Alors
que les membres et les partenaires de l'Organisation du traité de l'Atlantique
Nord (OTAN) se réunissent pour un sommet historique, il est important de faire
le point sur l'un des défis les plus pressants de l'Alliance : la cybermenace.
L'Alliance est confrontée à un déluge de cyberactivités malveillantes provenant
du monde entier, menées par des acteurs parrainés par des États, des
hacktivistes et des criminels enhardis qui sont prêts à franchir les lignes et
à mener des activités qui étaient auparavant considérées comme improbables ou
inconcevables. Outre les cibles militaires, l'OTAN doit prendre en compte les
risques que les menaces hybrides, telles que les cyberactivités malveillantes,
font peser sur les hôpitaux, la société civile et d'autres cibles, ce qui
pourrait avoir une incidence sur la résilience en cas de situation d'urgence.
La guerre en Ukraine est sans aucun doute liée à l'escalade des cybermenaces,
mais nombre de ces menaces continueront à se développer séparément et en
parallèle.
L'OTAN doit faire face
à des cyberacteurs clandestins et agressifs qui cherchent à recueillir des
renseignements, se préparent à attaquer des infrastructures critiques ou sont
en train de le faire, et s'efforcent d'affaiblir l'Alliance au moyen de plans de
désinformation élaborés. Afin de protéger ses clients, Google suit de près les
cybermenaces, y compris celles mises en évidence dans le présent rapport, mais
il ne s'agit là que d'un aperçu d'un paysage beaucoup plus vaste et en
constante évolution.
Le cyberespionnage
Les adversaires de
l'OTAN cherchent depuis longtemps à tirer parti du cyberespionnage pour mieux
comprendre les dispositions politiques, diplomatiques et militaires de
l'Alliance et pour voler ses technologies de défense et ses secrets
économiques. Toutefois, dans les mois à venir, le renseignement sur l'Alliance
revêtira une importance accrue. Le sommet de cette année est une période de
transition, avec la nomination de Mark Rutte en tant que nouveau secrétaire
général et un certain nombre d'adaptations qui devraient être mises en œuvre
pour renforcer le dispositif de défense de l'Alliance et son soutien à long
terme à l'Ukraine. Un cyberespionnage réussi de la part d'acteurs menaçants
pourrait potentiellement compromettre l'avantage stratégique de l'Alliance et
informer les dirigeants de l'adversaire sur la manière d'anticiper et de
contrecarrer les initiatives et les investissements de l'OTAN.
L'OTAN est la cible
d'activités de cyberespionnage menées par des acteurs du monde entier dont les
capacités varient. Nombre d'entre eux s'appuient encore sur des méthodes
simples sur le plan technique mais efficaces sur le plan opérationnel, comme
l'ingénierie sociale. D'autres ont évolué et élevé leur savoir-faire à des
niveaux qui en font des adversaires redoutables, même pour les défenseurs les
plus expérimentés.
APT29 (ICECAP)
Attribué publiquement
aux services de renseignement extérieur russes (SVR) par plusieurs
gouvernements, APT29 se concentre fortement sur la collecte de renseignements
diplomatiques et politiques, en ciblant principalement l'Europe et les États
membres de l'OTAN. APT29 a été impliqué dans de nombreuses violations très
médiatisées d'entreprises technologiques conçues pour fournir un accès au
secteur public. Au cours de l'année écoulée, Mandiant a observé qu'APT29
ciblait des entreprises technologiques et des fournisseurs de services
informatiques dans les pays membres de l'OTAN afin de faciliter la
compromission de tierces parties et de la chaîne d'approvisionnement en
logiciels des organisations gouvernementales et politiques.
APT29 a également une
longue expérience des campagnes de spear-phishing contre les membres de l'OTAN,
en particulier contre les entités diplomatiques. L'acteur a réussi à pénétrer
dans des agences exécutives à travers l'Europe et les États-Unis à plusieurs
reprises. Nous l'avons également vu cibler activement des partis politiques en
Allemagne et aux États-Unis dans le but probable de recueillir des
renseignements sur la future politique gouvernementale.
Le cyberespionnage en
provenance de Chine
Les activités de
cyberespionnage menées par la Chine ont considérablement évolué ces dernières
années, passant d'opérations bruyantes et facilement identifiables à des
opérations plus furtives. Les investissements techniques ont amplifié le défi
pour les défenseurs et renforcé les campagnes réussies contre des cibles
gouvernementales, militaires et économiques dans les États membres de l'OTAN.
Le cyberespionnage
chinois fait de plus en plus appel à des techniques telles que :
• Le ciblage de la
périphérie du réseau et l'exploitation des vulnérabilités du jour zéro dans les
dispositifs de sécurité et autres infrastructures de réseau orientées vers
l'internet, afin de réduire les possibilités de détection des défenseurs. En
s'appuyant moins sur l'ingénierie sociale, ces opérateurs ont réduit la
probabilité d'être identifiés par les utilisateurs ou les contrôles associés.
En 2023, ces acteurs ont exploité 12 "zero-days" (vulnérabilités
logicielles ou matérielles inconnues du fournisseur, sans correctif disponible,
et qui peuvent être exploitées avant d'être résolues), dont la plupart se trouvaient
dans des produits de sécurité situés à la périphérie du réseau. Ces produits
n'ont souvent pas la capacité de détecter les points d'extrémité, ce qui en
fait une tête de pont idéale dans les réseaux compromis.
• L'utilisation de
réseaux de relais opérationnels (ORB) pour dissimuler l'origine du trafic
malveillant.
Les acteurs de la menace dissimulent leur trafic malveillant par le biais de
proxys, qui servent d'intermédiaires entre eux et l'internet, mais ces proxys
peuvent être suivis de manière fiable. Les acteurs tirent désormais parti de
vastes réseaux éphémères de proxys ORB partagés et compromis. Ces réseaux sont
très difficiles à suivre et compliquent la capacité des défenseurs à partager
des renseignements sur l'infrastructure.
• Vivre de la terre
pour réduire les possibilités de détection des défenseurs. Certains acteurs
renoncent à l'utilisation de logiciels malveillants et tirent parti d'autres
méthodes pour mener des intrusions. Ces techniques utilisent des outils, des
caractéristiques et des fonctions légitimes disponibles dans le système pour
traverser les réseaux et mener des activités malveillantes. Les défenseurs sont
fortement désavantagés s'ils ne sont pas en mesure de détecter les logiciels
malveillants et sont moins à même de partager des informations sur les
activités connexes.
Les acteurs chinois ne
sont pas les seuls à exploiter ces techniques. Des acteurs russes tels que
APT29, APT28 et APT44 les ont également utilisées.
Cyberattaques
perturbatrices et destructrices
Les cyberattaques
perturbatrices et destructrices se multiplient et ont des conséquences directes
et indirectes sur l'alliance de l'OTAN. Ces dernières années, les acteurs
étatiques iraniens et russes ont montré leur volonté de mener ces attaques
contre les membres de l'OTAN, même s'ils se cachent derrière de fausses façades
qui s'attribuent publiquement le mérite des opérations. Par exemple, Mandiant a
décrit une attaque destructrice de 2022 contre le gouvernement albanais, pour
laquelle un groupe hacktiviste présumé appelé "HomeLand Justice" a
revendiqué le mérite, bien que le gouvernement américain ait finalement
attribué l'attaque à des acteurs iraniens.
Les acteurs étatiques
compromettent également les infrastructures critiques des membres de l'OTAN en
prévision de futures perturbations, alors même qu'ils démontrent leur capacité
à mener des attaques complexes contre des systèmes technologiques opérationnels
hautement sensibles en Ukraine. Cette activité prouve que ces acteurs ont les
moyens et la motivation nécessaires pour perturber les infrastructures
critiques de l'OTAN.
Outre les cyberattaques
menées par des acteurs étatiques, les perturbations causées par des
hacktivistes et des acteurs criminels ne sont plus une nuisance que l'on peut
facilement ignorer. La résurgence mondiale des hacktivistes a conduit à
d'importantes attaques contre les secteurs public et privé, et les activités
criminelles sont devenues si dévastatrices qu'elles sont devenues un sujet de
préoccupation pour la sécurité nationale.
APT44 (Sandworm,
FROZENBARENTS)
APT44 a été impliqué
dans bon nombre des cyberattaques perturbatrices les plus médiatisées au monde,
notamment l'attaque destructrice mondiale NotPetya, les attaques contre les
Jeux olympiques de Pyeongchang et plusieurs pannes d'électricité en Ukraine. L'acteur,
qui est lié au renseignement militaire russe, a mené des perturbations
techniquement complexes de technologies opérationnelles sensibles ainsi que des
attaques destructrices aux effets étendus. La majorité des attaques
perturbatrices menées en Ukraine ont été attribuées à APT44, et l'acteur a été
associé à des attaques limitées dans des pays de l'OTAN depuis le début de la
guerre.
En octobre 2022, un
acteur supposé être APT44 a déployé le ransomware PRESSTEA (alias Prestige)
contre des entités logistiques en Pologne et en Ukraine. Le ransomware n'a pas
pu être déverrouillé et a effectivement agi comme une attaque destructrice ; l'activité
pourrait avoir été conçue pour signaler la capacité du groupe à menacer les
lignes d'approvisionnement acheminant l'aide létale vers l'Ukraine. Par cette
opération, APT44 a montré sa volonté d'utiliser intentionnellement une capacité
de perturbation contre un pays membre de l'OTAN, ce qui reflète le penchant du
groupe pour la prise de risque.
Hacktivistes
La résurgence mondiale du piratage
informatique à motivation politique, ou hacktivisme, est largement liée à des
événements géopolitiques tels que l'invasion de l'Ukraine par la Russie. Malgré
une forte concentration sur les États membres de l'OTAN, ces acteurs ont eu des
effets irréguliers. De nombreuses opérations ne parviennent pas à provoquer des
perturbations durables et sont en fin de compte conçues pour attirer
l'attention et créer une fausse impression d'insécurité.
Malgré leurs limites,
ces acteurs ne peuvent être complètement ignorés. Leurs attaques attirent
régulièrement l'attention des médias dans les pays cibles et leurs méthodes
peuvent avoir de graves conséquences si les circonstances s'y prêtent. Les
attaques par déni de service distribué (DDOS), l'une de leurs méthodes
préférées, sont relativement superficielles, mais pourraient être mises à
profit lors d'événements tels que des élections pour avoir plus d'impact. En
outre, certains hacktivistes, comme le groupe pro-russe Cyber Army Russia
Reborn (CARR), expérimentent des attaques plus importantes contre des
infrastructures critiques. CARR, qui entretient des liens troubles avec APT44,
a perturbé l'approvisionnement en eau d'installations américaines, polonaises
et françaises au cours d'une série d'incidents simples mais audacieux.
Les cybercriminels
Les perturbations
causées par les ransomwares pour des raisons financières ont déjà de graves
conséquences sur les infrastructures essentielles des pays de l'OTAN,
entraînant des interruptions de soins dans les hôpitaux, des pénuries d'énergie
et des pannes de services publics. Si certains criminels ont juré d'éviter de
s'en prendre à ces infrastructures essentielles, nombreux sont ceux qui ne se
laissent pas décourager. Les établissements de santé aux États-Unis et en
Europe ont été à maintes reprises la cible de criminels russophones à la
recherche de gains financiers et d'acteurs étatiques nord-coréens désireux de
financer leurs activités d'espionnage. La capacité de ces acteurs à opérer à
partir de juridictions où la répression de la cybercriminalité ou les accords
d'extradition sont laxistes, associée à la nature lucrative des attaques par
ransomware, laisse penser que cette menace continuera à s'intensifier dans un
avenir proche.
Désinformation et
opérations d'information
Les opérations
d'information sont devenues une caractéristique constante de l'activité des
cybermenaces au cours de la dernière décennie, augmentant régulièrement à
mesure que les conflits et les tensions géopolitiques s'intensifiaient. Ces
opérations englobent un large éventail de tactiques, allant de la manipulation
des médias sociaux par des "fermes à trolls" à des schémas complexes
impliquant des intrusions dans les réseaux. Les opérations d'information de la
Russie et du Bélarus ont particulièrement ciblé les États membres de l'OTAN,
visant principalement à saper l'unité et les objectifs de l'Alliance.
Certains acteurs du
cyberespionnage qui se concentrent principalement sur la collecte secrète de
renseignements se livrent également à des opérations d'information. Des groupes
comme APT28 et COLDRIVER ont publiquement exploité des informations volées dans
le cadre de campagnes de piratage et de fuite, tandis que d'autres acteurs,
comme UNC1151, ont utilisé leurs capacités d'intrusion dans le cadre d'autres
opérations d'information complexes. Ces efforts visent à manipuler l'opinion
publique, à semer la discorde et à faire avancer les programmes politiques par
la diffusion d'informations fausses et trompeuses.
Chez Google, nous avons
déployé des efforts considérables au niveau des produits, des équipes et des
régions pour contrer ces activités lorsqu'elles enfreignent nos règles et pour
perturber les campagnes d'opérations d'information manifestes et secrètes.
Parmi les exemples de ces mesures, citons la perturbation des chaînes YouTube,
des blogs, des comptes AdSense et des domaines retirés des surfaces Google
News, comme nous le signalons tous les trimestres dans le bulletin TAG.
Les opérations
d'information de Prigozhin survivent
Malgré la mort de leur
commanditaire, les vestiges de l'empire de désinformation de l'homme d'affaires
russe décédé Evgeniy Prigozhinfonctionnent toujours , bien que de manière
beaucoup moins efficace. Ces campagnes survivantes continuent de promouvoir la
désinformation et d'autres récits pro-russes sur de multiples plateformes de
médias sociaux, plus récemment en mettant l'accent sur les plateformes
alternatives, dans de nombreuses régions.
Les récits propagés par
ces opérations appellent au démantèlement de l'OTAN et laissent entendre que
l'Alliance est une source d'instabilité mondiale. Ils critiquent également les
dirigeants des États membres de l'OTAN. Des développements géopolitiques majeurs,
tels que le lancement de l'invasion à grande échelle de l'Ukraine par la Russie
en 2022 et d'autres priorités stratégiques russes, influencent de manière
significative le contenu promu par ces campagnes. Le soutien continu de l'OTAN
et de ses États membres à l'Ukraine a fait de l'Alliance une cible privilégiée,
à la fois directement et indirectement, en raison de son implication dans des
questions perçues comme contraires aux intérêts stratégiques de la Russie.
Ghostwriter/UNC1151
La campagne
d'opérations d'information Ghostwritier, au moins partiellement liée au
Bélarus, est active depuis au moins 2016 et vise principalement les voisins du
Bélarus : Lituanie, Lettonie, Pologne et, dans une moindre mesure, Ukraine. La
campagne bénéficie du soutien technique de l'UNC1151, un groupe de
cyberespionnage connu pour ses activités malveillantes. Ghostwriter,
notoirement connu pour ses opérations d'influence cybernétiques, a toujours
donné la priorité à la promotion de récits hostiles à l'OTAN. En avril 2020,
par exemple, une opération de Ghostwriter a prétendu à tort que les troupes de
l'OTAN étaient responsables de l'introduction du COVID-19 en Lettonie.
Les activités de
Ghostwriter ont cherché à saper les gouvernements régionaux et leur coopération
en matière de sécurité. Il s'agit notamment d'opérations qui se sont appuyées
sur les comptes de médias sociaux compromis de personnalités polonaises pour promouvoir
des contenus visant à ternir la réputation d'hommes politiques polonais,
notamment par la diffusion de photos potentiellement compromettantes. Depuis
2022, les opérations observées de Ghostwriter ont maintenu ces objectifs de
campagne établis tout en élargissant les récits pour y inclure l'invasion
russe. En avril 2023, par exemple, une opération de Ghostwriter a prétendu que
la Pologne et la Lituanie recrutaient leurs résidents pour qu'ils rejoignent
une brigade multinationale qui se déploierait en Ukraine.
COLDRIVER
COLDRIVER est un acteur
russe du cyberespionnage qui a été publiquement lié à l'agence de renseignement
russe, le Service fédéral de sécurité (FSB). Cet acteur mène régulièrement des
campagnes d'hameçonnage d'informations d'identification à l'encontre de
personnalités éminentes d'organisations non gouvernementales (ONG) ainsi que
d'anciens officiers des services de renseignement et de l'armée. Les
informations dérobées par COLDRIVER dans les boîtes aux lettres des victimes
ont notamment été utilisées dans le cadre d'opérations de piratage et de fuite.
Les informations volées par COLDRIVER ont été divulguées en 2022 dans le but
d'exacerber les divisions politiques liées au Brexit au Royaume-Uni. Avant cet
incident, l'acteur avait divulgué des détails sur les accords commerciaux entre
les États-Unis et le Royaume-Uni avant les élections britanniques de 2019.
COLDRIVER cible principalement les pays de l'OTAN et a changé de cible en 2022
pour inclure le gouvernement ukrainien et les organisations soutenant la guerre
en Ukraine. En mars 2022, les campagnes de COLDRIVER ont également ciblé pour
la première fois les forces armées de plusieurs pays européens ainsi qu'un
centre d'excellence de l'OTAN.
Perspectives
Contrairement à de
nombreux autres domaines de conflit, le cyberespace se caractérise par une
activité agressive qui persiste indépendamment d'un état de conflit armé.
Néanmoins, la géopolitique est un moteur important de cette activité. Il est
significatif que l'invasion de l'Ukraine par la Russie ait coïncidé avec une
cyberactivité plus audacieuse et téméraire contre les alliés de l'OTAN. Il est
peu probable que ces menaces s'atténuent dans un avenir proche.
Les effets de la cyberactivité malveillante sont vastes ; les cybermenaces sont susceptibles d'affecter les alliés et les partenaires de l'OTAN, depuis l'arène politico-militaire jusqu'aux fondements économiques et sociétaux de l'Alliance. Pour contrer ces menaces, comme pour tout ce que fait l'OTAN, il faut un engagement collectif en faveur de la défense. L'OTAN doit s'appuyer sur la collaboration avec le secteur privé de la même manière qu'elle s'appuie sur la force de ses membres constitutifs. En outre, elle doit exploiter son plus grand avantage contre les cybermenaces - la capacité technologique du secteur privé - pour prendre l'initiative dans le cyberespace face aux adversaires de l'OTAN.