (Reuters): Les agences américaines et britanniques ont divulgué jeudi dernier les détails des méthodes de «force brute» qui, selon elles, ont été utilisées par les services de renseignement russes pour tenter de pénétrer dans les services cloud de centaines d'agences gouvernementales, de sociétés énergétiques et d'autres organisations.

Un avis publié par l'Agence de sécurité nationale des États-Unis précise que ces attaques ont été menées par des agents qui seraient liés au GRU, le service de renseignement militaire russe, qui a déjà été mêlé à des cyberattaques importantes à l'étranger ainsi qu’à des actions qui avaient pour objectif de perturber les élections américaines de 2016 et de 2020.

Dans un communiqué, le directeur de la cybersécurité de la National Security Agency (NSA), Rob Joyce, déclare que la campagne est «probablement en cours à l'échelle mondiale».

Les attaques par force brute impliquent la pulvérisation automatisée de sites grâce à l’utilisation de mots de passe potentiels qui finissent par permettre aux pirates d’en forcer l’accès. L'avis exhorte les entreprises à adopter des méthodes de bon sens préconisées depuis longtemps par les experts: une «cyberhygiène» qui comprend l'utilisation, par exemple, de l'authentification multifactorielle (fait d’identifier un utilisateur en validant au moins deux éléments qui garantissent son identité, NDLR) et de mots de passe forts.

Publié alors que déferle une vague dévastatrice d'attaques de logiciels d’extorsion contre des gouvernements et des infrastructures phares, l'avis ne révèle pas l’identité précise des cibles de la campagne ni son objectif présumé; il se borne à préciser que les pirates ont visé des centaines d'organisations dans le monde.

La NSA affirme que des agents liés au GRU ont tenté de pénétrer dans les réseaux à l'aide de l’application Kubernetes, un outil open source développé à l'origine par Google et destiné à gérer les services cloud, au moins depuis la seconde moitié de l’année 2019 et jusqu'au début de cette année. Alors qu'une «majorité» des tentatives d'effraction ciblait des organisations qui utilisaient les services cloud 365 de Microsoft Office, les pirates se sont également attaqués à d'autres fournisseurs de cloud et à des serveurs de messagerie, rapporte la NSA.

Les États-Unis accusent depuis longtemps la Russie d'utiliser et de tolérer des cyberattaques dans le but d’espionner, de faire circuler de fausses informations et de perturber des gouvernements et des infrastructures importantes.

L'ambassade de Russie à Washington dément «strictement», jeudi dernier, l'implication d'agences gouvernementales russes dans des cyberattaques contre des agences gouvernementales américaines ou des entreprises privées.

Dans un communiqué publié sur Facebook, l'ambassade précise: «Nous espérons que la partie américaine renoncera à cette pratique qui consiste à porter des accusations infondées et se concentrera sur un travail professionnel avec des experts russes pour renforcer la sécurité internationale de l'information.»

Joe Slowik, chargé d’analyser les menaces au sein de la société de surveillance de réseau Gigamon, indique en outre que l'activité décrite par la NSA jeudi dernier montre que la technique élaborée par le GRU pour s’introduire dans les réseaux est déjà répandue. Il précise que cela semble coïncider avec les rapports du ministère de l'Énergie sur les tentatives d'intrusion par force brute à la fin de 2019 et au début de 2020, qui ciblaient les secteurs de l'énergie et du gouvernement américains. Apparemment, ce dernier est au courant de ces pratiques depuis un certain temps.

Slowik explique que l'utilisation de Kubernetes «est certainement un peu singulière, même si, en soi, elle ne semble pas inquiétante». Il affirme que la méthode de la force brute et le mouvement latéral à l'intérieur des réseaux décrits par la NSA sont couramment utilisés par les pirates informatiques soutenus par l'État ainsi que par les gangs criminels de logiciels d’extorsion, qui permettent au GRU de se fondre avec d'autres acteurs.

John Hultquist, vice-président de la société Mandiant, spécialisée dans l’analyse de la cybersécurité, qualifie l'activité décrite dans l'avis de «collecte de routine contre les décideurs politiques, les diplomates, l'armée et l'industrie de la défense».

«Cela permet de rappeler que le GRU reste une menace imminente, ce qui est particulièrement important compte tenu des prochains Jeux olympiques, un événement qu'il pourrait bien tenter de perturber», fait savoir Hultquist dans un communiqué.

Le FBI et la Cybersecurity and Infrastructure Security Agency ont suivi ce conseil, tout comme le National Cyber Security Center de Londres.

Ce n’est pas la première fois que des responsables américains relient le GRU à une série de piratages.

En 2018, le bureau du conseil spécial Robert Mueller avait ainsi inculpé douze officiers du renseignement militaire en raison d’un piratage de courriels du Parti démocrate. Ces messages avaient été ensuite publiés par WikiLeaks dans le but de nuire à la campagne présidentielle de Hillary Clinton et de favoriser la candidature de Donald Trump.

Plus récemment, durant l'automne dernier, le ministère de la Justice a fait savoir que des accusations ont été portées contre des agents du GRU dans le cadre des cyberattaques qui visaient une élection présidentielle française, les Jeux olympiques d'hiver, en Corée du Sud, et des entreprises américaines.

Contrairement au Service des renseignements extérieurs de la fédération de Russie (SVR), dénoncée pour la campagne de piratage de SolarWinds, qui veille à ne pas être détectée dans ses cyberopérations, le GRU a mené les cyberattaques les plus dévastatrices jamais enregistrées. L’une d’elles a été menée sur le réseau électrique ukrainien; une autre a causé plus de 10 milliards de dollars (1 dollar = 0,85 euro) de pertes dans le monde en 2017 via le virus NotPetya.

Des agents du GRU ont également été impliqués dans la propagation de la désinformation liée à la pandémie du coronavirus, selon des responsables américains. En outre, une évaluation du renseignement américain, au mois de mars dernier, indique que le GRU a essayé de surveiller des personnes impliquées dans la politique américaine en 2019 et en 2020 et qu’il a organisé une campagne d’hameçonnage contre des auxiliaires de la société énergétique ukrainienne Burisma. Ces derniers étaient susceptibles de recueillir des informations préjudiciables au président américain, Joe Biden, dont le fils avait siégé au conseil d'administration de Burisma.

Au mois d’avril, l'administration Biden a sanctionné la Russie après l'avoir liée à l'ingérence électorale et à la violation de SolarWinds.


Witkoff et Kushner à Doha, pas de pourparlers directs entre américains et iraniens

Le Premier ministre du Qatar, le cheikh Mohammed bin Abdulrahman Al-Thani. (AFP)
Le Premier ministre du Qatar, le cheikh Mohammed bin Abdulrahman Al-Thani. (AFP)
  • Accusant Téhéran d'avoir ciblé deux navires la semaine dernière, les Etats-Unis ont annoncé dimanche avoir bombardé le pays en retour
  • En réponse, l'Iran a ciblé deux de ses voisins du Golfe, le Koweït et Bahreïn

DOHA: Une délégation iranienne doit rencontrer des médiateurs mercredi à Doha dans le cadre des négociations avec Washington pour mettre fin à la guerre, selon les autorités iraniennes qui soulignent leur refus de négociations directes avec les Etats-Unis.

Des émissaires américains sont arrivés mardi à Doha pour des discussions sur l'Iran avec des médiateurs qataris.

L'Iran a lui aussi annoncé l'envoi cette semaine d'une délégation au Qatar, mais exclu tout contact direct avec les responsables américains, après des échanges de frappes qui ont menacé de faire voler en éclats la trêve.

Voici ce que l'on sait de la situation:

Witkoff et Kushner à Doha 

Les émissaires américains Steve Witkoff et Jared Kushner, hommes de confiance du président Donald Trump, sont arrivés à Doha pour discuter avec des responsables qataris de l'Iran et de la situation au Liban, a déclaré le porte-parole du ministère des Affaires étrangères du Qatar, Majed al-Ansari.

"A ma connaissance, aucune rencontre directe n'est programmée entre les deux parties (américaine et iranienne) dans les prochains jours", a-t-il néanmoins ajouté.

Lundi, Donald Trump avait laissé entendre que des discussions entre Washington et Téhéran devaient se tenir mardi. "L'Iran a demandé une réunion. Elle aura lieu demain (mardi) à Doha", avait-il affirmé.

Après avoir d'abord démenti toute réunion, la diplomatie iranienne a confirmé lundi l'envoi d'une "délégation d'experts" cette semaine à Doha, menée par le vice-ministre des Affaires étrangères Kazem Gharibabadi. Une première réunion est prévue avec les médiateurs mercredi selon le porte-parole du ministère des Affaires étrangères, Esmaïl Baghaï.

Mais "dans les prochains jours, nous ne négocierons pas avec la partie américaine, à aucun niveau", a-t-il insisté.

Les Etats-Unis et l'Iran se sont à plusieurs reprises contredits depuis le début des discussions ayant abouti le 17 juin à la signature d'un protocole d'accord pour mettre fin à la guerre au Moyen-Orient, avec des négociations se matérialisant subitement alors que la situation semblait dans l'impasse.

Ormuz, le nœud gordien 

Un diplomate au fait des pourparlers a déclaré à l'AFP que des "équipes techniques" américaines et iraniennes devaient se rencontrer pour parler de "la mise en œuvre du protocole d'accord" conclu entre les deux pays.

"Les canaux de communication pour désamorcer les incidents sont opérationnels", a-t-il ajouté.

Si la signature du pacte entre Washington et Téhéran a permis de réduire l'intensité du conflit, d'importantes tensions existent autour de la gestion du stratégique détroit d'Ormuz, où le trafic a ralenti ce weekend après deux attaques de navires.

Au total, 29 bateaux transportant des matières premières ont franchi le détroit samedi et 12 dimanche, selon les données de la société de suivi maritime Kpler, un chiffre en net recul par rapport aux jours précédents.

L'Iran répète depuis des semaines vouloir imposer un droit de passage sous une forme ou une autre, une mesure jugée inacceptable par les Etats-Unis.

Depuis la levée du blocus ayant suivi le protocole d'accord avec les Etats-Unis, l'Iran a exporté "plus de 40 millions de barils de pétrole, a déclaré le chef de l'équipe de négociation Mohammad Bagher Ghalibaf lors d'une interview diffusée mardi soir à la télévision d'Etat.

En revanche, durant les 50 à 60 jours précédents, "nous avions été dans l'impossibilité totale d'exporter ne serait-ce qu'un seul baril de pétrole", a-t-il observé.

Reflétant les incertitudes sur les discussions entre les Etats-Unis et l'Iran, le prix du brut progressait mercredi. Vers 01H50 GMT, le Brent de la mer du Nord, référence du marché mondial, montait de 0,32% à 73,18 dollars.

L'Iran prêt pour le dialogue et la guerre  

Accusant Téhéran d'avoir ciblé deux navires la semaine dernière, les Etats-Unis ont annoncé dimanche avoir bombardé le pays en retour. En réponse, l'Iran a ciblé deux de ses voisins du Golfe, le Koweït et Bahreïn.

La situation semble depuis s'être apaisée sur le plan militaire, même si le chef de l'équipe de négociation iranienne Mohammad Bagher Ghalibaf a encore répété que l'Iran se tenait prêt pour "la guerre" - tout en privilégiant "le dialogue".

Au Liban, que Téhéran avait exigé d'inclure dans les pourparlers avec les Etats-Unis, Israël a poursuivi ses frappes ces derniers jours, malgré la signature vendredi à Washington d'un accord-cadre pour une "paix durable".

L'accord-cadre prévoit notamment qu'Israël continue d'occuper le sud du Liban, comme depuis le début de cette nouvelle guerre contre le Hezbollah, jusqu'à ce que le mouvement chiite soutenu par l'Iran rende les armes - ce qu'il refuse de faire.

Une exigence de longue date, que le gouvernement libanais peine à mettre en œuvre malgré la pression des Etats-Unis.

Le Liban a été entraîné dans le conflit le 2 mars, quand le Hezbollah a visé le nord d'Israël en soutien à l'Iran, visé par l'offensive américano-israélienne. Israël a riposté en jurant d'"éliminer" le mouvement, et déployé ses troupes dans le sud. Ses frappes ont depuis fait plus de 4.200 morts, selon Beyrouth.


Pas de négociation directe entre l'Iran et les Etats-Unis à Doha, selon le Qatar

  • "M. Steve Witkoff et M. Jared Kushner sont ici à Doha pour rencontrer des médiateurs et des responsables qataris, et les discussions porteront sur l'ensemble des questions régionales (...) y compris, bien sûr, les négociations avec l'Iran, mais aussi le L
  • "Ils ne sont pas ici pour leurs négociations avec les Iraniens"

DOHA: Le Qatar, un des pays médiateurs dans le conflit Iran/Etats-Unis, a affirmé mardi qu'aucune discussion directe n'était prévue dans les jours à venir à Doha, où Washington a envoyé ses émissaires pour des réunions avec des médiateurs.

Les deux camps avaient annoncé l'envoi de responsables au Qatar pour avancer après la signature mi-juin d'un protocole d'accord visant à mettre fin à la guerre au Moyen-Orient sur tous les fronts, y compris au Liban.

"M. Steve Witkoff et M. Jared Kushner sont ici à Doha pour rencontrer des médiateurs et des responsables qataris, et les discussions porteront sur l'ensemble des questions régionales (...) y compris, bien sûr, les négociations avec l'Iran, mais aussi le Liban", a déclaré Majed Al Ansari, porte-parole du ministère des Affaires étrangères du Qatar.

"Ils ne sont pas ici pour leurs négociations avec les Iraniens", a-t-il précisé. Par ailleurs, selon lui, "aucune rencontre directe n'est programmée entre les deux parties dans les prochains jours" ni aucune "réunion de haut niveau".

Côté iranien, une "délégation technique effectue des allers-retours à Doha en fonction de l'avancée des négociations. Il n'y a actuellement aucune délégation de haut niveau sur place", a ajouté le porte-parole.

Les discussions techniques portent sur des points du dossier nucléaire, des questions économiques, de performance de l'Etat ou sur la sécurité, a énuméré Majed Al Ansari.

Le Qatar a d'abord refusé de prendre le rôle de médiateur, après avoir été la cible de tirs iraniens en représailles aux frappes américano-israéliennes contre l'Iran. Mais depuis plusieurs semaines, il joue un rôle plus actif dans les négociations auprès du Pakistan, autre pays médiateur.


Hostilités en pause entre Téhéran et Washington, réunions annoncées au Qatar

Un avion de chasse F-16 de l’US Air Force patrouille dans le ciel au-dessus du Moyen-Orient. (Central Command)
Un avion de chasse F-16 de l’US Air Force patrouille dans le ciel au-dessus du Moyen-Orient. (Central Command)
  • L’Iran et les États-Unis prévoient des échanges au Qatar, mais Téhéran exclut toute négociation directe
  • Tensions persistantes autour du détroit d’Ormuz après des attaques et un ralentissement du trafic maritime

WASHINGTON: L'Iran et les Etats-Unis ont annoncé lundi des réunions cette semaine au Qatar après leurs attaques des derniers jours, mais Téhéran évoque des rencontres techniques sans négociations directes avec le camp adverse quand Washington parle de "réunions de haut niveau".

Les deux camps ont décidé, selon un responsable américain, de cesser leurs attaques, menées en dépit de la signature d'un protocole d'accord à la mi-juin pour mettre fin au conflit au Moyen-Orient.

Et le président américain a écrit sur son réseau Truth Social: "L'IRAN A DEMANDE UNE REUNION. ELLE AURA LIEU DEMAIN (mardi) A DOHA !".

Peu après, la porte-parole de la Maison Blanche Karoline Leavitt a annoncé sur Fox News que les émissaires Steve Witkoff et Jared Kushner se rendraient sur place "cette semaine pour participer à des réunions de haut niveau".

D'après CNN, qui cite deux responsables américains, Steve Witkoff est déjà en route pour Doha.

Un diplomate au fait des pourparlers a confirmé à l'AFP une rencontre "ces prochains jours des équipes techniques", ajoutant que "les canaux de communication pour désamorcer les incidents étaient opérationnels".

- Tensions autour d'Ormuz -

Après avoir d'abord démenti toute réunion, la diplomatie iranienne a confirmé lundi l'envoi d'une "délégation d'experts" cette semaine à Doha. Mais "dans les prochains jours, nous ne négocierons pas avec la partie américaine, à aucun niveau", a insisté le porte-parole du ministère des Affaires étrangères, Esmaïl Baghaï.

Les tensions se cristallisent autour de la gestion du stratégique détroit d'Ormuz, où le trafic a ralenti ce week-end après deux attaques de navires.

Au total, 29 bateaux transportant des matières premières ont franchi le détroit samedi et 12 dimanche, selon les données de la société de suivi maritime Kpler, un chiffre en net recul par rapport aux jours précédents.

L'Iran répète depuis des semaines en dépit de l'opposition des Etats-Unis qu'il n'y aura pas de retour à la situation d'avant-guerre, quand le passage était gratuit. Et il a menacé les navires tentés de contourner l'itinéraire autorisé.

Accusant Téhéran d'avoir ciblé deux navires la semaine dernière, les Etats-Unis ont bombardé le pays en retour, et l'Iran a ciblé ses voisins du Golfe, Koweït et Bahreïn.

De quoi fragiliser le protocole d'accord signé le 17 juin entre Téhéran et Washington.

- Frais de service -

L'Iran et Oman revendiquent leur souveraineté sur le transit dans le détroit et envisagent donc des frais de service. Pourtant la Convention des Nations unies sur le droit de la mer, non ratifiée par Téhéran, garantit la liberté de navigation "sans entrave" des navires dans les détroits servant à la navigation internationale.

Verrouillé par la République islamique pendant la guerre lancée le 28 février par Israël et les Etats-Unis, cette voie maritime cruciale pour le commerce mondial d'hydrocarbures a rouvert peu après la signature du protocole d'accord.

Téhéran n'autorise cependant qu'un seul couloir de passage, le long de ses côtes.

Oman entretient de son côté le flou et a annoncé l'ouverture d'une voie de navigation alternative temporaire, présentée comme une initiative concertée avec l'ONU pour évacuer les marins et navires bloqués.

Le sultan d'Oman, Haïtham ben Tariq, et le président français Emmanuel Macron ont plaidé lundi pour une "navigation libre, sans conditions ni restrictions" et convenu d'y mener des "opérations de déminage conjointes". Ce à quoi la diplomatie iranienne a répondu en sommant la France de ne pas "compliquer davantage" la situation.

- "Détermination" -

Au Liban, que Téhéran avait exigé d'inclure dans les pourparlers avec les Etats-Unis, Israël a poursuivi ses frappes ce week-end, malgré la signature vendredi à Washington d'un accord-cadre pour une "paix durable".

Selon un média d'Etat libanais, une frappe israélienne a encore eu lieu lundi dans le sud du pays.

L'accord-cadre prévoit notamment qu'Israël continue à occuper le sud du Liban, comme depuis le début de cette nouvelle guerre contre le Hezbollah, jusqu'à ce que le mouvement chiite soutenu par l'Iran rende les armes.

Une exigence de longue date, que le gouvernement libanais peine à mettre en oeuvre malgré la pression des Etats-Unis.

Lundi, le président libanais Joseph Aoun a justement affiché sa "détermination" à asseoir l'autorité de l'Etat en déployant son armée jusqu'à la frontière avec Israël, dans une zone où le Hezbollah est implanté.

Le Liban a été entraîné dans le conflit le 2 mars, quand le Hezbollah a visé le nord d'Israël en soutien à son parrain iranien, visé par l'offensive américano-israélienne. Israël a riposté en jurant d'"éliminer" le mouvement, et déployé ses troupes dans le sud. Ses frappes ont depuis fait plus de 4.200 morts, selon Beyrouth.