Une carte montrant des attaques informatiques sur le réseau chinois, lors d’une conférence de sécurité informatique à Pékin, le 12 septembre. / Mark Schiefelbein / AP

Depuis une quinzaine d’années, les principaux services de renseignement du monde ont investi Internet pour faire ce qu’ils ont toujours fait : récolter des informations. Au XXI^e siècle, en concevant des logiciels d’espionnage toujours plus furtifs et complexes, ils ont simplement ajouté une nouvelle corde à leur arc.

Face à eux, un nombre croissant d’entreprises spécialisées en sécurité informatique, dont une partie des équipes sont spécialisées dans le repérage et l’analyse de ces programmes espions. En décryptant et en révélant publiquement le contenu de leurs recherches sur ce nouveau type d’outils à disposition des Etats, ces entreprises ont contribué à braquer une lumière inédite sur des opérations d’espionnage entre pays qui seraient sans doute restées, en d’autres temps, dans l’ombre.

Avec cette lumière viennent les questions : qui se cache derrière le groupe APT28, suspecté par plusieurs entreprises d’être d’origine russe et par le gouvernement américain d’être le bras armé du Kremlin ? Et derrière le groupe Equation, dont l’infinie sophistication laissait penser à une origine américaine ? Et le groupe Animal Farm, soupçonné par certains d’être une opération d’espionnage pilotée par les Français de la Direction générale de la sécurité extérieure (DGSE) ? Et le groupe Lazarus, dont l’origine nord-coréenne a été avancée et dont certains outils comportaient une ressemblance troublante avec le rançongiciel WannaCry ?

Processus d’identification complexe mais crucial

Autant de questions qui peuvent avoir un impact géopolitique majeur : la plupart des grands pays industrialisés estiment qu’une opération hostile dans le « cyberespace » peut justifier une réplique par tout moyen, y compris physiques. Mais la question de savoir qui se cache derrière une attaque ou une opération d’espionnage informatique est d’une extrême complexité, tant ces groupes ont sû exploiter une des caractéristiques du numérique, celle de brouiller les traces, transformant Internet en un champ de bataille enfumé.

Deux chercheurs de premier plan travaillant pour l’éditeur russe Kaspersky, Juan Andres Guerrero-Saade et Costin Raiu, ont présenté mercredi 4 octobre à Madrid, dans le cadre de la conférence Virus Bulletin, les conclusions de travaux prouvant un peu plus les difficultés de savoir d’où partent les coups dans le cyberespace.

Les deux chercheurs ont présenté plusieurs cas où des groupes d’espionnage étatiques s’étaient attaqués les uns les autres. La raison ? Avoir accès aux informations que dérobe un service de renseignement rival, mais surtout lui subtiliser ses propres outils voire utiliser en douce son infrastructure technique afin « de perpétrer des attaques en son nom ». Bref, selon eux, « les jeux d’ombre de l’espionnage traditionnel sont également à l’œuvre sur le front numérique ».

Pendant longtemps, les chercheurs étaient ainsi persuadés que deux groupes d’espionnage, DarkHotel et ScarCruft, étaient une seule et même équipe. En effet, ils utilisaient tous les deux un site piraté pour distribuer leur logiciel espion. En réalité, expliquent aujourd’hui les chercheurs de Kaspersky, les deux groupes sont distincts et « StarCruft a très bien pu observer les attaques perpétrées par DarkHotel » afin de les imiter. DarkHotel a également inspiré le groupe Lazarus, selon les chercheurs de Kaspersky : ce dernier s’étant récemment mis à utiliser un outil que l’on pensait être l’apanage de DarkHotel.

Dancing Salome, récemment découvert par les chercheurs de Kaspersky, est un autre exemple d’un groupe d’espionnage. Ce dernier ne s’est pas embarrassé à construire lui-même un outil d’espionnage. Il a repris celui de l’entreprise Hacking Team, piratée en 2015 et dont l’arsenal a été publié en ligne. Un moyen pour lui de gagner en efficacité, à moindre coût et en restant discret.

Les informations révélées par les entreprises spécialisées comme Kaspersky peuvent même être utilisées par certains services, ces derniers pouvant s’inspirer des méthodes et des outils utilisés par les groupes dont le fonctionnement est détaillé par les entreprises.

Brouiller les pistes

Parfois, les espions se piratent eux-mêmes : en étudiant le fonctionnement du groupe de pirates EnergeticBear, dans lequel certains voient également la main russe, les chercheurs de Kaspersky ont remarqué que pendant une très brève période de temps, une image quasi-invisible à l’œil nu (1 pixel de large et de haut) avait été insérée dans le système utilisé par le groupe pour piloter son virus. A chaque fois qu’un des opérateurs d’Energetic Bear devait se connecter à cette interface, il chargeait sans le savoir cette image, envoyant sur le serveur où elle était hébergée des informations basiques le concernant. Cette technique, plus courante chez les publicitaires que chez les espions, a été utilisée pour brouiller un peu plus les pistes : cette image était hébergée sur un serveur chinois. Une piste ? Au contraire, estiment les chercheurs de Kaspersky : ce serveur ayant lui-même été piraté, il s’agit en réalité d’une ruse grossière pour distraire les enquêteurs sur la véritable provenance de cette manœuvre.

Les travaux de Juan Andres Guerrero-Saade et de Costin Raiu amèneront de l’eau au moulin de ceux qui estiment que voir à travers le brouillard de l’affrontement numérique et déterminer avec certitude d’où provient une cyberattaque est chose rigoureusement impossible. Ce serait une erreur, affirment cependant les deux chercheurs. Pour eux, la capacité d’attribution d’une opération informatique sur la seule base d’indices numériques est bien illusoire et « hors de portée pour le secteur privé ». Mais il en va différemment, écrivent-ils, pour certaines agences de renseignement des pays les plus puissants, qui croisent le plus souvent les indices techniques avec des informations « de terrain ».

La France emprunte justement ce chemin. Selon un proche du dossier, l’évaluation du dispositif de la cyberdéfense française, engagée avant l’été par le premier ministre, se penchera sur les capacités d’attribution des services de renseignement français en matière de cyberattaques, en vue de les renforcer.