Dans un contexte de numérisation croissante de nos sociétés, la prolifération du nombre de cyber-attaques visant non seulement des individus, des entreprises mais également des Etats confère au cyberespace une dimension stratégique. En effet, dans la mesure où cet espace devient une nouvelle source de pouvoir, sa maitrise, sa sécurisation et sa domination sont devenues des préoccupations majeures des acteurs économiques et politiques. Au-delà du nouvel espace de jeu que représente l’espace cyber pour les cybercriminels, ce dernier est également devenu le nouvel échiquier des affrontements géopolitiques, comme ont pu le démontrer la crise ukrainienne ou les soupçons de piratage russe lors de la campagne présidentielle américaine. L’une des particularités de ce nouveau théâtre de compétition réside dans la multiplicité des acteurs qui y sont présents et notamment l’absence de démarcation claire entre agents d’Etats, criminels, patriotes et petits développeurs de malwares agissant pour leur propre compte.

Cette distinction entre public et privé semble plus difficile dans le cas des acteurs russes, qui sont particulièrement actifs et compétitifs. Ces derniers bénéficient notamment d’une certaine protection de Moscou lorsqu’ils opèrent du territoire russe, tant que leurs activités n’ont d’impact ni sur les citoyens russes, ni sur ceux des anciens membres de l’Union Soviétique.

Au cours des dernières années, les campagnes de piratage à grande échelle sont devenues plus précises et performantes qu’auparavant, et prennent la forme d’attaques désormais géo-localisées et très ciblées. Corollaire de cette évolution, la programmation de logiciels malveillants conçus pour épargner certains pays complexifie encore la distinction déjà difficile entre acteurs privés et publics. On observe que les pays bénéficiant de ce traitement de faveur sont généralement la Russie et les anciens pays de l’Union Soviétique. Avant d’être activés, ces logiciels sont programmés de manière à détecter divers éléments pouvant indiquer l’origine ou la localisation du propriétaire de l’ordinateur sur lequel ils ont été téléchargés : adresse IP, fuseau horaire, nom de domaine, langue par défaut de l’ordinateur et du clavier. Si ces éléments indiquent que l’ordinateur appartient à un ressortissant de l’un des pays « à éviter », le logiciel malveillant ne s’active alors pas. Ce cas de figure s’est par exemple présenté lors la dernière version de l’attaque du ransomware « Locky ». En 2016, ce dernier a fait plus de 400 000 victimes sur la première semaine seulement suivant sa détection, touchant 105 pays avec en moyenne 90 000 appareils infectés par jour. « Locky », tout comme « Cerber », un autre ransomware distribué à grande échelle, est programmé pour éviter les ordinateurs russophones. Les variantes des Chevaux de Troie « The Win32/TrojanDownloader.Swizzor » et « Win32/Conficker », ainsi que plus récemment du ransomware « Hermes » présentent également des caractéristiques similaires.

Outre leur patriotisme et la possibilité d’un soutien direct de Moscou – les deux étant souvent difficiles à dissocier, les précautions que prennent les hackers russes pour ne pas s’attaquer à certains acteurs s’expliquent également par fait que La Russie est devenue un véritable sanctuaire pour les cybercriminels. Les observateurs ont mis en avant les trois règles non écrites du cyberespace russophone. La première et plus importante d’entre elles est de n’attaquer ni la Russie, ni les anciens membres de l’Union Soviétique. La seconde concerne un accord tacite entre le gouvernement russe et les hackers sur l’idée que refuser les sollicitations des services de renseignement faisant appel à leurs compétences serait malvenu. Moscou a tendance à fermer les yeux sur les acteurs présents sur son territoire et soupçonnés d’être à l’origine d’activités criminelles dans le cyberespace, refusant généralement de coopérer avec d’autres pays dans en matière de lutte contre la cybercriminalité et ne répondant que rarement aux demandes d’extraditions. Cependant, lorsqu’un cybercriminel enfreint l’une des deux règles mentionnées ci-dessus, l’attitude des autorités russes devient généralement bien moins conciliante. Le cas du hacker russe Dimitri « Paunch » Fedotov fait référence en la matière. Ce dernier aurait développé le kit d’exploitation de vulnérabilités BlackHole, détecté pour la première fois en 2010 et loué par de nombreux pirates pour lancer des cyber-attaques à travers le monde, dominant le marché des logiciels malveillants en 2012. Fedotov et son gang ont finalement été arrêtés par la police russe en octobre 2013, lorsqu’ils s’attaquent à une banque en Russie. Un cas similaire est celui de l’arrestation de frères jumeaux russes accusés d’être à l’origine d’un malware ayant fait pour victimes des clients de Sberbank, l’une des banques les plus importantes de Russie et d’Europe de l’Est dans laquelle le gouvernement russe n’est autre que l’actionnaire majoritaire. Enfin, la troisième règle du cyberespace russe, qui est directement liée au fait que la Russie constitue désormais une zone de sécurité pour les hackers, est d’être extrêmement vigilant quant aux sorties de ces hackers du territoire russe. Face à la résistance de Moscou pour extrader ses nationaux, les pays souhaitant mettre la main sur un hacker établi en Russie doivent attendre que ce dernier sorte du territoire. Le hacker russe Vladimir Drinkman, accusé d’avoir orchestré des attaques contre des banques américaines, a par exemple été arrêté lors de son séjour aux Pays-Bas en 2012, sur demande du procureur des Etats-Unis. Plus récemment, en avril 2017, le spammeur russe Peter « Severa » Levashov, classé septième des pires spammeurs du monde par l’ONG Spamhaus Project, a été arrêté par la police espagnole. Severa est notamment soupçonné d’être à l’origine du botnet « Kelihos », décrit par le ministère de la Justice américain comme un « réseau mondial de dizaines de milliers d’ordinateurs infectés […] utilisé pour faciliter des activités malveillantes… ». Peu de temps après l’arrestation de Severa, Washington a demandé son extradition et annoncé vouloir démanteler « Kelihos ». Malgré les tentatives russes pour bloquer la requête américaine auprès des autorités espagnoles, Madrid a finalement statué en faveur de Washington début octobre 2017.

La décision de hackers opérant de Russie ou de pays de l’ex-Union Soviétique de ne pas s’attaquer à ces mêmes pays peut ainsi être comprise à la fois comme un acte patriotique et comme une mesure d’autoprotection. Ces pratiques peuvent donc par déduction aider à déterminer l’origine de certains logiciels malveillants. Mais elles peuvent également induire en erreur et être utilisées pour mener des attaques sous fausse bannière : on remarque en effet depuis quelque temps que certains logiciels malveillants sont programmés de manière à éviter ces mêmes pays, alors que leurs auteurs ne sont pas originaires ou ne travaillent pas pour ces pays épargnés.

Des documents publiés par Wikileaks affirment ainsi que la CIA a tenté de déguiser ses propres attaques et de les attribuer aux Russes, aux Chinois, aux Nord-coréens ou encore aux Iraniens. Cette volonté de déguiser l’origine des attaques peut avoir pour objectif d’entraver les enquêtes, mais pourrait également avoir pour ambition de nourrir des tensions internationales en imputant l’attaque à des pays rivaux. Ces attaques deviennent alors des instruments d’un nouveau type d’affrontements géopolitiques qui se jouent dans le cyber espace où se mêlent compétitions de « soft-power » et « hard power ».

Enfin, l’échange transnational d’outils informatiques entre cybercriminels complique d’autant la situation. De même que dans l’espace physique des armes sont commercialisées internationalement, l’acquisition de logiciels malveillants a également lieu entre cyber-acteurs internationaux. Dans ce cas de figure, une attaque peut être perpétrée par un acteur d’un pays A à l’aide d’un logiciel développé par un individu d’un pays B. Les analystes en Cyber Threat Intelligence de CEIS ont par exemple constaté que des hackers nord-coréens se sont fournis dans les usines d’armement cyber russophones. En effet, le ransomware « Hermes » utilisé par le groupe Lazarus, probablement d’origine nord-coréenne, pour camoufler des vols bancaires lors de l’attaque du système SWIFT de la banque taiwanaise Far Eastern International Bank, a initialement été acheté sur un forum russophone. Les particularités de ce ransomware, programmé pour se désactiver lorsque les langues par défaut du système sur lequel il est téléchargé sont le russe, l’ukrainien et le biélorusse, ont ainsi permis de l’identifier.

Ces malware spécialement programmés pour contourner certains pays permettent de tirer plusieurs conclusions de l’état du cyberespace à ce jour. Premièrement, de nombreux enjeux économiques et géopolitiques de l’espace physique sont aujourd’hui transposés dans un cyberespace caractérisé par son opacité. Les malware russes programmés pour éviter la Russie et les pays de la CEI laissent penser que les cybercriminels pourraient avoir négocié une sorte de « pacte de non-agression » avec le FSB, le service fédéral de sécurité russe, en échange d’une certaine tranquillité dans le pays. Ensuite, la programmation du malware « Hermès » met en évidence un élément de complexité propre à l’espace cyber : la distinction difficile différents acteurs publics et privés, en particulier leurs liens avec des Etats. Toutefois, la spécificité de ces malwares qui contournent les pays de la CEI indique que Moscou aurait acquis un certain contrôle sur le cyberespace russophone, l’un des plus actifs et avancés. En cela, et pour finir, le Kremlin semble disposer d’un avantage vis-à-vis des autres acteurs étatiques, dans un cyberespace souvent considéré comme une zone de « non-droit », difficile à contrôler pour les centres d’autorité traditionnels.

 

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.