Par Checkpoint
Le FBI a émis une alerte annonçant que « les menaces » pour la sécurité des élections américaines perpétrées par « des pirates sponsorisés par des États restent une préoccupation persistante », et que l’organisme travaille d’arrache-pied pour les découvrir et les stopper. Le directeur du renseignement américain a nommé un chargé de mission pour veiller à la sécurité des élections, expliquant que la sécurité des élections est désormais « une priorité absolue pour la communauté du renseignement, qui doit apporter le meilleur soutien possible à cet enjeu critique ».
Dans cet esprit, un nouveau rapport établi par l’entreprise de cybersécurité
Check Point fournit une lecture qui donne à réfléchir. « Il est clair pour nous, » selon Check Point, « que les Russes ont investi beaucoup d’argent et d’efforts au cours du premier semestre de cette année pour se doter de capacités d’espionnage à grande échelle. Compte tenu du calendrier, de la conception unique de la sécurité opérationnelle et de l’investissement considérable en ressources, nous estimons que nous pourrions assister à une telle attaque à l’approche des élections américaines de 2020. » Rien de tout cela n’est nouveau. Il serait plus surprenant qu’il n’y ait pas d’attaque. Ce qui est nouveau par contre, c’est que Check Point dévoile l’étendue même de la machine de cyberattaques russes, de sa structure et de l’énorme investissement requis. Et la constatation la plus déconcertante est que la Russie a bâti un écosystème pour en assurer la résilience, sans que le coût ait la moindre importance. Elle a formé une structure conçue pour des attaques par vagues. Check Point pense que cela fait déjà une décennie ou plus, et qu’il serait « presque impossible » pour les États-Unis de se défendre contre des attaques russes concertées. La nouvelle étude a été menée par Check Point en collaboration avec Intezer, un spécialiste de l’analyse génétique des logiciels malveillants.
Elle a été effectuée par Itay Cohen et Omri Ben Bassat, qui ont plongé profondément au cœur de l’écosystème des menaces russes pour obtenir « une perspective étendue ». « Le brouillard derrière lequel se cachent ces opérations compliquées nous a fait comprendre que même si nous en savons beaucoup sur des acteurs isolés, » explique l’équipe, « il nous manque l’écosystème complet. » Pour ce faire, Check Point a décidé d’analyser toutes les données connues sur les auteurs des menaces, des attaques et des logiciels malveillants, afin de rechercher des modèles et d’établir toutes les connexions. « Cette étude est la première et la plus complète jamais réalisée. Des milliers d’échantillons ont été rassemblés, classés et analysés, afin de cartographier les liens entre les différentes organisations de cyberespionnage d’une superpuissance. » L’équipe espérait trouver des liens étroits, des connexions entre des groupes travaillant au sein de différentes agences russes, notamment OFS, SVR, FSB, GRU. Après tout, on peut raisonnablement s’attendre à ce que tous les groupes de menaces parrainés par l’État russe soient du même côté et suivent globalement les mêmes objectifs. Ce n’est cependant pas ce qu’ils ont trouvé. Les résultats de l’étude ont en réalité des implications bien plus terrifiantes, quant à la capacité de la Russie d’attaquer les États-Unis et ses alliés sur un large éventail de fronts, que l’équipe ne l’avait prévu. Il apparaît que l’arme secrète de la Russie est une structure organisationnelle qui a nécessité des années de mise au point, et qui rend la détection et l’interception extrêmement difficiles. « Les résultats de l’étude étaient surprenants, » explique Itay Cohen durant notre entretien.
« Nous nous attendions à voir des connaissances et des bibliothèques de code partagées entre les différentes organisations de l’écosystème russe. Mais rien de tout cela. Nous avons trouvé des ensembles de groupes partageant du code les uns avec les autres, mais aucune preuve de partage de code entre différents ensembles. » Et bien que de telles conclusions puissent s’expliquer par des raisons de politique et de concurrence entre agences, l’équipe de Check Point a conclu qu’il était plus probable que la sécurité opérationnelle en est le motif réel. « Le partage de code est risqué : si un chercheur en sécurité découvre une famille de logiciels malveillants intégrant du code partagé avec différentes organisations, le fournisseur de sécurité peut donc découvrir ces autres organisations. » L’approche implique des niveaux d’investissement extraordinaires. « De mon point de vue, » poursuit Yaniv Balmas, responsable de la recherche chez Check Point, « nous avons été surpris et contrariés. Nous voulions trouver de nouvelles relations et nous ne le pouvions pas. Cette somme d’efforts et de ressources entre les six énormes ensembles implique un investissement considérable de la part de la Russie dans le cyberespace offensif. Je n’ai jamais vu cela auparavant. » Et cette approche a pris du temps. « C’est une opération en continu, » précise Itay Cohen. « Elle existe depuis au moins une décennie. Une opération de cette ampleur ne peut être réalisée que par la Chine, la Russie ou les États-Unis. Mais je n’ai jamais rien vu de tel auparavant. »
L’étude est résumée dans « une très belle carte, » comme le décrit Yaniv Balmas. Cette carte a été développée par Check Point et la société d’analyse israélienne Intezer. C’est un outil interactif complexe qui permet aux chercheurs de consulter des échantillons de logiciels malveillants et des incidents, et d’afficher les relations au sein des ensembles et des groupes isolés opérant à un niveau supérieur.
CHECK POINT
L’étude a été orientée comme un avis de sécurité avant les élections américaines de 2020. La Russie est en mesure de lancer des vagues d’attaques concertées. La communauté de sécurité américaine sait pertinemment que les élections seront presque certainement sujettes à un certain niveau d’attaque. Mais les conclusions de l’étude suggèrent quelque chose de beaucoup plus sinistre. Une plate-forme de cyberguerre qui a des implications pour les élections, mais également pour les réseaux de distribution d’électricité, les réseaux de transport et les services financiers.
CHECK POINT
« C’est la partie alarmante, » me dit Ekram Ahmed de Check Point. « L’absence de relations. Le volume et les besoins en ressources nous amènent à penser que cela mène à quelque chose d’énorme. Nous sommes des chercheurs. Si cela nous inquiète, cela devrait certainement inquiéter le reste du monde. » Alors, quel est le problème ? En termes simples, c’est la possibilité pour la Russie d’attaquer de manière concertée sous différents angles. De multiples vagues d’attaques et différentes méthodologies ayant un objectif commun. Trouver et tirer sur un fil ne mène malheureusement à aucune autre pelote. Aucune recherche d’efficacité n’existe entre les familles de pirates. « L’attaque a toujours un avantage sur la défense, » commente Yaniv Balmas, « mais c’est encore pire ici. Compte tenu des ressources investies par la Russie, il est pratiquement impossible de se défendre. » « C’est très alarmant, » explique Check Point dans son rapport, « parce que cette architecture ségréguée permet aux Russes de séparer les responsabilités et les campagnes d’attaque à grande échelle, créant finalement des moyens offensifs à plusieurs niveaux spécifiquement requis pour effectuer un piratage d’élection à grande échelle. Et nous savons que la création de tels moyens coûte des milliards de dollars. » Je passe beaucoup de temps à discuter avec des chercheurs en cybersécurité. Et compte tenu de la situation géopolitique actuelle, du Golfe, de la guerre commerciale, des « Internets parallèles », il y a certainement beaucoup à dire. Mon sentiment ici est l’effet de surprise et l’inquiétude suscités par ce que nous avons vu, par l’étendue et les perspectives stratégiques, les implications. Et l’une de ces implications est que les nouvelles menaces, les nouveaux pirates seront plus difficiles à détecter s’ils suivent la même approche. C’est certainement ce que pense l’équipe Check Point. « C’est la première fois que nous cartographions tout un écosystème de cette envergure, » explique l’équipe, « la représentation la plus complète jamais réalisée des moyens de cyberespionnage russe ». Et les attaques provenant de la Russie, quel que soit le groupe responsable, tendent à être différentes de celle des Chinois, des Iraniens et des Nord-Coréens. « Les attaques russes ont tendance à être très agressives, » explique Yaniv Balmas. « Habituellement, dans le renseignement et l’offensive, l’idée est de faire des choses sans que quiconque ne sache ce que vous faites. Mais les Russes font le contraire. Ils sont très bruyants. Ils chiffrent ou empêchent le fonctionnement des systèmes qu’ils attaquent. Ils formattent des disques durs. Ils semblent aimer cela. Alors on peut considérer qu’une attaque contre des élections sera probablement très agressive. » En se projetant en 2020, explique Ekram Ahmed, « compte tenu de ce que nous pouvons voir, de l’organisation et de l’ampleur même des investissements, il serait difficile d’arrêter une offensive ; très difficile. » Itay Cohen réitère les énormes implications de ce qu’ils ont découvert en termes d’investissement. « Cette séparation montre que la Russie n’a pas peur d’investir des sommes énormes dans cette opération. Rien n’est fait pour économiser de l’argent. Différentes organisations avec différentes équipes travaillant sur le même type de logiciel malveillant, mais sans partager de code. Cela coûte très cher. » La totalité de l’étude et la carte interactive sont disponibles en open source, explique Itay Cohen. « Les chercheurs peuvent voir les liens entre les familles, mieux comprendre l’évolution des familles et des logiciels malveillants de 1996 à 2019. » La menace perçue pour les élections de 2020 est une « hypothèse », reconnaît Check Point, « qui repose toutefois sur la manière dont les Russes s’organisent, sur la manière dont ils construisent les fondements de leur écosystème de cyberespionnage. » Alors, en prenant du recul, qu’avons-nous appris ici ? Il y a eu de nombreuses annonces ces derniers mois quant aux pirates parrainés par des États et leurs tactiques, techniques et procédures. Une récente étude de Check Point que j’ai également couverte faisait état des pièges tendus par la Chine pour capturer des logiciels malveillants de la NSA. En résumé, toute cette visibilité sur les approches russes et chinoises, en particulier, permet de mieux appréhender les menaces, dans un paysage mondial de la cyberguerre plus complexe et intégré aux menaces physiques auxquelles nous sommes également confrontés. Lundi [23 septembre], 27 États ont signé une « Déclaration commune pour un comportement responsable des États dans le cyberespace », citant l’utilisation du cyberespace « pour cibler les infrastructures critiques et nos citoyens, saper les démocraties et les institutions et les organisations internationales, et entraver la libre concurrence dans notre économie mondiale en volant les idées quand ils ne peuvent les créer ». La déclaration vise la Russie et la Chine en particulier, et la carte Check Point du cyberespionnage russe, qui est disponible en ligne, est un exemple concret de la façon dont de telles campagnes sont soutenues dans la pratique.