Un groupe de hackeurs, lié au renseignement extérieur russe (SVR), a mené depuis au moins 2021 une campagne élaborée visant des diplomates et des ambassades françaises, détaille un nouveau rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’organisme chargé de la cybersécurité de l’Etat français, publié mercredi 19 juin.
Le document décrit une série de tentatives de piratage menées par ce groupe, appelé Nobelium ou Midnight Blizzard par les chercheurs en cybersécurité, qui utilisaient toutes un mode opératoire similaire : l’envoi de messages contenant une pièce jointe piégée, depuis une boîte e-mail volée à son réel propriétaire, le plus souvent un membre du personnel diplomatique français ou étranger. Les attaques analysées par l’Anssi n’ont pas permis à leurs auteurs de prendre le contrôle d’infrastructures critiques, écrit l’agence, notamment grâce au « comportement approprié » du personnel diplomatique visé, par exemple lors d’une tentative de piratage de l’ambassade de France en Roumanie en 2023.
Les pirates liés au SVR ont pourtant fait preuve de créativité pour inciter leurs cibles à ouvrir les pièces jointes véroles : en avril et en mai 2022, des dizaines d’adresses e-mail du ministère des affaires étrangères ont reçu des messages piégés leur annonçant la fermeture d’une ambassade ukrainienne ou leur proposant un rendez-vous avec l’ambassadeur du Portugal. En mai 2023, l’ambassade de France à Kiev, ainsi que d’autres ambassades européennes, recevait un e-mail proposant « une voiture diplomatique » à vendre.
« Menace pour la sécurité nationale »
Dans certains cas, Nobelium a également usurpé l’identité de diplomates français pour tenter de piéger des ambassades étrangères. En mars 2022, une ambassade européenne en Afrique du Sud a ainsi reçu un message se présentant comme émanant de l’ambassade de France, annonçant que cette dernière fermait en raison d’une menace terroriste. Le courriel émanait en réalité de Nobelium, qui avait piraté le compte e-mail d’un diplomate français.
Le groupe s’est montré très actif ces dernières années, note l’Anssi, c’est « en lien avec le contexte de tensions géopolitiques, notamment en Europe, lié à l’agression de l’Ukraine par la Russie ». Ces tentatives de piratage « représentent une menace pour la sécurité nationale et mettent en danger les intérêts diplomatiques français et européens », écrit l’agence.
Les cibles de Nobelium ne sont cependant pas limitées au monde de la diplomatie. Le groupe a mené plusieurs campagnes de très haut niveau contre des entreprises privées, à commencer par Microsoft. Au début de 2024, l’entreprise avait annoncé que le groupe était parvenu à lui dérober du code source – un matériel utile pour concevoir de nouveaux outils d’attaque ou découvrir des vulnérabilités logicielles.