Les agences de cybersécurité américaines et britanniques révèlent les méthodes de piratage russes

Les attaques par force brute impliquent la pulvérisation automatisée de sites grâce à l’utilisation de mots de passe potentiels qui finissent par permettre aux pirates d’en forcer l’accès. (Shutterstock).
Les attaques par force brute impliquent la pulvérisation automatisée de sites grâce à l’utilisation de mots de passe potentiels qui finissent par permettre aux pirates d’en forcer l’accès. (Shutterstock).
Short Url
Publié le Vendredi 02 juillet 2021

Les agences de cybersécurité américaines et britanniques révèlent les méthodes de piratage russes

  • Le directeur de la cybersécurité de la National Security Agency (NSA), Rob Joyce, déclare que la campagne est «probablement en cours à l'échelle mondiale»
  • L'ambassade de Russie à Washington dément l'implication d'agences gouvernementales russes dans des cyberattaques contre des agences gouvernementales américaines

WASHINGTON (Reuters): Les agences américaines et britanniques ont divulgué jeudi dernier les détails des méthodes de «force brute» qui, selon elles, ont été utilisées par les services de renseignement russes pour tenter de pénétrer dans les services cloud de centaines d'agences gouvernementales, de sociétés énergétiques et d'autres organisations.

Un avis publié par l'Agence de sécurité nationale des États-Unis précise que ces attaques ont été menées par des agents qui seraient liés au GRU, le service de renseignement militaire russe, qui a déjà été mêlé à des cyberattaques importantes à l'étranger ainsi qu’à des actions qui avaient pour objectif de perturber les élections américaines de 2016 et de 2020.

Dans un communiqué, le directeur de la cybersécurité de la National Security Agency (NSA), Rob Joyce, déclare que la campagne est «probablement en cours à l'échelle mondiale».

Les attaques par force brute impliquent la pulvérisation automatisée de sites grâce à l’utilisation de mots de passe potentiels qui finissent par permettre aux pirates d’en forcer l’accès. L'avis exhorte les entreprises à adopter des méthodes de bon sens préconisées depuis longtemps par les experts: une «cyberhygiène» qui comprend l'utilisation, par exemple, de l'authentification multifactorielle (fait d’identifier un utilisateur en validant au moins deux éléments qui garantissent son identité, NDLR) et de mots de passe forts.

Publié alors que déferle une vague dévastatrice d'attaques de logiciels d’extorsion contre des gouvernements et des infrastructures phares, l'avis ne révèle pas l’identité précise des cibles de la campagne ni son objectif présumé; il se borne à préciser que les pirates ont visé des centaines d'organisations dans le monde.

La NSA affirme que des agents liés au GRU ont tenté de pénétrer dans les réseaux à l'aide de l’application Kubernetes, un outil open source développé à l'origine par Google et destiné à gérer les services cloud, au moins depuis la seconde moitié de l’année 2019 et jusqu'au début de cette année. Alors qu'une «majorité» des tentatives d'effraction ciblait des organisations qui utilisaient les services cloud 365 de Microsoft Office, les pirates se sont également attaqués à d'autres fournisseurs de cloud et à des serveurs de messagerie, rapporte la NSA.

Les États-Unis accusent depuis longtemps la Russie d'utiliser et de tolérer des cyberattaques dans le but d’espionner, de faire circuler de fausses informations et de perturber des gouvernements et des infrastructures importantes.

L'ambassade de Russie à Washington dément «strictement», jeudi dernier, l'implication d'agences gouvernementales russes dans des cyberattaques contre des agences gouvernementales américaines ou des entreprises privées.

Dans un communiqué publié sur Facebook, l'ambassade précise: «Nous espérons que la partie américaine renoncera à cette pratique qui consiste à porter des accusations infondées et se concentrera sur un travail professionnel avec des experts russes pour renforcer la sécurité internationale de l'information.»

Joe Slowik, chargé d’analyser les menaces au sein de la société de surveillance de réseau Gigamon, indique en outre que l'activité décrite par la NSA jeudi dernier montre que la technique élaborée par le GRU pour s’introduire dans les réseaux est déjà répandue. Il précise que cela semble coïncider avec les rapports du ministère de l'Énergie sur les tentatives d'intrusion par force brute à la fin de 2019 et au début de 2020, qui ciblaient les secteurs de l'énergie et du gouvernement américains. Apparemment, ce dernier est au courant de ces pratiques depuis un certain temps.

Slowik explique que l'utilisation de Kubernetes «est certainement un peu singulière, même si, en soi, elle ne semble pas inquiétante». Il affirme que la méthode de la force brute et le mouvement latéral à l'intérieur des réseaux décrits par la NSA sont couramment utilisés par les pirates informatiques soutenus par l'État ainsi que par les gangs criminels de logiciels d’extorsion, qui permettent au GRU de se fondre avec d'autres acteurs.

John Hultquist, vice-président de la société Mandiant, spécialisée dans l’analyse de la cybersécurité, qualifie l'activité décrite dans l'avis de «collecte de routine contre les décideurs politiques, les diplomates, l'armée et l'industrie de la défense».

«Cela permet de rappeler que le GRU reste une menace imminente, ce qui est particulièrement important compte tenu des prochains Jeux olympiques, un événement qu'il pourrait bien tenter de perturber», fait savoir Hultquist dans un communiqué.

Le FBI et la Cybersecurity and Infrastructure Security Agency ont suivi ce conseil, tout comme le National Cyber Security Center de Londres.

Ce n’est pas la première fois que des responsables américains relient le GRU à une série de piratages.

En 2018, le bureau du conseil spécial Robert Mueller avait ainsi inculpé douze officiers du renseignement militaire en raison d’un piratage de courriels du Parti démocrate. Ces messages avaient été ensuite publiés par WikiLeaks dans le but de nuire à la campagne présidentielle de Hillary Clinton et de favoriser la candidature de Donald Trump.

Plus récemment, durant l'automne dernier, le ministère de la Justice a fait savoir que des accusations ont été portées contre des agents du GRU dans le cadre des cyberattaques qui visaient une élection présidentielle française, les Jeux olympiques d'hiver, en Corée du Sud, et des entreprises américaines.

Contrairement au Service des renseignements extérieurs de la fédération de Russie (SVR), dénoncée pour la campagne de piratage de SolarWinds, qui veille à ne pas être détectée dans ses cyberopérations, le GRU a mené les cyberattaques les plus dévastatrices jamais enregistrées. L’une d’elles a été menée sur le réseau électrique ukrainien; une autre a causé plus de 10 milliards de dollars (1 dollar = 0,85 euro) de pertes dans le monde en 2017 via le virus NotPetya.

Des agents du GRU ont également été impliqués dans la propagation de la désinformation liée à la pandémie du coronavirus, selon des responsables américains. En outre, une évaluation du renseignement américain, au mois de mars dernier, indique que le GRU a essayé de surveiller des personnes impliquées dans la politique américaine en 2019 et en 2020 et qu’il a organisé une campagne d’hameçonnage contre des auxiliaires de la société énergétique ukrainienne Burisma. Ces derniers étaient susceptibles de recueillir des informations préjudiciables au président américain, Joe Biden, dont le fils avait siégé au conseil d'administration de Burisma.

Au mois d’avril, l'administration Biden a sanctionné la Russie après l'avoir liée à l'ingérence électorale et à la violation de SolarWinds.


Russie: le suicide apparent d'un ministre sème la peur au sein de l'élite

Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin. (AFP)
Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin. (AFP)
Short Url
  • Si les circonstances de la mort de Roman Starovoït, âgé de 53 ans, restent floues, les médias russes ont évoqué une enquête pour corruption le visant, assurant qu'il devait être arrêté prochainement
  • Limogé par le président Vladimir Poutine, il s'est probablement donné la mort, selon les premiers résultats de l'enquête, qui est en cours

SAINT-PETERSBOURG: Le suicide probable du ministre russe des Transports, Roman Starovoït, annoncé peu après son limogeage lundi par Vladimir Poutine sur fond d'allégations de corruption, a profondément choqué l'élite politique, où chacun redoute de faire les frais de la chasse aux profiteurs.

Ses funérailles ont eu lieu vendredi dans un cimetière de Saint-Pétersbourg en présence de sa famille et de collègues, mais en l'absence de M. Poutine qui n'a pas non plus participé à la cérémonie d'adieu jeudi.

Si les circonstances de la mort de Roman Starovoït, âgé de 53 ans, restent floues, les médias russes ont évoqué une enquête pour corruption le visant, assurant qu'il devait être arrêté prochainement.

Limogé par le président Vladimir Poutine, il s'est probablement donné la mort, selon les premiers résultats de l'enquête, qui est en cours.

"C'est une grande perte pour nous, très inattendue. Nous sommes tous choqués", a déclaré à l'AFP Vassilissa, 42 ans, l'épouse d'un collègue de M. Starovoït, lors de la cérémonie de jeudi.

"Il était tellement actif, joyeux, il aimait énormément la vie. Je ne comprends pas comment cela a pu arriver", ajoute cette femme, les larmes aux yeux.

Après avoir déposé devant le cercueil de grands bouquets de roses rouges, des anciens collègues de M. Starovoït, en costumes sombres, sont repartis très vite dans leurs luxueuses voitures noires.

Dans une ambiance très lourde rappelant les funérailles dans le film culte "Le Parrain" de Francis Ford Coppola, d'autres personnes interrogées par les journalistes de l'AFP dans la foule ont refusé de parler.

"Bouc émissaire" 

Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin.

Son successeur à la tête de cette région, Alexeï Smirnov, a lui été arrêté au printemps pour le détournement des fonds destinés à renforcer les fortifications à la frontière. Celle-là même que les Ukrainiens ont traversé facilement, pour n'être repoussés que neuf mois plus tard.

Les autorités "ont essayé de faire de lui (Roman Starovoït) un bouc émissaire", accuse auprès de l'AFP Andreï Pertsev, analyste du média indépendant Meduza, reconnu "indésirable" et interdit en Russie.

L'incursion ukrainienne "s'est principalement produite parce qu'il n'y avait pas assez de soldats pour protéger la frontière", mais c'était "plus facile de rejeter la faute sur un responsable civil", explique-t-il.

L'affaire Starovoït s'inscrit dans une vague récente de répression visant de hauts responsables soupçonnés de s'être enrichis illégalement pendant l'offensive russe en Ukraine. Et selon des analystes, si les scandales de corruption on toujours existé en Russie, la campagne militaire a changé les règles du jeu politique.

"Il existait des règles auparavant, selon lesquelles les gens savaient: une fois qu'ils montaient suffisamment haut, on ne les embêtait plus", estime M. Pertsev. "Mais elles ne fonctionnent plus."

"On ne vole pas" 

Alors que Vladimir Poutine promettait régulièrement de s'attaquer à la corruption - étant lui même accusé de s'être enrichi illégalement par ses détracteurs -, les rares arrestations médiatisées ont été davantage utilisées pour cibler des opposants ou résultaient de luttes internes entre les échelons inférieurs du pouvoir en Russie.

Depuis l'offensive en Ukraine lancée en février 2022, "quelque chose dans le système a commencé à fonctionner de manière complètement différente", souligne la politologue Tatiana Stanovaïa du Centre Carnegie Russie Eurasie, interdit en Russie en tant qu'organisation "indésirable".

"Toute action ou inaction qui, aux yeux des autorités, accroît la vulnérabilité de l'État face aux actions hostiles de l'ennemi doit être punie sans pitié et sans compromis", estime Mme Stanovaïa en définissant la nouvelle approche du pouvoir.

Pour le Kremlin, la campagne en Ukraine est une "guerre sainte" qui a réécrit les règles, confirme Nina Khrouchtcheva, professeure à The New School, une université de New York, et arrière-petite-fille du dirigeant soviétique Nikita Khrouchtchev.

"Pendant une guerre sainte, on ne vole pas (...) on se serre la ceinture et on travaille 24 heures sur 24", résume-t-elle.

Signe des temps, plusieurs généraux et responsables de la Défense ont été arrêtés pour des affaires de détournement de fonds ces dernières années. Début juillet, l'ancien vice-ministre de la Défense Timour Ivanov a été condamné à 13 ans de prison.

Cette ambiance, selon Mme Stanovaïa, a créé un "sentiment de désespoir" au sein de l'élite politique à Moscou, qui est peu susceptible de s'atténuer.

"À l'avenir, le système sera prêt à sacrifier des figures de plus en plus en vue," avertit-elle.

 


Un trafic de stupéfiants démantelé entre Espagne et France, 13 arrestations

reize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police. (AFP)
reize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police. (AFP)
Short Url
  • 2,4 tonnes de résine de cannabis ont été saisies par les enquêteurs de Office anti-stupéfiants (OFAST) de la police judiciaire de Lyon, qui ont mené ces opérations
  • Dans cette première phase, les 11 suspects ont été mis en examen et sont, depuis, en détention provisoire, selon la DIPN

LYON: Treize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police.

Onze suspects ont été interpellés entre décembre 2023 et juillet 2024, notamment grâce à l'interception par les policiers de deux poids-lourds et d'un convoi de voitures "entre la région lyonnaise et le Gard", "au moment où les stupéfiants étaient remis à des équipes locales", explique la Direction interdépartementale de la police (DIPN) du Rhône dans un communiqué.

Dans le même laps de temps, 2,4 tonnes de résine de cannabis ont été saisies par les enquêteurs de Office anti-stupéfiants (OFAST) de la police judiciaire de Lyon, qui ont mené ces opérations.

Dans cette première phase, les 11 suspects ont été mis en examen et sont, depuis, en détention provisoire, selon la DIPN.

Puis l'enquête a permis l'interpellation, le 30 juin dernier, d'un homme "soupçonné d'être le donneur d'ordres" et, le lendemain, d'un autre suspect, "fugitif condamné en 2016" à sept ans de prison pour trafic de stupéfiants. A son domicile dans l'Ain, "54 kg de cocaïne et plusieurs dizaines de milliers d'euros" ont été saisis, précise le communiqué qui n'en dit pas plus sur le profil de ces hommes. Ils ont été mis en examen le 4 juillet et placés en détention provisoire.

La police considère ainsi avoir réussi le "démantèlement de ce groupe criminel organisé (...) réalisant des importations de stupéfiants depuis l'Espagne vers la région Auvergne-Rhône-Alpes" pour des "quantités importantes".

 


Iran: la lauréate du prix Nobel de la Paix Mohammadi se dit «menacée d'élimination physique», selon le comité Nobel

La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique" par les autorités iraniennes, a indiqué vendredi le comité Nobel qui s'est entretenu avec elle par téléphone. (AFP)
La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique" par les autorités iraniennes, a indiqué vendredi le comité Nobel qui s'est entretenu avec elle par téléphone. (AFP)
Short Url
  • La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique"
  • Ces menaces "montrent clairement que sa sécurité est en jeu, à moins qu'elle ne s'engage à mettre fin à tout engagement public en Iran"

OSLO: La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique" par les autorités iraniennes, a indiqué vendredi le comité Nobel qui s'est entretenu avec elle par téléphone.

Ces menaces "montrent clairement que sa sécurité est en jeu, à moins qu'elle ne s'engage à mettre fin à tout engagement public en Iran" ainsi qu'à "toute apparition dans les médias", ajoute le comité Nobel dans un communiqué. Mme Mohammadi a été récompensée en 2023 pour "son combat contre l'oppression des femmes en Iran et pour la promotion des droits de l'homme".