Dans le monde feutré et opaque de la cybersécurité, la question de l’attribution des attaques informatiques est depuis longtemps un sujet des plus sensibles.
Sensible car il est délicat de dénicher le commanditaire d’actions hostiles réalisées par des groupes de hackers qui souvent vendent leurs services à diverses organisations. Sensible aussi car désigner officiellement l’adversaire – a fortiori un état – tend considérablement les relations diplomatiques.
C’est pourtant ce pas que vient de franchir la France. Un communiqué du le Ministère de l’Europe et des Affaires étrangères indique condamner « avec la plus grande fermeté le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28, à l’origine de plusieurs cyber-attaques contre des intérêts français ».
« Ciblage ou compromission d’une dizaine d’entités françaises »
Et de noter que depuis 2021 « le ciblage ou la compromission d’une dizaine d’entités françaises » ont été réalisée par APT28. Les organisations touchées sont des services publics, des entreprises privées, « ainsi qu’une organisation sportive liée à l’organisation des Jeux olympiques et paralympiques 2024 ».
Le MAE attribue également le sabotage de la chaîne de télévision TV5 Monde en 2015 au GRU. Mais aussi « la tentative de déstabilisation du processus électoral français en 2017 ».
Ailleurs qu’en France, le groupe APT28 « est employé pour exercer une pression constante sur les infrastructures ukrainiennes, notamment lorsqu’il est opéré par l’unité 20728 du GRU » précise le ministère. Des attaques contre des « partenaires européens » sont également citées.
« Le mode opératoire d’attaque APT28 a été utilisé contre de nombreuses entités en France, en Europe, en Ukraine et en Amérique du Nord, afin de collecter des renseignements » précise le CERT FR. Des attaques qui se poursuivent selon l’organisation.
Changement de ton
L’Agence nationale de sécurité des systèmes d’information vient de publier un rapport sur la menace liée à APT28. « Pour la première fois, ce document technique est accompagné d’une attribution formelle des activités d’APT28 au renseignement militaire russe » indique le DG de l’Anssi Vincent Strubel.
En 2015, la société de cybersécurité FireEye pointait déjà du doigt les liens entre APT28 et l’état russe. APT28 serait actif depuis 2007.
Ce changement de ton de la France intervient au lendemain d’une coupure de courant majeure en Espagne et au Portugal dont les causes restent à déterminer. L’Audience nationale, juridiction madrilène chargée des affaires les plus graves, a annoncé l’ouverture d’une enquête pour déterminer si la panne d’électricité qui a semé le chaos dans le pays avait été provoquée ou non par un « sabotage informatique ».