Un site qui a mis en ligne des e-mails présentés comme issus de comptes piratés de plusieurs figures-clés du mouvement pro-Brexit au Royaume-Uni est lié à un groupe de pirates russes, affirme Google, en s’appuyant sur une analyse technique menée par ses chercheurs en sécurité informatique.
Appelé « Very English Coop d’Etat » (« un coup d’Etat très anglais »), le site a publié des e-mails personnels attribués à l’ancien chef des services de renseignement britanniques Richard Dearlove et à des militants pro-Brexit. Ces messages sont présentés comme les preuves d’un complot ourdi par l’aile dure du mouvement pour le Brexit visant à démettre l’ancienne première ministre Theresa May, pour la remplacer par Boris Johnson, durant les négociations portant sur la sortie de l’Union européenne.
Selon l’analyse menée par les chercheurs en sécurité informatique du Threat Analysis Group de Google, réputés comme faisant partie des meilleurs au monde, plusieurs éléments techniques permettent de relier ce site au groupe de pirates nommé « Cold River ». Ces derniers mois, ce groupe a tenté de pirater des comptes e-mail utilisés par « des fonctionnaires et des militaires, des élus, des salariés d’associations ou de think tanks, et des journalistes », notamment en Europe de l’Est, notait Google dans un précédent rapport. L’entreprise affirme que ce groupe se trouve en Russie, sans le relier directement à un service de renseignement ou de sécurité russe.
L’adresse de « Very English Coop d’Etat » a été enregistrée le 19 avril, trois jours après que Boris Johnson a été interdit d’entrée sur le territoire russe en raison du soutien du Royaume-Uni à l’Ukraine, note l’agence Reuters. L’adresse du site contenait les mots « sneaky strawhead » (« tête de paille fourbe »), ce qui semble être une référence à la coiffure de l’actuel premier ministre britannique.
Mode opératoire classique des opérations de déstabilisation russes
Le mode opératoire – piratage de comptes e-mail dont le contenu est ensuite diffusé en ligne – rappelle celui de précédentes opérations attribuées aux services de renseignement russes, dont le piratage des courriels du Parti démocrate américain en 2016 ou les « MacronLeaks » en 2017. Au Royaume-Uni, des documents confidentiels sur les négociations du Brexit avaient également été publiés en ligne, en 2019, après avoir été piratés sur le compte e-mail du ministre du commerce de l’époque, dans une opération attribuée à la Russie.
Les e-mails publiés par « Very English Coop d’Etat » n’ont pas été formellement identifiés, mais l’ancien chef du MI6, Richard Dearlove, a sous-entendu qu’ils étaient probablement en grande partie authentique, estimant, dans une déclaration à l’agence Reuters, qu’ils évoquaient « une opération de lobbying [pro-Boris Johson] légitime, présentée de manière déformée et hostile ».
L’essentiel des e-mails pourraient provenir d’un seul et même compte, une boîte personnelle de M. Dearlove. « Il n’est pas facile d’écrire sur les opérations de désinformation sans les amplifier et augmenter leurs effets, écrit Shane Huntley, du Google Threat Analysis Group. Mais si on prend un peu de recul, on voit que cette campagne était assez maladroite. »