Enquête. Comment le gouvernement russe se prépare à la cyberguerre à venir

Le correspondant spécial du journal en ligne en langue russe Meduza, Daniil Turovsky, a interviewé des douzaines d'experts de la cybersécurité et étudié différents documents et rapports afin d'apprendre quelles cybermenaces préoccupent le plus le gouvernement russe et ce que fait Moscou pour protéger le pays. Nous offrons à nos lecteurs une traduction de cet article.

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

Les allégations selon lesquelles des pirates russes ont volé des courriels de personnalités démocrates aux États-Unis dans le but d'influencer les résultats des élections présidentielles américaines ont maintenant plus d'un an. En novembre dernier, Meduza a publié un rapport détaillé sur l’activité des cybersoldats russes. Mais la cybersécurité d’un pays est seulement aussi bonne que sa cyberdéfense, c'est pourquoi le correspondant spécial de Meduza, Daniil Turovsky, est retourné sur le sujet, interviewant des douzaines d'experts de la cybersécurité et en étudiant différents documents et rapports afin d'apprendre quelles cybermenaces préoccupent le plus le gouvernement russe et ce que fait Moscou pour protéger le pays. 


Kirill (un prénom d’emprunt à sa demande) s'est d'abord intéressé à pirater des sites Web à l'âge de 13 ans, au début des années 2000. À l'époque, son ordinateur était trop faible pour jouer aux derniers jeux, alors il lui a fallu trouver une solution. L'un de ses camarades de classe, quant à lui, avait commencé à créer des sites Web. Pendant les cours, son ami lui passait un cahier avec des croquis de conception, et Kirill écrivait le code HTML à la main. "Ces limites nous ont obligés à être inventifs, et nous nous sommes vite intéressés au piratage", se rappelle le programmeur.

Ensemble, Kirill et son ami ont commencé à pirater les sites Web de leurs camarades de classe. Finalement, cet ami a perdu tout intérêt pour le piratage, mais la fascination de Kirill pour celui-ci n'a fait que croître. Plus tard, il a enregistré un compte sur "Anti-Chat", un forum en ligne où les gens discutent des vulnérabilités informatiques, du piratage et des nouvelles de la cybersécurité. Le forum a plusieurs niveaux et vous accédez aux niveaux supérieurs en démontrant vos connaissances de programmation. En raison de la hiérarchie d'Anti-Chat, Kirill a connu plusieurs autres jeunes pirates. En quelques années, beaucoup de ces individus deviendraient les meilleurs spécialistes de la cybersécurité en Russie, tandis que d'autres commenceront à gagner de l'argent illégalement en tant que pirates informatiques. Certains de ces gens atterriront même dans les prisons américaines.

Une vie criminelle n'a jamais tenté Kirill. "J'étais trop paresseux pour faire quelque chose de vraiment illégal pour de l’argent. Il aurait été trop difficile de me rendre aussi paranoïaque que l’on se doit d’être. Ça aurait été un stress constant. Il faut être prudent tout le temps ", dit-il. "Mais je voulais toujours pirater".

Kirill a cherché des intérêts dans d'autres communautés de pirates informatiques, et il a trouvé un emploi stable en 2010, à une époque où les entreprises russes de sécurité informatique embauchèrent un grand nombre de «pentesters» (testeurs de sécurité système) pour attaquer leurs systèmes informatiques afin de tester leur sécurité. Finalement, Kirill a été embauché par une grande compagnie dont la majeure partie de son activité était en lien avec les agences de renseignement russes. Sur instructions de ses supérieurs, Kirill a piraté des banques, des institutions financières, des systèmes de paiement et des entreprises industrielles. Il a réussi tout cela sans trop de difficulté: il suffit souvent d'envoyer des courriels d'hameçonnage.

Au printemps 2012, Kirill a reçu une autre tâche: pirater l’une des principales agences de presse russes. Le client a commandé lui-même le test, craignant que des intrus ne tentent de pirater le site avant l’investiture de Vladimir Poutine, afin de "publier des choses méchantes sur M. Poutine sur le site". Kirill dit qu'il a facilement piraté le site, qui n'avait aucune protection réelle contre les pirates informatiques. "C'était beaucoup de code écrit au début des années 2000", dit-il. Comme d'habitude, il a rédigé un rapport et l'a envoyé à ses supérieurs.

Un an plus tard, purement par curiosité, Kirill est allé voir quelles mesures de sécurité cette agence de presse avait adopté après son étude. En examinant à nouveau le site, il s’est aperçu que toutes les lacunes et vulnérabilités identifiées dans son rapport étaient toujours en place, totalement inchangées.

                                                                    CHAPITRE 1

                            Les menaces

L'Amérique contre la Russie

Au cours des deux dernières années, les pirates travaillant pour le ministère de la Défense et les agences de renseignement russes ont été accusés d'avoir attaqué le Parti démocratique aux États-Unis, l'Agence mondiale antidopage et les sites Web du gouvernement en Estonie, en Lituanie et en Turquie, ainsi que des centrales électriques et d’autres infrastructures sensibles en Ukraine.

Sur la base de la législation récente et des observations des fonctionnaires de l'État, la Russie est en train de se préparer à une cyberguerre, et fait des préparatifs offensifs et défensifs. Jusqu'à récemment, le gouvernement ne déclara presque rien sur la nécessité de protéger les sites Web de l'État et l'infrastructure critique de la nation: les centrales nucléaires, les usines militaires, les systèmes d'approvisionnement et d'autres installations qui, si elles étaient attaquées avec succès, pourraient causer une catastrophe écologique ou financière. Ou bien qu’une perte en vies humaines.

Aujourd'hui, les attitudes ont changé drastiquement, probablement grâce au flux constant d’information sur les pirates informatiques qui s'infiltrent dans différentes installations critiques (par exemple, les centrales nucléaires aux États-Unis), l'évolution du cyberespionnage et la croissance des menaces cybernétiques posées par les organisations terroristes. "Je pense qu'un accord interdisant l'utilisation des cyberarmes sera bientôt signé", a déclaré à Meduza une source impliquée dans la défense de l'infrastructure critique de la Russie. "Mais seulement après qu'il y ait une véritable catastrophe majeure".

Une autre source travaillant dans la sécurité informatique d’infrastructures critiques a déclaré à Meduza qu'il y a souvent des personnes plutôt incompétentes employées dans les installations stratégiquement significatives de la Russie. "Nous expliquons à ces personnes qu'ils ont un problème, mais ils ne reconnaissent pas que quelque chose pourrait aller mal. Ils disent: «Oh, c'est juste un virus essayant de voler un peu d’argent.» Mais il est apparu dans un système fermé! Ils peuvent être chanceux que le virus ait été conçu pour une certaine fonction, mais qu'est-ce qui se serait passé s'il était conçu  pour autre chose?

En fait, les cyberarmes sont utilisées régulièrement contre la Russie, bien que les sources de Meduza disent que seulement un groupe étroit d'experts s’en rend compte. Généralement la communauté de la cybersécurité essaie de garder ce genre d’attaques hors de connaissance du grand public.

Néanmoins, les organismes d'application de la loi et les entreprises de sécurité signalent parfois des cyberattaques contre le gouvernement russe. Par exemple, en 2013, quand la Russie a été attaquée avec une arme appelée "Spoutnik". (Pour en savoir plus sur cet incident, vous pouvez lire un rapport de l'association de recherche "Echelon", qui certifie l’utilisation de logiciels étrangers contre le ministère russe de la Défense.) "Spoutnik" a été conçu pour mener à bien le cyberespionnage en recueillant des informations sur les activités des agences militaires, des instituts et des organisations diplomatiques en exploitant les vulnérabilités «zero day» dans les programmes Microsoft Office Windows Word, Excel et Outlook. Il était impossible de suivre où les informations volées étaient envoyées, car la destination était cachée derrière une chaîne de serveurs proxy. Les chercheurs d'Echelon, qui ont découvert que les données volées pouvaient intéresser les ennemis géopolitiques de la Russie, ont écrit dans leur conclusion: «La cyberguerre comme forme de confrontation inter-étatique est entrée dans une phase active.»

En juillet 2016, le Service fédéral de sécurité de la Russie (FSB) a annoncé qu'il avait découvert plusieurs chevaux de Troie dans l'infrastructure informatique des institutions de l'Etat, de la science et de la défense (au total, environ deux douzaines d'entreprises). Le FSB a indiqué que l'attaque avait été planifiée avec soin et réalisée par des professionnels qualifiés. Un différent "exploit" a été conçu pour chaque entreprise, et les victimes ont été infectées par hameçonnage. Après l'infection, "Spoutnik" a chargé les modules nécessaires pour la saisie des touches, la télécommande de la Webcam et du microphone d'un ordinateur et l'interception du trafic réseau. Après l'annonce du FSB, un comité parlementaire sur la sécurité nationale a conclu que ce cyberespionnage «est avant tout bénéfique pour les Américains».

À l'heure actuelle, afin de protéger leurs communications en ligne, les fonctionnaires de l'Etat utilisent un réseau gouvernemental fermé appelé RSNet. Chaque employé a son propre compte de courrier électronique de travail sécurisé qui ne peut être consulté que par une adresse IP spéciale à l'aide d'un ordinateur désigné. Mais de loin tout le monde se conforme aux restrictions du gouvernement. Ironiquement, c'est aux échelons supérieurs du pouvoir que les précautions se relâchent. "Ce n'est pas un simple gars du FSB qui va venir voir le vice-premier ministre Arkady Dvorkovich et lui gronder:" Bien, mon pote. Éteignez et ordinateur! », a commenté le chef du groupe d’hacktivistes « Anonymous International » à Meduza. Ce groupe a piraté la correspondance privée de politiciens russes généralement en accédant à leurs comptes privés sur les services publics de courrier électronique et de messagers instantanés.

Peu à peu, le gouvernement commence à réfléchir plus sérieusement à la protection des conversations téléphoniques. En 2017, par exemple, l'un des instituts de recherche travaillant pour la communauté du renseignement russe a conçu un «cryptophone», qui permet aux utilisateurs de faire des appels téléphoniques cryptés.

Le 23 juin 2017, le Washington Post a rapporté que Barack Obama, lorsqu'il était encore président, avait ordonné à l'Agence de sécurité nationale des États-Unis de développer des cyberarmes contre la Russie en réponse à l'ingérence supposée de Moscou dans la course présidentielle américaine. L'opération spéciale aurait impliqué le placement d’ «implants» dans l'infrastructure électronique de la Russie qui pourraient être déclenchée au besoin pour désactiver les systèmes russes. Le journal appelait les implants «l'équivalent numérique des bombes».

L'Amérique utilise cette technologie depuis des années: Michael Hayden, ancien directeur de la NSA et de la CIA, a déclaré que les États-Unis avaient installé des «implants» dans des dizaines de milliers d'ordinateurs à travers le monde «qui peuvent être utilisés lorsque cela s'avère nécessaire».

Une équipe de pompiers-pirates

Pendant des années, les spécialistes de la cybersécurité ont averti que les pirates pourraient trouver un moyen d'infliger des dommages matériels réels à l'infrastructure critique des nations. Et cela est arrivé en 2009, lorsque des pirates informatiques ont attaqué l'Iran avec Stuxnet, une cyberarme conçue spécifiquement pour interférer avec le programme nucléaire de la République islamique. Selon le journaliste du New York Times, David Sanger, Stuxnet a été créé pour être une solution pacifique à un problème potentiel: les États-Unis craignaient qu'Israël lance des attaques aériennes contre l'Iran et ses installations nucléaires.

Les sources de David Sanger ont déclaré que Stuxnet avait été créé par plusieurs agences de renseignement travaillant en commun: la CIA, la NSA et le Cyber ​​Command des États-Unis, le siège de la communication du gouvernement britannique et une division spéciale de reconnaissance électronique de radio du Mossad israélien. Pour mener à bien leur projet, les agences ont d'abord attaqué cinq entreprises iraniennes ayant des liens avec la centrale nucléaire. Par la suite, Stuxnet a trouvé son chemin sur les lecteurs flash du personnel, et les employés, apparemment, ont infecté le réseau protégé de la centrale, qui n'était même pas connectée à Internet. Conçu spécialement pour le système de commande d'une installation d'énergie nucléaire, Stuxnet a infiltré l'usine d'enrichissement d'uranium iranien de Natanz et a détruit plus d'un quart de ses centrifugeuses, introduisant un logiciel avec un code malveillant qui a modifié les opérations d’équipement.

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

Les centrifugeuses étaient alimentées par un moteur électrique tournant à une vitesse de 1000 tours par seconde. Stuxnet a accéléré les centrifugeuses à 1400 rotations par seconde, puis réduit considérablement la vitesse, ce qui a entraîné leur effondrement. Alors que le processus se déroulait, les ingénieurs de l'usine, assis dans la pièce d’à côté, regardaient leurs écrans et ne voyaient rien de mal. Pour eux, le processus d'enrichissement semblait fonctionner comme prévu. Il a fallu un certain temps avant qu'ils ne se rendent compte de la raison de tous ces accidents en chaîne. Plus tard, certains membres du personnel seront licenciés en raison de soupçons d’infraction aux procédures d'exploitation de l'installation.

Après cette attaque, Stuxnet a continué à se propager dans d'autres pays: en 2010, il a infecté environ 100 000 ordinateurs à travers le monde, même pénétrant dans le réseau d’une centrale nucléaire russe. Comme en Iran, les centrales nucléaires russes ne sont pas connectées à Internet et la contamination d'une seule station pouvait communiquer de sérieux problèmes de sécurité à l’ensemble du réseau.

Depuis Stuxnet, des types plus récents de cyberarmes sont apparues. En 2016, des experts d'ESET ont signalé l'émergence d'un nouveau programme appelé Industroyer, qui a été conçu pour interférer dans les processus critiques des systèmes de contrôle des entreprises énergétiques. À l'aide de ce logiciel malveillant, les pirates pourraient effectivement prendre le contrôle des disjoncteurs des sous-stations. "La capacité d'Industroyer à influencer les opérations des équipements industriels en fait la menace la plus dangereuse depuis Stuxnet", ont conclu les analystes del’ESET, suggérant que le malware pourrait être à l'origine d'une panne d'alimentation électrique à Kiev en décembre 2016, lorsque l'électricité a été soudainement coupé dans quatre districts à travers la ville.

Au cours des trois dernières années, les pirates ont attaqué à plusieurs reprises l'Ukraine, où ils ont réussi à perturber le réseau énergétique dans des régions entières. Les pirates ont également pénétré des systèmes de transport, des cibles militaires et des organismes financiers, paralysant leur travail. "Vous ne pouvez pas vraiment trouver un espace en Ukraine où il n'y a pas eu d'attaque", a déclaré Kenneth Geers, un ambassadeur de l'OTAN qui se consacre à la cybersécurité.

Terrorisme software

"En raison de sa participation aux opérations militaires du Moyen-Orient, la Russie est devenue vraiment une cible pour les terroristes", a déclaré Ilya Sachkov lors d'une conférence de sécurité le 30 juin 2017. Sachkov travaille pour une société de sécurité de l'information appelée Group-IB. "Malheureusement, cette année, nous avons déjà été confrontés à une attaque réussie contre les infrastructures critiques".

Au cours de l'année qui a suivi la proclamation d’un califat en Syrie et en Irak  par leader d’l'ISIS, les efforts de propagande du groupe ont considérablement évolué: dans un premier temps, l’ISIS utilisait les réseaux sociaux pour montrer des vidéos mettant en scène de nouvelles recrues et demandant plus de bénévoles. Ensuite, ISIS a sollicité de l'aide pour la construction d'un nouvel état, invitant les médecins, les enseignants, les journalistes et les programmeurs à se joindre à eux. C'est à peu près à cette époque que la division ISIS Hacking (ou «Cyber Caliphat») est apparue pour la première fois, organisée par un pirate nommé «TriCk», qui a déménagé dans le territoire contrôlé par l'ISIS à Birmingham, en Angleterre.

À cette époque, TriCk pouvait déjà présenter un CV impressionnant. Il a effectué son premier hack à l'âge de 11 ans en se vengeant contre un adversaire de jeu en ligne. À l'âge de 15 ans, il a formé le groupe hacktiviste Team Poison pour lutter pour les droits des Palestiniens et du peuple du Cachemire. Sous le leadership de TriCk, le groupe a attaqué les médias et les médias sociaux pro-israéliens et américains, détournant parfois leurs propres slogans (et mentions légales) sur les pages d'adversaires idéologiques.

Team Poison a attaqué des sites Web de l'OTAN, du ministère britannique de la Défense et le compte Facebook de Mark Zuckerberg. En 2012, après avoir piraté les courriels de l'un des anciens adjoints du Premier ministre Tony Blair, la police britannique a finalement trouvé la trace et arrêté TriCk. Le pirate s'est avéré être un jeune homme nommé Junaid Hussain, fils d'immigrants pakistanais. Après avoir passé six mois en prison, Hussain a quitté l'Angleterre pour Raqqa, la capitale de l'ISIS, où il a pris le nom d'Abu Hussain al-Britani et est devenu le pirate informatique de l'organisation.

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

Dans son nouveau rôle, Hussain a continué à faire ce qu'il avait toujours fait le mieux: pirater les sites Web américains et les comptes sociaux. En janvier 2015, par exemple, Hussain a affiché un tweet de son cru sur le compte du Commandement central des États-Unis, "Soldats américains, nous arrivons. Regardez derrière-vous. ISIS ". Le pirate a également révélé les identités et les adresses de militaires américains aux États-Unis, appelant les partisans d'ISIS à les trouver et à les tuer. Au cours de l'été 2015, Hussain a identifié deux militants locaux qui luttaient contre la propagande d’ISIS en ligne. Ils ont ensuite été appréhendés et exécutés. Au début d'août 2015, Junaid Hussain, maintenant âgé de 21 ans, était numéro trois sur la liste des personnes recherchées par le Pentagone, classé juste derrière le leader de l'ISIS Abu Bakr al-Baghdadi et le bourreau d'ISIS, connu sous le nom de "Jihadis John".

Par la suite, un informateur du FBI a contacté Hussain en utilisant une messagerie sécurisée appelée Surespot. (Hussain avait publié ses informations de contact sur Twitter, invitant aux commentaires ceux qui partageaient ses points de vue politiques). Pendant leur conversation, l'informateur a envoyé Hussain un lien hypertexte vers un site Web qui, une fois visité, a infecté son téléphone portable avec un virus qui lui a permis d’être suivi. Après qu'un drone américain ait bombardé et tué Hussain, l'informateur s'est révélé être un pirate du nom de «5hm00p». Celui-ci a ensuite écrit qu'il avait été forcé par le FBI à trahir Hussain: «F ** roi coupable. Je suis désolé. J'ai joué leur jeu et je ne devais pas le faire. "Il dit qu'il a aidé le gouvernement américain après que le FBI ait menacé les moyens de subsistance de sa famille. "Qu'est-ce que j’ai-je fait", a-t-il twitté avec remords en novembre 2015: "Savez-vous comment je me sens maintenant quand je dors la nuit? [...] Quoi qu'il ait été un terroriste et un animal, je me sens trahi. "

En dépit de la mort de Hussain, les experts en cybersécurité qui surveillent les forums du darknet ont documenté l'intérêt croissant des groupes terroristes pour les attaques informatiques, en particulier contre des infrastructures critiques. Une source d'enquête sur ces plates-formes de communication pirate a confirmé cette information à Meduza. Un rapport du Groupe-IB corrobore également l’utilisation soutenue par les terroristes de logiciels malveillants susceptibles de causer des dommages physiques, affirmant que des utilisateurs d'Internet ayant des adresses IP syriennes ont tenté de recruter des experts en cybersécurité et ont exprimé leur intérêt pour la cyberguerre. La plupart des messages de ces internautes sur les forums confidentiels semblent être écrits à l'aide de Google Translate. Les terroristes ont également manifesté leur intérêt à apprendre à pénétrer les systèmes informatiques des entreprises de l'industrie de la défense afin de voler des données de conception secrètes. Un rapport du The New York Times Magazine a révélé que différents groupes extrémistes ont passé des années à chercher du mercure rouge, une composition chimique fictive supposée inventée par des scientifiques soviétiques pour créer des armes de destruction massive.

Selon la source de Meduza, "si les opérateurs d'ISIS découvrent où acheter des vulnérabilités de « zero day », nous sommes partis pour des événements très désagréables".

"L'humanité a lutté contre le terrorisme depuis le 19ème siècle", a déclaré à Meduza la spécialiste en sécurité informatique Ilya Sachkov. "La science de la protection du cyberespace a émergé il y a plus ou moins environ 20 ans, mais nous n'avons jamais eu à affronter sérieusement le terrorisme sur Internet auparavant. Il n'y a eu que des attaques ponctuelles, comme en Ukraine ".

                                                                    CHAPITRE 2

                                   La loi

Le succès de Stuxnet contre le programme nucléaire iranien n'est pas passé inaperçu en Russie. En janvier 2013, Vladimir Poutine a ordonné au Service fédéral de sécurité (FSB) de créer un système d'Etat pour détecter, alerter et éliminer les effets des attaques informatiques. Connu sous le nom de «GosSOPKA», son but serait de «protéger» toutes les ressources d'information gouvernementales sous le capot d'un seul système avec un périmètre constamment surveillé. Ce bouclier s'étendrait à toutes les ressources et infrastructures essentielles, de sorte que seraient partagées toutes les informations sur les cyberattaques avec un bureau central, ce qui déterminerait la façon dont une attaque a été montée et distribuerait des recommandations de sécurité au reste du système

Le FSB a passé deux ans à élaborer les plans de GosSOPKA. En 2015, l'agence a publié un extrait de son plan, indiquant que le système serait divisé en centres de réponse dans différentes régions et ministères, avec un Centre national de coordination pour les incidents informatiques (Gov-CERT) créé au sein du FSB pour gérer la défense de l'infrastructure critique de la Russie. En novembre 2016, Alexey Novikov, responsable du FSB chargé du Gov-CERT, a signalé que le système avait été étendu à 10 agences de l'Etat et que des centres d'intervention étaient déjà en place à Rostec et à la Banque centrale de Russie.

Novikov affirme que la communauté du renseignement de la Russie développe actuellement un réseau entre les agences de l'État pour partager des informations sur les incidents de piratage. Le système, selon Novikov, aura un mode spécial qui permet aux victimes de cyberattaque de soumettre des messages au Gov-CERT avec des demandes d'assistance. Ces messages prendront la priorité absolue, et le centre de coordination du FSB les verra et commencera à travailler sur des solutions immédiates: par exemple, en demandant aux fournisseurs d'Internet de filtrer le trafic malveillant ou en essayant de désactiver les opérations des « botnets ». Novikov a déclaré que le FSB a désactivé avec succès plusieurs centres de contrôle de « botnets » pendant les Jeux olympiques d'hiver de 2014 à Sotchi.

Le FSB demande également aux fonctionnaires de l'État de faire plus attention à leur utilisation du courrier électronique. "L'une des sociétés d'État a reçu plusieurs courriels [suspects], et le personnel de sécurité informatique les a transmis pour étude", a déclaré Novikov en février au Ural Information Security Forum. «Nous avons effectué une analyse rapide et découvert une famille de menaces persistantes avancées (APT) bien connue. Nous avons également pu retracer l'origine des courriels. Il s'est avéré que ces courriels avaient atteint 10 autres entreprises, mais nous avons pu contrecarrer l'attaque ".

Dans un proche avenir, la Russie va finalement adopter une nouvelle législation sur la cybersécurité de l'infrastructure critique du pays, obligeant tous les composantes de ce réseau à partager des données avec GosSOPKA. En décembre dernier, le Premier ministre Dmitri Medvedev a soumis le projet de loi au Parlement. Le projet de loi appelle non seulement la création d'un registre spécial des systèmes informatiques desservant l'infrastructure critique de la Russie, mais propose également une nouvelle loi pénale interdisant les cyberattaques sur l'infrastructure critique du pays. La peine maximale pour ces crimes serait de 10 ans de prison, et cela s'appliquerait à la fois aux pirates informatiques et aux fonctionnaires de l'État qui s'habituent à de telles attaques ou à des fuites d'informations.

Selon le FSB, qui surveille le projet de loi, les terroristes et les services de renseignement étrangers pourraient menacer la stabilité de la Russie si la législation n'est pas adoptée prochainement. La Russie est devenue «directement tributaire de la sécurité de son réseau d'information et de télécommunications et de ses systèmes d'information», prévient le FSB. "Dans le pire des cas, une attaque par ordinateur pourrait paralyser complètement l'infrastructure critique de l'État, provoquant des catastrophes sociales, financières et (ou) écologiques", écrit le FSB dans la note explicative de la loi. À titre d'exemples d'attaques potentielles, l'agence cite Stuxnet et "la paralysie de plusieurs grandes institutions financières en Corée du Sud en mars 2013."

Le directeur adjoint du FSB, Dmitry Shalkov, a été chargé de mener à bien la législation par le Parlement et de gérer la protection de l'infrastructure critique de la Russie. En janvier 2017, il a annoncé que les ressources d'information russes avaient été attaquées 70 millions de fois au cours de l'année précédente (Vladimir Poutine a dit à peu près la même chose mais en se référant aux attaques en 2015). "L'infrastructure de la Russie est constamment exposée aux attaques de pirates informatiques. En novembre 2016, il y a eu une attaque massive contre le secteur financier, ciblant Sberbank, Alfa-Bank, la Banque de Moscou et d'autres institutions. Les spécialistes de la branche de la sécurité de l'information du FSB ont neutralisé la menace, mais le nombre d'attaques sur les ressources nationales de la Russie augmente constamment ", a déclaré Shalkov en présentant la législation dans la Douma d'Etat.

Les législateurs ont adopté la première lecture du projet de loi le 27 janvier 2017 mais un vote sur le deuxième projet a été reporté à plusieurs reprises. Le 23 juin, le directeur du FSB, Alexander Bortnikov, a demandé à la Douma d'accélérer les choses et, deux semaines plus tard, le 7 juillet, la deuxième lecture de la loi a été adoptée, ainsi que des amendements à la loi russe sur les secrets d'État, en ajoutant des mesures pour assurer la sécurité de l'infrastructure critique. La troisième et dernière lecture du projet de loi a été adoptée le 12 juillet. Si le Conseil de la Fédération peut voter sur le projet de loi avant ses vacances d'été, il pourrait entrer en vigueur d'ici le 1er janvier 2018. Un député de la Douma a proposé de retarder la mise en œuvre de la loi jusqu'en 2019, mais cette proposition a été rejetée en raison du «besoin pressant de renforcer la sécurité de l'information de l'État». 

                                                                   CHAPITRE 3

                          Les protecteurs

 Le Palantir russe

Fin mai 2017, le Groupe-IB et le Centre d'information national de Rostec ont lancé une coentreprise pour protéger l'État contre les pirates informatiques. Group-IB conçoit des systèmes de protection, et le centre de Rostec certifiera ces systèmes et communiquera avec les agences de l'Etat. Vasily Brovko, directrice de la division des projets spéciaux de Rostec, a participé à l’annonce de ce projet commun. (En 2015, selon les sources de Meduza, Vasily  Brovko a également participé à un test d'attaque DDoS contre le site du ministère de la Défense ukrainien et le site de nouvelles Slon.ru.)

"Nous voulons protéger l'Etat mais ce type de travail est un processus long et minutieux, plein de certificats et d'accréditations", a déclaré à Meduza le directeur général du groupe IB, Ilya Sachkov. "Rostec s'occupera de cela et il intégrera nos produits dans de grands projets d'infrastructure. Si vous regardez les données publiées par Wikileaks et Hacking Team, vous pouvez constater que de nombreuses vulnérabilités et méthodes utilisées pour délivrer leur code exécutable provenaient de groupes criminels organisés classiques - des méthodes qui seulement plus tard ont fait leur chemin vers les agences de renseignement. Nous savons comment appliquer ces connaissances à la défense des infrastructures critiques. "

Sachkov dit que la coentreprise avec Rostec «crée effectivement un pendant russe à Palantir», une entreprise américaine de plusieurs milliards d'euros qui est connue comme l'une des sociétés les plus confidentielles de la Silicon Valley. En 2011, les algorithmes de Palantir auraient aidé les responsables américains à retrouver le leader d'Al-Qaïda Osama ben Laden. Sans offrir de nombreux détails, Sachkov dit que Group-IB sera spécialisée dans la grande analyse de données sur les problèmes de sécurité nationale. "Le système peut trouver des interconnexions, déterminer les identités réelles des individus et prévoir certains événements, tels que des fuites d'informations, en surveillant les enregistrements de domaine Internet et de nouveaux hyperliens", dit Sachkov. "Nous pourrons connaître les crimes en cours".

En juin, le plus grand fournisseur d'Internet de Russie, Rostelecom et Qrator Labs, une société qui élabore une protection contre les attaques DDoS, a également annoncé un nouveau projet conjoint sur la cybersécurité. 

Les hackers captifs du FSB

A travers Moscou, il existe une poignée d'instituts de recherche de l'État où des dizaines de spécialistes de logiciels développent et testent de nouveaux systèmes de cyberdéfense. Selon les sources de Meduza, ce travail se déroule dans les centres de recherche "Kvant" et "Voskhod", le Centre de science et de pratique "Atlas" et dans un laboratoire d'ingénierie du FSB. Le ministère de la Défense de Russie surveille également les vulnérabilités de la technologie de cyberdéfense. Selon un instructeur du Centre de formation conjointe de Tambov pour la guerre électronique, «la tâche principale de nos gars est d'étudier les méthodes [de cyberattaque] et de développer des moyens de défense fiables».

En partie, ces instituts sont chargés de certifier des logiciels étrangers avant d'être transférés à une agence de l'État. Dans un rapport, des experts de "Echelon" ont noté que des logiciels d'écoute ont été découverts dans certains programmes en 2013. Les auteurs du rapport ont soutenu que le gouvernement pourrait réduire ce danger en examinant le code source du logiciel au stade de la certification.

Un expert gouvernemental de la cybersécurité a déclaré à Meduza que de tels exercices n'avaient aucun sens. "L'idée est que ces Américains maléfiques cesseront de nous envoyer de l'équipement écouté. L'équipement est censé être vérifié et revendu [par les entreprises publiques]. Mais cela ne fait que générer des coûts, et sans raison, parce qu'il est impossible de tester les importations vraiment ", déclare la source. "Et ils revendent le logiciel sans le support emballé, sans les dernières mises à jour. Maintenant, nous avons ces ordinateurs derrière des portes verrouillées mais ils sont pleins de trous. "

"Il existe des gens très informés qui travaillent dans ces instituts de recherche. Nous en connaissons beaucoup de l'histoire avec «Kvant» [qui a essayé d'acheter un logiciel malveillant “Remote Control System” pour le FSB afin d'intercepter certaines communications]. Beaucoup de ces instituts ont acquis des logiciels très coûteux officiellement pour les «tests de pénétration» mais c'est vraiment pour le lancement de hacks », a déclaré une autre source à Meduza. "Il existe une interface graphique avec un tas d'exploits différents. Ces choses sont souvent achetées pour le FSB et peuvent coûter des milliers de dollars par année mais les instituts de recherche ne semblent pas les utiliser. Nécessaires pour comprendre les types d'attaques possibles, ils sont détenus pour les services de renseignement ".

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

La même source affirme que de nombreux programmeurs russes sur le marché du travail sont invités à travailler dans des instituts de recherche en lien avec «l'agence». Il dit qu'il a répondu à une annonce et a été convié pour une entrevue dans l'un de instituts, où on lui a affirmé que des vulnérabilités « zero day » ont été découvertes dans l'un des programmes informatiques les plus utilisés.

Anton (dont le nom a été changé à sa demande) travaille principalement sur l'analyse de virus informatiques, communiquant périodiquement avec les agents du FSB. Il dit que le Centre pour la sécurité de l'information (TsIB) a peu de personnel technique, il faut souvent consulter des experts extérieurs. "Il existe une procédure commune pour attirer les pirates illégaux et créer des conditions qui leur permettent de travailler, afin d'obtenir les informations nécessaires à travers eux", a déclaré Anton à Meduza. Il dit que les pirates se cachent souvent de la police dans des maisons sûres. Le programmeur dit également connaître quelques cas où l'unité de cybercriminalité du ministère de l'Intérieur aurait détenu des personnes avant que des agents du FSB n’arrivent et enlèvent les suspects en disant à la police: «Ce n'est pas de votre juridiction».

Certains pirates acceptent des emplois à plein temps dans les organismes d'application de la loi. En 2004, un pirate informatique appelé «Forb» a affirmé qu'il a gagné sa vie dans le piratage de cartes de crédit et de cyberattaques sur les sites Web du gouvernement des États-Unis. En 2012, Forb a été démasqué comme étant Dmitry Dokuchayev, un pirate recruté par la communauté russe du renseignement, où il occupé le poste de haut responsable du TsIB. Les responsables américains croient que Tsib a payé Dokuchayev et d'autres pirates pour attaquer Yahoo en 2014, ce qui a entraîné le vol de données personnelles de 500 millions de comptes. Aujourd'hui, Dokuchayev et l'ancien directeur de TsIB Sergey Mikhailov sont recherchés par les Etats-Unis pour fraude.

Nous connaissons également les contacts entre agences de renseignement russes et pirates grâce à Ruslan Stoyanov, l'ancien responsable du département des enquêtes de Kaspersky Lab. Dans son travail, Stoyanov était presque constamment en contact avec le FSB. En avril 2017, Stoyanov a déclaré qu'il y avait une "énorme tentation" pour les décideurs d'utiliser le travail des cybercriminels russes pour une influence géopolitique. "Le pire scénario serait de donner aux cybercriminels l'immunité contre les représailles pour avoir volé de l'argent dans des pays étrangers en échange de renseignements. Si cela se produit, toute une série de «voleurs patriotes» émergeront. Les «groupes patriotes» semi-légaux peuvent transformer beaucoup plus ouvertement les biens volés dans la création de chevaux de Troie plus sophistiqués, et la Russie obtiendrait un cyberarmement très avancé », a averti Stoyanov.

Des sources ont déclaré au New York Times que le pirate Evgeniy Bogachev, «le cybercriminel le plus recherché au monde», coopère avec les agences de renseignement russes. Épargnant la Russie, Bogachev a créé un réseau mondial d'ordinateurs infectés, gagnant des centaines de millions de dollars en piratant tout, des banques et des services de police du Massachusetts à un service de lutte antiparasitaire en Caroline du Nord. Les responsables américains ont déclaré au New York Times que "les autorités russes regardaient par-dessus l'épaule de [Bogachev], cherchant les mêmes ordinateurs pour les fichiers et les courriels", car il "drainait des comptes bancaires". Les responsables russes auraient examiné les ordinateurs américains infectés pour y chercher des informations sur les conflits en Ukraine et en Syrie, en recherchant souvent des documents dans lesquels il y a avait la mention «top secret» et «ministère de la Défense».

"On dit que [Bogachev] vit comme un roi à Anapa et aide le FSB", a déclaré un expert de la cybersécurité à Meduza. "Et pourquoi pas? Si j'étais un agent FSB, je le trahirais aussi, bien sûr. Il est en Russie, et il a beaucoup d'accès. Vous ne pouvez pas utiliser cela, mais vous devez vous rappeler qu'il est un criminel.

Une "petite nana hacker" russe

Il existe plusieurs entreprises qui créent des outils de protection pour les infrastructures critiques: Positive Technologies, Kaspersky Lab, Group-IB et autres. "Informzashchita", un autre de ces groupes, travaille depuis de nombreuses années avec le gouvernement russe. Au cours des Jeux olympiques d'hiver de Sochi, par exemple, Informzashchita a assuré la cybersécurité des services de transport. Selon Forbes, la société a signé 450 contrats avec le gouvernement en seulement cinq ans d'une somme totale de 5 milliards de roubles (85 millions de dollars).

Les fondateurs d'Informzashchita ont travaillé dans l'état-major général de l'armée russe et dans différents instituts de recherche militaire (y compris Kvant). À la fin des années 1990, ils ont commencé à fournir leurs propres systèmes de défense à la Commission électorale centrale de Russie et à la Banque centrale et, dans les années 2000, ils ont lancé "Continent", un outil de protection de réseau et de chiffrement de données utilisé par de nombreuses agences de l'État. À cette époque, la société a également créé un département pour les tests de pénétration, où il testerait les systèmes d'un client avant de vendre ses produits à ce client.

L'une des personnes travaillant à Informzashchita à cette époque était une jeune femme nommée Alisa Shevchenko. Des années plus tard, en décembre 2016, le Trésor des États-Unis imposerait des sanctions à la société Shevchenko, "Tsor Security", pour avoir eu une interférence prétendue dans les élections présidentielles américaines.

Sur Instagram, Shevchenko s'appelle "une autre petite nana hacker". Une connaissance décrivait Shevchenko à Meduza comme l'un des «pentesters» les plus capables de la Russie, disant qu'elle pouvait craquer presque n'importe quel système dans le monde. (Meduza n'a pas pu rejoindre Shevchenko directement). La source affirme que Shevchenko travaille très fort et passe tout son temps libre à lire des publications spécialisées. Sur son site Web, Shevchenko déclare qu'elle travaille actuellement sur les vulnérabilités et les exploits. Au printemps 2014, lors de la conférence de sécurité informatique annuelle «Positive Hack Days», Shevchenko a remporté la première place lors d'un concours Critical Infrastructure Attack d'une journée , En découvrant plusieurs vulnérabilités de jour zéro dans Indusoft Web Studio 7.1. Elle a déclaré plus tard que les protections en place étaient "triviales".

Shevchenko a lancé sa carrière en tant qu'analyste de virus informatique chez Kaspersky Labs. Ensuite, elle a commencé sa propre entreprise, "Esage", qui s'est spécialisée dans l'analyse des cyberdéfenses des différentes organisations. La société a obtenu ses activités auprès de «DialogueScience», un fournisseur de services, de produits et de solutions de sécurité informatique qui a conclu des contrats avec le Service fédéral de protection de la Russie et le Ministère de la défense. Plus tard, Esage a été rebaptisé «Digital Arms and Defence» (ou «Zor Security»), et il a commencé à exécuter des tests de pénétration en utilisant des courriels de phishing et des sites Web malveillants (les mêmes méthodes utilisées pour pirater les politiciens américains et les responsables sportifs internationaux).

Environ 10 personnes ont travaillé avec Shevchenko, toutes qu'elle a retrouvées sur des forums de pirates informatiques. Ensemble, selon Forbes, l'équipe a développé différents outils de piratage. Les responsables américains croient que la société de Shevchenko a fourni sa recherche et son développement au service de renseignement militaire de la Russie. "Je me suis réveillé à des tonnes d'enquêtes médiatiques sur une sorte de '0f ** k' liste dont je n'ai jamais entendu parler. Pas de codage aujourd'hui, semble-t-il ", a twitté Shevchenko, quelques heures après que le Trésor américain ait imposé des sanctions à son entreprise. Sa connaissance a dit à Meduza qu'elle est parti de la Russie. Le site Web de Zor Security, en attendant, ne charge plus qu'une page vierge.

                                                                    CHAPITRE 4

                                L'argent

 Le bug à 50 millions de dollars

Au cours de l'été 2015, la Banque centrale russe a créé "Fincert", un centre de suivi et de réponse aux incidents informatiques dans le domaine du crédit et de la finance. Grâce à Fincert, les banques peuvebnt partager des informations sur les cyberattaques, les analyser et obtenir des recommandations des agences de renseignement russes sur la façon de se défendre. En juin 2016, Sberbank a estimé que l'économie russe a perdu environ 600 milliards de roubles (près de 10,2 milliards de dollars) à cause de la cybercriminalité, avec 52 attaques contre les infrastructures critiques du pays en 2015 et 57 au cours des cinq premiers mois de 2016. Depuis lors, la banque exploite une société filiale appelée «Bizon» qui gère sa sécurité de l'information.

Selon le premier rapport sur le travail de Fincert (entre octobre 2015 et mars 2016), il y a eu 21 attaques ciblées sur l'infrastructure des banques russes, ce qui a entraîné 12 cas pénaux distincts. La plupart de ces attaques ont été le travail d'un seul groupe de pirates informatiques, codé "Lurk" en l'honneur du virus éponyme développé par ses membres. Le virus a permis au groupe de voler de l'argent de différentes entreprises commerciales et banques.

Les experts de la police et de la cybersécurité ont commencé à chercher les membres de Lurk à partir de 2011. En 2016, le groupe avait volé environ 3 milliards de roubles (50,7 millions de dollars) aux banques russes - un nouveau record.

Le virus Lurk différait des logiciels malveillants auxquels les spécialistes russes étaient confrontés dans le passé. Lorsque le programme a été testé dans un laboratoire, il n'a rien fait (d'où le nom "Lurk"). Plus tard, cependant, il s'est avéré que le logiciel malveillant était conçu comme un système modulaire, ce qui signifie qu'il télécharge progressivement des blocs supplémentaires avec diverses fonctions: de la journalisation des frappes et du vol de mot de passe jusqu'à la possibilité de diffuser de la vidéo depuis l'écran d'un ordinateur infecté.

Afin de diffuser le virus, le groupe a piraté les sites Web visités par les employés de la banque: des sites Web d’information (comme RIA Novosti et Gazeta.ru) aux forums comptables. Les pirates ont exploité des vulnérabilités dans les bannières publicitaires des sites Web, en les utilisant pour distribuer leurs logiciels malveillants. Sur certains sites, les pirates ont téléchargé des liens vers leur virus uniquement brièvement. Sur le forum d'un magazine comptable, par exemple, un hyperlien malveillant était en action seulement pendant quelques heures autour de l'heure du déjeuner en semaine, et même cela était suffisant pour trouver quelques victimes appropriées.

En cliquant sur l'un de ces bannières publicitaires infectées, les internautes ont été redirigés vers une page Web non sécurisée qui a infecté leurs ordinateurs et a permis à Lurk de commencer à collecter leurs informations. Les pirates s'intéressaient principalement aux logiciels de banque à distance, à la modification des numéros de facture dans les commandes de virement bancaire et à la réalisation de paiements non autorisés aux comptes des entreprises associées au groupe de pirates informatiques. Selon Sergey Golovanov, un analyste chez Kaspersky Lab, les groupes opérant de cette façon utilisent généralement des sociétés fantoches qui «ne se soucient pas de ce qu'ils transfèrent ou encaissent». Ces entreprises encaissent l’argent, le charge dans des sacs et les cachent dans des endroits discrets dans des parcs, où les pirates associés les recueillent.

Les membres du groupe cachèrent soigneusement leurs actions, cryptant toutes leurs communications quotidiennes et enregistrant leurs domaines sous de faux noms. "Les pirates utilisent des chaînes triples VPN, 'Tor' et des chats secrets, mais le problème est que même une machine très affûtée peut se gripper", explique Golovanov. "Une chaîne VPN échoue, ou une discussion secrète ne se révèle pas trop secrète, puis, au lieu d'appeler Telegram, quelqu'un fait un appel téléphonique ordinaire. C'est le facteur humain. Et lorsque vous avez accumulé une base de données avec des années d'information, tout ce que vous devez faire est de rechercher les incidents. Après cela, les enquêteurs peuvent s'adresser aux fournisseurs d'accès internet pour savoir qui a eu accès à l'adresse IP à un certain moment. Et alors, vous construisez le dossier pénal. "

Les images de la capture des pirates de Lurk ressemblent à un film d'action. Les fonctionnaires de l'Agence de gestion des urgences de la Russie ont cerné plusieurs maisons et appartements dans différents quartiers d'Ekaterinbourg, et les agents du FSB ont pris de l'assaut l'intérieur, s'attaquant aux pirates et les plaquant contre le sol. Les locaux des suspects ont été fouillés et ils ont été jetés dans des fourgonnettes de police, conduits sur une base aérienne et emmenés à Moscou.

Dans les garages détenus par les pirates informatiques, les agents FSB ont trouvé des voitures de luxe - Audis, Cadillacs et Mercedes - et des montres serties de 272 diamants. Les agents ont également confisqué des bijoux d'une valeur estimée à 12 millions de roubles (203 000 $) et plusieurs armes. Au total, la police a effectué environ 80 raids distincts dans 15 régions différentes, détenant environ 50 personnes.

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

Les hommes arrêtés étaient principalement les experts techniques du groupe. Ruslan Stoyanov, qui a participé à l'enquête sur les crimes de Lurk lors de son travail chez Kaspersky Lab, a déclaré que les dirigeants du groupe ont recruté plusieurs de ces personnes sur des moteurs de recherche ordinaires liés à l'emploi. Les offres d'emploi ne mentionnaient pas que le travail serait illégal, et Lurk offrait des salaires bien supérieurs aux niveaux du marché, et permettait au personnel de travailler à domicile. "Tous les matins, sauf le week-end, différentes personnes s'asseyaient devant leurs ordinateurs dans des endroits de toute la Russie et de l'Ukraine pour se rendre au travail", a déclaré Stoyanov. "Les programmeurs ont modifié la dernière version [du virus], les testeurs l'ont vérifié et la personne responsable du botnet a tout chargé sur le serveur de commande, après quoi il a été mis à jour automatiquement sur les robots-ordinateurs".

Les pirates informatiques et leurs avocats étudient actuellement les pièces du dossier, qui comprend environ 600 volumes. Le procès devrait débuter à l'automne. Un avocat des pirates informatiques, en cachant son nom, a déclaré qu'aucun des suspects n'accepterait un accord avec les procureurs, même si certains sont prêts à avouer une partie des charges. "Nos clients ont travaillé sur le développement de diverses parties du virus Lurk, mais beaucoup n'étaient tout simplement pas conscients qu'il s'agissait d'un programme de Troie", a expliqué l'avocat. "Quelqu'un écrivait une partie des algorithmes qui aurait aussi bien pu fonctionner dans un moteur de recherche [légitime]".

Les enquêteurs de la demeure

Il existe une division spéciale de cybercrimes au ministère de l'Intérieur russe, connu sous le nom de «Département K.» C'est ici que les programmeurs préparent des programmes analytiques spéciaux conçus pour démasquer des groupes de pirates comme Lurk. En examinant les anciennes adresses IP, les données du serveur et les informations sur les pirates informatiques dans des cas similaires, les programmes identifient les connexions que les enquêteurs peuvent manquer.

Les agents de police du département K travaillent à partir du quartier discret de Kiryakov sur la rue Petrovka à Moscou, en face du monastère de Vysokopetrovsky et à deux minutes d'une discothèque qui s'adresse à la communauté LGBT. Le département K occupe depuis la fin des années 90, lorsque le ministère russe de l'Intérieur a décidé de créer une unité spéciale de cybercriminalité, un domaine qui par le passé avait appartenu au collectionneur d'antiquités, le prince Mikhail Obolensky, un ancien médecin et dentiste. "Il y avait des cardeurs [fraudeurs de cartes de crédit] à l'époque, et même alors qu’il il était clair qu'une de nos principales tâches serait de lutter contre la propagation de la pornographie juvénile", a déclaré à Meduza la vice-présidente du département, Alexander Vurasko.

Ces officiers travaillent rarement habillés en uniforme de police. Ils sont plus susceptibles de porter un jean, une chemise courte, et peut-être une Apple Watch. Les visiteurs du bâtiment reçoivent une accréditation à l'entrée. Dans le couloir du deuxième étage, il y a une vitrine contenant différents cadeaux, y compris un vase en porcelaine de Gjel donné par un service de renseignement étranger. A côté, il y a un petit lot d'anneaux de pain baranka.

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

La police du département K court après les cybercriminels les plus sophistiqués de Russie, enquêtant sur des pirates informatiques qui travaillent dans des groupes bien cachés et bien organisés. Il y a plusieurs dizaines d'employés, et ce n'est pas un travail facile à obtenir: les candidats doivent avoir de l'expérience dans le secteur de la police, le droit et les technologies de l'information. Trouver de tels candidats peut être difficile. Certaines personnes sont recrutées dans l'université de Moscou du ministère de l'Intérieur ou dans l'Université Bauman, mais même ces personnes doivent inévitablement être recyclées.

Les agents du ministère se rassemblent dans leurs unités pour des réunions rapides tous les matins, et la direction tient une assemblé du ministère tous les vendredis. De nombreux membres du personnel commencent leur journée à 5 heures du matin quand la police aimerait monter des raids et détenir des suspects.

Cependant, tous les membres du département ne sont pas dans le domaine de Kiryakov. Il y a également du personnel spécialisé dans un autre endroit. Ils examinent les unités de données confisquées et d'autres équipements dans une «salle blanche» stérilisée spéciale.

"En 1999, tout le monde pouvait s’appeler programmeur", dit Vurasko. "Maintenant, tout est très spécialisé. Il y a des situations où nous ne pouvons pas comprendre tout par nous-même et il n'est pas logique de maintenir le personnel qui décompile les logiciels malveillants quand on peut se tourner vers ceux qui gagnent leur vie dans ce domaine, comme Group-IB, Kaspersky Lab , ou Positive Technologies. Ils peuvent obtenir de la publicité [pour leur travail] mais seulement nous ou le FSB pouvons en fin de compte boucler ces affaires en amenant les criminels devant la justice.

Vurasko dit que de nombreux policiers russes encore aujourd'hui ne comprennent pas les bases de la sécurité informatique. Ils ne savent pas ce qu’est une  adresse IP ou comprennent où envoyer des demandes de renseignements à la police spécialisée. Le département K tient souvent des séminaires pour les enquêteurs et les juges afin de leur apprendre les aspects techniques des cas de cybercriminalité.

Au cours des dernières années, le Département K a enquêté sur plusieurs cas similaires à celui de Lurk. Il s'agit d'un travail long et acharné, car la police tente toujours d'identifier tous les membres d'un groupe de pirates afin de les poursuivre en tant que groupe criminel organisé. Dans le cas contraire, la pratique montre que les suspects vont probablement s’en sortir avec des peines avec sursis.

"Pour communiquer les uns avec les autres, les pirates informatiques de ces groupes utilisent habituellement les serveurs jabber et toutes les principales messageries instantanés. Les organisateurs de ces groupes discutent de toutes les questions vitales sur des chaînes sécurisées », explique Vurasko, décrivant l'affaire contre Lurk.

Lorsque j’ai demandé si cela signifiait que la police n'avait pas pu accéder aux communications de Lurk, Vurasko a souri et a dit: "Permettez-moi de ne pas répondre à cette question."

L'affaire Stoyanov

Le 4 décembre 2016, quelques mois après qu’il avait aidé les enquêteurs sur l'affaire Lurk en tant que chef du département d'enquête de Kaspersky Lab, Ruslan Stoyanov est parti pour l'aéroport de Moscou afin d’embarquer pour un voyage d'affaires en Chine. Après avoir repris son billet, il a envoyé un message à sa femme, lui faisant savoir qu'il avait confirmé son vol. Cependant, Stoyanov n'a jamais atteint sa destination. Le lendemain, ses clients en Chine ont informé Kaspersky Lab que leur employé ne s’était pas présenté.

Ruslan Stoyanov a passé de nombreuses années à travailler dans la cybersécurité. Au début des années 2000, il a occupé le poste de police judiciaire au département K. Par la suite, il a travaillé au bureau de sécurité informatique de RTComm.ru (une filiale de Rostelecom qui a ensuite fourni des services de communication au Centre de sécurité de l'information du FSB en 2016). Par la suite, il a fondé sa propre entreprise pour mener des enquêtes indépendantes sur la cybersécurité et Kaspersky Lab a acquis son cabinet en 2012. Selon Evgeny Kaspersky, Stoyanov «a travaillé en étroite collaboration avec le Centre de sécurité de l'information du FSB».

Quelques jours après la disparition de Stoyanov, Kaspersky Lab a révélé que celui-ci avait été détenu par des agents du FSB et qu'il était détenu à la prison de Lefortovo - un centre de détention habituellement réservé aux criminels considérés comme une menace pour la sécurité nationale. En janvier 2017, le public a appris que Stoyanov était confronté à des accusations de trahison de l'État aux côtés de plusieurs gestionnaires de TsIB, y compris Sergey Mikhailov, qui a supervisé la division entière de la cybercriminalité de l'agence. Il n'y a pas de données publiques fiables sur l'affaire contre Stoyanov et Mikhailov. Selon une source anonyme impliquée dans l'enquête, les suspects sont accusés d’«avoir reçu de l'argent d'une organisation étrangère».

                                                                  CHAPITRE 5

                                Le futur

 

Le bureau de Kaspersky Lab à Moscou est situé sur la rive du réservoir Khimki, non loin de la station de métro "Vodny Stadion". La société a acquis ces trois grands bâtiments neufs en 2013 pour 350 millions de dollars. Derrière les bâtiments, il y a deux terrains de foot et quelques petits chemins qui mènent au front de mer, au fil desquels les employés de l'entreprise aiment se promener et discuter du travail. Dans les étés, les tournois féminins de volleyball se déroulent à proximité. Pendant les heures de déjeuner, les employés de bureau de la région achètent des tasses de café et assis dans les stands.

Le 12 mai 2017, le jour où le virus "WannaCry" s'est soudain répandu à travers le monde, l'immeuble de Kaspersky Lab a été vidé rapidement. Même les membres du personnel qui ne quittent généralement pas le bureau étaient en mission, se réunissent avec des clients qui se battent contre le nouveau système de ransomware. Un employé de Kaspersky Lab a déclaré à Meduza que le personnel qui effectue ces visites prend généralement avec eux des "valises spéciales" emballées avec toutes sortes de disques durs, de câbles et de disques durs "propres", ainsi qu'une poignée de barres énergétiques et un thermos de café.

© Meduza / Sasha Baranovskaya © Meduza / Sasha Baranovskaya

Les téléphones de Kaspersky Lab ce jour-là n'arrêtaient pas de sonner et il n'y avait pas assez de personnel à disposition. "C'était un vendredi et j'ai dit aux appelants:" Nous allons venir samedi ", et ils répondaient:" Cela ne nous préoccupe pas, tant que tout fonctionne le lundi ", a déclaré Sergey Golovanov à Meduza.

Au cours des prochains jours, le virus WannaCry a attaqué environ 200 000 ordinateurs à travers le monde, de l'opérateur ferroviaire Deutsche Bahn en Allemagne, aux usines de voitures Renault en France en passant par les usines Nissan au Japon et de Telefonica en Espagne et aux hôpitaux publics de Grande-Bretagne. En Russie, le virus a frappé l'opérateur téléphonique Megafon, dont le personnel a été bloqué hors du réseau informatique interne de l'entreprise. Le ransomware a également chiffré et désactivé des ordinateurs dans plusieurs postes de police à travers le pays, interrompant la délivrance de permis de conduire dans certains endroits.

Pour mener à bien l'attaque, les créateurs de WannaCry ont utilisé une cybercriminalité appelée «EternalBlue» volée à l'Agence de sécurité nationale des États-Unis. Près d'un an plus tôt, le 14 avril 2016, les pirates d'un groupe qui s'appelait "Shadow Brokers" ont publié le code source d'EternalBlue, déclarant: "Nous trouvons des cyberarmes créées par [les] créateurs de Stuxnet, Duqu, Flame", apparemment référant à la NSA. Interrogé sur l'exploitation de vulnérabilités de WannaCry dans Windows, le président de Microsoft, Brad Smith, a comparé les pirates qui ont volé les logiciels malveillants de la NSA à «l'armée américaine ayant des missiles Tomahawk volés».

Un mois après WannaCry, un virus de ransomware similaire appelé "Petya" a commencé à infecter des ordinateurs en Russie, en Ukraine et en Occident. Plus que n'importe où, l'attaque a été la pire en Ukraine, où les opérateurs téléphoniques locaux, les banques, les entreprises électriques, le métro de Kiev, le réseau électrique de Dnipropetrovsk et l'aéroport de Borispol ont tous perdu l'accès à leurs ordinateurs. Les auteurs de Petya disaient être un groupe progouvernemental appelé "Black Energy" qui a déjà attaqué des institutions électriques et financières en Ukraine. Les experts de la cybersécurité ne sont pas d'accord sur le fait que l'Etat soutienne les pirates informatiques. Certains disent que c'est la Russie, tandis que d'autres soutiennent que ce pourrait être presque n'importe quel pays.

Le 23 décembre 2015, environ 230 000 personnes ont été laissées sans électricité dans l'oblast d'Ivano-Frankivsk dans l'ouest de l'Ukraine après que la société d'électricité Prikarpateoblenergo ait déclaré que ses systèmes étaient piratés. Selon l'opérateur de la station de la compagnie, ce jour-là il a perdu le contrôle de son ordinateur et regardé impuissant le curseur de son moniteur se déplacer seul. Il a alors cliqué sur le commutateur de coupure pour l'une des sous-stations. Une analyse de la cyberattaque a révélé plus tard que les pirates informatiques ont passé environ six mois à se préparer: ils ont d'abord envoyé des courriels d'hameçonnage avec des « exploits » au personnel de la centrale, puis ont introduit des logiciels malveillants «Blackenergy» pour s’enraciner dans le réseau informatique de l'entreprise.

Créditant le programme GosSOPKA du FSB, le secrétaire adjoint du Conseil de sécurité nationale russe, Oleg Khramov, a affirmé que WannaCry et Petya n'ont pas causé de dégâts sur l'infrastructure critique du pays. Les experts de la cybersécurité, cependant, disent que la Russie devrait accroître  sa défense à plus d'attaques.

"Ce n'est que la version de démonstration d'une futur cyberguerre à grande échelle", conclut le rapport du groupe IB sur WannaCry. "Il est devenu clair combien le monde moderne est vulnérable aux armes numériques des arsenaux des agences de renseignement et des cyberarmées lorsqu'elles tombent dans d'autres mains. Malheureusement, toute l'histoire de l'humanité montre que les militaires continuent à vivre en anticipation de la prochaine guerre. Et l'existence d'ennemis étrangers entraîne des budgets gonflés et des agents cherchant une autre étoile. La blague qui tourne en ce moment est que toute guerre, y compris une cyberguerre, grâce au développement d'armes modernes, pourrait être la dernière de l'humanité.

 

Source : GrandFacho.com

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.