Vulkan, le prestataire des services de sécurité russes dont Le Monde et ses partenaires ont pu consulter plusieurs centaines de documents internes, ne conçoit pas uniquement des outils de contrôle de l’information. L’entreprise a également développé au moins un outil destiné à la préparation de cyberattaques. Baptisé « Skan » (« scanner »), il est conçu pour explorer automatiquement Internet afin d’y détecter des failles de sécurité, et archiver dans une gigantesque base de données toutes les failles documentées.
Skan est « une base une base de données, qui se concentre tant sur la cartographie d’équipements de télécommunications et la configuration logicielle de ces équipements, que sur la cartographie de vulnérabilités », détaille Félix Aimé, responsable de l’analyse des menaces pour la société française de cybersécurité Sekoia. Les outils de ce type sont conçus pour faciliter les étapes préparatoires à une attaque informatique, en permettant par exemple d’identifier un serveur dont les logiciels ne sont pas à jour, ou encore de récupérer l’adresse e-mail d’un haut responsable d’entreprise à qui l’on va envoyer un message piégé.
De par la nature même de l’outil, il est impossible de savoir si, et pour quelles cyberattaques, Skan a pu être utilisé. Les documents de Vulkan montrent cependant que son développement, démarré en 2018, était suffisamment abouti en 2020 pour que des employés de la société en fassent une démonstration auprès de représentants de l’armée russe. Les documents ne permettent pas de déterminer avec certitude à quelles unités ou services spécifiques son usage était destiné, mais un échange de courriels daté de 2020 évoque tout de même l’installation de serveurs spécifiques à ce projet « à Khimki », une banlieue de Moscou. Or c’est là que se situe le siège de Sandworm, l’unité du GRU chargée des opérations cyberoffensives.
Un outil offensif
La nature offensive de l’outil ne fait que peu de doute : les exemples qui figurent dans sa documentation technique sont tous situés hors de la Fédération de Russie. On y trouve notamment un serveur informatique situé à Fairfield, dans l’Etat du Connecticut (Etats-Unis), ou encore des routeurs informatiques en Corée du Nord.
Des outils similaires à Skan sont vraisemblablement utilisés par la plupart des services de renseignement dans le monde, et les détails techniques du projet ne montrent pas un degré particulièrement élevé de sophistication – il puise largement dans des ressources, librement accessibles, permettant de trouver de failles de sécurité et bien connues des spécialistes du secteur, comme le moteur de recherche Shodan. Les sources d’information à aspirer présentées dans les documents, dont certaines semblent aujourd’hui très datées, sont un pot-pourri de ce qu’un groupe de pirates peut demander pour préparer une attaque. Skan absorbe par exemple des listes de noms de domaines expirés, un outil utile pour réutiliser des infrastructures techniques d’autres acteurs, et brouiller ainsi les pistes.
Il vous reste 15.52% de cet article à lire. La suite est réservée aux abonnés.