Un nouveau rapport publié par l’Anssi ce jeudi 26 octobre accuse le groupe de pirates APT28, également appelé Fancy Bear, d’avoir visé à des fins d’espionnage des organisations françaises au nombre non précisé. Selon ce document de 23 pages rédigé par le centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) du cyber-pompier de l’Etat, des entités gouvernementales, des entreprises, des universités, des instituts de recherche et des groupes de réflexion auraient ainsi été visés depuis 2021 par ces pirates.
Les activités d’APT28, également connu sous le nom de FrozenLake, Sednit, Sofacy, Strontium ou encore Pawn Storm, sont documentées depuis plusieurs années. Actif depuis près de dix ans, le groupe serait rattaché, estime le cyber-pompier américain, au GRU, le service de renseignement militaire russe. En France, il est suspecté d’avoir été derrière la cyberattaque qui avait dévasté TV5 Monde.
Hameçonnage ciblé
Un groupe d’attaquants de haut niveau dont il vaut mieux connaître les méthodes. Selon l’Anssi, ces pirates passent notamment des comptes de messagerie compromis pour mener leurs campagnes d’hameçonnage, l’une de leurs spécialités. Mais ils peuvent également utiliser des techniques de force brute, en utilisant des dictionnaires de mots de passe, dissimulés derrière des réseau privés virtuels.
Autre exemple des opérations, parfois d’abord à des fins de reconnaissance, des pirates de Fancy Bear? A la fin du mois d’avril, des pirates avaient invité des utilisateurs à mettre à jour leur système en exécutant des instructions en langage PowerShell. Il s’agissait probablement, note l’Anssi, de “récupérer des informations sur l’environnement informatique de leurs cibles afin de mener ultérieurement une attaque de plus grande envergure”.
Recommandations de l’Anssi : chiffrement de bout en bout
La majeure partie du rapport de l’Anssi est consacrée à des recommandations pour empêcher des intrusions des pirates de Fancy Bear dans son système d’information. Les courriels sont l’une des cibles prioritaires de ces pirates, ces comptes étant des sources d’information importantes. L’Anssi recommande donc de les chiffrer de bout en bout. L’agence suggère également d’utiliser une plateforme d’échanges sécurisés en complément des courriels.
L’Anssi rappelle enfin que les pirates d’APT28 exploitent les fuites de données contenant des mots de passe toujours valides. Le changement fréquent de mot de passe ou la mise en oeuvre de l’authentification multifacteur permettent de mettre en échec de telles réutilisations. De même, le cyber-pompier de l’Etat appelle à former ses utilisateurs contre le hameçonnage. Autant de mesures qui devraient un peu plus compliquer la tâche aux pirates de Fancy Bear.